某学院组建了校园网,建设了学院网站,现需要架设 Web 服务器,在网站上传和更新时, 需要用到文件上传和下载,因此还要架设 FTP 服务器,为学院内部和互联网用户提供 WWW、 FTP 等服务。 学会 IIS 的安装与配置。 学会 Web 网站的配置与管理。 学会创建 Web 网站和虚拟主机。 学会 Web 网站的目录管理。 学会实现安全的 Web 网站。 学会创建与管理 FTP 服务器。
6.1 IIS 6.0
提供的服务
WWW(万维网)正在逐步改变全球用户的通信方式,这种新的大众传媒比以往的任何一 种通信媒体都要快,因而受到人们的普遍欢迎。利用 IIS 建立 Web 服务器、FTP 服务器是目 前世界上使用最广泛的手段之一。微软 Windows Server 2003 家族的 Internet 信息服务(IIS)在 Intranet、Internet 或 Extranet 上提供了集成、可靠、可伸缩、安全和可管理的 Web 服务器功能。IIS 6.0 包括一些面向组织、 IT 专家和 Web 管理员的新功能,旨在为单台 IIS 服务器或多台服务器上可能拥有的数千个网 站实现性能、可靠性和安全性目标。 IIS 提供了基本服务,包括发布信息、传输文件、支持用户通信和更新这些服务所依赖的 数据存储。 1.万维网发布服务 通过将客户端 HTTP 请求连接到在 IIS 中运行的网站上,万维网发布服务向 IIS 最终用户 提供 Web 发布。WWW 服务管理 IIS 的核心组件,这些组件处理 HTTP 请求并配置和管理 Web 应用程序。
6
配置与管理 IIS 服务器
2.文件传输协议服务 通过文件传输协议(FTP)服务,IIS 提供对管理和处理文件的完全支持。该服务使用传 输控制协议(TCP),确保了文件传输的完成和数据传输的准确。该版本的 FTP 支持在站点级 别上隔离用户以帮助管理员保护其 Internet 站点的安全并使之商业化。 3.简单邮件传输协议服务 通过使用简单邮件传输协议(SMTP)服务,IIS 能够发送和接收电子邮件。例如,为确 认用户提交表格成功,可以对服务器进行编程以自动发送邮件来响应事件。也可以使用 SMTP 服务以接收来自网站客户反馈的消息。SMTP 不支持完整的电子邮件服务,要提供完整的电子 邮件服务,可使用 Microsoft Exchange Server。
4.网络新闻传输协议服务
可以使用网络新闻传输协议(NNTP)服务主控单个计算机上的 NNTP 本地讨论组。因为该 功能完全符合 NNTP 协议,所以用户可以使用任何新闻阅读客户端程序加入新闻组进行讨论。
5.管理服务
该项功能管理 IIS 配置数据库,并为 WWW 服务、FTP 服务、SMTP 服务和 NNTP 服务 更新 Microsoft Windows 操作系统注册表。配置数据库用来保存 IIS 的各种配置参数。IIS 管理 服务对其他应用程序公开配置数据库,这些应用程序包括 IIS 核心组件、在 IIS 上建立的应用 程序以及独立于 IIS 的第三方应用程序(如管理或监视工具)。
6.2
项目设计及准备
6.2.1
项目设计
为了使 Web 服务与 DNS 服务有机结合,并尽可能地利用现有计算机资源,可以将 Web 服务器和 DNS 服务器安装在同一台计算机上。Web 服务器的计算机名为 Serverl,IP 地址为 192.168.0.1。为便于测试,至少需要一台 PC,当服务器 Server1 上安装 IIS 后,可通过 PC 上 的 IE 浏览器进行测试,当然也可以利用虚拟机完成。 网络规划如下: 计算机名:Server1,IP 地址:192.168.0.1/24。 (1)第一个域名:long.com。 Web 主站点:www.long.com,对应主目录为: e:\myweb。 FTP 主站点:ftp.long.com,对应主目录为:e:\ftp。 (2)第二个域名:secomputer.net。 主站点:www.secomputer.net,对应主目录为: e:\secomputer。 虚拟目录:www.secomputer.com/bbs,对应主目 录为:e:\bbs。 站点 1:www.long.com:8080,对应主目录为:e:\8080。 站点 2:www.long.com:8090,对应主目录为:e:\8090。 图 6-1 网络拓扑图6.2.2
项目准备
安装 Windows Server 2003 的 PC 计算机一台、测试用计算机一台(Windows XP),并且两 台计算机都连入校园网。该环境也可以用虚拟机实现。
6.3
项目实施
6.3.1
任务 1 安装 IIS 6.0
为了更好地预防恶意用户和攻击者的攻击,在默认情况下,没有将 IIS 安装到 Microsoft Windows Server 2003 家族的成员上。而且,当最初安装 IIS 时,该服务在高度安全和“锁定” 模式下安装。在默认情况下,IIS 只为静态内容提供服务,即 ASP、ASP.NET、在服务器端的 包含文件、WebDAV 发布和 FrontPage Server Extensions 等功能只有在启用时才工作。安装 IIS 可以使用两种方法,分别是从“控制面板”窗口中安装和通过“配置您的服务器向导”安装。 1.从控制面板安装 (1)打开“控制面板”窗口,双击“添加或删除程序”图标,打开“添加或删除程序” 窗口,单击“添加或删除 Windows 组件”按钮,显示“Windows 组件向导”对话框。在“组 件”列表框中依次选择“应用程序服务器”→“详细信息”选项,显示“应用程序服务器”对 话框,默认没有选中“ASP.NET”复选框,在此处需选中该复选框以启用 ASP.NET 功能,如 图 6-2 所示。 图 6-2 选择安装 IIS 组件 (2)选中“Internet 信息服务(IIS)”复选框,然后单击“详细信息”按钮,在弹出的对 话框中选中“文件传输协议(FTP)”,同时选中“万维网服务”复选框,并单击“详细信息” 按钮,在打开的“万维网服务”对话框中选中“Active Server Pages”复选框,如图 6-3 所示。 如果不选中该复选框,将导致在 IIS 中不能运行 ASP 程序。另外,如果服务器感染了冲击波 病毒,同样也不能运行 ASP 程序。
(3)依次单击“确定”按钮,返回“Windows 组件”对话框,并单击“下一步”按钮, 按照系统提示插入 Windows Server 2003 安装光盘,即可安装成功。
图 6-3 “万维网服务”对话框
2.通过“配置您的服务器向导”安装
(1)运行“管理工具”中的“配置您的服务器向导”,双击“添加或删除角色”。在“服 务器角色”页面中,选择“应用程序服务器(IIS,ASP.NET)”选项。
(2)单击“下一步”按钮,显示“应用程序服务器选项”页面。若要使 Web 服务器启用 ASP.NET,必须选中“启用 ASP.NET”复选框;而选中“FrontPage Server Extension”复选框, 可以利用该工具向自己的网站发布网页,如图 6-4 所示。
图 6-4 “应用程序服务器选项”页面
(3)单击“下一步”按钮,并根据系统提示插入 Windows Server 2003 安装光盘,IIS 即 可安装成功。
6.3.2
任务 2 管理和配置 Web 网站
IIS 安装完毕后,在 IIS 管理器窗口中就有了个默认网站,下面以默认网站为例,对网站 管理和配置进行讲解,包括设置网站属性、IP 地址、指定主目录等。 子任务 1 设置网站基本属性 打开“管理工具”中的“Internet 信息服务管理器”,在 IIS 管理器窗口中,展开左侧的目 录树,展开“网站”,右击“默认网站”选项,在弹出的快捷菜单中选择“属性”选项,显示如图 6-5 所示的“默认网站属性”对话框。关于 网站标识、IP 地址和 TCP 端口等信息的设置, 均可在“网站”选项卡中完成。 1.网站标识 在“网站标识”选项组的“描述”文本框中 可以设置该网站的标识。该标识对于用户的访问没 有任何意义,只是当服务器中安装有多个 Web 服 务器时,用不同的名称进行标识可便于网络管理员 区分。默认值为“默认网站”。 2.指定 IP 地址 在“IP 地址”下拉列表中指定该 Web 站点 的唯一 IP 地址。由于 Windows Server 2003 可安 装多块网卡,每块网卡又可绑定多个 IP 地址, 因此服务器可能会拥有多个 IP 地址,而默认可使用该服务器绑定的任何一个地址访问 Web 网 站。例如,当该服务器拥有 3 个 IP 地址 192.168.22.98、192.168.22.99 和 10.0.0.2 时,那么利 用其中的任何一个 IP 地址都可以访问该 Web 服务器。默认值为“全部未分配”。 3.设置端口 在“TCP 端口”文本框中指定 Web 服务的 TCP 端口。默认端口为 80,也可以更改为其他 任意唯一的 TCP 端口号。当使用默认端口号时,客户端访问时直接使用 IP 地址或域名即可访 问,而当端口号更改后,客户端必须知道端口号才能连接到该 Web 服务器。 例如,使用默认值 80 端口时,用户只需通过 Web 服务器的地址即可访问该网站,地址形 式为:“http://域名或 IP 地址”,如 http://192.168.22.98 或http://Windows.long.com。而如果端口 号不是 80,访问服务器时就必须提供端口号,使用“http://域名或 IP 地址:端口号”的方式, 如 http://192.168.22.99:8080 或http://Windows.long.com:8080,“TCP 端口”文本框不能为空。 4.SSL 端口 如果 Web 网站中的信息非常敏感,为防止中途被人截获,就可采用 SSL 加密方式。Web 服务器安全套接字层(SSL)利用一种称为“公用密钥”的加密技术,保证会话密钥在传输过 程中不被截取。要使用 SSL 加密并且指定 SSL 加密使用的端口,必须在“SSL 端口”文本框 中键入端口号。默认端口号为“443”,同样,如果改变该端口号,客户端访问该服务器就必须 事先知道该端口。当使用 SSL 加密方式时,用户需要通过“https://域名或 IP 地址:端口号”方 式访问 Web 服务器,如 https://192.168.22.99:1454。 5.连接超时 连接超时用来设置服务器断开未活动用户的时间(以秒为单位)。如果客户端在连续的一 段时间内没有与服务器发生活动,就会被服务器强行断开,以确保 HTTP 协议在关闭连接失败 时可以关闭所有连接。默认值为 120 秒。选中“保持 HTTP 连接”复选框,则可使客户端与服 务器保持打开连接,而不是根据每个新请求重新打开客户端连接。禁用该选项可能会降低服务 器性能。 子任务 2 设置主目录与默认文档 任何一个网站都需要有主目录作为默认目录,当客户端请求链接时,就会将主目录中的 图 6-5 “默认网站属性”对话框
网页等内容显示给用户。而默认文档用来设置网站或虚拟目录中默认的显示页。 1.设置主目录 主目录是指保存 Web 网站的文件夹,当用户访问该网站时,Web 服务器会自动将该文件 夹中的默认网页显示给客户端用户。对于 Web 服务而言,必须修改主目录的默认值,将主目 录定位到相应的磁盘或文件夹。 (1)设置主目录的路径。即网站的根目录,当用户访问网站时,服务器会先从根目录调 取相应的文件。默认的 Web 主目录为%SystemRoot%\Inetpub\wwwroot 文件夹。但在实际应用 中通常不采用该默认文件夹。因为将数据文件和操作系统放在同一磁盘分区中,会出现失去安 全保障、系统不能干净安装等问题,且当保存大量的音视频文件时,可能造成磁盘或分区的空 间不足。 在 IIS 管理器中,选择要配置主目录的网站,右击鼠标,在弹出的快捷菜单中选择“属性” 选项,显示该网站的属性对话框,打开“主目录”选项卡,如图 6-6 所示。 此 计 算 机 上 的 目 录 : 表 示 主 目 录 的 内 容 位 于 本 地 服 务 器 的 磁 盘 中 , 默 认 为 %SystemRoot%\Inetpub\wwwroot 文件夹。可先在本地计算机上设置好主目录的文件 夹和内容,然后在“本地路径”文本框中设置主目录为该文件夹的路径。 另一台计算机上的共享:表示将主目录指定到位于另一台计算机上的共享文件夹。在 “本地路径”文本框中键入共享目录的网络路径,其格式为“\\服务器名或 IP 地址\ 共享名”,并单击“连接为”按钮,设置访问该网络资源的 Windows 账户和密码,如 图 6-7 所示。 图 6-6 “主目录”选项卡 图 6-7 “网络目录安全凭据”对话框 重定向到 URL:重定向用来将当前网站的地址指向其他地址。选中“重定向到 URL” 单选按钮,在“重定向到”文本框中键入要转接的 URL 地址,如图 6-8 所示。例如, 将网站 Windows.long.com 重定向到 www.163.com,当用户访问 Windows.long.com 时, 显示的将是网易网站。
上面输入的准确 URL:表示将客户端需求重定向到某个网站或目录。使用该选 项可以将整个虚拟目录重定向到某一个文件。
图 6-8 重定向到 URL 资源的永久重定向:表示将消息“301 永久重定向”发送到客户。重定向被认为 是临时的,而且客户浏览器收到消息“302 临时重定向”。某些浏览器会将“301 永久重定向”消息作为信号来永久地更改 URL,如书签。 (2)设置主目录访问权限。如果 Web 网站内容选择“此计算机上的目录”或“另一台计 算机上的共享”选项,可设置相应的访问权限和应用程序。这里提供了 6 个选项,其意义如下。 脚本资源访问。若要允许用户访问已经设置了“读取”或“写入”权限的资源代码, 请选中该选项。资源代码包括 ASP 应用程序中的脚本。 读取。选中该项后允许用户读取或下载文件(目录)及其相关属性。 写入。选中该项后允许用户将文件及其相关属性上载到服务器上已启用的目录中,或 者更改可写文件的内容。为安全起见,默认为不选中。 目录浏览。若要允许用户查看该虚拟目录中文件和子目录的超文本列表,应选中该选 项。但虚拟目录不会显示在目录列表中,因此,如果用户要访问虚拟目录,必须知 道虚拟目录的别名。若不选择该选项,用户试图访问文件或目录且又没有指定明确 的文件名时,将在用户的 Web 浏览器中显示“禁止访问”的错误消息。 记录访问。若要在日志文件中记录对该目录的访问,请选中该选项。只有启用该 Web 站点的日志记录才会记录访问。
索引资源。选中该选项会允许 Microsoft Indexing Service 将该目录包含在 Web 站点的
全文本索引中。 2.设置默认文档
直接在浏览器中输入“http://www.jnrp.cn”即可打开“http://www.jnrp.cn/index.htm”,显示 出主页内容,而不必再键入“index.htm”,为什么呢?其实,这就是默认文档的功能。
所谓默认文档,是指在 Web 浏览器中键入 Web 网站的 IP 地址或域名即显示出来的 Web 页面,也就是通常所说的主页(Home Page)。IIS 6.0 默认文档的文件名有 5 种,分别为 Default.htm、Default.asp、Index.htm、IISstar.htm 和 Default.aspx。这也是一般网站中最常用的 主页名。如果 Web 网站无法找到这 5 个文件中的任何一个,那么,将在 Web 浏览器上显示
“该页无法显示”的提示。默认文档既可以是一个,也可以是多个。当设置多个默认文档时, IIS 将按照排列的前后顺序依次调用这些文档。 当第一个文档存在时,将直接把它显示在用户的 浏览器上,而不再调用后面的文档;当第一个文 档不存在时,则将第二个文件显示给用户,依次 类推。 默认文档的添加、删除及更改顺序,都可以 在网站属性对话框的“文档”选项卡中完成,如 图 6-9 所示。 (1)添加默认文档文件名。 第一步:在“文档”选项卡中,单击“添加” 按钮,打开“添加默认文档”对话框,输入自定 义的默认文档文件名,如 index.asp,单击“确定” 按钮。 第二步:在默认文档列表中选中刚刚添加的 文件名,单击“上移”或“下移”按钮,即可调整其显示的优先级。文档在列表中的位置越靠 上,意味着其优先级越高。通常客户机首先尝试加载优先级最高的主页,一旦不能成功,再降 低优先级继续尝试。 第三步:重复以上步骤,可添加多个默认文档。 (2)删除默认文档名。在默认文档列表中选中欲删除的文件名,单击“删除”按钮,即 可将之删除。 (3)调整文件名的位置。在默认文档列表中选中欲调整位置的文件名,单击“上移”或 “下移”按钮,即可调整其先后顺序。若欲将该文件名作为网站首选的默认文档,需将之调整 至最顶端。 (4)文档页脚。“文档”选项卡中不仅能够指定默认主页,还能配置文档页脚。所谓文 档页脚,又称 footer,是一种特殊的 HTML 文件,用于使网站中全部的网页上都出现相同的标 记,大公司常使用文档页脚将公司徽标添加到 其网站全部网页的上部或下部,以增加网站的 整体感。 为了使用文档页脚,首先要选择“文档” 选项卡中的“启用文档页脚”复选框,然后单 击“浏览”按钮,指定页脚文件,文档页脚文 件通常是一个.htm 格式的文件。页脚文件不应 是一个完整的 HTML 文档,而应该只包括需用 于格式化页眉页脚外观和功能的 HTML 标签。 子任务 3 设置内容过期来更新要发布的 信息 在网站属性对话框中打开“HTTP 头”选 项卡,如图 6-10 所示。 图 6-9 “文档”选项卡 图 6-10 “HTTP 头”选项卡
选中“启用内容过期”复选框,可设置失效时间。在对时间敏感的资料中,可能包括日 期,如报价或事件公告,容易失效。浏览器将当前日期与失效日期进行比较,确定是显示高速 缓存页还是从服务器请求一个更新过的页面。在这里,“立即过期”表示网页一经下载就过期, 浏览器每次请求都会重新下载网页;“在此时间段以后过期”表示设置相对于当前时刻的时间; “过期时间”则设置到期的具体时间。 子任务 4 使用内容分级过滤暴力、暴露和色情内容 如果网站涉及一些仅限于成人的暴力和暴露等内容,为保护少年儿童的身心健康,应当 设法启用内容分级功能,便于用户进行分组审查。Web 的内容分级就是将说明性标签嵌入到 Web 页的 HTTP 头中。 在网站属性对话框的“HTTP 头”选项卡中,单击“编辑分级”按钮,显示“内容分级” 对话框,选中“对此内容启用分级”复选框启用分级服务。 在“类别”列表框中,选择一个分级类别,然后拖动“分级”滑块可调整级别。在“内 容分级人员的电子邮件地址”文本框中可键入对内容进行分级的人的电子邮件地址,在“过期 日期”文本框中可以定义分级过期日期。完成后 单击“确定”按钮,完成内容分级的设置。 子任务 5 调整 Web 网站性能 许多企业为了节省成本,减少不必要的开 支,往往在一台服务器上运行多种服务,如一台 Web 服务器同时兼作 FTP、Mail 等服务器。为了 使 Web 服务适应不同的网络环境,还可以对网站 进行性能调整。根据需要来限制各网站使用的带 宽,以确保服务器的整体性能。选择要进行性能 调整的网站,打开该网站的属性对话框,切换到 “性能”选项卡,如图 6-11 所示。默认并没有启 用带宽限制和网站连接限制。 用户可以根据需要进行相应的设置,限制连 接可以保留内存,并防止试图用大量客户端请求 造成 Web 服务器负载的恶意攻击。选中“连接限制为”单选按钮,并在右侧文本框中设置所 允许的同时连接最大数量,默认值为 1000。
6.3.3
任务 3 架设多个 Web 网站
Web 服务的实现采用客户机/服务器模型,信息提供者称为服务器,信息的需要者或获取 者称为客户机。作为服务器的计算机中安装有 Web 服务器端程序(如 Netscape iPlanet Web Server、Microsoft Internet Information Server 等),并且保存有大量的公用信息,随时等待用户 的访问。作为客户机的计算机中则安装 Web 客户端程序,即 Web 浏览器,可通过局域网络或 Internet 从 Web 服务器中浏览或获取信息。使用 IIS 6.0 可以很方便地架设 Web 网站。虽然在安装 IIS 时系统已经建立了一个现成的 默认 Web 网站,直接将网站内容放到其主目录或虚拟目录中即可直接浏览,但最好还是要重 新设置,以保证网站的安全。如果需要,还可在一台服务器上建立多个虚拟主机,来实现多个
Web 网站,这样可以节约硬件资源、节省空间、降低能源成本。 使用 IIS 6.0 的虚拟主机技术,通过分配 TCP 端口、IP 地址和主机头名,可以在一台服务 器上建立多个虚拟 Web 网站,每个网站都具有唯一的,由端口号、IP 地址和主机头名 3 部分 组成的网站标识,用来接收来自客户端的请求,不同的 Web 网站可以提供不同的 Web 服务, 而且每一个虚拟主机和一台独立的主机完全一样。这种方式适用于企业或组织需要创建多个网 站的情况,可以节省成本。 不过,这种虚拟技术将一个物理主机分割成多个逻辑上的虚拟主机使用,虽然能够节省 经费,对于访问量较小的网站来说比较经济实惠,但由于这些虚拟主机共享这台服务器的硬件 资源和带宽,在访问量较大时就容易出现资源不够用的情况。 架设多个 Web 网站可以通过以下 3 种方式。 使用不同 IP 地址架设多个 Web 网站。 使用不同端口号架设多个 Web 网站。 使用不同主机头架设多个 Web 网站。 在创建一个 Web 网站时,要根据企业本身现有的条件,如投资的多少、IP 地址的多少、 网站性能的要求等,选择不同的虚拟主机技术。 1.使用不同的 IP 地址架设多个 Web 网站 如果要在一台 Web 服务器上创建多个网站,为了使每个网站域名都能对应于独立的 IP 地 址,一般都使用多 IP 地址来实现,这种方案称为 IP 虚拟主机技术,也是比较传统的解决方案。 当然,为了使用户在浏览器中可使用不同的域名来访问不同的 Web 网站,必须将主机名及其 对应的 IP 地址添加到域名解析系统(DNS)。如果使用此方法在 Internet 上维护多个网站,也 需要通过 InterNIC 注册域名。 要使用多个 IP 地址架设多个网站,首先需要在一台服务器上绑定多个 IP 地址。而 Windows 2000 及 Windows Server 2003 系统均支持一台服务器上安装多块网卡,一块网卡可以绑定多个 IP 地址。再将这些 IP 地址分配给不同的虚拟网站,就可以达到一台服务器利用多个 IP 地址来 架设多个 Web 网站的目的。例如,要在一台服务器上创建两个网站:Linux.long.com 和 Windows.long.com,所对应的 IP 地址分别为 192.168.22.99 和 192.168.22.100。需要在服务器网 卡中添加这两个地址。 具体步骤如下: (1)在网卡上添加上述两个 IP 地址,并在 DNS 中添加与 IP 地址相对应的两台主机。 (2)依次单击“开始”→“程序”→“管理工具”→“Internet 信息服务(IIS)管理器”, 打开“Internet 信息服务(IIS)管理器”窗口。右击“网站”选项,在弹出的快捷菜单中选择 “新建”→“网站”选项,如图 6-12 所示。 (3)打开“网站创建向导”,新建一个网站。在“IP 地址和端口设置”页面的“网站 IP 地址”下拉列表中,分别为网站指定相应的 IP 地址,如图 6-13 所示。 (4)单击“下一步”按钮,打开“网站主目录”页面,输入主目录的路径,如图 6-14 所示。 (5)接下来设置“网络访问权限”页面,如图 6-15 所示。若有 ASP 脚本运行,选中“运 行脚本(如 ASP)”复选框。 (6)单击“下一步”按钮继续,按向导提示完成 192.168.22.99 对应的网站设置。 192.168.22.100 对应的网站设置与上面设置类似。
图 6-12 新建网站 图 6-13 指定 IP 地址 图 6-14 输入主目录路径 图 6-15 设置网络访问权限 (7)两个网站创建完成以后,在“Internet 信息服务(IIS)管理器”中再分别为不同的 网站进行配置。具体内容参见 6.3.2 节。 这样,在一台 Web 服务器上就可以创建多个网站了。 2.使用不同端口号架设多个 Web 网站 如今 IP 地址资源越来越紧张,有时需要在 Web 服务器上架设多个网站,但计算机却只有 一个 IP 地址,这时该怎么办呢?此时,利用这一个 IP 地址,使用不同的端口号也可以达到架 设多个网站的目的。
其实,用户访问所有的网站都需要使用相应的 TCP 端口。不过,Web 服务器默认的 TCP 端口为 80,在用户访问时不需要输入。但如果网 站的 TCP 端口不为 80,在输入网址时就必须添 加上端口号了,而且用户在上网时也会经常遇到 必须使用端口号才能访问网站的情况。利用 Web 服务的这个特点,可以架设多个网站,每个网站 均使用不同的端口号,这种方式创建的网站,其 域名或 IP 地址部分完全相同,仅端口号不同。 只是用户在使用网址访问时,必须添加上相应的 端口号。 若现在要架设一个与上面不同的网站,但 IP 地址仍使用 192.168.22.99。此时可在 IIS 管理器 中,将新网站的 TCP 端口设为其他端口,如 8080, 如图 6-16 所示。这样,用户就可以使用网址 http://192.168.22.99:8080 来访问该网站。 3.使用不同的主机头名架设多个 Web 网站 如果服务器只有一个 IP 地址,在架设多个 Web 网站时,除了使用不同的端口外,还可以 使用不同的主机头名来实现。这种方式实际上是通过使用具有单个静态 IP 地址的主机头建立 多个网站来实现的。因此,首先要在 DNS 服务器上添加有关的 DNS 主机别名,将主机名(实 际上是一个用 DNS 主机别名表示的域名)添加到 DNS 域名解析系统,然后再创建网站。一旦 请求到达计算机,IIS 将使用在 HTTP 头中传递的主机头名来确定客户请求的是哪个网站。 使 用 主 机 头 创建 的 域 名也 称 二 级域 名 。 现在 ,以 Web 服 务 器 上利 用 主 机头 创 建 Windows.long.com 和 Linux.long.com 两个网站为例进行介绍,其 IP 地址均为 192.168.22.99。 (1)首先,为了让用户能够通过 Internet 找到 Windows.long.com 和 Linux.long.com 网站 的 IP 地址,需将其 IP 地址注册到 DNS 服务器。在 DNS 服务器中,新建两个主机,分别为 Windows.long.com 和 Linux.long.com,IP 地址均为 192.168.22.99,如图 6-17 所示。 (2)打开“Internet 信息服务(IIS)管理器”,使用“网站创建向导”创建两个网站。当 显示“IP 地址和端口设置”页面时,在“此网站的主机头”文本框中键入新建网站的域名, 如 Windows.long.com 或 Linux.long.com,如图 6-18 所示。 如果要修改网站的主机头,也可以在已创建好的网站中,右击该网站,在弹出的快捷菜 单中选择“属性”选项,在弹出的属性对话框中打开“网站”选项卡,在其中单击“IP 地址” 右侧的“高级”按钮,显示“高级网站标识”对话框,如图 6-19 所示。选中主机头名,单 击“编辑”按钮,显示“添加/编辑网站标识”对话框,即可修改网站的主机头值,如图 6-20 所示。 (3)继续单击“下一步”按钮,进行其他配置,直至创建完成。 使用主机头来搭建多个具有不同域名的 Web 网站,与利用不同 IP 地址建立虚拟主机的方 式相比,这种方案更为经济实用,可以充分利用有限的 IP 地址资源,为更多的客户提供虚拟 主机服务。不过,虽然有独立的域名,但由于 IP 地址是与他人一起使用的,没有独立的 IP 地 址,也就不能直接使用 IP 地址访问了。 图 6-16 设置 TCP 端口
图 6-17 新建主机 图 6-18 “IP 地址和端口设置”页面 图 6-19 “高级网站标识”对话框 图 6-20 “添加/编辑网站标识”对话框
6.3.4
任务 4 管理 Web 网站的目录
在 Web 网站中,Web 内容文件都会保存在一个或多个目录树下,包括 HTML 内容文件、 Web 应用程序和数据库等,甚至有的会保存在多个计算机上的多个目录中。因此,为了使其 他目录中的内容和信息也能够通过 Web 网站发布,可通过创建虚拟目录来实现。当然,也可 以在物理目录下直接创建目录来管理内容。1.虚拟目录与物理目录 在 Internet 上浏览网页时,经常会看到一个网站下面有许多子目录,这就是虚拟目录。虚 拟目录只是一个文件夹,并不一定包含于主目录内,但在浏览 Web 站点的用户看来,就像位 于主目录中一样。 对于任何一个网站,都需要使用目录来保存文件。即可以将所有的网页及相关文件都存 放到网站的主目录之下,也就是在主目录之下建立文件夹,然后将文件放到这些子文件夹内, 这些文件夹也称物理目录。也可以将文件保存到其他物理文件夹内,如本地计算机或其他计算 机内,然后通过虚拟目录映射到这个文件夹,每个虚拟目录都有一个别名。虚拟目录的好处是 在不需要改变别名的情况下,可以随时改变其对应的文件夹。 在 Web 网站中,默认发布主目录中的内容。但如果要发布其他物理目录中的内容,就需 要创建虚拟目录。虚拟目录也就是网站的子目录,每个网站都可能会有多个子目录,不同的子 目录内容不同,在磁盘中会用不同的文件夹来存放不同的文件。例如,使用 BBS 文件夹来存 放论坛程序,用 image 文件夹来存放网站图片等。 2.创建虚拟目录 创建虚拟目录有多种方法,最常用的有两种:使用虚拟目录创建向导和使用 Web 共享。 下面只讲述使用虚拟目录创建向导创建虚拟目录,第二种方法请参考课程网站。 假如在 Windows.long.com 对应的网站上创建一个名为 BBS 的虚拟目录,其路径为本地磁 盘中的“E:\BBS”文件夹。创建过程如下。 (1)在 IIS 管理器中,展开左侧的“网站”目录树,选择要创建虚拟目录的网站,右击 鼠标,在弹出的快捷菜单中选择“新建”→“虚拟目录”选项,显示虚拟目录创建向导,利用 该向导便可为虚拟网站创建不同的虚拟目录。 (2)“虚拟目录别名”。在“别名”文本框中设置该虚拟目录的别名,用户用该别名来连 接虚拟目录,如图 6-21 所示。不过,该别名必须唯一,不能与其他网站或虚拟目录重名。 (3)“网站内容目录”。在“路径”文本框中键入该虚拟目录的文件夹路径,或单击“浏 览”按钮进行选择,如图 6-22 所示。这里既可使用本地计算机上的路径,也可以使用网络中 的文件夹路径。 图 6-21 “虚拟目录别名”页面 图 6-22 “网站内容目录”页面 (4)“虚拟目录访问权限”。此处用来选择该虚拟目录要使用的访问权限。默认选中“读 取”和“运行脚本(如 ASP)”两种权限,使该网站可以执行 ASP 程序。
如果该网站要执行 ASP.NET 或 CGI 应用程序,例如要搭建一个 CGI 论坛,就需要选中“执 行(如 ISAPI 应用程序或 CGI)”复选框。 (5)单击“下一步”按钮,显示“已完成虚拟目录创建向导”页面。单击“完成”按钮, 虚拟目录创建完成。 虚拟目录的创建过程和虚拟网站的创建过程有些类似,但不需要指定 IP 地址和 TCP 端口, 只需设置虚拟目录别名、网站内容目录和虚拟目录访问权限。 若要访问 E:\BBS 里的默认网站,可在浏览器上输入:http://Windows.long.com/bbs。 3.设置虚拟目录 虚拟目录作为一个网站的组成部分,其基本属性与虚拟网站的属性类似。 在 IIS 管理器中,展开“网站”树型目录,选择要设置的虚拟目录,右击鼠标,在弹出的 快捷菜单中选择“属性”选项,弹出网站属性对话框。 在这里即可设置并修改该虚拟目录的各种配置,其设置信息与虚拟网站类似,只是少了 IP 地址、网站性能等配置信息,可参见前面所述的虚拟网站管理部分的内容,不再重复。
6.3.5
任务 5 实现 Web 网站的安全
Web 网站安全的重要性是由 Web 应用的广泛性和 Web 在网络信息系统中的重要地位决定 的。尤其是当 Web 网站中的信息非常敏感,只允 许特殊用户才能浏览时,数据的加密传输和用户 的授权就成为网络安全的重要组成部分。 在 IIS 管理器中,加密传输和用户授权均可 在网站属性对话框的“目录安全性”选项卡中进 行设置,如图 6-23 所示。 在 IIS 6.0 中 , Internet 信 息 服 务 提 供 与 Windows 完全集成的安全功能,支持以下 6 种身 份验证方法。 匿名身份验证。允许网络中的任意用户进 行访问,不需要使用用户名和密码登录。 基本身份验证。需要用户输入用户名和 密码,然后以明文方式通过网络将这些 信息传送到服务器,经过验证后方可允 许用户访问。 摘要式身份验证。与“基本身份验证”非常类似,所不同的是将密码作为“哈希”值 发送。摘要式身份验证仅用于 Windows 域控制器的域。 高级摘要式身份验证。与“摘要式身份验证”基本相同,所不同的是“高级摘要式身
份验证”将客户端凭据作为 MD5 哈希存储在 Windows Server 2003 域控制器的 Active Directory 服务中,从而提高了安全性。
集成 Windows 身份验证。使用哈希技术来标识用户,而不通过网络直接发送密码。
证书。可以用来建立安全套接字层(SSL)连接的数字凭据,也可以用于验证。
使用这些方法可以确认任何请求访问网站的用户的身份,以及授予访问站点公共区域的
权限,同时又可防止未经授权的用户访问专用文件和目录。 子任务 1 通过身份验证控制特定用户访问网站 在使用 IIS 创建的网站中,默认允许所有的用户连接,客户端访问时不需要使用用户名和 密码。但对安全要求高的网站,或网站中有机密信息,就需要对用户进行身份验证,只有使用 正确的用户名和密码才能访问。 1.启用匿名访问 在网站属性对话框的“目录安全性”选项卡中, 单击“身份验证和访问控制”选项组中的“编辑” 按钮,弹出如图 6-24 所示的“身份验证方法”对话 框。默认使用匿名访问,为了网站安全,管理员也 可设置不同的身份验证方式。 在默认情况下,Web 服务器启用匿名访问,网 络中的用户无需输入用户名和密码便可任意访问 Web 网站的网页。其实,匿名访问也是需要身份验 证的,称为匿名验证。当用户访问 Web 站点的时候, 所有 Web 客户使用“IUSR_计算机名”账号自动登 录。如果允许访问,就向用户返回网页页面;如果 不允许访问,IIS 将尝试使用其他验证方法。 2.使用身份验证 在 IIS 6.0 的身份验证方式中,还提供基本身份验证、Windows 域服务器的摘要式验证、 集成的 Windows 身份验证,以及.NET Passport 等多种身份验证方法,一般在禁止匿名访问时, 才使用其他验证方法。 要启用身份验证,需选中相应的复选框,并在“默认域”和“领域”文本框中键入要使 用的域名。如果置空,则 IIS 将运行 IIS 的服务器的域作为默认域。 这些身份验证方法,可在“身份验证方法”对话框的“用户访问需经过身份验证”选项 组中进行设置。其作用及意义各有不同。 Windows 域服务器的摘要式身份验证。摘要式验证只能在带有 Windows 2000/2003 域 控制器的域中使用。域控制器必须具有所用密码的纯文本复件,因为必须执行散列 操作并将结果与浏览器发送的散列值相比较。 基本身份验证。基本验证会“模仿”为一个本地用户(即实际登录到服务器的用户), 在访问 Web 服务器时登录。因此,若要以基本验证方式确认用户身份,Windows 用 户必须具有“本地登录”用户权限。默认情况下,Windows 主域控制器(PDC)中 的用户账户不授予“本地登录”用户的权限。但使用基本身份验证方法将导致密码 以未加密形式在网络上传输,蓄意破坏系统安全的人可以在身份验证过程中使用协 议分析程序破译用户名和密码。 集成 Windows 身份验证。集成 Windows 验证是一种安全的验证形式,它也需要用户 输入用户名和密码,但用户名和密码在通过网络发送前会经过散列处理,因此可以 确保安全性。当启用集成 Windows 验证时,用户的浏览器可以通过 Web 服务器进行 密码交换。集成 Windows 身份验证使用 Kerberos V5 验证和 NTLM 验证。如果在 图 6-24 “身份验证方法”对话框
Windows 域控制器上安装了 Active Directory 服务,并且用户的浏览器支持 Kerberos V5 验证协议,则使用 Kerberos V5 验证,否则使用 NTLM 验证。 集成 Windows 身份验证优先于基本身份验证,但它并不首先提示用户输入用户名和密码, 只有 Windows 身份验证失败后,浏览器才提示用户输入其用户名和密码。集成 Windows 身份 验证非常安全,但是在通过 HTTP 代理连接时,集成 Windows 身份验证不起作用,无法在代 理服务器或其他防火墙应用程序后使用。因此,集成 Windows 身份验证最适合企业 Intranet 环境。 子任务 2 通过 IP 地址限制保护网站 使用用户验证的方式,每次访问该 Web 站点都需要键入用户名和密码,对于授权用户而 言比较麻烦。由于 IIS 会检查每个来访者的 IP 地址,因此可以通过限制 IP 地址的访问来防止 或允许某些特定的计算机、计算机组、域甚至整个网络访问 Web 站点。 1.设置拒绝访问的计算机 在“默认网站属性”对话框的“目录安全性”选项卡中,单击“IP 地址和域名限制”选项卡 中的“编辑”按钮,显示如图 6-25 所示的“IP 地址和域名限制”对话框。默认选中允许网络中的 所有计算机访问该 Web 服务器。通过使用“授权访问”选项可以为所有的计算机或域授予访问权 限,同时可添加一系列将被拒绝访问的计算机,这些计算机将不能访问该 Web 服务器。当被拒绝 访问的计算机数量较多时,只需指定少量授权访问的计算机即可。 选中“默认情况下,所有计算机都将被:授权访问”单选按钮,并单击“添加”按钮, 显示“拒绝访问”对话框,可以添加拒绝访问的一台、一组计算机或域名。 选中“一组计算机”单选按钮,可以用网络标识和子网掩码来选择一组计算机。网络标 识是主机的 IP 地址,通常是“子网”的路由器,子网掩码用于解析出 IP 地址中子网标识和主 机标识。在子网中所有计算机有共同的子网标识和自己唯一的主机标识。例如,如果主机拥有 IP 地址 192.168.22.99 和子网掩码 255.255.255.0,那么子网中的所有计算机将拥有以 192.168.22 开头的 IP 地址。要选择子网中的计算机,可以在“网络标识”文本框中键入 192.168.22.0,在 “子网掩码”文本框中键入 255.255.255.0,如图 6-26 所示。 图 6-25 “IP 地址和域名限制”对话框 图 6-26 “拒绝访问”对话框 也可以根据域名来限制要访问的计算机。选中“域名”单选按钮,然后键入要拒绝访问 的域名即可。 通过域名限制访问会要求 DNS 反向查找每一个连接,这将会严重影响服务器的 性能,建议不要使用。
所有被拒绝访问的计算机都会显示在“IP 地址访问限制”列表框中。以后,该列表中被 拒绝访问的计算机在访问该 Web 网站时,就不能打开该 Web 网站的网页,而会显示“您未被 授权查看该页”的页面。 2.设置授权访问的计算机 “授权访问”与“拒绝访问”正好相反。通过“拒绝访问”选项设置将拒绝所有计算机 和域对该 Web 服务器的访问,但特别授予访问权限的计算机除外。选中“默认情况下,所有 计算机都将被:拒绝访问”单选按钮,并单击“添加”按钮,会显示“授权访问”对话框,用 来添加授权访问的计算机。其操作步骤与设置“拒绝访问”对话框相同,这里不再重复。 子任务 3 审核 IIS 日志记录 每个网站的用户和服务器活动时都会生成相应的日志,这些日志中记录了用户和服务器 的活动情况。IIS 日志数据可以记录用户对内容的访问,确定哪些内容比较受欢迎,还可以记 录有哪些用户非法入侵网站,来确定计划安全要求和排除潜在的网站问题等。 在网站属性对话框的“网站”选项卡中, 默认启用日志记录。可以以多种格式记录活动 日志,在“活动日志格式”下拉列表中共有 4 种日志格式可供选择,如图 6-27 所示。默认使 用 W3C 扩展日志文件格式。 这 4 种文件格式的日志所记录的内容各有 不同,其区别如下。 “W3C 扩展日志文件格式”是一个包 含多个不同属性、可自定义的 ASCII 格式。可以记录对管理员来说重要的属 性,可省略不需要的属性字段来限制日 志文件的大小。各属性字段以空格分 开,时间以 UTC 形式记录。 “ODBC 日志记录格式”是用来记录
符合开放式数据库连接(ODBC)的数据库(Microsoft Access 或 SQL Server)中一组 固定的数据属性。记录项目包括用户的 IP 地址、用户名、请求日期和时间(记录为 本地时间)、HTTP 状态码、接收字节、发送字节、执行的操作和目标(例如下载的 文件)。对于 ODBC 日志记录,必须指定要登录的数据库,并且设置数据库接收数据。 不过这种方式会使 IIS 禁用内核模式缓存,可能会降低服务器的总体性能。 “NCSA”是美国国家超级计算技术应用中心公用格式,是一种固定的(不能自定义 的)ASCII 格式,记录了关于用户请求的基本信息,如远程主机名、用户名、日期、 时间、请求类型、HTTP 状态码和服务器发送的字节数。项目之间用空格分开,时间 记录为本地时间。
“Microsoft IIS 日志文件格式”是固定的(不能自定义的)ASCII 格式。IIS 格式比
NCSA 公用格式记录的信息多。IIS 格式包括一些基本项目,如用户的 IP 地址、用户 名、请求日期和时间、服务状态码和接收的字符数。另外,IIS 格式还包括详细的项 目,如所用时间、发送的字节数、动作(例如,GET 命令执行的下载)和目标文件。
这些项目用逗号分开,使得比使用空格作为分隔符的其他 ASCII 格式更易于阅读。 时间记录为本地时间。 单击“属性”按钮,显示如图 6-28 所示的“日志记录属性”对话框,在“新日志计划” 选项组中可以选择多长时间记录一次。“日志文件目录”文本框中显示了日志文件所在的目录。 而“日志文件名”则告知用户,日志文件所在的文件夹及日志文件命名的格式。例如,W3C 扩展日志文件命名格式为 exyymmdd.log,也就是“ex 年月日.log”,以年月日来命名。不同格 式的日志,所在的文件夹及命名方式是不同的。 在“高级”选项卡中,还可以选择日志文件中可以记录的选项,所选中的选项,都会记 录在日志文件中,如图 6-29 所示。 图 6-28 “日志记录属性”对话框 图 6-29 “高级”选项卡 根据日志文件所在的目录,找到并打开日志文件,即可看到该日志文件记录的内容。 根据日志文件中记录的内容,便可得知访问该 Web 网站的用户的详细情况,如 IP 地址、所 访问过的文件等,还可以查出有哪些人非法入侵网站,并根据入侵情况来加强网站的安全措施。 IIS 站点活动的日志记录与 Windows Server 2003 中的事件记录不要混淆,IIS 中的日志记 录功能用来记录用户与 Web 服务器间的活动,而 Windows 日志用来记录 Windows 系统中的活 动情况,并可以通过使用“事件查看器”来查看。 子任务 4 其他的网站安全措施 1.使用网站权限保护 Web 网站 利用 IIS 搭建的 Web 网站,还可以设置网站来访 用户的权限,对于一些对安全性要求比较高的网站, 只允许用户使用具有特殊权限的用户账户才能访问。 不过,Web 服务器所发布的文件的目录必须保存在 NTFS 分区内,否则便不能设置权限。 打开 IIS 管理器,展开左侧树型目录,选择要设置 权限的网站,右击鼠标,在弹出的快捷菜单中单击“权 限”选项,显示如图 6-30 所示的“安全”选项卡。 在该选项卡中,可以设置允许访问该网站的不同 用户组的权限。默认允许“Internet 来宾账户”读取, 图 6-30 “安全”选项卡
如果删除该账户,则不允许匿名访问。 其实,对网站的权限设置,实际上就是设置网站主目录文件夹的权限。 “Internet 来宾账户”就是“IUSR_计算机名”账户。 2.设置目录或文件的 NTFS 权限 网页文件应该存储在 NTFS 磁盘分区内,以便利用 NTFS 权限来增加网页的安全性。 要设置 NTFS 权限,可右击网页文件或文件夹,在弹出的快捷菜单中选择“属性”→“安 全”选项,设置目录或文件的权限或加密。
6.3.6
任务 6 远程管理网站
并不是总能够方便地在运行 IIS 的计算机上执行管理任务,因此对 IIS 的远程管理就成为 必要。事实上,局域网与 IIS 服务器相连接,就可以实现对网站的远程管理。本节主要介绍两 种重要的管理方式,分别是利用 IIS 管理器和远程管理(HTML)进行管理。 子任务 1 利用 IIS 管理器进行远程管理 在 IIS 管理器中,选择“Computer(本地计算机)”,右击,弹出快捷菜单,选择“连接” 命令,在打开的对话框中选择另外一台要被管理的 IIS 计算机。如果目前所登录的账号没有权 限来连接该 IIS 计算机,可选中“连接为”复选框,然后输入另外一个有权限连接的账号和密 码。接下来就可以远程管理网站了。 子任务 2 远程管理可以使用远程管理(HTML)工具从 Intranet 上的任何 Web 浏览器管理 IIS Web 服务器。 本版本的远程管理(HTML)工具只在运行 IIS 6.0 的服务器上运行。远程管理(HTML)的安 装方法是选择“开始”→“控制面板”→“添加或删除程序”→“添加/删除 Windows 组件” →“应用程序服务器”→“详细信息”→“Internet 信息服务(IIS)”→“详细信息”→“万 维网服务”→“详细信息”,选中“远程管理(HTML)”复选框。
安装完成后,在“Internet 信息服务(IIS)管理器”窗口中将多出一个名称为 Administration 的网站,如图 6-31 所示。Administration 网站默认的端口是 8099,SSL 端口为 8098。
下面将通过此 Administration 网站来远程管理 IIS 计算机。由于 Administration 网站的默认 网页是用 Active Server Pages 编写的 default.asp,因此 Active Server Pages 会自动被启动。
假定远程 IIS 计算机的 IP 地址是 192.168.22.100,在该网络内的任何一台计算机的浏览器 的地址栏输入 https://192.168.22.100:8098,会弹出如图 6-32 所示的警告信息,不必理会该信息, 单击“是”按钮。然后在图 6-33 中输入在远程 IIS 计算机内具备系统管理员权限的用户名和 密码。 图 6-32 警告信息 图 6-33 输入用户名和密码 验证通过后,会弹出如图 6-34 所示的窗口,可以通过它来远程管理网站。 图 6-34 远程管理网站界面
6.3.7
任务 7 创建与管理 FTP 服务
FTP 的全称是 File Transfer Protocol(文件传输协议),TCP/IP 网络中的计算机用于传输文 件的协议。FTP 服务器通常由 IIS 或者 Serv-U 软件来构建,其作用是用来在 FTP 服务器和 FTP 客户端之间完成文件的传输。传输是双向的,既可以从服务器下载到客户端,也可以从客户端 上传到服务器。FTP 服务器使用 21 作为默认的 TCP 端口号。 FTP 服务器可以以两种方式登录,一种是匿名登录,另一种是使用授权账号与密码登录。 一般匿名登录只能下载 FTP 服务器的文件,且传输速度相对要慢一些,对这类用户,FTP 需 要加以限制,不宜开启过高的权限;而使用授权账号与密码登录,需要管理员针对不同的用户
限制不同的访问权限等。 子任务 1 配置 FTP 服务器 FTP 服务的配置和 Web 服务相比要简单得多,主要是站点的安全性设置,包括指定不同 的授权用户,如允许不同权限的用户访问,允许来自不同 IP 地址的用户访问,或限制不同 IP 地址的不同用户的访问等。再就是和 Web 站点一样,FTP 服务器也要设置 FTP 站点的主目录 和性能等。 1.安装与配置 FTP 服务器 依次打开“控制面板”→“添加或删除程序”→“添加或删除 Windows 组件”,选中“应 用程序服务器”复选框,然后单击“详细信息”按钮,打开“应用程序服务器”对话框。选中 “Internet 信息服务(IIS)”复选框,然后单击“详细信息”选项,打开“Internet 信息服务(IIS)” 对话框,在列表框中选中“文件传输协议(FTP)服务”复选框,然后单击“确定”按钮,即 可安装 FTP 服务。 FTP 安装完成后,依次选择“开始→管理工具→Internet 信息服务(IIS)管理器”选项, 打开“Internet 信息服务(IIS)管理器”窗口,就可实现对 FTP 的配置与管理。 FTP 服务在安装后会自动运行,并且在默认状态下,该 FTP 服务器的主目录所在的文件 夹为“%SystemRoot%\inetpub\ftproot”,默认允许来自任何 IP 地址的用户以匿名方式进行只读 访问,即只能下载而无法上传文件。因此,只需将允许用户下载的文件拷贝至该文件夹,即可 实现匿名下载。当然,为了安全,建议将 FTP 主目录文件夹修改为非系统分区。 2.设置 IP 地址和端口 在刚刚安装好 FTP 服务以后,默认状态下 IP 地址为“全部未分配”方式,即 FTP 服务与 计算机中所有的 IP 地址绑定在一起,默认 TCP 端口为 21。这种状态下,FTP 客户端用户可以 使用该服务器中绑定的任何 IP 地址及默认端口进行访问,而且允许来自任何 IP 地址的计算机 进行匿名访问,显然这种方式是不安全的。为 安全起见,网络管理员需要设置相应的 IP 地址 和端口号。 在“Internet 信息服务(IIS)管理器”窗口 中,展开“FTP 站点”选项,右击“默认网站” 选项,选择“属性”选项,显示如图 6-35 所示 的“默认 FTP 站点属性”对话框。在“FTP 站 点标识”选项区域中,需要设置站点描述、IP 地址和 TCP 端口 3 个项目。 如果修改了默认的 FTP 端口,应当告知 FTP 客户端,否则访问请求将无法连接到该 FTP 服务器。例如,FTP 服务器的 IP 地址为 192.168.22.99,TCP 端口默认值为 21,此时用 户只需通过客户端访问 FTP://192.168.22.99 即 可 访 问 该 FTP 网 站 ; 而 如 果 指 定 了 非 “ 21 ” 的 端 口 号 , 如 8080 时 , 则 只 有 访 问 FTP://192.168.22.99:8080 时,才能实现对该 FTP 网站的访问。需要注意的是,必须为 FTP 服 务器指定一个端口号,“TCP 端口”文本框不能置空。当然,在指定 FTP 服务端口时,应当避 图 6-35 “默认 FTP 站点属性”对话框
免使用常用服务的 TCP 端口。 3.连接数量限制
当 FTP 服务器位于 Internet 上,并且拥有有价值的文件资源时,可能会产生大量的用户并 发访问,当服务器的配置较低、性能较差或 Internet 接入带宽较小时,就很容易造成系统响应 迟缓或瘫痪,或者对企业的其他 Internet 服务(如 Web 服务、E-mail 服务等)造成严重影响, 干扰了其他网络服务的正常提供。尤其是对于一些小型企业而言,在一台服务器上除了安装 FTP 服务外,还要提供其他网络服务(如 Web、E-mail、Windows Media Services 等),服务器 无法同时处理过多的并发访问,从而导致所有服务的中断或超时。因此,这种情况下,就必须 对 FTP 连接数量进行一定的限制。 在“FTP 站点”选项卡的“FTP 站点连接”选项组中,可以设置连接是否受限制、限制的 连接数量及连接超时,各选项的作用如下。 不受限制。不限制连接数量,适用于服务器配置和网络带宽都较高的情况,或者 FTP 服务仅为企业网络内部提供访问服务。 连接限制为。限制同时连接到该站点的连接数量,可指定该 FTP 站点所允许连接的 最大数值。 连接超时。设置服务器断开未活动用户的时间(以秒为单位),从而确保及时关闭失 败的连接,或者长时间没有活动的连接,及时释放系统性能和网络带宽,减少无谓 的系统资源和网络资源浪费。默认连接超时为 120 秒。 4.设置主目录 FTP 服务的主目录是指映射为 FTP 根目录的文件夹,FTP 站点中的所有文件全部保存在 该文件夹中。同时,当 FTP 客户访问该 FTP 站点时,也只有该文件夹(即主目录)中的内容 可见,并且作为该 FTP 站点的根目录。 (1)设置主目录文件夹。在安装 FTP 服务时,默认为 FTP 站点创建一个默认的主目录, 绝对路径为“%SystemRoot%\inetpub\ftproot”。 在“默认 FTP 站点属性”对话框的“主目录” 选项卡中,可以更改 FTP 站点的主目录或修 改其属性,如图 6-36 所示。 FTP 站点主目录的位置可以指定到本地 计算机中的其他文件夹,甚至是另一台计算 机上的共享文件夹。 (2)设置访问权限。设置用户对该文件 夹的访问权限。仅仅在 FTP 站点中设置访问 权限是不够的,同时还必须在 Windows 资源 管理器中为 FTP 根目录设置 NTFS 文件夹权 限。NTFS 权限优先于 FTP 站点权限。 (3)目录列表样式。目录列表样式只是 用来设置显示在客户端计算机上的目录列表 风格,并不会影响访问权限。这两种样式的区别如下: MS-DOS。系统默认值为“MS-DOS”方式,MS-DOS 目录列表风格以 2 位数格式显 图 6-36 “主目录”选项卡
示年份。 UNIX。UNIX 目录列表风格以 4 位数格式显示年份,如果文件日期与 FTP 服务器相 同,则不会返回年份。 5.设置欢迎和退出消息 在 FTP 站点设置欢迎和提示消息后,当用户连接或退出该 FTP 站点时,将显示相应的欢 迎和告别信息。对于企业网站而言,既是一种自我宣传的机会,也显得更有人情味。在“默认 FTP 站点属性”对话框的“消息”选项卡中可以设置“标题”、“欢迎”、“退出”和“最大连接 数”等选项。 6.设置访问安全 由于 FTP 站点中往往存储着非常重要的文件或应用程序,甚至是 Web 网站的全部内容, 所以,FTP 站点的访问安全显得尤其重要。对于一些比较特殊的 FTP 站点,必须进行用户身 份验证,并限制允许访问该 FTP 服务器的 IP 地址,从而确保 FTP 站点的安全。 (1)禁止匿名访问。默认状态下,FTP 站点允许用户匿名连接,也就是说,所有用户无 需经过身份认证就可列出、读取并下载 FTP 站点的内容。如果 FTP 站点中存储有重要的或敏 感的信息,只允许授权用户访问,就应当禁用匿名访问。 单击“默认 FTP 站点属性”对话框中的“安全账户”选项卡,清除“允许匿名连接”复 选框,即可禁止用户匿名访问该 FTP 站点。 当禁止匿名用户连接后,只有服务器或活动目录中有效的账户,才能通过身份认证,并 实现对该 FTP 站点的访问。 (2)限制 IP 地址。通过对 IP 地址的限制,可以只允许或拒绝某些特定范围内的计算机访 问该 FTP 站点,从而可以在很大程度上避免来自外界的恶意攻击,并且将授权用户限制在某一 个范围。将 IP 地址限制与用户认证访问结合在一起,将进一步提高 FTP 站点访问的安全性。 单击“默认 FTP 站点属性”对话框中的“目录安全性”选项卡,可以设置该 FTP 站点的 IP 地址访问限制。该设置与 Web 网站非常相似,不再重复。 (3)磁盘限额。当赋予 FTP 客户写入权限时,往往会导致用户权限的滥用。许多用户可 能会无视系统管理员的警告,将大量文件保存在 FTP 服务器中,从而导致宝贵的硬盘空间被 迅速占用。因此,限制每个用户写入的数据量就成为一种必要。 虽然 FTP 服务本身并没有提供磁盘限额功能,但可以借助 Windows 的 NTFS 磁盘配额功 能实现。因此,在 FTP 站点赋予用户写入权限时,应当启用磁盘配额功能。当然,FTP 主目 录必须位于 NTFS 系统分区,FAT32 是无法设置磁盘配额的。 为不同的用户组分别设置磁盘配额后,当用户上传的文件超出容量限制时,系统将自动 发出警告,提示用户超出空间配额,上传操作不能完成。 子任务 2 设置虚拟站点 在一台主机上,也可以创建多个虚拟 FTP 站点。例如,如果在一台服务器上同时提供 Web 服务和 FTP 服务,那么就应当安装两个 FTP 站点,一个用于 Web 站点的内容更新,另一个为 客户提供文件下载服务。对于中小企业而言,这是一种很常见的应用方式。 1.虚拟站点的作用 虚拟 FTP 站点与默认 FTP 站点使用几乎完全相同,都可以拥有自己的 IP 地址和主目录, 可以单独进行配置和管理,可以独立启动、暂停和停止,并且能够建立虚拟目录。利用虚拟
FTP 站点可以分离敏感信息,从而提高数据的安全性,并便于数据的管理。 在创建虚拟站点之前,需要做好以下两个方面的准备工作。 (1)设置多个 IP 地址。FTP 站点的标识只有两个,即 IP 地址和端口号。若要使用默认的端 口号访问虚拟 FTP 站点,就必须为主机指定多个 IP 地址,使每个 FTP 站点都拥有一个 IP 地址。 Web 服务与 FTP 服务使用的端口号不同,即使使用相同的 IP 地址,也不会导致两个服务 的冲突。 (2)创建或指定主目录。每个虚拟 FTP 站点都拥有自己的主目录,因此,在创建虚拟 FTP 站点之前,必须先为其创建或指定主目录文件夹,并根据需要设置相应的访问权限,以实 现更好的访问安全。 为便于进行访问权限和磁盘限额的限制,建议将主目录文件夹创建在 NTFS 系统分区。 2.虚拟站点的创建 (1)在“Internet 信息服务(IIS)管理器”窗口中,右击左侧目录树中的“FTP 站点” 选项,在弹出的快捷菜单中依次选择“新建”→“站点”选项,显示“FTP 站点创建向导”。 (2)接下来在“FTP 站点描述”页面中为该 FTP 站点指定标识。该标识名称不会显示在 FTP 客户端,只用于在管理窗口中标识不同的 FTP 站点,便于系统管理员区分和管理。 (3)接下来在“IP 地址和端口设置”页面中为该 FTP 站点指定 IP 地址和使用的 TCP 端 口。FTP 服务的默认端口号为“21”。 (4)接下来在“FTP 用户隔离”页面中设置 FTP 客户隔离模式,如图 6-37 所示。FTP 用户隔离是 IIS 6.0 的新增特性,它使 ISP 和应用服务提供商可以为客户提供上传文件和 Web 内容的个人 FTP 目录。FTP 用户隔离相当于专业 FTP 服务器的用户目录锁定功能,实际上是 将用户限制在自己的目录中,防止用户查看或覆盖其他用户的内容。 图 6-37 “FTP 用户隔离”页面 有 3 种隔离模式可供选择,其含义如下。 不隔离用户:这是 FTP 的默认模式。该模式不启用 FTP 用户隔离。在使用这种模式 时,FTP 客户端用户可以访问其他用户的 FTP 主目录。这种模式最适合于只提供共 享内容下载功能的站点,或者不需要在用户间进行数据保护的站点。 隔离用户:当使用这种模式时,所有用户的主目录都在单一 FTP 主目录下,每个用 户均被限制在自己的主目录中,用户名必须与相应的主目录相匹配,不允许用户浏
览除自己主目录之外的其他内容。如果用户需要访问特定的共享文件夹,需要为该 用户再创建一个虚拟根目录。如果 FTP 是独立的服务器,并且用户数据需要相互隔 离,那么,应当选择该模式。需要注意的是,当使用该模式创建了上百个主目录时, 服务器性能会大幅下降。
用 Active Directory 隔离用户:使用这种模式时,服务器中必须安装 Active Directory。
这种模式根据相应的 Active Directory 验证用户凭据,为每个客户指定特定的 FTP 服 务器实例,以确保数据完整性及隔离性。当用户对象在活动目录中时,可以将 FTPRoot 和 FTPDir 属性提取出来,为用户主目录提供完整路径。如果 FTP 服务能成功地访问 该路径,则用户被放在代表 FTP 根位置的主目录中,用户只能看见自己的 FTP 根位 置,因此,受限制而无法向上浏览目录树。如果 FTPRoot 或 FTPDir 属性不存在,或 它们无法共同构成有效、可访问的路径,用户将无法访问。如果 FTP 服务器已经加 入域,并且用户数据需要相互隔离,则应当选择该模式。 (5)其他如“FTP 站点目录”、“FTP 站点访问权限”等内容的设置与 Web 站点的设置类 似,不再重复。 FTP 站点创建完成以后,将显示在“Internet 信息服务(IIS)管理器”窗口的“FTP 站点” 目录树中。 3.虚拟站点的配置与管理 虚拟 FTP 站点的配置和管理方式与默认 FTP 站点完全相同,不再重复。 子任务 3 设置虚拟目录 使用虚拟目录可以在服务器硬盘上创建多个物理目录,或者引用其他计算机上的主目录, 从而为不同上传或下载服务的用户提供不同的目录,并且可以为不同的目录分别设置不同的权 限,如读取、写入等。使用 FTP 虚拟目录时,由于用户不知道文件的具体保存位置,从而使 得文件存储更加安全。 FTP 站点中虚拟目录的创建、配置与管理,与 Web 站点中很类似,不再赘述,相关内容 请参考本书的课程网站。 子任务 4 配置与使用客户端 任何一种服务器的搭建,其目的都是为了应用。FTP 服务也一样,搭建 FTP 服务器的目 的就是为了方便用户上传和下载文件。当 FTP 服务器建立成功并提供 FTP 服务后,用户就可 以访问了,一般主要使用两种方式访问 FTP 站点,一是利用标准的 Web 浏览器,二是利用专 门的 FTP 客户端软件,以实现 FTP 站点的文件浏览、下载和上传。 1.FTP 站点的访问 根据 FTP 服务器所赋予的权限,用户可以浏览、上传或下载文件,但使用不同的访问方 式,其操作方法也不相同。
(1)Web 浏览器访问。Web 浏览器除了可以访问 Web 网站外,还可以用来登录 FTP 服 务器。
匿名访问时的格式为:ftp://FTP 服务器地址。
非匿名访问 FTP 服务器的格式为:ftp://用户名:密码@FTP 服务器地址。
登录到 FTP 网站以后,就可以像访问本地文件夹一样使用了。如果要下载文件,可以先 复制一个文件,然后粘贴到本地文件夹中即可;若要上传文件,可以先从本地文件夹中复制一
个文件,然后在 FTP 站点文件夹中粘贴,即可自动上传到 FTP 服务器。如果具有“写入”权 限,还可以重命名、新建或删除文件或文件夹。 (2)FTP 客户端软件访问。大多数访问 FTP 站点的用户都会使用 FTP 客户端软件,因为 FTP 软件不仅方便,而且和 Web 浏览器相比,它的功能更加强大。比较常用的 FTP 客户端软 件有 CuteFTP、FlashFXP、LeapFTP 等。 2.虚拟目录的访问 当利用 FTP 客户端软件连接至 FTP 站点时,所列出的文件夹中并不会显示虚拟目录,因 此,如果想显示虚拟目录,必须切换到虚拟目录。 如果使用 Web 浏览器方式访问 FTP 服务器,可在“地址”栏中输入地址的时候,直接在 后面添加上虚拟目录的名称。格式为: ftp://FTP 服务器地址/虚拟目录名称 这样就可以直接连接到 FTP 服务器的虚拟目录中。 如果使用 FlashFXP 等 FTP 客户端软件连接 FTP 站点,可以在建立连接时,在“远程路径” 文本框中键入虚拟目录的名称;如果已经连接到了 FTP 站点,要切换到 FTP 虚拟目录,可以 在文件列表框中右击,在弹出的快捷菜单中选择“更改文件夹”选项,在“文件夹名称”文本 框中键入要切换到的虚拟目录名称。
6.4
习题
一、判断题
1.若 Web 网站中的信息非常敏感,为防中途被人截获,就可采用 SSL 加密方式。 ( ) 2.IIS 提供了基本服务,包括发布信息、传输文件、支持用户通信和更新这些服务所依赖 的数据存储。 ( ) 3.虚拟目录是一个文件夹,一定包含于主目录内。 ( )4.FTP 的全称是 File Transfer Protocol(文件传输协议),是用于传输文件的协议。 ( ) 5.当使用“用户隔离”模式时,所有用户的主目录都在单一 FTP 主目录下,每个用户均 被限制在自己的主目录中,且用户名必须与相应的主目录相匹配,不允许用户浏览除自己主目 录之外的其他内容。 ( )
