IIS配置及安全访问控制策略详解

     IIS(Internet 信息服务)是在企业网或者校园网内部提供信息服务的重要工具，目前基于IIS的应用相当广泛，但大多数都在windows操作系统下局域网内部或同一子网内来实现IIS服务，而在不同操作系统之间，在广域网或者不同子网间的应用较少，而且介绍这方面应用的文章也很少，本文旨在介绍不同的操作系统间(Red Hat Linux 9和windows 2000 server)，不同的子网间通过IIS所提供的服务访问来实现资源共享和访问。

一、 实验网络环境及配置

图1 拓扑结构

    实验环境：锐捷R2624路由器(router2)一台 、锐捷R2624路由器(router1)一台、锐捷S1926 G+交换机一台及PC机3台，服务器1台。

1．在Router 2上配置各端口的IP地址及路由RIP协议后，配置信息如下：

router2#show ip int brief

Interface              IP-Address      OK? Method Status                Protocol
FastEthernet0      172.16.1.1      YES NVRAM  up                            up
FastEthernet1      unassigned     YES unset  administratively down down
FastEthernet2      unassigned     YES unset  administratively down down
FastEthernet3      unassigned     YES unset  administratively down down
Serial0                 10.1.1.2           YES NVRAM  up                            up
Serial1                unassigned       YES unset  down                     down

router2#show ip route

Codes: C - connected, S - static,  R - RIP
       O - OSPF, IA - OSPF inter area
       E1 - OSPF external type 1, E2 - OSPF external type 2

Gateway of last resort is not set

     10.0.0.0/24 is subnetted, 1 subnets
C       10.1.1.0 is directly connected, Serial0
R    192.168.1.0/24 [120/1] via 10.1.1.1, 00:00:18, Serial0
R    192.168.2.0/24 [120/1] via 10.1.1.1, 00:00:18, Serial0
     172.16.0.0/24 is subnetted, 1 subnets
C       172.16.1.0 is directly connected, FastEthernet0

2．在Router 1上配置各端口的IP地址及路由RIP协议后，配置信息如下：

router1#show ip int brief

Interface              IP-Address      OK? Method Status                Protocol
FastEthernet0      192.168.1.1     YES NVRAM  up                    up
FastEthernet1      192.168.2.1     YES NVRAM  up                    up
FastEthernet2       unassigned     YES unset  administratively down down
FastEthernet3       unassigned     YES unset  administratively down down
Serial0                  10.1.1.1           YES NVRAM  up                    up
Serial1                  unassigned      YES unset  down                  down

router1#show ip route

Codes: C - connected, S - static,  R - RIP
       O - OSPF, IA - OSPF inter area
       E1 - OSPF external type 1, E2 - OSPF external type 2

Gateway of last resort is not set

     10.0.0.0/24 is subnetted, 1 subnets
C       10.1.1.0 is directly connected, Serial0
C    192.168.1.0/24 is directly connected, FastEthernet0
C    192.168.2.0/24 is directly connected, FastEthernet1
R    172.16.0.0/16 [120/5] via 10.1.1.2, 00:00:16, Serial0

3．在锐捷S1926G+以太网交换机上配置

        IP Address. . . . . . . . . . . . : 172.16.1.254
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 172.16.1.1

4．IIS SERVER服务器及各客户端PC机的配置如表1

    此时，各客户端PC机与IISserver间能相互Ping通，企业网络服务实验模型建立完毕。

二、IIS的安装与基本配置

1． IIS的安装步骤

(1).开始——>设置——>控制面板——>添加/删除程序——>windows组件，打开“windows组件向导”，如图2

图2

八、在路由上做访问控制

    为了在IIS Server上提供更加安全可靠的服务，如当前IIS Server服务器向PC2和PC4提供IIS服务，而拒绝给PC1提供服务，这时候可以在路由器上做ACL访问控制表。

    实例中我们以Router2作为ACL控制路由器，登陆到Router2后，对Router2做标准的访问控制
router2#config t

Enter configuration commands, one per line.  End with CNTL/Z.
router2(config)#access-list 1 permit 192.168.1.0 0.0.0.255
router2(config)#int serial 0
router2(config-if)#ip access-group 1 in
router2(config-if)#exit
router2(config)#exit
router2#

    使用show running-config 后可看到

ip classless
access-list 1 permit 192.168.1.0 0.0.0.255
snmp-server community public RO
!

    这时从PC2(IPAdress 192.168.1.2)上访问IIS Server，服务被接受，访问正常。如果从PC1(IPAdress 192.168.2.2)上访问IIS Server，服务被觉得，无法正常访问。

    总之，IIS在Intranet中提供了很重要的信息共享服务，但是在提供IIS服务时如果只是对其进行基本设置，提供匿名访问的话可能会带来许多安全性的问题，所以需要IIS Server的访问安全性做合理的规划，如访问身份验证和IP地址及域名访问控制，其中访问控制可以在IIS Server服务器本身或者在路由器中做ACL的访问控制表进行安全访问控制。此外IIS还提供了虚拟网站和虚拟目录，虚拟网站可以将一个IIS服务器配置成多个WEB站点。