网络管理员(IIS).ppt-得力文库

资源描述

《网络管理员(IIS).ppt》由会员分享，可在线阅读，更多相关《网络管理员(IIS).ppt（28页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、计算机科学与技术系Department of Computer Science&TechnologyCopyright 2006 吴锐网络管理员培训网络管理员培训IIS服务器配置服务器配置计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006常用的Web服务器软件PWS-适用于Windows95/98/meIIS-适用于Windows2000/2003/xp/Vista等其它其它-Apache等计算机科学系吴锐Department of Computer Science&Technology Copyri

2、ght 吴锐 2006IIS简介IIS是是Internet Information Server的简称。的简称。IIS作为当今流行的作为当今流行的Web服务器之一，提供了强大的服务器之一，提供了强大的Internet和和Intranet服务功能，如何加强服务功能，如何加强IIS的安全机制，建的安全机制，建立一个高安全性能的立一个高安全性能的Web服务器，已成为服务器，已成为IIS设置中不可忽设置中不可忽视的重要组成部分。视的重要组成部分。IIS通过超文本传输协议（通过超文本传输协议（HTTP）传输信息，还可配置）传输信息，还可配置IIS以提供文件传输协议（以提供文件传输协议（FTP）和其他服务

3、，如）和其他服务，如SMTP服务等。服务等。-用于网页浏览、文件传输、邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006IIS版本版本IIS版本对应的版本对应的windows版本信息版本信息-2000 iis版本是5.0 -xp 版本是5.1-2003版本是6.0-2008版本是7.0 计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006IIS的添

4、加IIS添加添加请进入请进入“控制面板控制面板”依次选依次选“添加添加/删除程序删除程序添加添加/删除删除Windows组件组件”将将“Internet信息服务（信息服务（IIS）”前的小钩去掉（如有），重新勾选中后前的小钩去掉（如有），重新勾选中后按提示操作即可完成按提示操作即可完成IIS组件的添加。组件的添加。用这种方法添加的用这种方法添加的IIS组件中将包括组件中将包括Web、FTP、NNTP和和SMTP等全部等全部四项服务。四项服务。计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006IIS添加计算机

5、科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006IIS的运行的运行当当IIS添加成功之后添加成功之后再进入再进入“开始开始程序程序管理工具管理工具Internet服务管理器服务管理器”以打开以打开IIS管理管理器器对于有对于有“已停止已停止”字样的服务字样的服务在其上单击右键，选在其上单击右键，选“启动启动”来开启。来开启。计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006IIS运行运行计算机科学系吴锐Department

6、of Computer Science&Technology Copyright 吴锐 2006IIS之之Web服务器服务器（建立第一个（建立第一个Web站点）站点）Web站点站点网页放在网页放在D:Wy目录下目录下网站的首页文件名为网站的首页文件名为Index.htm现在想根据这些建立好自己的现在想根据这些建立好自己的Web服务器。服务器。对于此对于此Web站点，我们可以用现有的站点，我们可以用现有的“默认默认Web站点站点”来做相应的修改来做相应的修改后，就可以轻松实现。请先在后，就可以轻松实现。请先在“默认默认Web站点站点”上单击右键，选上单击右键，选“属性属性”，以进入名为，以进入名

7、为“默认默认Web站点属性站点属性”设置界面。设置界面。计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006第一个第一个Web站点站点修改绑定的修改绑定的IP地址地址转到转到“Web站点站点”窗口窗口再在再在“IP地址地址”后的下拉菜单中选择或输入所需用到的本机后的下拉菜单中选择或输入所需用到的本机IP地址地址“192.168.0.1”修改主目录修改主目录转到转到“主目录主目录”窗口窗口再在再在“本地路径本地路径”输入（或用输入（或用“浏览浏览”按钮选择）好自己网页所在的按钮选择）好自己网页所在的“D:Wy”目

8、录目录添加首页文件名添加首页文件名转到转到“文档文档”窗口窗口再按再按“添加添加”按钮，根据提示在按钮，根据提示在“默认文档名默认文档名”后输入自己网页的首页后输入自己网页的首页文件名文件名“Index.htm”。计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006第一个第一个Web站点站点添加虚拟目录添加虚拟目录比如你的主目录在比如你的主目录在“D:Wy”下，而你想输入下，而你想输入“192.168.0.1/test”的的格式就可调出格式就可调出“E:All”中的网页文件，这里面的中的网页文件，这里面的“te

9、st”就是虚拟目就是虚拟目录。录。在在“默认默认Web站点站点”上单击右键，选上单击右键，选“新建新建虚拟目录虚拟目录”，依次在，依次在“别别名名”处输入处输入“test”，在，在“目录目录”处输入处输入“E:All”后再按提示操作后再按提示操作即可添加成功。即可添加成功。效果的测试效果的测试打开打开IE浏览器，在地址栏输入浏览器，在地址栏输入“192.168.0.1”之后再按回车键，此时之后再按回车键，此时就能够调出你自己网页的首页，则说明设置成功！就能够调出你自己网页的首页，则说明设置成功！计算机科学系吴锐Department of Computer Science&Technology

10、 Copyright 吴锐 2006多个地址对应多个多个地址对应多个Web站点站点多个多个IP对应多个对应多个Web站点站点如果本机已绑定了多个如果本机已绑定了多个IP地址，想利用不同的地址，想利用不同的IP地址得出不同的地址得出不同的Web页面页面只需在只需在“默认默认Web站点站点”处单击右键，选处单击右键，选“新建新建站点站点”，然后根据提示，然后根据提示在在“说明说明”处输入任意用于说明它的内容（比如为处输入任意用于说明它的内容（比如为“我的第二个我的第二个Web站点站点”）、在）、在“输入输入Web站点使用的站点使用的IP地址地址”的下拉菜单处选中需给它绑定的的下拉菜单处选中需给它绑

11、定的IP地址即可；地址即可；当建立好此当建立好此Web站点之后，再按上步的方法进行相应设置。站点之后，再按上步的方法进行相应设置。计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006一个一个IP地址对应多个地址对应多个Web站点站点建立好所有的建立好所有的Web站点后站点后对于做虚拟主机，可以通过给各对于做虚拟主机，可以通过给各Web站点设不同的端口号来实现，比站点设不同的端口号来实现，比如给一个如给一个Web站点设为站点设为80，一个设为，一个设为 81，一个设为，一个设为82则对于端口号是则对于端口号是80

12、的的Web站点，访问格式仍然直接是站点，访问格式仍然直接是IP地址就可以了地址就可以了而对于绑定其他端口号的而对于绑定其他端口号的Web站点，访问时必须在站点，访问时必须在IP地址后面加上相地址后面加上相应的端口号，也即使用如应的端口号，也即使用如“http:/192.168.0.1:81”的格式。的格式。计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006对对IIS服务的远程管理服务的远程管理1在在“Web站点站点”上单击右键，选上单击右键，选“属性属性”，再进入，再进入“Web站点站点”窗口，窗口，选择好选

13、择好“IP地址地址”。2转到转到“目录安全性目录安全性”窗口，单击窗口，单击“IP地址及域名限制地址及域名限制”下的下的“编辑编辑”按钮，点选中按钮，点选中“授权访问授权访问”以能接受客户端从本机之外的地方对以能接受客户端从本机之外的地方对IIS进进行管理；最后单击行管理；最后单击“确定确定”按钮。按钮。3则在任意计算机的浏览器中输入如则在任意计算机的浏览器中输入如“http:/192.168.0.1:3598”（3598为其端口号）的格式后，将会出现为其端口号）的格式后，将会出现一个密码询问窗口，输入管理员帐号名（一个密码询问窗口，输入管理员帐号名（Administrator）和相应密码之）

14、和相应密码之后就可登录成功，现在就可以在浏览器中对后就可登录成功，现在就可以在浏览器中对IIS进行远程管理了！在这里进行远程管理了！在这里可以管理的范围主要包括对可以管理的范围主要包括对Web站点和站点和 FTP站点进行的新建、修改、启站点进行的新建、修改、启动、停止和删除等操作。动、停止和删除等操作。计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006常见问题常见问题我设置好了一个我设置好了一个Web服务器，但是当我访问网页时，却出现密码提服务器，但是当我访问网页时，却出现密码提示窗口。这是为什么？示窗口。

15、这是为什么？A：访问：访问Web站点时，出现密码提示窗口，一般来说有以下原因，请逐站点时，出现密码提示窗口，一般来说有以下原因，请逐个去进行检查：个去进行检查：1所访问的网页文件本身加了密。比如所访问的网页文件本身加了密。比如“默认默认Web站点站点”原主目录原主目录“E:Inetpubwwwroot”下的首页文件下的首页文件“iisstart.asp”访问时就需访问时就需要密码。要密码。2没有设置允许匿名访问或作了不应该的改动没有设置允许匿名访问或作了不应该的改动.如图如图4所示所示,首先应确首先应确保已勾选中了保已勾选中了“匿名访问匿名访问”这一项；并且其下这一项；并且其下“编辑编辑”中中

16、“匿名用户匿名用户帐号帐号”中中“用户名用户名”一项应为一项应为“IUSR_NODISK”（其中（其中“NODISK”为计为计算机名）的格式；另外，还需要已勾选中算机名）的格式；另外，还需要已勾选中“允许允许IIS控制密码控制密码”一项。一项。3、你的目标目录被限制了访问权限。此项仅当该目录位于、你的目标目录被限制了访问权限。此项仅当该目录位于NTFS格式格式分区中时才可能出现。请在其上单击右键，选分区中时才可能出现。请在其上单击右键，选“属性属性”，再进入，再进入“安安全全”窗口，看列表中是不是默认的允许窗口，看列表中是不是默认的允许“Everyone”组完全控制的状组完全控制的状态，如不是

17、，请改回。态，如不是，请改回。计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006 计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006 计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006常见问题常见问题在所涉及到的网址中，有的加了在所涉及到的网址中，有的加了“http:/”，有的没加，这意味着什，有的没加，这意味着什么呢？么呢？A：没有加：没

18、有加“http:/”部分的网址，说明其可加可不加；部分的网址，说明其可加可不加；而加了而加了“http:/”部分的，则说明它必不可少！部分的，则说明它必不可少！对于带端口号的网址则必须加；对于带端口号的网址则必须加；否则可省略。否则可省略。计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006用用IIS建立高安全性建立高安全性Web服务器服务器构造一个安全系统构造一个安全系统 IIS安全安装安全安装IIS的安全配置的安全配置计算机科学系吴锐Department of Computer Science&Tech

19、nology Copyright 吴锐 2006构造一个安全系统构造一个安全系统要创建一个安全可靠的要创建一个安全可靠的Web服务器，必须要实现服务器，必须要实现Windows 2000和和IIS的双重安全，因为的双重安全，因为IIS的用户同时也是的用户同时也是Windows 2000的用户，并且的用户，并且IIS目录的权限依赖目录的权限依赖Windows的的NTFS文件系统的权限控制，所以保护文件系统的权限控制，所以保护IIS安全的第一步就是确保安全的第一步就是确保Windows 2000操作系统的安全：操作系统的安全：1.使用使用NTFS文件系统，以便对文件和目录进行管理。文件系统，以便对

20、文件和目录进行管理。2.关闭默认共享关闭默认共享打开注册表编辑器，展开打开注册表编辑器，展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”项，添加键值项，添加键值AutoShareServer，类型为，类型为REG_DWORD，值为，值为0。这样就可以彻底关闭这样就可以彻底关闭“默认共享默认共享”。计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006构造一个安全系统构造一个安全系统3.修改共享权限修改共享权限

21、建立新的共享后立即修改建立新的共享后立即修改Everyone的缺省权限，不让的缺省权限，不让Web服务器访问服务器访问者得到不必要的权限。者得到不必要的权限。4.为系统管理员账号更名，避免非法用户攻击。为系统管理员账号更名，避免非法用户攻击。鼠标右击鼠标右击我的电脑我的电脑管理管理启动启动“计算机管理计算机管理”程序，在程序，在“本地本地用户和组用户和组”中，鼠标右击中，鼠标右击“管理员账号管理员账号(Administrator)”选择选择“重重命名命名”，将管理员账号修改为一个很普通的用户名。，将管理员账号修改为一个很普通的用户名。5.禁用禁用TCP/IP 上的上的NetBIOS 鼠标右击桌

22、面上鼠标右击桌面上网络邻居网络邻居属性属性本地连接本地连接属性属性，打开，打开“本地连接属性本地连接属性”对话框。选择对话框。选择Internet协议协议(TCP/IP)属性属性高高级级WINS，选中下侧的，选中下侧的“禁用禁用TCP/IP上的上的NetBIOS”一项即可解除一项即可解除TCP/IP上的上的NetBIOS。计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006构造一个安全系统构造一个安全系统6.TCP/IP上对进站连接进行控制上对进站连接进行控制鼠标右击桌面上鼠标右击桌面上网络邻居网络邻居

23、属性属性本地连接本地连接属性属性，打开，打开“本地连接属性本地连接属性”对话框。选择对话框。选择Internet协议协议(TCP/IP)属性属性高高级级选项选项，在列表中单击选中在列表中单击选中“TCP/IP筛选筛选”选项。单击选项。单击属性属性按按钮，选择钮，选择“只允许只允许”，再单击，再单击添加添加按钮，只填入按钮，只填入80端口。端口。7.修改注册表，减小拒绝服务攻击的风险。修改注册表，减小拒绝服务攻击的风险。打开注册表：将打开注册表：将HKLMSystem CurrentControlSetServicesTcpipParameters下的下的SynAttackProtect的

24、值修改为的值修改为2，使连接对超时的响应更快。，使连接对超时的响应更快。保证保证IIS自身的安全性自身的安全性计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006IIS安全安装安全安装要构建一个安全的要构建一个安全的IIS服务器，必须从安装时就充分考虑安全问题。服务器，必须从安装时就充分考虑安全问题。1.不要将不要将IIS安装在系统分区上。安装在系统分区上。2.修改修改IIS的安装默认路径。的安装默认路径。3.打上打上Windows和和IIS的最新补丁。的最新补丁。计算机科学系吴锐Department of

25、 Computer Science&Technology Copyright 吴锐 2006IIS的安全配置的安全配置1.删除不必要的虚拟目录删除不必要的虚拟目录 IIS安装完成后在安装完成后在wwwroot下默认生成了一些目录，包括下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录都没有什么实际的作等，这些目录都没有什么实际的作用，可直接删除。用，可直接删除。2.删除危险的删除危险的IIS组件组件默认安装后的有些默认安装后的有些IIS组件可能会造成安全威胁，例如组件可能会造成安全威胁，例如 Internet服务管服务管理器理器(HTML

26、)、SMTP Service和和NNTP Service、样本页面和脚本，大、样本页面和脚本，大家可以根据自己的需要决定是否删除。家可以根据自己的需要决定是否删除。计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006IIS的安全配置的安全配置3.为为IIS中的文件分类设置权限中的文件分类设置权限除了在操作系统里为除了在操作系统里为IIS的文件设置必要的权限外，还要在的文件设置必要的权限外，还要在IIS管理器中管理器中为它们设置权限。一个好的设置策略是：为为它们设置权限。一个好的设置策略是：为Web 站点上不同

27、类型的文站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如：静态文件文件夹允件都建立目录，然后给它们分配适当权限。例如：静态文件文件夹允许读、拒绝写，许读、拒绝写，ASP脚本文件夹允许执行、拒绝写和读取，脚本文件夹允许执行、拒绝写和读取，EXE等可等可执行程序允许执行、拒绝读写。执行程序允许执行、拒绝读写。计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006IIS的安全配置的安全配置4.删除不必要的应用程序映射删除不必要的应用程序映射 ISS中默认存在很多种应用程序映射，除了中默认存在很多种应用程序映

28、射，除了ASP的这个程序映射，其他的这个程序映射，其他的文件在网站上都很少用到。的文件在网站上都很少用到。在在“Internet服务管理器服务管理器”中，右击网站目录，选择中，右击网站目录，选择“属性属性”，在网，在网站目录属性对话框的站目录属性对话框的“主目录主目录”页面中，点击页面中，点击配置配置按钮，弹出按钮，弹出“应应用程序配置用程序配置”对话框，在对话框，在“应用程序映射应用程序映射”页面，删除无用的程序映页面，删除无用的程序映射。射。如果需要这一类文件时，必须安装最新的系统修补补丁，并且选中相如果需要这一类文件时，必须安装最新的系统修补补丁，并且选中相应的程序映射，再点击应的程序映

29、射，再点击编辑编辑按钮，在按钮，在“添加添加/编辑应用程序扩展名映编辑应用程序扩展名映射射”对话框中勾选对话框中勾选“检查文件是否存在检查文件是否存在”选项。这样当客户请求这类选项。这样当客户请求这类文件时，文件时，IIS会先检查文件是否存在，文件存在后才会去调用程序映射会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析。中定义的动态链接库来解析。计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006IIS的安全配置的安全配置5.保护日志安全保护日志安全日志是系统安全策略的一个重要环节，

30、确保日志的安全能有效提高系日志是系统安全策略的一个重要环节，确保日志的安全能有效提高系统整体安全性。统整体安全性。修改修改IIS日志的存放路径日志的存放路径默认情况下，默认情况下，IIS的日志存放在的日志存放在%WinDir%System32LogFiles，黑客当，黑客当然非常清楚，所以最好修改一下其存放路径。在然非常清楚，所以最好修改一下其存放路径。在“Internet服务管理服务管理器器”中，右击网站目录，选择中，右击网站目录，选择“属性属性”，在网站目录属性对话框的，在网站目录属性对话框的“Web站点站点”页面中，在选中页面中，在选中“启用日志记录启用日志记录”的情况下，点击旁边的的情况下，点击旁边的属性属性按钮，在按钮，在“常规属性常规属性”页面，点击页面，点击浏览浏览按钮或者直接在输入按钮或者直接在输入框中输入日志存放路径即可。框中输入日志存放路径即可。修改日志访问权限，设置只有管理员才能访问。修改日志访问权限，设置只有管理员才能访问。通过以上的一些安全设置，相信你的通过以上的一些安全设置，相信你的Web服务器会安全许多。服务器会安全许多。计算机科学系吴锐Department of Computer Science&Technology Copyright 吴锐 2006谢谢谢谢

展开阅读全文