IIs5.0建站点–〉第三章 WWW服务高级配置

多web站点配置 在一台计算机上实现多个web站点的方式称为虚拟服务器。尤其对于多个小型站点，虚拟服务器可以极大的节省硬件成本，如右图。 我们知道，域名是区分站点的唯一性标记，站点的数量是与域名数相等的；同时，一个域名往往是与一个ip地址唯一对应的。这样，看上去服务器应该拥有的ip地址数应该与虚拟服务器的数量相同。这种虚拟服务器的实现方法就是在上一章中提到的方式。 显然，由于ip地址资源的缺稀性，我们往往需要借助于其他手段利用同一ip地址实现多个站点，这里我们介绍的两种方法是端口号方法和主机头方法。

更改端口号方式
tcp端口号是客户机浏览器与web服务器之间的信息通道，tcp端口号可以多达四位数。每种网络服务都需要在服务器端指定一个tcp端口号，客户机只有指定了同一端口号之后才能与服务器建立通信联系。那么，为什么我们通常浏览web网站时不必输入端口号呢，这是因为普通的internet服务拥有固定的缺省端口号，例如www服务的缺省端口号为80，ftp服务的缺省端口号为21。当我们在浏览器中输入站点地址时，即使不指定80位端口号，浏览器仍然自动的以tcp端口80与服务器进行通信。
端口号与ip地址同样是用于区分站点的唯一性标识，这样，即使两个站点拥有同样的ip地址，但只要给它们指定不同的tcp端口号就可以将它们区分开来。但是，一旦将端口号从默认的80更改为其他数值，客户浏览器并不能直接以更改过的端口打开网页，客户必须手工指定它tcp端口号，就是在浏览器地址栏中输入域名之后加上":"和端口号数值。例如，在同一台服务器上有两个网站www.site1.com和www.site2.com，它们共用一个ip地址168.192.3.15，我们配制www.site1.com使用默认端口号80，而www.site2.com的端口号为8088，那么我们在浏览器地址栏中输入地址168.192.3.15得到的是site1，要想访问site2就要输入168.192.3.15:8088。

指定站点端口号的方法并不复杂： 1．打开iis管理环境，右击管理控制树中的站点节点，单击【属性】。 2．打开www属性表单，可见如左图的【web站点】选项卡。 3．在【tcp端口】栏中更改tcp端口号。 以端口号方式使站点共用ip地址的方法并不方便，除了要用户记住端口号数字之外，这样的做法也不太符合网络礼仪，所以很难用于正规的商业性网站。但是在一些内部网站，尤其是不希望普通用户访问的安全性网站中，通过更改默认端口号可以提高网站安全性。

主机标头方式 主机标头（host header）是除了ip地址和tcp端口号之外的第三个用于区分站点的唯一性标识。这样，对于两个共用同一个ip地址且都采用默认tcp端口号80的站点，只要为它们指定不同的主机标头，就可以唯一的在网络中将它们区分开。 主机标头这种技术是在http 1.1标准中定义的，因此，对于在iis中使用主机标头进行配制的站点，客户浏览器必须支持http 1.1标准才能进行浏览。高于3.0版本的ie和高于2.0版本的netscape浏览器支持http 1.1标准。 为站点添加主机标头的方法如下： 1．在www属性表单的【web站点】选项卡中单击【ip地址】栏右侧的【高级】。 2．如右图，在【高级多web站点配置】对话框中，选择列表中的标识项，单击【删除】。 3．单击【添加】，打开【高级web站点标识】对话框，如右图所示。 4．在【ip地址】下拉列表框中选择ip地址。 5．指定【tcp端口】栏中的值为默认端口号80。 6．在【主机头名】栏中输入主机标头名称，尽量不要包含空格或其他不兼容字符。 7．单击【确定】返回。 8．再次单击【确定】完成。 　　上述设置中，可以指定多个站点拥有同一ip地址、tcp端口号，只要保持它们的主机标头各不相同即可。随后，应在dns服务器中将这些主机头名统统映射到它们共同的ip地址上。在客户浏览器中输入主机头名即可访问相应站点。

笼统的说，站点安全性工作将围绕如下两个任务进行：合法用户身份的认证和站点文件的安全保障。前者需要借助于windows 2000的账号系统和认证机制；后者则要由iis和ntfs分区共同维护。 右图就是一个身份验证的例子，含有敏感数据的内部网站往往不允许匿名访问，当客户企图连接网页时回收到类似右图的网络密码对话框，用于客户验证。

理解windows 2000用户账号和组 在系统讲述iis安全机制之前，有必要先对windows 2000的用户账号概念以及账号验证机制进行简单介绍，这些正是iis安全性配制的基础。 账号是在windows 2000网络中区分用户的唯一性标识，账号与实际用户是对应的。在windows 2000网络环境中，为计算机用户分配各自不相同的账号，通过对账号指定访问权限可以限制用户对资源的访问程度。在安装windows 2000时，系统自动生成管理员账号administrator，管理员具有对计算机的全部属性进行配制的能力。 windows 2000中添加账号的工作是在计算机管理器中完成的，具体方法如下: 1．单击【开始】、【程序】、【管理工具】、【计算机管理】，打开如右图所示的计算机管理器。 2．展开左侧管理控制树中的【本地用户和组】节点，选择【用户】。 3．单击【操作】菜单，选择【新用户】，打开【新用户】对话框，如右图。 4．添加用户名、全名、描述等信息并设定密码。 5．单击【创建】。 6．单击【关闭】返回。 7．此时，新用户账号出现在计算机管理器的用户列表中。 8．双击列表中的用户账号可以打开账号属性对话框详细配制账号属性。

账号代表着网络中的个体，对应着现实中的网络用户，通过将资源的访问权限赋予账号，可以使用户能够或者不能访问特定的资源（下一小节详述）。账号本身的安全性由密码进行保护，在网络中，账号通常是公开的，而密码则必须保密，且有必要通过定期更改密码、密码锁定等策略强化账号安全。     当账号数目随着网络用户的增多而变得越来越多时，逐一给每一账号设置资源访问权限的工作量显然是巨大的。为了简化权限分配的任务，我们引入了组的概念。组是账号的逻辑集合，我们建立一个组，然后将一些账号加入组中，通过将资源访问权限分配给组，组中的账号也就自动的继承了这些权限，从而简化了权限分配的工作量。左图是计算机管理器中的组列表。

账号和组是多对多的关系，一个组可以包含多个账号，一个账号可以同时属于多个组。一旦一个账号通过多个组继承了多种不同的权限，通常是限制最少的权限实际起作用。除了一个特例："禁止访问"权限覆盖其他一切权限，也就是说，一旦一个账号直接或者通过某个组继承了"禁止访问"权限，那么即使它还拥有或继承了其他权限，哪怕是最高权限（完全控制），则该账号仍然不对该资源具有如何权限。 记住，组仅是账号的逻辑组合，并不实际的与账号构成包含关系，所以，删除了一个组并不意味着同时删除了它所包含的账号，只不过这些账号通过这个组所继承的资源访问权限不再有效而已。 创建组的步骤与创建账号类似，不再详述。双击计算机管理器中的组列表成员时，可以打开如左图所示的组属性对话框，从中可以编辑组成员。单击【添加】，从【选择用户或组】对话框中指定组的成员，然后单击【确定】返回。