IIS网站的架设课件

IIS网站的架设

InternetInformationService

本章内容IIS6.0概述安装和配置IIS6.0网站的基本设置建立新网站实际目录与虚拟目录什么是应用程序池

网站的安全性通过WebDAV来管理网站上的资源应用程序隔离模式

IIS6.0提供了下列两个操作模式——它们的内部工作机理有根本性的不同——以提供应用程序的环境配置。

工作者进程隔离模式该模式将WorldWideWebPublishingService()的关键组件与有缺陷的应用程序造成的影响隔离开来，并通过使用彼此受隔离的工作者进程保护应用程序。在本模式中，你可以隔离单个的Web应用程序或Web站点到它们自包含的进程（内存空间）中，易于其他应用和Web站点分离。在一个干净的IIS6.0安装中，IIS默认运行在工作者进程隔离模式。

IIS5.0隔离模式本模式中应用程序进程被管理在一个与IIS5.0相似的模式下。这确保了与现有IIS应用的兼容性。在从IIS5.0或IIS4.0升级后，IIS6.0默认运行在IIS5.0隔离模式以维持与现有应用的兼容性。

注：在同一个应用服务器上，不可能将一些Web应用程序运行在工作者进程隔离模式，而将其他应用程序运行在IIS5.0隔离模式。如果你有需要运行在不同的模式下，你必须将它们运行在不同的服务器上。IIS6.0新特性

安全性的增强

IIS6.0不会在WindowsServer2003的默认安装中部署。管理员必须明确地安装IIS和相关的服务。

IIS6.0安装在安全模式。当你初始安装IIS时，服务安装在一个高度安全和“锁定”的模式。IIS的默认安装只暴露了最小的功能性，只有静态文件得到支持，所有其他功能，如ActiveServerPages(ASP)、ASP.NET、WebDAV发布和FrontPageServerExtensions等必须由管理员启用。

扩展的验证支持。除了与Windows验证集成，基本验证，digest验证和客户证书，IIS6.0现在能够使用.NETPassports验证用户。

IIS默认由低权利账号运行。工作者进程以NetworkService账号运行，它是一个新的内置账号，具有很少的权利。以低权利账号运行降低了安全的弱点，因为工作者进程具有非常少的底层系统权利。

可识别的文件扩展。IIS只接受已知文件扩展的服务请求，拒绝无法识别的文件扩展的服务请求。管理员可以配置哪个文件扩展由IIS所识别。应用程序支持应用程序池。一个应用程序池是一个连接了一个或多个Web应用到一个工作者进程的配置。通过创建新的应用程序池并给它们指定应用，你可以确保在一个应用程序池中的应用不会被另一个应用程序池中的应用所导致的问题影响。这确保了你的Web应用程序的可用性。

支持ASP.NET应用程序。ASP.NET是一个Web应用程序平台，提供建立和部署Web应用和XMLWebservices的必要组件。ASP.NET现在可以在WindowsServer2003家族的操作系统中安装和使用了。新的IIS6.0工具

IIS管理器。重新设计的MMC插件用于配置和管理IIS6.0。

远程管理（HTML）工具。允许管理员使用Web浏览器跨越Intranet或Internet远程管理Web服务器。

命令行管理脚本。IIS6.0在Windows\System32目录中包含了支持脚本，可用于管理IIS6.0Web服务器。通过使用这些脚本，你可以执行大多数的常用任务而无需使用用户界面。IIS概述IIS可提供:WorldWideWeb(WWW)ServiceProtocol(FTP)ServiceNetworkNewsTransferProtocol(NNTP)ServiceSimpleMailTransferProtocol(SMTP)Service

~~~~~~~~~

~~~~~~~~~

~~~~~~~~~IntranetInternetIIS服务服务主要组件宿主于WWW服务iisw3adm.dllsvchost.exeFTP服务inetinfo.exeSMTP服务smtpsvc.dllinetinfo.exeNNTP服务nntpsvc.dllinetinfo.exeIIS管理服务iisadmin.dllinetinfo.exe可以安装和配置附加服务

IIS核心组件HTTP.sys：是将HTTP请求传送到用户模式应用程序的内核模式设备驱动程序。

WWW服务管理和监视：配置“万维网发布服务”（WWW服务）并管理工作进程。

工作进程：处理提交到分配给它们的Web应用程序的请求。工作进程在物理上被实现为名为W3wp.exe的可执行文件，并由“WWW服务管理和监视”进行控制。Inetinfo.exe：管理IIS配置数据库和提供非Web服务IIS6.0核心组件由内核模式进程和用户模式进程组成。包含以下各个核心组件：IIS安装需求配置静态IP地址00通过域名访问WEB服务器安装TCP/IP配置NTFS(出于安全考虑)NTFS使用添加删除程序安装IIS6.0

用配置服务器向导安装IIS6.0

测试IIS的安装检查IIS管理器连接测试

DNS测试IP地址测试计算机名测试网站的基本设置配置Web站点标识

主机头、多IP地址、多端口配置站点的主目录

本地计算机目录远程计算机共享重定向URL指定默认文档文档页脚确定验证方式选择验证方式配置验证配置Web站点标识DefaultWebSitePropertiesDirectorySecurityHTTPHeadersCustomErrorsWebSiteOperatorsPerformanceISAPIFiltersHomeDirectoryDocumentsServerExtensionsWebSiteIdentificationConnectionsEnableLoggingActivelogformat:W3CExtendedLogProperties...OKCancelApplyHelpUnlimitedLimitedTo:1000connections900secondsConnectionTimeout:HTTPKeep-AlivesEnabledAdvanced...Description:IPAddress:TCPPort:80(AllUnassigned)DefaultWebSiteSSLPort:WEB站点的名字WEB站点的IP运行WEB服务的TCP端口配置主目录DefaultWebSitePropertiesWebSiteOperatorsPerformanceISAPIFiltersHomeDirectoryDocumentsDirectorySecurityHTTPHeadersCustomErrorsWhenconnectingtothisresource,thecontentshouldcomefrom:AdirectorylocatedonthiscomputerAsharelocatedonanothercomputerAredirectiontoaURLScriptsourceaccessReadWriteDirectorybrowsingLocalPath:Browse...LogvisitsIndexthisresourceC:\inetpub\Applicationname:ApplicationSettingsStartingpoint:ExecutePermissions:ApplicationProtection:DefaultApplication<DefaultWebSite>NoneRemoveConfiguration...UnloadOKCancelApplyHelpMedium(Pooled)ServerExtensions计算机上的主目录共享文件夹确定验证方式匿名访问基本验证分类验证集成Windows验证选择验证方式AnonymousBasic

不提供身份验证功能--IUSR_computername

帐户将添加到计算机上的Guests组。提供需要用户和密码(明文传输)的基本验证Authentication

MethodDigest比基本身份验证更安全，用户帐号和密码都将经过MD5算法处理再传送至WEB服务器UseWhenIntegratedWindows要求用户提供帐号和密码进行验证，并且也是经过散列处理，可确保其安全性。配置验证AnonymousaccessNousername/passwordrequiredtoaccessthisresource.Accountusedforanonymousaccess:AuthenticatedaccessDigestauthenticationforWindowsdomainserversForthefollowingauthenticationmethods,usernameand

passwordarerequiredwhen:-anonymousaccessisdisabled,or-accessisrestrictedusingNTFSaccesscontrollistsSelectadefaultdomainIntegratedWindowsauthenticationBasicauthentication(passwordissentincleartext)OKCancelHelpEdit…AuthenticationMethodsEdit…IntegratedWindowsAuthenticationAnonymousAccessBasicAuthenticationDigestAuthentication修改默认主页DefaultWebSitePropertiesEnableDefaultDocumentDefault.htmAdd...RemoveDefault.aspiisstart.aspBrowse...EnableDocumentFolderWebSiteOperatorsPerformanceISAPIFiltersHomeDirectoryDocumentsDirectorySecurityHTTPHeadersCustomErrorsServerExtensionsWelcometoMicrosoft’sHomeMicrosoftInternetExplorerFileEditViewFavoritesToolsHelpBackForwardStopRefreshHomeSearchFavoritesHistoryMailPrintEditmicrosoft.comHomeHomeEvents&TrainingSubscribeAboutMicrosoftU.S.&InternationalAboutOurSiteSeepagecustomizedfor:AllProductFamiliesBusinessCustomersDevelopersEducationHomeUserIPProfessionalsPartners&ResellersAreYouReadytoTakeontheChessMaster?FindOutWhat’sHappeningatPCExpoinNewYorkRickRashid:TheSteadyHandBehindMicrosoftResearchEntertoWinaGatewayPCLoadedwithOffice2000DownloadOutlookUpdatesfortheE-mailAttachmentsVirusDEMO创建并发布一个Web站点通过主机头、多IP、多端口的方式创建并发布多个WEB站点实现实际目录和虚拟目录实现隔离的FTP站点什么是应用程序池

你可以分离不同的Web应用和Web站点到不同的池，称为应用程序池。一个应用程序池是一个URLs的组合，链接到一个或多个共享相同配置的工作者进程。在应用程序池中的每个应用共享相同的工作者进程。因为每个工作者进程操作在一个分离的工作者进程执行体实例W3wp.exe中，服务于一个应用程序池的工作者进程与其他工作者进程彼此隔离。这确保了在一个Web应用失败时，不会影响运行在另一个应用程序池中的应用。默认情况下，应用程序被指派给默认的应用程序池，称为DefaultAppPool。应用程序池：只有当IIS6.0运行在工作者进程隔离模式时才可用；允许你设置特定的配置设置应用于一组应用程序；运行在NetworkService账号下，默认该账号具有非常低级别的用户访问权利。运行应用程序池在一个增加了用户权利的账号下将导致较高的安全风险。为实现应用程序池，你可以：1创建一个新的应用程序池；2指派应用程序到该应用程序池。推荐应用地址池设置隔离Web站点上的Web应用与相同计算机上的其他站点上的Web应用。为达到该目标，为每一个Web站点创建一个单独的应用程序池。如果你想配置一个应用以运行在它们自己的属性集中，为该应用创建一个分离的应用程序池。为增强安全性，为每个应用程序池配置一个唯一的用户账号，配置该账号具有最小的用户权利。一个应用程序池的标识是该应用程序池的工作进程运行的用户账号名。默认情况下，应用程序池操作在NetworkService账号下，该账号具有低级别的用户访问权利。运行应用程序池在一个增加了用户权利的账号下将导致较高的安全风险。分离运行在相同服务器上的测试和生产应用程序，将它们置于不同的应用程序池中。为节省内存，最小化应用程序池的数量。网站安全性启动与停用动态属性验证用户身份通过IP地址来限制连接结合NTFS安全性设置分配权限IIS安全实战最小服务=最大安全删除inetpub目录，删除iis不必要的映射每一个web站点使用单独的IIS用户,并给予是低权限，如guest权限针对特定的WEB站不采用默认匿名访问，而是指定特定的用户访问，并对于WEB站点实施NTFS权限设置，给一般用户仅读取的权限应用程序配置里，设置调试为向客户端发送自定义的文本信息，这样能对于有ASP注入漏洞的站点，可以不反馈程序报错的信息，能够避免一定程度的攻击。

在自定义HTTP错误选项里，有必要定义譬如404,500等错误，不过有时候为了调试程序，好知道程序出错在什么地方，建议只设置404就可以了IIS安全实战一般建议10个左右的站点共用一个应用程序池，应用程序池对于一般站点可以采用默认设置定期对系统资源进行清理--工作进程的回收当新建立一个WEB站点时，采用默认向导，在设置中注意以下几点：

1.在应用程序设置里：执行权限为默认的纯脚本或是无，应用程