如图iis配置及安全访问控制策略详解

IIS配置及安全访问控制策略详解

IIS(Internet信息服务)是在企业网或者校园网内部提供信息服务的莹要工具R前基于II S的应用相当广泛但人多数都在win do ws操作系统下局域网内部或同一子网内来实现II S

服务而在不同操作系统之间在广域网或者不同子网间的应用较少而且介绍这方面应用

的文章也很少本文旨在介绍不同的操作系统|Hj(Red Hat Linux 9和windows 2000 server),不同的了网间通过II S所提供的服务访问来实现资源共享和访问。

图1拓扑结构

锐捷R2624路由器(route⑵一台、锐捷R2624路由器(router 1)一台、锐捷S1926 G+交换机一台及PC机3台服务器1台。

1.在Router 2上配置各端口的IP地址及路由RIP协议后配置信息如下router2#show ip int brief

Interface IP-Address OK?MethodStatus Protocol

FastEthernetO up 172」 6」 . l YES NVRAM up

FastEthernet 1down down unassigned YES unset administrativelyF astEthernet2down down unassigned YES unset administrativelyFastEthernet3down down unassigned YES unset administrativelySerialO

YES NVRAM 10.1.1.2up up

Serial 1down unassigned YES unsetdownrouter2#show ip route

Codes:C-connected,S- static,R・RIP

O-OSPF, IA-OSPF inter area

El -OSPF external type 1,E2-OSPF external type 2

Gateway of last resort is not set

10.0.0.0/24 is subnetted, 1 subnets

C 10.1.1.0 is directly connected,SerialO

R 192.168」 .0/24[120/1]via 10.1.1.1,00:00:1&SerialO

R 192.168.2.0/24[120/1]via 10.1.1.1,00:00:18,SerialO

172.16.0.0/24 is subnetted, 1 subnets

C 172.16.1.0 is directly connected,FastEthernetO

2 Router 1 IP RIProuter l#show ip int brief

FastEthernetl 192.168.2.1 YES NVRAM upup

FastEthernet2 down unassigned YES unset administrativelydown

FastEthernet3 down unassigned YES unset administrativelydown

SerialO 10.1.1.1 YES NVRAMrouter l#show ip route

Code s:C・ connected,S ・ static,R-RIP

O-OSPF, IA・OSPF inter area

El -OSPF external type 1,E2-OSPF external type 2

Gateway of last resort is not set

10.0.0.0/24 is subnetted, 1 subnets

C 10.1.1.0 is directly connected,SerialO

C 192.168.1.0/24 is directly connected,FastEthernetO

C 192.168.2.0/24 is directly connected,FastEthernetl

R 172.16.0.0/16[120/5]via 10.1.1.2,00:00:16,SerialO

3S1926G+

IP Address. . . . . . . . . . . . . . . . . . . . . . . . . . . . .: 172.16.1.254

Subnet Mask. . . . . . . . . . . . . . . . . . . . . . . . . . . . .: 255.255.255.0

Default Gateway. . . . . . . . . . . . . . . . . . . . . . . . .: 172.16

4 IIS SERVER PC 1

此时各客户端PC机与IlSserver间能相互Ping通企业网络服务实验模型建立完毕。

IIS

1. II S的安装步骤

⑴•开始——设置一一控制面板——添加/删除程序——windo ws组件打开“win do ws

组件向导二如图2

图2

(2)选中图2中的internet信息服务(IIS),查看详细信息将文件传输协议(F TP)服务器项的

复选框选中如图3

图3

(3)单击确定,接下来,插入windows 2000 server安装光盘 IIS安装完毕。

(4)通过开始一一程序——管理工具——Internet信息服务打开控制台启动IIS服务

如图4

图4

2 II S

(1)配置Web站点

步骤。 1选屮图4中的默认Web站点在右键菜单屮选屮属性打开默认Web站点属性对

话框。配置IP地址为当前IlS server的主机地址172.16.1.2,如图5

步骤。 2选择“主目录"选项卡配置提供Web服务的目录实验时可使用其默认选项

即c:\inetpub\wwwroo t,如图6

图6

步骤。 3打开“目录安全性"选项卡对访问帐户进行设置如图7

图7

步骤。 4打开图7中匿名访问和验证控制下的编辑将“匿名访问”前的复选框选屮在没

有特殊要求时一般使用匿名访问该项如不选屮今后在访问Web服务时将需要通过身

份验证后才可访问。如图8

图8

步骤。 5打开“文档"选项卡配置Web站点的默认主页文件实例屮通过添加文件Index.htm

文档作为web站点的启动文档如图9,至此Web服务配置完毕。

图9

(2)FTP:

步骤。 1选中图4中的默认FTP站点在右键菜单中选屮属性打开默认FTP站点属性对

话框。配置IP地址为当前IlS server的主机地址172.16.1.2,如图10

图10

步骤。 2打开“安全帐号”选项卡在没有特殊要求时将“允许匿名连接”前的复选框选中

如图11

图11

步骤。 3打开“消息"选项卡输入FTP站点的登陆信息此消息将在访问者登陆后可见

一般为欢迎信息或者为本FTP站点的功能及材料的简介。如图12

图 2

步骤。 4打开“主目录"选项卡设置FTP站点使用的主目录在实例中使用默认路径即c:\in etpub\ftp roo t,如果此F TP站点还需要给访问者提供上传服务则应在“写入 '复选框前

选屮否则使用默认设置。如图13

图13

步骤。 5打开“目录安全性"选项卡为使得当前FTP站点为所有的客户端提供FTP服务

在本实例屮使用默认配置如图14,至此 FTP站点配置完毕。

图14

IIS server IIS(Web Ftp)

1. 在客户机PCI和PC2进行测试 PC1和PC2上均使用Windows 2000操作

系统。

PC1和PC2的配置如表1

步骤验证PC 1和PC2的属性配置可通过开始——>运行——>CMD,打开命令提示符

M S-DO S,在MS DO S下输入IP C ONFIG。

PCI

Connection-specific DNS Suffix ・ 

IP Address. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .: 192.168.1.2

Subnet Mask. . . . . . . . . . . . . . . . . . . . . . . . . . . . .:255.255.255.0

Default Gateway. . . . . . . . . . . . . . . . . . . . . . .: 192.168.1.1

PC2

Connection-specific DNS Suffix. :

IP Address. . . . . . . . . . . . . . . . . . . . . . . . . . . .: 192.168.2.2

Subnet Mask. . . . . . . . . . . . . . . . . . . . . . . . . . . . .:255.255.255.0

Default Gateway. . . . . . . . . . . . . . . . . . . . . . .: 192.16&2.1

步骤。 2在PC1和PC2屮打开Internet Explorer浏览器输入WEB站点的

IP地址http://172.16.L2,测试通过访问成功后如图15

图 15

步骤。 3在PC1和PC2屮打开Internet Explorer浏览器输入FTP站点的IP地址ftp://172.16.L2,注意在访问Web站点和访问F TP站点时访问方式的不同即Http和Ftp

方式的不同 。测试通过访问成功后如图16

图16

2 PC4 PC4 Red Hat Linux 9

PC4的配置如表1

步骤。 1验证PC4的属性配置可通过开始——系统工具——终端打开root@lo calho st

窗口输入ifconfig ethO:

[root@localhost root]#ifconfig ethOethO Link encap:Ethernet HWaddr 00:0D:61:AA:FB:A5in e taddr: 172」 6.1.3 Beast: 172」 6.1.255 Mask:255.255.255.0

UP BROADCAST RUNNING MULTICAST MTU订500 Metric: 1

RX packets: 16139 errors:0 dropped:0 overruns:0 frame:0

TX packets: 1909 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen: 100

RX bytes: 1201296 1」Mb TX bytes: 1179219 1」Mb Interrupt: 16 Baseaddress:0xb000

步骤o2打开Red Hat Linux 9的Mozilla浏览器输入http://172.16J.2,访问正常。

步骤。 3使用Red Hat Linux 9的gFtp来进行访问FTP服务访问正常,如图17

图17

步骤。 4使用Red Hat Linux 9屮的终端來对FTP服务器进行测试访问正常如图18

图18

IIS

为了使当前IIS Server提供的IIS服务更加安全可靠应当进行高级服务配置从某种

意义上 IIS服务器代表着本企业或者校园网的形象甚至作为网络办公的平台,其中往往

涉及一些非常重要的数据资料事实上黑客们攻击的对象也大都是Web站点和FTP站点

因此IIS Server服务器的安全越来越显得重要所以IIS服务器需要配置包括对Web站

点的

访问帐号验证及访问的IP地址授权以及对F TP站点的访问帐号验证上传文件权限配置以

及对F TP站点提供的IP地址授权等等。

此外还可以在路由器Router2中做IP地址的访问控制ACL,通过ACL访问控制列表

来拒绝或者接受来自各客户机的访问。

1 IIS server

步骤。 1为了在提供Web服务时进行身份验证实例中在IIS Server上建立一个用以提供

Web访问的帐号webuser,并设置相应的密码为123456,如图19

图19

步骤。 2为了在提供FTP服务时进行身份验证实例屮在IIS Server上建立一个用以提供

FTP访问的帐号ftpuser,并设置相应的密码为123456,如图20

图20

步骤。 3添加IIS server的本地组webgroup,并将webuser添加至该组中,如图21

图21

步骤。 4添加IIS server的本地组ftpgroup,并将ftpuser添加至该组屮如图22

图22

步骤。 5打开在IIS server中为Web提供服务的主目录wwwroot的属性对话框在安全选项

卡中添加webuser用户,并为其设置相应的访问权限,如图23

图23

步骤。 6打开IIS信息服务控制台在默认的Web站点属性对话框中的目录安全性选项卡

将匿名访问前的复选框去掉对WE B访问用户进行身份验证设置如图24

图24

步骤。 7打开IIS信息服务控制台在默认的F TP站点属性对话框屮的安全帐号选项卡将

允许匿名连接前的复选框去掉并通过添加将ftpuser帐号加入其中对FTP访问用户进行

身份验证设置如图25

图25

IIS

1.在PC 1和PC2上做Web站点的访问测试

步骤。 1在PC1和PC2中打开Internet Explorer浏览器输入WEB站点的IP地址http://172.16.L2,访问后如图26

图26

步骤。 2此时如不输入正确的webuser帐号及密码或者使用取消访问将被拒绝。如图27

图27

步骤。 3访问时提供正确的webuser帐号及密码后,如图28

图28

步骤。 4止确的帐号Webuser验证通过以后Web站点访问成功如图29

图29

2 PCI PC2 FTP

步骤。 1在PC1和PC2屮打开Internet Explorer浏览器输入FTP站点的IP地址ftp://172.16」 .2,访问后如图30

步骤。 2此时如果不能提供正确的ftpuser帐户和密码访问被拒绝如果提供的帐号和密码

正确则如图31■图32

图31

图32

(3) 在PC4(Red Hat Linux 9)±做WEB站点及FTP站点测试同样也需耍提供正确的帐号和

密码,在访问Web站点时提供webuser帐号,在访问FTP站点时提供ftpuser*帐号。

(4) 比如使用RED HAT LINUX 9的终端登陆FTP站点正常访问如图33,如果FTP站点

配置了写入权限述可以在PC4上上传文件至FTP站点如图33屮所示

图33

(5) 如果不能捉供正确的ftpuser帐号和密码访问将被拒绝。如图34

图34

IIS server

1.在IIS Server上做Web服务的IP地址及域名限制打开默认web站点属性对话框并在

目录安全性选项卡中通过编辑IP地址及域名限制配置如图35

图35

2.在IIS Server上做FTP服务的IP地址及域名限制打开默认FTP站点属性对话框并在

1=1录安全性选项卡屮通过编辑IP地址及域名限制配置如图36

图36

3. 此时,在P C4(IPAddre ss: 172.16.1.3)和PC2(IPAddre ss: 192.168.1.2)±访问可通过能正常

使用Il S S erver所提供的Web站点或者FTP站点服务而在