Web服务器的配置与管理
Web服务器的配置与管理(2) 虚拟主机技术
在上篇博⽂中,我们已经利⽤IIS搭建好了⼀台Web服务器,并可以成功访问IIS中⾃带的默认站点,那么我们是否可以在这台服务器中再创建另外⼀个Web站点?也就是说,在⼀台Web服务器中是否可以同时存在多个⽹站呢? 答案当然是肯定的,其实很多中⼩企业的⽹站都是从⽹上租⽤的空间,提供空间租⽤的Web服务器⾥就同时存在了很多个⽹站。 但是当多个⽹站同时存在于⼀台服务器⾥时,就必须得有⼀种⽅法能够将它们区分开,这种⽅法也就是虚拟主机技术。 有三种⽅法可以实现虚拟主机技术:
利⽤不同的IP地址
利⽤不同的端⼝号
利⽤不同的主机名(域名)
也就是说,只要让不同的⽹站在IP地址、端⼝号、主机名这三项中有⼀项是不相同的,那么这些⽹站就可以共存了。 下⾯分别来介绍这三种虚拟主机技术。 1. 使⽤不同IP地址架设多个⽹站 这种⽅法是为每个⽹站设置⼀个不同的IP,要采⽤这种⽅式⾸先需要Web服务器安装有多块⽹卡,每块⽹卡使⽤不同的IP。如果web服务器中只有⼀块⽹卡,那么也可以给这⼀块⽹卡绑定多个IP地址。打开本地连接,在TC
P/IP 属性的“⾼级”设置中,为服务器再添加⼀个IP地址192.168.0.15,如下图所⽰。
下⾯我们在【IIS管理器】中再新建⼀个Web站点。 在IIS管理器中选择“⽹站”,然后在右侧的“操作”⾯板中选择“添加⽹站”。 “⽹站名称”可以随意设置,这⾥⽤ytvc。 “物理路径”也就是⽹站的主⽬录,这⾥设置为c:\ytvc。 ⽹站的协议类型仍为http,IP地址使⽤192.168.1.15,端⼝号80。
⽹站创建好之后,在其主⽬录中也存放⼀个名为Default.htm的⽹页⽂件,这样在客户端输⼊不同的IP地址便可以访问相应的⽹站。
这种⽅式在实际应⽤中很少采⽤,因为如果服务器使⽤的是公⽹IP,那么公⽹IP地址是⾮常宝贵的资源,⽽这种⽅式⽆疑是要浪费⼤量的IP 地址。
2. 使⽤不同TCP端⼝架设多个⽹站
这种⽅法是让每个⽹站仍然使⽤相同的IP地址,但给不同的⽹站分配不同的端⼝号。如默认⽹站仍然使⽤默认的80端⼝,ytvc⽹站则将端⼝改为8000。
⾸先将刚才在本地连接中添加的第⼆个IP删掉,然后在【IIS管理器】中选中ytvc⽹站,点击右侧“操作”⾯板中的“绑定”链接,将IP仍然设为192.168.1.5,将端⼝设置为8000。
指定规则应⽤于TCP 8000端⼝。
对满⾜条件的操作允许连接。
在所有的⽹络上全部应⽤该规则。
为规则随意起⼀个名称。
⼊站规则创建好之后,在客户端就可以⽤8000端⼝正常访问ytvc⽹站了。 采⽤这种⽅式,客户端在访问⽹站时必须要在⽹址后⾯加上相应的端⼝号,⽽⽤户是不可能去记住每个⽹站的端⼝号的,所以这种⽅式在实践中也很少采⽤。
3. 使⽤不同主机头名架设多个⽹站
主机头名实际上就是每个⽹站的⽹址,也就是它的FQDN名,所以要利⽤该⽅法⾸先需要在DNS服务器中添加相应的区域和主机记录。下⾯在DNS服务器⾥创建⼀个名为ytvc的区域,然后在其中添加⼀条名为“www”的主机记录,对应的IP地址是192.168.1.5。(如果没有DNS服务器,也可以通过修改客户机的hosts⽂件进⾏域名解析。)
然后我们为ytvc⽹站设置主机名vc,并将其端⼝号该回80。
然后再将默认⽹站的主机名设置为lpen。
这样客户端就可以通过输⼊不同的⽹址以访问不同的⽹站,这也是实际中最经常采⽤也是最为推荐的⼀种⽅式,但采⽤这种⽅式就⽆法通过IP地址来访问相应的⽹站了(实际中的很多⽹站都是可以⽤⽹址访问,但⽆法⽤IP地址访问。)
Web服务器的配置与管理(3) 配置虚拟⽬录
⼀个⽹站中的所有⽹页和相关⽂件都要存放在主⽬录下,为了对⽂件进⾏归类整理,也可以在主⽬录下⾯建⽴⼦⽂件夹,分别存放不同内容的⽂件,例如⼀个⽹站中,新闻类的⽹页放在主⽬录的news⽂件夹,技术类的⽹页⽂件放在主⽬录的tech⽂件夹,产品类的⽹页⽂件放在products⽂件夹等,这些直接存放在主⽬录下的⼦⽂件夹都称为物理⽬录。 下⾯我们在默认站点的主⽬录下创建⼀个名为news的⼦⽬录,并在其中放置2个⽹页⽂件。
虚拟⽬录的别名这⾥就⽤tech,然后输⼊其物理路径。
在C:\tech⽂件夹中放置⼀些测试⽹页,然后在客户端可以像访问物理⽬录⼀样的去访问它们。 我们还可以将位于另外⼀台服务器上的共享⽂件夹设置为Web站点的虚拟⽬录,这也是虚拟⽬录技术的最⼤优势所在。 下⾯我们将位于⽂件服务器FS上共享⽂件夹fs设置为默认站点的虚拟⽬录。 注意,在指定虚拟⽬录的路径时必须要使⽤UNC路径。
由于这个虚拟⽬录是位于⽹络上的共享⽂件夹,所以必须要传递⾝份验证,也就是要指定以哪个⽤户的⾝份去访问。点击“连接为”,然后输⼊域管理员账户和密码。
这样在客户端就可以正常访问了。 最后总结⼀下:
Web服务器的配置与管理(4) 配置访问权限和安全
1. ⽤户⾝份验证
IIS⽹站默认是允许所有⽤户连接,如果对⽹站的安全性要求较⾼,⽹站只针对特定⽤户开放,就需要对⽤户进⾏验证,进⾏验证的主要⽅法有:
· 匿名⾝份验证
· 基本⾝份验证
· 摘要式⾝份验证
· Windows⾝份验证
系统默认只启⽤了匿名⾝份验证,由于2008R2中的IIS采⽤了模块化设计,默认只会安装少数功能与
组件,所以要设置使⽤其他的⾝份验证⽅法,⾸先就需要安装相应的功能组件。
在【服务器管理器】中选择“添加⾓⾊服务”。
在“安全性”中勾选要安装的3种⾝份验证⽅法。
这4种⾝份验证⽅法的优先级为:
匿名⾝份验证>windows⾝份验证>摘要式⾝份验证>基本⾝份验证
也就是说,如果同时开启匿名⾝份验证和基本⾝份验证,那么客户端就会优先利⽤匿名⾝份验证,⽽基本⾝份验证则⽆效!所以如果要使⽤户必须验证⾝份后才能访问,⾸先必须禁⽤匿名访问功能,然后再设置⾝份验证⽅式。如果不禁⽤匿名访问功能,即使设置了⾝份验证⽅式也不会⽣效。 www.it165
在web站点的主窗⼝中打开“⾝份验证”,默认情况下,“匿名⾝份验证”为“已启⽤”状态,点击右侧“操作”菜单中的“禁⽤”命令,将其禁⽤。这样当⽤户再次访问时就必须使⽤⽤户名登录。
基本⾝份验证
基本⾝份验证是使⽤web服务器的本地⽤户进⾏⾝份验证,如果web服务器属于域的成员服务器,那也还可以使⽤域⽤户进⾏⾝份验证。web服务器主要提供什么服务
在⾝份验证界⾯中启⽤基本⾝份验证,
这样客户端在访问⽹站的时候就要输⼊⽤户名和密码了。我们先尝试⽤本地⽤户进⾏验证,在Web服务器上新建⼀个名为admin的本地⽤户。
然后在客户端测试,⽤admin⽤户可以成功访问⽹站。
下⾯再⽤⼀个域⽤户zhangsan进⾏测试,如果只输⼊zhangsan的⽤户名,是⽆法通过验证的,必须要指定zhangsan所在的域,即使⽤域⽤户账户的全名coolpen\zhangsan
我们也可以在web服务器上指定所处的域。选中基本⾝份验证,然后点击右侧的“编辑”按钮对其进⾏设置。
默认域:指定Web服务器所处的域。当⽤户连接⽹站时,如果⽤户输⼊了⼀个⽤户名zhangsan,那么服务器优先将其视为本地⽤户进⾏⾝份验证,如果发现zhangsan不是本地⽤户,则⾃动将其视为coolpen域的域⽤户,将⽤户名和密码送到此域的域控制器检查。这样设置的好处是,即使是域⽤户,也可以只输⼊⽤户名,⽽不需要输⼊全名了。
领域:此处的⽂字可供⽤户参考,它会被显⽰在登录界⾯上。
需要注意的是,“基本⾝份验证”的⽤户名和密码都是以明⽂的⽅式在⽹络中传送,因⽽安全性不⾼。如果要使⽤基本⾝份验证的话,应搭
配其他可确保数据发送安全的措施,如使⽤SSL连接等。
摘要式⾝份验证
同基本⾝份验证相⽐,摘要式⾝份验证有少许改进,它将⽤户名和密码经过MD5加密之后再到⽹络中传输,因⽽⽐基本⾝份验证要更为安全。但摘要式⾝份验证只能⽤于域环境,要求web服务器必须是域的成员服务器,⽽且⽤户必须是域⽤户账户。配置起来⽐较繁杂,⽽且实际中⽤得不多,因⽽这⾥就不予介绍。
Windows⾝份验证
Windows ⾝份验证使⽤ NTLM 或 Kerberos 协议进⾏⾝份验证,但是使⽤时有⼀定的局限性。NTLM协议⽆法通过代理服务
器,Kerberos协议⽆法通过防⽕墙,所以Windows ⾝份验证最适⽤于Intranet 环境
总结:Windows ⾝份验证和摘要式⾝份验证因为使⽤条件限制,所以运⽤很少,我们更多的是使⽤基本⾝份验证!
另外,虚拟⽬录可以像主⽹站⼀样的设置各种⾝份验证⽅式,对于⼤多数⽹站,都是将主⽹站设置为允许匿名访问,⽽将其下的某个虚拟⽬录设置要通过⾝份验证⽅可访问。
2. IP地址限制
在IIS中,还可以通过限制IP地址的⽅式来增加⽹站的安全性,不过这种⽅式只适合于向特定⽤户提供Web⽹站,或是限制⼀些特定⽤户访问。要使⽤IP地址限制功能,也必须先安装“IP和域限制”组件。
组件安装完成后,重新打开IIS管理器,会发现其中多了⼀个“IP地址和域限制”的功能组件。
打开该组件,点击右侧的“添加允许条⽬”,可以设置只允许哪些客户端访问该⽹站。可以只允许某个特定的IP地址,也可以是⼀个地址段。
需要注意的是,如果设置了允许条⽬,那除了指定的这些IP地址之外,其它的客户端访问⽹站时是将被允许还是拒绝呢?这个可以通过右侧的“编辑功能设置”来设置。
可以根据需要将未指定的客户端设为允许或拒绝访问。
拒绝访问的设置与此类似。 3. ⽹站性能调整
如果web服务器的性能⼀般,或是⽹站的访问量⽐较⼤,为避免服务器响应慢或是宕机,可以限制⽹站所占的带宽及同时连接数量。
在默认站点的主界⾯中,点击右侧“操作”⾯板中的“限制……”链接。打开编辑⽹站限制对话框,限制带宽使⽤:设置⽹站允许使⽤的最⼤带宽,单位为字节,注意不要⼤于当前⽹络带宽。连接超时默认限制为120秒,即⽤户访问web站点时,如果在120秒内没有活动则⾃动断开。限制连接数⽤于限制允许同时连接⽹站的最多⽤户数量。
4. 配置⽇志
通过⽹站⽇志,管理员可以查看跟踪⽹站被访问的情况,如哪些⽤户访问了本站点、访问者查看了什么内容,以及最后⼀次查看该信息的时间等。可以使⽤⽇志来评估内容受欢迎程度或识别信息瓶颈,有时还可以通过⽇志查出⾮授权⽤户访问⽹站以便采取应对措施。
在站点主界⾯中点击“⽇志”可以对其进⾏设置。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论