如何配置iis IIS配置网站访问权限和安全如何部署？

通常一个网站在配置IIS时，需要配置端口、域名、主目录、默认文档等。今天，边肖想告诉你的是IIS配置网站访问权限和安全部署。

默认情况下，网站的IIS配置允许所有用户匿名连接，即访问时不需要使用用户名和密码登录。但如果网站安全要求高，或者网站中的信息是保密的，就需要限制用户，匿名访问。仅允许特殊用户帐户访问它们。以下主机栏是IIS配置网站访问权限和安全性的步骤:

1.IIS配置禁用匿名访问

步骤1，在IIS管理器中，选择要设置身份验证的网站，如下图所示。

其次，在网站主页窗口中，选择认证，双击显示认证窗口。默认情况下，启用匿名身份验证，如下图所示:

第三步:右键单击匿名身份验证，并在快捷菜单中单击禁用，以禁用匿名用户访问。

2.IIS配置使用身份验证

在IIS 7.0中，还提供了基本身份验证、Windows身份验证和摘要身份验证。需要注意的是，在禁止匿名访问的情况下，一般会使用其他认证方式。但是，这些身份验证方法不会以默认安装模式安装。可以在安装过程中或安装后手动选择。

第一步:在服务器管理器窗口中，展开角色节点，选择Web Server (IIS)，点击【添加角色服务】，出现如下图所示的【选择角色服务】窗口。在安全选项区域，您可以选择要安装的身份验证方法。

步骤2:安装完成后，打开IIS管理器，然后打开身份验证窗口。已安装的身份验证方法显示在列表中，默认情况下是禁用的，如下图所示。

可以安装三种身份验证方法，区别如下。

①基本认证:此认证会被“模仿”为本地用户(即实际登录服务器的用户)，在访问Web服务器时登录。因此，如果要通过基本身份验证来确认用户身份，用于基本身份验证的Windows用户必须具有“本地登录”用户权限。默认情况下，Windows主域控制器中的用户帐户不授予“本地登录”用户权限。但是，使用基本身份验证方法会导致密码以未加密的形式在网络上传输。故意破坏系统安全的人可以在认证过程中使用协议分析器破译用户和密码。

②摘要式身份验证:此身份验证只能在有Windows域控制器的域中使用。域控制器必须有所用密码的纯文本副本，因为它必须执行哈希操作，并将结果与浏览器发送的哈希值进行比较。

③Windows身份验证:集成Windows身份验证是一种安全的身份验证形式，也需要用户输入自己的账号和密码，但是用户名和密码在通过网络发送之前会经过哈希处理，所以安全性可以得到保证。当启用Windows身份验证时，用户的浏览器通过网络服务器交换密码。Windows身份验证使用Kerberos v5身份验证和NTLM身份验证。如果活动目录服务安装在Windows域控制器上，并且用户的浏览器支持Kerberos v5身份验证协议，则使用Kerberos v5身份验证，否则使用NTLM身份验证。

Windows身份验证优先于基本身份验证，但它不会提示用户输入用户名和密码。只有在Windows身份验证失败后，浏览器才会提示用户输入用户名和密码。Windows身份验证非常安全，但是通过HTTP代理连接时不工作，所以不能在代理服务器或其他防火墙应用程序后面使用。所以Windows认证最适合企业内网环境。

例如，当Web服务器使用基本身份验证时，当客户端访问网站时，会提示如下图所示的“连接到www.zzidc.com”窗口。在“用户名”和“密码”文本框中，输入合法的用户名和密码，点击“确定”按钮打开网页。

3.配置IP地址限制，通过IIS保护网站

在IIS中，还可以通过限制IP来增加网站的安全性。通过允许或拒绝特定IP地址的访问，可以有效避免非法用户的访问。但是，这种方法仅适用于向特定用户提供网站。同样，“IP地址限制”功能需要手动安装，可以通过选中“选择角色服务”窗口中的“IP和域限制”复选框来安装。

如下设置允许访问的IP地址。

第一步，打开IIS管理器，选择要限制的网站，双击IPv4地址和域限制图标，显示如下图所示的IPv4地址和域限制窗口。

第二步:点击右侧“操作”任务栏中的“添加允许条目”链接，显示如下图所示的“添加允许限制规则”窗口。如果要添加IP地址，可以点击“特定IPv4地址”单选按钮，输入允许的IP地址；如果要添加IP地址段，可以点击“IPv4地址范围”单选按钮，输入IP地址和子网掩码。

第三步:点击确定，添加IP地址。“拒绝访问”是“允许访问”的反义词。“拒绝访问”设置将拒绝来自某个IP地址或IP地址段的计算机访问网站。但是，已被授予访问权限的计算机仍然可以访问。点击“添加拒绝条目”按钮，在打开的“添加拒绝限制规则”窗口中，添加拒绝访问的IP地址，如下图所示。操作步骤与“添加允许条目”中的相同，这里不再重复。