 鲜花( 0)  鸡蛋( 0)
|
IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。 0 d- O, \% M+ K/ P4 Z
目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。
9 I% u/ H) ]1 m IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。
/ _" e* a8 @% ]; I9 u: A' o, e* H% S: ?0 O+ H' p
基本设置
9 R g6 W3 O: F: H
' L6 L+ Y4 B, O! y( X$ g% L/ C) d一、打开“控制面板”->“管理工具”->“Internet 服务管理器”:
, c8 z1 p5 z. q! c2 F' e
2 N7 N: T o! s7 }; T) g9 z在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:' {) V1 R5 p% V5 I
 - \7 a: o+ B7 [+ h4 v0 [
“TCP端口”是WEB服务器端口,默认值是80,不需要改动。6 o4 H) v+ X. I F$ `
“IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。5 m8 e3 v3 a1 @, W$ O- y. Y; A
二、点击上面属性窗口里的“主目录”:" L8 H4 h0 t& P0 _/ C/ b5 y
D: N' {2 D# ]+ i' R' R+ H6 {在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。
7 t, }% j: ~8 C! K0 c三、点击上面属性窗口的“文档”:# k1 T, R4 i# R0 U2 U0 O
' b6 P" A. C! g/ K+ O" Q7 }+ B1 d在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。
' ^! j' X( _" C" t四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。
; B7 Z4 K6 h& w* W( c+ Z 如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。
6 Y2 y9 R) m- ?2 O$ O. A, t 如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。
9 S+ a& N7 k+ V5 h4 q# b其他设置+ w" o q. p9 Z( S1 ?
! ]! ^6 T5 E0 {/ Q2 N( `
IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。- t- V0 U* Z2 }9 `+ W
目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。
* a4 S- M: D! O IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。& U7 k; O' _* ^6 G5 E* e* P
, U* X' |4 v$ L j4 h6 J8 E. X, ]
基本设置6 g( z a! d; l' x: B; `
一、打开“控制面板”->“管理工具”->“Internet 服务管理器”: I4 n) ^( q" {
在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:$ ?1 V V' D: g, q# R( `* F
“TCP端口”是WEB服务器端口,默认值是80,不需要改动。
. `" }6 e2 Z% j “IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。
* x8 \) |/ V( q1 s# l& C9 \二、点击上面属性窗口里的“主目录”:
7 i6 N' O6 m8 Z. h在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。
; Z! s" Q* R8 d三、点击上面属性窗口的“文档”:! o& O8 I6 k( r6 H2 d
在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。* I# E( a' \ m" W! a) f! k1 x1 u
四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。
* `# A) p X# f" f- x5 o 如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。 Y% w7 E0 {; T0 a/ T
如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。
3 ^! \/ d% W P- {其他设置7 | m) N" D: W
一、虚拟目录' r5 W7 P: u. d* V, X) j& g+ s
在网站根目录下,可以建子目录来存放网页。例如建一个子目录“abc”,里面放个文件“xyz.htm”,访问这个文件的URL是:
- u9 J7 |' q3 C4 |4 N http://user.dns0755.net/abc/xyz.htm# L( q/ Q; i' Y+ E0 a
如果某些文件或目录放在其他目录下,或在其他硬盘分区下,而又希望可以被WEB访问,这个问题可以用虚拟目录解决。9 h; e- C' F( \3 o1 D6 h
虚拟目录可以把某个目录映射成网站根目录下的一个子目录。例如:网站根目录是“c:\dns0755”,把D盘上的“d:\software”目录映射到“c:\dns0755”目录下,映射后的名字为“download”,访问“d:\software”目录下的某个文件“truehost.zip”的URL为:
, k% Z2 k# h4 _ http://user.dns0755.net/download/truehost.zip' C; _$ e" A7 Y |. c2 K
建立虚拟目录有两种方式:
- {' Y+ \4 j, L* b$ D, m0 p( D. Z' W6 Z1、在资源管理器里建立1 |/ |* z4 f! ^% J& l& k2 G
打开资源管理器,找到要映射的目录,如“d:\software”,在“software”上按鼠标右键,选择“属性”->“Web共享”: 2 I( j% b6 y7 w# Q
 / N$ \- B% U* q' f2 x3 f8 Z
点击“共享这个文件夹”:
! k# w. P- L" W2 N* y* |
( N$ |3 e, r( \" i在“别名”里输入映射后的名字,再点击确定。: M9 \0 G0 F A, g B5 b
要删除映射,可以按同样的方法,在前面窗口里选择“不共享这个文件夹”。1 T) Y3 p/ N+ X' {1 g
2、在Internet信息服务里建立。
' A" v H L$ M) i) c/ y 打开“控制面板”->“管理工具”->“Internet 服务管理器”,在“默认Web站点”上按鼠标右键,选择“新建”->“虚拟目录”:# U8 A7 D' I* x4 d. B' `
 ( Y7 b. N3 O7 T
弹出欢迎窗口,点击“下一步”;- R2 ?0 Z7 H6 o- i# \
在“别名”里输入映射后的名字,如“download”,点击“下一步”;
5 f9 N2 d$ h) D8 n2 s5 b2 H 在“目录”里输入要映射的目录,如“d:\software”,点击“下一步”:* v- R" a6 E0 T9 o2 J0 c) t, ]$ h
5 c" z) Q6 x* R" U2 D+ h! A; Z在这里选择正确的访问权限,再点击“下一步”,即完成设置。4 M' u2 e8 Y. [% M" J" T1 Y' s
删除映射的方法:打开Internet信息服务,在虚拟目录别名上按鼠标右键,选择“删除”。
0 p/ L B/ P _+ S0 [4 M3 f$ Q至此本地站点已经可以正常工作了,可以用http://127.0.0.1进入本地站点,注意:asp程序必须在浏览器中才能看到效果,直接在资源管理器中打开只能是编辑asp文件了,而无法浏览效果
( b2 `/ B; N! v, H1 _0 q- ]3 p* f* ?关于IIS的漏洞,几乎所有利用这些漏洞实现对网站攻击的手段均是构造特殊的URL来访问网站,一般有以下几种类型的URL可以利用漏洞:* K1 Q7 Y% I$ \/ |: L: o
1、特别长的URL,比如红色代码攻击网站的URL就是这样:, c" t. o( i3 |; Y- @
GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX# A$ o- j# ?, u
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
$ y+ L! x9 Q6 MXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX/ z' t9 V5 H6 O# \' M' @( a
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200;
# {% A" J0 K- z) Q) r6 `6 Q6 W; H2、特殊字符或者字符串的URL,比如在URL后面加:DATA可以看到网页(ASP)源代码;& d5 d0 V7 ^, h$ f1 V
3、URL中含有可执行文件名,最常见的就是有cmd.exe;6 T1 w0 G0 L t; r5 y* W
既然这些攻击利用特殊的URL来实现,所以,微软提供了这款专门过滤非法URL的安全工具,可以达到御敌于国门之外的效果,这款工具有以下特点和功能:( c9 f1 I4 o% H: r/ E# V
1、基本功能:过滤非法URL请求;+ j, C* d; Q* g- p0 x" O
2、设定规则,辨别那些URL请求是合法的;这样,就可以针对本网站来制定专门的URL请求规则;同时,当有新的漏洞出现时,可以更改这个规则,达到防御新漏洞的效果;
" }: t" g2 a7 V 3、程序提供一套URL请求规则,这个规则包含已经发现的漏洞利用特征,帮助管理员设置规则;0 Q9 L- S# p0 }6 W) ~
(一)、软件的下载与安装
, z8 {! s: f }, t. E ? URLScan可以在微软的网站上下载,地址如下:
: ?; T o/ @# l5 Y$ Shttp://www.microsoft.com/downloads/details.aspx?FamilyID=f4c5a724-cafa-4e88-8c37-c9d5abed1863&DisplayLang=en
0 \9 D) X* l' n, q, G* [ 和一般软件一样安装,但是,此软件不能选择安装路径,安装完成以后,我们可以在System32/InetSvr/URLScan目录下找到以下文件:
, C- G6 |, I P* G; [# _9 F urlscan.dll:动态连接库文件;
6 a3 D! V/ Q+ I" e urlscan.inf:安装信息文件;
: Y- `0 Y! F& W3 k) b% E0 E urlscan.txt:软件说明文件;
3 Q8 H7 S& [" Q @) B9 B8 V urlscan.ini:软件配置文件,这个文件很只要,因为对URLScan的所有配置,均有这个文件来完成。
6 g/ ]8 H5 l2 W( S+ Y(二)、软件的配置" z7 i+ C+ f) H$ c2 x% c1 z
软件的配置由urlscan.ini文件来完成,在配置此文件以前,我们需要了解一些基本知识。# i! I, ~4 t& \- z8 V3 F
1、urlscan配置文件的构造形式
/ L1 t7 F# r; u/ V urlscan配置文件必须遵从以下规则:
" o+ Q: Z0 s1 @+ n: O (1)此文件名必须为urlscan.ini;
3 y3 e) c: S8 Q$ d q+ b, _ (2)配置文件必须和urlscan.dll在同一目录;
. u6 Q- N& C; d' V# [' u (3)配置文件必须是标准ini文件结构,也就是由节,串和值组成;
8 ^ i4 @0 e; N9 _ (4)配置文件修改以后,必须重新启动IIS,使配置生效;, y( H& `- x3 q/ D; W8 O, B) j2 O
(5)配置文件由以下各节组成:
, W+ J W- Q9 H [Option]节,主要设置节;' K! E" g! s5 V( R* o! M
[AllowVerbs]节,配置认定为合法URL规则设定,此设定与Option节有关;3 V& j7 Y4 O8 X3 b( H* S8 q$ n3 N
[DenyVerbs]节,配置认定为非法URL规则设定,此设定与Option节有关;
& g$ X: h4 ?& p3 S9 x' Y [DenyHeaders]节,配置认定为非法的header在设立设置;
% f) v$ `' r( l1 ?6 X [AllowExtensions]节,配置认定为合法的文件扩展名在这里设置,此设定与Option节有关;
' b$ {+ X2 z7 u. ?7 `* c [DenyExtensions]节,配置认定为非法的文件扩展名在这里设置,此设定与Option节有关;
* X& @% S) h2 f& l) Q) O, P 2、具体配置
$ ]6 s: y4 J; i ]4 ?0 C4 W& j (1)Option节的配置,因为Option节的设置直接影响到以后的配置,因此,这一节的设置特别重要。此节主要进行以下属性的设置:
* v' ~) |! T( L! ] UseAllowVerbs:使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;
& e: n/ K3 ]! \% n) ?& }# _/ Y UseAllowExtensions:使用允许模式检测文件扩展名;如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求;如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求;默认为0;7 q/ K, h3 m. f; G l
EnableLogging:是否允许使用Log文件,如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤;- f8 u: _* h* Y0 I
AllowLateScanning:允许其他URL过滤在URLScan过滤之前进行,系统默认为不允许0;
) ~& F0 ]3 R* K% e; yAlternateServerName:使用服务名代替;如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的“Server”;
$ P, i) g8 N1 ]' l' [3 a NormalizeUrlBeforeScan:在检测URL之前规格化URL;如果为1,URLScan将在IIS编码URL之前URL进行检测;需要提醒的是,只有管理员对URL解析非常熟悉的情况下才可以将其设置为0;默认为1;" b2 M' H. I( N& \0 d1 D
VerifyNormalization:如果设置为1,UrlScan将校验URL规则,默认为1;此节设定与NormalizeUrlBeforeScan有关;1 l b0 A& d8 H5 i/ V- [* S
AllowHighBitCharacters:如果设置为1,将允许URL中存在所有字节,如果为0,含有非ASCII字符的URL将拒绝;默认为1;
- x1 G: M4 t0 \2 A3 k$ u& x AllowDotInPath:如果设置为1,将拒绝所有含有多个“.”的URL请求,由于URL检测在IIS解析URL之前,所以,对这一检测的准确性不能保证,默认为0;
5 }, U8 q1 P1 a. O" o RemoveServerHeader:如果设置为1,将把所有应答的服务头清除,默认为0;; O( g' P& z% F7 _
(2)[AllowVerbs]节配置: l4 x# A! R- X! Z! K
如果UseAllowVerbs设置为1,此节设置的所有请求将被允许,一般设置以下请求: W# ]4 y6 v, u9 p2 X7 T
GET、HEAD、POST
: e6 u) o6 x+ r (3)[DenyVerbs]节配置6 L3 ^8 ^9 [% V$ x$ ~2 Y: u( C
如果UseAllowVerbs设置为0,此节设置的所有请求将拒绝,一般设置以下请求:9 Z0 H6 i! L* e
PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK
8 A" y" m1 R; u: a4 K; ?0 a0 C (4)[AllowExtensions]节设置 ~5 h/ Q u. d" d k
在这一节设置的所有扩展名文件将被允许请求,一般设置以下请求:; M% q9 C9 \9 _7 Q0 ^
.asp、.htm、.html、.txt、.jpg、.jpeg、.gif,如果需要提供文件下载服务,需要增加.rar、.zip
_) v; `1 @$ W: `2 h- J8 L) \8 ` (5)[DenyExtensions]节设置
+ s! N6 |. H! S. u 在这一节设置的所有扩展名文件请求将被拒绝,根据已经发现的漏洞,我们可以在这一节增加内容,一般为以下设置:# n* g% s. m( y1 R
.asa、可执行文件、批处理文件、日志文件、罕见扩展如:shtml、.printer等。
. M/ }7 u/ X/ U在使用UrlScan的时候,切记不要设置一次万事大吉,需要不停跟踪新出现的漏洞,随时修改URLScan的配置文件。 |
|
狗仔卡
发表于 2009-4-23 09:50
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主
