6.“性能”属性页
“性能”属性页用于设置影响内存和带宽使用的属性,如图5-33所示。
图5-33 “性能”属性页
(1)性能调整。将该设置调整为期望站点每日连接的数目。如果该数目设置得略小于实际连接数,则连接速度会更快并且服务器性能也将提高。如果该数目设置得远远大于实际连接数,则将浪费服务器内存并降低服务器的整体性能。
(2)启用带宽限制。选择该选项以限制 Web 站点使用的带宽。仅对该 Web 站点而言,此处键入的带宽值将覆盖在计算机级设置的值,尽管该值大于计算机级设置的值。
(3)启用进程限制。选择该选项以限制该 Web 站点可用于处理应用程序之外的 CPU 处理时间的百分比。如果选择了该框但未选择“强制性限制”,则唯一的后果将是在超过指定限制时把事件写入事件记录中。
7.“自定义错误信息”属性页
当 Web 服务器出现错误时,使用“自定义错误信息”属性页(图5-34)自定义发送给客户的 HTTP 错误。管理员可使用 IIS 提供的常规 HTTP 1.1 错误或详细自定义错误文件,或创建自己的自定义错误文件。要更改自定义错误信息的属性,请单击“编辑属性”按钮。如果输出类型是 URL,则该 URL 必须存在于本地服务器上。要配置自定义错误以便使用默认 HTTP 1.1 错误返回,请单击“设为默认值”按钮。要选择多个自定义错误,请在选择时按住 CTRL 键。
图5-34 “自定义错误信息”属性页
安全性是任何一个Web网站首要的问题。IIS提供了多重访问控制机制。如果Web站点的内容放在NTFS(文件系统格式,具有较好的安全性),则有四种方法管理用户访问站点的权限。访问控制权限及级别如图5-35所示。
图5-35 IIS访问权限控制
1.IP地址权限
通过客户计算机的IP地址来允许或阻止特定用户、计算机、计算机组访问该Web站点、目录或文件。当客户访问本站点时,站点将审核用户计算机的IP地址,以决定是否允许该用户访问本站点。该功能仅在安装有 Windows 2000 Server的设备中可用。
IP地址权限的设置是在如图5-36所示的站点属性对话框的“目录安全性”属性页中完成的。
在该属性页中,单击“IP地址及域名限制”区中的“编辑”按钮,则打开如图5-37所示的“IP地址及域名限制”对话框。如果选择“授权访问”,则表示默认地允许所有计算机访问该站点;这时若要限制某些计算机访问该站点,可通过单击“添加”按钮在“以下所列除外”列表中加入要拒绝访问的计算机的IP地址、掩码或域名。
如果选择“拒绝访问”,则默认限制所有计算机访问该站点;这时如果要允许某些计算
图5-36 “目录安全性”属性页
图5.37 IP地址及域名限制对话框
机访问该站点,可通过单击“添加”按钮在“以下所列除外”列表中加入要允许访问的计算机的IP地址、掩码或域名。
如果要修改以前的设置,则可使用“删除”或“编辑”按钮操作。
2.用户验证控制
对于Web站点中的一般资源,可以允许使用匿名访问,但对于一些特殊的资源则需要有效的登录,用户验证控制就是选择验证用户身份的方法。
在图5-36所示的“目录安全性”属性页中的“匿名访问和验证控制”区域中,单击“编辑”按钮,打开如图5-38所示的“验证方法”对话框。
图5-38 验证方法对话框
通过该对话框,IIS5.0提供了多种用户验证方法的选择。
(l)匿名访问
匿名验证使用户无需输入用户名或密码便可以访问Web站点的公共区域。当用户试图连接到公共Web 站点时,Web 服务器将用户分配到名为IUSR_computername的Windows用户帐户,此处computername 是运行IIS5.0的服务器名称。默认情况下,IUSR_computername帐户包含在Windows用户组Guests中。该组具有安全限制,由NTFS权限强制使用,它指出了访问级别和可用于公共用户的内容类型。
如果服务器上有多个站点,或站点上的区域要求不同的访问权限,就可以创建多个匿名帐户,分别用于Web站点、目录或文件。通过赋予这些帐户不同的访问权限,或将这些帐户分配到不同的Windows用户组,便可准许用户对公共 Web内容的不同区域进行匿名访问。
单击图5-38匿名访问区域的“编辑”按钮,打开如图5-39所示的“匿名用户账号”对
图5-39 匿名用户账号对话框
话框。可以设置或更改匿名用户访问本站点时服务器所使用的用户账号。
(2)基本验证
采用基本验证方法,用户在访问该站点时,被要求向Web服务器提供有效的账号和密码。基本验证的优点在于它是HTTP规范的一部分,并且被大多数浏览器所支持。缺点是Web浏览器使用基本验证是以未加密的形式传输密码的。通过监视网络通讯,某些人可以很容易地使用某些通用工具截取和破解密码。因此,一般不建议使用基本验证,除非确信用户和Web服务器之间的连接是安全的,如直接电缆或专线连接。
基本验证过程为:
① 用户的Web浏览器显示一个对话框,用户可以在此输入先前分配给他们的Windows 2000帐户用户名和密码。
② 然后Web浏览器尝试使用这些信息建立连接。
③ 如果服务器拒绝该信息,Web 浏览器将反复显示该对话框,直到用户输入有效的用户名和密码或关闭此对话框。
④ 如果Web服务器证实用户名和密码符合有效的Windows用户帐户,则将建立连接。
(3)集成Windows验证
集成Windows 验证是一种安全的验证形式,因为用户名和密码不通过网络发送。当启用集成Windows验证时,用户的浏览器通过与Web服务器进行密码交换,包括散列,来证明其知晓密码。
集成 Windows 验证的过程为:
① 与基本验证不同,它并不首先提示用户输入用户名和密码。客户端计算机上的当前 Windows 用户信息用于集成Windows验证。
② 但是,如果开始的验证交换未能识别用户,浏览器将提示用户输入 Windows 用户帐户用户名和密码,并使用集成Windows验证进行处理。
③ Internet Explorer将继续提示用户,直到用户输入有效的用户名和密码,或者关闭提示对话框。
尽管集成 Windows 验证非常安全,它仍然有两个限制。一是只有Microsoft Internet Explorer 2.0 或更高版本支持该验证方法。二是在通过HTTP代理连接时,集成Windows验证不起作用。
因此,集成Windows验证最适合企业Intranet环境,这时用户和Web服务器计算机在同一域中,管理员可以确保每个用户都使用Microsoft Internet Explorer 2.0 或更高版本。
3.Web站点权限
Web站点的操作员可以为站点、目录和文件设置权限,如读、写或执行权限。这些权限适用于所有的用户,除非某个用户具有特殊的访问权限。例如,可以在更新站点内容时关闭读权限,以避免用户访问。当用户访问该站点时,将收到“访问禁止”的提示信息。
Web站点目录文件权限可以用来设置针对整个站点的主目录或其中的一个子目录、文件、虚拟目录设置访问权限,其设置方法类似。例如对一个子目录设置访问权限,可用下述方法。
(1)在Internet信息服务窗口或管理器窗口中,选中要设置访问权限的目录,并右击鼠标,在弹出的快捷菜单中选择“属性”选项。打开如图5-40所示的“属性”对话框。
(2)在该对话框中选择“目录”选项卡。
(3)设置目录访问权限:
·读取:允许用户从该目录中下载网页并浏览,该访问权限为默认设置。
·写入:允许用户上传文件,即可以更改该目录中的内容。该权限的设置一定要慎 重,通常设置该权限的目录应禁止匿名访问,避免站点内容的非法修改。
·执行:允许用户在Web站点中运行程序。该权限的设置也需十分小心,因为一个破坏性的程序在站点中运行后会导致系统的瘫痪。
·脚本:允许运行脚本程序,该权限为默认设置。
(4)设置完成后,单击“确定”按钮。
4.NTFS权限
如果Web站点的文档位于NTFS分区,可以借助于NTFS的目录和文件权限来限制用户对站点内容的访问,如完全控制、拒绝访问、读取、更改等权限。与Web权限不同,NTFS权限可以针对不同的权限设置,设置起来更为方便。
