IIS7.0提升WWW服务安全

转载 2014年11月14日 07:08:07

 来源URL:http://soft.zdnet.com.cn/software_zone/2010/0603/1765301.shtml


WWW服务已经成为众多网络的必备服务,被用来提供信息发布、邮件查询、电子商务、网络办公等网络平台。但是,通常情况下,普通用户对WWW安保知之甚少,WWW服务的安全直接决定了多种网络服务的安全,甚至整个网络的安全,基于IIS7.0的WWW服务本身已经集成了多种安全功能,用户只需通过简单的配置便可获得安全可靠的网络平台。

WWW服务已经成为众多网络的必备服务,被用来提供信息发布、邮件查询、电子商务、网络办公等网络平台。但是,通常情况下,普通用户对WWW安保知之甚少,WWW服务的安全直接决定了多种网络服务的安全,甚至整个网络的安全,基于IIS7.0的WWW服务本身已经集成了多种安全功能,用户只需通过简单的配置便可获得安全可靠的网络平台。
IIS(Internet information service)是Windows 系统中最常用的网络服务之一,可以为Internet或Intranet提供WWW服务和FTP服务。不仅如此,许多网络服务也是基于IIS服务的,如流媒体服务、终端服务等。如何加强IIS的安全机制,建立高安全性能的WWW服务器,已成为网络管理的重要组成部分。
IIS是Windows Server 2008中默认的版本,相对于IIS6.0而言,安全性和实用性都经过了重新设计和整合。IIS7.0支持多种安全机制,从管理控制台访问权限控制,到站点、目录的访问权限设置,从身份验证到传输加密,IIS本身已经可以主动防御来自网络的攻击,同时配合NTFS权限的访问控制,可以大大提升服务器和站点的安全级别。
本文只从身份验证到传输加密两个方面介绍一下IIS7.0,领略一下其提升WWW服务安全之法。

一、用户控制安全
WEB服务器的主要功能就是为用户提供信息发布和查询平台,因为信息的面向对象不同,所以需要对访问用户进行控制,通过设置适当的身份证验证方式即可实现。例如,如果信息面向所有用户,则可以使用匿名身份验证;如果仅面向部分用户,则可以仅赋予这些用户对信息的访问权限。配置身份验证可以确保服务器的安全,同时还可以为来访用户提供身份验证并生成服务器日志。
1、 依次选择“开始”—>“管理工具”—>“Internet信息服务(IIS)管理器”选项,打开“Internet信息服务(IIS)管理器”窗口,依次展开LXH-2008(服务器名称)—>“网站”—>“Default Web Site(默认WEB站点)”选项,在右侧的窗口中选择“身份验证”图标,如图1-1所示。
 IIS7.0提升WWW服务安全
图1-1
2、 在“操作”栏中单击“打开功能”超链接,或者直接双击“身份验证”图标,打开图1-2所示的“身份验证”窗格。
IIS7.0提升WWW服务安全 
图1-2
3、 在“身份验证”窗格中,选择“匿名身份验证”选项并单击“操作”栏中的“编辑”超链接,打开图1-3所示的“编辑匿名身份证凭据”对话框。默认选中“特定用户”单选按钮,IIS7.0默认使用安装过程中自动创建的IUSR作为用户名进行匿名访问。如果选中“应用程序池标识”单选按钮,则可以允许IIS进程使用在应用程序池的属性页上指定的账户运行。
 IIS7.0提升WWW服务安全
图1-3

4、 单击“设置”按钮,打开图1-4所示的“设置凭据”对话框。单击“确定”按钮,替换系统默认的IUSR账户,再次单击“确定”按钮,保存设置。
 IIS7.0提升WWW服务安全
图1-4
5、 更改系统默认匿名访问账户,虽然可以起到一定的安全保护作用,但仍不能适用于安全需求较高的WEB服务器。在“身份验证”窗格中,选择“匿名身份验证”选项,单击“操作”栏中的“禁用”超链接,即可禁用匿名访问。此时,来访用户必须使用有效的用户账户凭证,通过WEB服务器的身份验证,才可以进行正常访问。在“身份验证”窗口中,选择希望使用的身份验证方式,单击“操作”栏中的“启用”超链接即可。
6、 选择“基本身份验证”选项,在“操作”栏中单击“编辑”超链接,打开图1-5所示的“编辑基本身份验证设置”对话框。在“默认域”文本框中,输入默认情况下对用户进行身份验证时所依据的域名,如loudreaders.com。在“领域”文本框中,输入使用已通过默认域身份验证的凭据的DNS域名或地址,如Lufj. loudreaders.com。
 IIS7.0提升WWW服务安全
图1-5
二、SSL安全
SSL安全功能可以通过对传输信息进行加密,实现WEB客户端与WEB服务器端的安全传输,避免数据被中途截获或篡改。对于安全性要求很高的、交互性的WEB网站,建议采用SSL加密方式。若欲实现SSL通信,WEB服务器必须拥有有效的服务器证书。
通常情况下,若想实现SSL(Security Socket Layer)安全机制,在Windows Server 2003 系统中,需要借助第三方证书颁发机构获取服务器证书,主要包括如下操作:
 创建证书申请;
 将证书申请文件提交到第三方证书颁发机构;
 批准证书申请并颁发证书;
 将证书应用到服务器
这样的操作过程对于实现SSL加密无疑是相当麻烦的。而在Windows Server 2008 系统中的IIS7.0中,可以创建WEB服务器的自签名证书,并用于WEB站点的SSL加密,而IIS6.0中则无此功能。
具体实现过程如下:

1、 服务器端设置
要想为站点启用SSL安全保护,必须在服务器端创建用于SSL加密的证书和启用SSL设置。
(1) 创建服务器证书
服务器证书包含关于服务器的信息,服务器在允许客户在共享敏感信息之前,对其加以积极识别,WWW服务器只有在安装有效服务器证书后,才拥有安全通信功能。
1) 在“Internet信息服务(IIS)管理器”窗口中,选择使用SSL安全加密的站点,双击“服务器证书”图标,打开图2-1所示的“服务器证书”窗格。安装IIS7.0过程中,系统已经自动创建了一个服务器证书,管理员可以直接应用该证书,也可以导入已有证书,或者创建新的证书。整理单击“创建自签名证书”超链接。

IIS7.0提升WWW服务安全 
图2-1
2) 在右侧“操作”栏中,单击“创建自签名证书”超链接,打开图2-2所示的“创建自签名证书”对话框。在“为证书指定一个好记的名称”文本框中,输入服务器证书的文件名。

IIS7.0提升WWW服务安全 
图2-2
3) 单击“确定”按钮,创建自签名证书完成,新创建的证书即可显示在列表中,选中创建成功的自签名服务器证书coolpen-lxh,单击查看“超链接”,打开图2-3所示的“证书”对话框,在这里可以查看该证书的名称、颁发者、接受者、有效起始日期等详细信息。

IIS7.0提升WWW服务安全

图2-3

4) 在“Internet信息服务(IIS)管理器”窗口的“coolpen主页”窗口中,右击希望应用此证书的站点(注意,必须是HTTPS站点),选择快捷键菜单中的“编辑绑定”选项,如图2-4所示,打开“网站绑定”对话框。
 IIS7.0提升WWW服务安全
图2-4

5) 选中HTTPS站点并单击“编辑”按钮打开 “编辑网站绑定对话框”,“IP地址”和“端口”设置保持默认即可。在“SSL证书”下拉列表中,选择刚刚创建的自签名证书coolpen-lxh。
6) 单击“确定”按钮,返回“网站绑定”对话框。单击“关闭”按钮保存设置并退出。

(2) 启用SSL设置
在“Internet信息服务(IIS)管理器”窗口中,单击需要启用SSL设置的站点,并在主窗口中双击“SSL设置”图标,打开图6所示的“SSL设置”窗格。
 IIS7.0提升WWW服务安全
图2-5


选中“要求SSL”复选框,以启用40位数据加密方法,该方法可以用来帮助确保服务器与客户端之间传输的安全性。该选项设置既可以用于Intranet环境,也可用于Internet环境。如果选中“需要128位SSL”复选框,则安全性更高,不过传输加密数据所需的带宽也将随之增加。
在“客户证书”选项框中选中“接受”单选按钮,即可启用服务器端的SSL设置,接受客户端证书(若提供)在允许客户端获得内容访问权限之前验证客户端身份。系统默认选中“忽略”单选按钮,即如果提供客户端证书,则该设置不会接受,因此该设置的安全性最低。如果选中“必要”单选按钮,则在接受用户访问之前要求提供对应证书验证客户端身份的有效性。
设置完成后,在“操作”栏中单击“应用”超链接即可应用设置。

2、 客户端设置
用户访问使用SSL协议加密的站点或网页,与访问普通站点略有不同。首先,使用加密传输的站点使用HTTPS://开头的URL;其次,用户必须连接到站点指定的证书服务器,获取相关数字证书并安装。具体实现过程,此处不再说明。


IIS6.0和IIS7.0中配置站点为Https形式

-----------------------------------------------------------------------------------------IIS6.0中----...
  • tianyitianyi1
  • tianyitianyi1
  • 2014年05月07日 09:37
  • 5535

IIS6和IIS7做301永久重定向(附图)

IIS6 1、先在IIS里把网站正常发布,例如域名为(www.aaa.com) 2、再硬盘上建一个空文件夹 3、再到IIS里建一个网站,例如域名为(aaa.com),指向这个空文件夹,然后对这个...
  • evasunny2008
  • evasunny2008
  • 2013年06月20日 10:45
  • 25715

对关键应用服务器进行全面的安全防护

本文针对企业应用服务器面临日益严峻的安全问题,从系统安全、入侵防护、访问控制、数据安全、备份容灾诸方面,介绍了对关键应用服务器进行全面有效的安全防护的方法,旨在保障服务器处于稳定可靠状态。 ...
  • English0523
  • English0523
  • 2016年05月03日 12:11
  • 2987

WCF服务在IIS7.0中用WAS托管

WCF服务在IIS7.0中用WAS托管 WAS托管:Windows激活服务(WAS)是一个系统服务,是IIS7的一部分,也可以独立的安装与配置。IIS与WAS的主要区别在于WAS并不局限使用HTTP,...
  • skydxd
  • skydxd
  • 2012年10月22日 08:02
  • 925

IIS7.0 安全功能

转载自:http://www.greenwww.org/html/19/t-1619.html 安装 Windows Vista™ 时,不会自动安装 IIS 7.0。而必须由您自己决定是否安装 IIS...
  • rongdzh
  • rongdzh
  • 2011年01月31日 08:53
  • 492

WIN2008系统的IIS7.0配置REWRITE伪静态环境(转)

WIN2008作为服务器,上前已经是非常普遍了, 对于用惯了WIN2003下IIS6.0的人来说, 要在IIS7.0下设置IIS REWRITE这个组件,似乎没有那么顺手IISREWRITE的组件...
  • wenminhao
  • wenminhao
  • 2016年12月05日 15:43
  • 9855

IIS7.0上传文件限制29M解决方法

NET应用程序上传文件大小限制并非都是IIS的原因,也有可能是应用程序自身设置造成的,在使用过程中一定要区分开来,这样才能做到正确的设置。 1. .NET应用程序限制上传文件大小:超过了最大请求长度...
  • miaomiao47
  • miaomiao47
  • 2013年11月02日 10:07
  • 1507

win7下安装IIS7.0及部署VS2010 ASP.NET程序网站的相关问题

新装了win7系统,VS2010,安装IIS管理服务器时,出现了很多问题,搜集网上相关的资料,并结合自己的解决方法,记录下来,供以后能更加便捷的操作使用。...
  • xmwangtiger
  • xmwangtiger
  • 2011年03月10日 11:42
  • 44599

搭建IIS7.0网站的经历

之前用IIS7.0搭建好的网站,后来再一次Web服务器重启后,结果无论如何登陆不进去了。各种方法都试验过了,不行(后来想到问题点所在了,应该是Web服务器访问数据库服务器不通,才会导致那样的问题,可惜...
  • feiying008
  • feiying008
  • 2016年03月25日 18:35
  • 1463

用win7自带IIS7.0发布ISAPI模块

用win7自带IIS7.0发布ISAPI模块 前言:这两天需要用ISAPI开发一个应用接口,结果在发布的时候遇到了很大的麻烦,用网上试了很多办法也没有成功。现在找到一种很简单的发布方法、现在...
  • wfy910206
  • wfy910206
  • 2013年03月27日 10:52
  • 285
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:IIS7.0提升WWW服务安全
举报原因:
原因补充:

(最多只允许输入30个字)