|
|
知识路径: > 网络信息安全概述 > 网络信息安全目标与功能 > 网站安全需求分析与安全保护工程 > IIS安全分析与增强 > IIS安全机制 >
|
|
相关知识点:3个
|
|
|
|
|
IIS具有请求过滤(Request Filtering)、URL授权控制(URL Authorization)、IP地址限制(IP Restriction)、文件授权等访问控制措施。通过URL扫描可以设置许可的文件以及限制的恶意字符串。基于IP地址的访问控制是IIS提供的一种根据客户机的IP地址信息进行网站访问授权的机制。例如,当网站管理员发现来自某些IP地址的用户具有攻击倾向,或者网站管理员希望仅有来自特定IP地址的用户才能够访问网站,这时候就可以启用基于IP地址的访问控制。
|
|
|
|
IIS集成了多种访问控制措施来保护网站资源,各种访问控制机制协同保证站点安全。当站点接到来自用户浏览器的访问请求时,IIS的访问控制过程如下图所示。
|
|
|
|
|
|
(1)用户浏览器所在计算机的IP地址是否限制?如果来自受限IP,访问将被拒绝;否则进入下一步验证。
|
|
|
|
(2)用户身份验证是否通过?对于非匿名访问的站点,要对用户进行账号验证,如果使用非法账号,访问将被拒绝;否则进入下一步验证。
|
|
|
|
(3)在IIS中指定的Web权限是否允许用户访问?如果用户试图进行未授权的访问,访问将被拒绝;否则进入下一步验证。
|
|
|
|
(4)用户正在进行的操作请求是否符合相应Web文件或文件夹的NTFS许可权限?如果不符合,访问将被拒绝;如果符合,则允许访问。
|
|
|
|
(5)用户通过上述访问控制措施就可以访问其请求的资源。
|
|
|
|
|
|
|
