四、IIS的高级服务配置

    为了使当前IIS Server提供的IIS服务更加安全可靠，应当进行高级服务配置，从某种意义上，IIS服务器代表着本企业或者校园网的形象，甚至作为网络办公的平台，其中往往涉及一些非常重要的数据资料，事实上，黑客们攻击的对象也大都是Web站点和FTP站点，因此IIS Server服务器的安全越来越显得重要，所以IIS服务器需要配置包括对Web站点的访问帐号验证及访问的IP地址授权以及对FTP站点的访问帐号验证，上传文件权限配置以及对FTP站点提供的IP地址授权等等。

    此外，还可以在路由器Router2中做IP地址的访问控制ACL，通过ACL访问控制列表来拒绝或者接受来自各客户机的访问。

1．在IISserver中配置安全访问帐号

步骤○1为了在提供Web服务时进行身份验证，实例中，在IIS Server上建立一个用以提供Web访问的帐号webuser，并设置相应的密码为123456，如图19

图19

步骤○2为了在提供FTP服务时进行身份验证，实例中，在IIS Server上建立一个用以提供FTP访问的帐号ftpuser，并设置相应的密码为123456，如图20

图20

步骤○3添加IIS server的本地组webgroup，并将webuser添加至该组中，如图21

图21

步骤○4添加IIS server的本地组ftpgroup，并将ftpuser添加至该组中，如图22

图22

步骤○5打开在IIS server中为Web提供服务的主目录wwwroot的属性对话框，在安全选项卡中添加webuser用户，并为其设置相应的访问权限，如图23

图23

步骤○6打开IIS信息服务控制台，在默认的Web站点属性对话框中的目录安全性选项卡，将匿名访问前的复选框去掉，对WEB访问用户进行身份验证设置，如图24

图24

步骤○7打开IIS信息服务控制台，在默认的FTP站点属性对话框中的安全帐号选项卡，将允许匿名连接前的复选框去掉，并通过添加将ftpuser帐号加入其中，对FTP访问用户进行身份验证设置，如图25

图25

五、IIS高级服务测试

1．在PC1和PC2上做Web站点的访问测试

步骤○1在PC1和PC2中打开Internet Explorer浏览器，输入WEB站点的IP地址http://172.16.1.2，访问后如图26

图26

步骤○2此时如不输入正确的webuser帐号及密码或者使用取消，访问将被拒绝。如图27

图27

步骤○3访问时提供正确的webuser帐号及密码后，如图28

图28

步骤○4正确的帐号Webuser验证通过以后，Web站点访问成功，如图29

图29

2．在PC1和PC2上做FTP站点的访问测试

步骤○1在PC1和PC2中打开Internet Explorer浏览器，输入FTP站点的IP地址ftp://172.16.1.2，访问后如图30

图30

步骤○2此时如果不能提供正确的ftpuser帐户和密码，访问被拒绝，如果提供的帐号和密码正确，则如图31-图32

图31

图32

(3) 在PC4(Red Hat Linux 9)上做WEB站点及FTP站点测试，同样也需要提供正确的帐号和密码，在访问Web站点时提供webuser帐号，在访问FTP站点时提供ftpuser帐号。

(4) 比如使用RED HAT LINUX 9的终端登陆FTP站点，正常访问如图33，如果FTP站点配置了写入权限，还可以在PC4上上传文件至FTP站点，如图33中所示

图33

(5) 如果不能提供正确的ftpuser帐号和密码，访问将被拒绝。如图34

图34

六、在IIS server服务器上做访问控制配置

1．在IIS Server上做Web服务的IP地址及域名限制，打开默认web站点属性对话框，并在目录安全性选项卡中通过编辑IP地址及域名限制，配置如图35

图35

2．在IIS Server上做FTP服务的IP地址及域名限制，打开默认FTP站点属性对话框，并在目录安全性选项卡中通过编辑IP地址及域名限制，配置如图36

图36

3． 此时，在PC4(IPAddress:172.16.1.3)和PC2(IPAddress:192.168.1.2)上访问可通过，能正常使用IISServer所提供的Web站点或者FTP站点服务，而在PC1(IPAddress:192.168.2.2)上访问被拒绝，如图37，图38

图37

图38

七、远程管理Web站点

    由于某些时候在IIS Server服务器上操作不是很方便，我们还需要对IIS服务器进行远程管理，这样，只要能够通过局域网或者在企业网内部，事实上在INTERNET上也可以与IIS server服务器相连，就可以使用IE浏览器来实现对WEB站点的远程管理。

步骤1．在控制台中选择管理Web站点，打开管理web站点属性对话框，此时应注意端口的配置，在实例中选择默认的3914端口。如图39

图39

步骤2：打开操作员选项卡，将Webuser帐号添加进来，今后通过webuser帐号可对IIS进行远程管理。如图40

图40

步骤3：出于IIS管理的安全性，不允许任何机器登陆IIS服务器进行配置，我们将IP地址及域名限制到管理员经常使用的PC2机上。如图41

图41

步骤4：此时在PC1和PC4的浏览器中输入http://172.16.1.2:3914,访问被拒绝，而在PC2上输入管理WEB站点的地址http://172.16.1.2:3914，访问正常，可对IIS做远程的WEB站点管理，如图42

图42

八、在路由上做访问控制

    为了在IIS Server上提供更加安全可靠的服务，如当前IIS Server服务器向PC2和PC4提供IIS服务，而拒绝给PC1提供服务，这时候可以在路由器上做ACL访问控制表。

    实例中我们以Router2作为ACL控制路由器，登陆到Router2后，对Router2做标准的访问控制
router2#config t

Enter configuration commands, one per line.  End with CNTL/Z.
router2(config)#access-list 1 permit 192.168.1.0 0.0.0.255
router2(config)#int serial 0
router2(config-if)#ip access-group 1 in
router2(config-if)#exit
router2(config)#exit
router2#

    使用show running-config 后可看到

ip classless
access-list 1 permit 192.168.1.0 0.0.0.255
snmp-server community public RO
!

    这时从PC2(IPAdress 192.168.1.2)上访问IIS Server，服务被接受，访问正常。如果从PC1(IPAdress 192.168.2.2)上访问IIS Server，服务被觉得，无法正常访问。

    总之，IIS在Intranet中提供了很重要的信息共享服务，但是在提供IIS服务时如果只是对其进行基本设置，提供匿名访问的话可能会带来许多安全性的问题，所以需要IIS Server的访问安全性做合理的规划，如访问身份验证和IP地址及域名访问控制，其中访问控制可以在IIS Server服务器本身或者在路由器中做ACL的访问控制表进行安全访问控制。此外IIS还提供了虚拟网站和虚拟目录，虚拟网站可以将一个IIS服务器配置成多个WEB站点。