【IIS輔助】功能模塊���,作為入侵防護系統(tǒng)的一個重要組成部分�����,負(fù)責(zé)攔截來自WEB的入侵任務(wù)���。它是入侵防護的第一步���,黑客首先通過網(wǎng)絡(luò)嗅探都是通過WEB方式進行,因此需要嚴(yán)格設(shè)置IIS輔助功能模塊�����。
一�、基本設(shè)置
1、開啟IIS輔助功能:開啟后��,IIS輔助功能生效��,否則無效��,開啟或者關(guān)閉后�����,請點擊【保存】按鈕�;
2�、開啟IIS查殺:在瀏覽器與服務(wù)器通信的數(shù)據(jù)流中檢測危險數(shù)據(jù)��,如果有��,則進行阻斷�;
3�、禁止POST提交:阻止客戶端POST提交數(shù)據(jù);
4����、禁止文件上傳:阻止客戶端上傳文件;
5���、攔截時顯示關(guān)鍵詞:是否將攔截關(guān)鍵詞信息發(fā)送到瀏覽器�����,此功能是為了方便找到攔截的內(nèi)容�,建議關(guān)閉�;
6、防止PHP流量攻擊:防止PHP的UDP惡意流量上傳攻擊���,建議開啟�;
7、自動攔截異常IP:對試圖嘗試入侵服務(wù)器的IP進行攔截�,在重啟IIS后才會清除。注意�,對于CDN節(jié)點的服務(wù)器建議不勾選。
8����、監(jiān)控的文件類型:一般需要監(jiān)控動態(tài)腳本,如:asp|aspx|php|asa|cdx|asax|cer 等�;
9、攔截提示補充內(nèi)容:您可以將自己的提示信息發(fā)送給被攔截的用戶���,如聯(lián)系方式等���。
10、重啟IIS:重新啟動w3svc服務(wù)����,重新應(yīng)用IIS輔助設(shè)置。
二����、訪問控制
1、監(jiān)控的URL路徑:一般設(shè)置圖片目錄�、上傳目錄等靜態(tài)目錄��,不需要執(zhí)行腳本的目錄����,如 “/images/” “/uploadfiles/”等�����,禁止該目錄下的腳本文件����,如 asp 文件被訪問����。
2、該功能是為了解決黑客利用上傳目錄上傳危險腳本文件的漏洞問題���。
3�����、攔截效果如圖:
三�����、SQL防注入
1����、Get防注入關(guān)鍵詞:過濾URL中的字符串,包括通過URL編碼的字符串��;
2�、POST防注入關(guān)鍵詞:過濾POST提交數(shù)據(jù)中的數(shù)據(jù),包括通過URL編碼的數(shù)據(jù)����;
3、Cookies防注入關(guān)鍵詞:過濾Cookies中的數(shù)據(jù)�,包括通過URL編碼的數(shù)據(jù);
4��、【獲取】按鈕�,獲取官方指定的防注入關(guān)鍵詞,比較完全����,推薦采用;
5��、如果需要開啟某功能����,請選擇對應(yīng)的選項����,并保存�����。保存完畢之后�����,請重啟IIS以便完成應(yīng)用����。
6�、攔截效果如圖:
四、掛馬防護
1���、攔截數(shù)據(jù)流字節(jié)上限:超過該設(shè)定字節(jié)長度的數(shù)據(jù)流�,將不進行解析���,默認(rèn)5000��,用戶可以自定義�;
2、掛馬類型選項:包括 Script/Iframe 掛馬����,格式如: <script src=http://www.aa.com/muma.js></script> ,以及 <Iframe src=http://www.aa.com; width='250'height='200' scrolling='no'frameborder='0'> </iframe> 等格式�;
3、監(jiān)控客戶端數(shù)據(jù)提交方式:包括 Get/Post/Cookies 三種�,建議都勾選;
4�、掛馬白名單,如含有某些認(rèn)可的特征��,如某些統(tǒng)計代碼��,則可以將這些代碼中的關(guān)鍵部分提取到掛馬白名單中����,那么即使提交的數(shù)據(jù)含有掛馬的特征,但是含有白名單特征碼���,因此不會被攔截�;
5、攔截后的提示:
五�����、白名單
1����、URL白名單:設(shè)置信任的部分或完整路徑,那么該目錄下的文件將不受限制的訪問�;
2、IP白名單:如果希望某個客戶端的IP(段)不受限制的訪問�����,那么可以將客戶端的IP設(shè)置到IP白名單中�;
3、安全碼:如果提交的內(nèi)容�,包含了安全碼,那么該提交將會被放行而不進行攔截�����;
4����、注意:白名單優(yōu)先級低于黑名單。
六���、黑名單
1�����、禁止訪問的URL路徑或文件:如不希望某些目錄或文件被訪問��,則可以設(shè)置到這里����;
2���、輸入禁止訪問的IIS的客戶端IP(段):禁止該IP的客戶端訪問IIS上的網(wǎng)站���;
3、黑名單優(yōu)先級高于白名單��;
4���、攔截效果如圖:
七�����、日志分析
八�、注意事項
1、修改設(shè)置后���,請保存�,并重啟IIS才會立即生效���;
2���、為了提高效率,系統(tǒng)記錄的日志并不是實時記錄��,如果您想立刻查看日志����,則請重啟IIS,否則�����,系統(tǒng)會根據(jù)時間和日志條數(shù)寫日志���;
