【文章內(nèi)容簡(jiǎn)介】 Server 2022IIS 安裝具體做法: 1）進(jìn)入“控制面板” 。 2）雙擊“添加或刪除程序” 。 3）單擊“添加/刪除 Windows 組件” 。 4）在“組件”列表框中，雙擊“應(yīng)用程序服務(wù)器” 。 5）雙擊“Inter 信息服務(wù)(IIS)” 。 6）從中選擇“萬(wàn)維網(wǎng)服務(wù)”及“文件傳輸協(xié)議(FTP)服務(wù)” 。 7）雙擊“萬(wàn)維網(wǎng)服務(wù)” ，從中選擇“Active Server Pages” 及“萬(wàn)維網(wǎng)服務(wù)”等。安裝好 IIS 后，接著設(shè)置 Web 服務(wù)器，具體做法為: 1)在“開(kāi)始”菜單中選擇“管理工具→Inter 信息服務(wù)(IIS)管理器” 。 2)在“Inter 信息服務(wù)(IIS)管理器”中雙擊“本地計(jì)算機(jī)” 。 3)右擊“網(wǎng)站” ，在彈出菜單中選擇“新建→網(wǎng)站” ，打開(kāi)“網(wǎng)站創(chuàng)建向?qū)А?。 4)依次填寫“網(wǎng)站描述” 、 “IP 地址” 、 “端口號(hào)” 、 “路徑”和“網(wǎng)站訪問(wèn)權(quán)限” ，在“Inter 信息服務(wù)(IIS)管理器”的“Web 服務(wù)擴(kuò)展”中選擇允許“Active Server Pages”。 架設(shè) WEB 服務(wù)器 進(jìn)入控制面板，執(zhí)行“添加或刪除程序→添加/刪除 Windows 組件”進(jìn)入Windows 組件向?qū)Т翱冢催x“應(yīng)用程序服務(wù)器→Inter 信息服務(wù)” ， “確定”后返回 Windows 組件向?qū)Т翱邳c(diǎn)擊“下一步”即可添加好 IIS 服務(wù)。在控制面板的管理工具中執(zhí)行“Inter 信息服務(wù)（IIS）管理器”進(jìn)入 IIS 管理器主界面在，若要執(zhí)行動(dòng)態(tài)頁(yè)面執(zhí)行 ASP 網(wǎng)站則要在“Web 服務(wù)擴(kuò)展”列表中選中“Active Server Pages”然后單擊“允許”按鈕來(lái)啟用該功能。接下來(lái)就可以具體配置 Web 站點(diǎn)。 1）網(wǎng)站基本配置。在“默認(rèn)網(wǎng)站”的右鍵菜單中選擇“屬性”進(jìn)入“默認(rèn)網(wǎng)站屬性”窗口，在“網(wǎng)站”選項(xiàng)卡上的“描述”里可以為網(wǎng)站取一個(gè)標(biāo)示名稱，如果本機(jī)分配了多個(gè) IP 地址，則要在 IP 地址框中選擇一個(gè)賦予此 Web 站點(diǎn)的 IP 地址；然后進(jìn)入“主目錄”選項(xiàng)卡中指定網(wǎng)站 Web 內(nèi)容的來(lái)源并在“文檔”中設(shè)置好 IIS 默認(rèn)啟動(dòng)的文檔。單擊“應(yīng)用”按鈕后使用 來(lái)驗(yàn)證網(wǎng)站。 2）網(wǎng)站性能配置。進(jìn)入“性能”選項(xiàng)卡，在這里可以對(duì)網(wǎng)站訪問(wèn)的帶寬和連接數(shù)進(jìn)行限定，以更好地控制站點(diǎn)的通信量，如果是多站點(diǎn)服務(wù)器，通過(guò)對(duì)一個(gè)站點(diǎn)的帶寬和連接數(shù)限制可以放寬對(duì)其他站點(diǎn)訪問(wèn)量的限制和為其他站點(diǎn)釋放更多的系統(tǒng)資源。3）網(wǎng)站的安全性配置。為了保證 Web 網(wǎng)站和服務(wù)器的運(yùn)行安全，可以在“目錄安全性”選項(xiàng)卡上為網(wǎng)站進(jìn)行“身份驗(yàn)證和訪問(wèn)控制” 、 “IP 地址和域名限制”的設(shè)置。 IIS 的備份和移植 為了防止系統(tǒng)損壞對(duì) IIS 配置的影響，我們可以使用 IIS 備份精靈來(lái)實(shí)現(xiàn)IIS 的備份和移植了。 1）啟動(dòng)軟件，在 IIS 備份精靈的站點(diǎn)列表上就會(huì)列出 IIS 服務(wù)器上配置的各種站點(diǎn)了，勾選你要備份的站點(diǎn)然后單擊“導(dǎo)出站點(diǎn)”按在彈出的“導(dǎo)出 IIS站點(diǎn)”窗口上選擇好文件保存路徑“確定”后站點(diǎn)配置信息就會(huì)以一個(gè) TXT 文本文件保存下來(lái)了。 2）在重裝 IIS 服務(wù)器需要導(dǎo)入站點(diǎn)信息時(shí)，運(yùn)行 IIS 備份精靈，單擊“導(dǎo)入站點(diǎn)”按鈕在彈出的“IIS 導(dǎo)入站點(diǎn)”窗口上選擇要導(dǎo)入的事先備份好的 IIS站點(diǎn)信息文件， “確定”后即可導(dǎo)入。若需要移植 IIS 站點(diǎn)信息應(yīng)先把備份的站點(diǎn)信息文件復(fù)制到目的機(jī)器上，然后在這個(gè)機(jī)器上再下載安裝 IIS 備份精靈，執(zhí)行“導(dǎo)入站點(diǎn)”操作就可以了。5 安全規(guī)劃與設(shè)計(jì)網(wǎng)絡(luò)安全是當(dāng)前 IT 業(yè)最受關(guān)注的環(huán)節(jié)。在學(xué)校內(nèi)部網(wǎng)絡(luò)建設(shè)中，內(nèi)部網(wǎng)與Inter 的連接是重要環(huán)節(jié)。因此，需要著重解決好總部的防火墻方案。由于Intra 網(wǎng)絡(luò)系統(tǒng)將連入 Inter，為用戶提供各種信息服務(wù)。資源共享和開(kāi)放是 Inter 特點(diǎn)，所以 Inter 的安全機(jī)制很松散；而學(xué)校內(nèi)部網(wǎng)絡(luò)系統(tǒng)要求有較高的安全性，其內(nèi)部的許多數(shù)據(jù)和文件不接受未經(jīng)授權(quán)的訪問(wèn)。因此，設(shè)計(jì)與開(kāi)發(fā)保證內(nèi)部各種信息的安全機(jī)制是實(shí)現(xiàn)該辦公網(wǎng)絡(luò)順利運(yùn)行的關(guān)鍵。安全技術(shù)主要包括系統(tǒng)安全、信息安全、應(yīng)用安全和網(wǎng)絡(luò)安全技術(shù)，而三者之中網(wǎng)絡(luò)安全尤為重要。網(wǎng)絡(luò)安全的主要技術(shù)是防火墻技術(shù)（Firewall） ，防火墻技術(shù)的核心思想是在不安全的網(wǎng)間網(wǎng)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。 系統(tǒng)安全系統(tǒng)安全保證一個(gè)主機(jī)系統(tǒng)的安全，主要包括主機(jī)系統(tǒng)的密碼安全、重要服務(wù)器如 FTP、WEB 和數(shù)據(jù)庫(kù)等大型應(yīng)用系統(tǒng)的安全。我們?cè)谥鳈C(jī)系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的選型上，已經(jīng)充分考慮了系統(tǒng)的安全性。 信息安全由于網(wǎng)絡(luò)上有許多可用來(lái)做竊聽(tīng)的工具，因此明文信息在網(wǎng)上傳輸是不安全的。TCP／IP 協(xié)議本身不提供任何信息安全方面措施，我采用基于 IP 層的信息加密和基于應(yīng)用層的信息加密，基于應(yīng)用層的信息加密方法是用戶在發(fā)送信息前，利用加密工具先將信息加密、然后才發(fā)送出去，接收方可利用相應(yīng)的解密工具還原信息；信息加／解密技術(shù)可分為兩種體系，即單密鑰的加密體系和雙密鑰的加密體系，我采用雙密鑰的加密方法又叫公開(kāi)密鑰的加密方法，加密和解密時(shí)采用不同的密鑰，即公開(kāi)密鑰和私人密鑰。 應(yīng)用安全應(yīng)用安全是指基于網(wǎng)絡(luò)的應(yīng)用系統(tǒng)的安全，包括用戶的身份認(rèn)證和權(quán)限管理兩部分。應(yīng)用系統(tǒng)建立用戶管理子系統(tǒng)，進(jìn)行用戶的管理和授權(quán)工作。身份認(rèn)證：用戶使用應(yīng)用系統(tǒng)，不管是從內(nèi)部網(wǎng)絡(luò)登錄，還是撥號(hào)訪問(wèn)，還是通過(guò) INTERNET 訪問(wèn)公司網(wǎng)絡(luò)，首先需要通過(guò)嚴(yán)格的身份認(rèn)證。只有合法的用戶才能使用應(yīng)用系統(tǒng)。權(quán)限管理：每個(gè)使用網(wǎng)絡(luò)的用戶將受到嚴(yán)格的權(quán)限限制。 路由器級(jí)安全控制訪問(wèn)控制列表CISCO 路由器操作系統(tǒng) IOS 通過(guò)訪問(wèn)控制列表（ACL）技術(shù)支持包過(guò)濾防火墻技術(shù)，根據(jù)事先確定的安全策略建立相應(yīng)的訪問(wèn)列表，可以對(duì)數(shù)據(jù)包、路由信息包進(jìn)行攔截與控制，可以根據(jù)源/目的地址、協(xié)議類型、TCP 端口號(hào)進(jìn)行控制。在 Extra 上建立第一道安全防護(hù)墻，屏蔽對(duì)內(nèi)部網(wǎng) Intra 的非法訪問(wèn)。通過(guò) ACL 限制可以進(jìn)入內(nèi)部網(wǎng)絡(luò)的外部網(wǎng)絡(luò)甚至是某一臺(tái)或幾臺(tái)主機(jī)；限制可以被訪問(wèn)的內(nèi)部主機(jī)的地址；為保證主機(jī)的安全，可以限制外部用戶對(duì)主機(jī)的 TELNET方式登陸等。地址轉(zhuǎn)換CISCO 路由器操作系統(tǒng) IOS 的防火墻功能還包括 IP 地址轉(zhuǎn)換的功能。進(jìn)行IP 地址轉(zhuǎn)換有兩個(gè)好處：其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的 IP 地址，這可以使黑客（hacker）無(wú)法直接攻擊內(nèi)部網(wǎng)絡(luò)，因?yàn)樗恢纼?nèi)部網(wǎng)絡(luò)的 IP 地址及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；另一個(gè)好處是可以讓內(nèi)部網(wǎng)絡(luò)使用自己定義的網(wǎng)絡(luò)地址方案，而不必考慮與外界地址沖突的情況。路由認(rèn)證技術(shù)為了保證發(fā)出和進(jìn)入的路由更新不被竊取和攻擊，CISCO 路由器操作系統(tǒng)IOS 提供對(duì)動(dòng)態(tài)路由協(xié)議進(jìn)行加密和認(rèn)證的技術(shù)，只有在經(jīng)過(guò)認(rèn)證的路由器才能互相學(xué)習(xí)路由信息，同時(shí)路由信息的傳輸完全是以加密的形勢(shì)進(jìn)行的。鑒于網(wǎng)絡(luò)主干的開(kāi)放性，可以利用 CISCO 路由器的路由認(rèn)證技術(shù)對(duì)所有路由器的路由信息進(jìn)行認(rèn)證與加密，以防止路由信息的泄漏，保證網(wǎng)絡(luò)的安全。路由器自身的安全防護(hù)在保證數(shù)據(jù)信息的安全性的同時(shí)，必須考慮到路由器自身的安全性。在這方面，CISCO 路由器 IOS 提供了一系列防范措施。首先，進(jìn)行口令保護(hù)，用戶登錄路由器必須經(jīng)過(guò)口令的認(rèn)證；其次，利用口令授權(quán)，將不同的權(quán)限等級(jí)與不同的口令進(jìn)行關(guān)聯(lián)，對(duì)用戶進(jìn)行等級(jí)的劃分，通過(guò)減少超級(jí)用戶來(lái)減少不安定因素；再次，對(duì)口令進(jìn)行加密，以避免口令在網(wǎng)上以明碼的方式進(jìn)行傳輸，同時(shí)避免配置文件以明碼的方式顯示口令；最后，對(duì)無(wú)人職守的控制臺(tái)和端口進(jìn)行超時(shí)限制，以提高設(shè)備的安全性。 網(wǎng)絡(luò)安全——防火墻網(wǎng)絡(luò)安全的主要技術(shù)是防火墻技術(shù)(Firewall)，防火墻技術(shù)的核心思想是在不安全的網(wǎng)間環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。目前其實(shí)現(xiàn)方式有兩種，即基于包過(guò)濾的防火墻和基于代理(Proxy)的防火墻。包過(guò)濾型防火墻處在網(wǎng)絡(luò)層，根據(jù) IP 包的包頭信息來(lái)對(duì)信息的訪問(wèn)進(jìn)行控制，而 IP 包的包頭主要包括以下信息:IP 包的源地址、目的地址、包類型，端口號(hào)，因此包過(guò)濾型防火墻主要完成基于地址和端口的過(guò)濾功能?；诖淼姆阑饓?，也叫應(yīng)用層防火墻，處于應(yīng)用層、可對(duì) IP 地址和發(fā)生在該 IP 地址上的具體應(yīng)用進(jìn)行控制，由于它能識(shí)別應(yīng)用協(xié)議，因此可對(duì)應(yīng)用的整個(gè)過(guò)程進(jìn)行控制，在應(yīng)用建立時(shí)的密碼驗(yàn)證、在 FTP 應(yīng)用中允許站點(diǎn) GET 而不允許 PUT。這兩種防火墻各有優(yōu)缺點(diǎn)，包過(guò)濾型防火墻由于基于網(wǎng)絡(luò)層，因此對(duì)用戶來(lái)說(shuō)比較透明，但它一般采用“沒(méi)被禁止的就是允許的”這一策略，在它失敗時(shí)，網(wǎng)絡(luò)是暢通的，這時(shí)內(nèi)部網(wǎng)絡(luò)將失去安全的屏障，而應(yīng)用層防火墻采用“沒(méi)被允許的就是禁止的”這一策略，在它失效時(shí)，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)是隔離的，因此應(yīng)用層防火墻要比包過(guò)濾型防火墻安全。 CISCO PIX 防火墻具體實(shí)施CISCO PIX 防火墻介紹，我們采用的第二種防火墻方案是采用 CISCO 公司的防火墻產(chǎn)品 PIX，它是一種硬件解決方案，主要優(yōu)點(diǎn)在于，比其它防火墻方式更安全有效，而且，更好的支持多媒體信息的傳輸，使用與管理更方便。PIX 具有雙以太網(wǎng)口（內(nèi)部網(wǎng)與 DMZ 各一個(gè)） ，并可以擴(kuò)展；可組成虛擬專用網(wǎng)并加密；在防止非法侵入的同時(shí)還可有效的限制內(nèi)部對(duì)外的訪問(wèn)。整個(gè)系統(tǒng)的安全保障由CISCO PIX 防火墻來(lái)完成，PIX 是局域網(wǎng)對(duì)外的主要門戶，由外界進(jìn)入局域網(wǎng)的連接均要通過(guò) PIX。PIX 的核心是基于適應(yīng)性安全算法(ASA)的保護(hù)策略，是面向連接的防火墻，支持 IPsec 支持的 56bit 數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)和 168bit 3DES算法?？梢蕴峁?6 Mbps 以上的 3DES 性能，完全可勝任目前安全的需要。能同時(shí)支持 25 萬(wàn)個(gè)并發(fā)用戶連接。CISCO 提供了 PIX，私有 Inter 交換防火墻，它運(yùn)行自己定制的操作系統(tǒng)，事實(shí)證明，它可以有效地防止非法攻擊。PIX 防火墻要求有一個(gè)路由器連接到外部網(wǎng)絡(luò)。PIX 有兩個(gè) ETHERNET 接口，一個(gè)用于連接內(nèi)部局域網(wǎng)，另一個(gè)用于連接外部路由器。外部接口有一組外部地址，使用他們來(lái)與外部網(wǎng)絡(luò)通信。內(nèi)部網(wǎng)絡(luò)則配置有一個(gè)適合內(nèi)部網(wǎng)絡(luò)號(hào)方案的 IP 地址。PIX 的主要工作是在內(nèi)部計(jì)算機(jī)需要與外部網(wǎng)絡(luò)進(jìn)行通信時(shí)，完成內(nèi)部和外部地址之間的映射。PIX 是局域網(wǎng)對(duì)外的主要門戶，由外界進(jìn)入局域網(wǎng)的連接均要通過(guò)PIX。本方案網(wǎng)絡(luò)安全配置概述，由于路由器防火墻只能作為過(guò)濾器，并不能把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)從入侵者眼前隱藏起來(lái)，只要允許外部網(wǎng)絡(luò)上的計(jì)算機(jī)直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)，就存在著攻擊者可以損害內(nèi)部局域網(wǎng)上機(jī)器的安全性，并從那里攻擊其他計(jì)算機(jī)的可能性。因此為了保證學(xué)校內(nèi)部網(wǎng)的安全，防止非法入侵，需要使用專用的防火墻計(jì)算機(jī)。因此，本方案采用兩層防火墻加上應(yīng)用系統(tǒng)的身份認(rèn)證和權(quán)限管理四層安全措施，來(lái)保證網(wǎng)絡(luò)安全和應(yīng)用安全。由于費(fèi)用原因，