【IIS輔助】功能模塊,作為入侵防護(hù)系統(tǒng)的一個(gè)重要組成部分���,負(fù)責(zé)攔截來(lái)自WEB的入侵任務(wù)��。它是入侵防護(hù)的第一步�����,黑客首先通過(guò)網(wǎng)絡(luò)嗅探都是通過(guò)WEB方式進(jìn)行,因此需要嚴(yán)格設(shè)置IIS輔助功能模塊�。
一、基本設(shè)置
1�����、開啟IIS輔助功能:開啟后�,IIS輔助功能生效,否則無(wú)效�����,開啟或者關(guān)閉后,請(qǐng)點(diǎn)擊【保存】按鈕��;
2����、開啟IIS查殺:在瀏覽器與服務(wù)器通信的數(shù)據(jù)流中檢測(cè)危險(xiǎn)數(shù)據(jù),如果有���,則進(jìn)行阻斷�;
3�、禁止POST提交:阻止客戶端POST提交數(shù)據(jù);
4��、禁止文件上傳:阻止客戶端上傳文件����;
5、攔截時(shí)顯示關(guān)鍵詞:是否將攔截關(guān)鍵詞信息發(fā)送到瀏覽器���,此功能是為了方便找到攔截的內(nèi)容��,建議關(guān)閉����;
6、防止PHP流量攻擊:防止PHP的UDP惡意流量上傳攻擊�����,建議開啟��;
7�����、自動(dòng)攔截異常IP:對(duì)試圖嘗試入侵服務(wù)器的IP進(jìn)行攔截��,在重啟IIS后才會(huì)清除����。注意��,對(duì)于CDN節(jié)點(diǎn)的服務(wù)器建議不勾選��。
8�、監(jiān)控的文件類型:一般需要監(jiān)控動(dòng)態(tài)腳本,如:asp|aspx|php|asa|cdx|asax|cer 等����;
9����、攔截提示補(bǔ)充內(nèi)容:您可以將自己的提示信息發(fā)送給被攔截的用戶����,如聯(lián)系方式等。
10�、重啟IIS:重新啟動(dòng)w3svc服務(wù),重新應(yīng)用IIS輔助設(shè)置����。
二、訪問控制
1�、監(jiān)控的URL路徑:一般設(shè)置圖片目錄、上傳目錄等靜態(tài)目錄�,不需要執(zhí)行腳本的目錄,如 “/images/” “/uploadfiles/”等�,禁止該目錄下的腳本文件,如 asp 文件被訪問����。
2、該功能是為了解決黑客利用上傳目錄上傳危險(xiǎn)腳本文件的漏洞問題���。
3�����、攔截效果如圖:
三��、SQL防注入
1��、Get防注入關(guān)鍵詞:過(guò)濾URL中的字符串���,包括通過(guò)URL編碼的字符串�����;
2�����、POST防注入關(guān)鍵詞:過(guò)濾POST提交數(shù)據(jù)中的數(shù)據(jù)��,包括通過(guò)URL編碼的數(shù)據(jù)����;
3�、Cookies防注入關(guān)鍵詞:過(guò)濾Cookies中的數(shù)據(jù),包括通過(guò)URL編碼的數(shù)據(jù)�����;
4����、【獲取】按鈕,獲取官方指定的防注入關(guān)鍵詞����,比較完全,推薦采用���;
5��、如果需要開啟某功能�����,請(qǐng)選擇對(duì)應(yīng)的選項(xiàng)��,并保存�����。保存完畢之后��,請(qǐng)重啟IIS以便完成應(yīng)用��。
6����、攔截效果如圖:
四、掛馬防護(hù)
1��、攔截?cái)?shù)據(jù)流字節(jié)上限:超過(guò)該設(shè)定字節(jié)長(zhǎng)度的數(shù)據(jù)流���,將不進(jìn)行解析����,默認(rèn)5000���,用戶可以自定義����;
2�、掛馬類型選項(xiàng):包括 Script/Iframe 掛馬,格式如: <script src=http://www.aa.com/muma.js></script> ,以及 <Iframe src=http://www.aa.com; width='250'height='200' scrolling='no'frameborder='0'> </iframe> 等格式�����;
3���、監(jiān)控客戶端數(shù)據(jù)提交方式:包括 Get/Post/Cookies 三種,建議都勾選�����;
4���、掛馬白名單��,如含有某些認(rèn)可的特征�,如某些統(tǒng)計(jì)代碼�����,則可以將這些代碼中的關(guān)鍵部分提取到掛馬白名單中���,那么即使提交的數(shù)據(jù)含有掛馬的特征����,但是含有白名單特征碼,因此不會(huì)被攔截����;
5、攔截后的提示:
五����、白名單
1、URL白名單:設(shè)置信任的部分或完整路徑���,那么該目錄下的文件將不受限制的訪問�;
2��、IP白名單:如果希望某個(gè)客戶端的IP(段)不受限制的訪問�,那么可以將客戶端的IP設(shè)置到IP白名單中;
3���、安全碼:如果提交的內(nèi)容��,包含了安全碼�,那么該提交將會(huì)被放行而不進(jìn)行攔截���;
4����、注意:白名單優(yōu)先級(jí)低于黑名單。
六�、黑名單
1�、禁止訪問的URL路徑或文件:如不希望某些目錄或文件被訪問,則可以設(shè)置到這里��;
2���、輸入禁止訪問的IIS的客戶端IP(段):禁止該IP的客戶端訪問IIS上的網(wǎng)站�;
3�、黑名單優(yōu)先級(jí)高于白名單;
4�、攔截效果如圖:
七、日志分析
八��、注意事項(xiàng)
1�、修改設(shè)置后,請(qǐng)保存��,并重啟IIS才會(huì)立即生效��;
2、為了提高效率��,系統(tǒng)記錄的日志并不是實(shí)時(shí)記錄�,如果您想立刻查看日志,則請(qǐng)重啟IIS��,否則�����,系統(tǒng)會(huì)根據(jù)時(shí)間和日志條數(shù)寫日志�����;
