| IIS的安全机制主要包括IIS认证机制、IIS访问控制、IIS日志审计。
|
|
|
|
|
|
|
| . 匿名认证(Anonymous Authentication),当其他认证措施都缺失的时候,实施匿名认证。
|
|
|
| . 基本验证(Basic Authentication),提供基本认证服务。
|
|
|
| . 证书认证(Certificate Mapping Authentication),实施基于活动目录(Active Directory)的证书认证。
|
|
|
| . 数字签名认证(Digest Authentication),实施数字签名认证。
|
|
|
| . IIS证书认证(IIS Certificate Mapping Authentication),实施按照IIS配置开展的证书认证。
|
|
|
| . Windows认证(Windows Authentication),集成(NTLM)身份验证。
|
|
|
|
|
| IIS具有请求过滤(Request Filtering)、URL授权控制(URL Authorization)、IP地址限制(IP Restriction)、文件授权等访问控制措施。通过URL扫描可以设置许可的文件以及限制的恶意字符串。基于IP地址的访问控制是IIS提供的一种根据客户机的IP地址信息进行网站访问授权的机制。例如,当网站管理员发现来自某些IP地址的用户具有攻击倾向,或者网站管理员希望仅有来自特定IP地址的用户才能够访问网站,这时候就可以启用基于IP地址的访问控制。
|
|
|
| IIS集成了多种访问控制措施来保护网站资源,各种访问控制机制协同保证站点安全。当站点接到来自用户浏览器的访问请求时,IIS的访问控制过程如下图所示。
|
|
|
|
|
| (1)用户浏览器所在计算机的IP地址是否限制?如果来自受限IP,访问将被拒绝;否则进入下一步验证。
|
|
|
| (2)用户身份验证是否通过?对于非匿名访问的站点,要对用户进行账号验证,如果使用非法账号,访问将被拒绝;否则进入下一步验证。
|
|
|
| (3)在IIS中指定的Web权限是否允许用户访问?如果用户试图进行未授权的访问,访问将被拒绝;否则进入下一步验证。
|
|
|
| (4)用户正在进行的操作请求是否符合相应Web文件或文件夹的NTFS许可权限?如果不符合,访问将被拒绝;如果符合,则允许访问。
|
|
|
| (5)用户通过上述访问控制措施就可以访问其请求的资源。
|
|
|
|
|
|
|
|
|
| IIS设置的日志审计机制,能够记录Web访问情况。此外,与IIS相关的日志审计还有操作系统、数据库、应用服务。
|
|
|
