 鲜花( 0)  鸡蛋( 0)
|
IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。 ' J8 S! J9 {9 [6 X& _4 v; N
目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。8 ?+ \! P$ Q. u; G. l
IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。 , I2 Z/ r# t0 P# }. e! W
+ k# [. n/ R/ u* H7 H! u M基本设置! a1 ^( F3 d8 B
* R j" e9 y2 z' |/ ]$ V! H一、打开“控制面板”->“管理工具”->“Internet 服务管理器”:, b2 C" t* z8 G- j/ t3 t9 j" l
6 V9 M6 q2 l) a在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:
* H9 X' L3 ~. ^' }. \3 c3 D , H. H+ Q$ o9 L& G4 ^3 p. {5 s& i
“TCP端口”是WEB服务器端口,默认值是80,不需要改动。
1 N8 ^ l% i3 s1 q- U: J7 p “IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。$ R% X- {' E+ }" b
二、点击上面属性窗口里的“主目录”:
" W0 z3 C3 a& M' t6 w4 j! p 6 W3 u4 u, \. e! }, i" ?
在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。; `; g3 t! j9 Q2 J' I: F
三、点击上面属性窗口的“文档”:& s7 k* \# d1 O Q
 ! S; J6 t: f9 N( L0 [ ?
在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。
, Q- h$ l# A8 W/ N四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。
; S0 {5 _; b' ~! N# O! u% T5 M 如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。) s6 @7 _5 w4 a% M2 V
如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。% X( \" Y0 ^3 L! v' S1 ?/ ~# L! B
其他设置+ _- O5 I0 P9 J% n6 d4 b
) J8 l- {9 W* P& g$ s IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB服务器。本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。, T( g* c" x* g
目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。WinXP里的IIS也只支持10个连接。如果您要使用IIS,请使用Windows 2000服务器版。
7 ~) p$ w9 Q( e' B3 F8 H! a I IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。) K x& p" a# ]: [( m+ P+ p" U$ v
4 x) E/ P* s* u基本设置! M) D6 O% {( D, m/ F
一、打开“控制面板”->“管理工具”->“Internet 服务管理器”: h# B( ~2 D' y' \* h1 C
在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:
7 f" `0 D- ]) z8 Q$ H* l+ |“TCP端口”是WEB服务器端口,默认值是80,不需要改动。4 Y$ i3 e3 }/ R
“IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。& F$ P2 e. e& d: n( A0 [, l) i5 m
二、点击上面属性窗口里的“主目录”:
" P2 w9 }( W; \7 i在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。8 ^) o7 f- B; `1 b0 L- p
三、点击上面属性窗口的“文档”:& Q5 x+ U f- C- a; q, q, y0 B
在这里设置网站的默认首页文档。在浏览器里输入一个地址(例如http://user.dns0755.net/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名,添加完后可以用左边的上下箭头排列这些文件名的查找顺序。6 z& M7 E' q) J& ?9 C7 U' t
四、到此,WEB服务器设置完毕。IIS已经可以提供WEB服务了。
8 b* B( Y, B1 m* @5 X8 S( i8 \ 如果您已经做好网站,请把网站文件copy到网站根目录,并确认网站的默认首页文件名已经在上面窗口的搜索列表里。之后打开ie,输入 http://127.0.0.1/,就看到您的网站了。
. E" p6 _& U1 D' e, r, D5 e3 d$ J 如果您还没有做好网站,请在网站根目录新建一个htm文件,命名为“default.htm”,用网页编辑工具(例如FrontPage、Dreamweaver或记事本)打开这个文件,输入几个字,例如“我的网站”。保存文件后,打开ie,输入 http://127.0.0.1/ ;看看。0 R# h" M) O! _ l( |1 o
其他设置
+ U; W4 T X. |3 g; \一、虚拟目录
1 [, [+ h# O& f+ ^9 N 在网站根目录下,可以建子目录来存放网页。例如建一个子目录“abc”,里面放个文件“xyz.htm”,访问这个文件的URL是:
* ~+ `% t8 }$ J) A http://user.dns0755.net/abc/xyz.htm
, D) O* D6 p# r! y- c 如果某些文件或目录放在其他目录下,或在其他硬盘分区下,而又希望可以被WEB访问,这个问题可以用虚拟目录解决。
! z. B6 ?9 m4 F8 T) l* C 虚拟目录可以把某个目录映射成网站根目录下的一个子目录。例如:网站根目录是“c:\dns0755”,把D盘上的“d:\software”目录映射到“c:\dns0755”目录下,映射后的名字为“download”,访问“d:\software”目录下的某个文件“truehost.zip”的URL为:
) ?; D2 O; ~6 [! k3 q http://user.dns0755.net/download/truehost.zip% O. j, }) J' |+ @
建立虚拟目录有两种方式:
% S2 ?! J& x" [- o% M1、在资源管理器里建立
6 z+ q" r' \$ S$ l3 K2 ~) Z 打开资源管理器,找到要映射的目录,如“d:\software”,在“software”上按鼠标右键,选择“属性”->“Web共享”:
( c# u3 b- F! } 0 t7 g+ s1 F* w' U2 `& n" x
点击“共享这个文件夹”:
& C% Y! m$ S3 j) e8 x3 s" b: [ 2 o A6 ]. h1 g; ~8 L) d1 V# J
在“别名”里输入映射后的名字,再点击确定。
, n/ U* B. M3 ^ 要删除映射,可以按同样的方法,在前面窗口里选择“不共享这个文件夹”。
( f. ?# [7 a6 `, ^6 s2、在Internet信息服务里建立。8 _) S/ G5 x* G; ] D
打开“控制面板”->“管理工具”->“Internet 服务管理器”,在“默认Web站点”上按鼠标右键,选择“新建”->“虚拟目录”:
. {% Z: V' U( L6 `9 Q3 o" s- q
" V' i7 e' F6 W6 U9 x/ Q弹出欢迎窗口,点击“下一步”;
4 e9 x" O9 U8 A7 V# ^& I 在“别名”里输入映射后的名字,如“download”,点击“下一步”;
" a, Q3 L9 {3 `+ N& y' v 在“目录”里输入要映射的目录,如“d:\software”,点击“下一步”:9 l' j) t. { V" F2 c( l4 r
7 O! f& M- w( F, Q+ B1 ]4 o$ C在这里选择正确的访问权限,再点击“下一步”,即完成设置。! p9 H) q: r8 F( L( u5 Q$ {
删除映射的方法:打开Internet信息服务,在虚拟目录别名上按鼠标右键,选择“删除”。
' ~" y8 c' Z$ H3 a$ e6 \至此本地站点已经可以正常工作了,可以用http://127.0.0.1进入本地站点,注意:asp程序必须在浏览器中才能看到效果,直接在资源管理器中打开只能是编辑asp文件了,而无法浏览效果
/ T4 p! Y$ s; u# _" ]% J8 {关于IIS的漏洞,几乎所有利用这些漏洞实现对网站攻击的手段均是构造特殊的URL来访问网站,一般有以下几种类型的URL可以利用漏洞:
5 L/ b6 E/ w1 _' t M" D0 i* b1、特别长的URL,比如红色代码攻击网站的URL就是这样:
4 ~+ }3 a3 D, d. [GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
- k W' J D3 y+ U0 q* [XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX: s) G; a# I. x8 A% B" Y9 S) ^- {
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX9 `; _+ J$ d. \6 B9 C) X% a
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200;: Z( `8 c" b9 |3 t. |
2、特殊字符或者字符串的URL,比如在URL后面加:DATA可以看到网页(ASP)源代码;
! p5 q% ]# A7 q' S- a% N 3、URL中含有可执行文件名,最常见的就是有cmd.exe;/ B( w/ k+ t2 q- Z+ ^
既然这些攻击利用特殊的URL来实现,所以,微软提供了这款专门过滤非法URL的安全工具,可以达到御敌于国门之外的效果,这款工具有以下特点和功能:0 K& H: E+ C0 z4 G; f# Z# R$ E" d& n7 p
1、基本功能:过滤非法URL请求;
) `* Y6 C6 q: Y7 d 2、设定规则,辨别那些URL请求是合法的;这样,就可以针对本网站来制定专门的URL请求规则;同时,当有新的漏洞出现时,可以更改这个规则,达到防御新漏洞的效果;
( D- l4 H9 r; Q u" l( g$ ^ 3、程序提供一套URL请求规则,这个规则包含已经发现的漏洞利用特征,帮助管理员设置规则;
8 L9 w7 N" @, I0 y0 @" q# |(一)、软件的下载与安装
5 t/ U S9 N. P/ n4 \# m/ \( O URLScan可以在微软的网站上下载,地址如下:
$ o) o. a( ~) v5 v# Ohttp://www.microsoft.com/downloads/details.aspx?FamilyID=f4c5a724-cafa-4e88-8c37-c9d5abed1863&DisplayLang=en- L2 J2 q' J# n, d
和一般软件一样安装,但是,此软件不能选择安装路径,安装完成以后,我们可以在System32/InetSvr/URLScan目录下找到以下文件:* ] b% s/ S7 l8 P
urlscan.dll:动态连接库文件;6 C& d6 g# [9 ^" z
urlscan.inf:安装信息文件;! j/ M9 F2 K- H3 N6 V/ {: W
urlscan.txt:软件说明文件;
' a4 {4 Y. B& o. f+ ] urlscan.ini:软件配置文件,这个文件很只要,因为对URLScan的所有配置,均有这个文件来完成。
; ~6 {4 r0 A) d" Q(二)、软件的配置
7 c* `; L" R3 c# F. |/ p) k 软件的配置由urlscan.ini文件来完成,在配置此文件以前,我们需要了解一些基本知识。
( D, } l( X/ Y" A( z. U! g+ H( B2 T1、urlscan配置文件的构造形式8 M3 U$ Z. X7 o
urlscan配置文件必须遵从以下规则:9 G. R5 H; V. c" k
(1)此文件名必须为urlscan.ini;) W" I7 d5 Q% F! N% h- J
(2)配置文件必须和urlscan.dll在同一目录;
O* q8 R; z9 N# _, `. L/ L6 J3 q (3)配置文件必须是标准ini文件结构,也就是由节,串和值组成;2 i3 n/ n6 H8 F0 ]; m# i, B* B
(4)配置文件修改以后,必须重新启动IIS,使配置生效;7 L K0 C4 T( s9 m( |& e% b
(5)配置文件由以下各节组成:
& ~" Y8 }1 S1 R- Y [Option]节,主要设置节;
8 A4 L# S* w Z9 R [AllowVerbs]节,配置认定为合法URL规则设定,此设定与Option节有关;# N- j4 R% T# q$ J9 ~# T% Z4 E
[DenyVerbs]节,配置认定为非法URL规则设定,此设定与Option节有关;# b0 C( M, B' G! j
[DenyHeaders]节,配置认定为非法的header在设立设置;
6 y7 {- l: h. ?1 i3 F1 z [AllowExtensions]节,配置认定为合法的文件扩展名在这里设置,此设定与Option节有关;) l: M1 T: L: l% ]; U; e# e9 v
[DenyExtensions]节,配置认定为非法的文件扩展名在这里设置,此设定与Option节有关;
U6 f& |5 S( U9 F 2、具体配置 b1 h5 R6 U" I
(1)Option节的配置,因为Option节的设置直接影响到以后的配置,因此,这一节的设置特别重要。此节主要进行以下属性的设置:
. _ s- A$ G) ~1 z+ N8 W; o, [" g UseAllowVerbs:使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;
! K9 d1 n# p4 Y/ y4 g$ k+ n! h0 ? UseAllowExtensions:使用允许模式检测文件扩展名;如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求;如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求;默认为0;: s) a" ?" w$ ?" a" k. r
EnableLogging:是否允许使用Log文件,如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤;
4 D; }4 T) K: M; v+ M! y' @9 d1 [9 V5 h AllowLateScanning:允许其他URL过滤在URLScan过滤之前进行,系统默认为不允许0;
1 P1 B7 N& V5 u7 O" A3 E0 KAlternateServerName:使用服务名代替;如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的“Server”;1 v0 C4 N, W& n# i
NormalizeUrlBeforeScan:在检测URL之前规格化URL;如果为1,URLScan将在IIS编码URL之前URL进行检测;需要提醒的是,只有管理员对URL解析非常熟悉的情况下才可以将其设置为0;默认为1;! O' j% l# g* z' u8 j6 x* f
VerifyNormalization:如果设置为1,UrlScan将校验URL规则,默认为1;此节设定与NormalizeUrlBeforeScan有关;7 k3 i, O# k! A/ \
AllowHighBitCharacters:如果设置为1,将允许URL中存在所有字节,如果为0,含有非ASCII字符的URL将拒绝;默认为1;6 `% X5 ]% F% U+ R
AllowDotInPath:如果设置为1,将拒绝所有含有多个“.”的URL请求,由于URL检测在IIS解析URL之前,所以,对这一检测的准确性不能保证,默认为0;# x+ y1 m% h4 J9 r- `' |
RemoveServerHeader:如果设置为1,将把所有应答的服务头清除,默认为0;" v7 @9 q! m: u0 y/ y) F# _
(2)[AllowVerbs]节配置
. V) ^3 e7 ?* g. z. C7 P 如果UseAllowVerbs设置为1,此节设置的所有请求将被允许,一般设置以下请求:
% H* O* B) h# o) B GET、HEAD、POST
+ a, \" `- e1 L( g" J. s5 s (3)[DenyVerbs]节配置
7 t# s3 r6 D7 R; ]0 j 如果UseAllowVerbs设置为0,此节设置的所有请求将拒绝,一般设置以下请求:
7 Z; Z3 @ S; J1 ? PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK
$ R, W+ { L$ S7 v/ j! F% s/ C7 ? (4)[AllowExtensions]节设置
& g ], I+ i+ }8 J/ a 在这一节设置的所有扩展名文件将被允许请求,一般设置以下请求:4 S1 B }# U H0 C
.asp、.htm、.html、.txt、.jpg、.jpeg、.gif,如果需要提供文件下载服务,需要增加.rar、.zip
6 M4 ^2 w/ _; \1 A) ^7 z (5)[DenyExtensions]节设置# T7 K/ L) |; ?9 T3 R
在这一节设置的所有扩展名文件请求将被拒绝,根据已经发现的漏洞,我们可以在这一节增加内容,一般为以下设置:: D/ ~( V) M/ S1 k) [0 F
.asa、可执行文件、批处理文件、日志文件、罕见扩展如:shtml、.printer等。
1 [3 Y/ {3 ]! s# F: h在使用UrlScan的时候,切记不要设置一次万事大吉,需要不停跟踪新出现的漏洞,随时修改URLScan的配置文件。 |
|
狗仔卡
发表于 2009-4-23 09:50
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主
