 鲜花( 0)  鸡蛋( 0)
|
IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。 , }; t% o, T/ h5 s; o
目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。- @- i) h4 R+ P1 y+ p) j# Z
IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。 . g) d9 b. S! n
+ S& p) Q: m5 h) F' n
基本设置) R* N, H2 }* C( b" r y/ n3 J) Y
0 @* d* {* `( Y. @' T. ?
一、打开“控制面板”->“管理工具”->“Internet 服务管理器”:: |, d# O# q" h
 # b( C o% q: Q( p2 E! t
在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:5 L+ r" d! |+ O' i9 U
4 G2 W2 M) @% J$ k“TCP端口”是WEB服务器端口,默认值是80,不需要改动。
( T/ f3 F( V# f4 J V0 K “IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。
# a0 ^3 N' ?, [$ e二、点击上面属性窗口里的“主目录”:5 n$ J% I, Z, w; t. W
. C5 N! B+ x5 V. m* s, r4 {& u" L在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。! `! Y d! p& a" X$ Z
三、点击上面属性窗口的“文档”:3 H' i( e5 G y v$ z
 4 c- P/ {" @& r; {$ S
在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。
) j1 r" o( o( ^; C; m) f0 l四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。3 t4 S1 g9 I8 k( g# f' S& u
如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。
8 E( ]% I2 w C* J2 w6 u8 E 如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。
5 E' s% k1 U5 z其他设置
9 Z2 F* o; D8 _6 J' m/ ]0 l8 x: I( r- A! h$ Z0 y6 o# J6 H
IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。
0 k% g( K I7 y- L6 ?8 E9 y 目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。' e: [0 z# { z, O: e8 J3 b; U
IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。
6 a, D+ I7 X7 h1 P/ N! }% ]; f- |! F9 ?# ~
基本设置/ l3 h% o# R$ S
一、打开“控制面板”->“管理工具”->“Internet 服务管理器”:( r+ n8 I5 \. p O4 J
在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:% | G; _5 t' q2 k/ e
“TCP端口”是WEB服务器端口,默认值是80,不需要改动。
- j0 v: _; u- q5 p* L6 n “IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。
/ B* f3 x' Q2 t- z6 F& A" l% G二、点击上面属性窗口里的“主目录”:
$ O9 n! m- b# T% R& V在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。
: C7 w8 ~3 G0 m+ b) I. k3 F三、点击上面属性窗口的“文档”:& W, F9 S4 Z- \
在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。
& l! [' k" b* \, w2 M& F四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。
6 I* K8 m1 w" @ _" B 如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。
Y" b) s# Z, D, C 如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。
) k! ]6 _) g2 P! t9 ^1 p其他设置2 D; x4 q9 Z* o3 k7 S9 H
一、虚拟目录+ v# u6 J+ u/ k9 \, U @) B9 V
在网站根目录下,可以建子目录来存放网页。例如建一个子目录“abc”,里面放个文件“xyz.htm”,访问这个文件的URL是:
/ y, w6 t& l: q# ^; w- {4 M http://user.dns0755.net/abc/xyz.htm9 r4 S; q# Z6 T/ t: a$ V
如果某些文件或目录放在其他目录下,或在其他硬盘分区下,而又希望可以被WEB访问,这个问题可以用虚拟目录解决。
5 M3 F* [# u0 M# q) l1 L 虚拟目录可以把某个目录映射成网站根目录下的一个子目录。例如:网站根目录是“c:\dns0755”,把D盘上的“d:\software”目录映射到“c:\dns0755”目录下,映射后的名字为“download”,访问“d:\software”目录下的某个文件“truehost.zip”的URL为:
' f) S' l: ~6 t6 Y0 f% t* E http://user.dns0755.net/download/truehost.zip
- t% [, A) n. r4 `+ S 建立虚拟目录有两种方式:
7 X2 w4 H& ~6 c! f1、在资源管理器里建立9 g' @& \! m* U! {3 T
打开资源管理器,找到要映射的目录,如“d:\software”,在“software”上按鼠标右键,选择“属性”->“Web共享”: 2 N* p/ u. R- E8 o9 t
 9 K# ]2 L7 G4 b
点击“共享这个文件夹”:
) [- S' D2 v. |7 e G2 @
3 r) q }/ }% Q. i9 g在“别名”里输入映射后的名字,再点击确定。
+ ]& A& I$ v3 g3 j 要删除映射,可以按同样的方法,在前面窗口里选择“不共享这个文件夹”。
# s* w8 b0 u+ S2、在Internet信息服务里建立。/ w" ?$ \5 `" E9 u- b
打开“控制面板”->“管理工具”->“Internet 服务管理器”,在“默认Web站点”上按鼠标右键,选择“新建”->“虚拟目录”: x9 ]; v6 V: m3 L2 G! D* o* c5 u
 + P& x6 y$ T% R5 ?9 Z, y3 r
弹出欢迎窗口,点击“下一步”;7 x N- R" \9 o+ K7 X
在“别名”里输入映射后的名字,如“download”,点击“下一步”;2 z2 q, O/ e& F. _ h2 m3 E$ G
在“目录”里输入要映射的目录,如“d:\software”,点击“下一步”:- C4 r8 W' D/ j- f: Y& I+ `
 9 g5 A9 G+ F# H: |/ `8 [
在这里选择正确的访问权限,再点击“下一步”,即完成设置。* ~8 s5 L1 X! W' A" \6 V! c! O% D7 I5 C
删除映射的方法:打开Internet信息服务,在虚拟目录别名上按鼠标右键,选择“删除”。3 [( n7 X* [7 @3 b
至此本地站点已经可以正常工作了,可以用http://127.0.0.1进入本地站点,注意:asp程序必须在浏览器中才能看到效果,直接在资源管理器中打开只能是编辑asp文件了,而无法浏览效果
+ q6 T/ j! H* o关于IIS的漏洞,几乎所有利用这些漏洞实现对网站攻击的手段均是构造特殊的URL来访问网站,一般有以下几种类型的URL可以利用漏洞:3 Q4 i- I' [5 g, v4 |, j
1、特别长的URL,比如红色代码攻击网站的URL就是这样:
1 l# D: j* w( a, e% `4 G3 h) aGET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX2 O/ |/ |5 D) t2 e
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
" v& ?9 Y( Q3 ]- ^& gXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX0 H1 I/ G3 d0 H' y
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200;
' p, G& C, i( Z1 g& t; ^2、特殊字符或者字符串的URL,比如在URL后面加:DATA可以看到网页(ASP)源代码;8 z, v. [- F5 M9 C# n' y1 \) s
3、URL中含有可执行文件名,最常见的就是有cmd.exe;: T! q E/ i6 g- ^. m
既然这些攻击利用特殊的URL来实现,所以,微软提供了这款专门过滤非法URL的安全工具,可以达到御敌于国门之外的效果,这款工具有以下特点和功能:
7 Y9 W* q4 y$ p. y' r 1、基本功能:过滤非法URL请求;
! l4 Q. z( [5 ^1 `$ f3 t 2、设定规则,辨别那些URL请求是合法的;这样,就可以针对本网站来制定专门的URL请求规则;同时,当有新的漏洞出现时,可以更改这个规则,达到防御新漏洞的效果;6 ^/ B7 S$ }& g* b( G( ~
3、程序提供一套URL请求规则,这个规则包含已经发现的漏洞利用特征,帮助管理员设置规则;
( [ c: N; K! {8 w(一)、软件的下载与安装7 J2 T1 i6 S' t, _# Y6 n
URLScan可以在微软的网站上下载,地址如下:( q6 u+ R( R8 w/ p, R. m
http://www.microsoft.com/downloads/details.aspx?FamilyID=f4c5a724-cafa-4e88-8c37-c9d5abed1863&DisplayLang=en
9 j: g# z2 c0 V% @ 和一般软件一样安装,但是,此软件不能选择安装路径,安装完成以后,我们可以在System32/InetSvr/URLScan目录下找到以下文件:! I! C( h5 Y) R- I- _3 V0 g
urlscan.dll:动态连接库文件;+ C& s3 @- n. X i: y5 H5 Q/ x0 {
urlscan.inf:安装信息文件;0 t$ O; c1 I/ M9 e; v# x6 T2 p8 W
urlscan.txt:软件说明文件;
# p* Q6 K- R' a0 h urlscan.ini:软件配置文件,这个文件很只要,因为对URLScan的所有配置,均有这个文件来完成。6 ?) Y: `) x6 M7 A
(二)、软件的配置+ X9 S) x" M6 n2 Z5 z9 t! o
软件的配置由urlscan.ini文件来完成,在配置此文件以前,我们需要了解一些基本知识。
" b1 |) \7 ^2 e# l1、urlscan配置文件的构造形式' J! X& K# R4 ^# T2 U4 X' X
urlscan配置文件必须遵从以下规则:, X( I' G3 ?' ~7 J8 K% G
(1)此文件名必须为urlscan.ini;/ [ z% m; h7 R1 p6 G
(2)配置文件必须和urlscan.dll在同一目录;
n! Q: F k5 x, z6 I (3)配置文件必须是标准ini文件结构,也就是由节,串和值组成;
3 B g# v) ^, K2 F2 u& } (4)配置文件修改以后,必须重新启动IIS,使配置生效;
, s% k( G. U0 R+ f" p6 G( g (5)配置文件由以下各节组成:' u, M" R8 C! q. C3 H+ @$ S* {( H
[Option]节,主要设置节;" m' Z) z0 w. y# s$ e
[AllowVerbs]节,配置认定为合法URL规则设定,此设定与Option节有关;% x+ W8 f" P! ^, l
[DenyVerbs]节,配置认定为非法URL规则设定,此设定与Option节有关;& ?1 j; k' j* e( |
[DenyHeaders]节,配置认定为非法的header在设立设置;2 G( h2 W/ p* T4 p5 N6 r" U
[AllowExtensions]节,配置认定为合法的文件扩展名在这里设置,此设定与Option节有关;' ^$ l) y3 N0 i, A( b: v, \" E4 }
[DenyExtensions]节,配置认定为非法的文件扩展名在这里设置,此设定与Option节有关;% z3 s A K \
2、具体配置" S- m! j: A% X$ c8 m: U
(1)Option节的配置,因为Option节的设置直接影响到以后的配置,因此,这一节的设置特别重要。此节主要进行以下属性的设置:
3 k5 ]& M+ d! h+ C4 U: d! z9 k UseAllowVerbs:使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;
1 d# H! c8 n" {' E" `+ \# \7 ^" U& v UseAllowExtensions:使用允许模式检测文件扩展名;如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求;如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求;默认为0;6 d& t. `( s2 h p3 H) \" t7 G
EnableLogging:是否允许使用Log文件,如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤;. W4 t' i& ?! E- o4 A7 B
AllowLateScanning:允许其他URL过滤在URLScan过滤之前进行,系统默认为不允许0;$ c0 R+ _9 x0 r. h
AlternateServerName:使用服务名代替;如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的“Server”;4 V& _" T G& J4 u5 C% ~ y
NormalizeUrlBeforeScan:在检测URL之前规格化URL;如果为1,URLScan将在IIS编码URL之前URL进行检测;需要提醒的是,只有管理员对URL解析非常熟悉的情况下才可以将其设置为0;默认为1;
5 S! u$ P, T0 V; ?2 } VerifyNormalization:如果设置为1,UrlScan将校验URL规则,默认为1;此节设定与NormalizeUrlBeforeScan有关;
) Q0 d* G) _9 n5 H AllowHighBitCharacters:如果设置为1,将允许URL中存在所有字节,如果为0,含有非ASCII字符的URL将拒绝;默认为1;( P3 Z2 x3 u8 k9 F
AllowDotInPath:如果设置为1,将拒绝所有含有多个“.”的URL请求,由于URL检测在IIS解析URL之前,所以,对这一检测的准确性不能保证,默认为0;
# M. H% o) G8 u3 o% e: K* b RemoveServerHeader:如果设置为1,将把所有应答的服务头清除,默认为0;1 ?5 o% Q+ E0 w6 Z7 d
(2)[AllowVerbs]节配置5 u B' a" ~2 O$ r
如果UseAllowVerbs设置为1,此节设置的所有请求将被允许,一般设置以下请求:. R9 I$ V0 L, T z
GET、HEAD、POST
" s$ w; b- u8 U9 m, Y3 d1 T, ^( m (3)[DenyVerbs]节配置
) x: O2 s& D& A; x 如果UseAllowVerbs设置为0,此节设置的所有请求将拒绝,一般设置以下请求:$ ], _8 i+ E$ d% ~( [
PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK3 m2 P2 K2 B# P0 y# n' b5 C+ H6 ?
(4)[AllowExtensions]节设置+ P: m6 w: H( j# t
在这一节设置的所有扩展名文件将被允许请求,一般设置以下请求:
7 ]1 l: ]3 C6 R' ~ .asp、.htm、.html、.txt、.jpg、.jpeg、.gif,如果需要提供文件下载服务,需要增加.rar、.zip
! H4 L" M% u6 Y (5)[DenyExtensions]节设置- O+ `1 x- D1 d$ I) P, n
在这一节设置的所有扩展名文件请求将被拒绝,根据已经发现的漏洞,我们可以在这一节增加内容,一般为以下设置:/ L! u, E7 @# }* b; a7 ?
.asa、可执行文件、批处理文件、日志文件、罕见扩展如:shtml、.printer等。
, _' z, D6 U" d6 v: b/ d在使用UrlScan的时候,切记不要设置一次万事大吉,需要不停跟踪新出现的漏洞,随时修改URLScan的配置文件。 |
|
狗仔卡
发表于 2009-4-23 09:50
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主
