 鲜花( 0)  鸡蛋( 0)
|
IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。
3 w( a( y4 \; ]5 p s7 w7 I [ 目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。
% q* r6 k: h/ _( O: o IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。
; G/ g) Y% r- x8 l* f5 u3 }; u( d' X. x7 ^& [( H
基本设置
8 l7 O* O% h: n, T/ R1 W7 H- y. y
* C" a9 ?7 G2 `7 ^一、打开“控制面板”->“管理工具”->“Internet 服务管理器”:% H) f# W+ L4 y9 v' D9 x
 % u; X* R8 `. ~+ ], e1 Q8 W
在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:
! L, v! s. G7 C+ w
: n$ p7 P0 W- x0 F9 l“TCP端口”是WEB服务器端口,默认值是80,不需要改动。+ I5 h; f& f6 z: C; y9 S
“IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。
& o6 H1 J9 O4 o' G; B% }二、点击上面属性窗口里的“主目录”:7 w& r; l2 l. g# i
 ; Q; N, r( O2 F: b1 v
在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。
- N# b3 q: J& {三、点击上面属性窗口的“文档”:
4 ?( T& J/ z) J- q7 L - m8 u) [4 Z+ p4 ^0 `8 T
在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。3 c Z5 t! V/ {; {, y4 Q
四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。
' h! v$ N7 y. [% c 如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。
6 I1 p0 `$ k( P6 m 如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。
8 z2 M' {( ?( H) A% j其他设置
" j! W1 V, N: C! M) ~, t4 v5 C# V% k3 @( U; U; X: P: C
IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。7 w) K$ E6 F. u, Q& j
目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。
, |/ D1 U4 o% s% ]) W R3 [ IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。
9 p- g$ G7 a3 G6 L; v- x# P5 p- I z! b# r$ o
基本设置; ]' d( Z3 i; ^
一、打开“控制面板”->“管理工具”->“Internet 服务管理器”:
7 b$ t( V2 R5 J在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:# z1 i7 G2 l6 _% L9 J/ [5 u
“TCP端口”是WEB服务器端口,默认值是80,不需要改动。, B' Z7 a# h' c9 e# z
“IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。
- C' l1 e- F3 f7 s0 Y- m9 X5 p二、点击上面属性窗口里的“主目录”:
! S* |6 |* h0 t1 Z w$ ~. E# |在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。3 ]. r* ^4 z6 z# @8 g, L4 ], r
三、点击上面属性窗口的“文档”:
" }. X1 y9 h) | g+ s在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。
* R" r3 h8 }- W" @- j; \8 t四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。/ W9 K: Z+ i, g- E( m4 `
如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。, I0 A3 d! e2 r: G1 b- Q: z, t" z
如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。2 D9 P C7 E6 u3 I J$ _9 u0 S
其他设置& E, e$ y: L0 P c# `- P
一、虚拟目录
6 S8 I# R0 f) E) J1 k( x 在网站根目录下,可以建子目录来存放网页。例如建一个子目录“abc”,里面放个文件“xyz.htm”,访问这个文件的URL是:
& j% ^+ ]$ U. k http://user.dns0755.net/abc/xyz.htm
6 X- P7 H) q/ u3 s7 V 如果某些文件或目录放在其他目录下,或在其他硬盘分区下,而又希望可以被WEB访问,这个问题可以用虚拟目录解决。
; F/ F. A0 f) H/ w/ [8 o 虚拟目录可以把某个目录映射成网站根目录下的一个子目录。例如:网站根目录是“c:\dns0755”,把D盘上的“d:\software”目录映射到“c:\dns0755”目录下,映射后的名字为“download”,访问“d:\software”目录下的某个文件“truehost.zip”的URL为:
, O3 w6 W7 Q/ | http://user.dns0755.net/download/truehost.zip
2 }$ c( l% y+ }7 J 建立虚拟目录有两种方式:5 F! C! o# j* y; J0 l/ u. l
1、在资源管理器里建立
~% t' w# H; S 打开资源管理器,找到要映射的目录,如“d:\software”,在“software”上按鼠标右键,选择“属性”->“Web共享”: # W" B) s8 \# T. g) V: Z4 s; d
 " Q; M; W0 d- u, ]+ ]
点击“共享这个文件夹”:2 @, N& N0 b1 @# {6 y6 D) S
 * r( f% s! A( j
在“别名”里输入映射后的名字,再点击确定。
; S8 l" S. g6 S( I. y. _7 \/ Q# {& [ 要删除映射,可以按同样的方法,在前面窗口里选择“不共享这个文件夹”。5 t7 Y' S# T5 j. K
2、在Internet信息服务里建立。
( U+ J3 S1 s# |( ]4 f, n 打开“控制面板”->“管理工具”->“Internet 服务管理器”,在“默认Web站点”上按鼠标右键,选择“新建”->“虚拟目录”:4 A2 u+ s9 Q" n# z0 y
0 G% H& A" r) P. P i弹出欢迎窗口,点击“下一步”;* k$ e+ g ]% b( @% p$ v p
在“别名”里输入映射后的名字,如“download”,点击“下一步”;
. ^' ~; e; s! ^- l 在“目录”里输入要映射的目录,如“d:\software”,点击“下一步”:" o, O7 r) M4 R S
" j1 C( W$ ~/ L, y在这里选择正确的访问权限,再点击“下一步”,即完成设置。
' f! [* R$ D6 p- e$ k 删除映射的方法:打开Internet信息服务,在虚拟目录别名上按鼠标右键,选择“删除”。
! L; W \& U' P. @, o- f至此本地站点已经可以正常工作了,可以用http://127.0.0.1进入本地站点,注意:asp程序必须在浏览器中才能看到效果,直接在资源管理器中打开只能是编辑asp文件了,而无法浏览效果/ d5 B" h+ L/ U' I" O8 }+ o
关于IIS的漏洞,几乎所有利用这些漏洞实现对网站攻击的手段均是构造特殊的URL来访问网站,一般有以下几种类型的URL可以利用漏洞:
: V( A& G$ N0 t1、特别长的URL,比如红色代码攻击网站的URL就是这样:
3 G/ f& w& O* P4 B, w U% J% J' UGET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX/ X7 T. D6 x/ [9 n4 d# N2 x: K/ I6 l |
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX" U! s! x; U! D' m( n
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX* O2 m$ X6 p7 V5 O0 [5 a. S1 n
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200;: B- R) O0 |# {/ @2 M5 [8 C
2、特殊字符或者字符串的URL,比如在URL后面加:DATA可以看到网页(ASP)源代码;- B; _% q9 f. w. H+ I k2 w6 G
3、URL中含有可执行文件名,最常见的就是有cmd.exe;
t* G' E. l# H 既然这些攻击利用特殊的URL来实现,所以,微软提供了这款专门过滤非法URL的安全工具,可以达到御敌于国门之外的效果,这款工具有以下特点和功能:/ \7 d+ p- a( e/ e: E
1、基本功能:过滤非法URL请求;$ L, N9 Y. q. o) V% F. [; A
2、设定规则,辨别那些URL请求是合法的;这样,就可以针对本网站来制定专门的URL请求规则;同时,当有新的漏洞出现时,可以更改这个规则,达到防御新漏洞的效果;
+ F7 x4 p- |' ?+ ~. g; p- ^, t4 c 3、程序提供一套URL请求规则,这个规则包含已经发现的漏洞利用特征,帮助管理员设置规则;
# S; r! _; F* Q& j% n(一)、软件的下载与安装1 v H* e- X4 ~* k/ I% f, W
URLScan可以在微软的网站上下载,地址如下:
% \+ ]2 G) n5 F; w; x0 ?http://www.microsoft.com/downloads/details.aspx?FamilyID=f4c5a724-cafa-4e88-8c37-c9d5abed1863&DisplayLang=en- e* b8 a: h" i& I4 e+ e) `; g: k
和一般软件一样安装,但是,此软件不能选择安装路径,安装完成以后,我们可以在System32/InetSvr/URLScan目录下找到以下文件:% o) M; A9 }6 o# C' c
urlscan.dll:动态连接库文件;* M- n; i4 F- B6 k
urlscan.inf:安装信息文件;$ C3 n, K6 h! H9 E
urlscan.txt:软件说明文件;
5 ` B& {3 R' I/ S urlscan.ini:软件配置文件,这个文件很只要,因为对URLScan的所有配置,均有这个文件来完成。
" f7 m/ d, G' [( n2 C(二)、软件的配置
5 Y! }( Y0 L) g$ _0 B! Y/ W/ d 软件的配置由urlscan.ini文件来完成,在配置此文件以前,我们需要了解一些基本知识。
# D. r( a8 z/ I8 `* k: {2 v1、urlscan配置文件的构造形式4 w; B6 c( X% ?, g: A
urlscan配置文件必须遵从以下规则:
# l8 M3 @$ s- F- {4 y (1)此文件名必须为urlscan.ini;4 ]; Z8 r, k- B9 k
(2)配置文件必须和urlscan.dll在同一目录;- s1 b0 s. @0 d2 o5 Q
(3)配置文件必须是标准ini文件结构,也就是由节,串和值组成;
/ l6 H5 i3 }1 ^0 D) Z3 F (4)配置文件修改以后,必须重新启动IIS,使配置生效;& s4 w5 O) }$ ?, y
(5)配置文件由以下各节组成:
: N. |) H1 s8 E9 c6 z- Z [Option]节,主要设置节;! H- F# @, m8 O
[AllowVerbs]节,配置认定为合法URL规则设定,此设定与Option节有关;2 S5 Q3 \; E9 r6 i9 |' ]
[DenyVerbs]节,配置认定为非法URL规则设定,此设定与Option节有关;
$ ^; f& V) N2 _$ G7 ^$ N0 o$ x [DenyHeaders]节,配置认定为非法的header在设立设置;
$ c+ U1 p& B* T1 H0 S7 j: l [AllowExtensions]节,配置认定为合法的文件扩展名在这里设置,此设定与Option节有关;) Q/ y F) b: P$ i8 C* ^
[DenyExtensions]节,配置认定为非法的文件扩展名在这里设置,此设定与Option节有关;9 a8 R. T6 U, e5 P! b( _* [
2、具体配置
1 ?! s3 f# T5 N; `+ B (1)Option节的配置,因为Option节的设置直接影响到以后的配置,因此,这一节的设置特别重要。此节主要进行以下属性的设置:! T* {" E; D! h O+ V x$ n: n! Y
UseAllowVerbs:使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;% y O6 G0 k6 u x8 X
UseAllowExtensions:使用允许模式检测文件扩展名;如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求;如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求;默认为0;
7 T& q% z0 [/ L2 k; S. v EnableLogging:是否允许使用Log文件,如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤;$ f/ |3 f9 z6 S1 i; e, G) Y
AllowLateScanning:允许其他URL过滤在URLScan过滤之前进行,系统默认为不允许0;
5 f. w) I9 m& M/ d' n3 NAlternateServerName:使用服务名代替;如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的“Server”; ]5 P8 F" l5 I1 \! L* q/ I
NormalizeUrlBeforeScan:在检测URL之前规格化URL;如果为1,URLScan将在IIS编码URL之前URL进行检测;需要提醒的是,只有管理员对URL解析非常熟悉的情况下才可以将其设置为0;默认为1;
& u% n& b9 c+ @ VerifyNormalization:如果设置为1,UrlScan将校验URL规则,默认为1;此节设定与NormalizeUrlBeforeScan有关;
) A: `% _' u1 D! o* \ AllowHighBitCharacters:如果设置为1,将允许URL中存在所有字节,如果为0,含有非ASCII字符的URL将拒绝;默认为1;/ Z" R9 x* x T8 `
AllowDotInPath:如果设置为1,将拒绝所有含有多个“.”的URL请求,由于URL检测在IIS解析URL之前,所以,对这一检测的准确性不能保证,默认为0;
# C# @$ q$ m$ i1 u# X2 x( M2 H+ j RemoveServerHeader:如果设置为1,将把所有应答的服务头清除,默认为0;
( t7 ?9 d" b5 X' V1 @/ J$ J) r (2)[AllowVerbs]节配置4 C$ j2 ~. v9 [6 z. H8 D# n9 r' K" c# R
如果UseAllowVerbs设置为1,此节设置的所有请求将被允许,一般设置以下请求:# W7 ]6 R$ A c6 t: U! B
GET、HEAD、POST
; \; v3 z& |2 v1 q (3)[DenyVerbs]节配置/ m _- A: T `6 j9 K0 F. A
如果UseAllowVerbs设置为0,此节设置的所有请求将拒绝,一般设置以下请求:
7 I6 ]% F. K& z I( R7 k PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK( b* {7 f8 W" C6 K: z
(4)[AllowExtensions]节设置" v D. \ Y* E+ H
在这一节设置的所有扩展名文件将被允许请求,一般设置以下请求:
! E& m! }7 X4 V$ w3 h# P .asp、.htm、.html、.txt、.jpg、.jpeg、.gif,如果需要提供文件下载服务,需要增加.rar、.zip
7 Y2 k, r! s1 X9 K (5)[DenyExtensions]节设置
5 Y0 q C3 n3 D$ j# Z* D 在这一节设置的所有扩展名文件请求将被拒绝,根据已经发现的漏洞,我们可以在这一节增加内容,一般为以下设置:
k: A# Q+ j: o2 Q5 h.asa、可执行文件、批处理文件、日志文件、罕见扩展如:shtml、.printer等。) w& M4 g# N: _' {4 }& [
在使用UrlScan的时候,切记不要设置一次万事大吉,需要不停跟踪新出现的漏洞,随时修改URLScan的配置文件。 |
|
狗仔卡
发表于 2009-4-23 09:50
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主
