1、个人收集整理 勿做商业用途滁州学院课程设计报告课程名称Windows下的WEB服务器的安全设置设计题目: 用IIS架构安全的WEB服务器 系 别: 计算机科学与技术系 专 业: 07软件技术 组 别: 02组 起止日期: 2010 年 1 月5 日 2010年 1月7日指导教师: 戴支祥 计算机科学与技术系二九年制课程设计题目基于IIS的web服务器的安全设置组长程晶晶班级07软件技术系别计算机系专业软件技术组员程晶晶 2007230746姚玉春 2007230808陈晓勤 2007230744邵娜娜 2007230784段宛露 2007230750郝兰晴 2007230754指导教师戴支祥课
2、程设计目的用IIS构建一个安全的web服务器课程设计所需环境Widows操作系统课程设计任务要求在windows下完成IIS服务器的配置及安全性设置,构建安全的web服务器课程设计工作进度计划序号起止日期工 作 内 容分工情况12010。1。22010.1.3需求分析陈晓勤查询了IIS服务器安全配置方面的书籍和网络资源,全面分析本设计的目的和要求22010。1.22010.1.4在需求分析的基础上总体设计姚玉春根据需求分析制作总体步骤32010.1。2-2010。1.5概要设计段宛露完成了大体上的分析工作42010。1.22010.16详细设计程晶晶综合大家搜集的资料撰写了具体的步骤的5201
3、0.1。2-2010。1.7整理资料郝兰晴对图片的截取,标注,编号提供参考意见62010。1。2-2010。1.7总结并撰写最终文档邵娜娜和程晶晶完成了最终的word文档教研室审核意见:教研室主任签字: 年 月 日课程设计任务书 目录1. 引 言31。1 IIS服务器的介绍31.2 IIS服务器的安装41。2。1 IIS的安装41。2。2 IIS中Web服务器的基本配置42。安全设计的需求及原因42.1原因42。2 需求53。 概要设计53。1 关闭并删除默认站点63。2 建立自己的站点,与系统不在一个分区63.3 删除IIS的部分目录63。4 删除不必要的IIS映射和扩展63.5 禁用父路径
4、63。6设置访问控制权限63.7 启用日志记录73.8 备份73.9 修改IIS标志74。 详细设计84.1 文件夹设置84。2使用身份验证 谨防非法访问84。3 证书验证104。4 SSL端口设置125 .课程设计总结与体会136 。致谢147。 参考文献141 引 言1。1 IIS服务器的介绍IIS(Internet Information Server,互联网信息服务)是一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面,它使得在网络(包括互联网和局域网)上发布信息成了一件很容易的事。IIS
5、作为当今流行的web服务器之一,提供了强大的Internet和Internet服务功能,如何加强IIS的安全机制,建立一个高安全性能的web服务器,已成为IIS设置中不可忽视的重要组成部分。IIS通过超文本传输协议(http)传输信息,还可配置IIS以提供文件传输协议(ftp)和其他服务,如nntp服务、smtp服务等。1。2 IIS服务器的安装1。2.1 IIS的安装 1.在控制面板中选择“添加/删除程序”,在出现的对话框中选择“添加/删除Windows组件”. 2.在出现的复选框中选择安装Internet信息服务(IIS),这一组件约需19MB的空间。 3.点击“下一步”,并将Win200
6、0安装光盘放入光驱,安装程序即可将程序文件复制到硬盘中,点击“结束”即可完成。 1.2。2 IIS中Web服务器的基本配置 IIS中Web服务器的基本配置主要包括如下几部分: 1。打开IIS服务器的配置窗口,选择“开始“程序”“管理工具”“Internet服务管理器”,或者“选择“控制面板“管理工具”“Internet服务管理器”也可,打开的窗口。 2.在打开的窗口中鼠标右击“默认Web站点,选择“属性”菜单。 3.在出现的“默认Web站点属性”窗口中,选择“主目录”标签,用以设置Web内容在硬盘中的位置,默认目录为“C:InetpubWwwroot”,可根据需要自己设置。 4.在属性窗口处选
7、择“文档标签,设置自己默认的首页网页名称,例如“Myfirstweb。htm”,将其添加并移动到列表的最顶端。 5。确认默认的Web站点是否已经启动,如果没有可以鼠标右键点击“默认Web站点”,选择“启动”,在打开的IE地址栏中键入本机的IP地址,即可看到自己指定的主页已经开始在Internet上发布了。 这里只是介绍IIS最基本的设置选项,还可以按照需要去具体设置上面提到的“默认Web站点属性”,通过它来配置IIS的安全和其他一些参数。 IIS虽然好用,但默认安装的情况下,它也有很多的安全漏洞,包括著名的Unicode漏洞和CGI漏洞,因此在IIS安装完成之后,建议继续在微软公司主页上下载安
8、装它们提供的安全漏洞补丁SP1和SP2。2。安全设计的需求及原因2。1原因众所周知,现在有许多网站在不经意间就被黑掉了,或者网站的许多管理权限莫名其妙地被盗了,这是什么原因呢?除了服务器系统自身安全性能不高外,造成这些现象最主要的原因就是IIS服务器在默认状态下存在不少安全漏洞,许多非法攻击者往往会充分利用这些漏洞,来对服务器系统进行安全攻击,最终导致网站被黑或网络管理权限发生丢失。为了让IIS服务器远离安全攻击,我们必须对症下药、采取措施,来堵住IIS服务器的各种安全漏洞。系统中自带的IIS6在默认状态下存在文件解析漏洞,当Web服务器主目录中的某文件夹名与*。asp格式相近时候,那么该文件
9、夹中的任何文件都能被IIS服务器看成ASP程序来进行执行,如此一来非法攻击者就能通过向该文件夹中上传gif或jpg格式的图象木马文件,来间接在服务器系统中运行木马程序了,那样的话IIS服务器系统的安全性就会受到严重威胁。2。2 需求有时候新建一个虚拟目录,也这样建,就是直接在文件夹上右键选择属性,出来文件属性对话框,有一个web共享选项卡,共享位置:默认网站。选共享文件,出来编辑别名对话框,填好别名(就是虚拟目录名),访问权限和应用程序权限都默认,这样IIS中也会建立虚拟目录。另外文件属性,安全选项卡下,可以为添加用户和分配使用权限,一般添加一个internet来宾帐户赋予它读取写入权限就行了
10、。如果你的分区是fat32的,看不见安全这一项。即使是ntfs分区,也要在文件夹属性里设置不起用简单文件共享才能看到.因此基本上大部分Web服务器都存在由该漏洞引起的安全威胁;为了避免Web服务器的超级管理权限丢失,或者发生网站被非法黑掉的现象,我们需要想方设法地及时堵住IIS服务器的安全漏洞。3。 概要设计下面步骤参看图一:(图一)Web站点属性截图3。1 关闭并删除默认站点 默认FTP站点 默认Web站点管理Web站点 3。2 建立自己的站点,与系统不在一个分区 如:D:wwwroot3建立 E:Logfiles 目录,以后建立站点时的日志文件均位于此目录,确保此目录上的访问控制权限是:
11、Administrators(完全控制)System(完全控制) 3.3 删除IIS的部分目录 IISHelp C:winnthelpiishelp IISAdmin C:system32inetsrviisadmin MSADC C:Program FilesCommon FilesSystemmsadc 删除 C:inetpub z/G T I _!H (j8Y 3。4 删除不必要的IIS映射和扩展 IIS 被预先配置为支持常用的文件名扩展如 。asp 和 。shtm 文件。IIS 接收到这些类型 的文件请求时,该调用由 DLL 处理。如果您不使用其中的某些扩展或功能,则应删除该映射,步骤
12、如下: 打开 Internet 服务管理器: 选择计算机名,点鼠标右键,选择属性:然后选择编辑然后选择主目录, 点击配置 选择扩展名 。htw”, ”。htr”,”.idc,”。ida,”。idq和,点击删除如果不使用server side include,则删除。shtm” ”。stm” 和 ”。shtml 3。5 禁用父路径 “父路径”选项允许您在对诸如 MapPath 函数调用中使用“。.在默认情况下,该选项 处于启用状态,应该禁用它。禁用该选项的步骤如下:右键单击该 Web 站点的根,然后从上下文菜单中选择“属性”. 单击“主目录选项卡。单击“配置”。单击“应用程序选项”选项卡。取消选
13、择“启用父路径复选框。 3.6设置访问控制权限 我们知道,IIS服务器允许普通用户使用HTTP协议来访问Web网站中的信息内容,然而HTTP通信协议使用的是明码传输方式来显示内容的,而不会对在网络上传输的网站内容进行加密,所以使用这种协议来访问目标网站中的隐私内容时很不安全。为了防止网站信息在传输过程中被非法用户通过专业工具随意窃取到,我们不妨使用SSL服务器自带的身份验证功能,来加密需要在网络通道中传输的网站信息,同时指定只有特殊用户才能使用HTTPS协议访问目标Web站点中的信息。现在,我们就一起来看一下如何使用SSL身份验证,来对需要传输的网站内容进行加密,以便确保IIS服务器不受非法访
14、问。3.7 启用日志记录 日志的审核配置确定服务器是否被攻击时,日志记录是极其重要的。应使用 W3C 扩展日志记录格式,步骤如下: 打开 Internet 服务管理器: 右键单击站点,然后从上下文菜单中选择“属性”。单击“Web 站点”选项卡。 选中“启用日志记录”复选框。从“活动日志格式下拉列表中选择“W3C 扩展日志文件格式。单击“属性”。单击“扩展属性选项卡,然后设置以下属性:* 客户 IP 地址 用户名 方法 URI 资源 HTTP 状态 Win32 状态* 用户代理 服务器 IP 地址 * 服务器端口 2)日志的安全管理 1、启用操作系统组策略中的审核功能,对关键事件进行审核记录;4
15、 n!R d m M L0r e 2、启用IIS、FTP服务器等服务本身的日志功能;并对所有日志存放的默认位置进行更改同时作好文件夹权限设置! 3、安装Portreport对所有网络访问操作进行监视(可选,可能增大服务器负荷); 4、安装自动备份工具,定时对上述日志进行异地备份,起码是在其他分区的隐蔽位置进行备份,并对备份目录设置好权限(仅管理员可访问 5、准备一款日志分析工具,以便随时可用。 6、要特别关注任何服务的重启、访问敏感的扩展存储过程等事件。 3。8 备份IIS配置可使用IIS的备份功能,将设定好的IIS配置全部备份下来,这样就可以随时恢复 3.9 修改IIS标志 1)使用工具程序
16、修改IIS标志修改IIS标志Banner的方法:下载一个修改IIS Banner显示信息的软件-IIS/PWS Banner Edit。利用它我们可以很轻松地修改IIS的Banner。但要注意在修改之前我们首先要将IIS停止(最好是在服务中将World Wide Web Publishing停止),并要将DLLcache下的文件全部清除。否则你会发现即使修改了一点改变也没有.IIS/PWS Banner Edit其实是个傻瓜级的软件,我们只要直接在New Banner中输入想要的Banner信息,再点击Save to file就修改成功了。用IIS/PWS Banner Edit简单地修改,对
17、菜鸟黑客来说他可能已被假的信息迷惑了,可是对一些高手来说这并没有给他们造成什么麻烦。为此我们必须亲自修改IIS的Banner信息,这样才能做到万无一失。高版本Windows的文件路径为 C:WINDOWSsystem32inetsrvw3svc.dll,可以直接用Ultraedit打开W3SVC.DLL,然后以“Server:为关键字查找。利用编辑器将原来的内容替换成我们想要的信息,比如改成Apache的显示信息,这样入侵者就无法判断我们的主机类型,也就无从选择溢出工具了。 个人收集整理,勿做商业用途本文为互联网收集,请勿用作商业用途2)修改IIS的默认出错提示信息等。 4。 详细设计4.1
18、文件夹设置原本通过安装目录漏洞补丁程序,就能非常轻松地解决上面的安全威胁,可是微软公司到目前为止,都没有为用户提供相关的漏洞补丁程序,这么一来我们就无法为采用这种方法来让IIS服务器远离安全攻击。考虑到IIS服务器通常会指定特定的文件夹来保存上传的图象文件或动画文件,此时我们只要找到那个目标文件夹,并对该文件夹的属性信息进行修改,以便让其中的所有文件都不具有执行权限.在进行这种设置操作时,我们可以先以系统管理员身份进入服务器系统,并打开该系统的资源管理器窗口,从中找到用来存在网站图象或动画的目标文件夹;用鼠标右键单击该目标文件夹图标,从弹出的右键菜单中执行“属性”命令,打开目标文件夹的属性设置
19、窗口;单击该设置窗口中的“安全”标签,进入如图1所示的标签设置页面,从该页面的“组或用户名称”列表框中选中“everyone”帐号,并将该帐号的运行权限设置为“读取”和“写入,并将其他所有权限全部设置为拒绝,最后单击“确定”按钮结束权限属性设置操作,如此一来IIS服务器就会禁止普通用户运行gif或jpg格式的图象木马文件了.4。2使用身份验证 谨防非法访问WIN2000中添加了一个与WIN98及以前的WINDOWS版本不同的一个特性,那就是NTFS权限,由于有了这个特性,那么在WIN2000中就可以实现文件夹及文件级别的安全控制,这不同于WIN98中的帐号和密码,在WIN98中,只要知道了帐号
20、和密码,那么就可以对计算机完全控制,而无法实现对某个帐户只允许读取某个文件夹或者某个文件的功能。而在WIN2000中,完全可以完美的实现这一点。首先,先说一下要实现该功能的前提条件,那就是你的分区必须是NTFS分区,如果是FAT或者FAT32分区的话,那么是无法实现该功能的,其实如果你的电脑上只有一个WIN2000操作系统的话,或者说只要你的机子上没有装WIN98及WIN98以前的系统的话,那么用NTFS分区是一个非常好的选择,这将大大提高你的系统的稳定性和安全性。如果你的分区是FAT32分区,那么可以通过这条命令来把他转成NTFS分区:convert x: /fs:ntfs其中的x可以用实际
21、的盘符替换。不过要注意的一点是,WIN98是无法识别NTFS格式的分区的,也就是说如果在WIN98的分区使用NTFS格式,那么WIN98将无法使用。而且该命令是不可逆的,也就是说该命令只能将FAT32转换成NTFS格式,而无法将NTFS格式转换成FAT32格式,如果要转换回来的话,那么要用PQ等软件才能实现。使用了NTFS分区以后,你必须为需要访问一个资源的每一个用户帐号授予NTFS权限,用户必须获得明确的授权才能访问经过设置的资源.如果没有权限,那么它将被拒绝访问该资源。打个比方:假设有一个文件,我对他进行NTFS权限设置,我设置成只有我自己和A用户才能访问,那么除了我和A以外,其他任何帐户
22、登陆都将无法使用该文件,WIN2000会给出“没有适当的权限读取”等字样的提示.这就实现了该文件的安全性,而且该安全性无论是在计算机上还是在网络上都有效,也就是说即使通过网络连接到该计算机,也只有我和A用户可以使用该文件,其他人也是无法使用的,虽然该文件被共享,但是其他人只能看到有这个文件,但是却不能读取,呵呵,有点看得见,吃不着的意思吧?在WIN2000中有个叫做Access Control List(ACL,访问控制列表)的东西,里面包含了可以访问该资源的用户的帐户,组和计算机。当一个用户访问该资源时,那么必须在ACL中有它的帐号,那么WIN2000才允许该用户访问该资源,否则拒绝这里要说
23、明的一点是,和我们想象的不一样,WIN2000不是根据用户名是否相同来识别用户的,每一个帐号在创建的时候都有一个Security ID(SID,安全标识符),WIN2000是根据这个SID是否相同来识别用户的,如果SID不一样,就算用户名等其它设置一模一样,WIN2000也会认为是不一样的两个帐号,这就像我们领奖的时候,只认你的身份证是否符合,而不管你的名字是否相同是一个道理的,而该SID是WIN2000在创建该帐号的时候随机给的,所以说当删除了一个帐号后,再次重新建立一个一模一样的帐号,其SID和原来的那个是不一样,那么他的NTFS权限就必须重新设置。现在说一下NTFS权限的实际应用。用鼠标
24、右键点击你想要设置权限的文件或者文件夹,选属性安全,这时你可以看到允许使用该文件的帐号或者组,默认是都有Everyone组的,该组表示所有的用户,下面部分就是可以为该组或者帐号设置的权限。如果Everyone的权限设置为完全控制,那么意味着所有的用户都可以随意操作该文件,包括读取,修改,删除等等。这也是WIN2000默认的权限.你还可以添加帐号,为帐号设置权限,这个只要你自己操作一下就知道怎么操作了,现在我只是举个例子来说明一下:假设有一个文件叫做FILE,我要设置为只有USER1,USER2和USER3这三个用户可以使用该文件,但是USER1用户可以随意操作该文件,USER2用户只能读取该文
25、件,而不能进行如修改等等的其他操作,USER3可以读取,可以写入,但是不能删除该文件,我说明一下具体的操作方法。1、右键点击FILE,选属性安全2、将下面的“允许将来自父系的可继承权限传播给该对象”前面的勾去掉.他会弹出一个对话框,选删除。也就是说把上面的Everyone等所有的帐号删除。3、点添加,弹出一个对话框,选中USER1,添加,确定.4、然后选中USER1,在“完全控制”后面的“允许下面打上勾。5、依照前面的方法添加USER2。6、选中USER2,在“读取”后面的“允许”中打勾,其他的勾全部去掉。7、添加USER3。8、选中USER3,在“修改”后面的“允许”中打勾,确认“完全控制”
26、的勾去掉。9、选“高级”,选中USER3,点“查看/编辑”。把里面的“删除”后面“允许的勾去掉.这时,用USER1登陆,那么你可以完全控制该文件。用USER2登陆,可以打开该文件,当保存的时候会出现“不能创建FILE,请确认路径和文件名是否正确”的提示框.这说明现在USER2无法保存该文件.当然也无法进行其它操作,他只能读取该文件。用USER3登陆,可以打开该文件,也可以保存。当删除该文件的时候会出现“无法删除FILE:拒绝访问。源文件可能正在使用的提示框,说明无法删除该文件.* 提醒:在未完全搞清楚权限的用法之前,最好随便创建一个没有用的文件,然后再进行试验,这样比较安全。否则搞得重要文件被
27、删除了可不关我的事情。至于给文件夹设置安全,步骤和上面差不多,不过文件夹会多了一个继承,也就是说可以选择权限设置是仅仅对该文件夹进行起作用,还是对该文件夹和该文件夹的子文件夹及文件起作用。只要将“重置所有子对象的权限并允许传播可继承权限前面打勾就可以了。 重点及难点多重NTFS权限问题一直是很多人搞不清楚的,现在作介绍并举例说明。注意:以下说明的是多重NTFS权限之间的问题,非NTFS权限和共享权限之间的多重。1、权限的积累用户对资源的有效权限是分配给该个人用户帐户和用户所属的组的所有权限的总和。如果用户对文件具有“读取”权限,该用户所属的组又对该文件具有“写入的权限,那么该用户就对该文件同时
28、具有“读取”和“写入”的权限,举例如下:假设情况如下所示:有一个文件叫FILE.USER1用户属于GROUP1组USER1(读取权限) FILE GROUP1(写入权限)USER1对FILE的权限为 读取写入 2、文件权限高于文件夹权限意思就是说NTFS文件权限对于NTFS文件夹权限具有优先权,假设你能够访问一个文件,那么即使该文件位于你不具有访问权限的文件夹中,你也可以进行访问(前提是该文件没有继承它所属的文件夹的权限).举例说明如下:假设你对文件夹FOLDER没有访问权限,但是该文件夹下的文件FILE。TXT没有继承FOLDER的权限,也就是说你对FILE.TXT文件是有权限访问的,只不过
29、你无法用资源管理器之类的东西来打开FOLDER文件夹,你无法看到文件FILE而已(因为你对FOLDER没有访问权限),但是你可以通过输入它的完整的路径来访问该文件.比如你可以用 c:folderfile.txt来访问FILE文件(假设在C盘).3、拒绝高于其他权限拒绝权限可以覆盖所有其他的权限.甚至作为一个组的成员有权访问文件夹或文件,但是该组被拒绝访问,那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件。也就是说上面第一点的权限累积原则将失效。举例说明如下:假设情况如下:有一个文件叫FILE。USER1用户属于GROUP1组USER1(读取权限) FILE GROUP1(拒绝
30、)拒绝访问那么USER1对FILE的权限将不再是:读取写入,而是无法访问文件FILE。另外一种情况是拒绝原则与累计原则并存,举例如下:有一个文件叫FILE。USER1用户属于GROUP1组,同时也属于GROUP2组,USER1(读取权限)GROUP1(写入权限) FILE GROUP2(拒绝写入)那么USER1对FILE的权限为:读取(根据累计原则,USER1对FILE本来有:“读取写入”权限,但是由于USER1所属的GROUP2组被拒绝写入,所以就只剩下“读取”权限了。4.3 证书验证首先需要为特定网站创建SSL验证证书,在创建该验证证书时,我们可以先打开服务器系统的“开始”菜单,从中依次点
31、选“设置”/“控制面板”选项,并双击控制面板窗口的“管理工具”图标,打开服务器系统的管理工具列表窗口,双击该列表窗口中的“Internet 信息服务(IIS)管理器”图标,在弹出的IIS控制台左侧显示区域,点选“本地计算机节点下面的“网站”分支,从该分支下面找到目标网站名称,并用鼠标右击该目标网站名称,再执行右键菜单中的“属性”命令,进入目标网站的属性设置窗口;其次在目标网站属性设置窗口,单击“目录安全性”选项卡,打开“目录安全性”选项设置页面,在其中的“安全通信”处单击“服务器证书”按钮,打开Web服务器身份验证证书安装向导窗口;在该安装向导窗口中单击“下一步按钮,在其后弹出的服务器证书设置
32、窗口中,我们随意为特定网站设置一个证书分配方法,例如我们在这里选中“新建证书项目,再单击对应向导界面中的“下一步”按钮如下图二;(图二)添加删除组件界面之后,选中向导界面中的“现在准备证书请求,但稍后发送选项,并根据提示为新安装的身份验证证书取一适当名称,而且需要在“位长”列表框中为新安装的身份验证证书指定一个恰当的密钥位长;紧接着按照提示输入使用目标证书的单位名称信息以及其他说明信息,下面再正确输入目标站点的公用名称,通常情况如果目标站点位于Internet网络中时,我们就必须正确输入目标网站的详细域名信息。等到上面的设置操作结束后,我们再根据向导提示设置一个目标文本文件来存储证书请求信息,
33、在缺省状态下系统会自动指定Windows安装根目录下的“certreq。txt文件来存储证书请求信息,最后单击“完成按钮身份验证证书就算创建成功了。在完成证书创建任务后,我们还需要采用手工方法来添加证书服务;在添加证书服务时,双击系统控制面板窗口中的“添加或删除程序”选项图标,再单击“添加/删除Windows组件”选项卡,选中其后界面中的“证书服务” 选项(如图2所示),之后根据提示选择“是按钮,再选中“独立根CA”选项,当屏幕上出现CA识别信息窗口时;我们可以在该设置窗口的“公用名称”框中正确输入CA名称信息,并对该证书的生效时间进行合适设置,缺省状态下该证书的有效时间为5年。下面,我们将看
34、到证书数据库设置窗口,在这里我们可以指定好证书数据库的保存路径,同时指定好相关日志信息的存放位置。为了让特定网站的信息不被非法用户偷窥,我们还必须申请一个高级网站证书;在申请高级网站证书时,我们需要进入服务器系统的资源管理器窗口,打开其中的system32文件夹窗口,将该窗口中的Certsrv子文件夹拷贝到特定网站主目录下;之后,在IE地址框中输入“http:/目标网站地址/certsrv/default.asp”,打开Microsoft证书服务页面,单击“申请一个证书”选项,从随后弹出的浏览页面中点选“高级证书申请”选项;然后点选“使用base64编码的CMC或PKCS 10文件提交一个证书
35、申请,或使用base64编码的PKCS #7文件续订证书申请”选项,在其后申请页面中填入“certreq。txt文件中的内容,并单击“提交按钮,如此一来我们就能成功申请到高级网站证书了.为了让高级网站证书正式生效,我们还需要对其进行颁发操作,在颁发证书时,可以双击服务器系统控制面板窗口中的“证书颁发机构”选项图标,选中对应截面中的“挂起的申请项目,再在对应“挂起的申请”项目右侧列表窗格中右击之前成功申请好的高级网站证书,从右键菜单中依次选择“所有任务”/“颁发选项;紧接着再将“颁发的证书”项目选中,并在对应“颁发的证书”项目右侧列表窗格中双击之前成功申请好的高级网站证书,紧接着单击证书对话框中
36、的“详细信息”选项卡,在对应的选项设置页面中单击“复制到文件按钮,进入证书导出向导窗口,依照向导窗口提示设置好具体的文件名称,完成高级网站证书的颁发任务。文档为个人收集整理,来源于网络文档为个人收集整理,来源于网络4。4 SSL端口设置必须要将颁发好的网站证书正确导入特定网站的主目录,才能实现该网站的信息加密传输功能;在进行这种操作时,我们先双击服务器系统控制面板窗口中的“管理工具选项,在其后窗口中双击“Internet 信息服务(IIS)管理器”,进入本地服务器系统的IIS列表窗口;依次点选该窗口左侧显示区域中的“本地计算机/“网站”节点,再右击该节点下面的特定网站名称,并执行右键菜单中的“
37、属性”选项命令,进入特定网站的属性窗口;在该属性窗口中单击“目录安全性”选项卡,打开“目录安全性”选项设置页面,单击该设置页面中的“服务器证书”按钮,然后选择IIS证书向导界面中的“分配现有证书”项目,选中之前已经成功颁发的高级网站证书,同时设置好特定网站使用的SSL端口号码,该端口默认号码通常为“443”,最后单击“完成按钮结束“目录安全性”设置操作,如下图:完成上面的各项设置操作后,我们再将特定网站的身份验证功能启用起来就可以了。按照之前的操作步骤,进入特定网站的目录安全选项设置页面,在该页面的“安全通信”设置项处单击“编辑”按钮,依次选中其后界面中的“要求安全通道(SSL)、“要求128
38、位加密”选项;接着在目录安全选项设置页面中的“身份验证和访问控制”设置项处,单击“编辑”按钮,在弹出的身份验证对话框中,取消“启用匿名访问”、“集成Windows身份验证”的选中状态,再选中“基本身份验证”,最后根据提示完成剩余操作就可以了。到了这里,我们已经完成特定网站信息的加密传输操作了。日后,我们再对特定网站进行访问时,只需要在IE浏览器地址框中输入“https:/特定网站地址”URL地址,就能访问到其中的页面内容了;此时,该页面中的内容在传输过程中,任何非法攻击者都将无法偷窥到,那样一来IIS服务器中的内容就安全了。5 课程设计总结与体会通过本实验,理解了IIS服务器的的内涵,初步掌握
39、了IIS服务器的配置及IIS的安全设置方法.学会了如何构建安全的IIS服务器.通过这次课程设计,加强了我们动手、思考和解决问题的能力。平时看课本时,有时问题老是弄不懂,做完课程设计,那些问题就迎刃而解了。而且还可以记住很多东西。比如一些网络安全的功能,平时看课本,这次看了,下次就忘了,通过动手实践让我们对各个元件映象深刻.认识来源于实践,实践是认识的动力和最终目的,实践是检验真理的唯一标准。所以这个期末测试之后的课程设计对我们的作用是非常大的。通过这次课程设计使我懂得了理论与实际相结合是很重要的,只有理论知识是远远不够的,只有把所学的理论知识与实践相结合起来,从理论中得出结论,才能真正为社会服
40、务,从而提高自己的实际动手能力和独立思考的能力。在设计的过程中遇到问题,可以说得是困难重重,这毕竟第一次做的,难免会遇到过各种各样的问题,同时在设计的过程中发现了自己的不足之处,对以前所学过的知识理解得不够深刻,掌握得不够牢固。6 致谢本课题在选题及进行过程中得到戴老师的悉心指导。选课题的过程中,戴老师多次帮助我们分析思路,开拓视角,在我们遇到困难想放弃的时候给予我们最大的支持和鼓励.戴老师严谨求实的治学态度,踏实坚韧的工作精神,将使我们终生受益。再多华丽的言语也显苍白。在此,谨向戴老师致以诚挚的谢意和崇高的敬意。7 参考文献 1冯博琴,陈文革。 计算机网络M。2版.北京。 高等教育出版社,2003。2韩家炜等。 Web挖掘研究J.计算机研究与发展,2001。3 刘志勇. 网络服务器安全配置详解M。北京:电子工业出版社,2004。4 邓吉. 黑客攻防实战入门M.山东。电子工业出版社, 2007.指导教师评语: 指导教师签名: 年 月 日成 绩 教研室审核意见:教研室主任签字: 年 月 日15
浙ICP备2021020529号-1 | 浙B2-20240490 
