 鲜花( 0)  鸡蛋( 0)
|
IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。
/ K, r. |7 G9 l# `' N 目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。+ S- B1 A+ z4 c6 H9 Q5 r- ]
IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。 3 \* K: m& A: N
K) X2 ~) |7 q6 n$ f! ^
基本设置
! H" [( `" V+ o0 l( e: A9 N' z0 `, i9 @1 d" d0 g
一、打开“控制面板”->“管理工具”->“Internet 服务管理器”:
! @2 m R! ]3 S3 i
6 H* D$ d4 ?7 T在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:' E5 B: z/ R+ m4 ]2 ?+ c
4 X$ @( L b) d: q% V V* T“TCP端口”是WEB服务器端口,默认值是80,不需要改动。
z4 c% e4 W, ^ ?# ? “IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。
# k7 F/ G" ]" e+ T ~# F二、点击上面属性窗口里的“主目录”:9 c" {% C9 Z) Y+ ?" H/ }
6 s4 z0 j+ x+ u* q1 X+ X+ ^5 i在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。
9 v6 M8 }5 C% V! I. x/ e8 I三、点击上面属性窗口的“文档”:. l7 H# r: b% q# o+ f. m% K& Z
 0 p4 k7 j/ h, i8 B* Q+ b' e
在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。
5 a! d3 D9 G& z四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。& c/ w+ Y( u2 L& {1 Q
如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。
9 r5 E' X! c' L0 S0 v 如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。& \! C" G e8 w# M+ d# ?4 ]! C3 M
其他设置
: K$ t$ x7 d4 G/ X3 w2 [# z, L( j% M7 v" A4 Y
IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。/ a% M- o8 X6 i; i/ W( @7 }& H
目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。9 F' {/ e( L/ O5 @7 i$ @
IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。5 Z, S8 _* O0 E/ \ L& F! |
( L. q! X+ S r6 r+ d/ `, v* ]( E
基本设置" U- Y$ w+ X& F7 D; c! j. n6 i1 Y
一、打开“控制面板”->“管理工具”->“Internet 服务管理器”:
! O, V/ n# b& v8 F4 f8 m4 I在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:& D) c3 Y# p: s' q/ ]3 o9 D& p7 w
“TCP端口”是WEB服务器端口,默认值是80,不需要改动。
2 T9 [$ k" M1 @, R “IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。4 \! Z" o9 F! z' R. i( n
二、点击上面属性窗口里的“主目录”:
/ L+ f9 j2 a8 f在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。3 n: L2 O- Q" t. A
三、点击上面属性窗口的“文档”:% P( `( m% u% p! |
在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。- U! [" W) B% p$ V V5 C7 D
四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。# H2 [: m X- g# y( l
如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。
: I0 m5 b& E: s! u/ h! c9 b 如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。
1 c2 U# I H, k6 K3 O其他设置- g$ t: Q' O, f8 A
一、虚拟目录
Q% U2 j( B. w; O( `: X4 j } 在网站根目录下,可以建子目录来存放网页。例如建一个子目录“abc”,里面放个文件“xyz.htm”,访问这个文件的URL是:
- P4 X; T* ?2 a1 a http://user.dns0755.net/abc/xyz.htm6 r% b% B+ t, {+ r! t2 G9 w- R
如果某些文件或目录放在其他目录下,或在其他硬盘分区下,而又希望可以被WEB访问,这个问题可以用虚拟目录解决。
# P5 i' n8 l' o) z* A4 _% X 虚拟目录可以把某个目录映射成网站根目录下的一个子目录。例如:网站根目录是“c:\dns0755”,把D盘上的“d:\software”目录映射到“c:\dns0755”目录下,映射后的名字为“download”,访问“d:\software”目录下的某个文件“truehost.zip”的URL为:
2 w' m" Z! m; j H: t o http://user.dns0755.net/download/truehost.zip* H) u' Z3 ^3 l6 B; ^! o9 A
建立虚拟目录有两种方式:% K& T) U9 w m2 R% g
1、在资源管理器里建立
+ t; v9 w( I, y* Q% G" H6 |9 G# D& G 打开资源管理器,找到要映射的目录,如“d:\software”,在“software”上按鼠标右键,选择“属性”->“Web共享”:
" l+ L) b9 ~, ?6 ~. ]; \8 ~' x 7 O$ O' g; Z c& w
点击“共享这个文件夹”:
* J* z! M e: T " A5 h1 Z# P$ I$ F
在“别名”里输入映射后的名字,再点击确定。
; |/ J! X& H- j; K" N- n- f1 E: p 要删除映射,可以按同样的方法,在前面窗口里选择“不共享这个文件夹”。7 W8 j1 p9 f$ e. ]
2、在Internet信息服务里建立。
; W4 T6 h% a. K9 Q1 l' e9 @' ? 打开“控制面板”->“管理工具”->“Internet 服务管理器”,在“默认Web站点”上按鼠标右键,选择“新建”->“虚拟目录”:. n1 Y+ k7 j, b5 o
 & n9 u& {( x! f* S7 c1 c
弹出欢迎窗口,点击“下一步”;
4 v, r9 o( F- Y% n% ^5 T 在“别名”里输入映射后的名字,如“download”,点击“下一步”;
; h% O$ {6 i! P+ ` t R0 P 在“目录”里输入要映射的目录,如“d:\software”,点击“下一步”:
% i m( |$ ^/ A' _5 P, X 0 l* p+ b0 L3 k: B& E
在这里选择正确的访问权限,再点击“下一步”,即完成设置。/ z, A: C0 F6 M4 P/ j
删除映射的方法:打开Internet信息服务,在虚拟目录别名上按鼠标右键,选择“删除”。
3 P5 L8 x0 a; V2 e6 g: e至此本地站点已经可以正常工作了,可以用http://127.0.0.1进入本地站点,注意:asp程序必须在浏览器中才能看到效果,直接在资源管理器中打开只能是编辑asp文件了,而无法浏览效果, M) h. r# n5 D3 H
关于IIS的漏洞,几乎所有利用这些漏洞实现对网站攻击的手段均是构造特殊的URL来访问网站,一般有以下几种类型的URL可以利用漏洞:/ a U) T1 a9 x
1、特别长的URL,比如红色代码攻击网站的URL就是这样:# g2 W: q+ X: {2 Z
GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX2 [5 b9 L0 Z9 t P
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX5 p: e" B, y y6 {2 d
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX& \" z9 }! B, O0 [
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200;
1 a* |8 r* A$ |& ?8 T1 @0 s$ q% \2、特殊字符或者字符串的URL,比如在URL后面加:DATA可以看到网页(ASP)源代码;" J0 r9 v' w, x& n
3、URL中含有可执行文件名,最常见的就是有cmd.exe;
& l7 q# ^8 m( e' ?* y8 [* F 既然这些攻击利用特殊的URL来实现,所以,微软提供了这款专门过滤非法URL的安全工具,可以达到御敌于国门之外的效果,这款工具有以下特点和功能:
1 ]7 v v: z% z% a4 U7 h; [2 Q 1、基本功能:过滤非法URL请求;
- ?* a3 |2 W2 {5 G2 J 2、设定规则,辨别那些URL请求是合法的;这样,就可以针对本网站来制定专门的URL请求规则;同时,当有新的漏洞出现时,可以更改这个规则,达到防御新漏洞的效果;. z3 n6 s. a9 B6 R
3、程序提供一套URL请求规则,这个规则包含已经发现的漏洞利用特征,帮助管理员设置规则;4 ?* \, O9 |4 z9 ^" {( R
(一)、软件的下载与安装5 i7 ^+ B% @% t( X, W; N
URLScan可以在微软的网站上下载,地址如下:
; E3 k0 e+ Y8 h0 b0 {4 e. Whttp://www.microsoft.com/downloads/details.aspx?FamilyID=f4c5a724-cafa-4e88-8c37-c9d5abed1863&DisplayLang=en
* l. X- v& t7 A r4 ]% Z 和一般软件一样安装,但是,此软件不能选择安装路径,安装完成以后,我们可以在System32/InetSvr/URLScan目录下找到以下文件:
8 A! @) E+ F; V0 y O; I1 z urlscan.dll:动态连接库文件;- k. R3 k8 k3 n
urlscan.inf:安装信息文件;
6 N2 R4 ~3 }/ @1 ^8 D* M8 y urlscan.txt:软件说明文件;
- ~ k0 x$ i$ K2 W. { urlscan.ini:软件配置文件,这个文件很只要,因为对URLScan的所有配置,均有这个文件来完成。
3 e- {% A* ?9 N- j" p" q5 k(二)、软件的配置
8 r( s" f) m5 B 软件的配置由urlscan.ini文件来完成,在配置此文件以前,我们需要了解一些基本知识。
1 R Z7 m$ T3 e( U$ ^5 F( t1、urlscan配置文件的构造形式, p. v" b [; b$ V8 U& o! V4 c
urlscan配置文件必须遵从以下规则:) b" ^! `( c+ m( \
(1)此文件名必须为urlscan.ini;
5 K }. ` M6 O( n# D; F (2)配置文件必须和urlscan.dll在同一目录;
8 \+ _$ _3 I* m, H# D- j) L2 ] (3)配置文件必须是标准ini文件结构,也就是由节,串和值组成;
" k; ?4 A* L4 k# F1 j( K8 h (4)配置文件修改以后,必须重新启动IIS,使配置生效;: H1 d" S3 Z- c( t0 M" d
(5)配置文件由以下各节组成:5 p9 K! K4 a1 W* x8 Q& D/ w% _9 t! @
[Option]节,主要设置节;
( p& C$ F/ \# |* U4 W' s6 Y# n [AllowVerbs]节,配置认定为合法URL规则设定,此设定与Option节有关;: m7 L4 Q) z5 N/ E) e) [
[DenyVerbs]节,配置认定为非法URL规则设定,此设定与Option节有关;! n9 {4 Q, C7 L* [
[DenyHeaders]节,配置认定为非法的header在设立设置;9 N$ W+ K) V( Z2 [0 r1 |; O/ `: M
[AllowExtensions]节,配置认定为合法的文件扩展名在这里设置,此设定与Option节有关;
9 f# ]6 U: A8 f4 B9 J [DenyExtensions]节,配置认定为非法的文件扩展名在这里设置,此设定与Option节有关;
, A- C4 G6 V1 z; V7 o 2、具体配置
- I' L! O0 u" B (1)Option节的配置,因为Option节的设置直接影响到以后的配置,因此,这一节的设置特别重要。此节主要进行以下属性的设置:
8 b. h; ~( u' s- S7 E4 {/ f8 Z8 o7 q UseAllowVerbs:使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;$ I. S0 v! ]2 }0 I: V4 `& F
UseAllowExtensions:使用允许模式检测文件扩展名;如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求;如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求;默认为0;" J. y8 g' C/ k# G
EnableLogging:是否允许使用Log文件,如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤;. g0 g% X' X" m) n( E9 Q, @0 E7 N' W
AllowLateScanning:允许其他URL过滤在URLScan过滤之前进行,系统默认为不允许0;
' x: Y$ ^* n) GAlternateServerName:使用服务名代替;如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的“Server”;9 m+ W# q* H# a7 L
NormalizeUrlBeforeScan:在检测URL之前规格化URL;如果为1,URLScan将在IIS编码URL之前URL进行检测;需要提醒的是,只有管理员对URL解析非常熟悉的情况下才可以将其设置为0;默认为1;9 Y; p- n6 j: N" d
VerifyNormalization:如果设置为1,UrlScan将校验URL规则,默认为1;此节设定与NormalizeUrlBeforeScan有关;! w9 [: a! a( p3 Q2 Y @2 W
AllowHighBitCharacters:如果设置为1,将允许URL中存在所有字节,如果为0,含有非ASCII字符的URL将拒绝;默认为1;
3 O: e% n" Y; P5 p7 _ AllowDotInPath:如果设置为1,将拒绝所有含有多个“.”的URL请求,由于URL检测在IIS解析URL之前,所以,对这一检测的准确性不能保证,默认为0;! i+ t' N/ a5 Y' @ ~
RemoveServerHeader:如果设置为1,将把所有应答的服务头清除,默认为0;+ x3 P. w5 x, m s' E
(2)[AllowVerbs]节配置
% Q1 P/ {# l4 X+ `0 V1 ] 如果UseAllowVerbs设置为1,此节设置的所有请求将被允许,一般设置以下请求:
' H9 f1 P1 B: ]( N8 W: R GET、HEAD、POST# {5 ^3 k. t6 y" S0 V6 T
(3)[DenyVerbs]节配置" x! q- _& W: r, t, I
如果UseAllowVerbs设置为0,此节设置的所有请求将拒绝,一般设置以下请求:
2 b; e6 y9 Z7 Y# |* R1 V$ A1 @ PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK
" |# |5 f6 k) ?( y3 a* {( X- e (4)[AllowExtensions]节设置# S* v2 U9 I3 b: ^- |; ?
在这一节设置的所有扩展名文件将被允许请求,一般设置以下请求:
! j' p2 `. B$ w .asp、.htm、.html、.txt、.jpg、.jpeg、.gif,如果需要提供文件下载服务,需要增加.rar、.zip6 n! d, q- H$ e" y, ~: e
(5)[DenyExtensions]节设置" n4 P }: ^: \% q8 A: c1 M& ~
在这一节设置的所有扩展名文件请求将被拒绝,根据已经发现的漏洞,我们可以在这一节增加内容,一般为以下设置:) P9 |8 f+ t. Z g% }+ R
.asa、可执行文件、批处理文件、日志文件、罕见扩展如:shtml、.printer等。9 U, o0 T0 w s1 x
在使用UrlScan的时候,切记不要设置一次万事大吉,需要不停跟踪新出现的漏洞,随时修改URLScan的配置文件。 |
|
狗仔卡
发表于 2009-4-23 09:50
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主
