Web服务器的配置与管理(2) 虚拟主机技术

在上篇博文中,我们已经利用IIS搭建好了一台Web服务器,并可以成功访问IIS中自带的默认站点,那么我们是否可以在这台服务器中再创建另外一个Web站点?也就是说,在一台Web服务器中是否可以同时存在多个网站呢? 答案当然是肯定的,其实很多中小企业的网站都是从网上租用的空间,提供空间租用的Web服务器里就同时存在了很多个网站。 但是当多个网站同时存在于一台服务器里时,就必须得有一种方法能够将它们区分开,这种方法也就是虚拟主机技术。 有三种方法可以实现虚拟主机技术:

  • 利用不同的IP地址
  • 利用不同的端口号
  • 利用不同的主机名(域名)

也就是说,只要让不同的网站在IP地址、端口号、主机名这三项中有一项是不相同的,那么这些网站就可以共存了。 下面分别来介绍这三种虚拟主机技术。 1. 使用不同IP地址架设多个网站 这种方法是为每个网站设置一个不同的IP,要采用这种方式首先需要Web服务器安装有多块网卡,每块网卡使用不同的IP。如果web服务器中只有一块网卡,那么也可以给这一块网卡绑定多个IP地址。打开本地连接,在TCP/IP属性的“高级”设置中,为服务器再添加一个IP地址192.168.0.15,如下图所示。

下面我们在【IIS管理器】中再新建一个Web站点。 在IIS管理器中选择“网站”,然后在右侧的“操作”面板中选择“添加网站”。 “网站名称”可以随意设置,这里用ytvc。 “物理路径”也就是网站的主目录,这里设置为c:\ytvc。 网站的协议类型仍为http,IP地址使用192.168.1.15,端口号80。

网站创建好之后,在其主目录中也存放一个名为Default.htm的网页文件,这样在客户端输入不同的IP地址便可以访问相应的网站。

这种方式在实际应用中很少采用,因为如果服务器使用的是公网IP,那么公网IP地址是非常宝贵的资源,而这种方式无疑是要浪费大量的IP地址。

2. 使用不同TCP端口架设多个网站

这种方法是让每个网站仍然使用相同的IP地址,但给不同的网站分配不同的端口号。如默认网站仍然使用默认的80端口,ytvc网站则将端口改为8000。
首先将刚才在本地连接中添加的第二个IP删掉,然后在【IIS管理器】中选中ytvc网站,点击右侧“操作”面板中的“绑定”链接,将IP仍然设为192.168.1.5,将端口设置为8000。

这样客户端在访问默认网站的时候,仍然可以通过URL“http://192.168.1.5”的形式访问,而如果要访问ytvc网站,则端口号就不能省略,必须要使用“http://192.168.1.5:8000”形式的URL。 但这时客户端无法访问ytvc网站,这是因为web服务器上的防火墙将发往TCP8000端口的数据自动过滤掉了,可以暂时关闭防火墙进行测试,或是在防火墙中增加一条入站规则。 打开防火墙的高级设置,新建一条入站规则,要创建的规则类型选择“端口”。

指定规则应用于TCP 8000端口。

对满足条件的操作允许连接。

在所有的网络上全部应用该规则。

为规则随意起一个名称。

入站规则创建好之后,在客户端就可以用8000端口正常访问ytvc网站了。 采用这种方式,客户端在访问网站时必须要在网址后面加上相应的端口号,而用户是不可能去记住每个网站的端口号的,所以这种方式在实践中也很少采用。

3. 使用不同主机头名架设多个网站
主机头名实际上就是每个网站的网址,也就是它的FQDN名,所以要利用该方法首先需要在DNS服务器中添加相应的区域和主机记录。下面在DNS服务器里创建一个名为ytvc.com.cn的区域,然后在其中添加一条名为“www”的主机记录,对应的IP地址是192.168.1.5。(如果没有DNS服务器,也可以通过修改客户机的hosts文件进行域名解析。)
然后我们为ytvc网站设置主机名www.ytvc.com.cn,并将其端口号该回80。

然后再将默认网站的主机名设置为www.coolpen.net。

这样客户端就可以通过输入不同的网址以访问不同的网站,这也是实际中最经常采用也是最为推荐的一种方式,但采用这种方式就无法通过IP地址来访问相应的网站了(实际中的很多网站都是可以用网址访问,但无法用IP地址访问。)

【转载】http://www.it165.net/admin/html/201304/1012.html

Web服务器的配置与管理(3) 配置虚拟目录

一个网站中的所有网页和相关文件都要存放在主目录下,为了对文件进行归类整理,也可以在主目录下面建立子文件夹,分别存放不同内容的文件,例如一个网站中,新闻类的网页放在主目录的news文件夹,技术类的网页文件放在主目录的tech文件夹,产品类的网页文件放在products文件夹等,这些直接存放在主目录下的子文件夹都称为物理目录。 下面我们在默认站点的主目录下创建一个名为news的子目录,并在其中放置2个网页文件。

在客户端访问时,如果输入URL “http://www.coolpen.net/news”,那么就是打开news子目录中的默认首页,如果输入URL  “http://www.coolpen.net/news/news.htm”,那么就是打开news子目录中指定的网页。 并非所有的子目录都要在物理上直接位于主目录中,如我们也可以“C:\tech”设置为默认站点的子目录,这种在逻辑上归属于某个网站之下的子目录就称为虚拟目录。虚拟目录是主网站的下一级目录,并且要依附于主网站,但它的物理位置不在主目录下。 下面我们先创建“C:\tech”文件夹,然后将其设置为默认站点的虚拟目录。 打开【IIS管理器】,在默认站点上右键单击,选择“添加虚拟目录”。

虚拟目录的别名这里就用tech,然后输入其物理路径。

在C:\tech文件夹中放置一些测试网页,然后在客户端可以像访问物理目录一样的去访问它们。  我们还可以将位于另外一台服务器上的共享文件夹设置为Web站点的虚拟目录,这也是虚拟目录技术的最大优势所在。 下面我们将位于文件服务器FS上共享文件夹fs设置为默认站点的虚拟目录。 注意,在指定虚拟目录的路径时必须要使用UNC路径。

由于这个虚拟目录是位于网络上的共享文件夹,所以必须要传递身份验证,也就是要指定以哪个用户的身份去访问。点击“连接为”,然后输入域管理员账户和密码。

这样在客户端就可以正常访问了。  最后总结一下:

 

【转载】http://www.it165.net/admin/html/201304/1011.html

Web服务器的配置与管理(4) 配置访问权限和安全

1. 用户身份验证

IIS网站默认是允许所有用户连接,如果对网站的安全性要求较高,网站只针对特定用户开放,就需要对用户进行验证,进行验证的主要方法有:
•   匿名身份验证
•   基本身份验证
•   摘要式身份验证
•   Windows身份验证
系统默认只启用了匿名身份验证,由于2008R2中的IIS采用了模块化设计,默认只会安装少数功能与组件,所以要设置使用其他的身份验证方法,首先就需要安装相应的功能组件。
在【服务器管理器】中选择“添加角色服务”。

在“安全性”中勾选要安装的3种身份验证方法。

这4种身份验证方法的优先级为:

匿名身份验证>windows身份验证>摘要式身份验证>基本身份验证
也就是说,如果同时开启匿名身份验证和基本身份验证,那么客户端就会优先利用匿名身份验证,而基本身份验证则无效!所以如果要使用户必须验证身份后才能访问,首先必须禁用匿名访问功能,然后再设置身份验证方式。如果不禁用匿名访问功能,即使设置了身份验证方式也不会生效。 www.it165.net
在web站点的主窗口中打开“身份验证”,默认情况下,“匿名身份验证”为“已启用”状态,点击右侧“操作”菜单中的“禁用”命令,将其禁用。这样当用户再次访问时就必须使用用户名登录。

基本身份验证

基本身份验证是使用web服务器的本地用户进行身份验证,如果web服务器属于域的成员服务器,那也还可以使用域用户进行身份验证。
在身份验证界面中启用基本身份验证,

这样客户端在访问网站的时候就要输入用户名和密码了。我们先尝试用本地用户进行验证,在Web服务器上新建一个名为admin的本地用户。

然后在客户端测试,用admin用户可以成功访问网站。

下面再用一个域用户zhangsan进行测试,如果只输入zhangsan的用户名,是无法通过验证的,必须要指定zhangsan所在的域,即使用域用户账户的全名coolpen\zhangsan

我们也可以在web服务器上指定所处的域。选中基本身份验证,然后点击右侧的“编辑”按钮对其进行设置。

默认域:指定Web服务器所处的域。当用户连接网站时,如果用户输入了一个用户名zhangsan,那么服务器优先将其视为本地用户进行身份验证,如果发现zhangsan不是本地用户,则自动将其视为coolpen.net域的域用户,将用户名和密码送到此域的域控制器检查。这样设置的好处是,即使是域用户,也可以只输入用户名,而不需要输入全名了。

领域:此处的文字可供用户参考,它会被显示在登录界面上。
需要注意的是,“基本身份验证”的用户名和密码都是以明文的方式在网络中传送,因而安全性不高。如果要使用基本身份验证的话,应搭配其他可确保数据发送安全的措施,如使用SSL连接等。

摘要式身份验证

同基本身份验证相比,摘要式身份验证有少许改进,它将用户名和密码经过MD5加密之后再到网络中传输,因而比基本身份验证要更为安全。但摘要式身份验证只能用于域环境,要求web服务器必须是域的成员服务器,而且用户必须是域用户账户。配置起来比较繁杂,而且实际中用得不多,因而这里就不予介绍。
 
Windows身份验证
Windows 身份验证使用 NTLM 或 Kerberos 协议进行身份验证,但是使用时有一定的局限性。NTLM协议无法通过代理服务器,Kerberos协议无法通过防火墙,所以Windows 身份验证最适用于Intranet 环境
 
总结:Windows 身份验证和摘要式身份验证因为使用条件限制,所以运用很少,我们更多的是使用基本身份验证!
另外,虚拟目录可以像主网站一样的设置各种身份验证方式,对于大多数网站,都是将主网站设置为允许匿名访问,而将其下的某个虚拟目录设置要通过身份验证方可访问。

2. IP地址限制

在IIS中,还可以通过限制IP地址的方式来增加网站的安全性,不过这种方式只适合于向特定用户提供Web网站,或是限制一些特定用户访问。要使用IP地址限制功能,也必须先安装“IP和域限制”组件。

组件安装完成后,重新打开IIS管理器,会发现其中多了一个“IP地址和域限制”的功能组件。

打开该组件,点击右侧的“添加允许条目”,可以设置只允许哪些客户端访问该网站。可以只允许某个特定的IP地址,也可以是一个地址段。

需要注意的是,如果设置了允许条目,那除了指定的这些IP地址之外,其它的客户端访问网站时是将被允许还是拒绝呢?这个可以通过右侧的“编辑功能设置”来设置。

可以根据需要将未指定的客户端设为允许或拒绝访问。

拒绝访问的设置与此类似。 3. 网站性能调整

如果web服务器的性能一般,或是网站的访问量比较大,为避免服务器响应慢或是宕机,可以限制网站所占的带宽及同时连接数量。
在默认站点的主界面中,点击右侧“操作”面板中的“限制……”链接。打开编辑网站限制对话框,限制带宽使用:设置网站允许使用的最大带宽,单位为字节,注意不要大于当前网络带宽。连接超时默认限制为120秒,即用户访问web站点时,如果在120秒内没有活动则自动断开。限制连接数用于限制允许同时连接网站的最多用户数量。

4. 配置日志

通过网站日志,管理员可以查看跟踪网站被访问的情况,如哪些用户访问了本站点、访问者查看了什么内容,以及最后一次查看该信息的时间等。可以使用日志来评估内容受欢迎程度或识别信息瓶颈,有时还可以通过日志查出非授权用户访问网站以便采取应对措施。
在站点主界面中点击“日志”可以对其进行设置。

【转载】http://www.it165.net/admin/html/201304/1013.html

最新文章

  1. JS-自制提速小工具:开发页面时需要按比例计算宽高值的快速计算器
  2. jquery修改带!important的css样式
  3. c语言文法简化版文法
  4. C# 索引器使用总结
  5. [转]从JVM角度看线程安全与垃圾收集
  6. 使用Let’s Encrypt轻松配置https站点
  7. (转)在Mac下使用OpenCV, 在Xcode下使用OpenCV (非常基础,详细)
  8. Java关键字transient和volatile
  9. 哈工大数据库系统 实验:练习并熟练掌握交互式 SQL 语言
  10. Cesium原理篇:3D Tiles(2)数据结构
  11. Codefoces 723B Text Document Analysis
  12. Hash算法总结(转)
  13. date命令使用文档.txt
  14. Alpha冲刺(11/10)
  15. 微信小程序 微信支付
  16. 4. 什么是应用服务器? - JavaEE基础系列
  17. 公有云厂商DDoS防护产品竞品分析——内含CC的一些简单分析,貌似多是基于规则,CC策略细粒度ip/url//ua/refer
  18. bootstrap的使用2
  19. CodeForces 348C Subset Sums(分块)(nsqrtn)
  20. NoSQL数据库介绍(4)

热门文章

  1. RedHat6.5升级内核
  2. 单机版solr的搭建
  3. leetcode中的sql
  4. redis的过期策略
  5. Java基础三(2020.1.15)
  6. 个人训练记录(UPD 9.16)
  7. Rnotebook中用python画图
  8. linux下别名的设定
  9. Oracle数据库添加删除主外键
  10. 2017-2018 ACM-ICPC Northern Eurasia (Northeastern European Regional) Contest (NEERC 17)