第07章Web服務器的組建與

第07章Web服務器的組建與

安全管理

本章將重點講解如何通過IIS、Apache架設、設置Web服務器。7.1

初識Web服務器

Web服務器又被稱為WWW(WorldWideWeb)服務器，它在網(wǎng)絡中是為實現(xiàn)信息發(fā)布、資料查詢、數(shù)據(jù)處理等諸多應用搭建基本平臺的服務器。在Web服務器的Web頁面上進行處理時大致可分為三個步驟：第一步，Web瀏覽器向一個特定的服務器發(fā)出Web頁面請求。第二步，Web服務器接收到Web頁面請求后，尋找所請求的Web頁面，并將所請求的Web頁面?zhèn)魉徒oWeb瀏覽器。第三步，Web服務器接收到所請求的Web頁面，并將它顯示出來。

7.2IIS下組建Web服務

Web服務器是目前最為流行的服務器平臺之一，在Internet中發(fā)揮著巨大的作用。因此，利用IIS組建一臺高安全、高性能的Web服務器顯得尤為重要。

Web服務的安裝

建立第一臺Web服務器

在一臺服務器上實現(xiàn)多個Web站點實現(xiàn)授權/拒絕用戶訪問Web服務器實現(xiàn)IP地址授權/拒絕訪問Web服務器自定義錯誤信息

管理Web服務器的日志

Web服務器其他設置創(chuàng)建虛擬目錄

安裝FrontPage2000服務器擴展通過瀏覽器遠程管理Web服務器利用NAT技術實現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)Web服務器AdminScripts下的部分工具使用打造安全的IIS服務器

7.2.1Web服務的安裝

(1)單擊【開始】按鈕，選擇【控制面板】→【添加/刪除程序】→【添加/刪除Windows組件】。(2)在打開的【W(wǎng)indows組件向導】對話框中的“組件”列表框中雙擊打開【Internet信息服務(IIS)】組件。

(3)在【Internet信息服務(IIS)】對話框中，選擇列表框中的【W(wǎng)orldWideWeb服務器】子組件，單擊【確定】按鈕開始安裝Web服務。(4)經(jīng)過3~5分鐘的安裝，Web服務便可安裝完成。

(5)Web服務安裝完成后，便會在【管理工具】對話框中顯示一個【Internet服務管理器】快捷圖標，而Web服務就包含在【Internet服務管理器】中。(6)當【Internet服務管理器】安裝完成后，它還會在C盤自動建立一個名為Inetpub的目錄，該文件夾所包含的就是IIS相關服務的默認目錄，例如Web服務器默認存放網(wǎng)頁的目錄wwwroot及管理IIS服務的AdminScripts目錄等。

7.2.2建立第一臺Web服務器

(1)單擊【開始】按鈕，選擇【控制面板】→【管理工具】，雙擊打開【Internet服務管理器】。(2)依次展開【Internet信息服務】窗口中【樹】標簽下的【Internet信息服務】→flyingfox(本地計算機名)，可以看到共有兩個目錄【默認Web站點】、【管理Web站點】。對于要組建的Web站點，可以對現(xiàn)有的【默認Web站點】作相應的修改后，輕松實現(xiàn)。在【默認Web站點】上右擊，在彈出的快捷菜單中選擇【屬性】命令。

(3)在【默認Web站點屬性】對話框中，選擇【W(wǎng)eb站點】選項卡，在【W(wǎng)eb站點標識】選項組中的【IP地址】下拉列表框中輸入本機的IP地址“2”。在【TCP端口】文本框中，系統(tǒng)默認為80，也就是說用戶只需通過瀏覽器輸入你的域名，如“”，便能對該站點進行訪問，如果把該TCP端口修改成其他的端口號，如改為“8080”，那么在訪問該站點時，必須在瀏覽器地址中輸入“http://+域名+端口號”，如“:8080”。(4)在【默認Web站點屬性】對話框中，選擇【主目錄】選項卡，在【本地路徑】文本框中輸入網(wǎng)頁所存放的路徑“C:\54hack”。

(5)添加默認文檔就是指在訪問2時打開的首頁，在【默認Web站點屬性】對話框中，選擇【文檔】選項卡，單擊【添加】按鈕，在彈出的【添加默認文檔】中輸入網(wǎng)站的默認文檔名“index.htm”，然后單擊【確定】按鈕即可完成添加。

(6)雙擊桌面上的InternetExplorer程序，在瀏覽器的【地址】下拉列表框中輸入新Web站點的URL(域名或者IP地址，在這里我們的Web服務器地址為2，因此在瀏覽器的【地址】下拉列表框中輸入“2”)，然后按回車鍵，即可訪問該Web服務器。如果可以打開Web服務器中的文件，表示W(wǎng)eb服務器設置成功。如果出現(xiàn)【找不到服務器】，則表示測試失敗，請檢查服務器是否連入網(wǎng)絡、Web服務器是啟動、Web服務器是否設置正確、輸入的Web服務器地址是否正確等，便能排除故障，成功訪問Web站點。

7.2.3在一臺服務器上實現(xiàn)多個Web站點

本節(jié)將重點介紹通過在IIS中更改TCP端口法、設置主機頭名法在一臺服務器上實現(xiàn)多個Web站點。在IIS中，每個Web站點都是以IP地址、端口號、主機頭名3個部分來標識，用來接收客戶端訪問請求的。

更改TCP端口法主機頭名法IP地址法

(1)在【Internet信息服務】窗口下的【樹】標簽中，右擊flyingfox(本地計算機名)，在彈出的快捷菜單中選擇【新建】→【W(wǎng)eb站點】命令。(2)在“Web站點創(chuàng)建向導”對話框中。單擊【下一步】按鈕繼續(xù)以下的操作。

(3)在【說明】文本框中輸入所要創(chuàng)建站點的說明文字，在這里輸入要創(chuàng)建的單位網(wǎng)站域名為“”。單擊【下一步】按鈕繼續(xù)以下的操作。(4)在【輸入Web站點使用的IP地址】文本框中輸入本機IP地址“2”，在【此Web站點應使用到的TCP端口】中為默認端口80(在創(chuàng)建A部門站點時，要將此端口設置為81，依次類推)。單擊【下一步】按鈕繼續(xù)以下的操作。

(5)在【路徑】文本框中輸入站點的主目錄路徑“C:\Web\net”。單擊【下一步】按鈕繼續(xù)以下的操作。(6)在這一步驟中我們無須作任何更改。單擊【下一步】按鈕繼續(xù)以下的操作。

(7)完成Web站點創(chuàng)建，如圖7-30所示。單擊【完成】按鈕，退出Web站點創(chuàng)建向導，回到“Internet信息服務”窗口。

(1)在域名服務商的網(wǎng)站中將單位網(wǎng)站的域名和其他3個部門網(wǎng)站的域名共同指向在同一臺服務器的IP地址2上。(2)參照前面更改TCP端口法，在【Internet信息服務】窗口中分別建立單位及部門的Web站點，在【IP地址和端口設置】這步驟中，只需在【此站點的主機頭】文本框中分別輸入各自的域名，然后再選擇Web站點的主目錄，設置好訪問權限，便可實現(xiàn)“一機多站”。(3)單位及部門的Web站點建立完成后。

(4)如果要重新配置某一Web站點的主機頭名，只需在【Internet信息服務】窗口中，右擊要更改主機頭名的Web站點，在彈出的快捷菜單中選擇【屬性】命令。在【W(wǎng)eb站點屬性】對話框中選擇【W(wǎng)eb站點】選項卡，然后單擊【W(wǎng)eb站點標識】中的【高級】按鈕，在【高級多Web站點配置】對話框中，便可以對該Web站點的主機頭名進行重新配置。

(1)單擊【開始】按鈕，選擇【設置】→【控制面板】，雙擊打開【網(wǎng)絡和撥號連接】。(2)在【網(wǎng)絡和撥號連接】對話框中，右擊【本地連接】，在彈出的快捷菜單中選擇【屬性】命令。

(3)在【本地連接屬性】對話框中，選擇【此連接使用下列選定的組件】列表框中的【Internet協(xié)議(TCP/IP)】組件，然后單擊【屬性】按鈕。(4)在【Internet協(xié)議(TCP/IP)屬性】對話框中，單擊下面的【高級】按鈕。

(5)在打開的【高級TCP/IP設置】對話框中可以看到，在【IP地址】列表框中列出了網(wǎng)卡已設定的IP地址和子網(wǎng)掩碼，此時可以通過單擊【IP地址】列表框下面的【添加】按鈕來添加其他3個合法IP地址及子網(wǎng)掩碼。(6)在彈出的【TCP/IP地址】對話框中，分別在【IP地址】、【子網(wǎng)掩碼】文本框中輸入新的地址，如首先添加A部門網(wǎng)站()的IP地址“3”，子網(wǎng)掩碼與原有的相同，然后單擊【添加】按鈕即可。重復此步驟，分別添加其他兩個IP地址，即完成了多個IP地址的綁定操作。

(7)當所有站點的IP地址添加完成后，返回【高級TCP/IP設置】對話框中。接下來具體介紹如何在IIS里設置不同IP地址的Web站點。(8)參照前面更改TCP端口法，在【Internet信息服務】窗口中分別建立單位及部門的Web站點，在【IP地址和端口設置】這個步驟中，只需在【輸入Web站點使用的IP地址】下拉列表中選擇單位域名對應的IP地址即可，TCP端口保持默認的80，然后再選擇Web站點的主目錄，設置好訪問權限，便可實現(xiàn)“一機多站”。

(9)該單位及其部門的Web站點建立完成后，“Internet信息服務”窗口。接下來我們可以通過在瀏覽器【地址欄】下拉列表框中輸入網(wǎng)站的IP地址來測試Web站點配置是否正確。

7.2.4實現(xiàn)授權/拒絕用戶訪問Web服務器

(1)在IIS控制臺中，雙擊左邊窗口【樹】標簽下的站點，右擊站點下的54hack.htm文件，在彈出的快捷菜單中選擇屬性命令。

(2)在彈出的【54hack.htm屬性】對話框中，單擊【文件安全性】標簽，在【匿名訪問和驗證控制】選項組中單擊【編輯】按鈕。(3)在【驗證方法】對話框中，默認情況下為匿名訪問54hack.htm頁面，即訪問該頁時不需要用戶名及密碼?，F(xiàn)在取消選中【匿名訪問】復選框，即要通過用戶名和密碼才能訪問該頁。例如，現(xiàn)在在Web服務器上創(chuàng)建一個名為“flyingfox”，密碼為“123456”的用戶，將此用戶名及密碼提供給授權用戶，授權用戶便可利用flyingfox這個用戶名來訪問54hack.htm了，單擊【確定】按鈕完成設置。

(4)當訪問54hack.htm頁面時，系統(tǒng)會彈出一個【輸入網(wǎng)絡密碼】對話框，要求用戶輸入【用戶名】、【密碼】、【域】(在這里我們沒有設置域，因此不用輸入域名稱)。當授權用戶輸入正確的【用戶名】、【密碼】后，單擊【確定】按鈕，即可查看54hack.htm頁面。

(5)如果輸入了錯誤的用戶名和密碼，系統(tǒng)將出現(xiàn)401.2錯誤提示，網(wǎng)頁中顯示【您沒有權限查看該網(wǎng)頁】的頁面。

7.2.5實現(xiàn)IP地址授權/拒絕訪問Web服務器

(1)在IIS控制臺中，右擊左邊窗口【樹】標簽下的【】站點，在彈出的快捷菜單中選擇【屬性】命令。(2)在【屬性】對話框中，選擇【目錄安全性】選項卡，在【IP地址及域名限制】選項組中單擊【編輯】按鈕。

(3)在彈出的【IP地址及域名限制】對話框中，通過選中【授權訪問】、【拒絕訪問】復選框來限制、授權IP地址訪問Web服務器。(4)選中【授權訪問】復選框，然后單擊【添加】按鈕，在彈出的【拒絕以下訪問】對話框中的【類型】選項組中選擇【單機】單選按鈕，在【IP地址】文本框中輸入被拒絕訪問的IP地址“2”。單擊【確定】按鈕回到【IP地址及域名限制】對話框，可以看到IP地址為2已被添加到拒絕訪問列表框中，此時計算機IP地址為2的用戶將無法訪問該站點。

(5)選中【拒絕訪問】復選框，然后單擊【添加】按鈕，在彈出的【授權以下訪問】對話框中的【類型】選項組中選擇【單機】單選按鈕，在【IP地址】文本框中輸入被授權訪問的IP地址“5”。單擊【確定】按鈕回到【IP地址及域名限制】對話框，可以看到IP地址為5已被添加到授權訪問列表框中，此時只有計算機IP地址為5的用戶才能訪問該站點。

(6)設置完成后，此時如果客戶端在被阻止的IP范圍內(nèi)，或者不在允許的IP范圍內(nèi)，在瀏覽該網(wǎng)站時，系統(tǒng)將出現(xiàn)403.6錯誤提示，網(wǎng)頁中將顯示【您沒有權限查看該網(wǎng)頁】的頁面。

7.2.6自定義錯誤信息

(1)在IIS控制臺中，右擊左邊窗口【樹】標簽下的站點，在彈出的快捷菜單中選擇【屬性】命令。(2)在彈出的【屬性】對話框中，選擇【自定義錯誤信息】選項卡。

(3)在【自定義錯誤信息】選項卡中選擇HTTP錯誤名稱【404】，然后單擊【編輯屬性】按鈕來更改發(fā)生404錯誤后返回的無法找到網(wǎng)頁的錯誤信息。(4)在彈出的【錯誤映射屬性】對話框中，可以看到404錯誤信息默認路徑為C:\WINNT\help\iisHelp\common\404b.htm，單擊【瀏覽】按鈕選擇自定義404錯誤信息的路徑，在這里將制作好的404錯誤信息網(wǎng)頁存放在C:\Web\54hack\error目錄下，名稱為404.htm，找到該文件后，單擊【確定】按鈕。

(5)編輯完成后，當客戶端在打開該網(wǎng)站不存在的網(wǎng)頁時，此時客戶端的瀏覽器上將顯示為剛才自定義的錯誤信息頁面。

7.2.7管理Web服務器的日志

(1)在IIS控制臺中，右擊左邊窗口【樹】標簽下的站點，在彈出的快捷菜單中選擇【屬性】命令。

(2)啟動日志記錄及日志格式。在彈出的【屬性】對話框中，選擇【W(wǎng)eb站點】選項卡，此時如果選中【啟用日志記錄】(默認為啟動)復選框，系統(tǒng)將會啟用Web站點的日志記錄功能。該功能可記錄用戶活動的細節(jié)并以所選擇的格式創(chuàng)建日志?；顒尤罩靖袷接?種，分別為MicrosoftIIS日志文件格式、NCSA公用日志文件格式、ODBC日志及W3C擴充日志文件格式。

(5)Web日志在默認情況下每天生成一個后綴為log的日志文件，它包含了該日的一切記錄。如果使用默認的W3C擴充日志文件格式存放日志，文件名通常為ex(年份)(月份)(日期)。例如，ex030425，就是2003年4月25日產(chǎn)生的日志。

(6)Web日志分析輔助工具。在這里介紹一款國外的Web日志分析工具——逆火Web日志分析器，它擁有眾多激動人心的功能。例如，可以生成超過80個以上的各種圖表，并附帶有多個三維統(tǒng)計圖，這些報表將告訴管理員：有多少訪客訪問了該網(wǎng)站，訪客都從哪里來，他們訪問了哪些頁面，訪客在網(wǎng)站停留了多長時間；并且支持自動日志分析，還可進行時區(qū)調整，解決服務器與網(wǎng)絡管理員所在地不在同一時區(qū)的問題，可以自動通過HTTP下載日志文件等；還有一個重要的特點就是具有非常容易操作的用戶界面。(7)默認情況下，IIS的日志存放在%WinDir%\System32\LogFiles目錄下。黑客在入侵服務器后，為防止管理員追查到他的來源，會清除入侵記錄，刪除所有的日志文件。所以最好修改一下IIS的日志存放路徑及修改日志訪問權限，可以將日志訪問權限設置為只有管理員才能訪問。

7.2.8Web服務器其他設置

管理網(wǎng)站的關鍵首先是要對Web服務器的屬性設置有全面的了解。下面介紹Web服務器的其他幾個設置。

【操作員】選項卡

【性能】選項卡【ISAPI篩選器】選項卡【HTTP頭】選項卡

通過該選項卡可以在Windows2000Server用戶賬號中指定對站點擁有操作權的用戶賬號，也可單擊【添加】按鈕，授權其他的用戶管理站點。默認Administrators組的用戶是系統(tǒng)管理員。

【性能】選項卡主要包括性能調整、啟用帶寬限制、啟用進程限制。

設置用于處理HTTP請求過程中的對事件作出響應的程序，可單擊“添加”按鈕設置對應的響應程序。

【HTTP頭】選項卡主要包含啟動內(nèi)容失效、自定義HTTP頭、內(nèi)容分級、MIME映射4個方面的設置。

7.2.9創(chuàng)建虛擬目錄

(1)在IIS控制臺中，右擊要創(chuàng)建虛擬目錄的站點，在彈出的快捷菜單中選擇【新建】→【虛擬目錄】命令。(2)在“虛擬目錄創(chuàng)建歡迎向導”對話框中，單擊【下一步】按鈕繼續(xù)以下的操作。

(3)在【別名】文本框中為虛擬目錄輸入一個名稱，在這里輸入“down”，單擊【下一步】按鈕繼續(xù)以下的操作。(4)在【目錄】文本框中輸入虛擬目錄對應的實際的物理路徑(如C:\down)，單擊【下一步】按鈕繼續(xù)以下的操作。

(5)默認情況下只允許讀取、運行腳本權限，在這里不作更改，單擊【下一步】按鈕繼續(xù)以下的操作。(6)完成虛擬目錄創(chuàng)建，單擊【完成】按鈕退出虛擬目錄創(chuàng)建向導。

(7)返回IIS控制臺后，可以看到在站點下已成功地創(chuàng)建了一個名為down的虛擬目錄，而目錄中的內(nèi)容卻是其實際路徑中的內(nèi)容。(8)在瀏覽器的“地址”下拉列表框中輸入虛擬目錄的名稱及文件名，按回車鍵即可訪問該虛擬目錄中的文件。

7.2.10安裝FrontPage2000

服務器擴展

服務器擴展是一組應用程序的組合，在Web站點中啟用服務器擴展程序，可以增加Web站點原本沒有的功能，讓站點能夠完全支持FrontPage所制作的網(wǎng)頁。通過FrontPage服務器擴展，能夠支持協(xié)同制作、站點計數(shù)器、電子郵件、表單處理以及直接在服務器計算機編輯Web站點的功能。如果缺少擴展服務，則發(fā)布網(wǎng)頁的部分功能可能難以實現(xiàn)。接下來我們以Windows2000Server版本為例，具體看看如何安裝、配置及安全設置ForntPage服務器擴展。FrontPage2000服務器擴展安裝

FrontPage2000服務器擴展配置

FrontPage服務器擴展服務的安全

(1)將Windows2000安裝盤插入光驅中，光盤自動運行后，會彈出一個MicrosoftWindows2000CD界面，單擊【安裝附加組件】。(2)在【W(wǎng)indows組件向導】對話框中的【組件】列表框中選擇【Internet信息服務】選項，然后單擊【詳細信息】按鈕。

(3)在彈出的【Internet信息服務】對話框中的列表框中選擇【FrontPage2000服務器擴展】選項，單擊【確定】按鈕開始安裝。(4)系統(tǒng)便會開始安裝FrontPage2000服務器擴展服務。(5)經(jīng)過2~5分鐘便會安裝完成。然后，單擊【完成】按鈕，退出安裝界面。

(1)在IIS控制臺中，右擊要配置FrontPage2000服務器擴展的站點，在這里選擇站點，在彈出的快捷菜單中選擇【所有任務】→【配置服務器擴展】命令。(2)在【服務器擴展配置向導】對話框中，單擊【下一步】按鈕，繼續(xù)以下的操作。

(3)選中【創(chuàng)建本地計算機用戶組】復選框，輸入“FrontPageADMIN”。單擊【下一步】按鈕，此時系統(tǒng)會創(chuàng)建管理員(FrontPageAdminadmins)、作者(FrontPageAdminauthors)和瀏覽者(FrontPageAdminbrowsers)3個具有不同訪問權限的分組以供選擇。此時可以通過單擊【每組中的用戶有什么權限】按鈕，來查看每組的具體權限。

(4)指定管理此服務的管理員隸屬Windows哪個組或用戶賬號，默認為Administrators組，即Administrators組具有完全控制該Web站點的權限。(5)一般情況下不需要利用郵件通知管理員擴展服務遇到的錯誤，可以不將SMTP服務器與服務器擴展程序集合在一起，在這里選擇【不。我稍后再做?！繂芜x按鈕。單擊【下一步】按鈕繼續(xù)以下的操作。

(6)完成服務器擴展配置向導后。單擊【完成】按鈕，退出【服務器擴展配置向導】對話框。(7)此時系統(tǒng)將會在站點的目錄下生成一些以_vti_為目錄名開頭的FrontPage服務器擴展所必需的目錄。

(1)在IIS控制臺中，右擊要修復FrontPage服務器擴展的站點，在這里選擇站點的FrontPage服務器擴展，在彈出的快捷菜單中選擇【所有任務】→【檢查服務器擴展】命令。(2)接著系統(tǒng)會彈出一個【檢查站點】對話框，并彈出一個對話框詢問用戶是否希望FrontPage盡可能地提高所有FrontPage站點的安全性嗎？單擊【是】按鈕，系統(tǒng)便會開始檢查此FrontPage站點的安全性。

(3)檢查結束后，系統(tǒng)會自動生成檢查日志。如果服務器存在FrontPage服務器擴展服務缺陷，系統(tǒng)會自動修復。

7.2.11通過瀏覽器遠程管理

Web服務器

在IIS安裝完成后，IIS控制臺會自動生成一個名為【管理Web站點】的Web站點，此站點的作用就是微軟公司為方便管理員管理而設置的又一功能，使管理員可以在任何地方通過Internet遠程管理自己的Web站點，來達到和IIS管理器一樣的操作目的。接下來介紹利用此功能如何實現(xiàn)Web服務的遠程管理及安全。

實現(xiàn)Web服務的遠程管理

遠程管理Web站點的安全

(1)在IIS控制臺中，右擊【管理Web站點】，在彈出的快捷菜單中選擇【屬性】命令。(2)在打開的【管理Web站點屬性】對話框中，我們可以看到在【W(wǎng)eb站點標識】選項組中的【TCP端口】是6344，這個端口號是IIS在安裝完成后隨機生成的，就是用于遠程管理的端口號，一般可以不用更改它。如果現(xiàn)在Web服務器的IP地址為5，那么它的遠程管理Web服務的地址就是：5:6344。

(5)可以看到通過瀏覽器來遠程管理Web服務具有一樣的功能。例如，現(xiàn)在要管理站點，只需單擊Web站點名稱，便進入了此站點的管理界面。在瀏覽器中和在Web服務器上管理Web站點的方法是一樣的，此處不再存贅述。

為了防止黑客的攻擊，建議在使用Web服務的遠程管理功能時參考以下設置。端口設置：不要將遠程管理Web服務的端口號設為過于簡單并易于猜解的數(shù)字，盡量設為不常見的端口號，越大越好，但要小于65535，這樣黑客要花費好長時間去掃描。密碼安全：提高密碼強度，盡量使用字母和數(shù)字相結合的密碼，一般不要小于8位，不要在公共上網(wǎng)場所來管理Web服務器，防止用戶名、密碼被盜取。指定特定的計算機：通過IIS控制臺中的【目錄安全性】，設置IP地址來指定特定的計算機遠程管理Web服務。加密傳輸：為了防止黑客使用嗅探監(jiān)聽技術盜取用戶名和密碼，可以使用SSH來進行遠程管理(關于SSH請參閱本書的“安全保護神SSL服務”部分內(nèi)容)。

7.2.12利用NAT技術實現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)Web服務器

(1)單擊【開始】按鈕，選擇【設置】→【控制面板】→【管理工具】，雙擊運行【路由和遠程訪問】程序。(2)在【路由和遠程訪問】窗口中，依次展開【FLYINGFOX(本地)】→【IP路由選擇】。

(3)右擊【IP路由選擇】→【常規(guī)】，在彈出的快捷菜單中選擇【新路由選擇協(xié)議】命令。(4)在彈出的【新路由選擇協(xié)議】對話框中的【路由選擇協(xié)議】列表框中選擇【網(wǎng)絡地址轉換】，然后單擊【確定】按鈕。

(5)返回【路由和遠程訪問】窗口，這時可以看到【網(wǎng)絡地址轉換】已被添加到【IP路由選擇】中了。(6)右擊【網(wǎng)絡地址轉換】，在彈出的快捷菜單中選擇【新接口】命令。

(7)在【網(wǎng)絡地址轉換的新接口】對話框中的【接口】列表框中選擇【本地連接】(也就是連向Internet的那個連接)，然后單擊【確定】按鈕。(8)接著系統(tǒng)會彈出一個【網(wǎng)絡地址轉換-本地連接屬性】對話框，在【常規(guī)】選項卡中選擇【公用接口連接到Internet】單選按鈕，并選中【轉換TCP/UDP頭(推薦)】復選框。

(9)在【地址池】選項卡中，單擊【添加】按鈕，在【添加地址池】對話框中輸入服務商指定的外網(wǎng)IP地址，在這里，ISP為我們提供的InternetIP地址為6，添加完成后，單擊【確定】按鈕即可返回。

(10)在【特殊端口】選項卡中，單擊【協(xié)議】下拉列表框，從中選擇TCP協(xié)議，因為Web服務所使用的協(xié)議為TCP協(xié)議，然后單擊【添加】按鈕。

(11)接著系統(tǒng)會打開【編輯特殊端口】對話框，這里就是設置端口映射的核心了，把NAT主機的哪個端口映射到內(nèi)網(wǎng)主機的哪個端口就在這里設置。由于設有【地址池】，所以可以在【公網(wǎng)地址】選項組中添上【地址池】中的任一地址，選擇【在此地址池項】單選按鈕，在其后的文本框中輸入剛才在【地址池】選項卡中添加的外網(wǎng)IP地址“6”。在【傳入端口】文本框中輸入訪客從外網(wǎng)訪問有公網(wǎng)IP的NAT服務器的端口，可以根據(jù)情況來輸入，在這里輸入“8080”端口?！緦Ｓ玫刂贰考磧?nèi)網(wǎng)Web主機的IP地址，【傳出端口】即內(nèi)網(wǎng)Web主機所設定的端口，默認為80號端口，設置完成后，單擊【確定】按鈕返回。通過設置此選項，就是把主機6上的8080端口映射到內(nèi)網(wǎng)Web服務器的80端口上。

(12)返回【路由和遠程訪問】窗口后，我們發(fā)現(xiàn)【本地連接】已被添加在【IP路由選擇】下的【網(wǎng)絡地址轉換】列表框中，即剛才所設置的網(wǎng)絡地址轉換已經(jīng)生效。(13)接下來我們以外網(wǎng)計算機2來訪問6的8080端口。在瀏覽器的【地址】下拉列表框中輸入“6:8080”，按回車鍵，可以成功訪問網(wǎng)內(nèi)Web服務器(2)，從而實現(xiàn)了利用NAT技術實現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)Web服務器。

7.2.13AdminScripts下的部分

工具使用

IIS在默認安裝完成后，就會在系統(tǒng)盤\Inetpub\AdminScripts文件夾下生成20個VBScripts程序。管理員可以利用VBScripts程序方便地管理IIS的相關功能及服務。

Findweb.vbsDisptree.vbsMkw3site.vbsMkwebdir.vbs

Pausesrv.vbsContsrv.vbs

Stopsrv.vbsStartsrv.vbs

Findweb.vbs程序用來顯示W(wǎng)eb站點的節(jié)點號、描述、主機名、端口及IP地址。如果要顯示指定的站點，可以輸入“Findweb.vbs”命令。

Disptree.vbs程序用來顯示指定站點路徑管理樹。

Mkw3site.vbs程序用來創(chuàng)建Web虛擬站點。

Mkwebdir.vbs程序用來創(chuàng)建指定站點的虛擬目錄。

Pausesrv.vbs程序可以暫停指定站點的IIS服務。

Contsrv.vbs程序可以恢復被暫停指定站點的IIS服務。

Stopsrv.vbs程序可以停止指定IIS的Web服務，它的使用同Pausesrv.vbs程序使用方法相同。

Startsrv.vbs程序可以啟動已被停止的IIS的Web服務，它的使用方法同Contsrv.vbs程序使用方法相同。

7.2.14打造安全的IIS服務器

越來越多的黑客、病毒和蠕蟲帶來的安全問題嚴重影響了網(wǎng)站的可訪問性，究其原因，一個是人為的，也就是說管理員在安裝、配置IIS的時候沒有進行安全配置錯誤。另一個則是IIS本身存嚴重的漏洞，IIS存在的弊端日益被暴露出來，從而給黑客、病毒帶來了方便之門。接下來我們以Windows2000為例，介紹如何打造一臺安全IIS服務器。如何備份和還原IIS配置

讓黑客的CGI掃描軟件失效

刪除無用的應用程序映射

刪除不必要的虛擬目錄

(1)打開【Internet信息服務】窗口中，右擊【flyingfox】(本地計算機名)，在彈出的快捷菜單中選擇【備份/還原配置】命令。(2)在系統(tǒng)打開的【配置備份/還原】對話框中，單擊【創(chuàng)建備份】按鈕對IIS的當前配置進行備份操作。

(3)在【配置備份】對話框中的【配置備份名】文本框中為要備份的IIS輸入一個備份名，在這里輸入一個當前日期為備份名。(4)單擊“確定”按鈕返回【配置備份/還原】對話框后，我們發(fā)現(xiàn)已成功備份了IIS的當前配置。

(5)如果要還原IIS的備份，在【配置務份/還原】對話框單擊要還原的位置后，單擊【還原】按鈕，此時系統(tǒng)會彈出一個詢號對話框，提示：還原是一項耗時的操作，它將覆蓋所有當前的設置并導致全部服務的停止和重新啟動，確定要繼續(xù)操作嗎？此時如果要還原IIS的配置，單擊【是】按鈕。經(jīng)過幾十秒的等待后，系統(tǒng)會彈出一個對話框，顯示操作成功完成，此時IIS將會被還原到以前的備份狀態(tài)。

黑客的CGI掃描軟件是專門用來掃描IIS服務器的漏洞的。為了對付日益增多的CGI漏洞掃描器，我們可以通過更改Web服務的【自定義錯誤信息】將HTTP的404出錯頁面通過URL重定向到一個定制的HTM文件上，這樣可以讓目前絕大多數(shù)CGI漏洞掃描器失靈。

(1)在【Internet信息服務】窗口中，右擊，在彈出的快捷菜單中選擇【屬性】命令。(2)在打開的【屬性】對話框中，選擇【主目錄】選項卡，然后單擊【應用程序設置】選項組中的【配置】按鈕。(3)在打開的【應用程序配置】對話框中刪除無用的應用程序映射，如.ida、idq、.htw、.htr、.idc、.printer等映射。除了ASP這個程序映射，其他的文件在網(wǎng)站上都很少用到，所以凡是用不到的映射，都可以刪除，因為這些映射在日常應用中根本用不到，反而給黑客入侵開了后門。

安裝完IIS后，在Web站點下默認生成了一些目錄，包括IISHelp、IISAdmin、IISSamples、MSADC、Scripts等，這些目錄都沒有什么實際的作用，在Web站點中直接刪除即可。

7.3用Apache組建Web服務

Apache是現(xiàn)在最流行的Web服務器軟件之一，快速、可靠，可通過簡單的API擴展。Perl/Python解釋器可被編譯到服務器中，完全免費，完全源代碼開放，并且還具有較高的安全性能。如果需要創(chuàng)建一個每天有數(shù)百萬人訪問的Web服務器，Apache可能是最佳選擇。

Apache服務器的安裝

Apache服務器的基本配置

設置Apache服務器的虛擬目錄在Apache服務器中配置虛擬主機提高Apache服務器的安全性

7.3.1Apache服務器的安裝

(1)雙擊Apache安裝文件，安裝程序首先進入安裝許可協(xié)議界面，選擇Iacceptthetermsinthelicenseagreement單選按鈕，即接受許可協(xié)議。單擊Next按鈕繼續(xù)下一步操作。(2)進入說明文檔界面，單擊Next按鈕繼續(xù)下一步安裝操作。

(3)接著安裝程序進入服務器信息配置界面。NetworkDomain表示域名信息，在該文本框中可以輸入服務器的域名。如果已經(jīng)申請到域名，可直接輸入(注意，這里要輸入的是域名，只是申請到的完整域名的后半部分，不包括“www”，如“”)。如果沒有域名，可以輸入本機的IP地址。【ServerName】表示服務器名，在這里可以輸入完整的域名(如“”)或是本機的IP地址。在Administrator’sEmailAddress文本框中要求輸入管理員的Email地址。這3項在安裝時必須填寫，但是在安裝完成后可以隨時進行修改。在InstallApacheHTTPServer2.0programsandshortcutsfor選項組中共有2個選項，一個是將服務器的端口設為默認Web服務器端口，即80端口，另一個是將服務器端口更改為8080。在這里接受默認設置。設置完成后，單擊Next按鈕繼續(xù)下一步操作。

(4)選擇安裝類型。系統(tǒng)將給出Typical(典型)、Custom(自定義)兩種安裝類型供用戶選擇。在這里推薦選擇Typical安裝。單擊Next按鈕繼續(xù)下一步安裝操作。

(5)選擇安裝目錄。默認安裝目錄為系統(tǒng)盤的ProgramFiles/ApacheGroup目錄，此時可以通過單擊Change按鈕重新選擇安裝目錄。單擊Next按鈕繼續(xù)下一步操作。

(6)經(jīng)過前面對Apache服務器域名、安裝類型及安裝目錄設置完成后，系統(tǒng)將會進入準備安裝界面。單擊Install按鈕便可以將Apache安裝到計算機中。

(7)經(jīng)過3~5分鐘后，Apache便會完成安裝。

(8)安裝完成后，Apache將會提示完裝完成。單擊Finish按鈕退出安裝界面，此時可以在系統(tǒng)狀態(tài)欄里看到Apache的羽毛狀圖標并帶有綠色箭頭，說明Apache服務器已經(jīng)啟動成功。

(9)打開瀏覽器程序，在瀏覽器的【地址】下拉列表框中輸入服務器的IP地址或域名。如果安裝正確就能看到Apache的測試頁面，這表示Apache安裝、啟動成功。如果出現(xiàn)該頁無法顯示，證明在配置Apache存在錯誤，請參照步驟(3)。

7.3.2Apache服務器的基本配置

本節(jié)將重點介紹Apache服務器的啟動、停止、語言設置、默認網(wǎng)頁存放目錄設置、添加默認文檔配置等操作。

服務的啟動、停止更改默認網(wǎng)頁目錄設置添加默認文檔

解決網(wǎng)頁顯示中文亂碼問題

(1)Apache安裝完成后，會在狀態(tài)欄出現(xiàn)一個羽毛狀的托盤圖標。右擊該圖標，系統(tǒng)將會彈出一個服務器操作的快捷菜單，其中包括OpenApacheMonitor、OpenServices、Exit。(2)在彈出的快捷菜單中選擇OpenApacheMonitor命令后，就會進入ApacheServiceMoniton(Apache服務管理)窗口，在其中可以控制Apache服務器的啟動、重啟、停止等。(3)選擇OpenServices命令，將會打開Windows自帶的【服務】窗口，在【名稱】列中找到Apache服務后，在其上右擊，利用彈出的快捷菜單中的命令可以管理Apache服務器的啟動、停止、暫停等。

(1)雙擊打開httpd.conf文件，按Ctrl+F組合鍵打開【查找】對話框。在【查找內(nèi)容】文本框中輸入“DocumentRoot”，單擊【查找下一個】按鈕即可找到默認網(wǎng)頁存放路徑。(2)當前網(wǎng)頁默認存放根目錄是C:/Apache2/htdocs。如果想把網(wǎng)站文件存放在“C:/Web/54hack”目錄下，可以把DocumentRoot后面的目錄修改為“C:/Web/54hack”，修改完成后，選擇【文件】→【保存】命令。

(3)打開ApacheServiceMonitor窗口Apache控制臺，單擊Restart按鈕，重新啟動Apache服務器后，所更改的設置即可生效。

(1)雙擊打開httpd.conf文件，按Ctrl+F組合鍵打開【查找】對話框，在【查找內(nèi)容】文本框中輸入“DirectoryIndex”，單擊【查找下一個】按鈕即可找到默認文檔設置選項。(2)現(xiàn)在我們就可以在DirectoryIndex后面添加網(wǎng)站默認頁面的文件名，服務器將根據(jù)默認文檔的先后順序來顯示查找到的頁面。例如，在這里我們在默認文檔index.html字段前添加了一個“Default.htm”字段，這樣在打開網(wǎng)站時，服務器將首先查找名為Default.htm的網(wǎng)頁，如果找不到該頁，才依次查找index.htm文件。添加完成后，選擇【文件】→【保存】命令。(3)打開ApacheServiceMonitor窗口，單擊Restart按鈕，重新啟動Apache服務器后，所更改的設置即可生效。

(1)雙擊打開httpd.conf文件，按Ctrl+F組合鍵打開【查找】對話框，在【查找內(nèi)容】文本框中輸入“AddDefaultCharset”，單擊【查找下一個】按鈕即可找到該字符。(2)將AddDefaultCharset字符后面的ISO-8859-1更改為“Off”或是“GB2312”，便可以使Apache服務器能正常地顯示中文字符。更改完畢后，選擇【文件】→【保存】命令。

(3)打開ApacheServiceMonitor窗口，單擊Restart按鈕，重新啟動Apache服務器后，所更改的設置即可生效。在重新打開該網(wǎng)站時，我們發(fā)現(xiàn)網(wǎng)頁可以正常顯示中文字符了。

7.3.3設置Apache服務器的

虛擬目錄

(1)雙擊打開httpd.conf程序，找到Alias/icons/“C:/Apache2/icons/”這行。(2)Alias/icons/“C:/Apache2/icons/”就是/icons/虛擬目錄配置字段。

(3)現(xiàn)在我們要通過訪問9/flyingfox/，就可以訪問到C:\54hack\目錄下的內(nèi)容。更改步驟(2)中的icons虛擬目錄配置字段。

(4)更改完畢后，選擇【文件】→【保存】命令，然后打開ApacheServiceMonitor窗口，單擊Restart按鈕，重新啟動Apache服務器后，虛擬目錄設置就會生效。通過瀏覽器打開9/flyingfox/站點后，就可以訪問到C:\54hack\目錄下的內(nèi)容了。

7.3.4在Apache服務器中配置

虛擬主機

利用Apache服務器，可以實現(xiàn)、虛擬主機的配置。

在一個IP地址上運行多個基于域名的Web站點在多個IP下配置多臺虛擬主機

在不同的IP地址上提供相同的內(nèi)容在不同的端口上運行不同的站點

(1)雙擊打開httpd.conf程序，將代碼添加到httpd.conf程序的最后面。(2)配置完成后，選擇【文件】→【保存】命令，然后打開ApacheServiceMonitor窗口，單擊Restart按鈕，重新啟動Apache服務器后，所配置的虛擬主機就會生效。

(1)雙擊打開httpd.conf程序，首先更改Apache的以下設置內(nèi)容：*******************************************************