使用安全区域的技巧与实例

7.8.3　使用安全区域的技巧与实例

前面两小节讲述的加密传送和身份验证安全措施，在具体实施的过程中，一方面可能由于要增加附加的处理时间，会使用户感到系统反应缓慢，另一方面还可能存在一些安全漏洞。为此，Internet Explorer提供了另一个安全措施，即使用安全区域。位于不同安全区域的Web站点具有不同的安全级别(可以由用户设定)。

在Internet Explorer中，提供了4种区域。

①本地Intranet区域：该区域包含不需要代理服务器的所有地址，这些地址由系统管理员用Internet Explorer管理工具包(IEAK)定义。本地Intranet区域的默认安全级为中。

②可信站点区域：该区域包含用户可以相当信任的站点，即可以直接下载或运行文件而不必担心会危害用户的计算机或数据的站点。用户可将指定的某些站点分配到该区域。可信站点区域的默认安全级为低。

③受限站点区域：该区域包含不可信任的站点，即不能确认下载或运行程序是否会伤害用户的计算机或数据的站点。受限站点区域的默认安全级别为高。

④Internet区域：在默认情况下，该区域包含不在用户计算机或本地Intranet上的全部站点，或不包含分配到其他任何区域的站点。Internet区域的默认安全级别为中。

此外，本地计算机上的所有文件被认为是完全安全的，不需应用安全设置。当直接打开和运行本机上的文件和程序，将没有提示或中断。当然，不能将本机上的文件夹或驱动器分配到安全区域。

在使用Internet Explorer浏览器访问Internet浏览Web时，其状态栏的右边将显示目前所在的安全区域，例如“Internet”、“本地Intranet”、“可信站点”和“受限站点”等字样。

(1)设置区域的安全级别

如上所述，Internet Explorer为每个区域都设置了默认的安全级别。但是，我们可以根据需要来改变其安全级别。安全级别越高，Internet Explorer对与该区域进行数据传输时，所作的安全检查越严格，当然所花费的计算机的资源越多，可能的延迟就会增加。因此，设置区域的安全级别应该根据具体的应用需要而定，不能盲目一概追求过高的安全级别。

设置区域的安全级别的具体操作过程如下：

在Internet Explorer浏览器中，单击“工具”菜单的“Internet选项…”，随之就会出现相应的“Internet选项”对话框，通过其“安全”选项卡(参看图7.41(a))即可实现对不同区域的安全级别设置。未曾改变过安全区域设置的“安全”选项卡如图7.41(a)所示。

通常我们可以将安全区域改变为某个推荐的安全级别。笔者建议这样来进行：

在“Internet选项”对话框的“安全”选项卡中，从区域列表框中选择需要设置的安全区域(“本地Intranet”、“可信站点”、“Internet”和“受限站点”)。如果该安全区域未曾改变过安全级别，则在“该区域的安全级别”中只有关于“自定义”的说明信息(如图7.41(a)所示)。单击“默认级别”按钮，于是在“该区域的安全级别”中立即显示出可调节安全级别的滑块(参看图7.41(b))，之后拖动滑块到要设置的安全级别。

如果一个安全区域曾经改变过，则在“Internet选项”对话框的“安全”选项卡中选中该安全级别时，在“该区域的安全级别”中已显示有可调节安全级别的滑块(参看图7.41(b))，直接拖动滑块选定要设置的安全级别即可。

作为例子，下面的操作实现将“本地Intranet”区域设置为“中”级：

在“Internet选项”对话框的“安全”选项卡中，从区域列表框中选择“本地Intranet”。如果该安全区域未曾改变过安全级别，则在“该区域的安全级别”中只有关于“自定义”的说明信息，如图7.41(a)所示。单击“默认级别”按钮，于是在“该区域的安全级别”中立即显示出可调节安全级别的滑块，之后拖动滑块到安全级别“中”，如图7.41(b)所示。

如果“本地Intranet”区域曾经改变过，则在“Internet选项”对话框的“安全”选项卡中选中该安全级别时，在“该区域的安全级别”中已显示有可调节安全级别的滑块，直接拖动滑块到安全级别“中”，如图7.41(b)所示。

图7.41　设置安全区域的安全级别

(2)为Web站点指定安全区域

我们可以根据对Web站点的信任情况，将Internet上的任何一个Web站点安排到某一个安全区域，当用Internet Explorer对该站点进行浏览时，就会按照对区域的安全级别的设置进行相应的安全处理操作。

设定Web站点的安全区域的具体操作方法如下：

在“Internet选项”对话框的“安全”选项卡(参看图7.41)中，选择“Internet区域”外的任意一个安全区域(说明：由于“Internet 区域”是属于其他3个区域之外的所有Web站点的所属区域，不属于其他3个区域的站点就自然属于“Internet区域”的，因此不能往该区域加入Web站点)，然后单击“站点…”按钮，并在随之出现的对话框(参看图7.42)中输入有关要添加站点的信息：在“将该Web站点添加到区域中”框中输入所要添加的Web站点的URL，之后单击“添加”按钮使该站点出现在Web站点列表中；显然一次可加入多个站点；若要在该区域删除某个站点，则从列表框选中它后单击“删除”按钮；最后，单击“确定”按钮。

图7.42　为Web站点指定安全区域的例子

例如，图7.42示出了为“可信站点”添加Web站点的过程：在“Internet选项”对话框的“安全”选项卡中选中“可信站点”，单击“站点…”按钮，在随之出现的“可信站点”对话框中，依次在“将该Web站点添加到区域中”框中输入所要添加的Web站点的URL并单击“添加”按钮，所有需要的Web站点添加后，单击“确定”按钮。

最后说明，当我们在“Internet选项”对话框的“安全”选项卡中选中“本地Intranet”时，单击“站点…”按钮，将显示出“本地Intranet”对话框(如图7.43所示)。该区域可以自动设置3种类型的站点：“包括没有列在其他区域的所有本地(Intranet)站点”、“包括所有不使用代理服务器的站点”和“包括所有网络路径(UNC)”。如果要指定特定Web站点为本地Intranet区域，单击“高级…”按钮并操作随之出现的“本地Intranet”对话框来实现。

图7.43　“本地Intranet”对话框