 鲜花( 0)  鸡蛋( 0)
|
IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。
7 ]+ x5 f$ K) G" a 目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。3 \" c! x* R) i$ U2 ~. @7 p
IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。 7 C, `( h# [7 ]% k
7 p$ y) S; `; S" T; x
基本设置
' k" o$ G$ ^& _! I: Y4 Q% z1 d- s q9 {" P3 S7 n) ]5 Y! k
一、打开“控制面板”->“管理工具”->“Internet 服务管理器”:) f; A- L% D- _ N+ h" N
 3 n% A, K/ W+ z s% c
在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:
1 m4 o2 R+ j7 D, Z% x* s 1 H" H# M w; K) D
“TCP端口”是WEB服务器端口,默认值是80,不需要改动。
+ R- q5 T# g% u “IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。
( y: u3 z2 k4 K2 b+ Y& [1 P7 k5 w二、点击上面属性窗口里的“主目录”:1 W( H8 l( |/ w6 q4 W
& h0 i; ?7 m7 V* H在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。3 \' g2 Q7 t7 n0 ]2 U) S
三、点击上面属性窗口的“文档”:9 _( w# H" b- m& Y8 a
( z# x9 f! M! }5 Z. M0 R在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。1 I& z$ h0 b& V1 v2 y4 t! a4 N5 c0 N
四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。
M H7 k( I! e/ M: M 如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。5 @7 ?# U- l1 o
如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。
$ w3 `, u9 ?+ j6 P其他设置& I: [7 I, h, ?0 t
$ K" H' h6 `3 { n" v
IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。: D' H0 ^& n$ B4 q
目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。0 R0 U% D5 J- e, p
IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。# s4 t0 D! l3 t
$ S$ Y! o' ^% q3 S" Y, P! Z+ u基本设置; G3 K r9 O" S2 p0 z2 L8 V
一、打开“控制面板”->“管理工具”->“Internet 服务管理器”:
3 V5 \8 G& J% `3 e在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:
* J2 Y1 q3 u S% k“TCP端口”是WEB服务器端口,默认值是80,不需要改动。
. j3 S# v2 [) T" G8 `6 F “IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。
2 Y, h8 X, Q, `; V% f$ n二、点击上面属性窗口里的“主目录”:4 g8 V7 Q- M& D8 B# }* S P' k
在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。/ F# K9 n1 z7 x! ^3 ?
三、点击上面属性窗口的“文档”:
: c- I- _: }9 b% c; _7 M* M9 Q% y: ^在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。
: | T7 M9 d5 B/ P0 o2 z9 \( B$ D0 z四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。
; }5 N( \8 c7 a 如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。( Y; H: V) w* F5 r; s) v1 }6 ?/ P
如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。/ v5 m4 ^9 d- o9 X" s
其他设置
1 V& R; e0 ^" N( ]7 G一、虚拟目录7 k/ g* O) N Q8 V. ]
在网站根目录下,可以建子目录来存放网页。例如建一个子目录“abc”,里面放个文件“xyz.htm”,访问这个文件的URL是:- Z* p& ?: b" D6 k
http://user.dns0755.net/abc/xyz.htm/ a+ W5 ?& a( a! \# _ m4 J8 w
如果某些文件或目录放在其他目录下,或在其他硬盘分区下,而又希望可以被WEB访问,这个问题可以用虚拟目录解决。 Z8 w* a: p4 [9 ]
虚拟目录可以把某个目录映射成网站根目录下的一个子目录。例如:网站根目录是“c:\dns0755”,把D盘上的“d:\software”目录映射到“c:\dns0755”目录下,映射后的名字为“download”,访问“d:\software”目录下的某个文件“truehost.zip”的URL为:! @1 k/ j: k- U j
http://user.dns0755.net/download/truehost.zip6 q3 d) y! u: K2 {6 _, `! c- z% `0 m
建立虚拟目录有两种方式:( Q$ O3 i G4 X& ?
1、在资源管理器里建立
+ ?+ \! I7 ^6 E, O/ `/ g 打开资源管理器,找到要映射的目录,如“d:\software”,在“software”上按鼠标右键,选择“属性”->“Web共享”:
0 z: J, u! v0 S. M0 C$ j x- w6 n- k+ j: E7 d) J$ e8 |+ n6 P
点击“共享这个文件夹”:
) E3 _2 A9 G s. \$ x7 h8 a, q' E q6 _ Y( N$ Z4 ]
在“别名”里输入映射后的名字,再点击确定。
* {) Q/ w9 m4 _- K: p3 y' u 要删除映射,可以按同样的方法,在前面窗口里选择“不共享这个文件夹”。
) W2 ?% p9 y7 q a9 L4 v2、在Internet信息服务里建立。, s( v/ l' w: _6 a" H
打开“控制面板”->“管理工具”->“Internet 服务管理器”,在“默认Web站点”上按鼠标右键,选择“新建”->“虚拟目录”:) x6 L* x9 W( B" ^
* }$ q" J! N) V) ]& t" u弹出欢迎窗口,点击“下一步”;) r/ j3 E- R- S5 |/ s" _, z
在“别名”里输入映射后的名字,如“download”,点击“下一步”;
8 [ i0 y1 P6 B5 W# } 在“目录”里输入要映射的目录,如“d:\software”,点击“下一步”:! F' f$ b2 i2 X; F5 C, P! ]8 }
 8 `1 m* C& n$ @; l% p2 w7 U
在这里选择正确的访问权限,再点击“下一步”,即完成设置。6 Y5 ~& [' |" g7 N* I" x l
删除映射的方法:打开Internet信息服务,在虚拟目录别名上按鼠标右键,选择“删除”。# u |- b1 r3 @3 C7 b
至此本地站点已经可以正常工作了,可以用http://127.0.0.1进入本地站点,注意:asp程序必须在浏览器中才能看到效果,直接在资源管理器中打开只能是编辑asp文件了,而无法浏览效果% Z3 r: V. b, s) y6 Y
关于IIS的漏洞,几乎所有利用这些漏洞实现对网站攻击的手段均是构造特殊的URL来访问网站,一般有以下几种类型的URL可以利用漏洞:
& M9 [" D; b4 D' W1、特别长的URL,比如红色代码攻击网站的URL就是这样:( e/ [; v2 u0 C- f# P/ D
GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
7 k1 R. A% }4 M( ?0 U. w- A3 U) Y% xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
0 U1 h! m1 f! C/ @4 _XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
. i3 u) Q' k: h+ C3 l. l2 A( OXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200;
% Y- u6 ~! S# R0 b7 Y5 O2、特殊字符或者字符串的URL,比如在URL后面加:DATA可以看到网页(ASP)源代码;
' X) P& X8 y, E) ^ 3、URL中含有可执行文件名,最常见的就是有cmd.exe;
0 u; Y$ [1 t! l* D( G% L 既然这些攻击利用特殊的URL来实现,所以,微软提供了这款专门过滤非法URL的安全工具,可以达到御敌于国门之外的效果,这款工具有以下特点和功能:
) |. v3 B/ W3 A% P% S0 g% f 1、基本功能:过滤非法URL请求;
' r0 w5 i8 X/ @: v, w 2、设定规则,辨别那些URL请求是合法的;这样,就可以针对本网站来制定专门的URL请求规则;同时,当有新的漏洞出现时,可以更改这个规则,达到防御新漏洞的效果;; u- T, ^! r7 X8 s1 D2 |
3、程序提供一套URL请求规则,这个规则包含已经发现的漏洞利用特征,帮助管理员设置规则;
: D" R$ P, F0 F* p; [; e5 r7 v(一)、软件的下载与安装* p$ [0 Z3 ]/ a3 x3 o b! Z- T: d- `# i
URLScan可以在微软的网站上下载,地址如下:$ q4 P+ [( c6 Y8 H: z, B1 {
http://www.microsoft.com/downloads/details.aspx?FamilyID=f4c5a724-cafa-4e88-8c37-c9d5abed1863&DisplayLang=en
9 N% O+ P7 c- v 和一般软件一样安装,但是,此软件不能选择安装路径,安装完成以后,我们可以在System32/InetSvr/URLScan目录下找到以下文件:
6 V% y# V4 {4 J urlscan.dll:动态连接库文件;
( Y" ]: L2 j3 N( \. K urlscan.inf:安装信息文件;
6 T! O8 V& q7 R" z' e urlscan.txt:软件说明文件;
9 O' Z( P' I- t% o7 Y- U urlscan.ini:软件配置文件,这个文件很只要,因为对URLScan的所有配置,均有这个文件来完成。
6 d5 t, T+ a. |(二)、软件的配置
( i. M! L6 n' q. G/ T9 }6 b 软件的配置由urlscan.ini文件来完成,在配置此文件以前,我们需要了解一些基本知识。1 i& g- t7 v( U6 f( ]* v: }
1、urlscan配置文件的构造形式7 k$ [* o U! G8 p- r( Y
urlscan配置文件必须遵从以下规则:. D, J1 d& }; z/ ~ F6 @
(1)此文件名必须为urlscan.ini;
6 l% M" L: J5 f6 }$ w (2)配置文件必须和urlscan.dll在同一目录;- d W0 L5 N. }. O i! C# T9 B& s
(3)配置文件必须是标准ini文件结构,也就是由节,串和值组成;
$ a1 i8 \+ S6 Q0 s. X* D Z( @ (4)配置文件修改以后,必须重新启动IIS,使配置生效;' o0 b- ~% a! `3 O8 r* Y2 w
(5)配置文件由以下各节组成:! i% ~* {0 x# K% l$ a
[Option]节,主要设置节;
" ^, u- Z2 e' q: C2 t C& r [AllowVerbs]节,配置认定为合法URL规则设定,此设定与Option节有关;
9 d4 O0 |% }- u [DenyVerbs]节,配置认定为非法URL规则设定,此设定与Option节有关;3 j1 D9 ]4 Q8 n- s* r; H" D
[DenyHeaders]节,配置认定为非法的header在设立设置;) m7 o5 p4 x( n& a! p8 z
[AllowExtensions]节,配置认定为合法的文件扩展名在这里设置,此设定与Option节有关;
5 Z1 O, ~+ x* E: e [DenyExtensions]节,配置认定为非法的文件扩展名在这里设置,此设定与Option节有关;
# N2 r3 E+ k3 R3 ?2 `$ L/ V 2、具体配置" O% n9 c/ y2 ]1 g
(1)Option节的配置,因为Option节的设置直接影响到以后的配置,因此,这一节的设置特别重要。此节主要进行以下属性的设置:
/ a; F$ B G4 s( N7 Z- h UseAllowVerbs:使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;
: }/ Z8 X5 d! D2 L, s8 ]/ s UseAllowExtensions:使用允许模式检测文件扩展名;如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求;如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求;默认为0;3 W1 y0 G; _4 B! y% r
EnableLogging:是否允许使用Log文件,如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤;3 h4 C- m6 B4 ], a
AllowLateScanning:允许其他URL过滤在URLScan过滤之前进行,系统默认为不允许0;
: @2 }, I: F/ j7 q9 Y% TAlternateServerName:使用服务名代替;如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的“Server”;& U1 ?3 S; q. c5 \
NormalizeUrlBeforeScan:在检测URL之前规格化URL;如果为1,URLScan将在IIS编码URL之前URL进行检测;需要提醒的是,只有管理员对URL解析非常熟悉的情况下才可以将其设置为0;默认为1;$ V+ E- L2 [& o2 i$ t8 n. u
VerifyNormalization:如果设置为1,UrlScan将校验URL规则,默认为1;此节设定与NormalizeUrlBeforeScan有关;
2 d6 c( l! ~+ u! E AllowHighBitCharacters:如果设置为1,将允许URL中存在所有字节,如果为0,含有非ASCII字符的URL将拒绝;默认为1;$ {2 I, `" Z: [& A( o) r7 P
AllowDotInPath:如果设置为1,将拒绝所有含有多个“.”的URL请求,由于URL检测在IIS解析URL之前,所以,对这一检测的准确性不能保证,默认为0;
# @9 w; Q+ z$ i& a; H RemoveServerHeader:如果设置为1,将把所有应答的服务头清除,默认为0;0 ^5 p6 C! v M9 N- K$ V2 E% @( R
(2)[AllowVerbs]节配置8 _7 \/ z: e) v1 p) s
如果UseAllowVerbs设置为1,此节设置的所有请求将被允许,一般设置以下请求:
8 m0 o7 x( B) T0 _7 Z* c/ J GET、HEAD、POST! c1 @3 Q" B3 e! @/ n/ T
(3)[DenyVerbs]节配置% B! T" _ C+ t! y
如果UseAllowVerbs设置为0,此节设置的所有请求将拒绝,一般设置以下请求:
% R |( J& `, | PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK" q3 U$ T' @9 k+ E' x& e4 Z
(4)[AllowExtensions]节设置
6 y) |$ Q# Y% `6 y6 S1 k 在这一节设置的所有扩展名文件将被允许请求,一般设置以下请求:
9 z4 ~" T3 J3 D z: N% \8 w6 b, M5 \ .asp、.htm、.html、.txt、.jpg、.jpeg、.gif,如果需要提供文件下载服务,需要增加.rar、.zip
1 T: c7 m2 X3 o" o (5)[DenyExtensions]节设置
8 n) J6 K8 x) r3 e% l9 X& `) N 在这一节设置的所有扩展名文件请求将被拒绝,根据已经发现的漏洞,我们可以在这一节增加内容,一般为以下设置:
* V* y8 ?5 W+ c. z# X.asa、可执行文件、批处理文件、日志文件、罕见扩展如:shtml、.printer等。
9 Y' O( y# U" r: W. a1 V+ s1 q* [* C在使用UrlScan的时候,切记不要设置一次万事大吉,需要不停跟踪新出现的漏洞,随时修改URLScan的配置文件。 |
|
狗仔卡
发表于 2009-4-23 09:50
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主
