首页 > 代码库 > 网络安全系列之四十六 在IIS6中配置目录安全性

网络安全系列之四十六 在IIS6中配置目录安全性

Web站点默认是允许匿名访问的,某些特殊网站(或者虚拟目录)如果要求用户提供账号和密码才能访问,或者限定某些IP地址能(或不能)访问,那可以通过在Web站点属性的“目录安全性”选项卡中进行相关设置以完成上述要求。

 

(1)匿名用户

在“身份验证方法”界面中可以看到Web服务器默认启用了匿名访问功能,即客户端在访问Web站点时无需进行身份验证。匿名用户在Web服务器中也要有一个相对应的用户账号,这个用户账号是在安装IIS时一并创建的,用户名为“IUSR_计算机名”。

image

如果需要对客户端进行身份验证,那么首先应取消匿名访问,然后选择页面下方提供的几种身份验证方式。

 

(2)基本身份验证

身份验证方法中的“集成Windows身份验证”和“Windows域服务器的摘要式身份验证”都需要域环境,这里主要采用“基本身份验证”。

image

“基本身份验证”是以Web服务器中的本地用户账号作为身份验证的依据,缺点是客户端输入的用户名和密码都是以明文的方式在网络中传送,因而安全性不高。

比如我们可以在网站的虚拟目录“book”上启用“基本身份验证”,这样当客户端在访问http://www.b.com/book时就必须要输入用户名和密码了。

 

(3)IP地址和域名限制

在“IP地址和域名限制”界面中可以设置通过IP地址来防止或允许某些特定的计算机来访问Web站点。默认情况下,所有计算机都被授权访问,可以在“下列除外”的地址列表中添加要阻止访问的计算机的IP地址,可以是一个具体的IP,也可以是一组IP,如192.168.0.0,子网掩码255.255.255.0。

image

这样该地址段内的计算机就无法访问网站了,在客户端访问网站时,会出现如下图所示的错误提示。

image

反之,如果只允许192.168.0.0/24网段内的计算机可以访问网站,那么首先应将默认设为所有计算机都被“拒绝访问”,然后将192.168.0.0/24添加到除外列表里。

“IP地址和域名限制”同样可以只针对虚拟目录配置,比如只允许内网中的计算机可以访问http://www.b.com/image。

本文出自 “一壶浊酒” 博客,转载请与作者联系!

网络安全系列之四十六 在IIS6中配置目录安全性