让Web站点固若金汤(上)_动网_社区论坛·开发者网络源动力

概要

本文对Microsoft 的Internet信息服务器(IIS) 4.0中一些安全功能的错误理解进行了详细的解释，包括客户证明映射、IP地址限制、加密套接字协议层（SSL）服务器捆绑以及Web 许可。你不但能发现这些功能是如何工作的，也能知道如何优化它们的配置。

　　在阅读本文之前你应该对IIS和Microsoft Windows NT?4.0的安全性有一个基本的了解，其中包括公用关键字结构、SSL协议、安全信用以及鉴定。为了更好地理解这些定义，请在http://localhost/iisHelp/iis/misc/default.asp上阅读你的服务器的IIS文档。我们将从讨论Windows NT和 IIS安全性的关系开始，然后再转到IIS的特殊问题上，例如鉴定、IP限制、SSL以及Web 许可。在文章结尾处，对重要的安全术语进行了一个简短的总结，并且列出了参考资源表，你可以进行深入的参考。

Windows NT和IIS

　　IIS 4.0是在Windows NT上运行的服务。因此，它在很大程度上依赖Windows NT用户帐号及Windows NT文件系统。

用户帐号

　　Windows NT 安全的核心是用户帐号及它的逻辑扩展用户群。IIS安装后，它创建两个用户帐号，给它们分配指定的用户权限，将它们放在特定的用户群中。这两个帐号是IUSR_computername和 IWAM_computername。IIS用USR_computername帐号授权对Web 资源的匿名访问。IWAM_computername则是Microsoft处理服务器(MTS) 和其它IIS实体用来提供程序和处理函数的帐号。由于本文的意图，我只介绍第一个帐号IUSR_computername。

　　IUSR_computername帐号需要正确地设置本地登录信息。这是因为它是在IIS内部作用的，是一个本地作用的服务，就好象它是一个物理登录到服务器上的用户。如果你在匿名登录时使用IUSR_computername以外的帐号，就要仔细选择分配给它的权限。因为你的站点的每一个匿名访问者都被授予了IUSR_computername 帐号的权限。

　　当IIS提供Basic和Windows要求/反应鉴定时也依靠用户帐号。为了成功地完成，这两种方法都要求有有效的用户帐号。这是必要的，因为IIS虽然创建并配置了IUSR_computername 帐号用于匿名的鉴定，它却并不为Basic 鉴定创建任何帐号。IIS假定你已经或准备创建Windows NT 帐号用于Basic和要求/反应。

　　注意：当用于Basic 和要求/反应鉴定时必须要有有效的Windows NT 帐号。Windows NT 或IIS都不会为你创建这些帐号。没有这样的帐号，这些鉴定方法就不能工作。