问答题
阅读以下基于Windows 2003操作系统配置Web服务器的技术说明,回答问题1~问题5。
【说明】
随着电子商务日益普及,某网络服务提供商基于Windows Server 2003操作系统建构了一台的虚拟服务器,并安装IIS6.0来配置各类客户网上商务站点的服务。该虚拟主机的计算名是web_ server,各客户的网站标识、所分配的IP地址、统一资源定位器(URL)、用户主目录等信息见表3-10。
{{B}}表3-10 虚拟服务器配罩信息表{{/B}}
问答题 【问题1】 IIS安装的硬盘分区最好选用NTFS格式,是因为{{U}} (1) {{/U}}。 ①可以使用操作系统的文件加密系统(EFS)对文件或文件夹进行加密 ②可以针对某个文件或文件夹给不同的用户分配不同的权限 ③可以防止网页中的Applet程序访问硬盘中的文件 ④可以在磁盘分区中建立多个虚拟目录
A.①和② B.②和④
C.③和④ D.①和③
【正确答案】
【答案解析】(1)A,或①和② Windows操作系统的IIS安装的硬盘分区最好选用NTFS格式,因为NTFS格式的安全性能要远高于FAT/FAT32。NTFS分区可以对不同的文件夹设置不同的访问权限(即可以针对某个文件或文件夹给不同的用户分配不同的权限),可以启用文件加密系统(EFS)对文件或文件夹进行加密。其中,EFS(Encrypt File System)内置于Windows 2000/2003的NTFS文件系统中,基于公共密钥体制提供文件级别的加解密。 另外提醒一点的是:最好在操作系统安装过程中根据系统的提示一步到位地格式化为NTFS格式,不要先格式化为FAT32格式,然后再转换到NTFS格式。
问答题
【问题2】
依次单击“开始/所有程序/管理工具/Internet信息服务(IIS)管理器”,接着右击某个站点,在右键菜单选中“属性”,将弹出图3-8所示的配置界面。请结合表3-10所提供的信息,在图3-8“网站”选项卡中完成客户5的相关站点信息的配置。
【正确答案】
【答案解析】① ①“描述”栏填入“fjtear5” ②“IP地址”填入“202.168.1.35”, ③“TCP端口”填入“80”, ④“SSL端口”填入“443”,其他使用默认配置 这是一道要求读者掌握Web网站基本配置的实际操作题。本题的配置步骤如下。 浏览图3-8“网站”选项卡的配置项目可知,使用该选项卡可以设置某个网站的名称、连接限制,以及启用日志记录并配置站点的日志记录格式等内容。 “网站标识”配置区域中,“描述”栏可输入所配置网站容易识记的名称。本案例可填入表3-10中客户5的“fjtest5”。该名称将出现在IIS管理器的控制台树中。 “IP地址”栏可从列表框中指定一个IP地址或输入用于访问该站点的IP地址。对于本案例可填入表3-10中客户5的IP地址“202.168.1.35”。如果没有分配指定的IP地址,那么此站点将响应分配给该服务器但没有分配给其他站点的所有IP地址,并使它成为默认网站。 “TCP端口”是必填项目(即该文本框不能为空),用于指派运行Web服务的TCP端口号(默认值是 80)。如果将该端口号更改成其他的TCP端口号(例如:8085),则需预先通知客户端以便其请求时输入相应的URL(例如:http://www.fjtest1.com:8085)。 “SSL端口”是可选项目,用于指派与该网站标识相关联的SSL端口。默认SSL端口号是443。只有使用SSL加密时才需要SSL端口号。也就是说,如果没有为站点启用SSL加密,则“SSL端口”框不可用。根据表3-10中客户5的URL信息“https://www.fjtest5.com”可知,访问客户5的网站需要使用安全的超文本传输协议(https),而不是超文本传输协议(http),因此图3-8的“SSL端口”需填入“443”。 单击“高级”按钮,可以进一步配置用来访问站点的IP地址、TCP端口号以及主机头值。 “连接”配置栏是以秒为单位设置服务器断开非活动用户连接之前的时间长短。从而确保在HTYP协议无法关闭某个连接时,关闭所有的连接。通常,默认启用“保持HTTP连接”,从而满足客户端的浏览器要求服务器在多个请求中保持连接打开的要求。如果没有它,浏览器将不得不为包含多个元素(如图片、文字等)的页面进行大量的连接请求,增加额外的服务器活动和资源,从而降低服务器的响应效率。 选择“启用日志记录”可以启用网站的日志记录功能,记录关于用户活动的细节并按所选格式创建日志。通常,活动日志格式有Microsoft IIS日志文件格式(一种固定的ASCII格式)、NCSA共用日志文件格式(一种固定的ASCH格式)、ODBC日志记录(一种记录到数据库的固定格式)、W3C扩展日志文件格式(一种可自定义的ASCII格式,默认选择此格式)等。要使用进程记账,则需选择W3C扩展日志文件格式。
问答题
【问题3】
客户3的商务站点要求禁止IP地址为198.211.57.239~198.211.57.254的计算机访问。选中“客户3网站属性”的“目录安全性”选项卡,单击“IP地址和域名限制”栏中的“编辑”按钮,进入如图3-9所示的“IP地址及域名限制”对话框。接着单击“添加”按钮,进入如图3-10所示的“拒绝访问”对话框。在图3-10中增加两条如表3-11所示的新记录。
请结合客户3商务网站的建设要求将表3-11中的(2)~(4)空缺处的内容填写完整。


{{B}}表3-11 IP地址和域名限制记录表{{/B}}
IP地址
子网掩码
一组主机
(2)
(3)
一台主机
(4)
——
【正确答案】
【答案解析】(2)198.211.57.240,或在IP地址范围198.211.57.240~198.211.57.254内任选一个地址均可
(3)255.255.255.240
(4)198.211.57.239
这是一道要求读者掌握可变长子网掩码(VLSM)计算的分析理解题。本问题的解答步骤如下。
①首先分析被禁止访问客户3的商务网站的计算机IP地址范围是198.211.57.239~198.211.57.254。由于该网段点分十进制的IP地址的主要区别在于第4个字节,其中239=255-16=(11101111)2, 254=255-1=(11111110)2,可见239与254这两个数字的二进制数左边第4位不相同,因此这两个IP地址的共同子网掩码为255.255.255.224,其中224=(11100000)2
②如果将表3-11中(3)空缺处的子网掩码设置为255.255.255.224,那么被限制访问的客户端IP地址范围为198.211.57.224~198.211.57.254,显然与题目的原意不符。因为题目中未说明IP地址范围 198.211.57.224~198.211.57.238的客户机不能访问该网站。
③如果将表3-11中(3)空缺处的子网掩码设置为255.255.255.240,由于240=255-15=255-8- 4-2-1=(11110000)2,那么被限制访问的客户端IP地址范围为198.211.57.240~198.211.57.254,即地址为198.211.57.240~198.211.57.254的任一主机将不能访问客户3的商务网站。
④以上分析过程可以看出,图3-10“拒绝访问”配置界面中,选择“一组计算机({{U}}G{{/U}})”单选框,接着在“网络标识”栏内可填入IP地址范围198.211.57.240~198.211.57.254内任意一个地址,“子网掩码”栏内填写“255.255.255.240”,单击“确定”按钮,从而在图3-9中添加一条禁止源IP地址为198.211.57.240~ 198.211.57.254的计算机访问客户3的商务网站。
⑤然后还需在图3-10“拒绝访问”配置界面中,选择“一台计算机({{U}}S{{/U}})”单选框,接着在“IP地址”栏内填入198.211.57.239,单击“确定”按钮,从而在图3-9中添加一条禁止源IP地址为198.211.57.239的计算机访问客户3的商务网站。
问答题
【问题4】
如果要求客户4的商务网站既可以接收http请求,也可以接收https请求,并要求客户端提供数字证书,则需在如图3-11所示的“安全通信”对话框中,选择{{U}} (5) {{/U}}单选框,注意不要选择{{U}} (6) {{/U}}复选框。
【正确答案】
【答案解析】(5)接受客户证书 (6)要求安全通道(SSL) 这是一道要求读者掌握IIS安全通信配置的实际操作题。本试题的解答思路如下。 SSL协议首先支持的是服务器端的认证,主要是通过客户端对服务器端的数字证书进行认证完成,而对客户端的认证是作为一个可选项。 选中“客户4网站属性”的“目录安全性”选项卡,单击“安全通信”栏中的“编辑”按钮,系统将弹出如图3-11所示的“安全通信”对话框。如果选择“接受客户证书”单选框,但不选择“要求安全通道(SSL)”复选框,则该Web服务器既可以接收http请求,也可以接收https请求,并要求客户端提供数字证书。 如果在图3-11中选择了“要求安全通道(SSL)”复选框,选择了“要求128bit加密”复选框,并选择“忽略客户证书”单选框。那么Web服务器可不要求客户端提供数字证书,但只接收https请求,并要求在客户Ⅲ和Web服务器之间实现128bit加密。 如果选择了“要求安全通道(SSL)”复选框,并选择了“要求客户证书”单选框,那么Web服务器将对客户端证书进行强制认证。 如果管理员想添加一些受信任的新客户端证书,那么可使用证书信任列表的方法,即通过选择“启用证书信任列表”复选框,接着单击“新建”按钮,然后在弹出的对话框中指定这些客户端证书的存放路径,并选择相应的证书名称,再单击“确定”按钮,所添加的用户证书将显示在图3-11的“当前CTL”下拉框中。
问答题
【问题5】
如果网络中存在多台基于Windows Server 2003操作系统的IIS服务器,网络管理员可在管理主机的“开始握行”窗口中输入{{U}} (7) {{/U}}命令,系统将运行Microsoft管理控制台。
在“文件”菜单中选中“添加删除管理单元({{U}}M{{/U}})”,接着单击“添加”按钮系统将弹出如图3-12所示的“添加独立管理单元”配置界面,选择其中的“{{U}} (8) {{/U}}”管理插件以及添加到其他IIS服务器的链接,即可实现对IIS服务器的远程管理。
【正确答案】
【答案解析】(7)MMC (8)Internet信息服务(IIS)管理器 这是一道要求读者掌握MMC管理IIS服务器的实际操作题。本试题的管理配置步骤如下。 ①在“开始/运行”窗口中输入“MMC”命令,则可运行Microsoft管理控制台。 ②在“文件”菜单中选中“添加/删除管理单元({{U}}M{{/U}})”,接着在弹出的的配置界面中单击“添加”按钮,在图3-12的“可用的独立管理单元”中,选择“Internet信息服务(IIS)管理器”管理插件。 ③接着依次单击“添加”、“关闭”、“确认”按钮。在Microsoft管理控制台中选中“Internet信息服务(IIS)管理器”,单击鼠标右键,接着选择“连接({{U}}C{{/U}})”,系统将弹出如图3-20所示的对话框。 ④在图3-20对话框中,“计算机名”可输入所要连接的计算机名称或IP地址。