IIS配置網站訪問許可權和安全如何部署？

通常一個網站進行IIS配置，需要配置埠、域名、主目錄、默認文檔等等步驟。而今天小編要給大家講的是IIS配置網站訪問許可權和安全的部署問題。

1、IIS配置禁用匿名訪問

第一步,在 IIS 管理器中，選擇欲設置身份驗證的 Web 站點，如圖下圖所示。

第二步，在站點主頁窗口中，選擇「身份驗證」，雙擊，顯示「身份驗證」窗口。默認情況下，「匿名身份驗證」為「啟用」狀態，如下圖所示：

第三步，右擊「匿名身份驗證」，單擊快捷菜單中的「禁用」命令，即可禁用匿名用戶訪問。

2、IIS配置使用身份驗證

在 IIS 7.0 的身份驗證方式中，還提供基本驗證、Windows 身份驗證和摘要身份驗證。需要注意的是，一般在禁止匿名訪問時，才使用其他驗證方法。不過，在默認安裝方式下，這些身份驗證方法並沒有安裝。可在安裝過程中或者安裝完成後手動選擇。

第一步，在「伺服器管理器」窗口中，展開「角色」節點，選擇「Web 伺服器(IIS)」，單擊「添加角色服務」，顯示如下圖所示的「選擇角色服務」窗口。在「安全性」選項區域中，可選擇欲安裝的身份驗證方式。

第二步，安裝完成後，打開 IIS 管理器，再打開「身份驗證」窗口，所經安裝的身份驗證方式顯示在列表中，並且默認均為禁用狀態，如下圖所示。

可安裝的身份驗證方式共有三種，區別如下。

基本身份驗證：該驗證會「模仿」為一個本地用戶（即實際登錄到伺服器的用戶），在訪問 Web 伺服器時登錄。因此，若欲以基本驗證方式確認用戶身份，用於基本驗證的 Windows 用戶必須具有「本地登錄」用戶許可權。默認情況下，Windows 主域控制器（PDC）中的用戶賬戶不授予「本地登錄」用戶的許可權。但使用基本身份驗證方法將導緻密碼以未加密形式在網路上傳輸。蓄意破壞系統安全的人可以在身份驗證過程中使用協議分析程序破譯用戶和密碼。

摘要式身份驗證：該驗證只能在帶有 Windows 域控制器的域中使用。域控制器必須具有所用密碼的純文本復件， 因為必須執行散列操作並將結果與瀏覽器發送的散列值相比較。

Windows 身份驗證：集成 Windows 驗證是一種安全的驗證形式，它也需要用戶輸入用戶賬戶和密碼，但用戶名和密碼在通過網路發送前會經過散列處理，因此可以確保安全性。當啟用 Windows 驗證時，用戶的瀏覽器通過 Web 伺服器進行密碼交換。Windows 身份驗證使用 Kerberos v5 驗證和 NTLM 驗證。 如果在 Windows 域控制器上安裝了 Active directory 服務，並且用戶的瀏覽器支持 Kerberos v5 驗證協議，則使用Kerberos v5 驗證，否則使用 NTLM 驗證。

Windows 身份驗證優先於基本驗證， 但它並不提示用戶輸入用戶名和密碼， 只有 Windows驗證失敗後，瀏覽器才提示用戶輸入其用戶名和密碼。Windows 身份驗證非常安全， 但是在通過 HTTP 代理連接時，Windows 身份驗證不起作用，無法在代理伺服器或其他防火牆應用程序後使用。因此，Windows 身份驗證最適合企業 Intranet 環境。

3、通過 IIS配置IP 地址限制保護網站

在 IIS 中，還可以通過限制 IP 的方式來增加網站的安全性。通過允許或拒絕來自特定 IP地址的訪問，可以有效地避免非法用戶的訪問。不過，這種方式只適合於向特定用戶提供 Web網站的情況。同樣，「IP 地址限制」功能也需要手動安裝，可在「選擇角色服務」窗口中勾選「IP 和域限制」複選框以進行安裝。

設置允許訪問的 IP 地址的操作步驟如下。

第一步，打開 IIS 管理器，選擇欲限制的 Web 站點，雙擊「IPv4 地址和域限制」圖標，顯示如下圖所示的「IPv4 地址和域限制」窗口。

第二步，在右側「操作」任務欄中，單擊「添加允許條目」鏈接，顯示如下圖所示的「添加允許限制規則」窗口。如果要添加一個 IP 地址，可點選「特定 IPv4 地址」單選按鈕，並輸入允許訪問的 IP 地址即可；如果要添加一個 IP 地址段，可點選「IPv4 地址範圍」單選按鈕，並輸入 IP 地址及子網掩碼即可。

第三步，單擊「確定」按鈕，IP 地址添加完成。 「拒絕訪問」與「允許訪問」正好相反。通過「拒絕訪問」設置將拒絕來自一個 IP 地址或 IP 地址段的計算機訪問 Web 站點。不過，已授予訪問許可權的計算機仍可訪問。單擊「添加拒絕條目」按鈕，在打開的「添加拒絕限制規則」窗口中，添加拒絕訪問的 IP 地址，如下圖所示。其操作步驟與「添加允許條目」中相同，這裡不再贅述。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！