 鲜花( 0)  鸡蛋( 0)
|
IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。 # K7 P7 y) c) B( R0 p
目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。
0 d5 d, N/ t) H2 s8 N6 ^7 A IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。
+ l. _( j' f% P. J! e5 q' u$ y4 u
" t* u5 v* O4 q基本设置' [6 a; f% U9 R! Q% H
& f A1 M: x/ d( o一、打开“控制面板”->“管理工具”->“Internet 服务管理器”: O5 u: y0 Q3 S9 I2 H( V) j* `
8 U g3 W3 f" B8 ^3 I在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:
+ v8 i+ q5 ?; I @: I
) C4 G O# ?$ o+ U3 b“TCP端口”是WEB服务器端口,默认值是80,不需要改动。
8 g" i) W5 v( d. }( a. v “IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。8 k& S' r( B8 p' x
二、点击上面属性窗口里的“主目录”:1 P3 Q2 W/ k) Q1 d; ~+ _
 6 s0 n9 S; S! x- a
在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。
8 C+ }: d" b6 M+ Q2 {! d" G三、点击上面属性窗口的“文档”:
1 m6 p* e# V6 z1 s+ J5 ? 3 J; c/ W3 X. D3 ?* B( F
在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。& [7 j+ V7 i; H+ L2 v8 a' y
四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。" R$ k3 i8 t3 ^% B" p' [, H* o3 q/ m
如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。2 f( d" n' K( O! R1 W
如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。
1 p( b* ?) z, t. @" V) Y其他设置
! @% t1 R5 {3 c
3 k- W& e' |8 ~# T8 s* I" G IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。
+ ]2 q+ o6 B) W, ~1 T4 ] B4 E 目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。
6 t/ g& c* d- t) i5 \: e- q) h IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。1 }2 v# P, E) i& I8 r) X
9 n) |3 i/ c& d. i9 w
基本设置
$ Y; l+ x3 D) O! k一、打开“控制面板”->“管理工具”->“Internet 服务管理器”:0 C. v! e6 {1 u( ` g4 p
在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:
) m ]. b8 p9 w9 g* A7 S“TCP端口”是WEB服务器端口,默认值是80,不需要改动。
' H9 }8 F3 `: g% Z “IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。* x+ v" _$ k8 _* X1 b0 O$ Z
二、点击上面属性窗口里的“主目录”:+ I+ X' g' G, M% g/ A! p, a5 A
在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。
; j' z8 v! G- G三、点击上面属性窗口的“文档”:
+ E; a! _) g& d, ~; h, a2 z4 V在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。. O& h: n0 v' E7 F* [2 {7 P3 z+ X# q
四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。
2 f4 L! i9 P/ @( t5 Q' W7 P) e 如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。( E9 X& ^. q5 B* M
如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。
& j/ B$ m/ K% k+ Z4 n/ T其他设置
A3 O T; b @$ B+ h) ^ ^6 r一、虚拟目录/ Y) F4 `% _; Z& S/ K/ l" Z
在网站根目录下,可以建子目录来存放网页。例如建一个子目录“abc”,里面放个文件“xyz.htm”,访问这个文件的URL是:$ K2 E. C; ^; }& ?, P: l/ z
http://user.dns0755.net/abc/xyz.htm6 _# o! A! N; h% H$ S4 g. W
如果某些文件或目录放在其他目录下,或在其他硬盘分区下,而又希望可以被WEB访问,这个问题可以用虚拟目录解决。3 g( a+ D( h8 D7 R/ {9 M# H* L
虚拟目录可以把某个目录映射成网站根目录下的一个子目录。例如:网站根目录是“c:\dns0755”,把D盘上的“d:\software”目录映射到“c:\dns0755”目录下,映射后的名字为“download”,访问“d:\software”目录下的某个文件“truehost.zip”的URL为:7 x9 y A* \6 W7 N- L
http://user.dns0755.net/download/truehost.zip
. ?7 F* M) ~8 ~' | 建立虚拟目录有两种方式:3 y8 j4 x V) T1 U
1、在资源管理器里建立
$ U2 d' a* S; M( ^3 o0 `$ F3 U 打开资源管理器,找到要映射的目录,如“d:\software”,在“software”上按鼠标右键,选择“属性”->“Web共享”: ' Y8 C. q( R! ?% i# i! y
8 O1 j& o( ~/ \点击“共享这个文件夹”:7 o: n6 x' n4 h9 q- v9 }$ J& D
 0 c# u, w% H0 D6 H$ w/ ?5 }. j
在“别名”里输入映射后的名字,再点击确定。
- }7 h2 \* `% k" [, |: j& S 要删除映射,可以按同样的方法,在前面窗口里选择“不共享这个文件夹”。
p: u& s G& ~$ I* p) e6 F) e2、在Internet信息服务里建立。
& \" P+ F8 G( C2 @, w6 @ 打开“控制面板”->“管理工具”->“Internet 服务管理器”,在“默认Web站点”上按鼠标右键,选择“新建”->“虚拟目录”:
' C& J. V: G3 U# g- o" F! P $ C4 ~ i, Z9 e3 `! K
弹出欢迎窗口,点击“下一步”;) z# n- q' T5 X& j
在“别名”里输入映射后的名字,如“download”,点击“下一步”;
7 ?* D) V" ^: Q g5 Q' W 在“目录”里输入要映射的目录,如“d:\software”,点击“下一步”:/ L) i/ n1 L0 n: N
8 h& D* [8 D3 O m. \. |在这里选择正确的访问权限,再点击“下一步”,即完成设置。/ }7 W" @, G6 Q- `
删除映射的方法:打开Internet信息服务,在虚拟目录别名上按鼠标右键,选择“删除”。
/ t8 A& t8 X) U* F1 L至此本地站点已经可以正常工作了,可以用http://127.0.0.1进入本地站点,注意:asp程序必须在浏览器中才能看到效果,直接在资源管理器中打开只能是编辑asp文件了,而无法浏览效果
. v3 L9 Y# G3 M w关于IIS的漏洞,几乎所有利用这些漏洞实现对网站攻击的手段均是构造特殊的URL来访问网站,一般有以下几种类型的URL可以利用漏洞:
2 q, L1 a8 q' P" j, F1、特别长的URL,比如红色代码攻击网站的URL就是这样:6 C, B0 B4 U( \7 Z$ [# ]" Z9 x
GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX) x% I2 q# N6 O5 \
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX/ e8 M" [. g, M; O ^
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
" `/ Q& C" s4 X* F" nXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200;
/ `; v4 M/ {- _3 `" W, j, @! j2、特殊字符或者字符串的URL,比如在URL后面加:DATA可以看到网页(ASP)源代码;
T" w1 l" W. y- q3 V7 g+ ^0 F+ q } 3、URL中含有可执行文件名,最常见的就是有cmd.exe;, J% g+ Y/ \7 F, P
既然这些攻击利用特殊的URL来实现,所以,微软提供了这款专门过滤非法URL的安全工具,可以达到御敌于国门之外的效果,这款工具有以下特点和功能:" M) Z) }1 e, V* w
1、基本功能:过滤非法URL请求;
; d: C. z% g4 X, o2 o 2、设定规则,辨别那些URL请求是合法的;这样,就可以针对本网站来制定专门的URL请求规则;同时,当有新的漏洞出现时,可以更改这个规则,达到防御新漏洞的效果;
! h' t- I7 O8 s0 } k. S 3、程序提供一套URL请求规则,这个规则包含已经发现的漏洞利用特征,帮助管理员设置规则;
6 a$ r: C' ] J; p2 C+ n2 {(一)、软件的下载与安装' t, T; ?$ J4 c0 `# M% `
URLScan可以在微软的网站上下载,地址如下:
( D0 h, Y) \; Q' ]8 Y# [http://www.microsoft.com/downloads/details.aspx?FamilyID=f4c5a724-cafa-4e88-8c37-c9d5abed1863&DisplayLang=en; m7 O) k$ P& U- @0 i
和一般软件一样安装,但是,此软件不能选择安装路径,安装完成以后,我们可以在System32/InetSvr/URLScan目录下找到以下文件:
; G O) K9 v1 ^3 c( T% n6 }0 T1 ^ urlscan.dll:动态连接库文件;, N) W C1 O, R0 Q; q" g8 X
urlscan.inf:安装信息文件;. ~8 ]; v2 c: C# R3 G
urlscan.txt:软件说明文件;
7 p9 b# y, P& d' Q. ^# H) [* t urlscan.ini:软件配置文件,这个文件很只要,因为对URLScan的所有配置,均有这个文件来完成。
6 V" _2 C8 @- Y3 s2 r6 `- a! A(二)、软件的配置
- B* y4 I) u6 T 软件的配置由urlscan.ini文件来完成,在配置此文件以前,我们需要了解一些基本知识。8 Z d) L3 V( u5 e' E3 r' }
1、urlscan配置文件的构造形式
9 Y8 J9 W3 P: s# y6 q% U urlscan配置文件必须遵从以下规则:
3 g4 ]- m5 E k- T, v (1)此文件名必须为urlscan.ini;! s/ _7 h2 I0 \ U
(2)配置文件必须和urlscan.dll在同一目录;* G% ?$ X' E- T" G
(3)配置文件必须是标准ini文件结构,也就是由节,串和值组成;
( J" @+ U- k/ g2 z7 [2 G (4)配置文件修改以后,必须重新启动IIS,使配置生效;
- q8 ~* h+ ^) S- q1 q (5)配置文件由以下各节组成:+ c. l2 |: B9 M2 R; L
[Option]节,主要设置节;
! @) m' |8 B: U4 @+ Y6 Z [AllowVerbs]节,配置认定为合法URL规则设定,此设定与Option节有关;) r& Y/ u5 B6 \" Q8 d; h( Y X
[DenyVerbs]节,配置认定为非法URL规则设定,此设定与Option节有关;: P% c5 i: A* E1 y
[DenyHeaders]节,配置认定为非法的header在设立设置; j: H6 a3 N, N: L& a
[AllowExtensions]节,配置认定为合法的文件扩展名在这里设置,此设定与Option节有关;
- [& e: u0 x7 e0 \ [DenyExtensions]节,配置认定为非法的文件扩展名在这里设置,此设定与Option节有关;
/ U& J7 H) l3 e. ] 2、具体配置
g9 v4 [6 X1 _- ?1 y (1)Option节的配置,因为Option节的设置直接影响到以后的配置,因此,这一节的设置特别重要。此节主要进行以下属性的设置:
5 V3 A" z) S6 U, M6 { B1 T) ?8 L UseAllowVerbs:使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;1 j! b5 F' V) _$ z! O. [0 P7 @+ w
UseAllowExtensions:使用允许模式检测文件扩展名;如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求;如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求;默认为0;
D( N7 J# s) u% O' m' D EnableLogging:是否允许使用Log文件,如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤;
( n% S% ]5 w6 L8 A* F5 n. } AllowLateScanning:允许其他URL过滤在URLScan过滤之前进行,系统默认为不允许0;
9 f# E) {) r/ NAlternateServerName:使用服务名代替;如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的“Server”;
+ s7 L# `2 h' U NormalizeUrlBeforeScan:在检测URL之前规格化URL;如果为1,URLScan将在IIS编码URL之前URL进行检测;需要提醒的是,只有管理员对URL解析非常熟悉的情况下才可以将其设置为0;默认为1;
1 i) l% i1 Y. _% F VerifyNormalization:如果设置为1,UrlScan将校验URL规则,默认为1;此节设定与NormalizeUrlBeforeScan有关;
9 W) X, _- w' r% ]0 B AllowHighBitCharacters:如果设置为1,将允许URL中存在所有字节,如果为0,含有非ASCII字符的URL将拒绝;默认为1;
( P* ]+ a1 h" n AllowDotInPath:如果设置为1,将拒绝所有含有多个“.”的URL请求,由于URL检测在IIS解析URL之前,所以,对这一检测的准确性不能保证,默认为0;
% @2 w6 h9 \8 {7 P7 { RemoveServerHeader:如果设置为1,将把所有应答的服务头清除,默认为0;
) i0 D9 o- ~) ^! A2 n. h (2)[AllowVerbs]节配置3 Y [. |/ k0 _$ S7 T/ d* z7 i
如果UseAllowVerbs设置为1,此节设置的所有请求将被允许,一般设置以下请求:7 {; q7 F# \+ J$ Z
GET、HEAD、POST9 A7 k D8 j) p, W4 G
(3)[DenyVerbs]节配置, k U; P+ D& m% e" g7 s( M
如果UseAllowVerbs设置为0,此节设置的所有请求将拒绝,一般设置以下请求:
) M" H! ]1 l ?; q+ E9 V2 O- r1 t PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK
3 K0 E# c4 e4 L# p( B, V( H (4)[AllowExtensions]节设置
8 ]5 ?# W. E# s0 N# K1 `7 } 在这一节设置的所有扩展名文件将被允许请求,一般设置以下请求:
6 E/ P1 r) F2 v$ @# u .asp、.htm、.html、.txt、.jpg、.jpeg、.gif,如果需要提供文件下载服务,需要增加.rar、.zip; D1 J7 w: ], G S, H) ]
(5)[DenyExtensions]节设置
) h3 f. E3 O2 e ]4 ^. V/ ^1 B0 e 在这一节设置的所有扩展名文件请求将被拒绝,根据已经发现的漏洞,我们可以在这一节增加内容,一般为以下设置:# t* N0 Y3 x7 J' H/ P7 e* M$ t6 X
.asa、可执行文件、批处理文件、日志文件、罕见扩展如:shtml、.printer等。9 ]1 ?( b4 |6 ?7 {; w- _5 ?
在使用UrlScan的时候,切记不要设置一次万事大吉,需要不停跟踪新出现的漏洞,随时修改URLScan的配置文件。 |
|
狗仔卡
发表于 2009-4-23 09:50
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主
