Se o servidor não estiver diretamente exposto à Internet, mas for exposto por meio de um proxy reverso, como IAG, UAG, TMG, a maneira mais simples de configurá-lo é habilitar a autenticação baseada em formulários.
Se estiver diretamente exposto à Internet, a) você tem certeza de que deseja isso ?, b) procure usar a Autenticação Baseada em Formulários do IIS - ela é instalada com o ASP.Net e pode ser configurada com vários provedores de autenticação , mas não será executado contra o conteúdo non-ASP.Net por padrão - você precisará alternar a condição prévia do ManagedHandler para o FormsAuthenticationModule para que ele funcione.
Não se esqueça do SSL para proteger as credenciais ao ser enviado pelo formulário da Web.