图解Web服务器和FTP服务器安全配置(2)

     4. 如果要保持Windows 目录和文件权限，应选择&保持目录和文件权限&单选按钮；如果要保持原来Windows 目录和文件权限并加入新设置的权限，应选择&原封不动地保持当前的目录和文件许可配置，并加入推荐的许可权限&单选按钮。这里选择&推荐：替换全部的目录和文件访问权限&单选按钮，以新设置的权限替换原有的目录和文件权限。

     5. 单击&下一步&按钮，打开如图7所示的&安全摘要&对话框，在设置列表框中选择要应用的设置，包括验证方法、访问许可、IP地址限制和文件ACL将不能被修改等设置。

图7 &安全摘要&对话框

     6. 单击&下一步&按钮，打开&您已成功的完成IIS 5.0‘权限向导’&对话框，再单击&完成&即可完成设置。

　五、安全认证

     在Windows 2000中，对于通过HTTP协议访问，Internet 信息 服务提供了三种登录认证方式，它们分别是匿名方式、明文方式和询问/应答方式。用户采用那种方式取决于用户建立Internet信息 服务器的的目的。

     如果用户建立站点的目的是为了做广告，那么可以选择匿名方式。因为访问者中的大多数是第一次访问用户的站点，用户不可能也没有必要为他们建立帐户。如果希望通过自己的Internet信息服务器为访问者提供电子邮件寄存或信息交付等网络服务，则需要选用明文方式。因为在这种方式下，访问者必须使用用户名和密码进行访问，可有效的保护私人邮件或信息的安全性。如果用户的Internet信息服务器的访问者主要是企业内部的员工，并且希望服务器中的信息受到最安全的保护，可选择询问/应答方式。这种方式要求访问者在访问之前先进行访问请求，在得到许可后才可进行访问；这样，访问者对用户服务器的访问在用户直接控制下进行。不过这种方式要求访问者使用的浏览器必须是InternetExplorer浏览器，因为其他浏览器不支持这种认证方式。

     由于在许多Internet信息 服务器上，对Web、FTP及SMTP虚拟 服务器的访问都是匿名的，本节就以匿名访问为例介绍如何进行安全认证设置。

     1. 在如图所示的对话框中，单击&目录安全性&选项卡，如图8所示。

图8 &目录安全性&选项卡

     2. 在&匿名访问和验证控制&选项区域中，单击&编辑&按钮，打开&验证方法&对话框，如图9所示。

图9 设置匿名访问和验证控制

     3. 要选择匿名认证方式，启用&匿名访问&复选框，并单击&编辑&按钮，打开如图10所示的&匿名账号&对话框进行设置。

图10 设置匿名账号

     4. 在安装Internet信息 服务时，系统将自动创建一个匿名账号： IUSR计算机名，如果计算机名为LY，则匿名账号为： IUSR_LY。使用&IUSR 计算机名&账号可以将Web客户登录到服务器上。允许匿名服务时，管理员可更改用户匿名请求的的用户账号，并可更改此账号的密码。在&用户名&文本框中直接输入用户账号名，或者单击&浏览&按钮，打开如图11所示的&选择Windows用户账号&对话框选择一个要添加的用户账号。

图11 选择Windows用户账号

     5. 在&匿名用户账号&对话框中，启用&允许IIS控制 密码&复选框，或者在& 密码&文本框中输入用户账号 密码。

     6.单击&确定&按钮完成匿名访问设置，同时返回到&验证方法&对话框，再单击&确定&按钮返回到&默认Web站点属性&对话框，然后单击&确定&按钮关闭对话框。

     注释:如果用户的Web和FTP服务禁用匿名访问或访问受NTFS访问控制列表限制时，系统会自动使用明文方式进行认证，需要访问者的用户名和密码。这时，就需要选择登录验证访问方法，Internet信息服务可选的验证方法有基本验证、Windows域服务器的简要验证和Windows验证。一般选择Windows验证，因为基本验证时是一种明文密码验证，可能会造成未经过加密的密码在网络上传输，想危害用户的系统的非法访问者可用协议分析器在验证过程中检查用户密码；Windows域服务器的简要验证是一种简要的身份验证，使Internet信息 服务与Windows 2000域账号管理器一起工作进行验证，仅要求用户账号并将账号密码保存为加密明文文本；不利于验证信息的安全性。要使用Windows验证，在&验证方法&对话框中的&验证访问&选项区域中，启用&继承 Windows验证&复选框。

     六、IP地址及域名限制

     通过IP地址及域名限制，用户可禁止某些特定的计算机或者某些区域中的主机对自己的Web和FTP站点及SMTP虚拟服务器的访问。当有大量的攻击和破坏来自于某些地址或者某个子网时，使用这种限制机制是非常有用的。不过，进行IP地址及域名限制的首要条件是用户必须知道网络黑客的计算机使用哪些IP地址或属于哪些网络区域，否则无法进行限制。对基于Internet的信息服务器，站点接受来自于各个方的访问，用户很难进行地址限制。一般，只有基于企业内部网络的信息服务器才使用IP地址及域名进行安全保护。下面就以Web站点为例介绍IP地址及域名限制的设置过程。

     1. 在如图8所示的图中，在& IP地址及域名限制&文本框中单击&编辑&按钮，打开& IP地址及域名限制&对话框，如图12所示。

图12 设置IP地址及域名限制

     2. 如果选择&授权访问&单选按钮，除了&例外&列表框中的计算机外，其他所有的计算机都可访问该Web站点上的内容。如果选择&拒绝访问&单选按钮，除了 &例外&列表框中的计算机外，其他所有的计算机都不能访问该Web站点上的内容。这里选择&授权访问&单选按钮并添加没有访问权限的 计算机。

     3. 单击&添加&按钮，打开&授权以下访问&对话框，如图13所示。

图13 授权访问

     4. 如果要对单个 计算机进行限制，选择&单机&单选按钮，并在& IP地址&文本框中输入要授权的计算机的IP地址；或者单击& DNS查找&按钮，打开& DNS查找&对话框，选择某个DNS域中要授权的 计算机。如果要对一组计算机进行限制，选择&一组计算机&单选按钮，在&网络标识&文本框中输入要授权的一组计算机中的任何一个计算机的IP地址，并在&子网掩码&文本框中输入子网掩码。如果要对某个域中的计算机进行限制，选择&域名&单选按钮，并在&域名&文本框中输入授权的域的域名。

     5.单击&确定&按钮返回到&IP地址及域名限制&对话框。如果还要进行访问授权，可继续单击&添加&按进行添加。这样，被添加的单个 计算机、一组 计算机或者一个域的客户可访问 服务器，而其他的客户则没有访问权。

     6. 单击&确定&按钮返回到&默认Web站点属性&对话框，再单击&确定&按钮保存设置。

     七、停止、启动和暂定站点 服务

     在站点维护中，停止、启动和暂定站点服务是经常要进行的工作。例如，当某个站点的内容和设置需要进行比较大的修改时，用户可将该站点的服务停止或者暂停，以便操作。当已经停止或暂停的站点需要启动自己的服务时，就启动它。

     要停止、启动和暂定某个站点的信息 服务，在控制台目录树中，展开& Internet信息服务&节点和服务器节点，展开服务器节点。如果要暂停某个Web或者FTP站点服务