IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail 服务器不是很好⽤,⼀般⽤IIS只⽤其WEB服务器。本⽂以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置⽅法。
⽬前运⾏IIS的最理想平台是Windows 2000服务器版和⾼级服务器版。Win9x/Me⾥也有IIS,但只是PWS(个⼈WEB服务器),功能很有限,只⽀持1个连接。WinXP⾥的IIS也只⽀持10个连接。如果您要使⽤IIS,请使⽤Windows 2000服务器版。
IIS是Windows操作系统⾃带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制⾯板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。
基本设置
⼀、打开“控制⾯板”->“管理⼯具”->“Internet 服务管理器”:
在“默认Web站点”上按⿏标右键,选择“属性”,弹出默认Web站点设置窗⼝: “TCP端⼝”是WEB服务器端⼝,默认值是80,不需要改动。
“IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP 上,包括拨号上⽹得到的动态IP。
⼆、点击上⾯属性窗⼝⾥的“主⽬录”:
在“本地路径”右边,是⽹站根⽬录,即⽹站⽂件存放的⽬录,默认路径是“c:\inetpub\wwwroot”。如果想把⽹站⽂件存放在其他地⽅,可修改这个路径。
三、点击上⾯属性窗⼝的“⽂档”:
在这⾥设置⽹站的默认⾸页⽂档。在浏览器⾥输⼊⼀个地址(例如)访问IIS的时候,IIS会在⽹站根⽬录下查默认的⾸页⽂件,如果到就打开,不到就显⽰“该页⽆法显⽰”。请在这⾥添加所需的默认⾸页⽂件名,添加完后可以⽤左边的上下箭头排列这些⽂件名的查顺序。
四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。
如果您已经做好⽹站,请把⽹站⽂件copy到⽹站根⽬录,并确认⽹站的默认⾸页⽂件名已经在上⾯窗⼝的搜索列表⾥。之后打开ie,输⼊ ,就看到您的⽹站了。
如果您还没有做好⽹站,请在⽹站根⽬录新建⼀个htm⽂件,命名为“default.htm”,⽤⽹页编辑⼯具(
例如FrontPage、Dreamweaver或记事本)打开这个⽂件,输⼊⼏个字,例如“我的⽹站”。保存⽂件后,打开ie,输⼊ ;看看。
其他设置
⼀、虚拟⽬录
在⽹站根⽬录下,可以建⼦⽬录来存放⽹页。例如建⼀个⼦⽬录“abc”,⾥⾯放个⽂件“xyz.htm”,访问这个⽂件的URL是:
如果某些⽂件或⽬录放在其他⽬录下,或在其他硬盘分区下,⽽⼜希望可以被WEB访问,这个问题可以⽤虚拟⽬录解决。
虚拟⽬录可以把某个⽬录映射成⽹站根⽬录下的⼀个⼦⽬录。例如:⽹站根⽬录是“c:\dns0755”,把D盘上的“d:\software”⽬录映射到“c:\dns0755”⽬录下,映射后的名字为“download”,访问“d:\software”⽬录下的某个⽂件“truehost.zip”的URL为:
建⽴虚拟⽬录有两种⽅式:
1、在资源管理器⾥建⽴
打开资源管理器,到要映射的⽬录,如“d:\software”,在“software”上按⿏标右键,选择“属性”->“Web共享”:
点击“共享这个⽂件夹”:
在“别名”⾥输⼊映射后的名字,再点击确定。
要删除映射,可以按同样的⽅法,在前⾯窗⼝⾥选择“不共享这个⽂件夹”。
2、在Internet信息服务⾥建⽴。
打开“控制⾯板”->“管理⼯具”->“Internet 服务管理器”,在“默认Web站点”上按⿏标右键,选择“新建”->“虚拟⽬录”:
弹出欢迎窗⼝,点击“下⼀步”;
在“别名”⾥输⼊映射后的名字,如“download”,点击“下⼀步”;
在“⽬录”⾥输⼊要映射的⽬录,如“d:\software”,点击“下⼀步”:
在这⾥选择正确的访问权限,再点击“下⼀步”,即完成设置。
删除映射的⽅法:打开Internet信息服务,在虚拟⽬录别名上按⿏标右键,选择“删除”。
⾄此本地站点已经可以正常⼯作了,可以⽤进⼊本地站点,注意:asp程序必须在浏览器中才能看到效果,直接在资源管理器中打开只能是编辑asp⽂件了,⽽⽆法浏览效果
关于IIS的漏洞,⼏乎所有利⽤这些漏洞实现对⽹站攻击的⼿段均是构造特殊的URL来访问⽹站,⼀般有以下⼏种类型的URL可以利⽤漏洞:
1、特别长的URL,⽐如红⾊代码攻击⽹站的URL就是这样:
GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd 3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u 0000%u00=a 200;取向硅钢
2、特殊字符或者字符串的URL,⽐如在URL后⾯加:DATA可以看到⽹页(ASP)源代码;
3、URL中含有可执⾏⽂件名,最常见的就是有;
既然这些攻击利⽤特殊的URL来实现,所以,微软提供了这款专门过滤⾮法URL的安全⼯具,可以达到御敌于国门之外的效果,这款⼯具有以下特点和功能:
2、设定规则,辨别那些URL请求是合法的;这样,就可以针对本⽹站来制定专门的URL请求规则;同时,当有新的漏洞出现时,可以更改这个规则,达到防御新漏洞的效果; 3、程序提供⼀套URL请求规则,这个规则包含已经发现的漏洞利⽤特征,帮助管理员设置规则;
(⼀)、软件的下载与安装
URLScan可以在微软的⽹站上下载,地址如下:
和⼀般软件⼀样安装,但是,此软件不能选择安装路径,安装完成以后,我们可以在System32/InetSvr/URLScan⽬录下到以下⽂件:蒸汽直埋管道
urlscan.dll:动态连接库⽂件;
urlscan.inf:安装信息⽂件;
:软件说明⽂件;
urlscan.ini:软件配置⽂件,这个⽂件很只要,因为对URLScan的所有配置,均有这个⽂件来完成。
(⼆)、软件的配置
软件的配置由urlscan.ini⽂件来完成,在配置此⽂件以前,我们需要了解⼀些基本知识。
1、urlscan配置⽂件的构造形式
urlscan配置⽂件必须遵从以下规则:
(1)此⽂件名必须为urlscan.ini;
(2)配置⽂件必须和urlscan.dll在同⼀⽬录;
(3)配置⽂件必须是标准ini⽂件结构,也就是由节,串和值组成;
(4)配置⽂件修改以后,必须重新启动IIS,使配置⽣效;
(5)配置⽂件由以下各节组成:
[Option]节,主要设置节;
[AllowVerbs]节,配置认定为合法URL规则设定,此设定与Option节有关;
[DenyVerbs]节,配置认定为⾮法URL规则设定,此设定与Option节有关;
[DenyHeaders]节,配置认定为⾮法的header在设⽴设置;
[AllowExtensions]节,配置认定为合法的⽂件扩展名在这⾥设置,此设定与Option节有关;
[DenyExtensions]节,配置认定为⾮法的⽂件扩展名在这⾥设置,此设定与Option节有关;
2、具体配置
(1)Option节的配置,因为Option节的设置直接影响到以后的配置,因此,这⼀节的设置特别重要。此节主要进⾏以下属性的设置:
UseAllowVerbs:使⽤允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;
UseAllowExtensions:使⽤允许模式检测⽂件扩展名;如果设置为 1,所有没在[AllowExtensions]节
设置的⽂件扩展名均认为是⾮法请求;如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求;默认为0;
EnableLogging:是否允许使⽤Log⽂件,如果为1,将在urlscan.dll的相同⽬录设置名为urlscan.log的⽂件记录所有过滤;
AllowLateScanning:允许其他URL过滤在URLScan过滤之前进⾏,系统默认为不允许0;
AlternateServerName:使⽤服务名代替;如果此节存在⽽且[RemoveServerHeader]节设置为0,IIS将在这⾥设置的服务器名代替默认的“Server”;
NormalizeUrlBeforeScan:在检测URL之前规格化URL;如果为1,URLScan将在IIS编码URL之前URL进⾏检测;需要提醒的是,只有管理员对URL解析⾮常熟悉的情况下才可以将其设置为0;默认为1;
VerifyNormalization:如果设置为1,UrlScan将校验URL规则,默认为1;此节设定与NormalizeUrlBeforeScan有关;
过氧化氢酶活性测定
AllowHighBitCharacters:如果设置为1,将允许URL中存在所有字节,如果为0,含有⾮ASCII字符的URL将拒绝;默认为1;
AllowDotInPath:如果设置为1,将拒绝所有含有多个“.”的URL请求,由于URL检测在IIS解析URL之前,所以,对这⼀检测的准确性不能保证,默认为0;
RemoveServerHeader:如果设置为1,将把所有应答的服务头清除,默认为0;
(2)[AllowVerbs]节配置
如果UseAllowVerbs设置为1,此节设置的所有请求将被允许,⼀般设置以下请求:
GET、HEAD、POST
(3)[DenyVerbs]节配置
如果UseAllowVerbs设置为0,此节设置的所有请求将拒绝,⼀般设置以下请求:
PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK
(4)[AllowExtensions]节设置
在这⼀节设置的所有扩展名⽂件将被允许请求,⼀般设置以下请求:
彩铃加加 .asp、.htm、.html、.txt、.jpg、.jpeg、.gif,如果需要提供⽂件下载服务,需要增加.rar、.zip
比重瓶法
(5)[DenyExtensions]节设置
在这⼀节设置的所有扩展名⽂件请求将被拒绝,根据已经发现的漏洞,我们可以在这⼀节增加内容,⼀般为以下设置:
.asa、可执⾏⽂件、批处理⽂件、⽇志⽂件、罕见扩展如:shtml、.printer等。
在使⽤UrlScan的时候,切记不要设置⼀次万事⼤吉,需要不停跟踪新出现的漏洞,随时修改URLScan的配置⽂件。
<script>
(function(){
function setArticleH(btnReadmore,posi){
var winH = $(window).height();
var articleBox = $("div.article_content");
var artH = articleBox.height();
if(artH > winH*posi){
电缆转接箱articleBox.css({
'height':winH*posi+'px',
'overflow':'hidden'
})
btnReadmore.click(function(){
$(this).parent().remove();
})
}else{
btnReadmore.parent().remove();
}
}
var btnReadmore = $("#btn-readmore");
if(btnReadmore.length>0){
if(currentUserName){
setArticleH(btnReadmore,3);
}else{
setArticleH(btnReadmore,1.2);
}
}
})()
</script>
</article>
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议