IIS 6.0与Windows Server 2003网络安全配置全解析
1 IIS 6.0用户认证设计
1.1 工作进程模型与HTTP.Sys
IIS 6.0采用工作进程模型处理Web请求,与IIS 5.0的隔离模型不同。每个工作进程由W3wp.exe实例处理,并使用应用程序池,应用程序池负责管理网站资源。HTTP.Sys是新的内核模式驱动程序,用于处理传入的Web请求。
1.2 证书认证
IIS 6.0的SSL实现支持证书认证,证书详细信息需与Windows账户进行验证,此过程称为“映射”。IIS 6.0有三种映射机制:
-目录服务:原生的Active Directory映射,支持大型企业的内部认证。
-一对一映射:将客户端浏览器的证书详细信息与服务器证书精确匹配,仅适用于少量用户。
-多对一映射:更灵活,使用自定义规则匹配部分标准,比前两种更受欢迎。
1.3 Windows登录认证机制
IIS 6.0支持多种Windows登录认证机制:
| 认证机制 | 描述 |
| ---- | ---- |
| 匿名认证 | 使用IUSR_ComputerName账户模拟每个用户,将Web请求定向到IIS 6.0,仅适用于企业的公共非敏感网站。 |
| 基本认证 | 大多数浏览器支持,在W3C HTTP规范中有规定,但以明文传输凭据,需用SSL包装。 |
| 摘要认证 | 借助企业的Active Director
