網(wǎng)絡管理員(IIS).ppt

網(wǎng)絡管理員培訓,IIS服務器配置,M,常用的Web服務器軟件,PWS 適用于Windows95/98/me IIS 適用于Windows2000/2003/xp/Vista等 其它 Apache等,M,IIS簡介,IIS是Internet Information Server的簡稱。 IIS作為當今流行的Web服務器之一，提供了強大的Internet和Intranet服務功能，如何加強IIS的安全機制，建立一個高安全性能的Web服務器，已成為IIS設置中不可忽視的重要組成部分。 IIS通過超文本傳輸協(xié)議（HTTP）傳輸信息，還可配置IIS以提供文件傳輸協(xié)議（FTP）和其他服務，如SMTP服務等。 用于網(wǎng)頁瀏覽、文件傳輸、郵件發(fā)送等方面，它使得在網(wǎng)絡（包括互聯(lián)網(wǎng)和局域網(wǎng)）上發(fā)布信息成了一件很容易的事。,M,IIS版本,IIS版本對應的windows版本信息 2000 iis版本是5.0 xp 版本是5.1 2003版本是6.0 2008版本是7.0,M,IIS的添加,IIS添加 請進入“控制面板” 依次選“添加/刪除程序添加/刪除Windows組件” 將“Internet信息服務（IIS）”前的小鉤去掉（如有），重新勾選中后按提示操作即可完成IIS組件的添加。 用這種方法添加的IIS組件中將包括Web、FTP、NNTP和SMTP等全部四項服務。,M,IIS添加,M,IIS的運行,當IIS添加成功之后 再進入“開始程序管理工具Internet服務管理器”以打開IIS管理器 對于有“已停止”字樣的服務 在其上單擊右鍵，選“啟動”來開啟。,M,IIS運行,M,IIS之Web服務器（建立第一個Web站點）,Web站點 本機的IP地址為 網(wǎng)頁放在D:Wy目錄下 網(wǎng)站的首頁文件名為Index.htm 現(xiàn)在想根據(jù)這些建立好自己的Web服務器。 對于此Web站點，我們可以用現(xiàn)有的“默認Web站點”來做相應的修改后，就可以輕松實現(xiàn)。請先在“默認Web站點”上單擊右鍵，選“屬性”，以進入名為“默認Web站點屬性”設置界面。,M,第一個Web站點,修改綁定的IP地址 轉(zhuǎn)到“Web站點”窗口 再在“IP地址”后的下拉菜單中選擇或輸入所需用到的本機IP地址“” 修改主目錄 轉(zhuǎn)到“主目錄”窗口 再在“本地路徑”輸入（或用“瀏覽”按鈕選擇）好自己網(wǎng)頁所在的“D:Wy”目錄 添加首頁文件名 轉(zhuǎn)到“文檔”窗口 再按“添加”按鈕，根據(jù)提示在“默認文檔名”后輸入自己網(wǎng)頁的首頁文件名“Index.htm”。,M,第一個Web站點,添加虛擬目錄 比如你的主目錄在“D:Wy”下，而你想輸入“/test”的格式就可調(diào)出“E:All”中的網(wǎng)頁文件，這里面的“test”就是虛擬目錄。 在“默認Web站點”上單擊右鍵，選“新建虛擬目錄”，依次在“別名”處輸入“test”，在“目錄”處輸入 “E:All”后再按提示操作即可添加成功。 效果的測試 打開IE瀏覽器，在地址欄輸入“”之后再按回車鍵，此時就能夠調(diào)出你自己網(wǎng)頁的首頁，則說明設置成功！,M,多個地址對應多個Web站點,多個IP對應多個Web站點 如果本機已綁定了多個IP地址，想利用不同的IP地址得出不同的Web頁面 只需在“默認Web站點”處單擊右鍵，選“新建站點”，然后根據(jù)提示在“說明”處輸入任意用于說明它的內(nèi)容（比如為“我的第二個Web站點”）、在“輸入Web站點使用的IP地址”的下拉菜單處選中需給它綁定的IP地址即可； 當建立好此Web站點之后，再按上步的方法進行相應設置。,M,一個IP地址對應多個Web站點,建立好所有的Web站點后 對于做虛擬主機，可以通過給各Web站點設不同的端口號來實現(xiàn)，比如給一個Web站點設為80，一個設為 81，一個設為82 則對于端口號是80的Web站點，訪問格式仍然直接是IP地址就可以了 而對于綁定其他端口號的Web站點，訪問時必須在IP地址后面加上相應的端口號，也即使用如“:81”的格式。,M,對IIS服務的遠程管理,1在“Web站點”上單擊右鍵，選“屬性”，再進入“Web站點”窗口，選擇好“IP地址”。 2轉(zhuǎn)到“目錄安全性”窗口，單擊“IP地址及域名限制”下的“編輯”按鈕，點選中“授權訪問”以能接受客戶端從本機之外的地方對IIS進行管理；最后單擊“確定”按鈕。 3則在任意計算機的瀏覽器中輸入如“:3598”（3598為其端口號）的格式后，將會出現(xiàn)一個密碼詢問窗口，輸入管理員帳號名（Administrator）和相應密碼之后就可登錄成功，現(xiàn)在就可以在瀏覽器中對IIS進行遠程管理了！在這里可以管理的范圍主要包括對Web站點和 FTP站點進行的新建、修改、啟動、停止和刪除等操作。,M,常見問題,我設置好了一個Web服務器，但是當我訪問網(wǎng)頁時，卻出現(xiàn)密碼提示窗口。這是為什么？ A：訪問Web站點時，出現(xiàn)密碼提示窗口，一般來說有以下原因，請逐個去進行檢查： 1所訪問的網(wǎng)頁文件本身加了密。比如“默認Web站點”原主目錄“E:Inetpubwwwroot”下的首頁文件“iisstart.asp”訪問時就需要密碼。 2沒有設置允許匿名訪問或作了不應該的改動.如圖4所示,首先應確保已勾選中了“匿名訪問”這一項；并且其下“編輯”中“匿名用戶帳號”中“用戶名” 一項應為“IUSR_NODISK”（其中“NODISK”為計算機名）的格式；另外，還需要已勾選中“允許IIS控制密碼”一項。 3、你的目標目錄被限制了訪問權限。此項僅當該目錄位于NTFS格式分區(qū)中時才可能出現(xiàn)。請在其上單擊右鍵，選“屬性”，再進入“安全”窗口，看列表中是不是默認的允許“Everyone”組完全控制的狀態(tài)，如不是，請改回。,M,M,M,常見問題,在所涉及到的網(wǎng)址中，有的加了“http:/”，有的沒加，這意味著什么呢？ A：沒有加“http:/”部分的網(wǎng)址，說明其可加可不加； 而加了“http:/”部分的，則說明它必不可少！ 對于帶端口號的網(wǎng)址則必須加； 否則可省略。,M,用IIS建立高安全性Web服務器,構造一個安全系統(tǒng) IIS安全安裝 IIS的安全配置,M,構造一個安全系統(tǒng),要創(chuàng)建一個安全可靠的Web服務器，必須要實現(xiàn)Windows 2000和IIS的雙重安全，因為IIS的用戶同時也是Windows 2000的用戶，并且IIS目錄的權限依賴Windows的NTFS文件系統(tǒng)的權限控制，所以保護IIS安全的第一步就是確保Windows 2000操作系統(tǒng)的安全： 1. 使用NTFS文件系統(tǒng)，以便對文件和目錄進行管理。 2. 關閉默認共享 打開注冊表編輯器，展開“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”項，添加鍵值AutoShareServer，類型為REG_DWORD，值為0。 這樣就可以徹底關閉“默認共享”。,M,構造一個安全系統(tǒng),3. 修改共享權限 建立新的共享后立即修改Everyone的缺省權限，不讓Web服務器訪問者得到不必要的權限。 4. 為系統(tǒng)管理員賬號更名，避免非法用戶攻擊。 鼠標右擊我的電腦管理啟動“計算機管理”程序，在“本地用戶和組”中，鼠標右擊“管理員賬號(Administrator)”選擇“重命名”，將管理員賬號修改為一個很普通的用戶名。 5. 禁用TCP/IP 上的NetBIOS 鼠標右擊桌面上網(wǎng)絡鄰居 屬性 本地連接 屬性，打開“本地連接屬性”對話框。選擇Internet協(xié)議(TCP/IP)屬性高級WINS，選中下側(cè)的“禁用TCP/IP上的NetBIOS”一項即可解除TCP/IP上的NetBIOS。,M,構造一個安全系統(tǒng),6. TCP/IP上對進站連接進行控制 鼠標右擊桌面上網(wǎng)絡鄰居 屬性 本地連接 屬性，打開“本地連接屬性”對話框。選擇Internet協(xié)議(TCP/IP)屬性高級選項， 在列表中單擊選中“TCP/IP篩選”選項。單擊屬性按鈕，選擇“只允許”，再單擊添加按鈕，只填入80端口。 7. 修改注冊表，減小拒絕服務攻擊的風險。 打開注冊表：將HKLMSystem CurrentControlSetServicesTcpipParameters下的SynAttackProtect的值修改為2，使連接對超時的響應更快。 保證IIS自身的安全性,M,IIS安全安裝,要構建一個安全的IIS服務器，必須從安裝時就充分考慮安全問題。 1. 不要將IIS安裝在系統(tǒng)分區(qū)上。 2. 修改IIS的安裝默認路徑。 3. 打上Windows和IIS的最新補丁。,M,IIS的安全配置,1. 刪除不必要的虛擬目錄 IIS安裝完成后在wwwroot下默認生成了一些目錄，包括IISHelp、IISAdmin、IISSamples、MSADC等，這些目錄都沒有什么實際的作用，可直接刪除。 2. 刪除危險的IIS組件 默認安裝后的有些IIS組件可能會造成安全威脅，例如 Internet服務管理器(HTML)、SMTP Service和NNTP Service、樣本頁面和腳本，大家可以根據(jù)自己的需要決定是否刪除。,M,IIS的安全配置,3. 為IIS中的文件分類設置權限 除了在操作系統(tǒng)里為IIS的文件設置必要的權限外，還要在IIS管理器中為它們設置權限。一個好的設置策略是：為Web 站點上不同類型的文件都建立目錄，然后給它們分配適當權限。例如：靜態(tài)文件文件夾允許讀、拒絕寫，ASP腳本文件夾允許執(zhí)行、拒絕寫和讀取，EXE等可執(zhí)行程序允許執(zhí)行、拒絕讀寫。,M,IIS的安全配置,4. 刪除不必要的應用程序映射 ISS中默認存在很多種應用程序映射，除了ASP的這個程序映射，其他的文件在網(wǎng)站上都很少用到。 在“Internet服務管理器”中，右擊網(wǎng)站目錄，選擇“屬性”，在網(wǎng)站目錄屬性對話框的“主目錄”頁面中，點擊配置按鈕，彈出“應用程序配置”對話框，在“應用程序映射”頁面，刪除無用的程序映射。 如果需要這一類文件時，必須安裝最新的系統(tǒng)修補補丁，并且選中相應的程序映射，再點擊編輯按鈕，在“添加/編輯應用程序擴展名映射”對話框中勾選“檢查文件是否存在”選項。這樣當客戶請求這類文件時，IIS會先檢查文件是否存在，文件存在后才會去調(diào)用程序映射中定義的動態(tài)鏈接庫來解析。,M,IIS的安全配置,5. 保護日志安全 日志是系統(tǒng)安全策略的一個重要環(huán)節(jié)，確保日志的安全能有效提高系統(tǒng)整體安全性。 修改IIS日志的存放路徑