1. 用户身份验证
IIS网站默认是允许所有用户连接,如果对网站的安全性要求较高,网站只针对特定用户开放,就需要对用户进行验证,进行验证的主要方法有:
•
匿名身份验证
•
基本身份验证
•
摘要式身份验证
•
Windows身份验证
系统默认只启用了匿名身份验证,由于
2008R2中的IIS采用了模块化设计,默认只会安装少数功能与组件,所以要设置使用其他的身份验证方法,首先就需要安装相应的功能组件。
在【服务器管理器】中选择“添加角色服务”。
在“安全性”中勾选要安装的3种身份验证方法。
这4种身份验证方法的优先级为:
匿名身份验证
>windows身份验证>摘要式身份验证>基本身份验证
也就是说,如果同时开启匿名身份验证和基本身份验证,那么客户端就会优先利用匿名身份验证,而基本身份验证则无效!所以如果要使用户必须验证身份后才能访问,首先必须禁用匿名访问功能,然后再设置身份验证方式。如果不禁用匿名访问功能,即使设置了身份验证方式也不会生效。
在
web站点的主窗口中打开“身份验证”,默认情况下,“匿名身份验证”为“已启用”状态,点击右侧“操作”菜单中的“禁用”命令,将其禁用。这样当用户再次访问时就必须使用用户名登录。
基本身份验证
基本身份验证是使用
web服务器的本地用户进行身份验证,如果web服务器属于域的成员服务器,那也还可以使用域用户进行身份验证。
在身份验证界面中启用基本身份验证,
这样客户端在访问网站的时候就要输入用户名和密码了。我们先尝试用本地用户进行验证,在
Web服务器上新建一个名为admin的本地用户。
然后在客户端测试,用admin用户可以成功访问网站。
下面再用一个域用户zhangsan进行测试,如果只输入zhangsan的用户名,是无法通过验证的,必须要指定zhangsan所在的域,即使用域用户账户的全名coolpen\zhangsan
我们也可以在web服务器上指定所处的域。选中基本身份验证,然后点击右侧的“编辑”按钮对其进行设置。
默认域:指定Web服务器所处的域。当用户连接网站时,如果用户输入了一个用户名zhangsan,那么服务器优先将其视为本地用户进行身份验证,如果发现zhangsan不是本地用户,则自动将其视为coolpen.net域的域用户,将用户名和密码送到此域的域控制器检查。这样设置的好处是,即使是域用户,也可以只输入用户名,而不需要输入全名了。
领域:此处的文字可供用户参考,它会被显示在登录界面上。
需要注意的是,“基本身份验证”的用户名和密码都是以明文的方式在网络中传送,因而安全性不高。如果要使用基本身份验证的话,应搭配其他可确保数据发送安全的措施,如使用
SSL连接等。
摘要式身份验证
同基本身份验证相比,摘要式身份验证有少许改进,它将用户名和密码经过
MD5加密之后再到网络中传输,因而比基本身份验证要更为安全。但摘要式身份验证只能用于域环境,要求web服务器必须是域的成员服务器,而且用户必须是域用户账户。配置起来比较繁杂,而且实际中用得不多,因而这里就不予介绍。
Windows身份验证
Windows 身份验证使用
NTLM 或 Kerberos 协议进行身份验证,但是使用时有一定的局限性。NTLM协议无法通过代理服务器,Kerberos协议无法通过防火墙,所以Windows 身份验证最适用于Intranet 环境
总结:
Windows 身份验证和摘要式身份验证因为使用条件限制,所以运用很少,我们更多的是使用基本身份验证!
另外,虚拟目录可以像主网站一样的设置各种身份验证方式,对于大多数网站,都是将主网站设置为允许匿名访问,而将其下的某个虚拟目录设置要通过身份验证方可访问。
2. IP地址限制
在
IIS中,还可以通过限制IP地址的方式来增加网站的安全性,不过这种方式只适合于向特定用户提供Web网站,或是限制一些特定用户访问。要使用IP地址限制功能,也必须先安装“IP和域限制”组件。
组件安装完成后,重新打开IIS管理器,会发现其中多了一个“IP地址和域限制”的功能组件。
打开该组件,点击右侧的“添加允许条目”,可以设置只允许哪些客户端访问该网站。可以只允许某个特定的IP地址,也可以是一个地址段。
需要注意的是,如果设置了允许条目,那除了指定的这些IP地址之外,其它的客户端访问网站时是将被允许还是拒绝呢?这个可以通过右侧的“编辑功能设置”来设置。
可以根据需要将未指定的客户端设为允许或拒绝访问。
拒绝访问的设置与此类似。
3. 网站性能调整
如果
web服务器的性能一般,或是网站的访问量比较大,为避免服务器响应慢或是宕机,可以限制网站所占的带宽及同时连接数量。
在默认站点的主界面中,点击右侧“操作”面板中的“限制……”链接。打开编辑网站限制对话框,限制带宽使用:设置网站允许使用的最大带宽,单位为字节,注意不要大于当前网络带宽。连接超时默认限制为
120秒,即用户访问web站点时,如果在120秒内没有活动则自动断开。限制连接数用于限制允许同时连接网站的最多用户数量。
4. 配置日志
通过网站日志,管理员可以查看跟踪网站被访问的情况,如哪些用户访问了本站点、访问者查看了什么内容,以及最后一次查看该信息的时间等。可以使用日志来评估内容受欢迎程度或识别信息瓶颈,有时还可以通过日志查出非授权用户访问网站以便采取应对措施。
在站点主界面中点击“日志”可以对其进行设置。
本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1176472
