 鲜花( 0)  鸡蛋( 0)
|
IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。 " S& T5 w0 m, h, n2 {" P: {
目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。) c$ N* r; e' S1 t. t% k$ g( N
IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。 ; i+ W: _- H0 X; @( z" V; P& [# O
) Y2 y, Z+ O7 g. d& P6 `! V
基本设置# L. ~( S. F. ?) N
% v' U9 T: I: X/ {, @; O% F
一、打开“控制面板”->“管理工具”->“Internet 服务管理器”:
) A! C' d) x8 X0 X ) z, ^" ^5 ~) a
在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:
# Q2 e* M4 E7 U
/ _2 K R; \$ c! n1 h1 m4 b8 O“TCP端口”是WEB服务器端口,默认值是80,不需要改动。
: I( o8 v. Z1 w% L* N “IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。( R- p; C% y5 ?
二、点击上面属性窗口里的“主目录”:* k! Z2 X; l% w H/ C! m1 Q, o
 2 u: R! J4 |+ w f. d/ f9 {- m
在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。
4 a' P2 d* a' z4 v三、点击上面属性窗口的“文档”:: `( r, X& ]/ i
9 J2 |5 a* l# a: M$ {1 ^# i4 P在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。. V6 N6 o/ @ B, K) Q) G( v
四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。
2 C- ^+ S$ s" w! z 如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。/ Z! Z9 n, J/ X5 c
如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。
' B; g9 }# k0 ^" Z& F其他设置
8 d; k' t4 F- E1 x7 R. F0 l: Y' ~# D
IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。
$ ^$ G% m1 J+ [ 目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。
2 O: `; r0 D4 P. S2 T IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。
' w5 _, e8 d6 t' I1 Y Q5 w3 q
- `- ?, a, L& x0 l6 B3 e基本设置. u8 y" M0 ?. R* F( y1 P8 n
一、打开“控制面板”->“管理工具”->“Internet 服务管理器”: ]4 W5 o7 M, u ]% C9 m
在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:% F* C- }7 Z* J+ D/ O& A: Q
“TCP端口”是WEB服务器端口,默认值是80,不需要改动。: y1 S% A" n1 H6 @
“IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。
8 g, ~% f( V9 ?% A d5 R) E二、点击上面属性窗口里的“主目录”:) R% H7 L6 W* a8 n/ b# ?
在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。
# H& x0 j- ~" T$ r0 {( o' U, D三、点击上面属性窗口的“文档”:9 z k3 J7 X, a$ N) G: R4 R. R
在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。! O& d) [" |8 C& ^& m2 j' K
四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。/ C: q! @! v; w# U) _" B
如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。
5 i V7 Y( h: O* ^- |- V8 l 如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。
6 }, i! G% v' |5 u8 K8 n$ a$ e, x其他设置
2 X3 ~* Z1 z* q1 R一、虚拟目录 v! ]% \: W: P/ x2 R
在网站根目录下,可以建子目录来存放网页。例如建一个子目录“abc”,里面放个文件“xyz.htm”,访问这个文件的URL是:
/ I. R0 i i! f8 A1 h http://user.dns0755.net/abc/xyz.htm L! w- v* c1 D" r5 _/ }
如果某些文件或目录放在其他目录下,或在其他硬盘分区下,而又希望可以被WEB访问,这个问题可以用虚拟目录解决。
7 m7 _& A) L" N7 x& O. j* Z 虚拟目录可以把某个目录映射成网站根目录下的一个子目录。例如:网站根目录是“c:\dns0755”,把D盘上的“d:\software”目录映射到“c:\dns0755”目录下,映射后的名字为“download”,访问“d:\software”目录下的某个文件“truehost.zip”的URL为:3 m; A4 i* R }+ w8 p/ q. R: M
http://user.dns0755.net/download/truehost.zip0 y& \# R v3 w5 O3 ]# G3 E
建立虚拟目录有两种方式:# ?9 Y' ?6 L# p1 p* G
1、在资源管理器里建立1 G% ~9 j" l/ o; `6 w5 Y. T
打开资源管理器,找到要映射的目录,如“d:\software”,在“software”上按鼠标右键,选择“属性”->“Web共享”: 9 h5 G1 y5 W+ y6 z/ {
& R4 V# }# F* `# G) k; G1 d点击“共享这个文件夹”:
4 h2 P3 K8 W8 p6 S- q, [ / j+ J% w1 [3 l( U
在“别名”里输入映射后的名字,再点击确定。! l5 ?: q* ^2 t! i& L6 R K
要删除映射,可以按同样的方法,在前面窗口里选择“不共享这个文件夹”。. I0 |% Z* K! @" G( I6 ^, d3 x. m
2、在Internet信息服务里建立。
1 o$ J2 s; @ u2 E 打开“控制面板”->“管理工具”->“Internet 服务管理器”,在“默认Web站点”上按鼠标右键,选择“新建”->“虚拟目录”:* ^1 l3 Y) F# C; r. d
. |6 H1 k- v/ d* W& z% `弹出欢迎窗口,点击“下一步”;
! z4 k0 c6 U3 z9 t0 u8 J2 p 在“别名”里输入映射后的名字,如“download”,点击“下一步”;2 }9 l5 [; ^. N9 A4 C
在“目录”里输入要映射的目录,如“d:\software”,点击“下一步”:. F, ^+ Z( u/ }
 / K/ I3 g* y# N! S. v( ^7 L
在这里选择正确的访问权限,再点击“下一步”,即完成设置。
5 e1 u% Z7 n- b/ M' B 删除映射的方法:打开Internet信息服务,在虚拟目录别名上按鼠标右键,选择“删除”。3 _0 ?- G( z; X1 c( t. {
至此本地站点已经可以正常工作了,可以用http://127.0.0.1进入本地站点,注意:asp程序必须在浏览器中才能看到效果,直接在资源管理器中打开只能是编辑asp文件了,而无法浏览效果) u3 l: F m4 S/ Y/ ?5 r3 S/ e
关于IIS的漏洞,几乎所有利用这些漏洞实现对网站攻击的手段均是构造特殊的URL来访问网站,一般有以下几种类型的URL可以利用漏洞:9 T1 H) e5 B1 ?% I
1、特别长的URL,比如红色代码攻击网站的URL就是这样:
% w! U- J K5 W. q' VGET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX7 z" m' F) }* }: R a l
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
s2 c8 z' l" [8 f4 V( ?: R% Y( F' TXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
- e8 R* A h! ^: U2 B8 RXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200;- V# v& y& N/ S! U
2、特殊字符或者字符串的URL,比如在URL后面加:DATA可以看到网页(ASP)源代码;& ^" N& Y# V+ @; y) O! t$ P
3、URL中含有可执行文件名,最常见的就是有cmd.exe;
5 \- n/ |; y' w5 m! R% L" h 既然这些攻击利用特殊的URL来实现,所以,微软提供了这款专门过滤非法URL的安全工具,可以达到御敌于国门之外的效果,这款工具有以下特点和功能:+ m/ s( C0 e6 G8 F: a
1、基本功能:过滤非法URL请求;! w# c1 s' A6 V) P
2、设定规则,辨别那些URL请求是合法的;这样,就可以针对本网站来制定专门的URL请求规则;同时,当有新的漏洞出现时,可以更改这个规则,达到防御新漏洞的效果;: O! S! |# g5 d$ D7 p
3、程序提供一套URL请求规则,这个规则包含已经发现的漏洞利用特征,帮助管理员设置规则;8 Y! |7 `. L5 o$ U! f) U; U
(一)、软件的下载与安装
9 J, o/ G' o0 Z( _ URLScan可以在微软的网站上下载,地址如下:( J) t; W& D6 `; f# _
http://www.microsoft.com/downloads/details.aspx?FamilyID=f4c5a724-cafa-4e88-8c37-c9d5abed1863&DisplayLang=en
2 O5 r9 @. U3 r$ p 和一般软件一样安装,但是,此软件不能选择安装路径,安装完成以后,我们可以在System32/InetSvr/URLScan目录下找到以下文件:
8 f1 J1 F5 P' s- N. p, E) ~ urlscan.dll:动态连接库文件;! J9 v9 z- ~ |: p8 d" [
urlscan.inf:安装信息文件;/ F* V k! H E1 ]8 r5 ~
urlscan.txt:软件说明文件;
: R& ~8 j' a8 E0 }; @ urlscan.ini:软件配置文件,这个文件很只要,因为对URLScan的所有配置,均有这个文件来完成。
% d. Q+ a% A" F$ z(二)、软件的配置' F) \1 h) p C$ Q4 g
软件的配置由urlscan.ini文件来完成,在配置此文件以前,我们需要了解一些基本知识。3 K% m2 e; X& `$ Z4 {
1、urlscan配置文件的构造形式* }2 N( W: p+ v2 a" a9 J
urlscan配置文件必须遵从以下规则:$ O: T6 T7 w- f+ J% @ h3 X
(1)此文件名必须为urlscan.ini;
! _% {7 v) D u, k (2)配置文件必须和urlscan.dll在同一目录;$ h' S n8 {9 X( ^
(3)配置文件必须是标准ini文件结构,也就是由节,串和值组成;
7 I# x; z/ |4 t. e8 Z& J (4)配置文件修改以后,必须重新启动IIS,使配置生效;
( x+ d; n t. [) D (5)配置文件由以下各节组成:
# M' {5 i7 j4 C [Option]节,主要设置节;0 u" X! ~4 L( B; `" L. {
[AllowVerbs]节,配置认定为合法URL规则设定,此设定与Option节有关;1 Q1 a3 N$ a% n# z2 T, R- m
[DenyVerbs]节,配置认定为非法URL规则设定,此设定与Option节有关;% b+ d4 L5 y$ V! k6 F0 U
[DenyHeaders]节,配置认定为非法的header在设立设置;! q; a" \5 `0 b* w9 \9 O
[AllowExtensions]节,配置认定为合法的文件扩展名在这里设置,此设定与Option节有关;5 N$ S$ N& F( m x& G- P
[DenyExtensions]节,配置认定为非法的文件扩展名在这里设置,此设定与Option节有关;6 F' A" J% N# ?) [ e
2、具体配置6 U- r) q" ]& }/ n) {5 d. X2 O
(1)Option节的配置,因为Option节的设置直接影响到以后的配置,因此,这一节的设置特别重要。此节主要进行以下属性的设置:
7 Q: s5 o/ O% T( F3 Y UseAllowVerbs:使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;
* A5 `1 r( V. `' F# h UseAllowExtensions:使用允许模式检测文件扩展名;如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求;如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求;默认为0;
$ S6 ]) _9 B* K EnableLogging:是否允许使用Log文件,如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤;
0 {( d! x# l- g4 b AllowLateScanning:允许其他URL过滤在URLScan过滤之前进行,系统默认为不允许0;7 _ q9 Z4 `- U4 e1 b( s5 O7 S
AlternateServerName:使用服务名代替;如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的“Server”;
( J- S4 G8 Z/ i NormalizeUrlBeforeScan:在检测URL之前规格化URL;如果为1,URLScan将在IIS编码URL之前URL进行检测;需要提醒的是,只有管理员对URL解析非常熟悉的情况下才可以将其设置为0;默认为1;
: Q! O; g$ ]+ N" D8 D H VerifyNormalization:如果设置为1,UrlScan将校验URL规则,默认为1;此节设定与NormalizeUrlBeforeScan有关;5 L0 I% k% L# F2 @8 x
AllowHighBitCharacters:如果设置为1,将允许URL中存在所有字节,如果为0,含有非ASCII字符的URL将拒绝;默认为1;
; z% @3 p9 u: P( l! \ AllowDotInPath:如果设置为1,将拒绝所有含有多个“.”的URL请求,由于URL检测在IIS解析URL之前,所以,对这一检测的准确性不能保证,默认为0;
( g3 d" E$ C8 w: i! o RemoveServerHeader:如果设置为1,将把所有应答的服务头清除,默认为0;
, z% P9 o5 g0 z (2)[AllowVerbs]节配置7 n) M1 I, m9 s5 E% B
如果UseAllowVerbs设置为1,此节设置的所有请求将被允许,一般设置以下请求:
* \! X @7 [* L9 c" k) C& v GET、HEAD、POST
0 N' U5 O8 v! r2 c (3)[DenyVerbs]节配置
. c$ o, W9 q2 L( ~- s9 x) ^& S& [ 如果UseAllowVerbs设置为0,此节设置的所有请求将拒绝,一般设置以下请求:- ^& r( a, v5 ?3 g% {2 A8 ~- I* k
PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK
: R. v5 A l1 s9 F. |% b (4)[AllowExtensions]节设置% F& B9 s2 h' Q) {2 l7 ?
在这一节设置的所有扩展名文件将被允许请求,一般设置以下请求:
% b7 g0 d5 V" @, j .asp、.htm、.html、.txt、.jpg、.jpeg、.gif,如果需要提供文件下载服务,需要增加.rar、.zip8 @$ s8 m! ^+ D& h/ W& e5 L- Q
(5)[DenyExtensions]节设置: v3 e I$ J: N, z7 w
在这一节设置的所有扩展名文件请求将被拒绝,根据已经发现的漏洞,我们可以在这一节增加内容,一般为以下设置:
5 y+ @. x2 b7 V! W2 O) {.asa、可执行文件、批处理文件、日志文件、罕见扩展如:shtml、.printer等。
* G3 _0 O8 y, h o在使用UrlScan的时候,切记不要设置一次万事大吉,需要不停跟踪新出现的漏洞,随时修改URLScan的配置文件。 |
|
狗仔卡
发表于 2009-4-23 09:50
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主
