 鲜花( 0)  鸡蛋( 0)
|
IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。
9 h( o( I. x. X2 ^ ~; b( n. @ 目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。
+ G2 b! H5 K& A4 ^2 I0 l+ }! b IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。
# O& o" g+ t% o. {0 x" N" b+ x8 @6 O% O+ |" e- R) |; z
基本设置
4 N- d/ S1 F- n" Q- t
9 A" ]! R$ H/ x一、打开“控制面板”->“管理工具”->“Internet 服务管理器”:! f, p% U* \3 e8 y( g) \* }
9 D* d. O2 Z7 B( G( \2 E) h在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:/ |1 p, J; x' t6 Y3 @
 g- Y# {2 }* }4 } M; j
“TCP端口”是WEB服务器端口,默认值是80,不需要改动。; o8 K0 J9 U$ {5 g% L' e
“IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。 M9 K8 a2 \1 a$ n
二、点击上面属性窗口里的“主目录”:% K z& \: Y4 }7 U7 r
 # x' R, M* S R
在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。' k# z" I/ d0 q3 B% w* I
三、点击上面属性窗口的“文档”:
7 }! O& L( Q* m) l
. ?0 U1 c* r" T9 y% x# i \1 j在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。
1 H4 I3 x2 \! k( O% L! j四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。( P# \9 r4 F3 I' S* {
如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。
' ]+ e/ |7 n! j9 Z4 o/ p 如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。
& A4 l/ l: L4 T5 ?: Q% f其他设置3 s& T7 K S. q$ R O4 J
7 J; L+ _- J" ^$ Q& D
IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。
4 Y' G7 H k# k% _1 i 目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。
0 B- T$ l3 D0 P' E' m1 k/ ? IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。
$ R* ?; O, F/ f* \. _( e. n) q) E4 _6 W* ]: R7 Z
基本设置5 V& m9 g8 Z1 u5 e- n M2 z
一、打开“控制面板”->“管理工具”->“Internet 服务管理器”:
% Q" ]" K* g+ a9 K* p* p C在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:6 b( Y0 _" M O, U' x
“TCP端口”是WEB服务器端口,默认值是80,不需要改动。
1 y1 \% o" {5 M B3 d8 S “IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。
; P' w$ {4 V- @) [: L二、点击上面属性窗口里的“主目录”:) G6 H' O( q6 w3 x5 q
在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。$ V* X- p2 K; }/ I. c6 K5 m
三、点击上面属性窗口的“文档”:
+ U' ]8 K# X0 t* ?在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。
. ?/ h3 x+ N% V四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。1 Y& F. [+ |) u3 l
如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。& v1 P' x, t5 m" g- s9 P0 I; k
如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。
: V6 V5 N) u! N' M ~ }其他设置; |! S1 s+ w3 l* E( B
一、虚拟目录
c3 f0 L9 k! }1 W8 N! f 在网站根目录下,可以建子目录来存放网页。例如建一个子目录“abc”,里面放个文件“xyz.htm”,访问这个文件的URL是:
$ W' `7 v6 s5 B' Q7 _5 k http://user.dns0755.net/abc/xyz.htm
]1 X; N5 J5 g+ d: @2 C 如果某些文件或目录放在其他目录下,或在其他硬盘分区下,而又希望可以被WEB访问,这个问题可以用虚拟目录解决。1 |; O s& D9 ?6 D$ I+ ?2 G/ f4 r5 i
虚拟目录可以把某个目录映射成网站根目录下的一个子目录。例如:网站根目录是“c:\dns0755”,把D盘上的“d:\software”目录映射到“c:\dns0755”目录下,映射后的名字为“download”,访问“d:\software”目录下的某个文件“truehost.zip”的URL为:! n/ P6 M+ p( Z# z
http://user.dns0755.net/download/truehost.zip
7 m! Z4 S+ ]3 C5 G2 [9 f% w 建立虚拟目录有两种方式:2 U8 Y Q6 J k5 g& ]# c
1、在资源管理器里建立+ F) k) J& X. t% X {
打开资源管理器,找到要映射的目录,如“d:\software”,在“software”上按鼠标右键,选择“属性”->“Web共享”: 9 z% |* O# g7 W! q2 `+ G8 ^8 h& u" m
 0 `. k0 N) }- S& C: h$ n
点击“共享这个文件夹”:) r* N6 ~7 E* y* i
' p1 ]% |/ s+ M1 h1 |在“别名”里输入映射后的名字,再点击确定。
$ x, V* k) M, s7 ~/ Q- f0 q 要删除映射,可以按同样的方法,在前面窗口里选择“不共享这个文件夹”。$ k- d# m& T/ v9 {" d
2、在Internet信息服务里建立。
9 W1 r2 f+ U0 J; h 打开“控制面板”->“管理工具”->“Internet 服务管理器”,在“默认Web站点”上按鼠标右键,选择“新建”->“虚拟目录”:6 x+ h# q$ t7 r% r. ~) e% b; ?9 s
 # ~+ n. S& o. V$ t7 w0 a
弹出欢迎窗口,点击“下一步”;
3 q% Y) h" H% |, Y0 W e 在“别名”里输入映射后的名字,如“download”,点击“下一步”;
( g5 [9 d( {+ L8 V1 v9 O2 ^: ? p) ] 在“目录”里输入要映射的目录,如“d:\software”,点击“下一步”:
& u' E% Q8 D( E; h1 S5 R, u! H4 a ! A* h! s1 l. K
在这里选择正确的访问权限,再点击“下一步”,即完成设置。. X* ]* I( W5 [8 I& H" l
删除映射的方法:打开Internet信息服务,在虚拟目录别名上按鼠标右键,选择“删除”。
8 v- Y4 A. ?& A5 K A至此本地站点已经可以正常工作了,可以用http://127.0.0.1进入本地站点,注意:asp程序必须在浏览器中才能看到效果,直接在资源管理器中打开只能是编辑asp文件了,而无法浏览效果2 t" d" S: [% U" R, k7 T6 }
关于IIS的漏洞,几乎所有利用这些漏洞实现对网站攻击的手段均是构造特殊的URL来访问网站,一般有以下几种类型的URL可以利用漏洞:/ i ~! W$ `3 P/ T
1、特别长的URL,比如红色代码攻击网站的URL就是这样:+ d4 q# e$ D) k+ f, z; q
GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
! o/ R% C. t) Y+ J2 k3 ^% {7 X8 YXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
$ f! Y; C9 F7 ?7 ~XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX6 @& ]5 v; j' c) x$ p: ?
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200;
4 c& _" h' r9 j2、特殊字符或者字符串的URL,比如在URL后面加:DATA可以看到网页(ASP)源代码;$ U8 @' _ G5 r, F
3、URL中含有可执行文件名,最常见的就是有cmd.exe;
! I* I/ T1 X E7 k$ b3 |0 j" P 既然这些攻击利用特殊的URL来实现,所以,微软提供了这款专门过滤非法URL的安全工具,可以达到御敌于国门之外的效果,这款工具有以下特点和功能:- Q( B( o8 A$ Y0 z5 E% q
1、基本功能:过滤非法URL请求;
]2 w6 [' ~) K. u5 F+ R: _3 t 2、设定规则,辨别那些URL请求是合法的;这样,就可以针对本网站来制定专门的URL请求规则;同时,当有新的漏洞出现时,可以更改这个规则,达到防御新漏洞的效果;* G9 s% S: z" \% {2 m1 }: B) o
3、程序提供一套URL请求规则,这个规则包含已经发现的漏洞利用特征,帮助管理员设置规则;- h6 P4 C2 n" F i8 M+ f9 m
(一)、软件的下载与安装
" O- r) t; ~2 x URLScan可以在微软的网站上下载,地址如下:$ q4 n. l! o0 M+ y, \ \" h; b: u8 h! @8 y
http://www.microsoft.com/downloads/details.aspx?FamilyID=f4c5a724-cafa-4e88-8c37-c9d5abed1863&DisplayLang=en
+ `+ @6 A' z% ?( @: ^+ M3 R 和一般软件一样安装,但是,此软件不能选择安装路径,安装完成以后,我们可以在System32/InetSvr/URLScan目录下找到以下文件:
" r" e z8 g, [+ k8 ^# |' N4 w8 f urlscan.dll:动态连接库文件;
- s! {2 b: a, G5 B, u) F- S$ E9 f urlscan.inf:安装信息文件;
% L6 B \+ X8 E5 i# W urlscan.txt:软件说明文件;
, s& [ W, f- @ urlscan.ini:软件配置文件,这个文件很只要,因为对URLScan的所有配置,均有这个文件来完成。
. Z9 n* g7 V3 _) [# W$ o(二)、软件的配置4 _3 s0 q: j: B+ O8 ?! R/ g
软件的配置由urlscan.ini文件来完成,在配置此文件以前,我们需要了解一些基本知识。
$ U' i' d0 ?8 x, V1、urlscan配置文件的构造形式' t5 T0 U# Y1 k- @% n2 ^+ _
urlscan配置文件必须遵从以下规则:
, H& T$ g# l' L7 K. o4 Z# d' M (1)此文件名必须为urlscan.ini;1 K/ |7 x# v' j/ b# ^/ C( g7 W: h
(2)配置文件必须和urlscan.dll在同一目录;
3 q* D( o7 g8 f$ k4 S (3)配置文件必须是标准ini文件结构,也就是由节,串和值组成;! @4 r. }( Z( b% A# |
(4)配置文件修改以后,必须重新启动IIS,使配置生效;. E: Y7 X1 G/ M+ [
(5)配置文件由以下各节组成:
. ?1 u' U1 u, J! C [Option]节,主要设置节;
, c1 C* G( a4 \. ?, R [AllowVerbs]节,配置认定为合法URL规则设定,此设定与Option节有关;
9 y2 |5 u/ A5 U [DenyVerbs]节,配置认定为非法URL规则设定,此设定与Option节有关;- o- _1 B1 F* d% ?: g) f
[DenyHeaders]节,配置认定为非法的header在设立设置;
9 ^ Z4 S, V1 V( g% A; ` p [AllowExtensions]节,配置认定为合法的文件扩展名在这里设置,此设定与Option节有关;
0 X0 M4 L- {4 ~" B$ K- ~. H7 Y) E [DenyExtensions]节,配置认定为非法的文件扩展名在这里设置,此设定与Option节有关;
* O2 v0 F% w$ v8 w# C2 J1 D 2、具体配置
+ Z0 y( z8 x6 l+ }+ D( s2 f (1)Option节的配置,因为Option节的设置直接影响到以后的配置,因此,这一节的设置特别重要。此节主要进行以下属性的设置:2 I- Y7 C2 f2 G# T* {
UseAllowVerbs:使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;
$ k3 x0 b( J# G; x( R/ N UseAllowExtensions:使用允许模式检测文件扩展名;如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求;如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求;默认为0;
4 W3 _0 ], Y7 D6 t' _3 W0 { EnableLogging:是否允许使用Log文件,如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤;
" Q. e3 d4 V9 a0 K3 L& l AllowLateScanning:允许其他URL过滤在URLScan过滤之前进行,系统默认为不允许0;3 s4 b$ @' z' W; f7 }% k/ J
AlternateServerName:使用服务名代替;如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的“Server”;$ `& e" i t) I" B7 f) S
NormalizeUrlBeforeScan:在检测URL之前规格化URL;如果为1,URLScan将在IIS编码URL之前URL进行检测;需要提醒的是,只有管理员对URL解析非常熟悉的情况下才可以将其设置为0;默认为1;
# \8 k+ k9 G0 K$ o/ ] VerifyNormalization:如果设置为1,UrlScan将校验URL规则,默认为1;此节设定与NormalizeUrlBeforeScan有关;
9 z7 e8 S3 I; l6 |/ E7 {, R AllowHighBitCharacters:如果设置为1,将允许URL中存在所有字节,如果为0,含有非ASCII字符的URL将拒绝;默认为1;
) o* d- u7 X! K+ g) n* H" B AllowDotInPath:如果设置为1,将拒绝所有含有多个“.”的URL请求,由于URL检测在IIS解析URL之前,所以,对这一检测的准确性不能保证,默认为0;
; r8 i; u* z9 K( t2 h O( S RemoveServerHeader:如果设置为1,将把所有应答的服务头清除,默认为0;
# k5 l% I! w' t( \ (2)[AllowVerbs]节配置
% ^6 ]" ^! n: f3 F8 C: o S+ E 如果UseAllowVerbs设置为1,此节设置的所有请求将被允许,一般设置以下请求:
$ @" d, s: r) l GET、HEAD、POST
, c; D8 ?6 b; x& Y (3)[DenyVerbs]节配置- Z: s$ l) _$ h" B: g
如果UseAllowVerbs设置为0,此节设置的所有请求将拒绝,一般设置以下请求:
# a7 v. C; P. J' m- @/ \. t PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK
/ j% }5 Y5 `9 }$ H (4)[AllowExtensions]节设置
6 b I% |; u: s: r. p 在这一节设置的所有扩展名文件将被允许请求,一般设置以下请求:) b/ h% A+ z4 S: J- l# T2 w
.asp、.htm、.html、.txt、.jpg、.jpeg、.gif,如果需要提供文件下载服务,需要增加.rar、.zip! h: u+ {( O) V0 K
(5)[DenyExtensions]节设置
8 Q" I" j# r7 q; y; c# h 在这一节设置的所有扩展名文件请求将被拒绝,根据已经发现的漏洞,我们可以在这一节增加内容,一般为以下设置:' `3 O I1 @1 n, A6 y' ^1 ^' k
.asa、可执行文件、批处理文件、日志文件、罕见扩展如:shtml、.printer等。- b/ V- F- z* W7 A" `0 {+ Z
在使用UrlScan的时候,切记不要设置一次万事大吉,需要不停跟踪新出现的漏洞,随时修改URLScan的配置文件。 |
|
狗仔卡
发表于 2009-4-23 09:50
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主
