IIS7.0提升WWW服務安全
IIS(Internet information service)是Windows 系統中最常用的網絡服務之一,可以為Internet或Intranet提供WWW服務和FTP服務。不僅如此,許多網絡服務也是基于IIS服務的,如流媒體服務、終端服務等。如何加強IIS的安全機制,建立高安全性能的WWW服務器,已成為網絡管理的重要組成部分。
IIS是Windows Server 2008中默認的版本,相對于IIS6.0而言,安全性和實用性都經過了重新設計和整合。IIS7.0支持多種安全機制,從管理控制臺訪問權限控制,到站點、目錄的訪問權限設置,從身份驗證到傳輸加密,IIS本身已經可以主動防御來自網絡的攻擊,同時配合NTFS權限的訪問控制,可以大大提升服務器和站點的安全級別。
本文只從身份驗證到傳輸加密兩個方面介紹一下IIS7.0,領略一下其提升WWW服務安全之法。
一、用戶控制安全
WEB服務器的主要功能就是為用戶提供信息發布和查詢平臺,因為信息的面向對象不同,所以需要對訪問用戶進行控制,通過設置適當的身份證驗證方式即可實現。例如,如果信息面向所有用戶,則可以使用匿名身份驗證;如果僅面向部分用戶,則可以僅賦予這些用戶對信息的訪問權限。配置身份驗證可以確保服務器的安全,同時還可以為來訪用戶提供身份驗證并生成服務器日志。
1、 依次選擇“開始”—>“管理工具”—>“Internet信息服務(IIS)管理器”選項,打開“Internet信息服務(IIS)管理器”窗口,依次展開LXH-2008(服務器名稱)—>“網站”—>“Default Web Site(默認WEB站點)”選項,在右側的窗口中選擇“身份驗證”圖標,如圖1-1所示。
圖1-1
2、 在“操作”欄中單擊“打開功能”超鏈接,或者直接雙擊“身份驗證”圖標,打開圖1-2所示的“身份驗證”窗格。
圖1-2
3、 在“身份驗證”窗格中,選擇“匿名身份驗證”選項并單擊“操作”欄中的“編輯”超鏈接,打開圖1-3所示的“編輯匿名身份證憑據”對話框。默認選中“特定用戶”單選按鈕,IIS7.0默認使用安裝過程中自動創建的IUSR作為用戶名進行匿名訪問。如果選中“應用程序池標識”單選按鈕,則可以允許IIS進程使用在應用程序池的屬性頁上指定的賬戶運行。
圖1-3
4、 單擊“設置”按鈕,打開圖1-4所示的“設置憑據”對話框。單擊“確定”按鈕,替換系統默認的IUSR賬戶,再次單擊“確定”按鈕,保存設置。
圖1-4
5、 更改系統默認匿名訪問賬戶,雖然可以起到一定的安全保護作用,但仍不能適用于安全需求較高的WEB服務器。在“身份驗證”窗格中,選擇“匿名身份驗證”選項,單擊“操作”欄中的“禁用”超鏈接,即可禁用匿名訪問。此時,來訪用戶必須使用有效的用戶賬戶憑證,通過WEB服務器的身份驗證,才可以進行正常訪問。在“身份驗證”窗口中,選擇希望使用的身份驗證方式,單擊“操作”欄中的“啟用”超鏈接即可。
6、 選擇“基本身份驗證”選項,在“操作”欄中單擊“編輯”超鏈接,打開圖1-5所示的“編輯基本身份驗證設置”對話框。在“默認域”文本框中,輸入默認情況下對用戶進行身份驗證時所依據的域名,如loudreaders.com。在“領域”文本框中,輸入使用已通過默認域身份驗證的憑據的DNS域名或地址,如Lufj. loudreaders.com。
圖1-5
二、SSL安全
SSL安全功能可以通過對傳輸信息進行加密,實現WEB客戶端與WEB服務器端的安全傳輸,避免數據被中途截獲或篡改。對于安全性要求很高的、交互性的WEB網站,建議采用SSL加密方式。若欲實現SSL通信,WEB服務器必須擁有有效的服務器證書。
通常情況下,若想實現SSL(Security Socket Layer)安全機制,在Windows Server 2003 系統中,需要借助第三方證書頒發機構獲取服務器證書,主要包括如下操作:
創建證書申請;
將證書申請文件提交到第三方證書頒發機構;
批準證書申請并頒發證書;
將證書應用到服務器
這樣的操作過程對于實現SSL加密無疑是相當麻煩的。而在Windows Server 2008 系統中的IIS7.0中,可以創建WEB服務器的自簽名證書,并用于WEB站點的SSL加密,而IIS6.0中則無此功能。#p#
具體實現過程如下:
1、 服務器端設置
要想為站點啟用SSL安全保護,必須在服務器端創建用于SSL加密的證書和啟用SSL設置。
(1) 創建服務器證書
服務器證書包含關于服務器的信息,服務器在允許客戶在共享敏感信息之前,對其加以積極識別,WWW服務器只有在安裝有效服務器證書后,才擁有安全通信功能。
1) 在“Internet信息服務(IIS)管理器”窗口中,選擇使用SSL安全加密的站點,雙擊“服務器證書”圖標,打開圖2-1所示的“服務器證書”窗格。安裝IIS7.0過程中,系統已經自動創建了一個服務器證書,管理員可以直接應用該證書,也可以導入已有證書,或者創建新的證書。整理單擊“創建自簽名證書”超鏈接。
圖2-1
2) 在右側“操作”欄中,單擊“創建自簽名證書”超鏈接,打開圖2-2所示的“創建自簽名證書”對話框。在“為證書指定一個好記的名稱”文本框中,輸入服務器證書的文件名。
圖2-2
3) 單擊“確定”按鈕,創建自簽名證書完成,新創建的證書即可顯示在列表中,選中創建成功的自簽名服務器證書coolpen-lxh,單擊查看“超鏈接”,打開圖2-3所示的“證書”對話框,在這里可以查看該證書的名稱、頒發者、接受者、有效起始日期等詳細信息。
4) 在“Internet信息服務(IIS)管理器”窗口的“coolpen主頁”窗口中,右擊希望應用此證書的站點(注意,必須是HTTPS站點),選擇快捷鍵菜單中的“編輯綁定”選項,如圖2-4所示,打開“網站綁定”對話框。
圖2-4
5) 選中HTTPS站點并單擊“編輯”按鈕打開 “編輯網站綁定對話框”,“IP地址”和“端口”設置保持默認即可。在“SSL證書”下拉列表中,選擇剛剛創建的自簽名證書coolpen-lxh。
6) 單擊“確定”按鈕,返回“網站綁定”對話框。單擊“關閉”按鈕保存設置并退出。
(2) 啟用SSL設置
在“Internet信息服務(IIS)管理器”窗口中,單擊需要啟用SSL設置的站點,并在主窗口中雙擊“SSL設置”圖標,打開圖6所示的“SSL設置”窗格。
圖2-5
選中“要求SSL”復選框,以啟用40位數據加密方法,該方法可以用來幫助確保服務器與客戶端之間傳輸的安全性。該選項設置既可以用于Intranet環境,也可用于Internet環境。如果選中“需要128位SSL”復選框,則安全性更高,不過傳輸加密數據所需的帶寬也將隨之增加。
在“客戶證書”選項框中選中“接受”單選按鈕,即可啟用服務器端的SSL設置,接受客戶端證書(若提供)在允許客戶端獲得內容訪問權限之前驗證客戶端身份。系統默認選中“忽略”單選按鈕,即如果提供客戶端證書,則該設置不會接受,因此該設置的安全性最低。如果選中“必要”單選按鈕,則在接受用戶訪問之前要求提供對應證書驗證客戶端身份的有效性。
設置完成后,在“操作”欄中單擊“應用”超鏈接即可應用設置。
2、 客戶端設置
用戶訪問使用SSL協議加密的站點或網頁,與訪問普通站點略有不同。首先,使用加密傳輸的站點使用HTTPS://開頭的URL;其次,用戶必須連接到站點指定的證書服務器,獲取相關數字證書并安裝。具體實現過程,此處不再說明。
【編輯推薦】
