网管员必读——网络应用(第二版)第二章.ppt-道客多多

资源描述

1、第二章 IIS 6.0 Web网站配置与管理,网站建设的方法有多种，但目前应用最广，最受用户欢迎的仍是微软Windows系统自带的IIS方案，以及在Windows、UNIX、Linux平台中都可采用的Apache Server方案。随着微软IE 6.0的推出，IIS方案更加成熟，更加专业，解决以前版本中存在的许多性能和安全方面问题，得到了用户的高度认可。在新的Windows Server 2003 R2版本系统中，IIS不仅可以组建普通的网站，还自带了诸如SharePoint站点和Windows Media Services站点，使得IIS在站点组建方面的应用领域更加广泛。本章的内容较多，看

2、似简单的IIS Web网站，其实配置起来还相当复杂，主要是因为新的IIS 6.0新增了许多实用功能，特别是安全功能。在学习本章内容时，一定要先从总体上把握IIS网站的组建与配置基本思路，做到心中有数。只有这样，才能真正全面地掌握IIS6.0 Web网站的配置方法。,本章重点如下： IIS 6.0网站建设的基本思路 IIS 6.0与以前版本相比的主要改进 IIS 6.0的主要安全措施 IIS 6.0隔离模式工作原理，与IIS 5.0隔离模式的区别利用向导法创建新网站的方法网站基本信息配置方法网站身份验证配置方法虚拟目录的创建与配置网站的性能管理网站的服务质量管理网站的远程管理,2.

3、1 利用IIS 6.0组建网站的基本思路,利用IIS 6.0组建网站的基本思路如下：（1）安装并启用IIS和相关组件（2）新建网站新建网站是在IIS管理器中进行的。网站的新建可以采取两种方式：一是编辑系统自带的“默认网站”，二是重新利用向导新建。（3）网站基本配置网站基本包括：网站基本信息配置、指定网站主目录和主页文件两个主要方面。（4）网站的安全配置网站的安全配置也包括两个主要方面：网站的身份验证方式和网站的访问权限等。（5）创建和配置虚拟目录虚拟目录也并不是所有网站都需要的，只是在网站有网页文件不在网站主目录下的时才需要创建和配置。,（6）网站管理本章将介绍的网站管理事项具

4、体包括如下三个主要方面：网站性能管理服务质量管理其他管理选项（7）配置端口映射和动态域名服务如果所建的Web网站是对外服务的，不限于局域网用户，而且Web服务器不是直接与外网连接，而是通过共享方式上网的（如代理服务器共享上网、路由器共享上网和网关服务器共享方式等），此时就需要在路由器、代理服务器，或者专门的端口映射软件上配置好Web服务器的端口镜像，否则外网用户无法访问Web网站。不过，关于端口映射和动态域名服务在本书的第一章中已有详细介绍。在此不再赘述，参见即可。,2.2 安装并启用IIS及相关组件,2.2.1 IIS 6.0的主要更改 IIS 6.0包括许多新功能，它们旨在帮助

5、企业、IT 专业人士和Web管理员实现其网站（他们可能拥有位于单个IIS服务器或多个服务器上的数千个网站）在性能、可靠性、可伸缩性和安全性方面的目标。具体参见书中的表2-1。 2.2.2 IIS 6.0提供的服务 IIS 6.0提供了基本服务，包括发布信息、传输文件、支持用户通讯和更新这些服务所依赖的数据存储。所包括的基本服务有：万维网发布服务、文件传输协议服务、简单邮件传输协议服务、网络新闻传输协议服务和IIS管理服务。具体参见书中表2-2和对应的详细说明。,2.2.3 IIS 6.0的核心组件,IIS 6.0核心组件由内核模式进程和用户模式进程组成。具体包括以下几个方面： HTTP.sys

6、：是将HTTP请求传送到用户模式应用程序的内核模式设备驱动程序。 WWW服务管理和监视组件：配置“万维网发布服务”，并管理工作进程。工作进程：处理分配给它们的Web应用程序的请求。 Inetinfo.exe：主控配置数据库和非Web服务。具体参见书中内容。 2.2.4 安装IIS及相关组件安装IIS 6.0及相关组件的方法有三种：（1）通过“配置您的服务器向导”进行；（2）通过控制面板中的“添加/删除程序”进行；（3）采用无人安装方式进行。具体参见书中介绍。,2.3 组建新网站,组建新Web站点的方法主要有两种：（1）编辑系统默认提供的站点，适用于只需要一个网站的用户；（2）利用向导方式

7、新建站点，适用于需要多个网站的用户。本节仅介绍向导方式，默认站点的编辑方式与本章后面的新网站配置一样，参见即可。在Windows 2000 Server /Server 2003等服务器系统中都可以同时创建多个站点，而在Windows 2000 Professiona/XP系统中却只能有一个站点，所以只能通过修改系统默认站点来配置新的站点。利用向导方式进行的具体网站创建方法在书中已有详细介绍，参见即可。,2.4 网站基本配置,2.4.1 网站基本信息配置本节介绍的是网站描述（相当于网站名称）、标识(包括网站服务器IP地址、端口号和主机头值（相当于网站的域名）和日志格式等基本信息的配置。

8、标志一个网站可以有采用网站IP地址、端口和主机头值三种方法，只要其中一个不同即可。也就是说，一个IP地址可以供多个网站使用，只要端口号，或主机头值其中一个不同即可。也表示同样一个网站域名，可以对应多个不同主机（IP地址不同），或同一主机的不同端口。通常网站的WWW服务端口号是80，但也可以指派其他端口号，当然最好不要使用1024号以前的端口了，否则可能与常见的一服务端口相冲突，造成其他服务不能正常工作。而且采用其他端口号后，用户访问时必须在域名或IP地址后加上端口号（如:8080），否则仍以80号端口访问，造成访问不成功。,网络日志记录的格式有：Microsoft IIS日志文件格式、NCS

9、A共用日志文件格式、W3C扩展日志文件格式和ODBC日志记录这四种。网站的基本信息是在网站属性对话框中的“网站”选项卡（如下图）中进行配置的，具体参见书中介绍。,2.4.2 为网站指定主目录和主页文件,本节仅介绍网站主目录和主页文件的指定。网站主目录是用来存放所有网站文件的，就是把网站上的所有文件放在一个目录下；而网站主页文件是打开网站时默认打开的网页文件。网站主目录可以是本机上的一个目录（通常要求是NTFS文件格式的），也可以是另一台计算机上的共享文件夹，还可以是其他网站（相当于网站镜像）。网站主目录的配置涉及到网站属性对话框中的“主目录”选项卡（如下页左图所示）。在这时砂仅要反映定网

10、站主目录，而要指定普通用户对网站主目录的访问权限。在对话框中的“应用程序设置”栏中还要设置网站的应用程序池（通常采用网站创建时默认的应用程序池，不要乱改，否则很可能造成用户访问不了网站）和用户对应用程序的执行权限。网站主页文件的配置是在“文档”选项卡中配置的（如下面的右图所示）。,在“文档”选项卡中一定要选择“启用默认文档”复选项，然后在下面的列表框中配置网站的主页文件名。启用后，只要浏览器请求没有指定文档名称，则将默认文档提供给浏览器。越在上面的越优先执行，可以通过箭头调整各主页文件的执行优先级。选择“启用文档页脚”复选项可以将Web服务器配置成自动附加页脚到Web服务器返回的所有文档中

11、，不仅是网站主页文档，对于统一网站页面格式非常有用。具体的配置方法参见书中介绍。,2.5 网站安全及配置,如果要说IIS 6.0的主要改进是什么，那可以毫不犹豫地告诉您，那就是各种站点（特别是Web站点）的安全性有了明显的提高。在IIS 6.0中，不仅在诸如身份验证、文件访问权限、数据加密和证书等常规安全措施方面提供了全方位的选择，而且还从底层提供了隔离模式选择。选择了工作进程隔离模式后，所有应用程序，就连与网站进程关系最密切的HTTP请求也被路由到正确的应用程序池队列中，这样一来所有应用进程都与系统底层服务完全隔离，从底层确保了系统的安全。本节就要对IIS 6.0 Web网站以上各方面的

12、安全性措施一一介绍，最后还将介绍各种安全措施的配置方法。当然，在实际的网络建设中只需要有针对性地根据自己企业实际需求选择一种，或少数几种进行配置即可。,2.5.1 IIS 6.0的主要安全措施,IIS 6.0中的一个最重要的变动涉及Web服务器安全性，它的主要安全技术和措施如下： 1. 改进的核心功能和服务已对IIS 6.0进行了重新设计以便利用基本Windows内核HTTP.sys。这使其具有内置的响应和请求缓存和队列功能，并能够将应用程序进程请求直接路由到工作进程，从而改善可靠性和性能。 2. 安装锁定的IIS 为确保Windows管理员不会因安装IIS而要处理不必要的安全威胁，IIS6

13、.0安装时启用了静态网页请求处理功能，但禁用了所有其他请求处理功能。从安装IIS开始，IIS6.0的锁定安全配置文件可最大限度地减少入侵者的攻击面。,3. 身份验证 Internet信息服务提供与Windows完全集成的安全功能。IIS支持：匿名身份验证、基本身份验证、摘要式身份验证、高级摘要式身份验证、集成Windows身份验证和证书验证六种身份验证方法。 4. 访问控制通过将NTFS访问权限用作Web服务器的安全基础，您可以定义授予Windows用户和组文件和目录访问的级别。 5. 证书证书是允许服务器和客户彼此验证的数字标识文档，通常只用于内网网站上，对于为外网用户提供的公共网站是不

14、采用的。证书请求在服务器和客户端浏览器建立SSL连接，通过此连接可以发送加密信息。IIS中基于证书的SSL特性由服务器证书、客户端证书和不同的数字密钥组成。可以使用Microsoft证书服务创建这些证书或者从可相互信任的第三方机构获得，该机构称为证书颁发机构（CA）。,6. 加密您可以允许用户使用加密的方式与您的服务器交换个人信息，如信用卡号或电话号码。IIS中这种加密的基础是SSL3.0协议，提供了一种与用户建立加密通讯链接的安全方法。SSL确认您的网站的真实性同时可有选择地确认正在访问受限制网站用户的身份。 7. 服务器网关加密服务器网关加密（SGC）使用128位加密，是安全套接字层（

15、SSL）的扩展。 8. 可选的加密服务提供程序通过使用可选的加密服务提供程序（CSP）可以选择Microsoft或第三方加密提供程序来处理加密和证书管理。 9. 审核可以使用安全审核技术监视大范围的用户和Web服务器的安全活动。具体安全措施介绍参见书中内容。,2.5.2 IIS 6.0的应用程序隔离模式,IIS 6.0的应用程序隔离模式可在两种不同操作模式下运行，它们分别是：工作进程隔离模式和IIS 5.0隔离模式。这两种模式都要依赖于HTTP.sys作为超文本传输协议（HTTP）侦听程序；然而，它们内部的工作原理是截然不同的。工作进程隔离模式利用IIS 6.0的重新设计的体系结构并且使

16、用工作进程的核心组件。IIS 5.0隔离模式用于依赖IIS 5.0的特定功能和行为的应用程序。工作进程隔离模式是IIS 6.0操作的推荐模式，也提供了更高级别的安全性，因为运行在工作进程中的应用程序的默认标识为 NetworkService。虽然工作进程隔离模式提供了增强的隔离性、可靠性、可用性和性能，但某些应用程序在以该模式运行时仍可能会有兼容性的问题，此可请使用IIS 5.0隔离模式。,1. 工作进程隔离模式工作进程隔离模式利用了所有新的IIS 6.0核心组件。使用工作进程隔离模式启用应用程序池、回收和运行状况检测功能，在本主题的后面将对这些功能进行描述。下图描述了以工作进程隔离模式

17、运行的IIS 6.0体系结构。,2. IIS 5.0隔离模式 IIS 5.0隔离模式确保为IIS5.0而开发的应用程序的兼容性。在IIS 5.0隔离模式中，应用程序池、回收和运行状况检测功能都不可用。下图描述了以IIS 5.0隔离模式运行的IIS6.0体系结构。,两种隔离具体工作原理和比较参见书中内容。,2.5.3隔离模式配置,工作进程隔离模式是IIS中的默认服务模式。工作进程隔离模式体现了IIS 6.0的所有优点：可靠的应用程序池、自动重新启动、可扩展性、调试，以及精确的性能调整。要将IIS配置为工作进程隔离模式只需在下图中清除“以IIS 5.0隔离模式运行WWW服”复选项的选择即可，否则

18、则以IIS 5.0隔离模式运行。,2.5.4 工作进程隔离模式中Web应用程序隔离,创建应用程序时，可使用IIS管理器在网站中指定应用程序的开始位置目录。每个网站可以有多个应用程序。安装 IIS 时所创建的默认网站是应用程序的开始位置。网站开始位置目录下的每个文件和目录均被认为是应用程序的一部分直至找到另一个开始位置目录。因此可以使用目录边界来定义应用程序的范围。 IIS 6.0支持多种类型的应用程序及其配置选项。您可以创建应用程序，然后对其进行配置以获得最佳性能和调试功能；定义默认的脚本语言；启用缓存、缓冲区及父路径；以及将文件扩展名与程序类型相关联。也可以使用IIS管理器或配置数据库配置这

19、些选项。以工作进程隔离模式运行的IIS 6.0可把Web应用程序分组编入“应用程序池”。应用程序池允许将特定配置设置应用于多个应用程序组，并允许工作进程为这些应用程序提供服务。可向应用程序池指派任何Web目录或虚拟目录。,1. 应用程序池运行状况检测及配置通过检测应用程序池的稳定（或运行状况）程度，IIS确定是否需要纠正操作。如果在指派到应用程序池的工作进程中所有可用的IIS线程都出现了阻塞，或者工作进程通知IIS存在故障，则万维网发布服务（WWW服务）能检测到已经异常终止的不良运行状况的工作进程。但只有当IIS在工作进程隔离模式下运行时才能使用该IIS6.0功能。启动应用程序池运行状态监

20、视的方法是在下图中配置的，具体参见书中介绍。,2. 工作进程回收及配置工作进程回收是Web应用程序的自动刷新过程，它是通过重新启动指派给它们的工作进程来实现的。回收可使存在问题的应用程序保持顺利运行，尤其是在无法修改应用程序代码时。但也只有当IIS在工作进程隔离模式下运行时才能使用这个功能。回收工作进程的配置是在下图中进行的。具体进程回收原理和配置方法参见书中介绍。,3. Web园及配置可使用IIS6.0工作进程隔离模式，将应用程序池配置为由多个工作进程支持。使用多个工作进程的应用程序池称为“Web园”。 Web园是被配置用来运行多个工作进程的应用程序池。Web园中的工作进程共享对特定应用

21、程序池的请求，可增强应用程序池中应用程序的性能和可靠性。有关采用Web园的优越性参见书中介绍。配置Web园的方法是在下图中进行的，具体配置方法参见书中介绍。,2.5.5 IIS 5.0隔离模式Web应用程序隔离及配置,当以IIS 5.0隔离模式运行时，通过使用AppIsolated属性设置，可为每个应用程序配置隔离。它也分为高、中和低三种隔离级别。采用低级隔离时，应用程序作为Inetinfo.exe中的DLL在进程内运行，并没有与其他运行于进程内的应用程序相互保护。默认的应用程序标识（应用程序运行的帐户）是本地系统。采用中级隔离时，所有池中的应用程序都作为DLLHost.exe的一个实例中的D

22、LL来运行且受到保护，以避免运行在低和高隔离中的应用程序的影响。然而，因为所有池中的应用程序都运行在相同进程中，它们相互之间没有受到保护。默认的应用程序标识是IWAM_ComputerName。采用高级隔离时，应用程序都作为DLLHost.exe中的DLL来运行且受到保护，以避免受到其他应用程序的影响。同样，运行在同一台计算机上的所有其他应用程序也受到保护，以避免受到运行在高隔离中应用程序的影响。默认的应用程序标识是IWAM_ComputerName。,1. 隔离应用程序的配置隔离应用程序是指配置应用程序以使其在与其他Web服务器和其他应用程序分隔的进程中运行。可以将应用程序配置为以上介绍的

23、三种应用程序保护级别中的一种。它是在下图“执行权限”下拉列表中选择的。,2. 停止隔离的应用程序要停止和卸载隔离的应用程序，只需在上图中单击“删除”按钮删除隔离的应用程序即可。,2.5.6 匿名身份验证及配置,根据您的安全要求，可以选择一种Internet信息服务（IIS）验证方法对请求访问您的网站的用户进行验证。可通过IIS管理器使用网站、目录或文件级别的属性页为您的Web资源设置验证方法。书中表2-5概述了网站验证方法，参照即可。匿名身份验证使用户无需输入用户名或密码便可以访问Web或FTP站点的公共区域。当用户试图连接到公共网站或FTP站点时，Web服务器将连接分配给Windows用

24、户帐户IUSR_computername。默认情况下，IUSR_computername帐户包含在Windows用户组Guests中。该组具有安全限制，由NTFS权限强制使用，它指出了访问级别和可用于公共用户的内容类型。有关IIS使用IUSR_computername帐户进行匿名身份验证的原理参见书中介绍即可。,匿名身份验证的配置方法是在下面左图所示对话框中单击“身份验证和访问控制”栏中的“编辑”按钮，打开下面的右图所示对话框。在其中选择 “启用匿名访问”复选项，在下面的匿名帐户中采用系统默认配置即可。当然也可以选择其他帐户作为匿名访问帐户。具体的配置方法在书中已有详细介绍，参见即可。,2

25、.5.7 基本身份验证及配置,基本身份验证方式会提示用户输入用户名和密码，然后通过网络“非加密”发送这些信息。基本身份验证方法是广泛使用的工业标准方法，用于收集用户名和密码等信息。有关“基本身份验证”的验证原理参见书中介绍。基本身份验证的优点在于它是HTTP规范的一部分，并且大多数浏览器均支持该验证，缺点是Web浏览器使用基本身份验证是以未加密的形式传输密码的，存在一定的安全隐患。因此，不建议使用基本身份验证，除非确信用户和Web服务器之间的连接是安全的，如专线或安全套接字层（SSL）连接。基本身份验证的配置方法也是在上页右图中进行的，选择“基本身份验证”复选项，在“默认域”文本框中键入要

26、使用的域名，或者单击“选择”以浏览新的默认登录域。,2.5.8 摘要式身份验证及配置,摘要式身份验证与“基本身份验证”非常类似，所不同的是将密码作为加密后的“哈希”值发送。摘要式身份验证依赖于HTTP 1.1协议，且仅用于Windows域控制器的域。摘要式身份验证在通过网络发送用户凭据方面提高了安全性。摘要式身份验证将凭据作为MD5哈希，或消息摘要在网络上传送（无法从哈希中解密原始的用户名和密码）。但摘要式身份验证的使用必须具备一定的条件，连同摘要式身份验证原理均可参见书中介绍。摘要式身份验证的配置方法是在2.5.6节中的右图选择“Windows域服务器的摘要式身份验证”复选项，然后在“领

27、域”文本框中键入领域的名称，或者单击“选择”以浏览域。如果没有配置领域名称，则IIS发送其自己的计算机名称作为领域名称。如果IIS发送其自己的名称作为领域名称，并且IIS不是在具有Active Directory的Windows Server 2003家族域控制器上运行，摘要式身份验证将失败。具体配置方法也请参见书中介绍。,2.5.9 高级摘要式身份验证及配置,要使用高级摘要式身份验证，则域必须拥有运行Windows Server 2003家族成员的域控制器。域控制器和运行IIS的服务器必须均运行Windows Server 2003家族的成员或更高版本。如果域控制器或IIS服务器运行Wind

28、ows 2000或更低版本，则IIS默认使用摘要式身份验证，并且不会警告您此操作。其他条件和高级摘要式身份验证原理均请参见书中介绍。高级摘要式身份验证方法的配置与摘要式身份验证方法的配置基本一样，也是在2.5.6节中的右图所示对话框“用户访问需经过身份验证”栏中选择“Windows域服务器的摘要式身份验证”复选项，在“领域”文本框中键入领域的名称，或者单击“选择”以浏览域。对于高级摘要式身份验证，无需配置“默认域”。具体配置方法也请参见书中内容。,2.5.10 集成Windows身份验证及配置,集成Windows身份验证（以前称为NTLM或Windows NT质询/响应验证）是一种安全的验

29、证形式，因为在通过网络发送用户名和密码之前，先将它们进行哈希计算。当启用集成Windows身份验证时，用户的浏览器通过与Web服务器进行密码交换（包括哈希方式）来证明密码。集成Windows身份验证是Windows Server 2003家族成员中使用的默认验证方法。如果在Windows 2000或更高版本域控制器上安装了Active Directory服务，并且用户的浏览器支持Kerberosv 5验证协议，则使用Kerberosv 5验证，否则使用NTLM验证。集成Windows身份验证的客户端验证原理参见书中介绍。配置方法是在2.5.6节所给出的右图对话框“用户访问需经过身份验证”栏

30、中选择“集成Windows身份验证”复选项即可。,2.5.11 证书身份验证,证书包含通过网络确定身份（即称为身份验证的过程）所使用的信息。与验证的常见形式一样，证书使Web服务器和用户在建立连接前能够互相进行身份验证。证书也包含加密值，或“密钥”，它们用于在客户和服务器之间建立安全套接字层（SSL）连接。通过此连接发送的信息（例如信用卡号码）将被加密，这样未经授权的一方就不能截取和使用它。在SSL中使用的证书有两种类型，每种类型的证书具有自己的格式和用途：服务器证书和客户端证书。“服务器证书”包含关于服务器的信息，该信息允许客户在共享敏感信息之前对服务器进行确认性识别。“客户端证书”包含关

31、于请求访问站点的客户的个人信息，在允许客户访问站点之前，可以使用此证书对客户进行有效的标识。,要激活Web服务器的SSL安全功能，必须获得并安装有效的服务器证书。服务器证书即为数字标识，其中包含关于Web服务器以及赞助服务器Web内容的机构的信息。用户可使用服务器证书来验证您的服务器，检查Web内容的有效性，以及建立安全连接。服务器证书还包含“公钥”，它用于创建客户端和服务器之间的安全连接。客户端证书是包含客户信息的电子文档。这些证书和服务器证书一样，不仅包含该信息，而且还包含构成IIS的SSL安全功能一部分的加密密钥。典型的客户端证书包含下面几项信息：用户的标识、证书颁发机构的标识、用于

32、建立安全通讯的“公钥”以及确认信息（如截止日期和序列号等）。可以对两种类型的验证使用Web服务器的安全套接字层（SSL）安全功能，即可以使用“服务器证书”，允许用户在传送个人信息（如信用卡号码）之前进行网站验证。同样，也可以使用“客户端证书”对请求网站信息的用户进行验证。具体内容参见书中介绍。,2.5.12 .NET Passport身份验证,.NET Passport是一个用户身份验证服务，并且是.NET Framework的一个组件。它是一种用户身份验证服务，站点用户可使用该服务创建单次登录名和密码，从而方便地访问所有启用.NET Passport的网站和服务。 .NET Passp

33、ort使用标准Web技术来提供单次登录服务，如安全套接字层（SSL）、HTTP重定向、Cookie、Microsoft JScript以及强对称密钥加密。启用.NET Passport的站点依靠.NET Passport中央服务器来验证用户，而不是主持和维护它们自己的专用身份验证系统。但是，.NET Passport中央服务器并不授权或拒绝特定用户访问单个启用.NET Passport的站点,而是由网站来控制用户的权限。配置.NET Passport身份验证的方法是在2.5.6节给出的右图所示对话框中选择“.NET Passport身份验证”复选项即可。有关.NET Passport身份验证

34、的详细介绍参见书中相关内容。,2.5.14 UNC身份验证,通用命名约定（UNC）验证也称为“UNC Passthrough验证”，它确定获得远程计算机上UNC共享访问使用的凭据。从IIS 6.0开始，UNC验证使用以下方法查看请求用户和配置数据库UNCUserName和UNCPassword属性中存储的凭据，以确定传送到具有UNC共享的计算机上的凭据：如果指定了UNCUserName（非空），并且UNCPassword有效，则将配置数据库用户凭据作为访问的用户标识发送到远程共享；如果指定了UNCUserName（非空），但是UNCPassword无效，则向客户端发送“500内部服务器错误：用

35、户名或密码无效”消息；如果UNCUserName为空，则将请求用户的凭据（用于已验证请求的一组验证的凭据或用于匿名请求的IUSR_computername 凭据）作为访问的用户标识发送到远程共享。,2.5.14 访问控制,适当地控制对Web和FTP内容的访问是安全运行Web服务器的关键。使用Windows和IIS中的安全功能，您可以有效地控制用户访问您Web和FTP内容的方式。可以控制多级访问，从整个网站和FTP站点到单独的文件。每个帐户均被授予用户特权和权限。用户特权是指在计算机或网络上执行特定操作的权利。而权限是与对象（如文件或文件夹）关联的规则，用于控制哪些帐户可以获得对象的访问权限。

36、用户权利和特权是在组策略中配置的。可以通过正确地配置Windows文件系统和Web服务器安全功能来控制用户对您Web服务器的访问。当用户试图访问您的Web服务器时，服务器执行几个访问控制进程来识别用户并确定允许的访问级别。有关IIS访问控制原理参见书中介绍。,2.5.15 NTFS权限,强烈建议应用程序服务器使用NTFS文件系统。与FAT和FAT32相比，NTFS是更强大和更安全的文件系统。可以使用NTFS限制对Web服务器文件和目录的访问。也可以配置给某个用户或组授予的服务器文件和目录访问级别。除了允许使用比FAT更大的卷大小外，NTFS还具有书中表2-8所示的其他优点，参见即可。配置时

37、只需在相应网站，或网站文件夹上单击右键，在弹出菜单中选择“权限”选项，在打开的“权限”对话框中即可配置。当然也可以在资源管理中通过相应文件夹的右键属性对话框“安全”选项卡配置。具体的NTFS访问权限的配置方法参见本系列丛书的网管员必读网络管理一书。,2.5.16 TCP/IP端口筛选,筛选TCP/IP端口允许您控制到达服务器和网络设备的通信类型。TCP/IP端口筛选是启用或禁用计算机或网络设备上的TCP端口和UDP端口的选择性操作。与其他安全性操作结合使用，将端口筛选器应用于Intranet和Internet服务器使得那些服务器隔离基于TCP/IP的安全性攻击，包括恶意用户的内部攻击。有关T

38、CP和UDP协议端口和常见Internet服务端口请参见书中介绍。 Windows Server 2003家族包含在单个服务器上筛选端口和数据包的多个工具。还可以使用 Internet Security and Acceleration Server（可独立使用）在Internet出口点筛选网络流量。两种最简单的端口筛选工具就是利用“Windows防火墙”和本地连接中的“TCP/IP筛选”。具体配置方法也请参见书中介绍。,2.5.17 加密,使用 Web 服务器的安全套接字层（SSL）加密功能来对 Web 服务器传输和接收的信息进行加密编码，防止未经授权的个人解码所传输的原始内容。 1. 加

39、密原理加密是用数学函数打乱信息编码的处理过程，除特定的接收者之外，任何人想要得到原始信息都极其困难。该过程的核心是一个数学值（称为“密钥”），函数使用密钥将信息打乱（采用独特而复杂的方法）以达到加密的目的。 2.公钥加密原理 Web服务器安全套接字层（SSL）安全功能使用一种称为“公钥”的加密技术来保护会话密钥，以免在传输过程中被截取。公钥加密使用两个附加密钥（即“私钥”和“公钥”），其工作原理参见书中介绍。,3. 会话密钥加密强度会话密钥的“强度”与组成会话密钥文件的二进制“位”的位数成正比。这意味着位数较多的会话密钥具有更强的安全性，要强制解密也更加困难。 4. 服务器网关加密服务器

40、网关加密（SGC）使用128位加密为金融机构提供了全球金融交易解决方案。SGC不要求在客户端浏览器上运行应用程序，并且可由IIS 4.0或更高版本的标准出口版本使用。 5. 可选的加密服务提供程序使用可选的加密提供程序（CSP），可选择Microsoft或第三方加密提供程序来处理加密和证书管理。每个加密提供程序可以创建公钥和私钥以加密和解密数据。 6. 启用加密在访问限制的网站、目录或文件之前，可以要求用户建立与服务器之间的加密通道（“https:/”，而非“http:/”）。但是，使用加密通道要求用户Web浏览器和Web服务器都支持所使用的加密策略，以保证通道的安全。在启用加密之前，必须

41、安装一个有效的服务器证书。如果要求在IIS 6.0中加密，先在服务器中启用安全套接字层（SSL）。,7. 在服务器上配置SSL 可在Web服务器上配置安全套接字层（SSL）安全功能以检验内容完整性、用户标识和加密网络传输。配置的方法是下面的左图中的“SSL端口”文本框中输入安全通信的专用端口443。然后再在右图所示对话框中选择“要求安全通道（SSL）”复选项。具体配置方法参见书中介绍。,2.6 虚拟目录创建与配置,虚拟目录是为服务器硬盘上不在主目录下的一个物理目录或者其他计算机上的主目录而指定的好记的名称，或“别名”。虚拟目录不在网站服务器主目录下，但又为网站服务器提供资源，是整个网站文件的另

42、一部分。 2.6.1 虚拟目录的创建创建或删除虚拟目录有三种方法：使用IIS管理器；无论是使用虚拟目录创建向导，还是通过导入配置文件都可以。使用Windows资源管理器（这个方法需要您的硬盘格式化成NTFS文件系统）。使用iisvdir.vbs管理脚本。具体创建方法参见书中介绍。,2.6.2 虚拟目录的配置,虚拟目录的配置与网站的属性配置方法一样，都是通过单击右键，在打开的快捷菜单中选择“属性”选项，在打开的属性对话框中进行配置。主要包括“虚拟目录”、“文档”、“目录安全性”和“HTTP头”四个对话框。 2.6.3 虚拟目录的删除虚拟目录的删除与创建一样，也可有几种不同的方式使用

43、IIS管理器删除虚拟目录使用Windows资源管理器删除虚拟目录使用Iisvdir.vbs管理脚本删除虚拟目录具体删除方法参见书中介绍。,2.7 网站管理,网站的管理是网站管理员的主要职责，在IIS网站管理中，主要包括性能管、服务质量管理、内容管理、网站名称、网站的启用和停止等。 2.7.1 IIS网站管理基础（略） 2.7.2 网站性能管理制定性能调整计划的第一步是建立一个受控制的环境，以便在其中对网站进行测试，对预计负载进行性能分析，并在该受控制的环境中测试性能，然后才能将Web服务器放到Internet上。根据不同的时段中页面请求数量的不同，服务器的性能也会大有不同，要在若干不同

44、的负载下监视被测试站点，以获得服务器的真实的活动信息。要改善服务器性能，请检查系统的各个部分，以找出潜在的瓶颈，包括自定义应用程序、内存、CPU、网络、硬盘，以及与后端服务器和数据库的连接。如果IIS或Windows中的硬件或软件设置的配置不当，也会导致瓶颈。一份好的监视计划将检查Web服务器系统的各个部分的性能。,1. 性能和安全性在性能与用户对于Web应用程序的安全性的顾虑之间找到平衡点是您面临的最重要问题之一，特别是在运行电子商务网站的情况下。测量安全开销的最常见方法是，在使用安全功能和不使用安全功能的情况下进行测试，以便比较两种情况下的服务器性能。测试应该在使用固定工作负载和固定服务

45、器配置的情况下进行，这样，安全功能就是唯一的变量。在测试过程中，请测量以下计数器：Processor Activity and the Processor Queue、Memory、Network Traffic和Latency and Delays。 2. 网站性能设置可以通过调整IIS配置数据库属性和注册表项来调整Web服务器的性能。提高或降低设置值常常可以缓解瓶颈和改善性能，但对配置数据库或注册表的更改也可能会在服务器环境的其他部分产生瓶颈。在对服务器环境进行更改之前或之后都要对性能进行监视，以确定更改是否有益。具体设置方法参见书中介绍。,2.7.3 网站服务质量管理,服务质量（Qo

46、S）包括了服务机构实施的、用来保持特定质量水平的一组方法或过程。QoS的目的是确保特定站点或应用程序不会独占服务器资源，如内存或CPU周期。 1. 限制连接和带宽连接限制可限制网站和Web服务器上同时连接的数量。如果连接的数量达到指定的最大值，以后所有的连接尝试都会返回一个错误信息，然后连接被断开。带宽限制使用数据包计划程序来管理何时发送数据包。当您用IIS管理器来配置某个站点使用带宽限制时，会自动安装数据包计划程序，而且IIS会自动将带宽限制设置为最小1024字节/秒。 2.设置连接超时和保持HTTP连接连接超时设置可减少因空闲连接消耗的处理资源损失。保持连接是一个HTTP规范，能显著

47、增强服务器性能。设置网站WWW服务连接限制、带宽限制、连接超时和保持HTTP连接的方法参见书中介绍。,3. 使用HTTP压缩如果您的站点使用了很大的带宽，或者您希望更加有效地使用带宽，请考虑启用HTTP压缩。HTTP压缩在启用压缩的浏览器和IIS之间提供了更短的传输时间。既可以只压缩静态文件，又可以同时压缩静态文件和应用程序响应。有关HTTP压缩的工作原理和启用HTTP压缩的方法参见书中介绍。 4. 启用CPU监视 CPU监视是一个工具，它监视并自动关闭消耗大量CPU时间的工作进程。CPU监视是为单个应用程序池而启用的。管理员可以对应用程序池设置以下两种CPU监视操作：错误事件日志记录和停

48、止有问题的应用程序。启用CPU监视的方法参见书中介绍。 5. 配置应用程序池队列长度限制应用程序池队列长度限制可防止大量请求排队等候，造成服务器超载。启用应用程序池队列长度限制后，IIS在将新请求加入队列前先监视指定的应用程序池队列中的请求数量。如果超出了队列的大小限制，服务器会拒绝该请求，并向客户端发送一个503错误响应。更改应用程序池队列长度限制的步方法参见书中介绍。,2.7.4 网站的其他管理,网站的其他管理包括：网站名称管理、网站内容管理、网站访问限制、MIME类型支持和网站的启用与停止等方面。具体参见书中介绍。 2.7.5 网站的远程管理网站的远程管理工具主要包括以下三种：IIS管理器、终端服务和远程管理（HTML）工具。具体配置方法也请参见书中介绍。,

展开阅读全文