IIS配置及安全访问控制策略详解

1、iis配置及安全访问控制策略详解iis(internet信息服务)是在企业网或者校园网内部提供信息服务的莹要工具，r 前基于iis的应用相当广泛，但人多数都在windows操作系统下局域网内部或同一子网 内来实现iis服务，而在不同操作系统之间，在广域网或者不同子网间的应用较少，而且介绍 这方面应用的文章也很少，本文旨在介绍不同的操作系统|hj(red hat linux 9和windows 2000 server),不同的了网间通过iis所提供的服务访问来实现资源共享和访问。图1拓扑结构锐捷r2624路由器(route一台、锐捷r2624路由器(router 1)一台、锐捷s1926 g+交

2、换机一台及pc机3台，服务器1台。1.在router 2上配置各端口的ip地址及路由rip协议后，配置信息如下：router2#show ip int briefinterfacestatusfastetherneto upfastethernet 1 down downfastethernet2 down downfastethernet3 down downserialoyes nvramupserial 1down1726.lunassignedunassignedunassignedupip-addressok? methodprotocolyes nvram upyes unsety

3、es unsetyes unset unassigneddownadministrativelyadministrativelyadministrativelyyes unsetrouter2#show ip routecodes: c - connected, s - static, r ripo - ospf, ia - ospf inter areael - ospf external type 1, e2 - ospf external type 2gateway of last resort is not set/24 is subnetted, 1

4、subnetsc is directly connected, serialor192.168.0/24 120/1 via ,00:00:1 & serialor/24 120/1 via ,00:00:18, serialo/24 is subnetted, 1 subnetsc is directly connected, fastetherneto2 router 1 ip riprouter l#show ip int briefinterfaceip-address

5、ok? methodstatusfastethernetoupfastethernetlupfastethernet2 downdownfastethernet3 downdownserialoprotocol192.16 &1.1 unassigned unassignedyes nvramupyes nvramupyes unsetadministrativelyyes unsetadministrativelyyes nvramupserial 1 downupdownunassignedyes unsetrouter l#show ip r

6、outecodes: c connected, s static, r - ripo - ospf, ia ospf inter areael - ospf external type 1, e2 - ospf external type 2gateway of last resort is not set/24 is subnetted, 1 subnetsc is directly connected, serialoc/24 is directly connected, fastethernetoc/24 is

7、directly connected, fastethernetlr/16 120/5 via , 00:00:16, serialo3s1926g+ip address:54subnet mask:default gateway:172.164 iis server pc 1此时，各客户端pc机与ilsserver间能相互ping通，企业网络服务实验 模型建立完毕。iis1. iis的安装步骤开始设置一一控制面板添加/删除程序windows组件，打开“windows组件向导二如图2图2(2) 选中图2中的int

8、ernet信息服务(iis),查看详细信息，将文件传输协议(ftp) 服务器项的复选框选中，如图3图3(3) 单击确定,接下来,插入windows 2000 server安装光盘，iis安装完毕。(4) 通过开始一一程序管理工具internet信息服务，打开控制台，启动 iis服务，如图4图42iis(1)配置web站点：步骤。1选屮图4中的默认web站点，在右键菜单屮选屮属性，打开默认web站 点属性对话框。配置ip地址为当前ilsserver的主机地址,如图5步骤。2选择“主目录"选项卡，配置提供web服务的目录，实验时，可使用其默 认选项，即c:inetpu

9、bwwwroot,如图6图6步骤。3打开“目录安全性"选项卡，对访问帐户进行设置，如图7图7步骤。4打开图7中匿名访问和验证控制下的编辑，将“匿名访问”前的复选框选 屮，在没有特殊要求时，一般使用匿名访问，该项如不选屮，今后在访问web服务时将 需要通过身份验证后才可访问。如图8图8步骤。5打开“文档"选项卡，配置web站点的默认主页文件，实例屮通过添加文 件 index.htm文档作为web站点的启动文档，如图9,至此，web服务配置完毕。图9(2) ftp:步骤。1选中图4中的默认ftp站点，在右键菜单中选屮属性，打开默认ftp站 点属性对话框。配置ip地址为当前ils

10、server的主机地址,如图10图10步骤。2打开“安全帐号”选项卡，在没有特殊要求时将“允许匿名连接”前的复选框 选中，如图11图11步骤。3打开“消息"选项卡，输入ftp站点的登陆信息，此消息将在访问者登陆后 可见，一般为欢迎信息或者为本ftp站点的功能及材料的简介。如图12图2步骤。4打开“主目录"选项卡，设置ftp站点使用的主目录，在实例中使用默认 路径即c:inetpubftproot,如果此ftp站点还需要给访问者提供上传服务，则应在“写入，'复 选框前选屮，否则使用默认设置。如图13图13步骤。5打开“目录安全性"选项卡，

11、为使得当前ftp站点为所有的客户端提供ftp 服务，在本实例屮使用默认配置，如图14,至此，ftp站点配置完毕。图14iis server iis (web ftp )1. 在客户机pci和pc2进行测试，pc1和pc2上均使用windows 2000操作系统。pc1和pc2的配置如表1：步骤验证pc1和pc2的属性配置，可通过开始>运行>cmd,打开命 令提示符ms-dos,在msdos 下输入ipconfig。pci：connection-specific dns suffix ：ip address:subnet mask: d

12、efault gateway: pc2：connection-specific dns suffix .:ip address: subnet mask: default gateway: 192.16&2.1步骤。2在pc1和pc2屮打开internet explorer浏览器，输入web站点的ip地址http:/172.16.l2,测试通过，访问成功后如图15图15步骤。3在pc1和pc2屮打开internet explorer浏览器，输入ftp站点的 ip地址ftp:/172.16.l2,注意在访问web站点和

13、访问ftp站点时，访问方式的不同（即 http 和 ftp方式的不同）。测试通过，访问成功后如图16图162 pc4 pc4 red hat linux 9pc4的配置如表1：步骤。1验证pc4的属性配置，可通过开始系统工具终端，打开 root localhost窗口，输入ifconfig etho:rootlocalhost root# ifconfig ethoetho link encap:ethernet hwaddr 00:0d:61:aa:fb: a5inetaddr: 1726.1.3 beast: 1726.1.255 mask:up broadcas

14、t running multicast mtu订500 metric: 1rx packets: 16139 errors:0 dropped:0 overruns:0 frame:0tx packets: 1909 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen: 100rx bytes: 1201296（1mb） tx bytes: 1179219 （1mb） interrupt: 16 base address:0xb000步骤o2打开red hat linux 9的mozilla浏览器，输入http:/17

15、2.16j .2,访问正常。步骤。3使用red hat linux 9的gftp来进行访问ftp服务，访问正常,如图17图17步骤。4使用red hat linux 9屮的终端來对ftp服务器进行测试，访问正常，如 图18图18iis为了使当前iis server提供的iis服务更加安全可靠，应当进行高级服 务配置，从某种意义上，iis服务器代表着本企业或者校园网的形象，甚至作为网络办公的平台, 其中往往涉及一些非常重要的数据资料，事实上，黑客们攻击的对象也大都是web站点和ftp站点，因此iis server服务器的安全越来越显得重要，所以iis服务器需要配置包括对 web站点的访问帐号验证

16、及访问的ip地址授权以及对ftp站点的访问帐号验证，上传文件权 限配置以及对ftp站点提供的ip地址授权等等。此外，还可以在路由器router2中做ip地址的访问控制acl,通过acl 访问控制列表来拒绝或者接受来自各客户机的访问。1 iis server步骤。1为了在提供web服务时进行身份验证，实例中，在iis server上建立一个 用以提供web访问的帐号webuser,并设置相应的密码为123456,如图19图19步骤。2为了在提供ftp服务时进行身份验证，实例屮，在iis server上建立一个 用以提供ftp访问的帐号ftpuser,并设置相应的密码为123456,如图20图20

17、步骤。3添加iis server的本地组webgroup,并将webuser添加至该组中,如图21图21步骤。4添加iis server的本地组ftpgroup,并将ftpuser添加至该组屮，如图22图22步骤。5打开在iis server中为web提供服务的主目录wwwroot的属性对话框，在 安全选项卡中添加webuser用户,并为其设置相应的访问权限,如图23图23步骤。6打开iis信息服务控制台，在默认的web站点属性对话框中的目录安全性 选项卡，将匿名访问前的复选框去掉，对web访问用户进行身份验证设置，如图24图24步骤。7打开iis信息服务控制台，在默认的ftp站点属性对话框屮

18、的安全帐号选 项卡，将允许匿名连接前的复选框去掉，并通过添加将ftpuser帐号加入其中，对ftp访问 用户进行身份验证设置，如图25图25iis1.在pc1和pc2上做web站点的访问测试步骤。1在pc1和pc2中打开internet explorer浏览器，输入web站点的 ip地址http:/172.16.l2,访问后如图26图26步骤。2此时如不输入正确的webuser帐号及密码或者使用取消，访问将被拒绝。 如图27图27步骤。3访问时提供正确的webuser帐号及密码后,如图28图28步骤。4止确的帐号webuser验证通过以后，web站点访问成功，如图29图292 pci pc2

19、ftp步骤。1在pc1和pc2屮打开internet explorer浏览器，输入ftp站点的 ip地址ftp:/172.16.2,访问后如图30步骤。2此时如果不能提供正确的ftpuser帐户和密码，访问被拒绝，如果提供的 帐号和密码正确，则如图31 图32图31图32(3) 在pc4(red hat linux 9)±做web站点及ftp站点测试，同样也需耍提供正 确的帐号和密码,在访问web站点时提供webuser帐号,在访问ftp站点时提供ftpuser*帐号。(4) 比如使用red hat linux 9的终端登陆ftp站点，正常访问如图33, 如果ftp站点配置了写入权限

20、，述可以在pc4上上传文件至ftp站点，如图33屮所示图33(5) 如果不能捉供正确的ftpuser帐号和密码，访问将被拒绝。如图34图34iis server1. 在iis server上做web服务的ip地址及域名限制，打开默认web站点属性对 话框，并在目录安全性选项卡中通过编辑ip地址及域名限制，配置如图35图352. 在iis server上做ftp服务的ip地址及域名限制，打开默认ftp站点属性对 话框，并在1=1录安全性选项卡屮通过编辑ip地址及域名限制，配置如图36图363. 此时,在pc4(ipaddress: )和pc2(ipaddress: 192.1

21、68.1.2)±访问可通 过，能正常使用ilsserver所提供的web站点或者ftp站点服务，而在pc l(ipaddress: )± 访 问被拒绝,如图37,图38图37图38web由于某些时候在iis server服务器上操作不是很方便，我们还需要对iis 服务器进行远程管理，这样，只要能够通过局域网或者在企业网内部，事实上在internet上 也可以与iis server服务器相连，就可以使用ie浏览器来实现对web站点的远程管理。步骤1.在控制台中选择管理web站点，打开管理web站点属性对话框，此时 应注意端口的配置，在实例屮选择默认的39

22、14端口。如图39图39步骤2：打开操作员选项卡，将webuser帐号添加进來，今后通过webuser帐号 可对iis进行远程管理。如图40图40步骤3：出于iis管理的安全性，不允许任何机器登陆iis服务器进行配置，我们 将ip地址及域名限制到管理员经常使用的pc2机上。如图41图41步骤4：此时在pc1和pc4的浏览器中输入http::3914,访问被拒绝，jflj 在pc2上输入管理web站点的地址:3914,访问正常，可对iis做远程的 web站点管理,如图42八、在路由上做访问控制为了在iis server上提供更加安全可靠的服务，如当前iis server服务 器向pc2和pc4提供iis服务，而拒绝给pc1提供服务，这时候可以在路由器上做acl访问控制 表。实例中我们以