網(wǎng)站需要IIS配置的地方有很多，比如IIS配置端口、域名、主目錄、默認文檔等。今天小編要跟大家分享的是IIS配置網(wǎng)站訪(fǎng)問(wèn)權限和安全。

默認狀態(tài)下， 允許所有的用戶(hù)匿名連接 IIS 網(wǎng)站， 即訪(fǎng)問(wèn)時(shí)不需要使用用戶(hù)名和密碼登錄。不過(guò)，如果對網(wǎng)站的安全性要求高，或網(wǎng)站中有機密信息，需要對用戶(hù)限制，禁止匿名訪(fǎng)問(wèn)，而只允許特殊的用戶(hù)賬戶(hù)才能進(jìn)行訪(fǎng)問(wèn)。 

一、IIS配置禁用匿名訪(fǎng)問(wèn) 

1、在 IIS 管理器中，選擇欲設置身份驗證的 Web 站點(diǎn)，如圖 8-18 所示。 

2、在站點(diǎn)主頁(yè)窗口中，選擇“身份驗證”，雙擊，顯示“身份驗證”窗口。默認情況下，“匿名身份驗證”為“啟用”狀態(tài)，如圖 8-19 所示。

3、右擊“匿名身份驗證”，單擊快捷菜單中的“禁用”命令，即可禁用匿名用戶(hù)訪(fǎng)問(wèn)。  

二、IIS配置使用身份驗證 

在 IIS 7.0 的身份驗證方式中，還提供基本驗證、Windows 身份驗證和摘要身份驗證。需要注意的是，一般在禁止匿名訪(fǎng)問(wèn)時(shí)，才使用其他驗證方法。不過(guò)，在默認安裝方式下，這些身份驗證方法并沒(méi)有安裝?？稍诎惭b過(guò)程中或者安裝完成后手動(dòng)選擇。 

1、在“服務(wù)器管理器”窗口中，展開(kāi)“角色”節點(diǎn)，選擇“Web 服務(wù)器(IIS)”，單擊“添加角色服務(wù)”，顯示如圖 8-20 所示的“選擇角色服務(wù)”窗口。在“安全性”選項區域中，可選擇欲安裝的身份驗證方式。

2、安裝完成后，打開(kāi) IIS 管理器，再打開(kāi)“身份驗證”窗口，所經(jīng)安裝的身份驗證方式顯示在列表中，并且默認均為禁用狀態(tài)，如圖 8-21 所示。 

可安裝的身份驗證方式共有三種，區別如下。 

①基本身份驗證：該驗證會(huì )“模仿”為一個(gè)本地用戶(hù)（即實(shí)際登錄到服務(wù)器的用戶(hù)），在訪(fǎng)問(wèn) Web 服務(wù)器時(shí)登錄。因此，若欲以基本驗證方式確認用戶(hù)身份，用于基本驗證的 Windows 用戶(hù)必須具有“本地登錄”用戶(hù)權限。默認情況下，Windows 主域控制器（PDC）中的用戶(hù)賬戶(hù)不授予“本地登錄”用戶(hù)的權限。但使用基本身份驗證方法將導致密碼以未加密形式在網(wǎng)絡(luò )上傳輸。蓄意破壞系統安全的人可以在身份驗證過(guò)程中使用協(xié)議分析程序破譯用戶(hù)和密碼。 

②摘要式身份驗證：該驗證只能在帶有 Windows 域控制器的域中使用。域控制器必須具有所用密碼的純文本復件， 因為必須執行散列操作并將結果與瀏覽器發(fā)送的散列值相比較。  

③Windows 身份驗證：集成 Windows 驗證是一種安全的驗證形式，它也需要用戶(hù)輸入用戶(hù)賬戶(hù)和密碼，但用戶(hù)名和密碼在通過(guò)網(wǎng)絡(luò )發(fā)送前會(huì )經(jīng)過(guò)散列處理，因此可以確保安全性。當啟用 Windows 驗證時(shí)，用戶(hù)的瀏覽器通過(guò) Web 服務(wù)器進(jìn)行密碼交換。Windows 身份驗證使用 Kerberos v5 驗證和 NTLM 驗證。 如果在 Windows 域控制器上安裝了 Active directory 服務(wù)，并且用戶(hù)的瀏覽器支持 Kerberos v5 驗證協(xié)議，則使用Kerberos v5 驗證，否則使用 NTLM 驗證。

Windows 身份驗證優(yōu)先于基本驗證， 但它并不提示用戶(hù)輸入用戶(hù)名和密碼， 只有 Windows驗證失敗后，瀏覽器才提示用戶(hù)輸入其用戶(hù)名和密碼。Windows 身份驗證非常安全， 但是在通過(guò) HTTP 代理連接時(shí)，Windows 身份驗證不起作用，無(wú)法在代理服務(wù)器或其他防火墻應用程序后使用。因此，Windows 身份驗證最適合企業(yè) Intranet 環(huán)境。 

例如，當 Web 服務(wù)器使用基本身份驗證時(shí)，在客戶(hù)端訪(fǎng)問(wèn)該網(wǎng)站時(shí)，會(huì )提示如圖 8-22 所示的“連接到www.zzidc.com”窗口。在“用戶(hù)名”和“密碼”文本框中，輸入合法的用戶(hù)名及密碼，單擊“確定”按鈕即可打開(kāi)該網(wǎng)頁(yè)。 

三、通過(guò) IIS配置IP 地址限制保護網(wǎng)站 

在 IIS 中，還可以通過(guò)限制 IP 的方式來(lái)增加網(wǎng)站的安全性。通過(guò)允許或拒絕來(lái)自特定 IP地址的訪(fǎng)問(wèn)，可以有效地避免非法用戶(hù)的訪(fǎng)問(wèn)。不過(guò)，這種方式只適合于向特定用戶(hù)提供 Web網(wǎng)站的情況。同樣，“IP 地址限制”功能也需要手動(dòng)安裝，可在“選擇角色服務(wù)”窗口中勾選“IP 和域限制”復選框以進(jìn)行安裝。 

設置允許訪(fǎng)問(wèn)的 IP 地址的操作步驟如下。 

1、打開(kāi) IIS 管理器，選擇欲限制的 Web 站點(diǎn)，雙擊“IPv4 地址和域限制”圖標，顯示如圖 8-23 所示的“IPv4 地址和域限制”窗口。 

2、在右側“操作”任務(wù)欄中，單擊“添加允許條目”鏈接，顯示如圖 8-24 所示的“添加允許限制規則”窗口。如果要添加一個(gè) IP 地址，可點(diǎn)選“特定 IPv4 地址”單選按鈕，并輸入允許訪(fǎng)問(wèn)的 IP 地址即可；如果要添加一個(gè) IP 地址段，可點(diǎn)選“IPv4 地址范圍”單選按鈕，并輸入 IP 地址及子網(wǎng)掩碼即可。 

3、單擊“確定”按鈕，IP 地址添加完成。  “拒絕訪(fǎng)問(wèn)”與“允許訪(fǎng)問(wèn)”正好相反。通過(guò)“拒絕訪(fǎng)問(wèn)”設置將拒絕來(lái)自一個(gè) IP 地址或 IP 地址段的計算機訪(fǎng)問(wèn) Web 站點(diǎn)。不過(guò)，已授予訪(fǎng)問(wèn)權限的計算機仍可訪(fǎng)問(wèn)。單擊“添加拒絕條目”按鈕，在打開(kāi)的“添加拒絕限制規則”窗口中，添加拒絕訪(fǎng)問(wèn)的 IP 地址，如圖 8-25 所示。其操作步驟與“添加允許條目”中相同，這里不再贅述。