你的位置:首页 > 安全相关

IIS配置及安全访问控制策略详解-下

2008-11-18 浏览:(2984) 安全相关 评论(0)

《IIS服务配置及安全访问控制策略详解-上》介绍了相关的实验网络环境配置、IIS的安装、Web站点和FTP站点的配置,并通过基于不同OS的客户机(分别是Windows 2000和Red Hat Linux 9)对IIS服务(Web、Ftp服务)进行了测试。下篇将介绍“IIS的高级服务配置及测试、访问控制配置、远程管理Web站点以及在路由上做访问控制”等内容。

四、IIS的高级服务配置

   为了使当前IIS Server提供的IIS服务更加安全可靠,应当进行高级服务配置,从某种意义上,IIS服务器代表着本企业或者校园网的形象,甚至作为网络办公的平台,其中往往涉及一些非常重要的数据资料,事实上,黑客们攻击的对象也大都是Web站点和FTP站点,因此IIS Server服务器的安全越来越显得重要,所以IIS服务器需要配置包括对Web站点的访问帐号验证及访问的IP地址授权以及对FTP站点的访问帐号验证,上传文件权限配置以及对FTP站点提供的IP地址授权等等。

此外,还可以在路由器Router2中做IP地址的访问控制ACL,通过ACL访问控制列表来拒绝或者接受来自各客户机的访问。

1.在IISserver中配置安全访问帐号

步骤○1为了在提供Web服务时进行身份验证,实例中,在IIS Server上建立一个用以提供Web访问的帐号webuser,并设置相应的密码为123456,如图19

图19

步骤○2为了在提供FTP服务时进行身份验证,实例中,在IIS Server上建立一个用以提供FTP访问的帐号ftpuser,并设置相应的密码为123456,如图20

图20

步骤○3添加IIS server的本地组webgroup,并将webuser添加至该组中,如图21

图21

步骤○4添加IIS server的本地组ftpgroup,并将ftpuser添加至该组中,如图22

图22

步骤○5打开在IIS server中为Web提供服务的主目录wwwroot的属性对话框,在安全选项卡中添加webuser用户,并为其设置相应的访问权限,如图23

图23

步骤○6打开IIS信息服务控制台,在默认的Web站点属性对话框中的目录安全性选项卡,将匿名访问前的复选框去掉,对WEB访问用户进行身份验证设置,如图24

图24

步骤○7打开IIS信息服务控制台,在默认的FTP站点属性对话框中的安全帐号选项卡,将允许匿名连接前的复选框去掉,并通过添加将ftpuser帐号加入其中,对FTP访问用户进行身份验证设置,如图25

图25

五、IIS高级服务测试

1.在PC1和PC2上做Web站点的访问测试

步骤○1在PC1和PC2中打开Internet Explorer浏览器,输入WEB站点的IP地址http://172.16.1.2,访问后如图26

图26

步骤○2此时如不输入正确的webuser帐号及密码或者使用取消,访问将被拒绝。如图27

图27

步骤○3访问时提供正确的webuser帐号及密码后,如图28

图28

步骤○4正确的帐号Webuser验证通过以后,Web站点访问成功,如图29

图29

2.在PC1和PC2上做FTP站点的访问测试

步骤○1在PC1和PC2中打开Internet Explorer浏览器,输入FTP站点的IP地址ftp://172.16.1.2,访问后如图30

图30

步骤○2此时如果不能提供正确的ftpuser帐户和密码,访问被拒绝,如果提供的帐号和密码正确,则如图31-图32

图31

图32

(3) 在PC4(Red Hat Linux 9)上做WEB站点及FTP站点测试,同样也需要提供正确的帐号和密码,在访问Web站点时提供webuser帐号,在访问FTP站点时提供ftpuser帐号。

(4) 比如使用RED HAT LINUX 9的终端登陆FTP站点,正常访问如图33,如果FTP站点配置了写入权限,还可以在PC4上上传文件至FTP站点,如图33中所示

图33

(5) 如果不能提供正确的ftpuser帐号和密码,访问将被拒绝。如图34

图34

六、在IIS server服务器上做访问控制配置

1.在IIS Server上做Web服务的IP地址及域名限制,打开默认web站点属性对话框,并在目录安全性选项卡中通过编辑IP地址及域名限制,配置如图35

图35

2.在IIS Server上做FTP服务的IP地址及域名限制,打开默认FTP站点属性对话框,并在目录安全性选项卡中通过编辑IP地址及域名限制,配置如图36

图36

3. 此时,在PC4(IPAddress:172.16.1.3)和PC2(IPAddress:192.168.1.2)上访问可通过,能正常使用IISServer所提供的Web站点或者FTP站点服务,而在PC1(IPAddress:192.168.2.2)上访问被拒绝,如图37,图38

图37

图38

七、远程管理Web站点

   由于某些时候在IIS Server服务器上操作不是很方便,我们还需要对IIS服务器进行远程管理,这样,只要能够通过局域网或者在企业网内部,事实上在INTERNET上也可以与IIS server服务器相连,就可以使用IE浏览器来实现对WEB站点的远程管理。

步骤1.在控制台中选择管理Web站点,打开管理web站点属性对话框,此时应注意端口的配置,在实例中选择默认的3914端口。如图39

图39

步骤2:打开操作员选项卡,将Webuser帐号添加进来,今后通过webuser帐号可对IIS进行远程管理。如图40

图40

步骤3:出于IIS管理的安全性,不允许任何机器登陆IIS服务器进行配置,我们将IP地址及域名限制到管理员经常使用的PC2机上。如图41

图41

步骤4:此时在PC1和PC4的浏览器中输入http://172.16.1.2:3914,访问被拒绝,而在PC2上输入管理WEB站点的地址http://172.16.1.2:3914,访问正常,可对IIS做远程的WEB站点管理,如图42

图42

八、在路由上做访问控制

   为了在IIS Server上提供更加安全可靠的服务,如当前IIS Server服务器向PC2和PC4提供IIS服务,而拒绝给PC1提供服务,这时候可以在路由器上做ACL访问控制表。

实例中我们以Router2作为ACL控制路由器,登陆到Router2后,对Router2做标准的访问控制
router2#config t

Enter configuration commands, one per line.  End with CNTL/Z.
router2(config)#access-list 1 permit 192.168.1.0 0.0.0.255
router2(config)#int serial 0
router2(config-if)#ip access-group 1 in
router2(config-if)#exit
router2(config)#exit
router2#

使用show running-config 后可看到

ip classless
access-list 1 permit 192.168.1.0 0.0.0.255
snmp-server community public RO
!

这时从PC2(IPAdress 192.168.1.2)上访问IIS Server,服务被接受,访问正常。如果从PC1(IPAdress 192.168.2.2)上访问IIS Server,服务被觉得,无法正常访问。

总之,IIS在Intranet中提供了很重要的信息共享服务,但是在提供IIS服务时如果只是对其进行基本设置,提供匿名访问的话可能会带来许多安全性的问题,所以需要IIS Server的访问安全性做合理的规划,如访问身份验证和IP地址及域名访问控制,其中访问控制可以在IIS Server服务器本身或者在路由器中做ACL的访问控制表进行安全访问控制。此外IIS还提供了虚拟网站和虚拟目录,虚拟网站可以将一个IIS服务器配置成多个WEB站点。

  • 发表评论
  • 查看评论
【暂无评论!】

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。