网络安全系列之四十六 在IIS6中配置目录安全性

Web站点默认是允许匿名访问的，某些特殊网站（或者虚拟目录）如果要求用户提供账号和密码才能访问，或者限定某些IP地址能（或不能）访问，那可以通过在Web站点属性的“目录安全性”选项卡中进行相关设置以完成上述要求。

（1）匿名用户
在“身份验证方法”界面中可以看到Web服务器默认启用了匿名访问功能，即客户端在访问Web站点时无需进行身份验证。匿名用户在Web服务器中也要有一个相对应的用户账号，这个用户账号是在安装IIS时一并创建的，用户名为“IUSR_计算机名”。



如果需要对客户端进行身份验证，那么首先应取消匿名访问，然后选择页面下方提供的几种身份验证方式。

（2）基本身份验证
身份验证方法中的“集成Windows身份验证”和“Windows域服务器的摘要式身份验证”都需要域环境，这里主要采用“基本身份验证”。



“基本身份验证”是以Web服务器中的本地用户账号作为身份验证的依据，缺点是客户端输入的用户名和密码都是以明文的方式在网络中传送，因而安全性不高。
比如我们可以在网站的虚拟目录“book”上启用“基本身份验证”，这样当客户端在访问http://www.b.com/book时就必须要输入用户名和密码了。

（3）IP地址和域名限制
在“IP地址和域名限制”界面中可以设置通过IP地址来防止或允许某些特定的计算机来访问Web站点。默认情况下，所有计算机都被授权访问，可以在“下列除外”的地址列表中添加要阻止访问的计算机的IP地址，可以是一个具体的IP，也可以是一组IP，如192.168.0.0，子网掩码255.255.255.0。



这样该地址段内的计算机就无法访问网站了，在客户端访问网站时，会出现如下图所示的错误提示。



反之，如果只允许192.168.0.0/24网段内的计算机可以访问网站，那么首先应将默认设为所有计算机都被“拒绝访问”，然后将192.168.0.0/24添加到除外列表里。
“IP地址和域名限制”同样可以只针对虚拟目录配置，比如只允许内网中的计算机可以访问http://www.b.com/image。