Web和FTP服務器創建好之后,還需要進行適當的管理才能使用戶的信息安全有效的被其他訪問者訪問。Web和FTP 服務器的管理基本相同,包括一些常規管理和安全管理,下面對其中的七個主要方面進行介紹。
一、啟用過期內容
啟用過期內容就是指通過設置來保證自己的站點的過期信息不被發布出去。當用戶的Web和FTP站點上的信息有很強的時效性時,進行過期內容設置是非常必要的,這不但有利于凈化用戶的Web和FTP站點,而且有利于訪問者進行信息查找。在啟用過期內容時,用戶可直接為整個站點設置,也可為某個目錄設置。下面簡要介紹過期內容設置過程。
注釋:啟動過期內容之后,Web瀏覽器會在瀏覽時比較當前日期或者時間與設置的過期時間或者時間,以決定是顯示原有信息還是更新的信息。
1. 單擊“ HTTP標頭”選項卡,如圖1所示。在該選項卡中,啟用“啟用內容失效”復選框,激活“啟用內容失效”選項區域中的選項。
2. 在“啟用內容失效”選項區域中,用戶可以設置內容的過期時間。選擇“在此時刻以后過期”單選按鈕,在其后的文本框中輸入一個只值并在其后的下拉列表框中選擇一個時間單位,例如, 2 0和天,則在2 0天以后,訪問者就不能再訪問該站點現在的信息;選擇“在此時刻過期”單選按鈕,從其后的下拉列表框中選擇日期,并調節其后的時間微調器的值,用戶可直接為過期內容設置過期時間,例如,所選擇時間是1 9 9 9年1 2月3 1日1 2:0 0:0 0,那么該站點現在的信息將在1 9 9 9年1 2月3 1日1 2:0 0:0 0過期,不能再被訪問;如果要將該站點現在的信息馬上過期,選擇“立即過期”單選按鈕。
二、內容分級設置
如果用戶站點的內容并不是針對所有的訪問者,需要進行內容分級設置,以防止不具備分級要求的其他訪問者查看站點內容。通過分級服務設置,用戶可以在每一個Web頁的HTTP標頭插入一些描述性的標簽。當訪問者在對用戶的站點進行訪問時,他的Web瀏覽器能夠先檢查到每一個Web頁的HTTP標頭的分級服務要求,并根據瀏覽器的分級設置和站點的分級要求來決定哪些內容可以瀏覽哪些內容不可以瀏覽。
在預設的情況下,Windows 2000起用的是RSAC(Recreational Software Advisory Council)分級 服務系統進行分級 服務。該Internet分級是斯坦福大學的Donald F. Roberts博士研究的,它主要針對暴力、性、裸體和語言四個方面進行分級設置。在設置分級 服務內容之前,用戶須要上網填寫一個RSAC分級問卷,以獲得一些推薦的內容分級,以便更好地進行分級設置。分級內容設置過程如下:
1. 在如圖1所示的圖中,單擊“編輯分級”按鈕,打開“內容分級”對話框,如圖2所示。
圖1 HTTP“ HTTP標頭”選項卡
圖2 "內容分級" 對話框
2. 在“分級 服務”選項卡中,單擊“詳細信息”按鈕,查看到RSAC分級 服務的Internet頁,單擊“分級問卷”按鈕,可連接到RSAC站點上,填寫分級問卷。
3. 對RSAC系統有所了解之后,用戶就可以設置分級服務的內容,以過濾公司的Web頁的內容。單擊“分級”選項卡,并選擇“分級”選項卡中的“此資源啟用分級”復選框,則該選項卡如圖3所示。
圖3 "分級"選項卡
4. 在“類別”列表框中,選擇暴力、性、裸體和語言四個類別中的一種,分級滑塊就會顯示出來,調節該滑塊,可改變所選類別的分級級別。
5. 如果希望對自己的電子郵件進行分級 服務,用戶可以在“歲此內容分級人員的電子郵件名”文本框中輸入自己的電子郵件地址。
6. 如果希望單獨為分級 服務設置失效時間,可單擊“失效于”下拉列表框中的下三角按鈕,從彈出的電子日歷中選擇一個日期。
7. 設置好之后,單擊“確定”按鈕返回到屬性對話框,再單擊“確定”按鈕,保存設置。
三、添加網頁頁腳
在用戶Web站點管理中,用戶經常在每一個Web頁的前面插入一個由HTML語言編寫的腳本文件,作為網頁頁腳,以增加Web站點的內容。例如,一個用HTML語言編寫的腳本文件為Web頁增加一些簡單的文本和標識圖形,甚至包括用戶Web站點管理和服務方向等內容。這些內容不但會大大地增加用戶Web站點的可讀性,而且還可引導訪問者對用戶Web站點以后內容的閱讀。另外,網頁頁腳還可以減少Web服務器的執行的時間,如果用戶的Web站點被其他訪問者頻繁的訪問,使用文檔頁腳是非常有用的。要添加網頁頁腳,可參照下面的步驟:
1. 創建一個HTML網頁頁腳文件,并把它保存在自己的Web 服務器所在的硬盤上。
2. 在Internet服務管理器的控制臺目錄樹中(如圖4所示),右擊某一個Web站點或者目錄子節點,例如,MSADC虛擬目錄,從彈出的快捷菜單中,選擇“屬性”命令,打開“MSADC屬性”對話框,單擊“文檔”選項卡,如圖4所示。
圖4 "文檔"選項卡
3. 在“文檔”選項卡中,選擇“啟用文檔頁腳”復選框;在“啟用文檔頁腳”文本框中輸入頁腳文件的完整路徑。如果用戶不知道頁腳文件的完整路經,可單擊“瀏覽”按鈕,打開“打開”對話框進行選擇。
4. 單擊“確定”按鈕,返回到屬性對話框,再單擊“確定”按鈕保存設置。
注釋:文檔頁腳文件并不是一個完整的HTML文檔, 它僅僅包含那些HTML標簽信息,說明如何安排頁腳的內容的顯示。例如,通過一個頁腳文件,在每一個Web頁的前面增加用戶所在組織的名稱,則該頁腳文件應該包含文本內容和如何格式文本的字體及顏色。
四、安全與權限設置
安全與權限設置是IIS保證其站點安全的最重要的保護措施,它可用來控制怎樣驗證用戶的身份以及他們的訪問權限。在權安全與限設置過程中,管理員不但可以設置權限和站點安全的繼承關系,而且還可以選擇要應用的設置,包括驗證方法、訪問許可、IP地址限制等設置。權限與安全設置過程如下:
1. 選擇“所有任務” |“權限向導”命令,打開“權限向導”對話框。單擊“下一步”按鈕,打開“安全設置”對話框,如圖5所示。
圖5 "權限向導"對話框
2. 如果要從父站點或者虛擬目錄繼承安全性設置,應選擇“繼承所有的安全設置”單選按鈕;如果需要選取新的安全性設置,應選擇“請從模板選取新的安全設置。
3. 單擊“下一步”按鈕,打開“ Windows 目錄和文件權限”對話框,如圖6所示。
圖6 "Windows 目錄和文件權限"對話框
4. 如果要保持Windows 目錄和文件權限,應選擇“保持目錄和文件權限”單選按鈕;如果要保持原來Windows 目錄和文件權限并加入新設置的權限,應選擇“原封不動地保持當前的目錄和文件許可配置,并加入推薦的許可權限”單選按鈕。這里選擇“推薦:替換全部的目錄和文件訪問權限”單選按鈕,以新設置的權限替換原有的目錄和文件權限。
5. 單擊“下一步”按鈕,打開如圖7所示的“安全摘要”對話框,在設置列表框中選擇要應用的設置,包括驗證方法、訪問許可、IP地址限制和文件ACL將不能被修改等設置。
圖7 "安全摘要"對話框
6. 單擊“下一步”按鈕,打開“您已成功的完成IIS 5.0‘權限向導’”對話框,再單擊“完成”即可完成設置。
五、安全認證
在Windows 2000中,對于通過HTTP協議訪問,Internet 信息 服務提供了三種登錄認證方式,它們分別是匿名方式、明文方式和詢問/應答方式。用戶采用那種方式閏,并單擊“編輯”按鈕,打開如圖10所示的“匿名賬號”對話框進行設置。
圖10 設置匿名賬號
4. 在安裝Internet信息 服務時,系統將自動創建一個匿名賬號: IUSR計算機名,如果計算機名為LY,則匿名賬號為: IUSR_LY。使用“IUSR 計算機名”賬號可以將Web客戶登錄到 服務器上。允許匿名服務時,管理員可更改用戶匿名請求的的用戶賬號,并可更改此賬號的密碼。在“用戶名”文本框中直接輸入用戶賬號名,或者單擊“瀏覽”按鈕,打開如圖11所示的“選擇Windows用戶賬號”對話框選擇一個要添加的用戶賬號。
圖11 選擇Windows用戶賬號
5. 在“匿名用戶賬號”對話框中,啟用“允許IIS控制 密碼”復選框,或者在“ 密碼”文本框中輸入用戶賬號 密碼。
6.單擊“確定”按鈕完成匿名訪問設置,同時返回到“驗證方法”對話框,再單擊“確定”按鈕返回到“默認Web站點屬性”對話框,然后單擊“確定”按鈕關閉對話框。
注釋:如果用戶的Web和FTP服務禁用匿名訪問或訪問受NTFS訪問控制列表限制時,系統會自動使用明文方式進行認證,需要訪問者的用戶名和密碼。這時,就需要選擇登錄驗證訪問方法,Internet信息服務可選的驗證方法有基本驗證、Windows域服務器的簡要驗證和Windows驗證。一般選擇Windows驗證,因為基本驗證時是一種明文密碼驗證,可能會造成未經過加密的密碼在網絡上傳輸,想危害用戶的系統的非法訪問者可用協議分析器在驗證過程中檢查用戶密碼;Windows域服務器的簡要驗證是一種簡要的身份驗證,使Internet信息 服務與Windows 2000域賬號管理器一起工作進行驗證,僅要求用戶賬號并將賬號 密碼保存為加密明文文本;不利于驗證信息的安全性。要使用Windows驗證,在“驗證方法”對話框中的“驗證訪問”選項區域中,啟用“繼承Windows驗證”復選框。
六、IP地址及域名限制
通過IP地址及域名限制,用戶可禁止某些特定的計算機或者某些區域中的主機對自己的Web和FTP站點及SMTP虛擬服務器的訪問。當有大量的攻擊和破壞來自于某些地址或者某個子網時,使用這種限制機制是非常有用的。不過,進行IP地址及域名限制的首要條件是用戶必須知道網絡黑客的計算機使用哪些IP地址或屬于哪些網絡區域,否則無法進行限制。對基于Internet的信息服務器,站點接受來自于各個方的訪問,用戶很難進行地址限制。一般,只有基于企業內部網絡的信息服務器才使用IP地址及域名進行安全保護。下面就以Web站點為例介紹IP地址及域名限制的設置過程。
1. 在如圖8所示的圖中,在“ IP地址及域名限制”文本框中單擊“編輯”按鈕,打開“ IP地址及域名限制”對話框,如圖12所示。
圖12 設置IP地址及域名限制
2. 如果選擇“授權訪問”單選按鈕,除了“例外”列表框中的計算機外,其他所有的計算機都可訪問該Web站點上的內容。如果選擇“拒絕訪問”單選按鈕,除了“例外”列表框中的計算機外,其他所有的計算機都不能訪問該Web站點上的內容。這里選擇“授權訪問”單選按鈕并添加沒有訪問權限的 計算機。
3. 單擊“添加”按鈕,打開“授權以下訪問”對話框,如圖13所示。
圖13 授權訪問
4. 如果要對單個 計算機進行限制,選擇“單機”單選按鈕,并在“ IP地址”文本框中輸入要授權的 計算機的IP地址;或者單擊“ DNS查找”按鈕,打開“ DNS查找”對話框,選擇某個DNS域中要授權的 計算機。如果要對一組 計算機進行限制,選擇“一組計算機”單選按鈕,在“網絡標識”文本框中輸入要授權的一組計算機中的任何一個計算機的IP地址,并在“子網掩碼”文本框中輸入子網掩碼。如果要對某個域中的計算機進行限制,選擇“域名”單選按鈕,并在“域名”文本框中輸入授權的域的域名。
5.單擊“確定”按鈕返回到“IP地址及域名限制”對話框。如果還要進行訪問授權,可繼續單擊“添加”按進行添加。這樣,被添加的單個 計算機、一組 計算機或者一個域的客戶可訪問 服務器,而其他的客戶則沒有訪問權。
6. 單擊“確定”按鈕返回到“默認Web站點屬性”對話框,再單擊“確定”按鈕保存設置。
七、停止、啟動和暫定站點 服務
在站點維護中,停止、啟動和暫定站點服務是經常要進行的工作。例如,當某個站點的內容和設置需要進行比較大的修改時,用戶可將該站點的服務停止或者暫停,以便操作。當已經停止或暫停的站點需要啟動自己的服務時,就啟動它。
要停止、啟動和暫定某個站點的信息 服務,在控制臺目錄樹中,展開“ Internet信息服務”節點和 服務器節點,展開服務器節點。如果要暫停某個Web或者FTP站點服務,右擊該站點,從彈出的快捷菜單中選擇“暫停”命令即可;如果要停止某個Web或者FTP站點服務,右擊該站點,從彈出的快捷菜單中選擇“停止”命令即可;如果要啟動某個已經暫停或者停止的Web或者FTP站點 服務,右擊該站點,從彈出的快捷菜單中選擇“啟動”命令即可。
