加密与限制使Web服务器更安全

加密与限制使Web服务器更安全

基于微软IIS的Web服务器是很多企业的首选，因为它的部署相对比较简单，并且功能也很强大，但默认情况下其安全性并不能满足某些企业的特殊要求。不过，我们可以根据自己的需要进行配置，下面我们就通过SSL加密与IIS限制加固Web服务器的安全性。

　　一、SSL加密,Web访问更安全

　　SSL(Secure socket layer)安全协议广泛地用在Internet和Intranet的服务器产品和客户端产品中，用于安全地传送数据，集中到每个WEB服务器和浏览器中，从而来保证来用户都可以与Web站点安全交流。下面我们来到IIS设置窗口中启用SSL安全加密功能。

　　1、SSL加密功能开启

　　第一步：在默认网站属性窗口中点“目录安全性”标签，然后在安全通信处点“服务器证书”按钮。在挂起的证书请求窗口中选择“处理挂起的请求并安装证书”选项，通过浏览按钮找到在验证证书第五步中通过证书导出向导刚刚保存的DER编码格式的文件。

　　第二步：这时我们就可以设置SSL参数了，在安全通信属性中将”要求安全通道SSL”前打上对勾，从而启用了IIS站点的SSL加密功能。再次来到默认网站属性中的网站标签，可以看到SSL端口已经配置了端口信息443。(图1)

　　至此我们就完成了SSL加密站点的配置工作，客户端访问服务器的IIS网站时所浏览的信息是通过加密的，是非常安全的。

2、浏览SSL加密站点

　　服务器上设置完SSL加密站点功能后我们在客户机上通过浏览器访问该站点时就会弹出一个“安全警报”窗口。只有信任该证书后才能够正常浏览网站信息。(图2)

　　小提示：在访问通过SSL加密的站点时所输入的地址应该以https://开头，例如本文中应该使用https: //192.168.1.10。如果仍然那使用http://192.168.1.10则会出现“该网页必须通过安全频道查看，您要查看的网页要求在地址 中使用"https"。禁止访问：要求SSL”的提示。

　　二、IIS限制，自由定制安全策略

　　对于安全要求比较高的web站点，IIS的默认设置，安全级别比较低，管理员可以根据企业的需要进行设置，策略限制，打造web站点。

　　2.用户控制的安全性

　　(1)匿名用户

　　安装IIS后产生的匿名用户IUSR_Computername(密码随机产生)，其匿名访问给Web服务器带来潜在的安全性问题，应对其权限加以控制。如无匿名访问需要，可安装如下操作取消Web的匿名服务。

　　第一步：依次点击“开始→管理工具→IIS管理器”，在打开的“IIS管理器”窗口的左窗格中选择要设置的站点，邮件单击选择“属性”，在打开的窗口中点击“目录安全性”标签栏。

　　第二步：单击“身份验证和访问控制”下的“编辑”按钮，在“身份验证方法”窗口中取消对“启用匿名访问”的勾选即可。(图3)

(2)一般用户

　　给一般用户设置健壮的密码，并通过组策略设置，提高修改密码的频率，封锁失败的登录尝试以及户的生存期等。设置方法如下：

　　点击“开始→运行”，输入epedit.msc，打开组策略编辑器，定位到“计算机配置→Windows设置→安全设置→帐户策略”，然后根据需要设置“密码策略”、“帐户锁定策略”、“Kerberos策略”。(图4)

　　3.登录认证的安全性

　　IIS服务器提供对用户三种形式的身份认证。

　　匿名访问：不需要与用户之间进行交互，允许任何人匿名访问站点，在这三种身份认证中的安全性是最低的。

　　基本(Basic)验证：在此方式下用户输入的用户名和口令以明文方式在网络上传输，没有任何加密，非法用户可以通过网上监听来拦截数据包，并从中获取用户名及密码，安全性能一般。

　　Windows NT请求/响应方式：浏览器通过加密方式与IIS服务器进行交流，有效地防止了窃听者，是安全性比较高的认证形式。

　　至于选择那种认证方式，管理员可以根据企业安全性的需求在“身份验证方法”窗口中选择。(图5)

 

4.访问权限控制

　　(1)文件夹和文件的访问权限：安放在NTFS文件系统上的文件夹和文件，一方面要对其权限加以控制，对不同的用户组和用户进行不同的权限设 置;另外，还可利用NTFS的审核功能对某些特定用户组成员读文件的企图等方面进行审核，有效地通过监视如文件访问、用户对象的使用等发现非法用户进行非 法活动的前兆，及时加以预防制止。

　　具体方法是，依次点击“开始→管理工具”打开“域用户和计算机”管理器，在“Users”容器上点击右键，选择“属性”，在打开的属性窗口中点击“安全”选项卡，点击下面的“高级”按钮，在打开的窗口中点击“审核”选项卡，在其下进行设置。(图6)

　　(2)WWW目录的访问权限：已经设置成Web目录的文件夹，可以通过操作Web站点属性页实现对WWW目录访问权限的控制，而该目录下的所有 文件和子文件夹都将继承这些安全性。WWW服务除了提供NTFS文件系统提供的权限外，还提供读取权限，允许用户读取或下载WWW目录中的文件;执行权 限，允许用户运行WWW目录下的程序和脚本。具体设置方法：

　　第一步：依次点击“开始→管理工具→IIS管理器”，在打开的“IIS管理器”窗口的左窗格中选择要设置的站点，邮件单击选择“属性”，在打开的窗口中点击“主目录”标签栏。

　　第二步：根据需要Web目录的“读取”、“写入”、“目录浏览”等访问权限进行设置。(图7)

5.IP地址的控制

　　IIS可以设置允许或拒绝从特定IP发来的服务请求，有选择地允许特定节点的用户访问服务，你可以通过设置来阻止除指定IP地址外的整个网络用户来访问你的Web服务器。具体设置：

　　第一步：依次点击“开始→管理工具→IIS管理器”，在打开的“IIS管理器”窗口的左窗格中选择要设置的站点，邮件单击选择“属性”，在打开的窗口中点击“目录安全性”标签栏。

　　第二步：点击“IP地址和域名限制”下的“编辑”按钮，在打开的窗口中管理员可以根据企业的需要添加“授权访问”及“拒绝访问”的IP地址。(图8)

　　6.端口安全性的实现

　　对于IIS服务，无论是WWW站点、FTP站点，还是NNTP、SMTP服务等都有各自监听和接收浏览器请求的TCP端口号(Post)，一般 常用的端口号为：WWW是80，FTP是21，SMTP是25，你可以通过修改端口号来提高IIS服务器的安全性。如果你修改了端口设置，只有知道端口号 的用户才可以访问，但用户在访问时需要指定新端口号。比如修改WWW站点的访问端口，可以在相应站点IIS属性窗口的“网站”选项卡下设置。(图9)

7.性能控制

　　IIS服务可以设置网络访问的“带宽限制”及其“网站连接”限制，防止超负荷的网络连接给服务器带来的危害。具体设置可以在相应站点属性的“性能”标签页中设置。(图10)

　　总结：通过上面的加密与限制，IIS的安全性将会极大地提高，能够满足大多数企业的特殊安全需求。当然，除此之外，管理员们还可以根据特殊的安全需求通过第三方的软件来加固Web服务器。