IIs5.0建站点--〉第三章 WWW服务高级配置 （再续）。 IP地址和域名访问控制
IP地址和域名访问控制方式源于对于特定IP地址或域名的不信任，鉴于网站管理员通常会认为来自某些IP地址的用户带有明显的攻击倾向（通过对日志文件的分析可以得到这一结论），或者网站管理员希望仅有来自特定IP地址或域名的用户才能够访问网站（对于仅供内部使用的网站尤其如此）。这些限制能力都倚赖于IP地址和域名访问控制功能。
按照如下步骤配置Web服务器限制来自特定IP地址用户对站点的访问：
1．在IIS中右击需要配置IP地址限制的网站，在弹出菜单中选择【属性】。
2．在站点的WWW属性表单中单击【目录安全性】选项卡，如右上图所示。
3．在【IP地址及域名限制】栏中单击【编辑】，打开如右下图所示的【IP地址及域名限制】对话框。
说明：IP地址限制的方式有两种：授权访问和拒绝访问。如果需要限制来自某些地址的用户对网站进行访问（没有被限制的用户可以进行正常访问），就使用前者；如果希望仅允许来自某些地址的用户能够访问网站内容（其他用户不能访问），则使用后者。以下我们以前一种方式为例进行限制。

4．在【IP地址及域名限制】对话框中选择【授权访问】方式，随后我们可以指定例外地址，这些例为地址就是被限制不能访问站点的IP。
5．单击【添加】打开【拒绝以下访问】对话框指定例外地址，如右上图所示。
6．在类型栏中选择【单机】，指定被限制访问的用户来自某一个IP地址。
7．在IP地址栏中输入受限的IP地址。
8．单击【确定】加入。重复上一步可以添加多个例外地址，它们在【例外】列表中列出。
9．在【拒绝以下访问】对话框选择【一组计算机】，可以指定一组例外地址，如图中所示。
10．一组例外计算机由网络地址和子网掩码共同确定，分别在【网络标识】和【子网掩码】栏中输入其值。
11．单击【确定】加入。重复上一步可以添加多组例外地址。
12．另一种访问控制方式是根据用户来自的域进行控制。如右下图所示。
注意，在使用域名限制方式进行访问控制时，往往需要进行反向DNS解析，将试图访问服务器的用户IP地址送到DNS服务器进行反向查询以得到其域名。这一操作将极大的耗费系统资源，尤其是宝贵的带宽资源，所以，除非万不得已，否则不要使用域名限制方式。


使用权限向导
权限向导是IIS 5.0新引入的权限管理工具。鉴于对站点安全性的配置复杂而无序，较难理出一条简明而准确的主线，IIS 5.0引入了权限向导工具，它提供了一个连续、简单、准确的权限配置流程，可以使管理员迅速对站点进行一般性的权限设定。尤其是对于涉及大量权限继承关系的站点（虚拟）目录配置工作，运用权限向导往往能达到意想不到的效果。
权限向导主要对安全设置和目录权限进行快速指定，并能够以摘要的形式提供安全分析。
1．打开IIS管理界面，右击管理控制树中的站点或目录，指向【所有任务】，单击【权限向导】。
2．在如上图所示的【欢迎使用权限向导】对话框中单击【下一步】。
3．接下来，权限向导进入如右下图所示的【安全设置】对话框，这里可以设置当前对象（站点或目录）是否继承其上一级对象（计算机、站点、父目录）的安全设置。如果选择【继承所有的安全设置】，那么在单击【下一步】之后，向导将自动进入目录权限设置界面（步骤5），与此同时，当前对象的安全设置自动按照其父对象的设置做出调整。为了在普遍意义上说明问题，这里我们选择【从模板选取新的安全设置】，然后单击【下一步】。
+
4．如右上图，在【站点方案】对话框中，可供我们选择的方案有两个：Public Web Site和Secure Web Site，顾名思义，后者的安全性更高一些。一般的Public Web Site方案允许所有用户浏览静态和动态的内容；而Secure Web Site方案则仅允许所有具有 Windows 2000 帐号的用户查看动态和静态的内容。这两种设置是与我们前面讨论过的匿名访问和授权访问站点对应的，它们分别运用于典型的公共站点和专用（内部）站点。单击【下一步】进入【目录和文件权限】对话框，如果在上一步中选择继承权限，则直接进入下一步。
5．如右下图，在【Windows目录及文件权限】对话框中，允许我们对目录和文件权限做出修改，这种修改是以和系统推荐权限进行对照的方式进行的。Windows 2000推荐的权限设置为：管理员账号拥有对站点文件和文件夹的全部访问权限，其他全体用户（包括匿名访问用户）拥有读取的权利。通过与这个推荐权限的比较，向导提供了三种可供选择的的选项。最简单的就是选择【保持目录和文件权限】，不做任何更改；也可以按照推荐方案选择【替换全部目录和文件访问权限】，这样站点文件的权限将按推荐权限做出更改；另外一种方式是选择【原封不动的保持当前目录和文件许可配置，并加入推荐带许可权限】，这实际上是一个折中的的方案，先取当前权限与推荐权限的差集，再将差集附加到单前权限上，即最大限度的保持当前权限并最大限度的执行了推荐方案。单击【下一步】继续。

6．如左下图所示，在【安全摘要】对话框中列出了摘要性的权限报告，包括：验证方法、访问许可、IP地址限制、ACL替换等。这些信息有助于我们清楚的了解站点的安全设置以及我们刚才所作配置的影响。单击【下一步】继续。
7．如右下图，单击【完成】结束权限向导。

综合安全访问控制
前述各种安全设置共同工作时，究竟那种权限设置居于主导地位呢？实际上，各种安全设置是共同发生作用的，也只有依赖于相互独立的若干种安全模式的共同作用，才能保证站点安全的万无一失。当站点接到来自用户浏览器的访问请求时，各种安全模式的应用流程如右图所示。
1．用户浏览器所在计算机的IP地址是否与IIS设置的IP地址限制重合？如果来自受限IP，访问将被拒绝；否则进入下一步验证。
2．用户身份验证是否通过？对于非匿名访问的站点，要对用户进行账号验证，如果使用非法账号，访问将被拒绝；否则进入下一步验证。
3．在IIS中指定的Web权限是否允许用户访问。Web权限包括对雯建的读写权限和队应用程序的执行/脚本权限，他们是对所有用户同时发生作用的。如果用户试图进行未授权的访问，访问将被拒绝；否则进入下一步验证。
4．用户正在进行的操作请求是否符合相应Web文件或文件夹的NTFS许可权限。
NTFS权限与前述Web权限没有相互作用，它是针对各个用户账号的。一旦用户企图进入其账号没有权利进行访问的资源，访问将被拒绝。
5．一旦用户通过上述四步验证就可以访问其请求的资源了。
至此，我们已经明白NTFS权限与Web权限的关系，其实它们没有丝毫的共同点，完全是互相独立进行设置的。但是，对于用户访问权限的验证，他们却是共同工作的。只有同时满足两种权限验证的用户才能最终访问到他所请求的资源。 数据加密与数字验证
我们前面用了大量的篇幅讨论安全问题，遵循上一节的权限设定于身份认证机制，我们已经有可能将非法用户据之门外，即使是合法用户，也不能访问其账号权限所不能及的资源。但是，这样一来，系统资源就真的安全了吗？答案是否定的，原因很简单，合法用户所请求的数据流并未加密，黑客只要利用垂手可得的工具在公共网络上进行数据监听就可以轻易获得网站的安全性数据。因此，数据加密的工作对与一个需要较高安全性的网站而言还是非常重要的。
数据加密原理
笼统的说，数据加密有两种方式：对称式数据加密和非对称式数据加密。不论那种方式都是借助于我们称之为密钥的算法对数据进行
预先处理，从而使在网络上传输的数据是经过处理的密文。我们将逐一介绍其工作原理与特性。
对称式数据加密方式的工作原理如右图所示，所谓对称，知道是采用这种加密方法的双方使用同样的密钥进行加密和解密。我们已经知道，密钥实际上是一种算法，那么这里的通信发送方使用这种算法（密钥）加密数据，接受方再使用同样的算法（密钥）解密数据。
这里还涉及一个问题：数据接收方怎么知道密钥的内容，亦即接受计算机任何得到加密/解密算法。实际上，上述数据传送过程省略了一个密钥交换的步骤，数据发送计算机必须以某种方式（通常也是网上传送）将密钥传送给数据接收计算机。接下来的问题是任何保证密钥的传送是安全的，这个问题看似无解，其实在理论上也并没有什么解决办法。因此对称式加密方式本身不是安全的。