IIS的安全性全解析

        信息服务器IIS是BACKOFFICE系列产品中功能最强大、最流行的应用程序，它与整个BACKOFFICE组件一样，IIS也是围绕WINDOWS NT体系而生成的。它作为WINDOWS NT SERVER提供的一组服务而运行，允许它利用WINDOWS NT的各项软件功能。

　　不过，确保你数据完整性仍是一个必须认真对待的关键性安全问题。IIS凭借丰富而又强大的验证、访问控制和审核功能可以保证数据的完整性，因为它以WINDOWS NT SERVER作系统为基础。此外，它还支持安全插接层SSL，它通过对IIS和支持SSL的所有浏览器之间的对话进行加密来保证安全通信更加保密。

　　黑客们知道大多数WEB和FTP网站都允许匿名访问。这些网站常常错误配置，这样就存在安全漏洞。下面介绍须采取哪些措施才能保证保证IIS使你的网络和数据完全避免黑客入侵。

　　一、利用现有的WINDOWS NT安全性能来保护IIS

ISS通过WINDOWS NT安全模型提供安全性，也就说，安全帐户管理器数据库中定义的用户帐户和组将确定一旦用户接入IIS机器，他们能进行什么操作。你不仅要核查现有的帐户权限和许可权，并且要限制匿名访问使用的帐户权限和许可权，这非常重要。

　　记录IIS的所有服务程序都支持广泛的记录功能。记录功能很重要，因为它能用来监视可疑的活动，从而决定应当保留什么、应当取消什么，以便进行容量规划。

　　启动记录功能很容易，每项服务的事件都共同记录在同一个公用文件中。若要启动记录功能，请打开IIS MANEGER，双击你要启动其记录功能的服务器，显示PROPERTIES对话框。接着单击LOGGING标签，将弹出一个对话框。该标签的用法相当直接，你只须单击ENABLE LOGGING选项，然后你选择是记录到一个文本文件，还是记录到SQL数据库，并确定日志文件多长时间更新一次。

　　提示当你第一次安装服务器时，要设置为DAILY LOGGING（日志），这样你可以每天看到结果。过一段时间后，你再选择最合适的记录方式。

　　ADVANCED选项通过单击SERVICE PROPERTIED对话框的ADVANCED标签，IIS还支持简单过滤功能。你可使用ADVANCED OPTIONS标签来限制或允许某些IP地址对WEB服务器的访问。在弹出的ADVANCED标签中，激活By default all computer will be granted Access(缺省时，所有计算机将获得访问权）你可以使用ADD钮将应当拒绝访问的某些特定的IP地址范围输入进来。

　　或者，如果你想强制执行严格的安全保护，你可以选择By Default all computer will be den Access（缺省时，所有的计算机将被拒绝访问），然后根据应当能访问这台机器的IP地址确定主机表。这是一个功能强大而且价值较高的工具，有助于确保你网站的安全，所以不应忽视。

　　二、IIS Advanced安全性能与Exchange Server一样，Internet信息服务器提供Advanced安全性能，使你通信绝对安全。它们由SSL（安全插接层）2.0版和3.0版以及PCT（保密通信技术）1.0组成。SSL可对TCP/IP通信进行数据加密、服务器验证和邮件集成功能。

　　安全插接层安全插接层（SSL）是一个由Netscape通信公司开发的协议，并提交环球网联盟（W3C）作为保证Internet通信安全的标准。当支持SSL的一台客户机（Internet EXPlorer2.0和3.x和Netscape 3.x）与支持SSL的服务器连接时，在TCP/IP连接时就出现“信号交换的交接关系”来进行验证，以确定在通信中将实施哪一级安全保护。

　　在建立连接后，SSL接着对流经使用中的应用协议的数据进行加密和解密。所有请示和响应信息都应该加密，其中包括客户机下在请示的统一资源定位符（URL）、其它形式的数据（如你的地址或食用卡号码）、任何验证信息（用户名和口令）以及所有由服务器返回到客户机的数据。