尽管Windows服务器凭借其特有的稳定性,赢得了众多用户的青睐网站备案;不过在该服务器中搭建IIS服务器时,IIS服务器的安全并不是无懈可击,这主要是Windows服务器中的IIS组件存在不少安全漏洞,这样一来就很容易招来各种非法攻击,尽管通过安装相关补丁能够及时修复这些安全漏洞,但无奈新漏洞又会层出不穷地出现iis服务器。 为了让IIS服务器变得无懈可击,准备了以下安全防范招法,相信在这些招法的“保驾护航”下,你的IIS服务器的安全性能一定得到进一步增强。 iis服务器,让IIS服务器无懈可击的方法有哪些1、及时删除无效映射 在默认状态下,IIS服务器会自动创建好十几种应用程序的映射关系,可事实上,许多Web网站仅仅用到asp这个应用程序映射,其他应用程序映射几乎没有任何作用;如果你将这些用不着的无效映射保留在IIS服务器中的话,它们可能会给服务器带来安全威胁,因为不少应用程序映射都存在安全漏洞,这些漏洞往往很容易被黑客或非法攻击者利用。 为此,笔者建议各位仅将Web网站使用到的几个应用程序映射保留下来,而其他用不着的映射必须及时删除,哪怕以后需要用时再重新添加一次也可以。在删除无效应用程序映射时,你可以按照下面的步骤来操作: 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“主目录”标签; 在接着出现的对应标签页面中,单击“配置”按钮,进入到应用程序映射配置界面;从该界面中,你将看到IIS服务器已经自动创建好十几种应用程序的映射关系了;此时你可以选中某个暂时用不到的应用程序的映射项目,然后单击“删除”按钮,就能把当前选中的映射项目删除掉了。 你也可以接着Ctrl、Shift键来同时选中多个无效的应用程序映射项目,然后再单击“删除”按钮,这样就能一次性删除多个无效程序映射项目了。 当然,要是你的确需要某个应用程序映射项目时,就必须在系统中安装对应该映射的系统修补补丁,同时打开对应映射项目的编辑窗口,并将该窗口中的“检查文件是否存在”复选项选中;如此一来,日后IIS服务器一旦接受到对应文件请求时,就会自动先检查对应文件是否存在,要是文件的确存在的话,IIS才会去调用映射中事先定义好的动态链接库来解析目标文件。 2、取消匿名访问功能 要是允许任何人随意访问IIS服务器的话,那么服务器遭受攻击的可能性就会大大增加;要想尽可能地降低被攻击的风险,对服务器进行限制访问就成为了必然需求。目前限制用户访问最常用的一种方式,就是对用户的身份进行验证,但无奈IIS服务器在默认状态下,会允许匿名访问的;因此在对用户进行身份验证之前,你必须先取消IIS服务器的匿名访问功能: 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“目录安全性”标签;在对应标签页面的“匿名访问和验证控制”设置项处,单击“编辑”按钮,在弹出的设置窗口中,取消“匿名访问”选项的选中状态;接着再选中“集成Windows验证”复选项,再单击一下“确定”按钮就可以了。 3、进行SSL加密验证 大家知道在缺省状态下,SSL服务器是通过服务器自身带来安全危险。为了阻止黑客或非法攻击者轻易窃取重要的隐私信息,你可以采用下面的方法来对IIS服务器进行SSL加密验证,以便对在IIS服务器中传输的信息进行加密: 要想对IIS服务器进行SSL加密,你首先需要在Windows 2003服务器系统中安装证书服务,而在默认状态下该服务是没有被安装的。 在安装证书服务时,你可以依次单击“开始”/“设置”/“控制面板”命令,在其后出现的控制面板窗口中,双击“添加/删除程序”图标,然后单击“添加/删除Windows组件”标签,并在对应的标签页面中,选中“证书服务”选项,单击“下一步”按钮,在接着出现的向导设置窗口中,选中“独立根CA”选项,继续单击“下一步”按钮后,正确设置好CA服务器的名称信息以及使用期限,最后再为证书数据库以及相关日志文件指定好保存路径,就可以完成对证书服务的安装操作了。 。 如何让IIS服务器运行更高效:1、着眼服务,让IIS自动启动 在缺省状态下,Windows服务器系统一般会将架设在其中的IIS服务自动启用起来的;可是在实际维护IIS服务器的过程中,网站管理人员常常由于操作失误导致IIS服务无法随系统一起启动,那样的话每次启动完服务器操作系统后,网站管理人员往往都需要通过手工方式将IIS服务器启动起来。 很显然,这种手工启动IIS服务器的方法很麻烦,那我们能否找到一种办法让IIS服务可以跟随Windows服务器系统一起自动启动呢?答案是肯定的,我们可以着眼于服务器系统中的World Wide Web Publishing Service服务,通过修改该服务的相关属性就能让IIS服务随系统自动启动了,下面就是具体的设置步骤:图1 首先以超级管理员身份登录进Windows服务器系统,在该系统桌面中用鼠标逐一单击“开始”、“程序”、“管理工具”、“服务”命令,在随后出现的系统服务列表界面中,找到“World Wide Web Publishing Service”服务项目,并用鼠标右键单击该项目,从弹出的快捷菜单中执行“属性”命令,打开如图1所示的服务属性界面; 在该界面的“常规”标签页面中,我们能清楚地看到该服务的当前运行状态;正常情况下,IIS服务无法随Windows服务器系统一起启动时,多半是“World Wide Web Publishing Service”服务的当前运行状态已经被强行停止了;这个时候我们只有单击对应标签页面中的“启动”按钮,以便先让该服务启动起来,之后再将该服务的“启动类型”设置为“自动”,最后单击“确定”按钮,并重新启动一下服务器系统,那样一来IIS服务日后就可以跟随服务器系统一起被自动启动了。 2、着眼配置,让IIS显示子页面 不少网站管理员在IIS6。0服务器中架设、配置好了网站,并通过IE浏览器尝试访问配置好的网站页面时,经常会遭遇目标网站主页面可以访问,而子页面却无法访问的故障现象,遇到这种现象时,许多网站管理员常常会认为网站子页面程序是不是出现了错误。 事实上,当我们不幸遇到目标网站子页面无法显示现象时,我们不妨从IIS6。0服务器的配置参数着手,来让IIS正确显示目标网站的子页面内容: 首先在IIS服务器系统中,用鼠标逐一单击系统桌面中的“开始”、“设置”、“控制面板”命令,在随后出现的控制面板窗口中,用鼠标双击其中的“管理工具”图标,在弹出的管理工具窗口中再双击一下“Internet信息服务管理器”项目,进入到IIS6。 0服务器的控制台界面; 其次在该控制台界面的左侧显示区域,用鼠标展开IIS6。0服务器下面的“网站”分支,再用鼠标右键单击该分支下面的指定网站名称,并执行快捷菜单中的“属性”命令,打开目标网站的属性配置界面;图2 单击该配置界面中“主目录”选项卡,并在对应选项设置页面中单击“配置”按钮,进入到服务器系统的应用程序配置界面;再单击该界面中的“选项”标签,打开如图2所示的选项设置页面,选中其中的“启用父路径”项目,并单击“确定”按钮,相信这么一来目标网站的子页面内容就能够被顺利访问到了。 3、着眼回收,谨防IIS耗费过多内存 架设在IIS6。0服务器下面的网站,常常在运行一段时间后,我们会明显感觉到网站访问速度没有以前那样快捷了,有时还出现不能访问的现象。此时,打开服务器系统的任务管理器窗口时,我们会发现系统内存资源消耗率达到了90%左右,很明显网站打开速度缓慢的现象其实就是由于网站消耗过多的内存资源造成的。 为了防止IIS服务器耗费过度的系统内存资源,影响目标网站的打开速度,我们可以按照如下方法对IIS服务器中的不工作进程进行及时回收,以防止服务器中有限的内存资源被过度消耗: 首先在IIS服务器系统中,用鼠标逐一单击系统桌面中的“开始”、“设置”、“控制面板”命令,在随后出现的控制面板窗口中,用鼠标双击其中的“管理工具”图标,在弹出的管理工具窗口中再双击一下“Internet信息服务管理器”项目,进入到IIS6。 0服务器的控制台界面;图3 其次选中本地服务器下面的“应用程序池”选项,并用鼠标右键单击该选项下面的“DefaultAppPool”,从弹出的右键菜单中单击“属性”命令,然后单击对应属性界面中的“回收”选项卡,打开如图3所示的选项设置页面。 将其中的“回收工作进程(分钟)”项目选中,并在该选项对应的文本框中设置一个合适的数值,来限制多长时间不工作的进程能被IIS服务器自动回收; 接着选中“回收工作进程(请求数目)”项目,并在该项目对应的文本框中设置一个合适的数值,来限制工作进程达到多大的数目时能够开始执行进行回收操作。 考虑到进程回收操作也需要消耗系统的内存资源,所以在执行这项操作时最好能够避开网站访问高峰期,因此我们可以在“在下列时间回收工作进程”设置项处单击“添加”按钮,来指定IIS服务器在规定时间执行进程的回收操作,比方说我们可以将进程回收时间指定为“24”点钟左右; 接下来选中“内存回收”处的“最大使用的内存”项目,并在对应该项目旁边的文本框中设置一个合适的数值,来限制目标网站至多只能消耗多大的内存资源,这样的话就能避免目标网站消耗太多资源导致服务器发生崩溃现象; 结束上面的设置操作后,我们再返回到IIS服务器的控制台窗口,然后用鼠标右键单击目标网站名称,从弹出的右键菜单中选择“属性”命令,再在其后的网站属性界面中单击“主目录”选项卡,之后检查一下对应该选项设置页面中的应用程序池有没有被设置成“DefaultAppPool”,要是没有被设置的话我们应该及时将它调整过来,相信这么一来IIS服务器下面的各个网站就不会消耗太多的内存资源了。 4、着眼映射,让IIS远离安全攻击 IIS服务器在缺省状态下会创建好若干种应用程序的映射关系,不过绝大多数Web网站只用到类似asp这样的少数几个应用程序映射,其他程序的映射关系几乎很少会被使用到;要是我们将平时根本用不到的应用程序映射关系保留下来的话,黑客很有可能会利用它们来攻击IIS服务器,因为这些应用程序映射关系几乎都存在一定的安全漏洞,黑客巧妙地通过这些漏洞就能轻易实现攻击目的。 所以,仅将目标网站需要的几个应用程序映射关系保留下来,而将其他多余的映射关系全部删除,是确保IIS服务器远离安全攻击的重要措施之一。在删除某个应用程序映射关系时,我们不妨按照如下步骤来进行: 首先在IIS服务器系统中,用鼠标逐一单击系统桌面中的“开始”、“设置”、“控制面板”命令,在随后出现的控制面板窗口中,用鼠标双击其中的“管理工具”图标,在弹出的管理工具窗口中再双击一下“Internet信息服务管理器”项目,进入到IIS6。 0服务器的控制台界面;图4 其次在该界面左侧显示区域,用鼠标右击IIS服务器下面的某个目标网站,并执行快捷菜单中的“属性”命令,在随后弹出的目标网站属性界面中,单击“主目录”选项卡,然后在对应的选项设置页面中单击一下“配置”按钮,打开如图4所示的映射关系配置窗口; 从该配置窗口中,我们不难发现IIS服务器在默认状态下已经创建好了十几种程序映射关系,而其中的多数映射关系我们几乎都使用不到;此时我们不妨逐一将用不到的映射关系选项选中,并单击“删除”按钮,就能把不需要的程序映射关系全部删除掉了。 当然,我们可以借助键盘上的Ctrl键来将多个用不到的应用程序映射一次性选中,再单击一下“删除”按钮,就能实现快速删除多个程序映射关系的目的了。 5、着眼连接,提高IIS访问速度 我们知道,在网站带宽资源相对固定的情况下,要是在某一时刻同时访问目标网站的连接数目越多时,那么每一个访问连接从目标网站中所能享受到的带宽资源就越少,那么我们就会明显感觉到目标网站的访问速度比较缓慢。 为了提高每一个连接访问网站的速度,我们应该想办法对目标网站的同时访问数目进行合适限制,确保每一个连接能获得足够多的带宽资源,下面我们就从目标网站的连接性能出发,来向各位详细介绍一下限制目标网站同时访问连接数目的具体步骤: 首先在IIS服务器系统中,用鼠标逐一单击系统桌面中的“开始”、“设置”、“控制面板”命令,在随后出现的控制面板窗口中,用鼠标双击其中的“管理工具”图标,在弹出的管理工具窗口中再双击一下“Internet信息服务管理器”项目,进入到IIS6。 0服务器的控制台界面;图5 其次在该控制台界面的左侧显示窗格中,用鼠标右键单击目标网站的名称,从弹出的快捷菜单中单击“属性”命令,打开目标网站的属性设置界面,单击其中的“性能”标签,打开如图5所示的标签页面; 在该标签页面的“网站连接”设置项处,将“连接限制为”项目选中,同时在对应该项目旁边的文本框中指定一个合适的连接数目,该数目就是用来限制同时访问目标网站连接数量的;一般来说,在某一时刻同时访问目标网站的连接数量最多应该限制为“500”左右,设置好目标网站的最大连接数目后,再重新启动一下IIS服务器系统,这样就能使上述设置生效了。