IIS(Internet information service)是Windows 系統(tǒng)中最常用的網(wǎng)絡(luò)服務(wù)之一，可以為Internet或Intranet提供WWW服務(wù)和FTP服務(wù)。不僅如此，許多網(wǎng)絡(luò)服務(wù)也是基于IIS服務(wù)的，如流媒體服務(wù)、終端服務(wù)等。如何加強(qiáng)IIS的安全機(jī)制，建立高安全性能的WWW服務(wù)器，已成為網(wǎng)絡(luò)管理的重要組成部分。

IIS是Windows Server 2008中默認(rèn)的版本，相對(duì)于IIS6.0而言，安全性和實(shí)用性都經(jīng)過了重新設(shè)計(jì)和整合。IIS7.0支持多種安全機(jī)制，從管理控制臺(tái)訪問權(quán)限控制，到站點(diǎn)、目錄的訪問權(quán)限設(shè)置，從身份驗(yàn)證到傳輸加密，IIS本身已經(jīng)可以主動(dòng)防御來自網(wǎng)絡(luò)的攻擊，同時(shí)配合NTFS權(quán)限的訪問控制，可以大大提升服務(wù)器和站點(diǎn)的安全級(jí)別。

本文只從身份驗(yàn)證到傳輸加密兩個(gè)方面介紹一下IIS7.0，領(lǐng)略一下其提升WWW服務(wù)安全之法。

一、用戶控制安全

WEB服務(wù)器的主要功能就是為用戶提供信息發(fā)布和查詢平臺(tái)，因?yàn)樾畔⒌拿嫦驅(qū)ο蟛煌?，所以需要?duì)訪問用戶進(jìn)行控制，通過設(shè)置適當(dāng)?shù)纳矸葑C驗(yàn)證方式即可實(shí)現(xiàn)。例如，如果信息面向所有用戶，則可以使用匿名身份驗(yàn)證；如果僅面向部分用戶，則可以僅賦予這些用戶對(duì)信息的訪問權(quán)限。配置身份驗(yàn)證可以確保服務(wù)器的安全，同時(shí)還可以為來訪用戶提供身份驗(yàn)證并生成服務(wù)器日志。

1、 依次選擇“開始”—>“管理工具”—>“Internet信息服務(wù)（IIS）管理器”選項(xiàng)，打開“Internet信息服務(wù)（IIS）管理器”窗口，依次展開LXH-2008（服務(wù)器名稱）—>“網(wǎng)站”—>“Default Web Site（默認(rèn)WEB站點(diǎn)）”選項(xiàng)，在右側(cè)的窗口中選擇“身份驗(yàn)證”圖標(biāo)，如圖1-1所示。

圖1-1

2、 在“操作”欄中單擊“打開功能”超鏈接，或者直接雙擊“身份驗(yàn)證”圖標(biāo)，打開圖1-2所示的“身份驗(yàn)證”窗格。

圖1-2

3、 在“身份驗(yàn)證”窗格中，選擇“匿名身份驗(yàn)證”選項(xiàng)并單擊“操作”欄中的“編輯”超鏈接，打開圖1-3所示的“編輯匿名身份證憑據(jù)”對(duì)話框。默認(rèn)選中“特定用戶”單選按鈕，IIS7.0默認(rèn)使用安裝過程中自動(dòng)創(chuàng)建的IUSR作為用戶名進(jìn)行匿名訪問。如果選中“應(yīng)用程序池標(biāo)識(shí)”單選按鈕，則可以允許IIS進(jìn)程使用在應(yīng)用程序池的屬性頁上指定的賬戶運(yùn)行。

圖1-3

4、 單擊“設(shè)置”按鈕，打開圖1-4所示的“設(shè)置憑據(jù)”對(duì)話框。單擊“確定”按鈕，替換系統(tǒng)默認(rèn)的IUSR賬戶，再次單擊“確定”按鈕，保存設(shè)置。

圖1-4

5、 更改系統(tǒng)默認(rèn)匿名訪問賬戶，雖然可以起到一定的安全保護(hù)作用，但仍不能適用于安全需求較高的WEB服務(wù)器。在“身份驗(yàn)證”窗格中，選擇“匿名身份驗(yàn)證”選項(xiàng)，單擊“操作”欄中的“禁用”超鏈接，即可禁用匿名訪問。此時(shí)，來訪用戶必須使用有效的用戶賬戶憑證，通過WEB服務(wù)器的身份驗(yàn)證，才可以進(jìn)行正常訪問。在“身份驗(yàn)證”窗口中，選擇希望使用的身份驗(yàn)證方式，單擊“操作”欄中的“啟用”超鏈接即可。

6、 選擇“基本身份驗(yàn)證”選項(xiàng)，在“操作”欄中單擊“編輯”超鏈接，打開圖1-5所示的“編輯基本身份驗(yàn)證設(shè)置”對(duì)話框。在“默認(rèn)域”文本框中，輸入默認(rèn)情況下對(duì)用戶進(jìn)行身份驗(yàn)證時(shí)所依據(jù)的域名，如loudreaders.com。在“領(lǐng)域”文本框中，輸入使用已通過默認(rèn)域身份驗(yàn)證的憑據(jù)的DNS域名或地址，如Lufj. loudreaders.com。

圖1-5

二、SSL安全

SSL安全功能可以通過對(duì)傳輸信息進(jìn)行加密，實(shí)現(xiàn)WEB客戶端與WEB服務(wù)器端的安全傳輸，避免數(shù)據(jù)被中途截獲或篡改。對(duì)于安全性要求很高的、交互性的WEB網(wǎng)站，建議采用SSL加密方式。若欲實(shí)現(xiàn)SSL通信，WEB服務(wù)器必須擁有有效的服務(wù)器證書。

通常情況下，若想實(shí)現(xiàn)SSL(Security Socket Layer)安全機(jī)制，在Windows Server 2003 系統(tǒng)中，需要借助第三方證書頒發(fā)機(jī)構(gòu)獲取服務(wù)器證書，主要包括如下操作：

創(chuàng)建證書申請(qǐng)；

將證書申請(qǐng)文件提交到第三方證書頒發(fā)機(jī)構(gòu)；

批準(zhǔn)證書申請(qǐng)并頒發(fā)證書；

將證書應(yīng)用到服務(wù)器

這樣的操作過程對(duì)于實(shí)現(xiàn)SSL加密無疑是相當(dāng)麻煩的。而在Windows Server 2008 系統(tǒng)中的IIS7.0中，可以創(chuàng)建WEB服務(wù)器的自簽名證書，并用于WEB站點(diǎn)的SSL加密，而IIS6.0中則無此功能。#p#

具體實(shí)現(xiàn)過程如下：

1、 服務(wù)器端設(shè)置

要想為站點(diǎn)啟用SSL安全保護(hù)，必須在服務(wù)器端創(chuàng)建用于SSL加密的證書和啟用SSL設(shè)置。

（1） 創(chuàng)建服務(wù)器證書

服務(wù)器證書包含關(guān)于服務(wù)器的信息，服務(wù)器在允許客戶在共享敏感信息之前，對(duì)其加以積極識(shí)別，WWW服務(wù)器只有在安裝有效服務(wù)器證書后，才擁有安全通信功能。

1) 在“Internet信息服務(wù)（IIS）管理器”窗口中，選擇使用SSL安全加密的站點(diǎn)，雙擊“服務(wù)器證書”圖標(biāo)，打開圖2-1所示的“服務(wù)器證書”窗格。安裝IIS7.0過程中，系統(tǒng)已經(jīng)自動(dòng)創(chuàng)建了一個(gè)服務(wù)器證書，管理員可以直接應(yīng)用該證書，也可以導(dǎo)入已有證書，或者創(chuàng)建新的證書。整理單擊“創(chuàng)建自簽名證書”超鏈接。

圖2-1

2) 在右側(cè)“操作”欄中，單擊“創(chuàng)建自簽名證書”超鏈接，打開圖2-2所示的“創(chuàng)建自簽名證書”對(duì)話框。在“為證書指定一個(gè)好記的名稱”文本框中，輸入服務(wù)器證書的文件名。

圖2-2

3) 單擊“確定”按鈕，創(chuàng)建自簽名證書完成，新創(chuàng)建的證書即可顯示在列表中，選中創(chuàng)建成功的自簽名服務(wù)器證書coolpen-lxh，單擊查看“超鏈接”，打開圖2-3所示的“證書”對(duì)話框，在這里可以查看該證書的名稱、頒發(fā)者、接受者、有效起始日期等詳細(xì)信息。

4) 在“Internet信息服務(wù)（IIS）管理器”窗口的“coolpen主頁”窗口中，右擊希望應(yīng)用此證書的站點(diǎn)（注意，必須是HTTPS站點(diǎn)），選擇快捷鍵菜單中的“編輯綁定”選項(xiàng)，如圖2-4所示，打開“網(wǎng)站綁定”對(duì)話框。

圖2-4

5) 選中HTTPS站點(diǎn)并單擊“編輯”按鈕打開 “編輯網(wǎng)站綁定對(duì)話框”，“IP地址”和“端口”設(shè)置保持默認(rèn)即可。在“SSL證書”下拉列表中，選擇剛剛創(chuàng)建的自簽名證書coolpen-lxh。

6) 單擊“確定”按鈕，返回“網(wǎng)站綁定”對(duì)話框。單擊“關(guān)閉”按鈕保存設(shè)置并退出。

（2） 啟用SSL設(shè)置

在“Internet信息服務(wù)（IIS）管理器”窗口中，單擊需要啟用SSL設(shè)置的站點(diǎn)，并在主窗口中雙擊“SSL設(shè)置”圖標(biāo)，打開圖6所示的“SSL設(shè)置”窗格。

圖2-5

選中“要求SSL”復(fù)選框，以啟用40位數(shù)據(jù)加密方法，該方法可以用來幫助確保服務(wù)器與客戶端之間傳輸?shù)陌踩?。該選項(xiàng)設(shè)置既可以用于Intranet環(huán)境，也可用于Internet環(huán)境。如果選中“需要128位SSL”復(fù)選框，則安全性更高，不過傳輸加密數(shù)據(jù)所需的帶寬也將隨之增加。

在“客戶證書”選項(xiàng)框中選中“接受”單選按鈕，即可啟用服務(wù)器端的SSL設(shè)置，接受客戶端證書（若提供）在允許客戶端獲得內(nèi)容訪問權(quán)限之前驗(yàn)證客戶端身份。系統(tǒng)默認(rèn)選中“忽略”單選按鈕，即如果提供客戶端證書，則該設(shè)置不會(huì)接受，因此該設(shè)置的安全性最低。如果選中“必要”單選按鈕，則在接受用戶訪問之前要求提供對(duì)應(yīng)證書驗(yàn)證客戶端身份的有效性。

設(shè)置完成后，在“操作”欄中單擊“應(yīng)用”超鏈接即可應(yīng)用設(shè)置。

2、 客戶端設(shè)置

用戶訪問使用SSL協(xié)議加密的站點(diǎn)或網(wǎng)頁，與訪問普通站點(diǎn)略有不同。首先，使用加密傳輸?shù)恼军c(diǎn)使用HTTPS://開頭的URL；其次，用戶必須連接到站點(diǎn)指定的證書服務(wù)器，獲取相關(guān)數(shù)字證書并安裝。具體實(shí)現(xiàn)過程，此處不再說明。

【編輯推薦】

1. 漫談Windows Server 2008的網(wǎng)絡(luò)特性
2. Windows Server 2008 R2安全性能體驗(yàn)
3. Windows server 2008 R2系統(tǒng)安全穩(wěn)如磐石
4. Windows server 2008 R2系統(tǒng)安全穩(wěn)如磐石
5. Windows Server 2008的創(chuàng)新性能和安全指數(shù)報(bào)告