计算机信息及网络安全实用教程 主编 蒋理 第13章 Web安全.pptVIP

　　3．IP地址控制 　　如果使用用户验证的方式，每次访问站点都需要键入用户名和密码，对于授权用户而言比较麻烦。由于IIS会检查每个来访者的IP地址，可通过IP地址的访问来防止或允许某些特定的计算机、域甚至整个网络访问站点。因此，通过IP地址限制，在Internet上排除未知用户是非常有效的方法。 　　在站点的属性对话框中，选择“目录安全性”单击“IP地址和域名限制”选项区中的“编辑”按钮，打开“IP地址和域名限制”对话框。 　　4．端口安全 　　对于IIS服务，无论是从Web、FTP，还是NNTP、SMTP服务等都有各自侦听和接收浏览器请求的TCP端口号。一般常用的端口号为：Web是80，FTP是21，SMTP是25，POP3是110，SSL是443。通过修改端口号也可以提高IIS服务器的安全性。如果修改了端口设置，用户必须知道该服务的端口号才能访问，用户在访问时需要指定该端口号。 　　要修改端口号，可打开站点的属性对话框，在“TCP端口”文本框中键入新的端口号即可。以Web站点为例，打开网站的属性对话框，在“网站”选项卡的“TCP端口”文本框中设置一个新的端口号，例如8081。 　　单击“确定”按钮保存。这样，用户在访问该网站时，就必须使用新的端口号。例如，原来可以直接使用网址访问网站。而修改了端口以后，必须使用网址:8081才能访问。 　　5．IP转发安全 　　IIS服务可提供IP数据包的转发功能，此时，充当路由器角色的IIS服务器将会把从Internet接口收到的IP数据包转发到内部网中。在此，为了提高IIS服务的安全性，应当禁用IP转发功能。 　　要设置TCP/IP转发需要编辑注册表。不过，修改注册表有一定的危险性，如果编辑不当就会造成系统故障，因此，应事先备份注册表。 　　运行Regedit.exe命令打开注册表编辑器，展开注册表项“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\”，在右侧窗口中找到“IPEnableRouter”项，双击打开，如果其数值为1，此时应改为0。然后单击“确定”按钮，并关闭注册表编辑器即可。 　　6．审核IIS日志记录 　　在IIS中，每个站点活动时都会生成相应的日志，这些日志中记录了用户对内容的访问，确定哪些内容比较受欢迎，甚至有哪些用户非法入侵网站等，来确定计划安全要求和排除潜在的网站问题等。 　　在站点属性对话框的“网站”选项卡中，默认启用日志记录。可以使用多种格式记录活动日志，在“活动日志格式”下拉列表中共有4种日志格式可供选择。默认使用W3C扩展日志文件格式。 　　单击“活动日志格式”列表框右侧的“属性”按钮，打开“日志记录属性”对话框。 　　在“新日志计划”选项区域中可以选择多长时间记录一次；“日志文件目录”文本框中显示日志文件的地址。而“日志文件名”则告知用户日志文件所在的文件夹及命名格式。例如，W3C扩展日志文件命名格式为exyymmdd.log，也就是“ex年月日.log”，以年月日来命名。不同格式的日志，所在的文件夹及命名方式是不同的。 　　选择“高级”选项卡，可以选择日志文件中可以记录的选项。所选中的选项都会记录在日志文件中。 　　根据日志文件所在的目录，找到并打开日志文件，即可看到该日志文件记录的内容。 　　根据日志文件中记录的内容，便可得知访问该站点的用户的详细情况，如IP地址、所访问过的文件等，还可以查出有哪些人非法入侵过，并根据入侵情况来查询入侵者地址，或者加强网站的安全措施。 　　说明：记录IIS站点活动日志与由Windows Server 2003中的事件记录不要混淆，IIS中的日志记录功能用来记录用户与Web服务器间的活动，而Windows日志用来记录Windows系统中的活动情况，并可以通过使用“事件查看器”来查看。 　　7．设置内容过期 　　对于一些比较敏感的数据（如特定的报价或事件公告），可以通过设置内容过期来更新所发布的内容。浏览器会自动比较当前日期与截止日期，如果发现内容已过期则不再发布该数据，并且客户端也不会显示缓存页而是从服务器更新。 　　在IIS管理器中选择要设置内容过期的站点或虚拟目录，右击并选择快捷菜单中的“属性”菜单，打开属性对话框，选择“HTTP头”选项卡。 　　选中“启用内容过期”复选框，就可以设置失效时间。其中， 　　“立即过期”表示网页一经下载就过期，浏览器每次请求都会重新下载网页； 　　“此时间段后过期”设置特定的时间段，到了该时间段后内容便会过期； 　　“过期时间”则设置到期的具体时间。 　　设置一种过期方式后，单击“确定”按钮即可。 　　启用内容过期后，浏览器会将当前日期与失效日期进行比较，确定是显示高速缓