安全性與II
　　信息服務(wù)器IIS是BACKOFFICE系列產(chǎn)品中功能最強大、最流行的應用程序，它與整個(gè)BACKOFFICE組件一樣，IIS也是圍繞WINDOWS NT體系而生成的。它作為WINDOWS NT SERVER提供的一組服務(wù)而運行，允許它利用WINDOWS NT的各項軟件功能。
　　
　　不過(guò)，確保你數據完整性仍是一個(gè)必須認真對待的關(guān)鍵性安全問(wèn)題。IIS憑借豐富而又強大的驗證、訪(fǎng)問(wèn)控制和審核功能可以保證數據的完整性，因為它以WINDOWS NT SERVER作系統為基礎。此外，它還支持安全插接層SSL，它通過(guò)對IIS和支持SSL的所有瀏覽器之間的對話(huà)進(jìn)行加密來(lái)保證安全通信更加保密。
　　
　　黑客們知道大多數WEB和FTP網(wǎng)站都允許匿名訪(fǎng)問(wèn)。這些網(wǎng)站常常錯誤配置，這樣就存在安全漏洞。下面介紹須采取哪些措施才能保證保證IIS使你的網(wǎng)絡(luò )和數據完全避免黑客入侵。
　　
　　一、利用現有的WINDOWS NT安全性能來(lái)保護IIS ISS通過(guò)WINDOWS NT安全模型提供安全性，也就說(shuō)，安全帳戶(hù)管理器數據庫中定義的用戶(hù)帳戶(hù)和組將確定一旦用戶(hù)接入IIS機器，他們能進(jìn)行什么操作。你不僅要核查現有的帳戶(hù)權限和許可權，并且要限制匿名訪(fǎng)問(wèn)使用的帳戶(hù)權限和許可權，這非常重要。
　　
　　記錄IIS的所有服務(wù)程序都支持廣泛的記錄功能。記錄功能很重要，因為它能用來(lái)監視可疑的活動(dòng)，從而決定應當保留什么、應當取消什么，以便進(jìn)行容量規劃。
　　
　　啟動(dòng)記錄功能很容易，每項服務(wù)的事件都共同記錄在同一個(gè)公用文件中。若要啟動(dòng)記錄功能，請打開(kāi)IIS MANEGER，雙擊你要啟動(dòng)其記錄功能的服務(wù)器，顯示PROPERTIES對話(huà)框。接著(zhù)單擊LOGGING標簽，將彈出一個(gè)對話(huà)框。該標簽的用法相當直接，你只須單擊ENABLE LOGGING選項，然后你選擇是記錄到一個(gè)文本文件，還是記錄到SQL數據庫，并確定日志文件多長(cháng)時(shí)間更新一次。
　　
　　提示當你第一次安裝服務(wù)器時(shí)，要設置為DAILY LOGGING（日志），這樣你可以每天看到結果。過(guò)一段時(shí)間后，你再選擇最合適的記錄方式。
　　
　　ADVANCED選項通過(guò)單擊SERVICE PROPERTIED對話(huà)框的ADVANCED標簽，IIS還支持簡(jiǎn)單過(guò)濾功能。你可使用ADVANCED OPTIONS標簽來(lái)限制或允許某些IP地址對WEB服務(wù)器的訪(fǎng)問(wèn)。在彈出的ADVANCED標簽中，激活By default all computer will be granted access(缺省時(shí)，所有計算機將獲得訪(fǎng)問(wèn)權）你可以使用ADD鈕將應當拒絕訪(fǎng)問(wèn)的某些特定的IP地址范圍輸入進(jìn)來(lái)。
　　
　　或者，如果你想強制執行嚴格的安全保護，你可以選擇By Default all computer will be den access（缺省時(shí)，所有的計算機將被拒絕訪(fǎng)問(wèn)），然后根據應當能訪(fǎng)問(wèn)這臺機器的IP地址確定主機表。這是一個(gè)功能強大而且價(jià)值較高的工具，有助于確保你網(wǎng)站的安全，所以不應忽視。
　　
　　二、IIS Advanced安全性能與Exchange Server一樣，Internet信息服務(wù)器提供Advanced安全性能，使你通信絕對安全。它們由SSL（安全插接層）2.0版和3.0版以及PCT（保密通信技術(shù)）1.0組成。SSL可對TCP/IP通信進(jìn)行數據加密、服務(wù)器驗證和郵件集成功能。
　　
　　安全插接層安全插接層（SSL）是一個(gè)由Netscape通信公司開(kāi)發(fā)的協(xié)議，并提交環(huán)球網(wǎng)聯(lián)盟（W3C）作為保證Internet通信安全的標準。當支持SSL的一臺客戶(hù)機（Internet Explorer2.0和3.x和Netscape 3.x）與支持SSL的服務(wù)器連接時(shí)，在TCP/IP連接時(shí)就出現“信號交換的交接關(guān)系”來(lái)進(jìn)行驗證，以確定在通信中將實(shí)施哪一級安全保護。
　　
　　在建立連接后，SSL接著(zhù)對流經(jīng)使用中的應用協(xié)議的數據進(jìn)行加密和解密。所有請示和響應信息都應該加密，其中包括客戶(hù)機下在請示的統一資源定位符（URL）、其它形式的數據（如你的地址或食用卡號碼）、任何驗證信息（用戶(hù)名和口令）以及所有由服務(wù)器返回到客戶(hù)機的數據。
　　
　　SSL是位于應用協(xié)議（如HTTP）之下，SMTP位于連接協(xié)議TCP/IP之上。MICROSOFT INTERNET信息服務(wù)器支持超文本傳輸協(xié)議保密（HTTPS）訪(fǎng)問(wèn)方式。盡管SSL能提供實(shí)際不可破譯的加密功能，但SSL加密傳輸的速度要低于非加密傳輸。因此，為了防止你整個(gè)WEB網(wǎng)站的性能下降，你可以考慮只把SSL作為虛擬的文件夾用來(lái)處理高度機密信息，如提交的包含信用卡信息的表格。
　　
　　你可以在你WEB網(wǎng)站的根目錄（\InetPub\Wwwroot是缺省值）或在一個(gè)或多個(gè)虛擬文件夾中啟動(dòng)SSL安全功能。一旦SSL配置好和啟動(dòng)后，只有支持SSL的客戶(hù)機能與支持SSL的WWW公文夾進(jìn)行通信交流。
　　
　　在WEB服務(wù)器上啟動(dòng)SSL安全性能，需要進(jìn)行以下幾步工作：
　　
　　1、使用密鑰管理器來(lái)生成一個(gè)密鑰對文件和一個(gè)請求文件。
　　
　　2、從一個(gè)認證機構獲得一個(gè)證書(shū)。
　　
　　3、在你的服務(wù)器上安裝新獲得的證書(shū)。
　　
　　4、激活WEB服務(wù)文件夾中的SSL安全功能。
　　
　　對于保密和公用內容，微軟公司建議你使用公開(kāi)的目錄。比如，c:\InetPub\Wwwroot\Secure和C:\InetPub\Wwwroot\Public。
　　
　　應注意以下幾點(diǎn)：
　　
　?。?）為IIS生成一個(gè)密鑰對時(shí)，在任何域中不要使用逗號，原因是逗號被解釋為字段的結尾。它們會(huì )在沒(méi)有警告的情況下產(chǎn)生無(wú)效請求。
　　
　?。?）如果你擁有多臺具有IIS的虛擬服務(wù)器功能的WEB服務(wù)器在安裝你的證書(shū)時(shí)，要確定具體服務(wù)器的IP地址，否則系統創(chuàng )建的所有虛擬服務(wù)都適用同一個(gè)證書(shū)。
　　
　?。?）如果你啟動(dòng)SSL，任何指向支持SSL的WWW文件夾中文檔的URL必須使用http://，而不是在URL中的http://。使用在URL中的http://的任何鏈路不支持安全文件夾。
　　
　　IIS的一般性安全提示你使用IIS隨意向INTERNET發(fā)布信息時(shí)，要確保網(wǎng)絡(luò )安全性。除了我們以前講座過(guò)后IIS功能外，你還要做到以下各點(diǎn)：
　　
　?。?）為系統分區和各項IIS服務(wù)程序生成分開(kāi)的區，這樣黑客無(wú)法輕易地從某項服務(wù)程序的某個(gè)漏洞對整個(gè)機器訪(fǎng)問(wèn)。
　　
　?。?）對機器的所有分區使用NTFS，要保證用戶(hù)權限設置正確。
　　
　?。?）將IIS服務(wù)器放置于其自己的域中，并與你的帳戶(hù)建立一種單向委托關(guān)系。如果黑客能得到某個(gè)有效帳戶(hù)的信息，那個(gè)帳戶(hù)也無(wú)法對你的用戶(hù)域進(jìn)行訪(fǎng)問(wèn)。
　　
　?。?）為各項INTERNET服務(wù)使用單獨帳戶(hù)（如果你計劃運行的不止是WEB服務(wù)器的話(huà)），這使得跟蹤用戶(hù)的活動(dòng)相當容易。
　　
　?。?）核查，然后再三核查為指定進(jìn)行匿名訪(fǎng)問(wèn)的帳戶(hù)分配的權限和許可權。需要給用戶(hù)分配最小的許可權，通常這是讀許可權。
　　
　?。?）只在你IIS機器上存儲非機密信息，并將信息放置在防火墻。這樣，如果信息安全性遭到破壞，黑客仍必須穿越防火墻。
　　
　?。?）在服務(wù)器上使用WINDOWS NT SERVER的TCP/IP過(guò)濾功能，只允許連接到你需要支持IIS服務(wù)的端口。比如，如果你只想運行WEB服務(wù)器只須啟動(dòng)端口80。
　　
　?。?）如果用戶(hù)利用非匿名帳戶(hù)對服務(wù)器進(jìn)行訪(fǎng)問(wèn)，務(wù)必通過(guò)加密口令進(jìn)行驗證。
　　
　　三、安全性與WEB服務(wù)器WEB服務(wù)器是IIS中一個(gè)強有力的功能全面的工具，它優(yōu)于其他同類(lèi)產(chǎn)品。它的性能得到優(yōu)化。且作為WINDOWS NT SERVER下的一項服務(wù)運行時(shí)，能為各種規模的網(wǎng)絡(luò )提供快速、方便、安全的WEB出版功能。
　　
　?。ㄒ唬┤绾伪ＷoWEB服務(wù)器的安全呢？如果你計劃建立WEB網(wǎng)站，要確保你WEB網(wǎng)站及其內容的安全以及你網(wǎng)絡(luò )及其資源的安全，除了我們曾經(jīng)提到過(guò)的安全措施外，你還要采取其它相應的手段。
　　
　　**注意**由于IIS提供的三種服務(wù)配置起來(lái)非常相似，故我們只詳細介紹WEB服務(wù)器的配置，接著(zhù)只說(shuō)明FTP服務(wù)器和Gopher服務(wù)器的差異。
　　
　　1、用戶(hù)和口令驗證明首先你需要了解匿名訪(fǎng)問(wèn)的嚴重后果，并采取預防措施來(lái)確保你為匿名訪(fǎng)問(wèn)創(chuàng )建的帳戶(hù)擁有適當的許可權。若要設置用戶(hù)對你的WEB服務(wù)器進(jìn)行訪(fǎng)問(wèn)的類(lèi)型，請在IIS MANAGER中雙擊WWW，調出你的WEB服務(wù)器再雙擊WEB服務(wù)器，就會(huì )顯示出WWW SERVICE PROPERTIES對話(huà)框。在對話(huà)框中，你可以看到，設置WEB服務(wù)器服務(wù)程序可以使用多種選項。對于安裝的大多數的IIS而言，缺省選項最好。然而，有兩種關(guān)鍵的設置將決定用戶(hù)對WEB網(wǎng)站的訪(fǎng)問(wèn)等級：匿名登錄和口令驗證。
　　
　　如果你希望允許大眾進(jìn)行訪(fǎng)問(wèn)，一定要確保你同意匿名訪(fǎng)問(wèn)。按照缺省設置，當IIS安裝好后，在你的用戶(hù)數據庫就會(huì )創(chuàng )建一個(gè)新用戶(hù)帳戶(hù)，其名字為IUSR_，后接已安裝好的服務(wù)器名。舉例說(shuō)明：如果服務(wù)器名為SAMUEL-1，新用戶(hù)帳戶(hù)則為IUSR_SAMUE-1。當帳戶(hù)創(chuàng )建好，它被賦予有限的訪(fǎng)問(wèn)權，并增加到域用戶(hù)、客人用戶(hù)和EVERYONE組中。
　　
　　此外，IUSR_帳戶(hù)被賦予在本地登錄的權限（LOGON LOCALLY）。所有WEB用戶(hù)都必須具有這種權限，原因是他們的請求被傳送至WEB服務(wù)器服務(wù)程序，該服務(wù)程序利用他們的帳戶(hù)去登錄，接著(zhù)允許WINDOWS NT分配相應的訪(fǎng)問(wèn)權。
　　
　　如果你希望所有用戶(hù)按照特定的用戶(hù)帳戶(hù)和口令得到驗證，你僅僅清除Anonymous Logon（匿名登錄）選項即可。那將要求各用戶(hù)在訪(fǎng)問(wèn)服務(wù)器的資源前輸入有效的用戶(hù)ID和口令。如果你能啟動(dòng)啟示功能，你就能查看到誰(shuí)正訪(fǎng)問(wèn)WEB服務(wù)器以及他們所進(jìn)行的操作。
　　
　　另一項決定你網(wǎng)站安全性的重要設置是你想使用的口令驗證類(lèi)型，這里我們不再深入探討。為了實(shí)現最大的安全性，你可以激活Windows NT Challenge/Response選項，它在傳輸信息前對你的用戶(hù)ID和口令進(jìn)行加密，從而保證帳戶(hù)信息在網(wǎng)絡(luò )安全傳輸。（遺憾的是只有Microsoft Internet Explorer 2.0及2.0以上版本才支持這種功能。）
　　
　　2、虛擬目錄為確保你網(wǎng)站的安全性，配置WEB服務(wù)器可以看到的目錄以及相應的訪(fǎng)問(wèn)層次也是很重要的。當你第一次安裝IIS時(shí)，按照缺省設置，它會(huì )自行創(chuàng )建一個(gè)叫做InetPub的目錄（安裝老版本的IIS則創(chuàng )建InetPub），接著(zhù)為其提供的INTERNET服務(wù)生成根目錄。Web服務(wù)器的根目錄缺省為wwwroot，它應當是你主頁(yè)所在位置。接著(zhù)你可以使用Director