网络安全建设：Web服务器安全设置

为了使当前IIS服务器提供的IIS服务更加安全可靠，应当对它进行高级服务配置，从某种意义上讲，IIS服务器作为网络办公的平台，其中往往涉及一些非常重要的数据资料，事实上，黑客们攻击的对象也大都是Web站点和FTP站点，因此IIS服务器的安全显得越来越重要，所以IIS服务器需要配置包括对Web站点的访问账号验证及访问的IP地址授权以及对FTP站点的访问账号验证，还有上传文件权限配置以及对FTP站点提供的IP地址授权等。

1.IIS中IP地址和域名限制

对于一些重要的服务器，并不想让所有人都能访问，或者将一些总是攻击网站的用户屏蔽掉，这就需要添加限制访问网站的IP地址了。

选择“开始”→“程序”→“管理工具”→“Internet信息服务管理器”，打开“Inter⁃net信息服务（IIS）管理器”窗口，用鼠标右键单击要管理的FTP站点，在弹出的快捷菜单中选择“属性”命令，出现“默认FTP站点属性”对话框，单击“目录安全性”选项卡，单击“IP地址及域名限制”的“编辑”按钮，弹出如图5-48所示的“IP地址和域名限制”对话框，可以看到有两个选项：“授权访问”和“拒绝访问”。如果只想网站让少部分人浏览，可以选择“拒绝访问”，反之，可选择“授权访问”。

图5-48 设置IIS中的IP地址和域名限制

2.设置Web服务器权限

可以针对整个站点、目录以及文件设置Web服务器的权限。如果禁用Web服务器的读取权限，将限制所有用户（包括拥有NTFS高级别权限的用户）访问站点。如果启用了读取权限，则允许所有的用户查看文件，除非通过NTFS权限设置来限制某些用户或组的访问权限。

在设置Web站点或虚拟目录的安全属性时，Web服务器将提示用户是否要重新设置单独的目录和文件属性的权限。如果选择重新设置这些属性，以前设置的安全属性将由新的设置替代。

设置Web服务器权限：在Internet信息服务器管理单元中，选择Web站点、虚拟目录或文件，并打开其属性设置对话框。在“主目录”、“虚拟目录”或“文件”属性设置对话框中，可以设置“读取”、“写入”、“脚本资源访问”、“目录浏览”、“日志访问”和“索引此资源”等多种访问权限。

3.SSL安全机制(www.xing528.com)

IIS的身份认证除匿名访问、基本验证和Windows NT请求/响应方式外，还有一种安全性更高的认证：通过加密封套接字协议层（Security Socket Layer，SSL）安全机制使用数字证书。SSL位于HTTP层和TCP层之间，建立客户端与服务器之间的加密通信，确保所传递信息的安全。SSL是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。使用SSL安全机制时，首先客户端与服务器之间建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，然后用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器。而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个唯一的安全通道。具体步骤如下。

1）启动ISM并打开Web站点的属性对话框。

2）选择“目录安全性”选项卡。

3）单击“密钥管理器”按钮。

4）通过密钥管理器生成密钥对文件和请求文件。

5）从身份认证权限中申请一个证书。

6）通过密钥管理器在服务器上安装证书。

7）激活Web站点的SSL安全性。

建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源定位器时，输入“https：//”，而不是“http：//”。SSL安全机制的实现将增大系统开销，增加了服务器CPU的额外负担，从而降低了系统性能，在规划时建议仅考虑为高敏感度的Web目录使用。另外，SSL客户端需要IE 3.0及以上版本才能使用。