通常一個(gè)網(wǎng)站進(jìn)行IIS配置，需要配置端口、域名、主目錄、默認(rèn)文檔等等步驟。而今天小編要給大家講的是IIS配置網(wǎng)站訪問(wèn)權(quán)限和安全的部署問(wèn)題。

在默認(rèn)狀態(tài)下，網(wǎng)站IIS配置是允許所有的用戶(hù)匿名連接，也就是訪問(wèn)時(shí)不需要使用用戶(hù)名和密碼登錄。但是，如果對(duì)網(wǎng)站的安全性要求高，或?qū)W(wǎng)站中的信息有保密性，這就需要對(duì)用戶(hù)限制，進(jìn)制匿名訪問(wèn)，只允許特殊的用戶(hù)賬戶(hù)才能進(jìn)行訪問(wèn)。下面是IIS配置網(wǎng)站訪問(wèn)權(quán)限和安全的步驟:

1、IIS配置禁用匿名訪問(wèn) 

第一步,在 IIS 管理器中，選擇欲設(shè)置身份驗(yàn)證的 Web 站點(diǎn)，如圖下圖所示。 

第二步，在站點(diǎn)主頁(yè)窗口中，選擇“身份驗(yàn)證”，雙擊，顯示“身份驗(yàn)證”窗口。默認(rèn)情況下，“匿名身份驗(yàn)證”為“啟用”狀態(tài)，如下圖所示：

第三步，右擊“匿名身份驗(yàn)證”，單擊快捷菜單中的“禁用”命令，即可禁用匿名用戶(hù)訪問(wèn)。  

2、IIS配置使用身份驗(yàn)證 

在 IIS 7.0 的身份驗(yàn)證方式中，還提供基本驗(yàn)證、Windows 身份驗(yàn)證和摘要身份驗(yàn)證。需要注意的是，一般在禁止匿名訪問(wèn)時(shí)，才使用其他驗(yàn)證方法。不過(guò)，在默認(rèn)安裝方式下，這些身份驗(yàn)證方法并沒(méi)有安裝?？稍诎惭b過(guò)程中或者安裝完成后手動(dòng)選擇。 

第一步，在“服務(wù)器管理器”窗口中，展開(kāi)“角色”節(jié)點(diǎn)，選擇“Web 服務(wù)器(IIS)”，單擊“添加角色服務(wù)”，顯示如下圖所示的“選擇角色服務(wù)”窗口。在“安全性”選項(xiàng)區(qū)域中，可選擇欲安裝的身份驗(yàn)證方式。

第二步，安裝完成后，打開(kāi) IIS 管理器，再打開(kāi)“身份驗(yàn)證”窗口，所經(jīng)安裝的身份驗(yàn)證方式顯示在列表中，并且默認(rèn)均為禁用狀態(tài)，如下圖所示。 

可安裝的身份驗(yàn)證方式共有三種，區(qū)別如下。 

①基本身份驗(yàn)證：該驗(yàn)證會(huì)“模仿”為一個(gè)本地用戶(hù)（即實(shí)際登錄到服務(wù)器的用戶(hù)），在訪問(wèn) Web 服務(wù)器時(shí)登錄。因此，若欲以基本驗(yàn)證方式確認(rèn)用戶(hù)身份，用于基本驗(yàn)證的 Windows 用戶(hù)必須具有“本地登錄”用戶(hù)權(quán)限。默認(rèn)情況下，Windows 主域控制器（PDC）中的用戶(hù)賬戶(hù)不授予“本地登錄”用戶(hù)的權(quán)限。但使用基本身份驗(yàn)證方法將導(dǎo)致密碼以未加密形式在網(wǎng)絡(luò)上傳輸。蓄意破壞系統(tǒng)安全的人可以在身份驗(yàn)證過(guò)程中使用協(xié)議分析程序破譯用戶(hù)和密碼。 

②摘要式身份驗(yàn)證：該驗(yàn)證只能在帶有 Windows 域控制器的域中使用。域控制器必須具有所用密碼的純文本復(fù)件， 因?yàn)楸仨殘?zhí)行散列操作并將結(jié)果與瀏覽器發(fā)送的散列值相比較。 

③Windows 身份驗(yàn)證：集成 Windows 驗(yàn)證是一種安全的驗(yàn)證形式，它也需要用戶(hù)輸入用戶(hù)賬戶(hù)和密碼，但用戶(hù)名和密碼在通過(guò)網(wǎng)絡(luò)發(fā)送前會(huì)經(jīng)過(guò)散列處理，因此可以確保安全性。當(dāng)啟用 Windows 驗(yàn)證時(shí)，用戶(hù)的瀏覽器通過(guò) Web 服務(wù)器進(jìn)行密碼交換。Windows 身份驗(yàn)證使用 Kerberos v5 驗(yàn)證和 NTLM 驗(yàn)證。 如果在 Windows 域控制器上安裝了 Active directory 服務(wù)，并且用戶(hù)的瀏覽器支持 Kerberos v5 驗(yàn)證協(xié)議，則使用Kerberos v5 驗(yàn)證，否則使用 NTLM 驗(yàn)證。

Windows 身份驗(yàn)證優(yōu)先于基本驗(yàn)證， 但它并不提示用戶(hù)輸入用戶(hù)名和密碼， 只有 Windows驗(yàn)證失敗后，瀏覽器才提示用戶(hù)輸入其用戶(hù)名和密碼。Windows 身份驗(yàn)證非常安全， 但是在通過(guò) HTTP 代理連接時(shí)，Windows 身份驗(yàn)證不起作用，無(wú)法在代理服務(wù)器或其他防火墻應(yīng)用程序后使用。因此，Windows 身份驗(yàn)證最適合企業(yè) Intranet 環(huán)境。 

例如，當(dāng) Web 服務(wù)器使用基本身份驗(yàn)證時(shí)，在客戶(hù)端訪問(wèn)該網(wǎng)站時(shí)，會(huì)提示如下圖所示的“連接到www.zzidc.com”窗口。在“用戶(hù)名”和“密碼”文本框中，輸入合法的用戶(hù)名及密碼，單擊“確定”按鈕即可打開(kāi)該網(wǎng)頁(yè)。

3、通過(guò) IIS配置IP 地址限制保護(hù)網(wǎng)站 

在 IIS 中，還可以通過(guò)限制 IP 的方式來(lái)增加網(wǎng)站的安全性。通過(guò)允許或拒絕來(lái)自特定 IP地址的訪問(wèn)，可以有效地避免非法用戶(hù)的訪問(wèn)。不過(guò)，這種方式只適合于向特定用戶(hù)提供 Web網(wǎng)站的情況。同樣，“IP 地址限制”功能也需要手動(dòng)安裝，可在“選擇角色服務(wù)”窗口中勾選“IP 和域限制”復(fù)選框以進(jìn)行安裝。 

設(shè)置允許訪問(wèn)的 IP 地址的操作步驟如下。 

第一步，打開(kāi) IIS 管理器，選擇欲限制的 Web 站點(diǎn)，雙擊“IPv4 地址和域限制”圖標(biāo)，顯示如下圖所示的“IPv4 地址和域限制”窗口。 

第二步，在右側(cè)“操作”任務(wù)欄中，單擊“添加允許條目”鏈接，顯示如下圖所示的“添加允許限制規(guī)則”窗口。如果要添加一個(gè) IP 地址，可點(diǎn)選“特定 IPv4 地址”單選按鈕，并輸入允許訪問(wèn)的 IP 地址即可；如果要添加一個(gè) IP 地址段，可點(diǎn)選“IPv4 地址范圍”單選按鈕，并輸入 IP 地址及子網(wǎng)掩碼即可。 

第三步，單擊“確定”按鈕，IP 地址添加完成。  “拒絕訪問(wèn)”與“允許訪問(wèn)”正好相反。通過(guò)“拒絕訪問(wèn)”設(shè)置將拒絕來(lái)自一個(gè) IP 地址或 IP 地址段的計(jì)算機(jī)訪問(wèn) Web 站點(diǎn)。不過(guò)，已授予訪問(wèn)權(quán)限的計(jì)算機(jī)仍可訪問(wèn)。單擊“添加拒絕條目”按鈕，在打開(kāi)的“添加拒絕限制規(guī)則”窗口中，添加拒絕訪問(wèn)的 IP 地址，如下圖所示。其操作步驟與“添加允許條目”中相同，這里不再贅述。

河南億恩科技股份有限公司(www.ruiliheng.com)始創(chuàng)于2000年，專(zhuān)注服務(wù)器托管租用，是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬(wàn)的用戶(hù)提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶(hù)不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話：0371-60135995
服務(wù)熱線：0371-60135900