網(wǎng)站需要IIS配置的地方有很多，比如IIS配置端口、域名、主目錄、默認(rèn)文檔等。今天小編要跟大家分享的是IIS配置網(wǎng)站訪問權(quán)限和安全。

默認(rèn)狀態(tài)下， 允許所有的用戶匿名連接 IIS 網(wǎng)站， 即訪問時不需要使用用戶名和密碼登錄。不過，如果對網(wǎng)站的安全性要求高，或網(wǎng)站中有機(jī)密信息，需要對用戶限制，禁止匿名訪問，而只允許特殊的用戶賬戶才能進(jìn)行訪問。 

一、IIS配置禁用匿名訪問 

1、在 IIS 管理器中，選擇欲設(shè)置身份驗(yàn)證的 Web 站點(diǎn)，如圖 8-18 所示。 

2、在站點(diǎn)主頁窗口中，選擇“身份驗(yàn)證”，雙擊，顯示“身份驗(yàn)證”窗口。默認(rèn)情況下，“匿名身份驗(yàn)證”為“啟用”狀態(tài)，如圖 8-19 所示。

3、右擊“匿名身份驗(yàn)證”，單擊快捷菜單中的“禁用”命令，即可禁用匿名用戶訪問。  

二、IIS配置使用身份驗(yàn)證 

在 IIS 7.0 的身份驗(yàn)證方式中，還提供基本驗(yàn)證、Windows 身份驗(yàn)證和摘要身份驗(yàn)證。需要注意的是，一般在禁止匿名訪問時，才使用其他驗(yàn)證方法。不過，在默認(rèn)安裝方式下，這些身份驗(yàn)證方法并沒有安裝。可在安裝過程中或者安裝完成后手動選擇。 

1、在“服務(wù)器管理器”窗口中，展開“角色”節(jié)點(diǎn)，選擇“Web 服務(wù)器(IIS)”，單擊“添加角色服務(wù)”，顯示如圖 8-20 所示的“選擇角色服務(wù)”窗口。在“安全性”選項(xiàng)區(qū)域中，可選擇欲安裝的身份驗(yàn)證方式。

2、安裝完成后，打開 IIS 管理器，再打開“身份驗(yàn)證”窗口，所經(jīng)安裝的身份驗(yàn)證方式顯示在列表中，并且默認(rèn)均為禁用狀態(tài)，如圖 8-21 所示。 

可安裝的身份驗(yàn)證方式共有三種，區(qū)別如下。 

①基本身份驗(yàn)證：該驗(yàn)證會“模仿”為一個本地用戶（即實(shí)際登錄到服務(wù)器的用戶），在訪問 Web 服務(wù)器時登錄。因此，若欲以基本驗(yàn)證方式確認(rèn)用戶身份，用于基本驗(yàn)證的 Windows 用戶必須具有“本地登錄”用戶權(quán)限。默認(rèn)情況下，Windows 主域控制器（PDC）中的用戶賬戶不授予“本地登錄”用戶的權(quán)限。但使用基本身份驗(yàn)證方法將導(dǎo)致密碼以未加密形式在網(wǎng)絡(luò)上傳輸。蓄意破壞系統(tǒng)安全的人可以在身份驗(yàn)證過程中使用協(xié)議分析程序破譯用戶和密碼。 

②摘要式身份驗(yàn)證：該驗(yàn)證只能在帶有 Windows 域控制器的域中使用。域控制器必須具有所用密碼的純文本復(fù)件， 因?yàn)楸仨殘?zhí)行散列操作并將結(jié)果與瀏覽器發(fā)送的散列值相比較。  

③Windows 身份驗(yàn)證：集成 Windows 驗(yàn)證是一種安全的驗(yàn)證形式，它也需要用戶輸入用戶賬戶和密碼，但用戶名和密碼在通過網(wǎng)絡(luò)發(fā)送前會經(jīng)過散列處理，因此可以確保安全性。當(dāng)啟用 Windows 驗(yàn)證時，用戶的瀏覽器通過 Web 服務(wù)器進(jìn)行密碼交換。Windows 身份驗(yàn)證使用 Kerberos v5 驗(yàn)證和 NTLM 驗(yàn)證。 如果在 Windows 域控制器上安裝了 Active directory 服務(wù)，并且用戶的瀏覽器支持 Kerberos v5 驗(yàn)證協(xié)議，則使用Kerberos v5 驗(yàn)證，否則使用 NTLM 驗(yàn)證。

Windows 身份驗(yàn)證優(yōu)先于基本驗(yàn)證， 但它并不提示用戶輸入用戶名和密碼， 只有 Windows驗(yàn)證失敗后，瀏覽器才提示用戶輸入其用戶名和密碼。Windows 身份驗(yàn)證非常安全， 但是在通過 HTTP 代理連接時，Windows 身份驗(yàn)證不起作用，無法在代理服務(wù)器或其他防火墻應(yīng)用程序后使用。因此，Windows 身份驗(yàn)證最適合企業(yè) Intranet 環(huán)境。 

例如，當(dāng) Web 服務(wù)器使用基本身份驗(yàn)證時，在客戶端訪問該網(wǎng)站時，會提示如圖 8-22 所示的“連接到www.zzidc.com”窗口。在“用戶名”和“密碼”文本框中，輸入合法的用戶名及密碼，單擊“確定”按鈕即可打開該網(wǎng)頁。 

三、通過 IIS配置IP 地址限制保護(hù)網(wǎng)站 

在 IIS 中，還可以通過限制 IP 的方式來增加網(wǎng)站的安全性。通過允許或拒絕來自特定 IP地址的訪問，可以有效地避免非法用戶的訪問。不過，這種方式只適合于向特定用戶提供 Web網(wǎng)站的情況。同樣，“IP 地址限制”功能也需要手動安裝，可在“選擇角色服務(wù)”窗口中勾選“IP 和域限制”復(fù)選框以進(jìn)行安裝。 

設(shè)置允許訪問的 IP 地址的操作步驟如下。 

1、打開 IIS 管理器，選擇欲限制的 Web 站點(diǎn)，雙擊“IPv4 地址和域限制”圖標(biāo)，顯示如圖 8-23 所示的“IPv4 地址和域限制”窗口。 

2、在右側(cè)“操作”任務(wù)欄中，單擊“添加允許條目”鏈接，顯示如圖 8-24 所示的“添加允許限制規(guī)則”窗口。如果要添加一個 IP 地址，可點(diǎn)選“特定 IPv4 地址”單選按鈕，并輸入允許訪問的 IP 地址即可；如果要添加一個 IP 地址段，可點(diǎn)選“IPv4 地址范圍”單選按鈕，并輸入 IP 地址及子網(wǎng)掩碼即可。 

3、單擊“確定”按鈕，IP 地址添加完成。  “拒絕訪問”與“允許訪問”正好相反。通過“拒絕訪問”設(shè)置將拒絕來自一個 IP 地址或 IP 地址段的計算機(jī)訪問 Web 站點(diǎn)。不過，已授予訪問權(quán)限的計算機(jī)仍可訪問。單擊“添加拒絕條目”按鈕，在打開的“添加拒絕限制規(guī)則”窗口中，添加拒絕訪問的 IP 地址，如圖 8-25 所示。其操作步驟與“添加允許條目”中相同，這里不再贅述。