IIs5.0建站点--〉第三章 WWW服务高级配置

多Web站点配置 ??在一台计算机上实现多个Web站点的方式称为虚拟服务器。尤其对于多个小型站点，虚拟服务器可以极大的节省硬件成本，如右图。 ??我们知道，域名是区分站点的唯一性标记，站点的数量是与域名数相等的；同时，一个域名往往是与一个IP地址唯一对应的。这样，看上去服务器应该拥有的IP地址数应该与虚拟服务器的数量相同。这种虚拟服务器的实现方法就是在上一章中提到的方式。 ??显然，由于IP地址资源的缺稀性，我们往往需要借助于其他手段利用同一IP地址实现多个站点，这里我们介绍的两种方法是端口号方法和主机头方法。

更改端口号方式
??TCP端口号是客户机浏览器与Web服务器之间的信息通道，TCP端口号可以多达四位数。每种网络服务都需要在服务器端指定一个TCP端口号，客户机只有指定了同一端口号之后才能与服务器建立通信联系。那么，为什么我们通常浏览Web网站时不必输入端口号呢，这是因为普通的Inte.net服务拥有固定的缺省端口号，例如WWW服务的缺省端口号为80，FTP服务的缺省端口号为21。当我们在浏览器中输入站点地址时，即使不指定80位端口号，浏览器仍然自动的以TCP端口80与服务器进行通信。
端口号与IP地址同样是用于区分站点的唯一性标识，这样，即使两个站点拥有同样的IP地址，但只要给它们指定不同的TCP端口号就可以将它们区分开来。但是，一旦将端口号从默认的80更改为其他数值，客户浏览器并不能直接以更改过的端口打开网页，客户必须手工指定它TCP端口号，就是在浏览器地址栏中输入域名之后加上":"和端口号数值。例如，在同一台服务器上有两个网站www.Site1.com和www.Site2.com，它们共用一个IP地址168.192.3.15，我们配制www.Site1.com使用默认端口号80，而www.Site2.com的端口号为8088，那么我们在浏览器地址栏中输入地址168.192.3.15得到的是Site1，要想访问Site2就要输入168.192.3.15:8088。

?指定站点端口号的方法并不复杂： ??1．打开IIS管理环境，右击管理控制树中的站点节点，单击【属性】。 ??2．打开WWW属性表单，可见如左图的【Web站点】选项卡。 ??3．在【TCP端口】栏中更改TCP端口号。 ??以端口号方式使站点共用IP地址的方法并不方便，除了要用户记住端口号数字之外，这样的做法也不太符合网络礼仪，所以很难用于正规的商业性网站。但是在一些内部网站，尤其是不希望普通用户访问的安全性网站中，通过更改默认端口号可以提高网站安全性。

主机标头方式 ??主机标头（Host Header）是除了IP地址和TCP端口号之外的第三个用于区分站点的唯一性标识。这样，对于两个共用同一个IP地址且都采用默认TCP端口号80的站点，只要为它们指定不同的主机标头，就可以唯一的在网络中将它们区分开。 ??主机标头这种技术是在HTTP 1.1标准中定义的，因此，对于在IIS中使用主机标头进行配制的站点，客户浏览器必须支持HTTP 1.1标准才能进行浏览。高于3.0版本的IE和高于2.0版本的Netscape浏览器支持HTTP 1.1标准。 ??为站点添加主机标头的方法如下： ??1．在WWW属性表单的【Web站点】选项卡中单击【IP地址】栏右侧的【高级】。 ??2．如右图，在【高级多Web站点配置】对话框中，选择列表中的标识项，单击【删除】。 ??3．单击【添加】，打开【高级Web站点标识】对话框，如右图所示。 ??4．在【IP地址】下拉列表框中选择IP地址。 ??5．指定【TCP端口】栏中的值为默认端口号80。 ??6．在【主机头名】栏中输入主机标头名称，尽量不要包含空格或其他不兼容字符。 ??7．单击【确定】返回。 ??8．再次单击【确定】完成。 　　上述设置中，可以指定多个站点拥有同一IP地址、TCP端口号，只要保持它们的主机标头各不相同即可。随后，应在DNS服务器中将这些主机头名统统映射到它们共同的IP地址上。在客户浏览器中输入主机头名即可访问相应站点。

WWW服务高级配置

Web站点安全性设置 ??无庸置疑，站点的安全性是一个相当重要的话题。随着黑客技术的提高，在动辄听说某某网站又被攻破的今天，我们无法不时时刻刻提心吊胆。同时，随着企业信息化程度的不断提高以及B2B、ASP等电子商务模式的不断深入人心，越来越多的敏感数据被包含在企业内部网站和商业站点中，一旦这些信息丢失，后果将不堪设想。时至今日，Web站点的安全性设置几乎已经成为一个Web管理员最重要的日常工作。本节将就安全性设置问题进行深入的讨论。 安全设置概述 ??站点的安全防范是一个综合性的系统工程，世界上有矛就有盾，我们不可能指望仅仅通过某一种技术使站点永远保持安全。事实上，一个有效的安全计划要依赖于综合利用诸多软件设置甚至硬件防护才能产生较好的安全效果。有关防火墙之类基于硬件或专门防护软件的安全防范措施将不属于本节讨论的范畴，请大家参阅专门的反黑技术指南。本节讨论的安全设置仅依赖于Windows 2000和IIS内部的安全性功能，鉴于Windwos 2000强大的安全性能（符合C2安全级别），尤其是强大的用户认证能力和独有的NTFS安全分区，IIS网站的安全性完全可以得到非常有力的保证。

笼统的说，站点安全性工作将围绕如下两个任务进行：合法用户身份的认证和站点文件的安全保障。前者需要借助于Windows 2000的账号系统和认证机制；后者则要由IIS和NTFS分区共同维护。 ??右图就是一个身份验证的例子，含有敏感数据的内部网站往往不允许匿名访问，当客户企图连接网页时回收到类似右图的网络密码对话框，用于客户验证。

理解Windows 2000用户账号和组 ??在系统讲述IIS安全机制之前，有必要先对Windows 2000的用户账号概念以及账号验证机制进行简单介绍，这些正是IIS安全性配制的基础。 ??账号是在windows 2000网络中区分用户的唯一性标识，账号与实际用户是对应的。在Windows 2000网络环境中，为计算机用户分配各自不相同的账号，通过对账号指定访问权限可以限制用户对资源的访问程度。在安装Windows 2000时，系统自动生成管理员账号Administrator，管理员具有对计算机的全部属性进行配制的能力。 ??Windows 2000中添加账号的工作是在计算机管理器中完成的，具体方法如下: ??1．单击【开始】、【程序】、【管理工具】、【计算机管理】，打开如右图所示的计算机管理器。 ??2．展开左侧管理控制树中的【本地用户和组】节点，选择【用户】。 ??3．单击【操作】菜单，选择【新用户】，打开【新用户】对话框，如右图。 ??4．添加用户名、全名、描述等信息并设定密码。 ??5．单击【创建】。 ??6．单击【关闭】返回。 ??7．此时，新用户账号出现在计算机管理器的用户列表中。 ??8．双击列表中的用户账号可以打开账号属性对话框详细配制账号属性。

账号代表着网络中的个体，对应着现实中的网络用户，通过将资源的访问权限赋予账号，可以使用户能够或者不能访问特定的资源（下一小节详述）。账号本身的安全性由密码进行保护，在网络中，账号通常是公开的，而密码则必须保密，且有必要通过定期更改密码、密码锁定等策略强化账号安全。     当账号数目随着网络用户的增多而变得越来越多时，逐一给每一账号设置资源访问权限的工作量显然是巨大的。为了简化权限分配的任务，我们引入了组的概念。组是账号的逻辑集合，我们建立一个组，然后将一些账号加入组中，通过将资源访问权限分配给组，组中的账号也就自动的继承了这些权限，从而简化了权限分配的工作量。左图是计算机管理器中的组列表。

账号和组是多对多的关系，一个组可以包含多个账号，一个账号可以同时属于多个组。一旦一个账号通过多个组继承了多种不同的权限，通常是限制最少的权限实际起作用。除了一个特例："禁止访问"权限覆盖其他一切权限，也就是说，一旦一个账号直接或者通过某个组继承了"禁止访问"权限，那么即使它还拥有或继承了其他权限，哪怕是最高权限（完全控制），则该账号仍然不对该资源具有如何权限。 ??记住，组仅是账号的逻辑组合，并不实际的与账号构成包含关系，所以，删除了一个组并不意味着同时删除了它所包含的账号，只不过这些账号通过这个组所继承的资源访问权限不再有效而已。 ??创建组的步骤与创建账号类似，不再详述。双击计算机管理器中的组列表成员时，可以打开如左图所示的组属性对话框，从中可以编辑组成员。单击【添加】，从【选择用户或组】对话框中指定组的成员，然后单击【确定】返回。

WWW服务高级配置

原文转自：http://www.ltesting.net