1. 用户身份验证

IIS网站默认是允许所有用户连接,如果对网站的安全性要求较高,网站只针对特定用户开放,就需要对用户进行验证,进行验证的主要方法有:
•    匿名身份验证
•    基本身份验证
•    摘要式身份验证
•    Windows身份验证
系统默认只启用了匿名身份验证,由于 2008R2中的IIS采用了模块化设计,默认只会安装少数功能与组件,所以要设置使用其他的身份验证方法,首先就需要安装相应的功能组件。
在【服务器管理器】中选择“添加角色服务”。

在“安全性”中勾选要安装的3种身份验证方法。

这4种身份验证方法的优先级为:

匿名身份验证 >windows身份验证>摘要式身份验证>基本身份验证
也就是说,如果同时开启匿名身份验证和基本身份验证,那么客户端就会优先利用匿名身份验证,而基本身份验证则无效!所以如果要使用户必须验证身份后才能访问,首先必须禁用匿名访问功能,然后再设置身份验证方式。如果不禁用匿名访问功能,即使设置了身份验证方式也不会生效。
在 web站点的主窗口中打开“身份验证”,默认情况下,“匿名身份验证”为“已启用”状态,点击右侧“操作”菜单中的“禁用”命令,将其禁用。这样当用户再次访问时就必须使用用户名登录。

基本身份验证

基本身份验证是使用 web服务器的本地用户进行身份验证,如果web服务器属于域的成员服务器,那也还可以使用域用户进行身份验证。

在身份验证界面中启用基本身份验证,

这样客户端在访问网站的时候就要输入用户名和密码了。我们先尝试用本地用户进行验证,在 Web服务器上新建一个名为admin的本地用户。

 

然后在客户端测试,用admin用户可以成功访问网站。

下面再用一个域用户zhangsan进行测试,如果只输入zhangsan的用户名,是无法通过验证的,必须要指定zhangsan所在的域,即使用域用户账户的全名coolpen\zhangsan

我们也可以在web服务器上指定所处的域。选中基本身份验证,然后点击右侧的“编辑”按钮对其进行设置。

 默认域:指定Web服务器所处的域。当用户连接网站时,如果用户输入了一个用户名zhangsan,那么服务器优先将其视为本地用户进行身份验证,如果发现zhangsan不是本地用户,则自动将其视为coolpen.net域的域用户,将用户名和密码送到此域的域控制器检查。这样设置的好处是,即使是域用户,也可以只输入用户名,而不需要输入全名了。

领域:此处的文字可供用户参考,它会被显示在登录界面上。

需要注意的是,“基本身份验证”的用户名和密码都是以明文的方式在网络中传送,因而安全性不高。如果要使用基本身份验证的话,应搭配其他可确保数据发送安全的措施,如使用 SSL连接等。

摘要式身份验证

同基本身份验证相比,摘要式身份验证有少许改进,它将用户名和密码经过 MD5加密之后再到网络中传输,因而比基本身份验证要更为安全。但摘要式身份验证只能用于域环境,要求web服务器必须是域的成员服务器,而且用户必须是域用户账户。配置起来比较繁杂,而且实际中用得不多,因而这里就不予介绍。
 
Windows身份验证
Windows 身份验证使用 NTLM 或 Kerberos 协议进行身份验证,但是使用时有一定的局限性。NTLM协议无法通过代理服务器,Kerberos协议无法通过防火墙,所以Windows 身份验证最适用于Intranet 环境
 
总结: Windows 身份验证和摘要式身份验证因为使用条件限制,所以运用很少,我们更多的是使用基本身份验证!
另外,虚拟目录可以像主网站一样的设置各种身份验证方式,对于大多数网站,都是将主网站设置为允许匿名访问,而将其下的某个虚拟目录设置要通过身份验证方可访问。

2. IP地址限制

在 IIS中,还可以通过限制IP地址的方式来增加网站的安全性,不过这种方式只适合于向特定用户提供Web网站,或是限制一些特定用户访问。要使用IP地址限制功能,也必须先安装“IP和域限制”组件。

组件安装完成后,重新打开IIS管理器,会发现其中多了一个“IP地址和域限制”的功能组件。

打开该组件,点击右侧的“添加允许条目”,可以设置只允许哪些客户端访问该网站。可以只允许某个特定的IP地址,也可以是一个地址段。

需要注意的是,如果设置了允许条目,那除了指定的这些IP地址之外,其它的客户端访问网站时是将被允许还是拒绝呢?这个可以通过右侧的“编辑功能设置”来设置。

可以根据需要将未指定的客户端设为允许或拒绝访问。

 拒绝访问的设置与此类似。

3. 网站性能调整

如果 web服务器的性能一般,或是网站的访问量比较大,为避免服务器响应慢或是宕机,可以限制网站所占的带宽及同时连接数量。
在默认站点的主界面中,点击右侧“操作”面板中的“限制……”链接。打开编辑网站限制对话框,限制带宽使用:设置网站允许使用的最大带宽,单位为字节,注意不要大于当前网络带宽。连接超时默认限制为 120秒,即用户访问web站点时,如果在120秒内没有活动则自动断开。限制连接数用于限制允许同时连接网站的最多用户数量。

4. 配置日志

通过网站日志,管理员可以查看跟踪网站被访问的情况,如哪些用户访问了本站点、访问者查看了什么内容,以及最后一次查看该信息的时间等。可以使用日志来评估内容受欢迎程度或识别信息瓶颈,有时还可以通过日志查出非授权用户访问网站以便采取应对措施。
在站点主界面中点击“日志”可以对其进行设置。