|
|
|
为了保证Web网站和服务器的安全,可以在"目录安全性"选项卡中为网站进行身份验证和访问控制、IP地址和域名限制的设置,如下图所示。在"身份验证和访问控制"选项组中单击"编辑"按钮,打开如下图所示的"身份验证方法"对话框。使用该对话框可以配置Web服务器以验证用户身份。可以验证单个用户或选择用户组来阻止未授权用户与受限制内容建立Web(HTTP)连接。
|
|
|
|
|
|
|
|
|
|
|
|
选中"启用匿名访问"复选框可以为用户建立匿名连接,此时用户无须专用的账户,而是使用匿名或来宾账户(Guest)登录到IIS。默认情况下,服务器创建和使用账户"IUSR_计算机名",对应于本书所举的例子,用户名为IUSR_WIN2008_R2。
|
|
|
|
如果用户希望对网站的访问者验证身份,也可以在"身份验证方法"对话框中的"用户访问需经过身份验证"选项组中进行设置。在此部分中选中的选项要求用户在访问服务器上的任何信息前,提供有效的Microsoft Windows用户名和密码。当前IIS 7.5中提供了以下两种身份验证方法。
|
|
|
|
①基本身份验证。用户使用基本身份验证访问Web站点时,系统会模仿为一个本地用户(即能实际登录到Web服务器的用户)登录到Web服务器,因此用于基本验证的Windows用户必须具有"本地登录"用户权限。它是一种工业标准的验证方法,大多数浏览器支持这种验证方法。在使用基本身份验证方法时,用户密码是以未加密形式在网络上传输的,很容易被蓄意破坏系统安全的人在身份验证过程中使用协议分析程序破译用户和密码,因此这种验证方式是不安全的。
|
|
|
|
②摘要式身份验证。摘要式身份验证也要求用户输入账号名称和密码,但账号名称和密码都经过MD5算法处理,然后将处理后产生的散列随机数(hash)传送给Web服务器。采用这种方法时,Web服务器必须是Windows域的成员服务器。
|
|
|
|
③集成Windows身份验证。集成Windows身份验证是一种安全的验证形式,它也需要用户输入用户账户和密码,但账户名和密码在通过网络发送前会经过散列处理,因此可以确保其安全性。Windows身份验证方法有两种,分别是Kerberos v5验证和NTLM,如果在Windows域控制器上安装了Active Directory服务,并且用户的浏览器支持Kerberos v5验证协议,则使用Kerberos v5验证,否则使用NTLM验证。
|
|
|
|
集成Windows身份验证优先于基本身份验证,但它并不先提示用户输入用户名和密码,只有Windows身份验证失败后,浏览器才提示用户输入用户名和密码。虽然Windows身份验证非常安全,但是在通过HTTP代理连接时,Windows身份验证不起作用,无法在代理服务器或其他防火墙应用程序后使用。因此,Windows身份验证最适合企业Intranet环境。
|
|
|
|
用户可以基于IP地址或域名来允许或拒绝特定用户、计算机、计算机组或域访问该网站、目录或文件。在上图所示的"IP地址和域名限制"选项组中单击"编辑"按钮,打开如下图所示的"IP地址和域名限制"对话框。默认情况下,所有的计算机都被允许访问该网站。选中"授权访问"单选按钮,可以授权所有的计算机访问该网站,但在"下列除外"列表框中指定的计算机除外。要添加拒绝访问的计算机、计算机组或域,需单击"添加"按钮,打开如下图所示的"拒绝访问"对话框,在其中输入希望拒绝计算机的相应信息。输入后,单击"确定"按钮,被拒绝访问的计算机将出现在如下图所示的"下列除外"列表框中。
|
|
|
|
|
|
|
|
|
|
|
