IIS访问权限与安全教程:禁用匿名访问、身份验证及IP限制

技术教程 11评选
文章目录

管理IIS服务器时,网站的访问权限和安全配置特别关键——默认情况下IIS允许所有用户匿名访问,虽然方便,但如果网站有敏感信息(比如企业内部数据、机密文档),就必须限制访问。今天就详细讲IIS里三个核心安全配置:禁用匿名访问、配置身份验证、设置IP限制,跟着步骤操作,能大幅提升网站安全性。

一、IIS禁用匿名访问:阻止未授权用户直接进入

默认状态下,任何人都能匿名访问IIS网站,不用输账号密码。如果要限制这种情况,按下面三步就能禁用匿名访问:

  1. 第一步:打开IIS管理器,选中目标网站

    从Windows开始菜单找到“Internet Information Services (IIS) 管理器”并打开,在左侧“连接”面板里,展开服务器名称,找到你要设置的Web站点(比如“Default Web Site”或自己创建的站点),点击选中它。

  2. 第二步:进入“身份验证”配置界面

    选中站点后,在右侧“主页”窗口里,找到“身份验证”图标(通常在“安全性”分类下),双击打开“身份验证”配置窗口。默认情况下,“匿名身份验证”这一项是“启用”状态,这就是允许所有人访问的原因。

  3. 第三步:禁用“匿名身份验证”

    在“身份验证”窗口里,右键点击“匿名身份验证”,从弹出的快捷菜单里选择“禁用”。禁用后,这项会显示“已禁用”,此时再访问网站,就不会让匿名用户直接进入了。

注意:禁用匿名访问后,必须搭配下面的“身份验证”配置,否则所有用户都进不去网站,相当于把网站“锁死”了。

二、IIS配置身份验证:只让授权用户访问(3种方式任选)

禁用匿名访问后,需要开启身份验证——IIS 7.0及以上提供了3种常用验证方式,但默认都没安装,得先手动装,再根据需求启用。

1. 第一步:安装身份验证服务(默认未安装)

先把需要的身份验证方式装到服务器上,步骤如下:

  1. 打开“服务器管理器”(从开始菜单找,或右键“此电脑”选“管理”);

  2. 左侧展开“角色”节点,选中“Web 服务器(IIS)”;

  3. 右侧点击“添加角色服务”,弹出“选择角色服务”窗口;

  4. 在“安全性”分类下,勾选你需要的身份验证方式(比如“基本身份验证”“Windows 身份验证”“摘要式身份验证”);

  5. 点击“下一步”,按提示完成安装,安装后重启IIS管理器生效。

2. 3种身份验证方式:区别与适用场景(选对很重要)

安装后,在IIS的“身份验证”窗口里能看到这3种方式,默认都是禁用的。先搞懂它们的区别,再选适合自己的:

验证方式密码传输安全性适用环境关键注意事项
基本身份验证未加密(明文传输),有被截取风险对安全性要求不高的内部场景(比如小型团队内部网站)需要用户有服务器的“本地登录”权限;不建议在公网使用,容易泄露密码
Windows 身份验证加密传输(用Kerberos或NTLM哈希处理),安全性高企业内网环境(比如公司内部OA、数据查询系统)不支持代理服务器/防火墙后的访问;用户不用手动输账号密码(浏览器自动适配),只有验证失败才会提示输入
摘要式身份验证加密传输(哈希对比)有Windows域控制器的域环境(比如大型企业域内网站)必须依赖域控制器(需要域控制器存储密码纯文本复件);非域环境用不了

3. 启用身份验证:按需求开启对应方式

选好验证方式后,在IIS“身份验证”窗口里启用即可:

  • 右键点击你要启用的验证方式(比如“Windows 身份验证”);

  • 选择“启用”,启用后这项会显示“已启用”;

  • 此时访问网站,会触发对应的验证流程——比如用基本验证会弹出“连接到xxx”的窗口,让用户输服务器的合法账号密码;用Windows验证则会自动用当前Windows登录账号验证。

三、IIS配置IP地址限制:只让特定IP访问,阻止非法IP

除了身份验证,还能通过“IP地址限制”控制访问——只允许指定IP/IP段访问,或拒绝特定IP/IP段,适合网站只对固定用户开放的场景(比如给客户的专属查询网站)。

1. 第一步:安装“IP和域限制”服务(默认未安装)

和安装身份验证类似,先装对应的角色服务:

  1. 打开“服务器管理器”→“Web 服务器(IIS)”→“添加角色服务”;

  2. 在“安全性”分类下,勾选“IP和域限制”;

  3. 点击“下一步”完成安装,重启IIS管理器。

2. 第二步:添加“允许访问”规则:指定可访问的IP/IP段

比如只想让公司的IP(假设是192.168.1.100)访问网站,按下面步骤设置:

  1. 在IIS管理器里选中目标网站,双击“IPv4 地址和域限制”图标;

  2. 右侧“操作”面板里,点击“添加允许条目”,弹出“添加允许限制规则”窗口;

  3. 如果是单个IP:点选“特定 IPv4 地址”,输入IP(比如192.168.1.100);

  4. 如果是IP段(比如192.168.1.0/24):点选“IPv4 地址范围”,输入“起始IP”(192.168.1.0)和“子网掩码”(255.255.255.0);

  5. 点击“确定”,这条允许规则就生效了——只有这个IP/IP段的设备能访问网站。

3. 第三步:添加“拒绝访问”规则:阻止特定IP/IP段

如果发现有非法IP频繁尝试访问,可添加拒绝规则:

  1. 在“IPv4 地址和域限制”窗口的“操作”面板里,点击“添加拒绝条目”;

  2. 和添加允许规则一样,选“特定 IPv4 地址”或“IPv4 地址范围”,输入要拒绝的IP(比如203.0.113.5);

  3. 点击“确定”,这个IP/IP段的设备就无法访问网站了——但之前添加的“允许IP”不受影响。

四、关键注意事项:避免配置出错导致网站无法访问

  • 禁用匿名访问后必须启用身份验证:两者要配合用,不然所有用户都进不去;

  • 公网网站慎选基本身份验证:因为密码明文传输,建议用HTTPS配合基本验证,或直接用Windows验证(仅限内网);

  • IP限制要准确填子网掩码:比如要拒绝192.168.1.0到192.168.1.255的IP段,子网掩码必须填255.255.255.0,填错会导致规则无效;

  • 配置后测试访问:用不同设备(允许的IP、拒绝的IP、未授权账号)测试,确认规则生效,避免漏配置。

总结:根据安全需求组合配置

11评选觉得,IIS的这三个安全配置要根据网站场景组合用:比如企业内网OA,适合“禁用匿名访问+Windows身份验证+IP限制”(双重保障);公网小型网站,适合“禁用匿名访问+基本验证(配HTTPS)”;给固定客户的专属网站,适合“禁用匿名访问+IP限制”。

配置时一步步来,每步做完测试一下,就能确保网站既安全,又不会因为配置不当影响正常用户访问。如果遇到规则不生效,可检查IIS服务是否重启,或角色服务是否安装成功,大部分问题都能通过这两点解决。