【IIS輔助】功能模塊,作為入侵防護系統(tǒng)的一個重要組成部分,負責攔截來自WEB的入侵任務。它是入侵防護的第一步,黑客首先通過網(wǎng)絡嗅探都是通過WEB方式進行,因此需要嚴格設置IIS輔助功能模塊。
一、基本設置
1、開啟IIS輔助功能:開啟后,IIS輔助功能生效,否則無效,開啟或者關閉后,請點擊【保存】按鈕;
2、開啟IIS查殺:在瀏覽器與服務器通信的數(shù)據(jù)流中檢測危險數(shù)據(jù),如果有,則進行阻斷;
3、禁止POST提交:阻止客戶端POST提交數(shù)據(jù);
4、禁止文件上傳:阻止客戶端上傳文件;
5、攔截時顯示關鍵詞:是否將攔截關鍵詞信息發(fā)送到瀏覽器,此功能是為了方便找到攔截的內(nèi)容,建議關閉;
6、防止PHP流量攻擊:防止PHP的UDP惡意流量上傳攻擊,建議開啟;
7、自動攔截異常IP:對試圖嘗試入侵服務器的IP進行攔截,在重啟IIS后才會清除。注意,對于CDN節(jié)點的服務器建議不勾選。
8、監(jiān)控的文件類型:一般需要監(jiān)控動態(tài)腳本,如:asp|aspx|php|asa|cdx|asax|cer 等;
9、攔截提示補充內(nèi)容:您可以將自己的提示信息發(fā)送給被攔截的用戶,如聯(lián)系方式等。
10、重啟IIS:重新啟動w3svc服務,重新應用IIS輔助設置。
二、訪問控制
1、監(jiān)控的URL路徑:一般設置圖片目錄、上傳目錄等靜態(tài)目錄,不需要執(zhí)行腳本的目錄,如 “/images/” “/uploadfiles/”等,禁止該目錄下的腳本文件,如 asp 文件被訪問。
2、該功能是為了解決黑客利用上傳目錄上傳危險腳本文件的漏洞問題。
3、攔截效果如圖:
三、SQL防注入
1、Get防注入關鍵詞:過濾URL中的字符串,包括通過URL編碼的字符串;
2、POST防注入關鍵詞:過濾POST提交數(shù)據(jù)中的數(shù)據(jù),包括通過URL編碼的數(shù)據(jù);
3、Cookies防注入關鍵詞:過濾Cookies中的數(shù)據(jù),包括通過URL編碼的數(shù)據(jù);
4、【獲取】按鈕,獲取官方指定的防注入關鍵詞,比較完全,推薦采用;
5、如果需要開啟某功能,請選擇對應的選項,并保存。保存完畢之后,請重啟IIS以便完成應用。
6、攔截效果如圖:
四、掛馬防護
1、攔截數(shù)據(jù)流字節(jié)上限:超過該設定字節(jié)長度的數(shù)據(jù)流,將不進行解析,默認5000,用戶可以自定義;
2、掛馬類型選項:包括 Script/Iframe 掛馬,格式如: <script src=http://www.aa.com/muma.js></script> ,以及 <Iframe src=http://www.aa.com; width='250'height='200' scrolling='no'frameborder='0'> </iframe> 等格式;
3、監(jiān)控客戶端數(shù)據(jù)提交方式:包括 Get/Post/Cookies 三種,建議都勾選;
4、掛馬白名單,如含有某些認可的特征,如某些統(tǒng)計代碼,則可以將這些代碼中的關鍵部分提取到掛馬白名單中,那么即使提交的數(shù)據(jù)含有掛馬的特征,但是含有白名單特征碼,因此不會被攔截;
5、攔截后的提示:
五、白名單
1、URL白名單:設置信任的部分或完整路徑,那么該目錄下的文件將不受限制的訪問;
2、IP白名單:如果希望某個客戶端的IP(段)不受限制的訪問,那么可以將客戶端的IP設置到IP白名單中;
3、安全碼:如果提交的內(nèi)容,包含了安全碼,那么該提交將會被放行而不進行攔截;
4、注意:白名單優(yōu)先級低于黑名單。
六、黑名單
1、禁止訪問的URL路徑或文件:如不希望某些目錄或文件被訪問,則可以設置到這里;
2、輸入禁止訪問的IIS的客戶端IP(段):禁止該IP的客戶端訪問IIS上的網(wǎng)站;
3、黑名單優(yōu)先級高于白名單;
4、攔截效果如圖:
七、日志分析
八、注意事項
1、修改設置后,請保存,并重啟IIS才會立即生效;
2、為了提高效率,系統(tǒng)記錄的日志并不是實時記錄,如果您想立刻查看日志,則請重啟IIS,否則,系統(tǒng)會根據(jù)時間和日志條數(shù)寫日志;