網(wǎng)絡(luò)管理員(IIS).ppt

網(wǎng)絡(luò)管理員培訓(xùn),IIS服務(wù)器配置,M,常用的Web服務(wù)器軟件,PWS 適用于Windows95/98/me IIS 適用于Windows2000/2003/xp/Vista等 其它 Apache等,M,IIS簡介,IIS是Internet Information Server的簡稱。 IIS作為當(dāng)今流行的Web服務(wù)器之一，提供了強(qiáng)大的Internet和Intranet服務(wù)功能，如何加強(qiáng)IIS的安全機(jī)制，建立一個(gè)高安全性能的Web服務(wù)器，已成為IIS設(shè)置中不可忽視的重要組成部分。 IIS通過超文本傳輸協(xié)議（HTTP）傳輸信息，還可配置IIS以提供文件傳輸協(xié)議（FTP）和其他服務(wù)，如SMTP服務(wù)等。 用于網(wǎng)頁瀏覽、文件傳輸、郵件發(fā)送等方面，它使得在網(wǎng)絡(luò)（包括互聯(lián)網(wǎng)和局域網(wǎng)）上發(fā)布信息成了一件很容易的事。,M,IIS版本,IIS版本對(duì)應(yīng)的windows版本信息 2000 iis版本是5.0 xp 版本是5.1 2003版本是6.0 2008版本是7.0,M,IIS的添加,IIS添加 請(qǐng)進(jìn)入“控制面板” 依次選“添加/刪除程序添加/刪除Windows組件” 將“Internet信息服務(wù)（IIS）”前的小鉤去掉（如有），重新勾選中后按提示操作即可完成IIS組件的添加。 用這種方法添加的IIS組件中將包括Web、FTP、NNTP和SMTP等全部四項(xiàng)服務(wù)。,M,IIS添加,M,IIS的運(yùn)行,當(dāng)IIS添加成功之后 再進(jìn)入“開始程序管理工具Internet服務(wù)管理器”以打開IIS管理器 對(duì)于有“已停止”字樣的服務(wù) 在其上單擊右鍵，選“啟動(dòng)”來開啟。,M,IIS運(yùn)行,M,IIS之Web服務(wù)器（建立第一個(gè)Web站點(diǎn)）,Web站點(diǎn) 本機(jī)的IP地址為 網(wǎng)頁放在D:Wy目錄下 網(wǎng)站的首頁文件名為Index.htm 現(xiàn)在想根據(jù)這些建立好自己的Web服務(wù)器。 對(duì)于此Web站點(diǎn)，我們可以用現(xiàn)有的“默認(rèn)Web站點(diǎn)”來做相應(yīng)的修改后，就可以輕松實(shí)現(xiàn)。請(qǐng)先在“默認(rèn)Web站點(diǎn)”上單擊右鍵，選“屬性”，以進(jìn)入名為“默認(rèn)Web站點(diǎn)屬性”設(shè)置界面。,M,第一個(gè)Web站點(diǎn),修改綁定的IP地址 轉(zhuǎn)到“Web站點(diǎn)”窗口 再在“IP地址”后的下拉菜單中選擇或輸入所需用到的本機(jī)IP地址“” 修改主目錄 轉(zhuǎn)到“主目錄”窗口 再在“本地路徑”輸入（或用“瀏覽”按鈕選擇）好自己網(wǎng)頁所在的“D:Wy”目錄 添加首頁文件名 轉(zhuǎn)到“文檔”窗口 再按“添加”按鈕，根據(jù)提示在“默認(rèn)文檔名”后輸入自己網(wǎng)頁的首頁文件名“Index.htm”。,M,第一個(gè)Web站點(diǎn),添加虛擬目錄 比如你的主目錄在“D:Wy”下，而你想輸入“/test”的格式就可調(diào)出“E:All”中的網(wǎng)頁文件，這里面的“test”就是虛擬目錄。 在“默認(rèn)Web站點(diǎn)”上單擊右鍵，選“新建虛擬目錄”，依次在“別名”處輸入“test”，在“目錄”處輸入 “E:All”后再按提示操作即可添加成功。 效果的測(cè)試 打開IE瀏覽器，在地址欄輸入“”之后再按回車鍵，此時(shí)就能夠調(diào)出你自己網(wǎng)頁的首頁，則說明設(shè)置成功！,M,多個(gè)地址對(duì)應(yīng)多個(gè)Web站點(diǎn),多個(gè)IP對(duì)應(yīng)多個(gè)Web站點(diǎn) 如果本機(jī)已綁定了多個(gè)IP地址，想利用不同的IP地址得出不同的Web頁面 只需在“默認(rèn)Web站點(diǎn)”處單擊右鍵，選“新建站點(diǎn)”，然后根據(jù)提示在“說明”處輸入任意用于說明它的內(nèi)容（比如為“我的第二個(gè)Web站點(diǎn)”）、在“輸入Web站點(diǎn)使用的IP地址”的下拉菜單處選中需給它綁定的IP地址即可； 當(dāng)建立好此Web站點(diǎn)之后，再按上步的方法進(jìn)行相應(yīng)設(shè)置。,M,一個(gè)IP地址對(duì)應(yīng)多個(gè)Web站點(diǎn),建立好所有的Web站點(diǎn)后 對(duì)于做虛擬主機(jī)，可以通過給各Web站點(diǎn)設(shè)不同的端口號(hào)來實(shí)現(xiàn)，比如給一個(gè)Web站點(diǎn)設(shè)為80，一個(gè)設(shè)為 81，一個(gè)設(shè)為82 則對(duì)于端口號(hào)是80的Web站點(diǎn)，訪問格式仍然直接是IP地址就可以了 而對(duì)于綁定其他端口號(hào)的Web站點(diǎn)，訪問時(shí)必須在IP地址后面加上相應(yīng)的端口號(hào)，也即使用如“:81”的格式。,M,對(duì)IIS服務(wù)的遠(yuǎn)程管理,1在“Web站點(diǎn)”上單擊右鍵，選“屬性”，再進(jìn)入“Web站點(diǎn)”窗口，選擇好“IP地址”。 2轉(zhuǎn)到“目錄安全性”窗口，單擊“IP地址及域名限制”下的“編輯”按鈕，點(diǎn)選中“授權(quán)訪問”以能接受客戶端從本機(jī)之外的地方對(duì)IIS進(jìn)行管理；最后單擊“確定”按鈕。 3則在任意計(jì)算機(jī)的瀏覽器中輸入如“:3598”（3598為其端口號(hào)）的格式后，將會(huì)出現(xiàn)一個(gè)密碼詢問窗口，輸入管理員帳號(hào)名（Administrator）和相應(yīng)密碼之后就可登錄成功，現(xiàn)在就可以在瀏覽器中對(duì)IIS進(jìn)行遠(yuǎn)程管理了！在這里可以管理的范圍主要包括對(duì)Web站點(diǎn)和 FTP站點(diǎn)進(jìn)行的新建、修改、啟動(dòng)、停止和刪除等操作。,M,常見問題,我設(shè)置好了一個(gè)Web服務(wù)器，但是當(dāng)我訪問網(wǎng)頁時(shí)，卻出現(xiàn)密碼提示窗口。這是為什么？ A：訪問Web站點(diǎn)時(shí)，出現(xiàn)密碼提示窗口，一般來說有以下原因，請(qǐng)逐個(gè)去進(jìn)行檢查： 1所訪問的網(wǎng)頁文件本身加了密。比如“默認(rèn)Web站點(diǎn)”原主目錄“E:Inetpubwwwroot”下的首頁文件“iisstart.asp”訪問時(shí)就需要密碼。 2沒有設(shè)置允許匿名訪問或作了不應(yīng)該的改動(dòng).如圖4所示,首先應(yīng)確保已勾選中了“匿名訪問”這一項(xiàng)；并且其下“編輯”中“匿名用戶帳號(hào)”中“用戶名” 一項(xiàng)應(yīng)為“IUSR_NODISK”（其中“NODISK”為計(jì)算機(jī)名）的格式；另外，還需要已勾選中“允許IIS控制密碼”一項(xiàng)。 3、你的目標(biāo)目錄被限制了訪問權(quán)限。此項(xiàng)僅當(dāng)該目錄位于NTFS格式分區(qū)中時(shí)才可能出現(xiàn)。請(qǐng)?jiān)谄渖蠁螕粲益I，選“屬性”，再進(jìn)入“安全”窗口，看列表中是不是默認(rèn)的允許“Everyone”組完全控制的狀態(tài)，如不是，請(qǐng)改回。,M,M,M,常見問題,在所涉及到的網(wǎng)址中，有的加了“http:/”，有的沒加，這意味著什么呢？ A：沒有加“http:/”部分的網(wǎng)址，說明其可加可不加； 而加了“http:/”部分的，則說明它必不可少！ 對(duì)于帶端口號(hào)的網(wǎng)址則必須加； 否則可省略。,M,用IIS建立高安全性Web服務(wù)器,構(gòu)造一個(gè)安全系統(tǒng) IIS安全安裝 IIS的安全配置,M,構(gòu)造一個(gè)安全系統(tǒng),要?jiǎng)?chuàng)建一個(gè)安全可靠的Web服務(wù)器，必須要實(shí)現(xiàn)Windows 2000和IIS的雙重安全，因?yàn)镮IS的用戶同時(shí)也是Windows 2000的用戶，并且IIS目錄的權(quán)限依賴Windows的NTFS文件系統(tǒng)的權(quán)限控制，所以保護(hù)IIS安全的第一步就是確保Windows 2000操作系統(tǒng)的安全： 1. 使用NTFS文件系統(tǒng)，以便對(duì)文件和目錄進(jìn)行管理。 2. 關(guān)閉默認(rèn)共享 打開注冊(cè)表編輯器，展開“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”項(xiàng)，添加鍵值A(chǔ)utoShareServer，類型為REG_DWORD，值為0。 這樣就可以徹底關(guān)閉“默認(rèn)共享”。,M,構(gòu)造一個(gè)安全系統(tǒng),3. 修改共享權(quán)限 建立新的共享后立即修改Everyone的缺省權(quán)限，不讓W(xué)eb服務(wù)器訪問者得到不必要的權(quán)限。 4. 為系統(tǒng)管理員賬號(hào)更名，避免非法用戶攻擊。 鼠標(biāo)右擊我的電腦管理啟動(dòng)“計(jì)算機(jī)管理”程序，在“本地用戶和組”中，鼠標(biāo)右擊“管理員賬號(hào)(Administrator)”選擇“重命名”，將管理員賬號(hào)修改為一個(gè)很普通的用戶名。 5. 禁用TCP/IP 上的NetBIOS 鼠標(biāo)右擊桌面上網(wǎng)絡(luò)鄰居 屬性 本地連接 屬性，打開“本地連接屬性”對(duì)話框。選擇Internet協(xié)議(TCP/IP)屬性高級(jí)WINS，選中下側(cè)的“禁用TCP/IP上的NetBIOS”一項(xiàng)即可解除TCP/IP上的NetBIOS。,M,構(gòu)造一個(gè)安全系統(tǒng),6. TCP/IP上對(duì)進(jìn)站連接進(jìn)行控制 鼠標(biāo)右擊桌面上網(wǎng)絡(luò)鄰居 屬性 本地連接 屬性，打開“本地連接屬性”對(duì)話框。選擇Internet協(xié)議(TCP/IP)屬性高級(jí)選項(xiàng)， 在列表中單擊選中“TCP/IP篩選”選項(xiàng)。單擊屬性按鈕，選擇“只允許”，再單擊添加按鈕，只填入80端口。 7. 修改注冊(cè)表，減小拒絕服務(wù)攻擊的風(fēng)險(xiǎn)。 打開注冊(cè)表：將HKLMSystem CurrentControlSetServicesTcpipParameters下的SynAttackProtect的值修改為2，使連接對(duì)超時(shí)的響應(yīng)更快。 保證IIS自身的安全性,M,IIS安全安裝,要構(gòu)建一個(gè)安全的IIS服務(wù)器，必須從安裝時(shí)就充分考慮安全問題。 1. 不要將IIS安裝在系統(tǒng)分區(qū)上。 2. 修改IIS的安裝默認(rèn)路徑。 3. 打上Windows和IIS的最新補(bǔ)丁。,M,IIS的安全配置,1. 刪除不必要的虛擬目錄 IIS安裝完成后在wwwroot下默認(rèn)生成了一些目錄，包括IISHelp、IISAdmin、IISSamples、MSADC等，這些目錄都沒有什么實(shí)際的作用，可直接刪除。 2. 刪除危險(xiǎn)的IIS組件 默認(rèn)安裝后的有些IIS組件可能會(huì)造成安全威脅，例如 Internet服務(wù)管理器(HTML)、SMTP Service和NNTP Service、樣本頁面和腳本，大家可以根據(jù)自己的需要決定是否刪除。,M,IIS的安全配置,3. 為IIS中的文件分類設(shè)置權(quán)限 除了在操作系統(tǒng)里為IIS的文件設(shè)置必要的權(quán)限外，還要在IIS管理器中為它們?cè)O(shè)置權(quán)限。一個(gè)好的設(shè)置策略是：為Web 站點(diǎn)上不同類型的文件都建立目錄，然后給它們分配適當(dāng)權(quán)限。例如：靜態(tài)文件文件夾允許讀、拒絕寫，ASP腳本文件夾允許執(zhí)行、拒絕寫和讀取，EXE等可執(zhí)行程序允許執(zhí)行、拒絕讀寫。,M,IIS的安全配置,4. 刪除不必要的應(yīng)用程序映射 ISS中默認(rèn)存在很多種應(yīng)用程序映射，除了ASP的這個(gè)程序映射，其他的文件在網(wǎng)站上都很少用到。 在“Internet服務(wù)管理器”中，右擊網(wǎng)站目錄，選擇“屬性”，在網(wǎng)站目錄屬性對(duì)話框的“主目錄”頁面中，點(diǎn)擊配置按鈕，彈出“應(yīng)用程序配置”對(duì)話框，在“應(yīng)用程序映射”頁面，刪除無用的程序映射。 如果需要這一類文件時(shí)，必須安裝最新的系統(tǒng)修補(bǔ)補(bǔ)丁，并且選中相應(yīng)的程序映射，再點(diǎn)擊編輯按鈕，在“添加/編輯應(yīng)用程序擴(kuò)展名映射”對(duì)話框中勾選“檢查文件是否存在”選項(xiàng)。這樣當(dāng)客戶請(qǐng)求這類文件時(shí)，IIS會(huì)先檢查文件是否存在，文件存在后才會(huì)去調(diào)用程序映射中定義的動(dòng)態(tài)鏈接庫來解析。,M,IIS的安全配置,5. 保護(hù)日志安全 日志是系統(tǒng)安全策略的一個(gè)重要環(huán)節(jié)，確保日志的安全能有效提高系統(tǒng)整體安全性。 修改IIS日志的存放路徑