 鲜花( 0)  鸡蛋( 0)
|
IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。
( ?2 I2 W( @9 G) i 目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。% o0 E* n& d5 g$ p3 J6 b; ^: n, F
IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。 ! e0 h( Z& b) n4 x: Z9 ?
; k8 E& |0 a3 c
基本设置
& h% f8 P1 W" ]4 e$ q' D, B+ p5 M$ I4 B5 Z
一、打开“控制面板”->“管理工具”->“Internet 服务管理器”:) I v/ B3 g" S! B
 . q4 ^% Y( f+ L% ` p3 N2 n
在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:1 D' K! @% c- G0 f
5 a9 ^( H5 v0 e( `& \* C* k“TCP端口”是WEB服务器端口,默认值是80,不需要改动。% u- J5 c1 V1 z
“IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。. h* L7 a0 }/ J; G4 J0 d
二、点击上面属性窗口里的“主目录”:, K- @( c& V% v! Z3 h) C% T
 1 b9 o5 r" h7 d8 K9 w( L. U& S: f- {
在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。
0 O! E) @8 G( b6 ^0 {: J) ^ z三、点击上面属性窗口的“文档”:
+ V7 X w9 ~7 m: C0 G O9 L6 x" g0 w; e
在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。( N( _! I- G$ I1 n
四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。0 E3 O; n7 J- m& E7 o
如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。
* m) w$ ^: e/ n- m: H$ s( L 如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。
3 e, P$ }4 M' S, f其他设置
( s7 F& u- `6 g3 p
9 _/ n1 D; f$ a8 l IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。
2 q* ?+ ]4 `7 ]3 r3 n. ]0 ^ 目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。8 [! b4 w7 ]5 H0 ^8 i) Z0 f
IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。
/ b" q8 u" H! c- b0 q$ l( [6 {
: p; j5 o+ Q1 R) t' H* i2 t* _! j基本设置; Y% O/ w& E, ^: { E. a
一、打开“控制面板”->“管理工具”->“Internet 服务管理器”:4 E* m U! m; a2 j1 ^: t
在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:$ Y$ t5 b9 b! C7 F: ^
“TCP端口”是WEB服务器端口,默认值是80,不需要改动。9 j: @& }+ Q. Z; |+ J
“IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。
5 n9 S. {/ h* t. V二、点击上面属性窗口里的“主目录”:
# |( v! x3 |+ h) Z8 e在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。6 J6 G, N7 K2 A% {- w5 F
三、点击上面属性窗口的“文档”:# M+ f/ k- `3 C7 X9 q% H' j
在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。' _8 L9 \ Y, o' @6 J
四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。
. e5 `8 f/ @" B1 l, g4 v 如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。/ m/ [; I+ }! k/ h$ Q3 F: Q
如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。
8 L1 w$ V4 O8 Q2 ]& [: P2 n其他设置, z# L/ N: t' B! K% F; R' O' R
一、虚拟目录" Y6 H8 R: ~+ [9 T( A, w$ w* t; [# E
在网站根目录下,可以建子目录来存放网页。例如建一个子目录“abc”,里面放个文件“xyz.htm”,访问这个文件的URL是:
) P' d5 I2 f/ O. K7 M4 J$ P- i http://user.dns0755.net/abc/xyz.htm
4 f& ]4 N/ N( n7 w- y! m; | 如果某些文件或目录放在其他目录下,或在其他硬盘分区下,而又希望可以被WEB访问,这个问题可以用虚拟目录解决。
, O. O$ G1 k g! B; a3 I' \ 虚拟目录可以把某个目录映射成网站根目录下的一个子目录。例如:网站根目录是“c:\dns0755”,把D盘上的“d:\software”目录映射到“c:\dns0755”目录下,映射后的名字为“download”,访问“d:\software”目录下的某个文件“truehost.zip”的URL为:0 S' V" |. H, q- h. K$ M
http://user.dns0755.net/download/truehost.zip3 b- F Q$ F0 M0 V2 l
建立虚拟目录有两种方式:
$ _0 S$ \, H) d$ i; ]. i% t0 {) h1、在资源管理器里建立
" y: v) s* Z7 |8 }/ S 打开资源管理器,找到要映射的目录,如“d:\software”,在“software”上按鼠标右键,选择“属性”->“Web共享”: # \% | F- A# ~
 3 ]/ D8 h3 ?) [+ m* @5 ?' m
点击“共享这个文件夹”:; t6 L% d6 N- R5 c* S
; ?# r4 V. E y! r8 C9 W5 y# U在“别名”里输入映射后的名字,再点击确定。 P2 U/ y7 r6 J6 v6 \
要删除映射,可以按同样的方法,在前面窗口里选择“不共享这个文件夹”。
b2 ]7 O P! z6 }2、在Internet信息服务里建立。* G; n. A1 S. d. z
打开“控制面板”->“管理工具”->“Internet 服务管理器”,在“默认Web站点”上按鼠标右键,选择“新建”->“虚拟目录”:# U2 a- w V- {- e" R
* U: o B% r' O* t% w弹出欢迎窗口,点击“下一步”;7 Z( w! q z6 z0 ~6 J7 g
在“别名”里输入映射后的名字,如“download”,点击“下一步”;: }' {$ V2 w4 A3 r3 c) D- ~ Z- u
在“目录”里输入要映射的目录,如“d:\software”,点击“下一步”:. Z/ U/ c* e& N' H# u+ L: U
4 Y2 e& j& Y9 v ?9 k9 Q6 Z在这里选择正确的访问权限,再点击“下一步”,即完成设置。6 E, t9 y, d- m6 |2 ^
删除映射的方法:打开Internet信息服务,在虚拟目录别名上按鼠标右键,选择“删除”。
5 H$ G/ Y5 y# s# e7 j+ W- `至此本地站点已经可以正常工作了,可以用http://127.0.0.1进入本地站点,注意:asp程序必须在浏览器中才能看到效果,直接在资源管理器中打开只能是编辑asp文件了,而无法浏览效果- C( I- C# O; _
关于IIS的漏洞,几乎所有利用这些漏洞实现对网站攻击的手段均是构造特殊的URL来访问网站,一般有以下几种类型的URL可以利用漏洞:, i: i$ {4 }+ M" Y6 M G1 y g5 R* `
1、特别长的URL,比如红色代码攻击网站的URL就是这样:
, [$ }) s4 J# @% k) zGET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX: W$ B2 o8 i$ A; h% ~! `. g! U
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX. Q( ]0 B; {$ E1 Z; Y) N
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX/ H& e1 q R+ z7 P2 u# P+ y3 Z& v
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200;
' D4 l* z) o/ @6 Q/ O2、特殊字符或者字符串的URL,比如在URL后面加:DATA可以看到网页(ASP)源代码;
$ E) O$ r+ v7 o1 ` 3、URL中含有可执行文件名,最常见的就是有cmd.exe;
?% B/ q% K+ [+ C; q% t( U) j 既然这些攻击利用特殊的URL来实现,所以,微软提供了这款专门过滤非法URL的安全工具,可以达到御敌于国门之外的效果,这款工具有以下特点和功能:3 h3 z. f$ H# `) O
1、基本功能:过滤非法URL请求;
6 I1 O' T2 G; Y 2、设定规则,辨别那些URL请求是合法的;这样,就可以针对本网站来制定专门的URL请求规则;同时,当有新的漏洞出现时,可以更改这个规则,达到防御新漏洞的效果;# C7 Q1 f: G, }% N u4 {
3、程序提供一套URL请求规则,这个规则包含已经发现的漏洞利用特征,帮助管理员设置规则;3 [1 j6 }, j8 {4 F3 D6 t8 J
(一)、软件的下载与安装
( W8 v: y& G* Y7 a1 _$ w URLScan可以在微软的网站上下载,地址如下:# c" |8 l+ C1 s# [ b
http://www.microsoft.com/downloads/details.aspx?FamilyID=f4c5a724-cafa-4e88-8c37-c9d5abed1863&DisplayLang=en/ H+ J5 b; ?5 R+ A
和一般软件一样安装,但是,此软件不能选择安装路径,安装完成以后,我们可以在System32/InetSvr/URLScan目录下找到以下文件:; _7 M: n& F, i% D5 }
urlscan.dll:动态连接库文件;) {+ r$ Y+ j' f/ }' J
urlscan.inf:安装信息文件;
7 M1 H! a1 M' d4 o$ |: v0 e2 w urlscan.txt:软件说明文件;8 X1 K; n+ N6 W* N1 b3 L& U5 O! N8 R
urlscan.ini:软件配置文件,这个文件很只要,因为对URLScan的所有配置,均有这个文件来完成。
: m0 \# M J, Y$ }$ {(二)、软件的配置
- {; `( ]' j A$ p+ U- L 软件的配置由urlscan.ini文件来完成,在配置此文件以前,我们需要了解一些基本知识。
% R: ? }0 J, j4 j4 @, y4 M& Y3 j1、urlscan配置文件的构造形式: J) R4 `0 ^! h7 Y
urlscan配置文件必须遵从以下规则:/ h3 n; W; r e6 e2 o3 p
(1)此文件名必须为urlscan.ini;1 @% \1 N F' \% d* q
(2)配置文件必须和urlscan.dll在同一目录;$ w: s9 `4 L' T, u U1 a( j
(3)配置文件必须是标准ini文件结构,也就是由节,串和值组成;
! Y* {! z' e& k1 v (4)配置文件修改以后,必须重新启动IIS,使配置生效;
) L4 V0 k2 t- @3 n (5)配置文件由以下各节组成:
; [ {) L; U e( T [Option]节,主要设置节;/ p% f6 C* A% Z* i' U
[AllowVerbs]节,配置认定为合法URL规则设定,此设定与Option节有关;
* I$ W, c; t2 \# q: n! n. L3 P' n. j [DenyVerbs]节,配置认定为非法URL规则设定,此设定与Option节有关;& s i% E# L( _! X6 h9 {
[DenyHeaders]节,配置认定为非法的header在设立设置;
4 X$ d6 h/ R; S" {9 K* K! ? Z/ Y$ n [AllowExtensions]节,配置认定为合法的文件扩展名在这里设置,此设定与Option节有关;6 G1 B3 T" a6 G e
[DenyExtensions]节,配置认定为非法的文件扩展名在这里设置,此设定与Option节有关;
7 g9 j$ N9 a* C! W 2、具体配置
; Q5 {4 ~$ r" ?5 w (1)Option节的配置,因为Option节的设置直接影响到以后的配置,因此,这一节的设置特别重要。此节主要进行以下属性的设置:- F* ^8 _+ R" G/ b! t
UseAllowVerbs:使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;
- g' f& t( r1 L UseAllowExtensions:使用允许模式检测文件扩展名;如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求;如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求;默认为0;
t; v3 t) ?& E2 C9 M1 e EnableLogging:是否允许使用Log文件,如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤;. t! q* S) W+ ^1 S, n. ^
AllowLateScanning:允许其他URL过滤在URLScan过滤之前进行,系统默认为不允许0;
; I1 |% s) C e0 a* z3 kAlternateServerName:使用服务名代替;如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的“Server”;$ O2 k0 p8 z) d: y
NormalizeUrlBeforeScan:在检测URL之前规格化URL;如果为1,URLScan将在IIS编码URL之前URL进行检测;需要提醒的是,只有管理员对URL解析非常熟悉的情况下才可以将其设置为0;默认为1;" L' L9 f8 t! g( ?, g& C- `3 e+ u
VerifyNormalization:如果设置为1,UrlScan将校验URL规则,默认为1;此节设定与NormalizeUrlBeforeScan有关;
: ^7 q& B" M1 ` AllowHighBitCharacters:如果设置为1,将允许URL中存在所有字节,如果为0,含有非ASCII字符的URL将拒绝;默认为1;# @3 }6 x- P" | n8 e
AllowDotInPath:如果设置为1,将拒绝所有含有多个“.”的URL请求,由于URL检测在IIS解析URL之前,所以,对这一检测的准确性不能保证,默认为0;/ C9 I0 a' P6 M- t0 Z% r& E4 g
RemoveServerHeader:如果设置为1,将把所有应答的服务头清除,默认为0;( O$ ]/ S; P2 B3 c( ]0 {* I v
(2)[AllowVerbs]节配置
% r% y- w6 J! n 如果UseAllowVerbs设置为1,此节设置的所有请求将被允许,一般设置以下请求:' p, H7 D7 U+ G1 A& K& `
GET、HEAD、POST+ ^# H6 e' }0 R1 O, E
(3)[DenyVerbs]节配置) ]3 y" e t3 D( J" _3 B
如果UseAllowVerbs设置为0,此节设置的所有请求将拒绝,一般设置以下请求:
9 I4 C. h5 b& @9 R1 I, v6 w PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK
8 u6 x/ \! L3 M) i% t (4)[AllowExtensions]节设置1 H* _# x3 g z* n
在这一节设置的所有扩展名文件将被允许请求,一般设置以下请求:, ^" I) T K$ x7 N5 s; G7 H- b
.asp、.htm、.html、.txt、.jpg、.jpeg、.gif,如果需要提供文件下载服务,需要增加.rar、.zip; {9 w* Y }. y* g L9 E0 E) s
(5)[DenyExtensions]节设置1 l* ?9 J, W: [9 [) |$ F
在这一节设置的所有扩展名文件请求将被拒绝,根据已经发现的漏洞,我们可以在这一节增加内容,一般为以下设置:
- ]. p: E$ m& m9 w% m6 e.asa、可执行文件、批处理文件、日志文件、罕见扩展如:shtml、.printer等。, K3 Y- i9 W6 G' H# {0 O+ p) @1 X
在使用UrlScan的时候,切记不要设置一次万事大吉,需要不停跟踪新出现的漏洞,随时修改URLScan的配置文件。 |
|
狗仔卡
发表于 2009-4-23 09:50
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主
