第10章-Windows-Server--Internet信息服务的实现课件

EnterpriseEnterpriseEditionEdition第第 1010 章章 Internet 信息服务的实现信息服务的实现本章简介本章简介l l1.1 1.1 信息服务概述信息服务概述 1.1.1 IIS1.1.1 IIS提供的基本服务提供的基本服务 1.1.2 1.1.2 案例：安装案例：安装IISIIS 1.1.3 1.1.3 测试新安装的测试新安装的IIS6.0IIS6.0l l1.2 Web1.2 Web服务服务 1.2.1 1.2.1 案例：创建新的网站案例：创建新的网站 1.2.2 1.2.2 修改默认网站设置创建网站修改默认网站设置创建网站 1.2.3 1.2.3 网站服务器选项卡配置网站服务器选项卡配置 1.2.4 1.2.4 在一台服务器上创建多个网站在一台服务器上创建多个网站l l1.3 Ftp1.3 Ftp服务服务 1.3.1 FTP1.3.1 FTP服务概述服务概述 1.3.2 1.3.2 利用利用IISIIS创建创建FTPFTP站点站点 1.3.3 FTP1.3.3 FTP客户端客户端l l1.4 NNTP1.4 NNTP服务介绍服务介绍l l1.5 Web DAV1.5 Web DAV服务介绍服务介绍 1.5.1 1.5.1 创建发布目录创建发布目录 1.5.2 1.5.2 管理管理Web DAVWeb DAV安全性安全性 1.5.3 1.5.3 搜索搜索Web DAVWeb DAV目录目录 1.5.4 Web DAV1.5.4 Web DAV重定向程序重定向程序 1.5.5 Web DAV1.5.5 Web DAV客户端程序客户端程序1.1 1.1 信息服务概述信息服务概述lWorld Wide Web(WWW)万维网服务 WWW服务就是Web服务器提供的网页浏览服务，而浏览者则是用IE通过HTTP协议来读取Web服务器上的网页。WWW服务管理是IIS6.0核心组件。l文件传输协议(FTP)服务 通过使用FTP协议，IIS6.0提供对管理和处理文件的完全支持。l网络新闻传输协议(NNTP)服务 使用该服务可以实现在Internet上进行全球性的讨论或发布新闻。l简单邮件传输协议(SMTP)服务 该服务可以实现电子邮件的发送功能。Smtp不知此完整的电子邮件服务。Windows server 2003Windows server 2003操作系统最大的特点就是与操作系统最大的特点就是与InternetInternet实现了无缝集成，实现了无缝集成，IISIIS（Internet Information Internet Information ServerServer）6.06.0就是最好的例证，它使企业很容易在就是最好的例证，它使企业很容易在IntranetIntranet和和InternetInternet上发布信息。上发布信息。1.1.1 IIS提供的基本服务提供的基本服务IIS的库文件和脚的库文件和脚本（便于维护本（便于维护）IIS的主目录和默的主目录和默认的数据文件认的数据文件IIS IIS 安装目录及帐户安装目录及帐户1.1.2 1.1.2 案例：安装案例：安装IISIIS开始开始开始开始设置设置设置设置控制面板控制面板控制面板控制面板添加添加添加添加/删除程序删除程序删除程序删除程序添加添加添加添加/删除删除删除删除WindowsWindowsWindowsWindows组件组件组件组件1.1.3 1.1.3 测试新安装的测试新安装的IIS6.0IIS6.0打开浏览器输入,会弹出以下画面：1.2.11.2.11.2.11.2.1使用使用使用使用IISIISIISIIS创建创建创建创建WebWebWebWeb站点站点站点站点1.2 Web1.2 Web服务服务 建立好建立好“我的第一个网站我的第一个网站”后，默认后，默认是关闭的，设置是关闭的，设置“默认网站默认网站”右键右键“停止停止”。设置。设置“我的第一个网站我的第一个网站”右键右键“启动启动”。1.2.2 1.2.2 修改默认网站设置创建网站修改默认网站设置创建网站1.2.3 1.2.3 网站服务器选项卡配置网站服务器选项卡配置1 1 1 1：安全性设置：安全性设置：安全性设置：安全性设置 脚本资源访问：允许用户访问程序中的脚本资源脚本资源访问：允许用户访问程序中的脚本资源 读取：允许用户读取站点内容及相关属性读取：允许用户读取站点内容及相关属性 写入：允许用户上传文件到已启用的目录写入：允许用户上传文件到已启用的目录 目录浏览：允许用户浏览目录中的文本列表目录浏览：允许用户浏览目录中的文本列表 记录访问：在日志文件中记录对目录的访问记录访问：在日志文件中记录对目录的访问 索引资源：允许索引资源：允许Microsoft Indexing ServiceMicrosoft Indexing Service将将该目录包含在网站的全文索引中该目录包含在网站的全文索引中1.匿名身份验证：匿名身份验证：授予用户对网站公用区域的访授予用户对网站公用区域的访问权限，不提示他们输入用户名和密码问权限，不提示他们输入用户名和密码2.基本身份验证：基本身份验证：要求以指定的要求以指定的Windows账户的账户的用户名和密码（也称为凭据）访问用户名和密码（也称为凭据）访问3.摘要式身份验证：摘要式身份验证：提供与基本身份验证相同的提供与基本身份验证相同的功能，但在通过网络发送给用户凭据方面提供功能，但在通过网络发送给用户凭据方面提供了更强的安全性。了更强的安全性。4.高级摘要式身份验证：高级摘要式身份验证：收集用户凭据并将它们收集用户凭据并将它们以以MD5哈希或消息摘要形式存储在域控制器上。哈希或消息摘要形式存储在域控制器上。5.集成集成Windows身份验证：身份验证：通过一种安全形式的通过一种安全形式的身份验证收集信息，在这种形式中，用户名和身份验证收集信息，在这种形式中，用户名和密码在通过网络发送之前进行哈希计算。密码在通过网络发送之前进行哈希计算。6.NET Passport身份验证：身份验证：通过通过SSL、HTTP重重定向、定向、Cookie、JavaScript和强对称密钥加密和强对称密钥加密提供单一的登录服务提供单一的登录服务2 2：身份验证和访问控制：身份验证和访问控制：身份验证和访问控制：身份验证和访问控制3:IP3:IP3:IP3:IP地址及域名限制地址及域名限制地址及域名限制地址及域名限制4 4 4 4：安全通信：安全通信：安全通信：安全通信使用安全通信需要结合使用安全通信需要结合“证书服务证书服务”，启用后，客户端通过正常方式已经不能访，启用后，客户端通过正常方式已经不能访问该站点。必须输入：问该站点。必须输入：https:/,此时服务器上启用了此时服务器上启用了SSL端口，端口，SSL端口是端口是443.5:5:5:5:性能设置性能设置性能设置性能设置1：带宽限制带宽限制：对服务端响应客户端连接的带宽限制。2：网站连接网站连接：对客户端连接服务端的连接数量的限制。6 6 6 6：文档配置：文档配置：文档配置：文档配置1：设置客户端访问站点时第一个访问：设置客户端访问站点时第一个访问的页面，即首页面。可添加修改。的页面，即首页面。可添加修改。2：启用文档页脚：如果要自动加一个：启用文档页脚：如果要自动加一个HTML格式的页脚附加到格式的页脚附加到Web服务器所服务器所发送的每个文档中，则选择该选项。页发送的每个文档中，则选择该选项。页脚文件不应是一个完整的脚文件不应是一个完整的HTML文档，文档，而应是一个只包括需要用于格式化的页而应是一个只包括需要用于格式化的页脚内容、外观和功能的脚内容、外观和功能的HTML标签。标签。注意：站点的配置修改后，只有在注意：站点的配置修改后，只有在IIS服务重启后才生效。服务重启后才生效。1.2.4 1.2.4 在一台服务器上创建多个网站在一台服务器上创建多个网站1 1：利用：利用ipip地址创建多个网站地址创建多个网站这种方式是万网、新网等虚拟主机提供商常用的方式。给一个网卡绑定多个ip，一般不实用。2 2 2 2：利用端口号创建多个网站：利用端口号创建多个网站：利用端口号创建多个网站：利用端口号创建多个网站 这种方法可用于专业网站开发和测试以及公司内部网站，但是很少用这种方法可用于专业网站开发和测试以及公司内部网站，但是很少用于产品于产品WebWeb服务器，不实用。服务器，不实用。客户端访问这个服务器的方法:http:/服务器ip:88(端口号）3 3：利用主机头名称创建多个网站：利用主机头名称创建多个网站 这种方式是在多数情况下使用的方法，为公司没有多个公网这种方式是在多数情况下使用的方法，为公司没有多个公网IPIP地址提供了最好的地址提供了最好的 解决方法。解决方法。1 1：在：在DNSDNS上域上域中添加主机记录：中添加主机记录：www1 192.168.2.1www1 192.168.2.12 2：在：在DNSDNS上域上域中添加主机记录：中添加主机记录：www2 192.168.2.1www2 192.168.2.13 3：在：在IISIIS中设置如下中设置如下在一台服务器上创建多个网站小节在一台服务器上创建多个网站小节1.2.5 1.2.5 客户端访问方法客户端访问方法l浏览本机的WEB站点：l浏览本机或远程的WEB站点：lhttp:/计算机的IP地址，如lhttp:/计算机的IP地址：端口号lhttp:/计算机名（NetBIOS名字）lhttp:/计算机名（DNS名），如1.2.6 1.2.6 启动、停止、暂停启动、停止、暂停WebWeb服务服务1.3 Ftp1.3 Ftp服务服务l1.3.1 Ftp服务概述l1.3.2 利用IIS创建Ftp站点l1.3.4 Ftp客户端1.3.1 Ftp1.3.1 Ftp服务概述服务概述l可利于FTP服务进行下载或传输文件lIIS或第三方软件都可以实现FTP服务lFTP服务器使用21作为默认的TCP端口号lFTP可在不同的操作系统间使用，例如您可在UNIX服务器和Windows 客户端之间相互传输文件PORT&PASV PORT&PASV 模式模式Ftp的port和pasv模式最主要区别就是:数据端口连接方式不同，模式只要开启服务器的21和20端口，而需要开启服务器大于1024所有Tcp端口和21端口。从网络安全的角度来看的话似乎模式更安全，而更不安全。模式模式模式模式模式模式模式模式案例：创建案例：创建FTPFTP站点站点1.3.2 1.3.2 利用利用IISIIS创建创建FtpFtp站点站点案例：创建案例：创建FTPFTP站点（续）站点（续）案例：创建案例：创建FTPFTP站点（续）站点（续）FTPFTP站点选项卡配置站点选项卡配置FTPFTP站点选项卡配置（续）站点选项卡配置（续）FTPFTP权限设置权限设置1：不同用户访问：不同用户访问ftp服务器的同一个文件夹内文件，要求不同用户不同权限服务器的同一个文件夹内文件，要求不同用户不同权限例如：在例如：在win2003新建两个用户新建两个用户user1和和user2，在给，在给tool的的ntfs权限下设置权限下设置user1具有修改和读取权限、具有修改和读取权限、user2只有读取权限。只有读取权限。FTP服务器设置方法：去除服务器设置方法：去除“允许匿名登录允许匿名登录”，设置，设置“主目录主目录”中中FTP对文件夹对文件夹tool具有读取、写入、记录访问权限。具有读取、写入、记录访问权限。2：不同用户访问：不同用户访问ftp服务器的进入的是同一个文件夹不同子文件夹服务器的进入的是同一个文件夹不同子文件夹例如：在例如：在win2003中新建两个用户中新建两个用户user1和和user2，在，在tool下新建两个子文件夹下新建两个子文件夹user1和和user2。设置子文件夹。设置子文件夹user1的的ntfs权限中添加权限中添加user1(注意：的去除注意：的去除users组）、设置子文件夹组）、设置子文件夹user2的的ntfs权限中添加权限中添加user2.FTP服务器设置方法：去除服务器设置方法：去除“允许匿名登录允许匿名登录”，设置，设置“主目录主目录”的的ftp路径为路径为tool文件夹。文件夹。注意：建立的子文件夹名必须和能打开此文件夹的用户名同名。注意：建立的子文件夹名必须和能打开此文件夹的用户名同名。FTPFTP客户端客户端l利用浏览器直接连接到FTP站点l利用DOS命令连接FTP站点l利用第三方客户端软件访问FTP 如：Flash Get、网络蚂蚁、迅雷等等1.4 NNTP1.4 NNTP服务介绍服务介绍 NNTP是网络新闻传输协议，它是关于某一主题的讨论场所。结合电子邮件使用。1.5 Web DAV1.5 Web DAV（Web Web 分布式创作与版本控制）分布式创作与版本控制）Web DAV允许客户端执行以下操作：1：处理资源 2：修改属性 3：锁定资源和解除资源锁定 设置好发布目录后，拥有正确权限的用户就可以将文档发布到设置好发布目录后，拥有正确权限的用户就可以将文档发布到IISIIS服服务器上，使客户可以发布、锁定和管理务器上，使客户可以发布、锁定和管理WebWeb上的资源。上的资源。注意：默认情况下，注意：默认情况下，IIS IIS 只为静态内容提供服务只为静态内容提供服务 -即，即，ASPASP、ASP.NETASP.NET、在服务器端的包含文件、在服务器端的包含文件、WebDAV WebDAV 发布和发布和 FrontPage Server FrontPage Server Extensions Extensions 等功能只有在启用时才工作等功能只有在启用时才工作1.5.1 1.5.1 创建发布目录创建发布目录 在创建Web DAV发布之前，要确认发布目录在NTFS分区中。而且IIS中启用了Web DAV扩展。WebDAV 发布和文件管理需要 NTFS 目录的以下权限：l读取：使用户能够读取文件的内容。l读取和运行：使用户可以读取文件并执行脚本或公共网关接口(CGI)。l列出文件夹目录：使用户可以查看目录内容。l写入：使用户能够访问和更改脚本的来源以及发布文件。l修改：使用户可以重命名或删除目录或文件。注意：授予写入访问权限并不授予客户端修改 Active Server Pages(ASP)或任何其他脚本映射文件的能力。要允许修改这些文件，必须在创建虚拟目录之后授予写入权限和脚本源访问权限。WebDAV 发布和文件管理需要 IIS 虚拟目录的以下权限：l读取：使用户能够读取文件的内容。l目录浏览：使用户能够浏览目录的内容。l写入：使用户能够访问和更改脚本的来源以及发布文件。l索引（可选）：使用户能够搜索目录。案例：创建发布目录案例：创建发布目录案例：创建发布目录续案例：创建发布目录续也可以采用下面的方式进行：也可以采用下面的方式进行：1.5.2 1.5.2 管理管理WebDAVWebDAV安全性安全性一：验证客户端 配置 WebDAV 目录的最佳方法取决于要进行的发布类型。当通过 IIS 来创建虚拟目录时，匿名和集成 Windows 身份验证都是打开的。虽然这种默认配置对于将客户端连接到服务器、读取网页中的内容以及运行脚本来说可以工作得很好，但要将客户端发布到目录以及操作该目录上的文件时就会无法胜任。IIS IIS 提供了以下身份验证方法：提供了以下身份验证方法：lKerberos 是域内主要的安全验证协议。Kerberos 是用于 WebDAV 客户端身份验证和文件安全性的最佳选项。l匿名身份验证允许任何人访问该目录。必须关闭对 WebDAV 目录的匿名访问。如果不控制访问的用户，您的目录可能会受到某些未知客户端的攻击。l基本身份验证以明文形式通过连接发送密码。可以截取和解读明文密码。只有在通过安全套接字层加密密码时，才打开基本身份验证。l摘要式身份验证是将信息发布到通过 Internet 和防火墙访问的服务器上的极佳选择，因为密码在网络上是以 MD5 哈希值的形式来发送的。然而，密码以明文形式保存在 Active Directory 中。l高级摘要式身份验证是摘要式身份验证的改进形式，因为除了以 MD5 哈希值形式通过网络发送密码外，密码还以 MD5 哈希值的形式（而不是明文形式）保存在 Active Directory 中。这使得高级摘要式身份验证成为将信息发布到通过 Internet 和防火墙访问的服务器的最佳选择。l集成 Windows 身份验证在 Intranet 上设置 WebDAV 目录时，最为有效。l.NET Passport 身份验证使用 Cookie 来验证用户凭据。管理管理WebDAVWebDAV安全性续安全性续二：控制访问 控制访问描述了如何通过协调 IIS 和 Windows Server 2003 权限来控制对 WebDAV 目录的访问，以及如何保护脚本文件。1：配置 Web 权限（即网站中WebDAV属性）l以下是根据发布的材料的用途来配置 Web 权限的各种方法：l启用读取、写入和目录浏览：启用这些权限允许客户端查看资源列表并进行修改（除非对这些资源没有写入权限）、发布自己的资源以及处理文件。l启用写入；并禁用读取和目录浏览：如果只想让客户端在目录中发布私人信息，而不希望别人查看所发布的内容，可以设置写入权限，但不设置读取和目录浏览权限。该配置在客户端提交选票或性能检查时非常有用。l启用读取和写入；并禁用目录浏览：如果希望通过隐藏文件名来提高安全性，可设置该配置。然而，请注意，通过隐藏文件名来设置安全性是一种低级的安全防范措施，因为一个故意破坏者可通过试探和错误信息来猜测出文件名。l启用索引资源：如果打算让客户端搜索目录资源，请确保启用了索引服务。2：使用 DACL 控制访问l在 NTFS 文件系统驱动器上设置 WebDAV 发布目录时，请确保“Everyone”组只有读取权限。然后授予特定的个人或组写入权限。管理管理WebDAVWebDAV安全性续安全性续3：保护脚本代码 如果在发布目录中有一些不想让客户端看到的脚本文件，您可以通过不授予“脚本资源访问”权限来拒绝访问。可执行文件将作为静态 HTML 文件处理，除非为该目录启用了“脚本和可执行文件”。要阻止.exe 文件下载并作为 HTML 文件来查看，但允许其运行，可在发布目录的“虚拟目录”属性页中，将执行权限更改为“脚本和可执行文件”。这一权限级别使所有可执行文件受“脚本资源访问”设置的影响。换句话说，如果选中了“脚本资源访问”，有读取权限的客户端可以看到所有的可执行文件；有写入权限的客户端既可运行它们，也可以编辑它们。使用下面的权限，客户端可以在未出现在应用程序映射中的可执行文件中写入信息：已授予写入权限。执行权限设置为“纯脚本”。使用下面的权限，客户端可以向任何可执行文件中写入信息，不论它们是否出现在应用程序映射中：已授予“脚本资源访问”权限。执行权限设置为“脚本和可执行文件”。结束语当你尽了自己的最大努力时，失败也是伟大的，所以不要放弃，坚持就是正确的。When You Do Your Best,Failure Is Great,So DonT Give Up,Stick To The End谢谢大家荣幸这一路，与你同行ItS An Honor To Walk With You All The Way演讲人：XXXXXX 时 间：XX年XX月XX日