本文介绍了如何通过IIS的“目录安全性”选项卡来进行多种安全配置,包括取消匿名访问、启用基本身份验证以及通过IP地址限制访问等。
Web站点默认是允许匿名访问的,某些特殊网站(或者虚拟目录)如果要求用户提供账号和密码才能访问,或者限定某些IP地址能(或不能)访问,那可以通过在Web站点属性的“目录安全性”选项卡中进行相关设置以完成上述要求。
(1)匿名用户
在“身份验证方法”界面中可以看到Web服务器默认启用了匿名访问功能,即客户端在访问Web站点时无需进行身份验证。匿名用户在Web服务器中也要有一个相对应的用户账号,这个用户账号是在安装IIS时一并创建的,用户名为“IUSR_计算机名”。
如果需要对客户端进行身份验证,那么首先应取消匿名访问,然后选择页面下方提供的几种身份验证方式。
(2)基本身份验证
身份验证方法中的“集成Windows身份验证”和“Windows域服务器的摘要式身份验证”都需要域环境,这里主要采用“基本身份验证”。
“基本身份验证”是以Web服务器中的本地用户账号作为身份验证的依据,缺点是客户端输入的用户名和密码都是以明文的方式在网络中传送,因而安全性不高。
比如我们可以在网站的虚拟目录“book”上启用“基本身份验证”,这样当客户端在访问http://www.b.com/book时就必须要输入用户名和密码了。
(3)IP地址和域名限制
在“IP地址和域名限制”界面中可以设置通过IP地址来防止或允许某些特定的计算机来访问Web站点。默认情况下,所有计算机都被授权访问,可以在“下列除外”的地址列表中添加要阻止访问的计算机的IP地址,可以是一个具体的IP,也可以是一组IP,如192.168.0.0,子网掩码255.255.255.0。
这样该地址段内的计算机就无法访问网站了,在客户端访问网站时,会出现如下图所示的错误提示。
反之,如果只允许192.168.0.0/24网段内的计算机可以访问网站,那么首先应将默认设为所有计算机都被“拒绝访问”,然后将192.168.0.0/24添加到除外列表里。
“IP地址和域名限制”同样可以只针对虚拟目录配置,比如只允许内网中的计算机可以访问http://www.b.com/image。
本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1580591
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
