 鲜花( 0)  鸡蛋( 0)
|
IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。 ' c+ C" ] q5 N; g1 N: S
目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。
6 Z9 u/ T$ u, W6 `( b2 W& s IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。
. s' ^* |4 h3 n0 s& _# O B- B: P6 D! l) U4 U6 @3 n2 D
基本设置) g: h4 g. Y+ ^! S3 T" z& h& a
& B3 }/ I! n* p- O1 E一、打开“控制面板”->“管理工具”->“Internet 服务管理器”:3 v/ c9 g/ Y4 S7 z( {, n
 $ H- _# h2 }' w9 O
在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:
7 {- ^( X' d% O9 |
& T" x% ?9 }: P- [2 [# l“TCP端口”是WEB服务器端口,默认值是80,不需要改动。
6 C1 z* A* [2 [ “IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。
8 p/ c6 Q& z$ l% R4 u9 [二、点击上面属性窗口里的“主目录”:
, F. B8 k- a1 y9 M4 z " K1 j& G) C* P, U: z) P5 U
在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。 q! G% O0 b0 T) X
三、点击上面属性窗口的“文档”:
8 ?7 \( y- ^. L, V! \# n ) u8 w% ~2 j- A" L) e
在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。7 R! R) x/ F' G7 }
四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。# e |" ~, ~4 J! \0 \0 D1 T1 S$ C$ V5 @
如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。 H7 D, Q6 F8 ~2 g9 S
如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。; `2 j% J" l* ?
其他设置* i) i3 C: J, K5 `! H
& D4 Q4 a( t+ P. v" l: M
IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。$ s* v/ k0 E1 {& M- \
目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。0 Y$ z" z u0 \ Q0 r( |
IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。" H% Z) C0 m5 ?* ]5 m; D: @* Z/ {
; }; h4 O. u, s! \# D基本设置
( |* g( g! c7 `+ l一、打开“控制面板”->“管理工具”->“Internet 服务管理器”:# G5 t7 x" W9 ^4 T8 E
在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:$ F8 b1 N% ^, F, }2 L. v* l2 y
“TCP端口”是WEB服务器端口,默认值是80,不需要改动。
* e# F" ^4 P, ^% [1 q “IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。
) ]* _# x( W4 @$ Z9 J7 M. G2 V二、点击上面属性窗口里的“主目录”:6 F7 `+ i9 s2 ~, W3 ~* m: g/ ^: f
在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。5 j) {: U# ^. B+ m) F' {* z7 g
三、点击上面属性窗口的“文档”:0 a9 x( }9 X1 f
在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。
, q m6 n- p3 w. h* e0 ~5 t四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。
& |" g9 n) L+ K0 e1 e; j 如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。+ u6 A6 `2 j6 `* l/ Q
如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。
3 P* E& A6 v4 i1 @4 ~其他设置* M @5 n( D( l4 F$ P, ^8 n4 J
一、虚拟目录
* d; ~# [( A% M 在网站根目录下,可以建子目录来存放网页。例如建一个子目录“abc”,里面放个文件“xyz.htm”,访问这个文件的URL是:" j+ g* ]* M* P: k
http://user.dns0755.net/abc/xyz.htm
4 d% N" m' q2 Q 如果某些文件或目录放在其他目录下,或在其他硬盘分区下,而又希望可以被WEB访问,这个问题可以用虚拟目录解决。
" J( {$ g* V" M" B* Q8 H 虚拟目录可以把某个目录映射成网站根目录下的一个子目录。例如:网站根目录是“c:\dns0755”,把D盘上的“d:\software”目录映射到“c:\dns0755”目录下,映射后的名字为“download”,访问“d:\software”目录下的某个文件“truehost.zip”的URL为:( A3 J) U) P' o( M- u( i" p; |! [, D
http://user.dns0755.net/download/truehost.zip6 e# h, F+ v( X7 E
建立虚拟目录有两种方式:3 T: c5 Z- I/ @
1、在资源管理器里建立5 b2 F: p( s" G, v3 U3 X+ V
打开资源管理器,找到要映射的目录,如“d:\software”,在“software”上按鼠标右键,选择“属性”->“Web共享”:
- P" B: @4 f9 n8 O1 E* `6 N. U
# H4 i' H* C0 ?点击“共享这个文件夹”:/ S, k, i0 P1 U3 C2 g8 e$ H, a
 1 @9 U, ]5 N, U5 p% P @
在“别名”里输入映射后的名字,再点击确定。$ J+ i2 O/ S2 j5 b7 Y; F; o9 R
要删除映射,可以按同样的方法,在前面窗口里选择“不共享这个文件夹”。
6 J( x4 j% V9 Q2、在Internet信息服务里建立。
) m9 G) w+ y# G u- n& t4 h 打开“控制面板”->“管理工具”->“Internet 服务管理器”,在“默认Web站点”上按鼠标右键,选择“新建”->“虚拟目录”:) z5 E, [. X. G9 D: u4 C
5 ^, o+ o$ ]3 c弹出欢迎窗口,点击“下一步”;
; K% p- D) Z/ O 在“别名”里输入映射后的名字,如“download”,点击“下一步”;
1 t( M/ T0 Q* ^; b 在“目录”里输入要映射的目录,如“d:\software”,点击“下一步”:
" E* \: y1 V% M ( Z! N+ F+ Q% v# M
在这里选择正确的访问权限,再点击“下一步”,即完成设置。
- r0 ~, V4 X7 h, J- e' V+ V$ F8 b 删除映射的方法:打开Internet信息服务,在虚拟目录别名上按鼠标右键,选择“删除”。
" i$ P3 c) O6 c至此本地站点已经可以正常工作了,可以用http://127.0.0.1进入本地站点,注意:asp程序必须在浏览器中才能看到效果,直接在资源管理器中打开只能是编辑asp文件了,而无法浏览效果 n( r0 [6 R% V1 o- k0 T
关于IIS的漏洞,几乎所有利用这些漏洞实现对网站攻击的手段均是构造特殊的URL来访问网站,一般有以下几种类型的URL可以利用漏洞: [/ ^& }: H! ?+ x4 q1 v' N
1、特别长的URL,比如红色代码攻击网站的URL就是这样:4 H' P/ c) Z1 z, x
GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
3 V1 I/ U1 H' A3 d! w. C- q* jXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
6 q7 j- E7 [. e1 A, ^$ wXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX8 i8 p8 D1 M" f
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200; K* @4 z+ e/ ?" j& q, H
2、特殊字符或者字符串的URL,比如在URL后面加:DATA可以看到网页(ASP)源代码;
* b& Z* `/ E& f* X 3、URL中含有可执行文件名,最常见的就是有cmd.exe;
M9 ?- Y9 s8 L3 `& x d5 p' j. I 既然这些攻击利用特殊的URL来实现,所以,微软提供了这款专门过滤非法URL的安全工具,可以达到御敌于国门之外的效果,这款工具有以下特点和功能: ^" K( E6 w! m& g) b+ N
1、基本功能:过滤非法URL请求;5 Z2 j$ M( n: t9 h& l C% F S
2、设定规则,辨别那些URL请求是合法的;这样,就可以针对本网站来制定专门的URL请求规则;同时,当有新的漏洞出现时,可以更改这个规则,达到防御新漏洞的效果;
0 r4 h6 |# u! s* Y$ H, D0 v+ [* K 3、程序提供一套URL请求规则,这个规则包含已经发现的漏洞利用特征,帮助管理员设置规则;
) t, e) u( E9 a0 E(一)、软件的下载与安装
7 j3 K2 V" e' {# f( m+ d$ k9 R URLScan可以在微软的网站上下载,地址如下:9 q. O1 e+ ^4 H4 t1 D8 j
http://www.microsoft.com/downloads/details.aspx?FamilyID=f4c5a724-cafa-4e88-8c37-c9d5abed1863&DisplayLang=en
9 y& ^$ C) W; U! y$ j- e 和一般软件一样安装,但是,此软件不能选择安装路径,安装完成以后,我们可以在System32/InetSvr/URLScan目录下找到以下文件:
8 l0 b* r% {, _* J) o7 b2 p! z urlscan.dll:动态连接库文件;
- z6 v6 u0 O; d e* d" I urlscan.inf:安装信息文件;/ D# E! B! N' q, z5 E& j
urlscan.txt:软件说明文件;
1 R1 d3 o9 f e* t urlscan.ini:软件配置文件,这个文件很只要,因为对URLScan的所有配置,均有这个文件来完成。0 }/ j$ Y$ b/ o; ^: z. h* [- }# I
(二)、软件的配置
* C* i [5 C9 k/ ` z 软件的配置由urlscan.ini文件来完成,在配置此文件以前,我们需要了解一些基本知识。
& E! M8 N e8 o; _1、urlscan配置文件的构造形式
. I7 t1 D- Y4 j: L& h& \2 `* Q urlscan配置文件必须遵从以下规则: }" Q$ T1 e8 P6 ^
(1)此文件名必须为urlscan.ini;- P' T& z1 S' p1 P: z
(2)配置文件必须和urlscan.dll在同一目录;9 b! g$ D# o" v2 k
(3)配置文件必须是标准ini文件结构,也就是由节,串和值组成;
& ^5 K' y/ F/ j7 L5 I! ` (4)配置文件修改以后,必须重新启动IIS,使配置生效;
) _8 k+ ]8 z! Q4 ~- X (5)配置文件由以下各节组成:
1 C6 A5 O1 Y6 W5 T$ i [Option]节,主要设置节;. `" x) _% O# ^, C2 l! T1 P
[AllowVerbs]节,配置认定为合法URL规则设定,此设定与Option节有关;' Q# q9 U [4 f: i4 ?- T
[DenyVerbs]节,配置认定为非法URL规则设定,此设定与Option节有关;
/ @1 K$ y% m3 n* Y5 k [DenyHeaders]节,配置认定为非法的header在设立设置;
! i h: G2 c) ~0 k( B1 t/ E [AllowExtensions]节,配置认定为合法的文件扩展名在这里设置,此设定与Option节有关;
6 ]; D6 B) H6 }, v Z! e [DenyExtensions]节,配置认定为非法的文件扩展名在这里设置,此设定与Option节有关;
1 a) r, g. Q! `1 e. m 2、具体配置
, X" m$ @! M5 W" T (1)Option节的配置,因为Option节的设置直接影响到以后的配置,因此,这一节的设置特别重要。此节主要进行以下属性的设置:
! O! u0 |- ^* ]0 B+ ?' j UseAllowVerbs:使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;: R- a' f; M% O0 N8 D
UseAllowExtensions:使用允许模式检测文件扩展名;如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求;如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求;默认为0;. }$ L3 c1 v9 k% s* }% L# f
EnableLogging:是否允许使用Log文件,如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤;
% l% w- x0 h0 _0 t- d/ D+ L+ r H AllowLateScanning:允许其他URL过滤在URLScan过滤之前进行,系统默认为不允许0;, ?3 a3 V" t( I$ p0 D
AlternateServerName:使用服务名代替;如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的“Server”;% j/ z! J+ C# o3 l; Y
NormalizeUrlBeforeScan:在检测URL之前规格化URL;如果为1,URLScan将在IIS编码URL之前URL进行检测;需要提醒的是,只有管理员对URL解析非常熟悉的情况下才可以将其设置为0;默认为1;
" [# C& T; Q* E6 @; k# w) ?/ G VerifyNormalization:如果设置为1,UrlScan将校验URL规则,默认为1;此节设定与NormalizeUrlBeforeScan有关;
" ^. \* P+ T0 v1 n* i* `% a AllowHighBitCharacters:如果设置为1,将允许URL中存在所有字节,如果为0,含有非ASCII字符的URL将拒绝;默认为1;# Z5 c: G4 k, K, }0 b0 P* ~
AllowDotInPath:如果设置为1,将拒绝所有含有多个“.”的URL请求,由于URL检测在IIS解析URL之前,所以,对这一检测的准确性不能保证,默认为0;2 {1 w0 n+ S. d' u
RemoveServerHeader:如果设置为1,将把所有应答的服务头清除,默认为0;6 m4 u! x- u& W: [2 d3 B& G" \
(2)[AllowVerbs]节配置, K1 C+ F! B( F0 a2 s, K: v
如果UseAllowVerbs设置为1,此节设置的所有请求将被允许,一般设置以下请求:, Z, n. l% h& B% J& E
GET、HEAD、POST5 [2 D* k( J+ l8 w( k z) s
(3)[DenyVerbs]节配置
$ u" `+ q1 q: l: O: u+ T/ [ 如果UseAllowVerbs设置为0,此节设置的所有请求将拒绝,一般设置以下请求:6 @: J) y0 g: T' z
PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK
/ ]4 B6 J7 h5 y/ ]( }. z (4)[AllowExtensions]节设置
9 I6 a" |1 ~ c$ [ 在这一节设置的所有扩展名文件将被允许请求,一般设置以下请求:
4 z ?5 [% n' m X+ R D) e .asp、.htm、.html、.txt、.jpg、.jpeg、.gif,如果需要提供文件下载服务,需要增加.rar、.zip( K% I! z3 h' [: c
(5)[DenyExtensions]节设置8 U, |* a% E; M, _: ]* a
在这一节设置的所有扩展名文件请求将被拒绝,根据已经发现的漏洞,我们可以在这一节增加内容,一般为以下设置:8 I K: Q/ W6 e5 J \
.asa、可执行文件、批处理文件、日志文件、罕见扩展如:shtml、.printer等。
. L i6 @( e3 X- Q; r6 u在使用UrlScan的时候,切记不要设置一次万事大吉,需要不停跟踪新出现的漏洞,随时修改URLScan的配置文件。 |
|
狗仔卡
发表于 2009-4-23 09:50
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主
