web安全day6：IIS之WEB服务器

web服务器也称为 页服务器或者http服务器，其使用的协议是http或者https。

http协议端口 ：tcp80

https协议端口 ：tcp443

web服务器发布软件：

微软：IIS（Internet information service），可以发布web 站和ftp站点。

linux：apache/lamp/tomcat/nginx 等

第三方：phpstudy、xampp，可以理解为官方软件的集成和加壳。

第三方不建议在生产环境中使用，只在测试中使用。

实验一：部署web服务器

1）配置静态ip地址

我们的ip地址依然保持在10.1.1.1.

2）安装iis-web插件

双击打开internet 信息服务，安装万维 服务和ftp服务（后续实验会用到）

安装完成后，在管理工具中会找到iis管理器、.net framework配置和向导。

我们打开iis管理器。

我们也可以测试我们的80端口有没有打开。

可以看到80端口已经打开，这是 页服务的端口 ，同时我们还可以看到21端口也打开了，这是ftp的控制端口，我们后续也会讲到。但是443端口没有打开，我们前面讲过，443是https的端口 ，这个还需要我们手动配置，后面还会讲到。

我们打开另一台虚拟机windowsxp，它在本实验中充当客户机的角色，它的ip地址我们定义为10.1.1.2。

我们在windowsxp的ie浏览器中输入10.1.1.1，这是我们web服务器的地址，我们看一下会发生什么。

页显示建设中，但是这至少说明我们的web服务器发布成功，在客户机的请求下产生了回应，它们达成了一次交互。

我们注意到，我们只是输入了10.1.1.1，而http：//是浏览器自动为我们补全的，它有这样的功能，并且在浏览器中我们也没有发现有80端口的体现，这是因为我们的浏览器默认理解 页就是在80端口服务的，所以进行了隐藏。我们可以理解为：http就是80端口的代名词。

我们细究一下 页显示建设中这件事情，为什么我们并没有发布任何 页内容，就会显示这个呢们回到我们的服务器中。

我们可以看到在iis管理器中，在 站的下级菜单中，有一个默认 站，而默认 站内，是存在内容的。一个叫做iisstart.html，字面意思就是iis的开始页面，一个叫做pagerror.gif，表示页面错误的图片。

我们可以右键点击浏览，就可以看到它的内容实际上就是我们客户机上所看到的那样，我们的疑问解决了。

我们还可以在我们服务器的本地磁盘中找到它们的位置

我们也可以将默认 站停止或者删除，一般我们只是停止它们的运行，这样做的目的是防止被公鸡的同时便于我们排除故障。

停止后，我们再从客户机中打开10.1.1.1，发现是无法响应的。

并且，我们的服务器中也不会再有80服务了。

我们接下来将学习如何发布自己的站点。

在iis管理器的 站右键新建 站

全部未分配的意思是 站的ip地址可以是本服务器的任何一个ip地址，注意服务器可以有多块 卡，所以可以有多个ip地址。为了方便理解，我们修改为10.1.1.1，即我们服务器当前的ip地址。

这里我们需要勾选允许匿名访问 站，否则后续在访问时需要我们填写用户名口令，大部分 站都不会要求这样做。

此时我们需要指定我们 页的位置，但是目前我们还没有创建 页，我们可以先做一个简易的站点。

由于我们的 页功能有限，所以目前只需要读取权限即可。

创建完成后是这样的。

我们在客户机中尝试进行访问。这里需要注意需要在地址栏中将完整的路径写出来，因为我们没有设置默认首页。

我们也可以在服务器中设置默认首页。

这时我们再从客户机中直接访问10.1.1.1.

发现还是可以访问到该 页的。

我们尝试发布第二个 站，一个服务器只发布一个 站实在太浪费了，这一次我们直接从别的地方复制了一个 站。

我们按照之前方式发布了第二个站点，但是我们发现它是停止的。

我们尝试启动它，但是管理器给了我们一个 错，显示另一个站点已经使用某个端口。

我们还记得， 页服务器的默认端口是80.这个端口已经被我们此前创建的站点所用，而这个端口显然不能共用，如果共用，也就失去创建第二个 站的意义了。

我们可以通过修改它的端口来解决端口冲突的问题。

修改后我们发现可以正常启动。我们再次尝试在客户机中访问这个站点，要注意此时我们一定需要输入它的端口了，因为81不是默认端口。

当然我们也可以通过修改其ip地址来实现目的，之前我们说过，服务器可以有多个ip地址。

我们再了解一下 站的类型， 站一般分为静态 站和动态 站，其中静态 站的拓展名一般为.html或者.htm，没有后台数据库。动态 站一般拓展名为.asp或.php。有后台数据库，asp或者php可以连接前台页面与后台数据库。

asp全称叫做active server pages，但是asp服务默认禁止，我们可以在管理器中控制。