曲春雨短道速滑简历:IIS——Internet Information Server！Internet信息服务是什么东西，什么意思，如何应用？

IIS服务器组建一览
IIS（Internet Information Server，互联网信息服务）是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。本文将向你讲述Windows 2000高级服务器版中自带的IIS 5.0的配置和管理方法。

准备篇 IIS的添加和运行

一、IIS的添加

请进入“控制面板”，依次选“添加/删除程序→添加/删除Windows组件”，将“Internet信息服务（IIS）”前的小钩去掉（如有），重新勾选中后按提示操作即可完成IIS组件的添加。用这种方法添加的IIS组件中将包括Web、FTP、NNTP和SMTP等全部四项服务。

二、IIS的运行

当IIS添加成功之后，再进入“开始→程序→管理工具→Internet服务管理器”以打开IIS管理器，对于有“已停止”字样的服务，均在其上单击右键，选“启动”来开启。

第一篇 IIS之Web服务器

一、建立第一个Web站点

比如本机的IP地址为192.168.0.1，自己的网页放在D:\Wy目录下，网页的首页文件名为Index.htm，现在想根据这些建立好自己的Web服务器。

对于此Web站点，我们可以用现有的“默认Web站点”来做相应的修改后，就可以轻松实现。请先在“默认Web站点”上单击右键，选“属性”，以进入名为“默认Web站点属性”设置界面。

1．修改绑定的IP地址：转到“Web站点”窗口，再在“IP地址”后的下拉菜单中选择所需用到的本机IP地址“192.168.0.1”。
2．修改主目录：转到“主目录”窗口，再在“本地路径”输入（或用“浏览”按钮选择）好自己网页所在的“D:\Wy”目录。
3．添加首页文件名：转到“文档”窗口，再按“添加”按钮，根据提示在“默认文档名”后输入自己网页的首页文件名“Index.htm”。
4．添加虚拟目录：比如你的主目录在“D:\Wy”下，而你想输入“192.168.0.1/test”的格式就可调出“E:\All”中的网页文件，这里面的“test”就是虚拟目录。请在“默认Web站点”上单击右键，选“新建→虚拟目录”，依次在“别名”处输入“test”，在“目录”处输入“E:\All”后再按提示操作即可添加成功。
5．效果的测试：打开IE浏览器，在地址栏输入“192.168.0.1”之后再按回车键，此时就能够调出你自己网页的首页，则说明设置成功！

二、添加更多的Web站点

1．多个IP对应多个Web站点如果本机已绑定了多个IP地址，想利用不同的IP地址得出不同的Web页面，则只需在“默认Web站点”处单击右键，选“新建→站点”，然后根据提示在“说明”处输入任意用于说明它的内容（比如为“我的第二个Web站点”）、在“输入Web站点使用的IP地址”的下拉菜单处选中需给它绑定的IP地址即可；当建立好此Web站点之后，再按上步的方法进行相应设置。

2．一个IP地址对应多个Web站点当按上步的方法建立好所有的Web站点后，对于做虚拟主机，可以通过给各Web站点设不同的端口号来实现，比如给一个Web站点设为80，一个设为81，一个设为82……，则对于端口号是80的Web站点，访问格式仍然直接是IP地址就可以了，而对于绑定其他端口号的Web站点，访问时必须在IP地址后面加上相应的端口号，也即使用如“http://192.168.0.1:81”的格式。

很显然，改了端口号之后使用起来就麻烦些。如果你已在DNS服务器中将所有你需要的域名都已经映射到了此惟一的IP地址，则用设不同“主机头名”的方法，可以让你直接用域名来完成对不同Web站点的访问。
比如你本机只有一个IP地址为192.168.0.1，你已经建立（或设置）好了两个Web站点，一个是“默认Web站点”，一个是“我的第二个Web站点”，现在你想输入“www.enanshan.com”可直接访问前者，输入“www.popunet.com”可直接访问后者。其操作步骤如下：

请确保已先在DNS服务器中将你这两个域名都已映射到了那个IP地址上；并确保所有的Web站点的端口号均保持为80这个默认值。

再依次选“默认Web站点→右键→属性→Web站点”，单击“IP地址”右侧的“高级”按钮，在“此站点有多个标识下”双击已有的那个IP地址（或单击选中它后再按“编辑”按钮），然后在“主机头名”下输入“www.enanshan.com”再按“确定”按钮保存退出。

接着按上步同样的方法为“我的第二个Web站点”设好新的主机头名为“www.popunet.com”即可。

最后，打开你的IE浏览器，在地址栏输入不同的网址，就可以调出不同Web站点的内容了。

3．多个域名对应同个Web站点

你只需先将某个IP地址绑定到Web站点上，再在DNS服务器中，将所需域名全部映射向你的这个IP地址上，则你在浏览器中输入任何一个域名，都会直接得到所设置好的那个网站的内容。

三、对IIS服务的远程管理

1．在“管理Web站点”上单击右键，选“属性”，再进入“Web站点”窗口，选择好“IP地址”。

2．转到“目录安全性”窗口，单击“IP地址及域名限制”下的“编辑”按钮，点选中“授权访问”以能接受客户端从本机之外的地方对IIS进行管理；最后单击“确定”按钮。

3．则在任意计算机的浏览器中输入如“http://192.168.0.1:3598”（3598为其端口号）的格式后，将会出现一个密码询问窗口，输入管理员帐号名（Administrator）和相应密码之后就可登录成功，现在就可以在浏览器中对IIS进行远程管理了！在这里可以管理的范围主要包括对Web站点和FTP站点进行的新建、修改、启动、停止和删除等操作。

四、本部分常见问题解答

Q：在上文中所涉及到的网址中，有的加了“http://”，有的没加，这意味着什么呢？
A：没有加“http://”部分的网址，说明其可加可不加；而加了“http://”部分的，则说明它必不可少，对于带端口号的网址则必须加；否则可省略。

Q：对于上文中涉及到IP地址的网址，可否用比较“友好”的名称来代替呢？
A：可以！它除了能够用IIS服务器所在的计算机名来代替之外，还可在DNS服务器中新建域名和相应IP地址的映射表，就也可以用域名来进行访问了

Q：我设置好了一个Web服务器，但是当我访问网页时，却出现密码提示窗口。这是为什么？
A：访问Web站点时，出现密码提示窗口，一般来说有以下原因，请逐个去进行检查：

1．所访问的网页文件本身加了密。比如“默认Web站点”原主目录“E:\Inetpub\wwwroot”下的首页文件“iisstart.asp”访问时就需要密码。

2．没有设置允许匿名访问或作了不应该的改动,首先应确保已勾选中了“匿名访问”这一项；并且其下“编辑”中“匿名用户帐号”中“用户名”一项应为“IUSR_NODISK”（其中“NODISK”为计算机名）的格式；另外，还需要已勾选中“允许IIS控制密码”一项。

3．你的目标目录被限制了访问权限。此项仅当该目录位于NTFS格式分区中时才可能出现。请在其上单击右键，选“属性”，再进入“安全”窗口，看列表中是不是默认的允许“Everyone”组完全控制的状态，如不是，请改回。

第二篇 IIS之FTP服务器

一、建立你的FTP站点

第一个FTP站点（即“默认FTP站点”）的设置方法和更多FTP站点的建立方法请参照前文Web服务器中相关操作执行。需要注意的是，如果你要用一个IP地址对应多个不同的FTP服务器，则只能用使用不同的端口号的方法来实现，而不支持“主机头名”的作法。

对于已建立好的FTP服务器，在浏览器中访问将使用如“ftp://192.168.0.1”或是“ftp://192.168.0.1:22的格式”；除了匿名访问用户（Anonymous）外，IIS中的FTP将使用Windows 2000自带的用户库（可在“开始→程序→管理工具→计算机管理”中找到“用户”一项来进行用户库的管理）。

二、本部分常见问题解答

Q：如何修改FTP服务器登录成功或退出时的系统提示信息？
A：在相应的FTP站点上单击右键，选“属性”，再转到“消息”窗口，在“欢迎”处输入登录成功之后的欢迎信息，在“退出”处输入用户退出时的欢送信息即可。

Q：为什么我的FTP服务器建立成功之后，除了管理员（Administrator）和匿名用户（Anonymous）之外，普通用户都不能在本机上登录；可在其他计算机上却能够正常使用。这是为什么？
A：因为默认的，普通用户不具有在本机登录的权限。如果要修改，请进入“开始→程序→管理工具→本地安全策略”中选择“左边框架→本地策略→用户权利指派”，再在右边框架中双击“在本地登录”项，然后将所需的普通用户添加到它的列表中去就行了。

第三篇 IIS之SMTP服务器

如果你嫌互联网上的那些免费邮件发送邮件的速度过慢的话，你或许可以考虑用IIS来建立一个本地的SMTP服务器。不管你是直接连入互联网还是通过局域网接入，不管你是有静态的IP地址还是用动态的IP地址，都可以很轻松地建立成功

建立IIS下的SMTP服务器的方法非常简单，只需在IIS管理器中让“默认SMTP虚拟服务器”处于已启动状态就行了；此外一般不用再做其他任何设置。

如果你想要用自己的SMTP服务器发信，只需将你E-mail客户端软件设置中“发送邮件服务器（SMTP）”项中填入“localhost”，则不管你的IP地址如何变化，它都能正常工作 。

当你使用自己的这个SMTP服务器发送E-mail时，不仅有不受制于人的自由感，更有闪电般的发信速度，是个人SMTP服务器的最佳选择。

信息服务器IIS是BACKOFFICE系列产品中功能最强大、最流行的应用程序，它与整个BACKOFFICE组件一样，IIS也是围绕WINDOWS NT体系而生成的。它作为WINDOWS NT SERVER提供的一组服务而运行，允许它利用WINDOWS NT的各项软件功能。

不过，确保你数据完整性仍是一个必须认真对待的关键性安全问题。IIS凭借丰富而又强大的验证、访问控制和审核功能可以保证数据的完整性，因为它以WINDOWS NT SERVER作系统为基础。此外，它还支持安全插接层SSL，它通过对IIS和支持SSL的所有浏览器之间的对话进行加密来保证安全通信更加保密。

黑客们知道大多数WEB和FTP网站都允许匿名访问。这些网站常常错误配置，这样就存在安全漏洞。下面介绍须采取哪些措施才能保证保证IIS使你的网络和数据完全避免黑客入侵。

一、利用现有的WINDOWS NT安全性能来保护IIS

ISS通过WINDOWS NT安全模型提供安全性，也就说，安全帐户管理器数据库中定义的用户帐户和组将确定一旦用户接入IIS机器，他们能进行什么操作。你不仅要核查现有的帐户权限和许可权，并且要限制匿名访问使用的帐户权限和许可权，这非常重要。

记录IIS的所有服务程序都支持广泛的记录功能。记录功能很重要，因为它能用来监视可疑的活动，从而决定应当保留什么、应当取消什么，以便进行容量规划。

启动记录功能很容易，每项服务的事件都共同记录在同一个公用文件中。若要启动记录功能，请打开IIS MANEGER，双击你要启动其记录功能的服务器，显示PROPERTIES对话框。接着单击LOGGING标签，将弹出一个对话框。该标签的用法相当直接，你只须单击ENABLE LOGGING选项，然后你选择是记录到一个文本文件，还是记录到SQL数据库，并确定日志文件多长时间更新一次。

提示当你第一次安装服务器时，要设置为DAILY LOGGING（日志），这样你可以每天看到结果。过一段时间后，你再选择最合适的记录方式。

ADVANCED选项通过单击SERVICE PROPERTIED对话框的ADVANCED标签，IIS还支持简单过滤功能。你可使用ADVANCED OPTIONS标签来限制或允许某些IP地址对WEB服务器的访问。在弹出的ADVANCED标签中，激活By default all computer will be granted access(缺省时，所有计算机将获得访问权）你可以使用ADD钮将应当拒绝访问的某些特定的IP地址范围输入进来。

或者，如果你想强制执行严格的安全保护，你可以选择By Default all computer will be den access（缺省时，所有的计算机将被拒绝访问），然后根据应当能访问这台机器的IP地址确定主机表。这是一个功能强大而且价值较高的工具，有助于确保你网站的安全，所以不应忽视。

二、IIS Advanced安全性能与Exchange Server一样，Internet信息服务器提供Advanced安全性能，使你通信绝对安全。它们由SSL（安全插接层）2.0版和3.0版以及PCT（保密通信技术）1.0组成。SSL可对TCP/IP通信进行数据加密、服务器验证和邮件集成功能。

安全插接层安全插接层（SSL）是一个由Netscape通信公司开发的协议，并提交环球网联盟（W3C）作为保证Internet通信安全的标准。当支持SSL的一台客户机（Internet Explorer2.0和3.x和Netscape 3.x）与支持SSL的服务器连接时，在TCP/IP连接时就出现“信号交换的交接关系”来进行验证，以确定在通信中将实施哪一级安全保护。

在建立连接后，SSL接着对流经使用中的应用协议的数据进行加密和解密。所有请示和响应信息都应该加密，其中包括客户机下在请示的统一资源定位符（URL）、其它形式的数据（如你的地址或食用卡号码）、任何验证信息（用户名和口令）以及所有由服务器返回到客户机的数据。

SSL是位于应用协议（如HTTP）之下，SMTP位于连接协议TCP/IP之上。MICROSOFT INTERNET信息服务器支持超文本传输协议保密（HTTPS）访问方式。尽管SSL能提供实际不可破译的加密功能，但SSL加密传输的速度要低于非加密传输。因此，为了防止你整个WEB网站的性能下降，你可以考虑只把SSL作为虚拟的文件夹用来处理高度机密信息，如提交的包含信用卡信息的表格。

你可以在你WEB网站的根目录（\InetPub\Wwwroot是缺省值）或在一个或多个虚拟文件夹中启动SSL安全功能。一旦SSL配置好和启动后，只有支持SSL的客户机能与支持SSL的WWW公文夹进行通信交流。

在WEB服务器上启动SSL安全性能，需要进行以下几步工作：

1、使用密钥管理器来生成一个密钥对文件和一个请求文件。

2、从一个认证机构获得一个证书。

3、在你的服务器上安装新获得的证书。

4、激活WEB服务文件夹中的SSL安全功能。

对于保密和公用内容，微软公司建议你使用公开的目录。比如，c:\InetPub\Wwwroot\Secure和C:\InetPub\Wwwroot\Public。

应注意以下几点：

（1）为IIS生成一个密钥对时，在任何域中不要使用逗号，原因是逗号被解释为字段的结尾。它们会在没有警告的情况下产生无效请求。

（2）如果你拥有多台具有IIS的虚拟服务器功能的WEB服务器在安装你的证书时，要确定具体服务器的IP地址，否则系统创建的所有虚拟服务都适用同一个证书。

（3）如果你启动SSL，任何指向支持SSL的WWW文件夹中文档的URL必须使用http://，而不是在URL中的http://。使用在URL中的http://的任何链路不支持安全文件夹。

IIS的一般性安全提示你使用IIS随意向INTERNET发布信息时，要确保网络安全性。除了我们以前讲座过后IIS功能外，你还要做到以下各点：

（1）为系统分区和各项IIS服务程序生成分开的区，这样黑客无法轻易地从某项服务程序的某个漏洞对整个机器访问。

（2）对机器的所有分区使用NTFS，要保证用户权限设置正确。

（3）将IIS服务器放置于其自己的域中，并与你的帐户建立一种单向委托关系。如果黑客能得到某个有效帐户的信息，那个帐户也无法对你的用户域进行访问。

（4）为各项INTERNET服务使用单独帐户（如果你计划运行的不止是WEB服务器的话），这使得跟踪用户的活动相当容易。

（5）核查，然后再三核查为指定进行匿名访问的帐户分配的权限和许可权。需要给用户分配最小的许可权，通常这是读许可权。

（6）只在你IIS机器上存储非机密信息，并将信息放置在防火墙。这样，如果信息安全性遭到破坏，黑客仍必须穿越防火墙。

（7）在服务器上使用WINDOWS NT SERVER的TCP/IP过滤功能，只允许连接到你需要支持IIS服务的端口。比如，如果你只想运行WEB服务器只须启动端口80。

（8）如果用户利用非匿名帐户对服务器进行访问，务必通过加密口令进行验证。三、安全性与WEB服务器WEB服务器是IIS中一个强有力的功能全面的工具，它优于其他同类产品。它的性能得到优化。且作为WINDOWS NT SERVER下的一项服务运行时，能为各种规模的网络提供快速、方便、安全的WEB出版功能。

（一）如何保护WEB服务器的安全呢？如果你计划建立WEB网站，要确保你WEB网站及其内容的安全以及你网络及其资源的安全，除了我们曾经提到过的安全措施外，你还要采取其它相应的手段。

**注意**由于IIS提供的三种服务配置起来非常相似，故我们只详细介绍WEB服务器的配置，接着只说明FTP服务器和Gopher服务器的差异。

1、用户和口令验证明首先你需要了解匿名访问的严重后果，并采取预防措施来确保你为匿名访问创建的帐户拥有适当的许可权。若要设置用户对你的WEB服务器进行访问的类型，请在IIS MANAGER中双击WWW，调出你的WEB服务器再双击WEB服务器，就会显示出WWW SERVICE PROPERTIES对话框。在对话框中，你可以看到，设置WEB服务器服务程序可以使用多种选项。对于安装的大多数的IIS而言，缺省选项最好。然而，有两种关键的设置将决定用户对WEB网站的访问等级：匿名登录和口令验证。

如果你希望允许大众进行访问，一定要确保你同意匿名访问。按照缺省设置，当IIS安装好后，在你的用户数据库就会创建一个新用户帐户，其名字为IUSR_，后接已安装好的服务器名。举例说明：如果服务器名为SAMUEL-1，新用户帐户则为IUSR_SAMUE-1。当帐户创建好，它被赋予有限的访问权，并增加到域用户、客人用户和EVERYONE组中。

此外，IUSR_帐户被赋予在本地登录的权限（LOGON LOCALLY）。所有WEB用户都必须具有这种权限，原因是他们的请求被传送至WEB服务器服务程序，该服务程序利用他们的帐户去登录，接着允许WINDOWS NT分配相应的访问权。

如果你希望所有用户按照特定的用户帐户和口令得到验证，你仅仅清除Anonymous Logon（匿名登录）选项即可。那将要求各用户在访问服务器的资源前输入有效的用户ID和口令。如果你能启动启示功能，你就能查看到谁正访问WEB服务器以及他们所进行的操作。

另一项决定你网站安全性的重要设置是你想使用的口令验证类型，这里我们不再深入探讨。为了实现最大的安全性，你可以激活Windows NT Challenge/Response选项，它在传输信息前对你的用户ID和口令进行加密，从而保证帐户信息在网络安全传输。（遗憾的是只有Microsoft Internet Explorer 2.0及2.0以上版本才支持这种功能。）

2、虚拟目录为确保你网站的安全性，配置WEB服务器可以看到的目录以及相应的访问层次也是很重要的。当你第一次安装IIS时，按照缺省设置，它会自行创建一个叫做InetPub的目录（安装老版本的IIS则创建InetPub），接着为其提供的INTERNET服务生成根目录。Web服务器的根目录缺省为wwwroot，它应当是你主页所在位置。接着你可以使用Directories标签来增加存储额外内容的新目录。

3、Web服务器安全提示如果你正运行WEB服务器，尽管你已根据以前所讨论过的内容采取了预防措施，也许仍有些安全漏洞有待于你填补。以下列出当提供WEB服务时，你应当采取的一般措施：

*停用.bat和.cmd文件的映射功能。如果黑客们拿到这些Web服务器上的可执行文件的话，他们就可运行这些Web文件。你通过取消对脚本程序的所有目录的阅读许可权，就可以停用某些文件夹映射功能。

*总是将你的脚本程序和数据存储在不同的目录，务必使包含脚本程序的目录只拥有执行许可权。

*禁止使用Directory Browsing Allowed（允许目录浏览）。这一功能启动后会给出一个浏览器，该浏览器含有某个目录中的超文本文件列表，从而使黑客能篡改目录中的文件。

*避免使用Remote Virtual Directories（远程虚拟目录）。务必将IIS所有的可执行文件以及数据安装在同一台机器上，并利用NTFS来保护。当用户试图从远程目录访问文档时，总是使用输入到属性页上的用户名和口令，这就有可能绕过访问控制列表。*当编写和使用CGI脚本程序时，一定要小心。有经验的黑客也许会利用编写拙劣的CGI脚本程序来对你的系统进行访问。

*牢记特权最小的原则，如果你计划只运行Web服务器，那么请只激活Web服务器主机的端口80。

*全面测试你的Web服务器——设法发现并弥补任何漏洞。最好的方法是，让可靠而且内行的同事设法破坏你网络的安全性。

*想了解额外的情况，请上网www.ncsa.com/webcert/sgl_site.html去查看NCSA Web Site Certification Program文档，寻求使你的Web服务器安全的灵丹妙药。

四、安全性与FTP服务器FTP服务器是唯一一项允许用户通过INTERNET将文件传输至你服务器的IIS服务程序。设置FTP安全性能、用户和口令验证与WEB服务器大致相似。但是有一点值得你**注意**：用户名和口令将以明文（非加密）形式传输至FTP服务器服务程序，这意味着如果使用网络嗅探器就可以捕捉到这一信息，从而破坏网络的安全！

在你允许大众进行访问时，一定要熟悉FTP Service Properties页的Current Session钮。它告诉你哪个用户与FTP服务器相连，他们何时连接，以及他们已连接多长时间。

虚拟目录设置FTP服务器的目录与设置Web服务器服务程序十分类似，一定要保证用户不能访问FTPRoot目录之外的目录，并要正确设置FTP目录的访问许可。

FTP服务器安全提示运行FTP服务器时，为保证安全你应当了解的以下事项：

1、谨记用户可以修改FTP服务器的目录。一定要确保他们无法进入FTPRoot目录以外的目录，同时要使用NTFS来保证你服务器的安全。

2、避免使用远程虚拟目录。当用户度图从远程目录访问文档时，总是要求其提供输入到属性页的用户名和口令，这就有可能绕过访问控制表表。

3、一定要启动记录功能，查找可疑活动，如在日志和事件查看器中查找没有成功的登录4、如果你只计划运行FTP服务器，只启动FTP主机的端口20和端口21。

5、全面测试你的FTP服务器，并设法找到任何漏洞。你还可以让一个可靠的内行的同事设法打入系统。

五、安全性和Gopher服务器保护Gopher服务器与保护FTP服务程序和Web服务程序很类似，差别在于Gopher只允许匿名登录。

IIS 管理器是一个用于配置应用程序池或网站、FTP 站点、SMTP 或 NNTP 站点的图形界面。利用 IIS 管理器，您可以配置 IIS 安全、性能和可靠性功能。可添加或删除站点；启动、停止和暂停站点；备份和还原服务器配置；创建虚拟目录以改善内容管理，这里只列出几个管理功能。在早期版本的 IIS 中，该工具名为 Internet 服务管理器。

上面几位说得够清楚了，我就不说啦，如果你不做动态网页的话，这个就不要安装了吧