IIS(InternetInformationServer互联网信息服务).ppt

《IIS(InternetInformationServer互联网信息服务).ppt》由会员分享，可在线阅读，更多相关《IIS(InternetInformationServer互联网信息服务).ppt（63页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、IIS（Internet Information Server，互，互联网信息服务）联网信息服务）本章内容IIS基本配置IIS的安全问题IIS的辅助工具提高IIS效率的方法IIS简介简介 IIS（Internet Information Server，互联网信息服务）是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。本章内容讲述Windows 2000高级服务器版中自带的IIS 5.0的配置和管理方法。（目前最高版本是IIS 6.

2、0)lIIS是扮演所有用户端服务要求的接口，和一般结构不同的是对ASP文件的处理方式，当IIS收到ASP文件的服务要求时，它会调用必须的ISAPI或DLL程序，对ASP程序进行解释执行，经过处理后，IIS再将结果转为HTML格式传回给使用者的Web浏览器。IIS的安装和运行的安装和运行 l进入“控制面板”，依次选“添加/删除程序添加/删除Windows组件”，将“Internet信息服务（IIS）”前的小钩去掉（如有），重新勾选中后按提示操作即可完成IIS组件的添加。用这种方法添加的IIS组件中将包括Web、FTP、NNTP和SMTP等全部四项服务。lIIS的运行的运行当IIS添加成功之后，再

3、进入“开始程序管理工具Internet服务管理器”以打开IIS管理器，对于有“已停止”字样的服务，均在其上单击右键，选“启动”来开启。建立第一个建立第一个Web站点站点请先在“默认Web站点”上单击右键，选“属性”，以进入名为“默认Web站点属性”设置界面。1修改绑定的IP地址：转到“Web站点”窗口，再在“IP地址”后的下拉菜单中选择所需用到的本机IP地址“192.168.0.1”。2修改主目录：转到“主目录”窗口，再在“本地路径”输入（或用“浏览”按钮选择）好自己网页所在的“D:Wy”目录。l3添加虚拟目录：比如你的主目录在“D:Wy”test”的格式就可调出“E:All”中的网页文件，这

4、里面的“test”就是虚拟目录。请在“默认Web站点”上单击右键，选“新建虚拟目录”，依次在“别名”处输入“test”，在“目录”处输入“E:All”后再按提示操作即可添加成功。l4添加首页文件名：转到“文档”窗口，再按“添加”按钮，根据提示在“默认文档名”后输入自己网页的首页文件名“Index.htm”。添加多个添加多个Web站点站点 l多个IP对应多个Web站点l如果本机已绑定了多个IP地址，想利用不同的IP地址得出不同的Web页面，则只需在“默认Web站点”处单击右键，选“新建站点”，然后根据提示在“说明”处输入任意用于说明它的内容（比如为“我的第二个Web站点”）、在“输入Web站点使

5、用的IP地址”的下拉菜单处选中需给它绑定的IP地址即可；当建立好此Web站点之后，再按上步的方法进行相应设置。一个一个IP地址对应多个地址对应多个Web站点站点 l当按上步的方法建立好所有的Web站点后，对于做虚拟主机，可以通过给各Web站点设不同的端口号来实现，比如给一个Web站点设为80，一个设为81，一个设为82（如图2），则对于端口号是80的Web站点，访问格式仍然直接是IP地址就可以了，而对于绑定其他端口号的Web站点，访问时必须在IP地址后面加上相应的端口号，也即使用如“http:/192.168.0.1:81”的格式。l很显然，改了端口号之后使用起来就麻烦些。如果你已在DNS服务

6、器中将所有你需要的域名都已经映射到了此惟一的IP地址，则用设不同“主机头名”的方法，可以让你直接用域名来完成对不同Web站点的访问。比如你本机只有一个IP地址为，你已经建立（或设置）好了两个Web站点，一个是“默认Web站点”，一个是“我的第二个Web站点”，现在你想输入“”可直接访问前者，输入“”可直接访问后者。其操作步骤如下：ll（1）请确保已先在DNS服务器中将你这两个域名都已映射到了那个IP地址上；并确保所有的Web站点的端口号均保持为80这个默认值。l（2）再依次选“默认Web站点右键属性Web站点”，单击“IP地址”右侧的“高级”按钮，在“此站点有多个标识下”双击已有的那个IP地址

7、（或单击选中它后再按“编辑”按钮），然后在“主机头名”下输入“”再按“确定”按钮保存退出（3）接着按上步同样的方法为“我的第二个Web站点”设好新的主机头名为“”即可。l（4）最后，打开你的IE浏览器，在地址栏输入不同的网址，就可以调出不同Web站点的内容了。3多个域名对应同个多个域名对应同个Web站点站点 你只需先将某个IP地址绑定到Web站点上，再在DNS服务器中，将所需域名全部映射向你的这个IP地址上，则你在浏览器中输入任何一个域名，都会直接得到所设置好的那个网站的内容。对对IIS服务的远程管理服务的远程管理 l1在“管理Web站点”上单击右键，选“属性”，再进入“Web站点”窗口，选择

8、好“IP地址”。2转到“目录安全性”窗口，单击“IP地址及域名限制”下的“编辑”按钮，点选中“授权访问”以能接受客户端从本机之外的地方对IIS进行管理；最后单击“确定”按钮。l3则在任意计算机的浏览器中输入如“http:/192.168.0.1:3598”（3598为其端口号）的格式后，将会出现一个密码询问窗口，输入管理员帐号名（Administrator）和相应密码之后就可登录成功，现在就可以在浏览器中对IIS进行远程管理了！在这里可以管理的范围主要包括对Web站点和FTP站点进行的新建、修改、启动、停止和删除等操作。IIS常见漏洞常见漏洞 l（1）Null.htwlIIS如果运行了Inde

9、x Server就包含了一个通过Null.htw有关的漏洞，即服务器上不存在此.htw结尾的文件。这个漏洞会导致显示ASP脚本的源代码，global.asa里面包含了用户帐户等敏感信息。如果攻击者提供特殊的URL请求给IIS就可以跳出虚拟目录的限制，进行逻辑分区和ROOT目录的访问。而这个hit-highlighting功能在Index Server中没有充分防止各种类型文件的请求，所以导致攻击者访问服务器上的任意文件。Null.htw功能可以从用户输入中获得3个变量：lCiWebhitsfileCiRestrictionCiHiliteTypel你可通过下列方法传递变量来获得如default

10、.asp的源代码：lhttp:/www.目标机.com/null.htw?CiWebhitsfile=/default.asp%20&%20CiRestriction=none%20&%20&CiHiliteType=full其中不需要一个合法的.htw文件是因为虚拟文件已经存储在内存中了。l（3）+.htr Bugl这个漏洞是由NSFOCUS发现的，对有些ASA和ASP追加+.htr的URL请求就会导致文件源代码的泄露：http:/www.目标机.com/global.asa+.htrl4）NT Site Server Adsamples 漏洞l通过请求site.csc，一般保存在/adsa

11、mples/config/site.csc中，攻击者可能获得一些如数据库中的DSN，UID和PASS的一些信息，如：lhttp:/www.目标机.com/adsamples/config/site.cscl（5）webhits.dll&.htwl这个hit-highligting功能是由Index Server提供的允许一个WEB用户在文档上highlighted（突出）其原始搜索的条目，这个文档的名字通过变量CiWebhitsfile传递给.htw文件，Webhits.dll是一个ISAPI应用程序来处理请求，打开文件并返回结果，当用户控制了CiWebhitsfile参数传递给.htw时，他

12、们就可以请求任意文件，结果就是导致可以查看ASP源码和其他脚本文件内容。要了解你是否存在这个漏洞，你可以请求如下条目：http:/www.目标机.com/nosuchfile.htwl如果你从服务器端获得如下信息：lformat of the QUERY_STRING is invalidl这就表示你存在这个漏洞。ISM.DLL 缓冲截断漏洞缓冲截断漏洞 这个漏洞存在于IIS4.0和5.0中，允许攻击者查看任意文件内容和源代码。通过在文件 名后面追加近230个+或者?%20?（这些表示空格）并追加?.htr?的特殊请求给IIS，会使IIS认为客户端请求的是?.htr?文件，而.htr文件的后缀

13、映射到ISM.DLL ISAPI应用程序，这样IIS就把这个.htr请求转交给这个DLL文件，然后ISM.DLL程序把传递过来的文件打开和执行，但在ISM.DLL 截断信息之前,缓冲区发送一个断开的.Htr 并会延迟一段时间来返回一些你要打开的文件内容。可是要注意，除非 WEB 服务停止并重启过，否则这攻击只能有效执行一次。如果已经发送过一个.htr 请求到机器上,那么这攻击会失效.它只能在 ISM.DLL 第一次装入内存时工作。IIS存在的存在的Unicode解析错误漏洞解析错误漏洞lNSFOCUS安全小组发现微软IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞

14、，导致用户可以远程通过IIS执行任意命令。当IIS打开文件时，如果该文件名包含unicode字符，它会对其进行解码，如果用户提供一些特殊的编码，将导致IIS错误的打开或者执行某些web根目录以外的文件。l你可以使用下面的方法利用这个漏洞：l（1）如果系统包含某个可执行目录，就可能执行任意系统命令。下面的URL可能列出当前目录的内容：http:/www.目标机.com/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+dir（2）利用这个漏洞查看系统文件内容也是可能的：lhttp:/www.目标机.com/a.asp/.%c1%1c./.%c1%1c./win

15、nt/win.ini这个漏洞是针对中文操作平台，你也可以使用%c0%af或者%c1%9c来测试英文版本，原因就是编码不同。lWin2000+IIS 5.0安全配置规范安全配置规范 lWindows 2000安全配置l 确保所有磁盘分区为NTFS分区 操作系统、Web主目录、日志分别安装在不同的分区 不要安装不需要的协议，比如IPX/SPX,NetBIOS?不要安装其它任何操作系统 安装Service Pack 安装hotfix，一般需要安装如下补丁*Q260347_W2K_sp2_x86_cn(IISCrosssite)*Q262694_W2K_SP2_x86_CN(resetBrowseFo

16、rm)*Q269049_W2K_SP2_x86_CN(shellpath)*Q269862_W2K_SP2_x86_CN(unicode)*Q270676_W2K_SP2_x86_CN(shurufa)*Q272743_W2K_SP2_x86_CN(NTLM)*Q277873_W2K_sp2_x86_CN(filerequest)*Q278499_W2K_sp2_x86_CN(indexserv)*Q280322_W2K_sp2_x86_CN(malwebform)*q285851_w2k_sp3_x86_cn(netdde)具体可参考微软网站：关闭所有不需要的服务 *Alerter(disa

17、ble)*ClipBook Server(disable)*Computer Browser(disable)*DHCP Client(disable)*Directory Replicator(disable)*FTP publishing service(disable)*License Logging Service(disable)*Messenger(disable)*Netlogon(disable)*Network DDE(disable)*Network DDE DSDM(disable)*Network Monitor(disable)*Plug and Play(disab

18、le after all hardware configuration)*Remote Access Server(disable)*Remote Procedure Call(RPC)locater(disable)*Schedule(disable)*Server(disable)*Simple Services(disable)*Spooler(disable)*TCP/IP Netbios Helper(disable)*Telephone Service(disable)l在必要时禁止如下服务：*SNMP service(optional)*SNMP trap(optional)*U

19、PS(optional设置如下服务为自动启动：*Eventlog(required)*NT LM Security Provider(required)*RPC service(required)*WWW(required)*Workstation(leave service on:will be disabled later in the document)*MSDTC(required)*Protected Storage(required)l.删除 OS/2 和 POSIX 子系统:删除如下目录的任何键：HKEY_LOCAL_MACHINESOFTWARE MicrosoftOS/2 S

20、ubsystem for NT删除如下的键：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManagerEnvironmentOs2LibPath删除如下的键：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOptionalHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsPosixHKEY_LOCAL_MACHINESYSTEMCurre

21、ntControlSetControlSession ManagerSubSystemsOs2删除如下目录：c:winntsystem32os2.帐号和密码策略帐号和密码策略l1）保证禁止guest帐号2）将administrator改名为比较难猜的帐号3）密码唯一性：记录上次的 6 个密码4）最短密码期限：25）密码最长期限：426）最短密码长度：87）密码复杂化(passfilt.dll)：启用8）用户必须登录方能更改密码：启用9）帐号失败登录锁定的门限：610）锁定后重新启用的时间间隔：720分钟保护文件和目录保护文件和目录l将C:winnt,C:winntconfig,C:winnts

22、ystem32,C:winntsystem等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限注册表一些条目的修改1）去除logon对话框中的shutdown按钮将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon中ShutdownWithoutLogon REG_SZ 值设为02）去除logon信息的cashing功能将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon中CachedLogons

23、Count REG_SZ 值设为0l3）隐藏上次登陆的用户名将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon中DontDisplayLastUserName REG_SZ 值设为14）限制LSA匿名访问将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA中RestricAnonymous REG_DWORD 值设为15）去除所有网络共享将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanManServ

24、erParameters中AutoShareServer REG_DWORD 值设为0.启用TCP/IP过滤只允许TCP端口80和443（如果使用SSL）不允许UDP端口只允许IP Protocol 6(TCP)l.移动部分重要文件并加访问控制：创建一个只有系统管理员能够访问的目录，将system32目录下的一些重要文件移动到此目录：xcopy.exe,wscript.exe,cscript.exe,net.exe,ftp.exe,telnet.exe,arp.exe,edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.ex

25、e,atsvc.exe,qbasic.exe,runonce.exe,syskey.exe,cacls.exe,ipconfig.exe,rcp.exe,secfixup.exe,nbtstat.exe,rdisk.exe,debug.exe,regedt32.exe,regedit.exe,netstat.exe,tracert.exe,nslookup.exe,rexec.exe,cmd.exe安装防病毒软件l.可以下载Hisecweb.inf安全模板来配置该模板配置基本的 Windows 2000 系统安全策略。将该模板复制到%windir%securitytemplates 目录。打开

26、“安全模板”工具，查看这些设置。打开“安全配置和分析”工具，然后装载该模板。右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即分析计算机”。等候操作完成。查看结果，如有必要就更新该模板。右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即配置计算机”。IIS的安全配置的安全配置l 关闭并删除默认站点：默认FTP站点默认Web站点管理Web站点 建立自己的站点，与系统不在一个分区，如D:wwwroot3 建立 E:Logfiles 目录，以后建立站点时的日志文件均位于此目录，确保此目录上的访问控制权限是：Administrators（完全控制）System（完全控制）删除IIS

27、的部分目录：IISHelp C:winnthelpiishelp IISAdmin C:system32inetsrviisadmin MSADC C:Program FilesCommon FilesSystemmsadc删除 C:inetpub l.删除不必要的IIS映射和扩展：IIS 被预先配置为支持常用的文件名扩展如.asp 和.shtm 文件。IIS 接收到这些类型的文件请求时，该调用由 DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下：打开 Internet 服务管理器：选择计算机名，点鼠标右键，选择属性：然后选择编辑然后选择主目录，点击配置选择扩展名.ht

28、w,.htr,.idc,.ida,.idq和.printer，点击删除如果不使用server side include，则删除.shtm.stm 和.shtmll.禁用父路径:“父路径”选项允许您在对诸如 MapPath 函数调用中使用“.”。在默认情况下，该选项处于启用状态，应该禁用它。禁用该选项的步骤如下：右键单击该 Web 站点的根，然后从上下文菜单中选择“属性”。单击“主目录”选项卡。单击“配置”。单击“应用程序选项”选项卡。取消选择“启用父路径”复选框。l.在虚拟目录上设置访问控制权限 主页使用的文件按照文件类型应使用不同的访问控制列表：CGI(.exe,.dll,.cmd,.pl)

29、Everyone(X)Administrators（完全控制）System（完全控制）脚本文件(.asp)Everyone(X)Administrators（完全控制）System（完全控制）include 文件(.inc,.shtm,.shtml)Everyone(X)Administrators（完全控制）System（完全控制）静态内容(.txt,.gif,.jpg,.html)Everyone(R)Administrators（完全控制）System（完全控制）在创建Web站点时，没有必要在每个文件上设置访问控制权限，应该为每个文件类型创建一个新目录，然后在每个目录上设置访问控制权限、

30、允许访问控制权限传给各个文件。例如，目录结构可为以下形式：D:wwwrootmyserverstatic(.html)D:wwwrootmyserverinclude(.inc)D:wwwrootmyserver script(.asp)D:wwwrootmyserver executable(.dll)D:wwwrootmyserverimages(.gif,.jpeg).启用日志记录启用日志记录 l确定服务器是否被攻击时，日志记录是极其重要的。应使用 W3C 扩展日志记录格式，步骤如下：打开 Internet 服务管理器：右键单击站点，然后从上下文菜单中选择“属性”。单击“Web 站点”选

31、项卡。选中“启用日志记录”复选框。从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。单击“属性”。单击“扩展属性”选项卡，然后设置以下属性：*客户 IP 地址*用户名*方法*URI 资源*HTTP 状态*Win32 状态*用户代理*服务器 IP 地址*服务器端口 IIS的辅助工具的辅助工具l使用MetaBase，管理员可以完成关于IIS的所有工作，例如，建立一个虚拟目录；停止、启动或暂停Web站点；建立、删除、禁止或启用应用程序。微软提供了一个可视化工具MetaEdit帮助你读写MetaBase，你可以在这里下载它的最新版本。为了更有效地利用MetaBase，你应该试一下命令行接口

32、-IIS Administration Script，简称为adsutil.vbs，你可以在C:inetpubadminscripts或者%SystemRoot%system32inetsrvadminsamples目录下找到它。IIS的辅助工具的辅助工具-站点内容压缩站点内容压缩可以使用pipeboost压缩站点功能IIS的辅助工具的辅助工具-Web应用程序缓存应用程序缓存l你可以把不同的文件或目录设置过期时间，打开IIS信息服务器，右击站点内容，单击属性，在跳出来的窗体中你就可以进行相应的设置了。如果你想让开发者自己设置，请使用CacheRight、XCache这些软件IIS的辅助工具的辅

33、助工具-站点的安全站点的安全l找出你的服务器信息和操作系统信息是攻击者的第一个目标，所以不要暴露你的HTTP头让别人知道你运行的是IIS，使用 ServerMask这类软件将HTTP头删除或替换掉。其次，你可以通过删除不必要的文件扩展名来进一步安装你的服务器环境。另外，你还可以扫描有问题的URL请求，微软提供了一个免费工具-URLScan。IIS的辅助工具的辅助工具-补丁补丁 l下载安装最新的补丁。你可以到微软的站点，也可以到，用IIS作为关键词查询。IIS信息服务器排错信息服务器排错lIIS服务器出错的原因是复杂的。象服务启动失败、IIS进程中断或者站点不能启动这些错误都会在系统日志中记录一

34、个错误事件。不论IIS出现何种错误，在确定排错方案之前，都应先使用事件查看器查阅系统日志所记录的相关事件。某些错误显然是由服务器硬件的损坏而造成的，而另一些由于软件原因造成的错误往往不易察觉。重新启动重新启动IIS l大多数软件问题可以通过重新启动到方法得以解决。作为IIS5.0的新功能之一，我们可以在不重新启动计算机的情况下重启IIS服务，甚至相当严重的问题都可以采用这种方法解决。重新启动IIS服务可以强迫系统重置IIS进程的内存空间，故由于内存错误引起的问题可以得到解决。重启IIS的方法主要用于下列情况：网站应用程序瘫痪、且不能有效加以控制；网站应用程序工作不正常或者不稳定。重新启动IIS

35、服务的过程中，全部当前连接都不能保留，且重启期间服务器上的全部站点都不能工作。如果重启IIS服务不能解决问题，则重启服务器亦不会有效。ll当站点应用程序不能正常工作时，按照下述步骤重新启动服务器的IIS服务：1在IIS管理控制树中展开IIS节点，选择需要重新启动IIS服务的计算机。2单击【操作】菜单，选择【重新启动IIS】。3在【停止/启动/重新启动】对话框中的【您向要IIS做什么】下拉列表中选择【重新启动服务器的IIS】，单击【确定】。4正在关闭】对话框显示重新启动IIS的进度，如果对话框长时间没有反应，单击【现在结束】并重新进行上述操作。注意：对于单个站点的稳定性问题，不必重新启动整个II

36、S进程，只要重启站点即可。备份备份/还原还原IIS lIIS的实现机制包括一个类似注册表的元数据库：MetaBase，有关IIS本身和站点的配置属性全部保存在Windows 2000和元数据库MetaBase中。因此，只要将相关的注册表和元数据库进行备份，即可保存站点相关的全部配置。即使在删除站点甚至重新安装IIS之后，仍然能够利用备份恢复到原来的状态。l备份IIS的步骤如下：1在IIS管理器中展开IIS节点，选择向要备份的计算机。2单击【操作】菜单，选择【备份/还原配置】。3在【备份/还原配置】对话框中的【备份】列表中列出全部备份文件以及备份时间。单击【创建备份】按钮。4在【备份配置】对话框

37、中指定新建备份的名称，单击【确定】。5单击【关闭】完成备份。默认情况下，备份文件将保存在 Winntsystem32inetsrvMetaBack目录中。lIIS内置的备份、还原功能只能在本地服务器中使用，但如果想在网络中移植IIS网站配置信息到其它服务器，该工具就显得力不从心了。l专门的备份工具lIIS备份精灵lIIS备份精灵只能用在相同版本的IIS网站间配置信息的移植lIIS Export Utility l可以对不同版本的IIS站点配置信息进行移植l恢复备份的方法与此类似，在【备份/还原配置】对话框中的【备份】列表中选择一个备份文件，单击【还原】。然后再如左图所示的提示对话框中单击【确定

38、】，一段时间之后，IIS服务器恢复到进行备份时所处的状态。提高提高IIS网站服务器效率网站服务器效率l 1.启用HTTP的持续作用可以改善1520%的执行效率。2.不启用记录可以改善58%的执行效率。3.使用 独立 的处理程序会损失20%的执行效率。4.增加快取记忆体的保存文档数量，可提高ActiveServer Pages之效能。5.勿使用CGI程式6.增加IIS 5.0电脑CPU数量。7.勿启用ASP侦错功能。8.静态网页采用HTTP 压缩，大约可以减少20%的传输量。l1、启用HTTP的持续作用 启用HTTP的持续作用（Keep-Alive）时，IIS与浏览器的连线不会断线，可以改善执行

39、效率，直到浏览器关闭时连线才会断线。因为维持Keep-Alive状态时，于每次用户端请求时都不须重新建立一个新的连接，所以将改善服务器的效率。此功能为HTTP 1.1预设的功能，HTTP 1.0加上Keep-Alive header也可以提供HTTP的持续作用功能。l2、启用HTTP的持续作用可以改善1520%的执行效率。如何启用HTTP的持续作用呢？步骤如下：在 Internet服务管理员 中，选取整个IIS电脑、或Web站台，内容 之 主目录 页，勾选 HTTP的持续作用 选项。l3、不启用记录不启用记录可以改善58%的执行效率。如何设定不启用记录呢？步骤如下：在 Internet服务管理

40、员 中，选取整个IIS电脑、或Web站台，於 内容 之 主目录 页，不勾选 启用记录 选项。设定非独立的处理程序使用 独立 的处理程序会损失20%的执行效率，此处所谓独立系指将 主目录、虚拟目录 页之应用程式保护选项设定为 高（独立的）时。因此 应用程式保护 设定为 低(IIS处理程序)时执行效率较高，设定画面如下：如何设定非独立的处理程序呢？步骤如下：在 Internet服务管理员 中，选取整个IIS电脑、Web站台、或应用程式的起始目录。於 内容 之 主目录、虚拟目录页，设定应用程式保护选项为 低(IIS处理程序)。l4、调整快取（Cache）记忆体 lIIS 5.0将静态的网页资料暂存於

41、快取（Cache）记忆体当中；调整快取（Cache）记忆体的保存档案数量可以改善执行效率。ASP指令文档执行过后，会在暂存于快取（Cache）记忆体中以提高执行效能。增加快取记忆体的保存文档数量，可提高Active Server Pages之效能。可以设定所有在整个IIS电脑、独立Web站台、或独立应用程式上执行之应用程式的快取记忆体档案数量。l如何设定快取（Cache）功能呢？步骤如下：在 Internet服务管理员 中，选取整个IIS电脑、独立Web站台、或独立应用程式的起始目录。於 内容 之 主目录、虚拟目录 页，按下 设定 按钮时，即可由处理程序选项 页设定 指令档快取记忆体。如何设定

42、快取（Cache）记忆体档案数量呢？步骤如下：在 Internet服务管理员 中，选取整个IIS电脑、或Web站台的起始目录。於 内容 之 伺服器扩充程式 页，按下 设定 按钮。即可设定快取（Cache）记忆体档案数量。5、勿使用、勿使用CGI程式程式 l使用CGI程式时，因为处理程序（Process）须不断地产生与摧毁，造成执行效率不佳。一般而言，执行效率比较如下：l静态网页（Static）：100 lISAPI：50 lASP：10 lCGI：1 l换句话说，ASP比CGI可能快10倍，因此勿使用CGI程式可以改善IIS的执行效率。l以弹性（Flexibility）而言：ASP CGI I

43、SAPI 静态网页（Static）。l以安全（Security）而言：ASP（独立）=ISAPI（独立）=CGI ASP（非独立）=ISAPI（非独立）=静态网页（Static）。勿启用勿启用ASP侦错功能侦错功能 步骤如下：於 Internet服务管理员 中，选取Web站台、或应用程式的起始目录，按右键选择内容，按 主目录、虚拟目录 或 目录 页，按下设定 按钮，选择 应用程式侦错 页，不勾选 启用ASP伺服器端指令侦错、启用ASP用户端指令侦错 选项。静态网页采用静态网页采用HTTP 压缩压缩 l静态网页采用HTTP 压缩，大约可以减少20%的传输量。用户端使用IE 5.0浏览器连线到已经启用HTTP压缩IIS 5.0之Web服务器，才有HTTP压缩功能。步骤如下：若要启用HTTP压缩功能，方法为在 Internet服务管理器 中，选取电脑之 内容，於 主要内容 之下选取WWW服务。然後按一下 编辑 按钮，於 服务 页上，选取 压缩静态档案 可以压缩静态档案，不选取 压缩应用程式档案。l动态产生的内容档案（压缩应用程式档案）也可以压缩，但是须耗费额外CPU处理时间，若%Processor Time已经百分之八十或更多时，建议不要压缩。