【IIS辅助】功能模块,作为入侵防护系统的一个重要组成部分,负责拦截来自WEB的入侵任务。它是入侵防护的第一步,黑客首先通过网络嗅探都是通过WEB方式进行,因此需要严格设置IIS辅助功能模块。
一、基本设置 1、开启IIS辅助功能:开启后,IIS辅助功能生效,否则无效,开启或者关闭后,请点击【保存】按钮; 2、开启IIS查杀:在浏览器与服务器通信的数据流中检测危险数据,如果有,则进行阻断; 3、禁止POST提交:阻止客户端POST提交数据; 4、禁止文件上传:阻止客户端上传文件; 5、拦截时显示关键词:是否将拦截关键词信息发送到浏览器,此功能是为了方便找到拦截的内容,建议关闭; 6、防止PHP流量攻击:防止PHP的UDP恶意流量上传攻击,建议开启; 7、自动拦截异常IP:对试图尝试入侵服务器的IP进行拦截,在重启IIS后才会清除。注意,对于CDN节点的服务器建议不勾选。 8、监控的文件类型:一般需要监控动态脚本,如:asp|aspx|php|asa|cdx|asax|cer 等; 9、拦截提示补充内容:您可以将自己的提示信息发送给被拦截的用户,如联系方式等。 10、重启IIS:重新启动w3svc服务,重新应用IIS辅助设置。
二、访问控制 1、监控的URL路径:一般设置图片目录、上传目录等静态目录,不需要执行脚本的目录,如 “/images/” “/uploadfiles/”等,禁止该目录下的脚本文件,如 asp 文件被访问。 2、该功能是为了解决黑客利用上传目录上传危险脚本文件的漏洞问题。 3、拦截效果如图:
三、SQL防注入 1、Get防注入关键词:过滤URL中的字符串,包括通过URL编码的字符串; 2、POST防注入关键词:过滤POST提交数据中的数据,包括通过URL编码的数据; 3、Cookies防注入关键词:过滤Cookies中的数据,包括通过URL编码的数据; 4、【获取】按钮,获取官方指定的防注入关键词,比较完全,推荐采用; 5、如果需要开启某功能,请选择对应的选项,并保存。保存完毕之后,请重启IIS以便完成应用。 6、拦截效果如图:
四、挂马防护 1、拦截数据流字节上限:超过该设定字节长度的数据流,将不进行解析,默认5000,用户可以自定义; 3、监控客户端数据提交方式:包括 Get/Post/Cookies 三种,建议都勾选; 4、挂马白名单,如含有某些认可的特征,如某些统计代码,则可以将这些代码中的关键部分提取到挂马白名单中,那么即使提交的数据含有挂马的特征,但是含有白名单特征码,因此不会被拦截; 5、拦截后的提示:
五、白名单 1、URL白名单:设置信任的部分或完整路径,那么该目录下的文件将不受限制的访问; 2、IP白名单:如果希望某个客户端的IP(段)不受限制的访问,那么可以将客户端的IP设置到IP白名单中; 3、安全码:如果提交的内容,包含了安全码,那么该提交将会被放行而不进行拦截; 4、注意:白名单优先级低于黑名单。
六、黑名单 1、禁止访问的URL路径或文件:如不希望某些目录或文件被访问,则可以设置到这里; 2、输入禁止访问的IIS的客户端IP(段):禁止该IP的客户端访问IIS上的网站; 3、黑名单优先级高于白名单; 4、拦截效果如图:
七、日志分析
八、注意事项 1、修改设置后,请保存,并重启IIS才会立即生效; 2、为了提高效率,系统记录的日志并不是实时记录,如果您想立刻查看日志,则请重启IIS,否则,系统会根据时间和日志条数写日志; |