IIS是Microsoft公司提供的Web服务器软件，主要提供Web服务。IIS的访问控制主要包括请求..

网络设备的访问可以分为带外（out-of-band）访问和带内（in-band）访问。带外（out-of-band）访问不依赖其他网络，而带内（in-band）访问则要求提供网络支持。网络设备的访问方法主要有控制端口（Console Port）、辅助端口（AUX Port）、VTY、HTTP、TFTP、SNMP。Console、AUX和VTY称为line。每种访问方法都有不同的特征。Console Port属于默认设置访问，要求物理上访问网络设备。AUX Port提供带外访问，可通过终端服务器或调制解调器Modem连接到网络设备，管理员可远程访问。VTY提供终端模式通过网络访问网络设备，通常协议是Telnet或SSH2。VTY的数量一般设置为5个，编号是从0到4。网络设备也支持使用HTTP协议进行Web访问。网络设备使用TFTP（Trivial File Transfer Protocol）上传配置文件。SNMP提供读或读写访问几乎所有的网络设备。

CON端口访问

为了进一步严格控制CON端口的访问，限制特定的主机才能访问路由器，可做如下配置，其指定X.Y.Z.1可以访问路由器：

VTY访问控制

为保护VTY的访问安全，网络设备配置可以指定固定的IP地址才能访问，并且增加时间约束。例如，X.Y.Z.12、X.Y.Z.5可以通过VTY访问路由器，则可以配置如下：

超时限制配置如下：

HTTP访问控制

限制指定IP地址可以访问网络设备。例如，只允许X.Y.Z.15路由器，则可配置如下：

除此之外，强化HTTP认证配置信息如下：

其中，type可以设为enable、local、tacacs或aaa。

SNMP访问控制

为避免攻击者利用Read-only SNMP或Read/Write SNMP对网络设备进行危害操作，网络设备提供了SNMP访问安全控制措施，具体如下：

一是SNMP访问认证。当通过SNMP访问网络设备时，网络设备要求访问者提供社区字符串（community strings）认证，类似口令密码。如下所示，路由器设置SNMP访问社区字符串。

（1）设置只读SNMP访问模式的社区字符串。

（2）设置读／写SNMP访问模式的社区字符串。

二是限制SNMP访问的IP地址。如下所示，只有X.Y.Z.8和X.Y.Z.7的IP地址对路由器进行SNMP只读访问。

三是关闭SNMP访问。如下所示，网络设备配置no snmp-server community命令关闭SNMP访问。

设置管理专网

远程访问路由器一般是通过路由器自身提供的网络服务来实现的，例如Telnet、SNMP、Web服务或拨号服务。虽然远程访问路由器有利于网络管理，但是在远程访问的过程中，远程通信时的信息是明文，因而，攻击者能够监听到远程访问路由器的信息，如路由器的口令。为增强远程访问的安全性，应建立一个专用的网络用于管理设备，如下图所示。

建立专用的网络用于管理路由器示意图

同时，网络设备配置支持SSH访问，并且指定管理机器的IP地址才可以访问网络设备，从而降低网络设备的管理风险，具体方法如下：

（1）将管理主机和路由器之间的全部通信进行加密，使用SSH替换Telnet。

（2）在路由器设置包过滤规则，只允许管理主机远程访问路由器。例如以下路由器配置可以做到：只允许IP地址是X.Y.Z.6的主机有权访问路由器的Telnet服务。

特权分级

针对交换机、路由器潜在的操作安全风险，交换机、路由器提供权限分级机制，每种权限级别对应不同的操作能力。在Cisco网络设备中，将权限分为0～15共16个等级，0为最低等级，15为最高等级。等级越高，操作权限就越多，具体配置如下：

IIS

Microsoft的Web服务器产品为Internet Information Services（IIS），IIS是允许在公共Intranet或Irternet上发布信息的Web服务器，是目前最流行的Web服务器产品之一。ⅡS提供了一个图形界面的管理工具，称为Internet服务管理器，可用于监视配置和控制Internet服务。

IIS是一种Web服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络上发布信息成为一件很容易的事。IIS提供ISAPI（Intranet Server API）作为扩展Web服务器功能的编程接口；同时，它还提供一个Internet数据库连接器，可以实现对数据库的查询和更新。

IP地址

Internet地址是按名字来描述的，这种地址表示方式易于理解和记忆。实际上，Internet中的主机地址是用IP地址来唯一标识的。这是因为Internet中所使用的网络协议是TCP/IP协议，故每个主机必须用IP地址来标识。

每个IP地址都由4个小于256的数字组成，数字之间用“.”分开。Internet的IP地址共有32位，4个字节。它表示时有两种格式：二进制格式和十进制格式。二进制格式是计算机所认识的格式，十进制格式是由二进制格式“翻译”过去的，主要是为了便于使用和掌握。例如，十进制IP地址129.102.4.11的表示方法与二进制的表示方法10000001011001100000010000001011相同，显然表示成带点的十进制格式则方便得多。

域名和IP地址是一一对应的，域名易于记忆，便于使用，因此得到比较普遍的使用。当用户和Internet上的某台计算机交换信息时，只需要使用域名，网络则会自动地将其转换成IP地址，找到该台计算机。

Internet中的地址可分为5类：A类、B类、C类、D类和E类。各类的地址分配方案如下图所示。在IP地址中，全0代表的是网络，全1代表的是广播。

各类地址分配方案

A类网络地址占有1个字节（8位），定义最高位为0来标识此类地址，余下7位为真正的网络地址，支持1~126个网络。后面的3个字节（24位）为主机地址，共提供2²⁴-2个端点的寻址。A类网络地址第一个字节的十进制值为000~127。

B类网络地址占有2个字节，使用最高两位为10来标识此类地址，其余14位为真正的网络地址，主机地址占后面的2个字节（16位），所以B类全部的地址有（2¹⁴-2）×（2¹⁶-2）=16 382×65 534个。B类网络地址第一个字节的十进制值为128~191。

C类网络地址占有3个字节，它是最通用的Internet地址。使用最高三位为110来标识此类地址，其余21位为真正的网络地址，因此C类地址支持2²¹-2个网络。主机地址占最后1个字节，每个网络可多达2⁸-2个主机。C类网络地址第一个字节的十进制值为192~223。

D类地址是相当新的。它的识别头是1110，用于组播，例如用于路由器修改。D类网络地址第一个字节的十进制值为224~239。

E类地址为实验保留，其识别头是1111。E类网络地址第一个字节的十进制值为240~255。

网络软件和路由器使用子网掩码（Subnet Mask）来识别报文是仅存放在网络内部还是被路由转发到其他地方。在一个字段内，1的出现表明一个字段包含所有或部分网络地址，0表明主机地址位置。例如，最常用的C类地址使用前三个8位来识别网络，最后一个8位识别主机。因此，子网掩码是255.255.255.0。

子网地址掩码是相对特别的IP地址而言的，如果脱离了IP地址就毫无意义。它的出现一般是跟着一个特定的IP地址，用来为计算这个IP地址中的网络号部分和主机号部分提供依据。换句话说，就是在写一个IP地址后，再指明哪些是网络号部分，哪些是主机号部分。子网掩码的格式与IP地址相同，所有对应网络号的部分用1填上，所有对应主机号的部分用0填上。

A类、B类、C类IP地址类默认的子网掩码如下表所示。

带点十进制符号表示的默认子网掩码

如果需要将网络进行子网划分，此时子网掩码可能不同于以上默认的子网掩码。例如，138.96.58.0是一个8位子网化的B类网络ID。基于B类的主机ID的8位被用来表示子网化的网络，对于网络138.96.39.0，其子网掩码应为255.255.255.0。

例如，一个B类地址172.16.3.4，为了直观地告诉大家前16位是网络号，后16位是主机号，就可以附上子网掩码255.255.0.0（11111111111111110000000000000000）。

假定某单位申请的B类地址为179.143.XXX.XXX。如果希望把它划分为14（至少占二进制的4位）个虚拟的网络，则需要占4位主机位，子网使用掩码为255.255.240.0~255.255.255.0来建立子网。每个LAN可有2¹²-2个主机，且各子网可具有相同的主机地址。

假设一个组织有几个相对大的子网，每个子网包括了25台左右的计算机；而又有一些相对较小的子网，每个子网大概只有几台计算机。这种情况下，可以将一个C类地址分成6个子网（每个子网可以包含30台计算机），这样解决了很大的问题。但是出现了一个新的情况，那就是大的子网基本上完全利用了IP地址范围，但是小的子网却造成了许多IP地址的浪费。为了解决这个新的难题，避免任何的IP浪费，就出现了允许应用不同大小的子网掩码来对IP地址空间进行子网划分的解决方案。这种新的方案就叫作可变长子网掩码（VLSM）。

VLSM用一个十分直观的方法来表示，那就是在IP地址后面加上“/网络号及子网络号编址位数”。例如，193.168.125.0/27就表示前27位表示网络号。

例如，给定135.41.0.0/16的基于类的网络ID，所需的配置是为将来使用保留一半的地址，其余的生成15个子网，达到2000台主机。

由于要为将来使用保留一半的地址，完成了135.41.0.0的基于类的网络ID的1-位子网化，生成两个子网135.41.0.0/17和135.41.128.0/17，子网135.41.128.0/17被选作为将来使用所保留的地址部分；135.41.0.0/17被继续生成子网。

为达到划分2000台主机的15个子网的要求，需要将135.41.128.0/17的子网化的网络ID的4-位子网化。这就产生了16个子网（135.41.128.0/21，135.41.136.0/21，…，135.41.240.0/21，135.41.248.0/21），允许每个子网有2046台主机。最初的15个子网化的网络ID（135.41.128.0/21~135.41.240.0/21）被选定为网络ID，从而实现了要求。

现在的IP协议的版本号为4，所以也称之为IPv4，为了方便网络管理员阅读和理解，使用了4个十进制数中间加小数点“.”来表示。但随着因特网的膨胀，IPv4不论从地址空间上，还是协议的可用性上都无法满足因特网的新要求。因此出现了一个新的IP协议IPv6，它使用了8个十六进制数中间加小数点“.”来表示。IPv6将原来的32位地址扩展成为128位地址，彻底解决了地址缺乏的问题。

URL

在Internet中有如此众多的Web服务器，每台服务器又包含很多的页面，如何找到想要的页面呢？这就需要使用统一资源定位器——URL（Uniform Resource Locators）,用URL来唯一的标识某个网络资源，实际上也就是网页的地址。它指出用什么方法、去什么地方、访问哪个文件。不论身处何地、用哪种计算机，只要输入同一个URL地址，就会连接到相同的网页。现在几乎所有Internet的文件或服务都可以用URL表示。

URL地址由双斜线分成两大部分，前一部分指出访问方式，后一部分指明文件或服务所在服务器的地址及具体存放位置。URL的具体表示方法为：

协议：//主机地址［：端口号］／路径／文件名

例如：URL地址http://www.microsoft.com/downloads/search.asp

其中，HTTP指的是访问方式，即要使用HTTP协议进行访问；www.microsoft.com指的是要访问的服务器的主机名（在本例中即域名，也可换成IP地址）；/downloads指的是要访问的页面的路径；/search.asp指的是最终访问的文件名。

Web服务

Web是为了程序到用户的交互，而Web服务是为程序到程序的交互做准备。Web服务使公司可以降低进行电子商务的成本、更快地部署解决方案以及开拓新机遇。实现Web服务的关键在于通用的程序到程序通信模型，该模型应建立在现有的和新兴的标准之上，例如，HTTP、可扩展标记语言（Extensible Markup Language，XML）、简单对象访问协议（Simple Object Access Protocol，SOAP）、Web服务描述语言（Web Service Description Language，WSDL）以及通用描述发现和集成（Universal Description Discovery and Integration，UDDI）。

Web服务的定义

Web服务是描述一些操作（利用标准化的XML消息传递机制可以通过网络访问这些操作）的接口。Web服务是用标准的、规范的XML概念描述的，称为Web服务的服务描述。这一描述包括了与服务交互需要的全部细节，包括消息格式（详细描述操作）、传输协议和位置。该接口隐藏了实现服务的细节，允许独立于实现服务所基于的硬件或软件平台和编写服务所用的编程语言使用服务。Web服务履行一项特定的任务或一组任务。Web服务可以单独或同其他Web服务一起用于实现复杂的聚集或商业交易。

Web服务体系结构基于三种角色（服务提供者、服务注册中心和服务请求者）之间的交互。交互涉及发布、查找和绑定操作。这些角色和操作一起作用于Web服务构件——Web服务软件模块及其描述。在典型情况下，服务提供者托管可通过网络访问的软件模块（Web服务的一个实现），服务提供者定义Web服务的服务描述并把它发布到服务请求者或服务注册中心。服务请求者使用查找操作来从本地或服务注册中心检索服务描述，然后使用服务描述与服务提供者进行绑定并调用Web服务实现或同它交互。服务提供者和服务请求者角色是逻辑结构，因而服务可以表现两种特性。下图描述了这些操作、提供这些操作的组件及它们之间的交互。

Web服务的角色、操作和构件

WSDL——Web服务描述语言（Web Service Description Language）

WSDL是一种XML Application，它将Web服务描述定义为一组服务访问点，客户端可以通过这些服务访问点对包含面向文档信息或面向过程调用的服务进行访问（类似远程过程调用）。WSDL首先对访问的操作和访问时使用的请求／响应消息进行抽象描述，然后将其绑定到具体的传输协议和消息格式上以最终定义具体部署的服务访问点。相关的具体部署的服务访问点通过组合就成为抽象的Web服务。

UDDI——通用描述发现和集成（Universal Description Discovery and Integration）

（1）UDDI的基本概念。UDDI允许动态发现相关的Web服务并将其集成到聚合的业务过程中。UDDI提供一种搜索有关企业和电子化服务的信息。在UDDI中发布企业与服务信息使其他企业能大范围访问到这些信息。UDDI基于现成的标准，如可扩展标记语言（Extensible Markup Language，XML）和简单对象访问协议（Simple Object Access Protocol，SOAP）。

（2）UDDI注册中心。在UDDI中，一个重要的概念就是UDDI注册中心。UDDI注册中心包含了通过程序手段可以访问到的对企业和企业支持的服务所做的描述。此外，还包含对Web服务所支持的因行业而异的规范、分类法定义以及标识系统的引用。UDDI提供了一种编程模式，定义与注册中心通信的规则。UDDI规范中所有API都用XML来定义，包装在SOAP信封中，在HTTP上传输。

Web服务器

Web服务器也称为WWW服务器，主要功能是提供网上信息浏览服务。

在UNIX和Linux平台下使用最广泛的HTTP服务器是W3C、NCSA和Apache服务器，而Windows平台使用IIS的Web服务器。跨平台的Web服务器有IBM WebSphere、BEA WebLogic、Tomcat等。在选择使用Web服务器应考虑的本身特性因素有性能、安全性、日志和统计、虚拟主机、代理服务器、缓冲服务和集成应用程序等。

Web服务器的主要性能指标包括最大并发连接数、响应延迟、吞吐量（每秒处理的请求数）、成功请求数、失败请求数、每秒点击次数、每秒成功点击次数、每秒失败点击次数、尝试连接数、用户连接数等。

权限管理

权限管理为整体平台及后续管理提供统一的账户管理和授权管理等功能，支持地域、权限、角色和组织的管理。

支持部门管理：支持多级部门（如处、科）。分配给部门的角色，将被该部门下的所有用户所继承，如下图所示。

业务单位管理

支持账户管理：对账户能够进行管理维护，包括增加、删除、修改、查询账户信息，如下图所示。

账户管理

支持角色管理：角色表示一类特定的权限的集合，包括可以进行的操作和可以管理的资源，通过角色管理可以动态地创建、删除和修改角色，形成新的权限集合，以便分配给账户，达到控制账户权限的目的，如下图所示。

角色管理

支持授权管理：实现细粒度的权限控制，将权限分为操作权限和资源权限两种。操作权限如对表单数据的增加、删除、修改、查询、审核等，资源权限包括被管设备或资源分组、监控视图分组、报表分组等。通过操作权限和资源权限的有机组合及授权，可以实现对用户权限的细颗粒度的控制。

用户管理

用户管理包括组织架构管理、账户角色管理，能够根据用户实际管理架构设定整个平台的管理架构。

授权管理

细粒度的权限控制

系统将权限分为操作权限和资源权限两种。操作权限如对表单数据的增加、删除、修改、查询、审核等，资源权限包括被管设备或资源分组、监控视图分组、报表分组等。通过操作权限和资源权限的有机组合及授权，可以实现对用户权限的细颗粒度的控制，如上图和下图所示。

对资产资源（操作对象）的操作授权管理

更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5