网络安全系统集成：快速架设Web服务器

Internet信息服务（Internet Information Services，IIS），实际上是一组以TCP/IP为基础的服务，它们都运行在相同的系统上，但在功能上彼此还是不同的。IIS具有不同的Internet的功能，以满足人们不同方面的需要。

1.安装IIS

安装IIS之前，需要先安装TCP/IP和连接工具，并且系统还应该包括以下几点内容。

1）静态IP地址（不是由DHCP动态分配的IP地址）。

2）部署一台DNS服务器，如果为站点注册了一个域名，用户就可以在浏览器中键入该站点的域名，然后就可以浏览该网站了。

3）为了IIS服务器具有更好的安全性配置，需要把驱动器格式化为NTFS。

在Windows 2003中，安装IIS有3种途径：利用“管理您的服务器”向导、利用控制面板中“添加或删除程序”的“添加/删除Windows组件”功能和执行无人值守安装。

IIS安装的具体步骤如下。

①选择控制面板中的“添加/删除程序”→“添加/删除Windows组件”，系统弹出“Windows组件向导”对话框。在组件列表中选择“应用程序服务器”，再单击“详细信息”，弹出如图5-27所示的“应用程序服务器”对话框，选中“Internet信息服务（IIS）”子组件。

图5-27 选择Internet信息服务

②单击图5-27中的“详细信息”按钮，弹出如图5-28所示的“万维网服务”对话框，选择子组件“公用文件”“万维网服务”和“文件传输协议服务”。

图5-28 选择万维网服务

③“万维网服务的子组件”中包括许多重要的子组件，如”Active Server Pages“和”远程管理（HTML）“，如图5-29所示。

图5-29 选择Active Server Pages

④选中需要的子组件后，单击“确定”按钮，然后单击“下一步”按钮，IIS 6.0即开始安装。安装结束后在“完成Windows组件向导”对话框中，单击“完成”按钮即可。完成安装后，系统在“开始”→“程序”→“管理工具”程序组中会添加“Internet信息服务管理器”，此时服务器的WWW、FTP等服务会自动启动。

注意，有时设置好Windows 2003 Server的服务器之后，WWW、FTP等服务仍不可用，这是因为与系统自身的防火墙设置有关，注意，有时设置好Windows 2003 Server服务器之后，WWW、FTP等服务仍不可用，这时要检系统防火墙是否设置正确。

2.新建Web站点

1）选择“开始”→“程序”→“管理工具”→“Internet信息服务管理器”，打开“Internet信息服务（IIS）管理器”窗口，如图5-30所示，窗口显示此计算机已经安装好的Internet服务，而且都已经自动启动运行了。

图5-30 Internet信息服务（IIS）管理器

2）用鼠标右键单击左窗格中的网站，在弹出菜单中选择“新建”→“网站”，出现“网站创建向导”对话框，单击“下一步”按钮继续。然后在“网站说明”文本框中输入说明文字，单击“下一步”按钮继续，出现如图5-31所示的“IP地址和端口设置”选项页，在“网站IP地址”文本框和“网站TCP端口”文本框中分别输入新建Web站点的IP地址和TCP端口地址。然后单击“下一步”按钮。

图5-31 IP地址和端口设置

3）在打开的对话框中输入站点的主目录路径（如c：\2010），然后单击“下一步”按钮。

4）在图5-32所示的“网站访问权限”选项页中设置Web站点的访问权限，一般要选择“读取”选项，但为了支持脚本语言（如ASP），还需选择“运行脚本”选项。同时为保证网站安全，建议不要选择“写入”选项。单击“下一步”按钮完成设置。

图5-32 网站访问权限

3.配置Web站点

Web站点建立好之后，可以通过“Microsoft管理控制台”来进一步管理及设置Web站点，站点管理工作既可以在本地进行，也可以通过远程进行。选择“开始”→“程序”→“管理工具”→“Internet信息服务管理器”，打开“Internet信息服务（IIS）管理器”窗口，在所管理的网站上，用鼠标右键单击“属性”菜单项，进入该站点的“属性”（本例为“myapp属性”）对话框。

（1）“网站”选项卡

“网站”的选项卡上主要设置标识参数、连接和启用日志记录，如图5-33所示，主要有以下内容。

①描述：在文本框中输入对该站点的说明文字，用它表示站点名称。这个名称会出现在IIS的树状目录中，通过它来识别站点。

②IP地址：设置此站点使用的IP地址，如果架构此站点的计算机中设置了多个IP地址，则可以选择对应的IP地址。若站点要使用多个IP地址或与其他站点共用一个IP地址，则可以通过“高级”按钮进行设置。(www.xing528.com)

③TCP端口：确定正在运行的服务的端口。

④连接：“连接超时”设置服务器断开未活动用户的时间；“保持HTTP连接”允许客户保持与服务器的开放连接，而不是使用新请求逐个重新打开客户连接，禁用则会降低服务器性能，默认为激活状态。

图5-33 “网站”选项卡

⑤启用日志记录：表示要记录用户活动的细节，在“活动日志格式”下拉列表框中可选择日志文件使用的格式。单击“属性”按钮可进一步设置记录用户信息时所要包含的内容，如用户IP地址、访问时间、服务器名称等。默认的日志文件保存在\Windows\system32\LogFiles子目录下。同时应注重日志功能的使用，通过日志可以监视访问本服务器的用户等，对不正常的连接和访问应加以监控和限制。

（2）“主目录”选项卡

“主目录”选项卡可以设置网站所提供的内容的来源、访问权限以及应用程序在此站点的执行许可，如图5-34所示。

网站的内容中包含各种给用户浏览的文件，如HTML文件、ASP程序文件等，这些数据必须指定一个目录来存放。

①本地计算机上的目录：表示站点内容来自本地计算机。

②另一台计算机上的共享目录：站点的数据可以放在局域网上其他计算机中的共享目录中，注意要在“网络目录”文本框中输入其路径，并按“连接为”按钮，设置有权访问此资源的域用户帐号和密码。

③重定向到URL（U）：表示将连接请求重新定向到其他的网络资源上，如某个文件、目录、虚拟目录或其他的站点等。选择此项后，在“重定向到”文本框中输入上述网络资源的URL地址。

④执行权限：设置对该站点或虚拟目录资源进行何种级别的程序执行。“无”只允许访问静态文件，如HTML或图像文件；“纯脚本”只允许运行脚本，如ASP脚本；“脚本和可执行程序”可以访问或执行各种文件类型，如服务器端存储的CGI程序。

⑤应用程序池：选择运行应用程序的保护方式。可以与Web服务在同一进程中运行（低），也可以与其他应用程序在独立的共用进程中运行（中），或者在与其他进程不同的独立进程中运行（高）。

（3）“性能”选项卡

“性能”选项卡，如图5-35所示，其设置包括以下内容。

图5-34 “主目录”选项卡

图5-35 “性能”选项卡

①带宽限制：如果计算机上设置了多个Web站点，或是还提供其他的Internet服务，如文件传输、电子邮件等，那么就有必要根据各个站点的实际需要，来限制每个站点可以使用的带宽。要限制Web站点所使用的带宽，只要选择“限制网站可以使用的网络带宽”选项，在“最大带宽”文本框中输入数值即可。

②网站连接：“不受限制”表示允许同时发生的连接数不受限制；“连接限制为”表示限制同时连接到该站点的连接数，在文本框中输入允许的最大连接数。

（4）“文档”选项卡

“文档”选项卡，如图5-36所示，其设置包括以下内容。

图5-36 “文档”选项卡

①启动默认内容文档：默认文档可以是HTML文件或ASP文件。当用户通过浏览器链接至Web站点时，若未指定要浏览哪一个文件，则Web服务器会自动传送该站点的默认文档供用户浏览，如通常将Web站点主页default.htm、default.asp和index.htm设为默认文档，当浏览Web站点时会自动链接到主页上。如果不启用默认文档，则会将整个站点内容以列表形式显示出来让用户自己选择。

②启用文档页脚：选择此项，系统会自动将一个HTML格式的页脚附加到Web服务器所发送的每个文档中。页脚文件不是一个完整的HTML文档，只包括用于格式化页脚内容、外观和功能的HTML标签。

（5）“目录安全性”选项卡

在“目录安全性”选项卡中，如图5-37所示，单击“身份验证和访问控制”中的“编辑”按钮，可以设置启用匿名访问或设置匿名访问时使用的用户名和密码。另外还可以设置以什么样的身份验证方法来访问页面。

IP地址和域名控制是设定客户访问FTP站点的范围，其方式包括授权访问和拒绝访问。

①授权访问：开放此站点的访问权限给所有用户，并可以在“下列地址例外”列表框中加入不受欢迎的用户IP地址。

②拒绝访问：不开放此站点的访问权限，默认所有人不能访问该站点，在“下列地址例外”列表框中加入允许访问此站点的用户IP地址，使它们具有访问权限。

合理地设置“授权访问”和“拒绝访问”可以有效地提高WWW服务器的安全，当服务器只供内部用户使用时，设置适当的“授权访问”IP地址列表，可以保护服务器不受外部的攻击。

图5-37 “目录安全性”选项卡