IIS配置及安全访问控制策略详解

八、在路由上做访问控制

    为了在IIS Server上提供更加安全可靠的服务，如当前IIS Server服务器向PC2和PC4提供IIS服务，而拒绝给PC1提供服务，这时候可以在路由器上做ACL访问控制表。

    实例中我们以Router2作为ACL控制路由器，登陆到Router2后，对Router2做标准的访问控制
router2#config t

Enter configuration commands, one per line.  End with CNTL/Z.
router2(config)#access-list 1 permit 192.168.1.0 0.0.0.255
router2(config)#int serial 0
router2(config-if)#ip access-group 1 in
router2(config-if)#exit
router2(config)#exit
router2#

    使用show running-config 后可看到

ip classless
access-list 1 permit 192.168.1.0 0.0.0.255
snmp-server community public RO
!

    这时从PC2(IPAdress 192.168.1.2)上访问IIS Server，服务被接受，访问正常。如果从PC1(IPAdress 192.168.2.2)上访问IIS Server，服务被觉得，无法正常访问。

    总之，IIS在Intranet中提供了很重要的信息共享服务，但是在提供IIS服务时如果只是对其进行基本设置，提供匿名访问的话可能会带来许多安全性的问题，所以需要IIS Server的访问安全性做合理的规划，如访问身份验证和IP地址及域名访问控制，其中访问控制可以在IIS Server服务器本身或者在路由器中做ACL的访问控制表进行安全访问控制。此外IIS还提供了虚拟网站和虚拟目录，虚拟网站可以将一个IIS服务器配置成多个WEB站点。