【IIS輔助】功能模塊,作為入侵防護(hù)系統(tǒng)的一個(gè)重要組成部分,負(fù)責(zé)攔截來(lái)自WEB的入侵任務(wù)。它是入侵防護(hù)的第一步,黑客首先通過(guò)網(wǎng)絡(luò)嗅探都是通過(guò)WEB方式進(jìn)行,因此需要嚴(yán)格設(shè)置IIS輔助功能模塊。
一、基本設(shè)置
1、開(kāi)啟IIS輔助功能:開(kāi)啟后,IIS輔助功能生效,否則無(wú)效,開(kāi)啟或者關(guān)閉后,請(qǐng)點(diǎn)擊【保存】按鈕;
2、開(kāi)啟IIS查殺:在瀏覽器與服務(wù)器通信的數(shù)據(jù)流中檢測(cè)危險(xiǎn)數(shù)據(jù),如果有,則進(jìn)行阻斷;
3、禁止POST提交:阻止客戶端POST提交數(shù)據(jù);
4、禁止文件上傳:阻止客戶端上傳文件;
5、攔截時(shí)顯示關(guān)鍵詞:是否將攔截關(guān)鍵詞信息發(fā)送到瀏覽器,此功能是為了方便找到攔截的內(nèi)容,建議關(guān)閉;
6、防止PHP流量攻擊:防止PHP的UDP惡意流量上傳攻擊,建議開(kāi)啟;
7、自動(dòng)攔截異常IP:對(duì)試圖嘗試入侵服務(wù)器的IP進(jìn)行攔截,在重啟IIS后才會(huì)清除。注意,對(duì)于CDN節(jié)點(diǎn)的服務(wù)器建議不勾選。
8、監(jiān)控的文件類型:一般需要監(jiān)控動(dòng)態(tài)腳本,如:asp|aspx|php|asa|cdx|asax|cer 等;
9、攔截提示補(bǔ)充內(nèi)容:您可以將自己的提示信息發(fā)送給被攔截的用戶,如聯(lián)系方式等。
10、重啟IIS:重新啟動(dòng)w3svc服務(wù),重新應(yīng)用IIS輔助設(shè)置。
二、訪問(wèn)控制
1、監(jiān)控的URL路徑:一般設(shè)置圖片目錄、上傳目錄等靜態(tài)目錄,不需要執(zhí)行腳本的目錄,如 “/images/” “/uploadfiles/”等,禁止該目錄下的腳本文件,如 asp 文件被訪問(wèn)。
2、該功能是為了解決黑客利用上傳目錄上傳危險(xiǎn)腳本文件的漏洞問(wèn)題。
3、攔截效果如圖:
三、SQL防注入
1、Get防注入關(guān)鍵詞:過(guò)濾URL中的字符串,包括通過(guò)URL編碼的字符串;
2、POST防注入關(guān)鍵詞:過(guò)濾POST提交數(shù)據(jù)中的數(shù)據(jù),包括通過(guò)URL編碼的數(shù)據(jù);
3、Cookies防注入關(guān)鍵詞:過(guò)濾Cookies中的數(shù)據(jù),包括通過(guò)URL編碼的數(shù)據(jù);
4、【獲取】按鈕,獲取官方指定的防注入關(guān)鍵詞,比較完全,推薦采用;
5、如果需要開(kāi)啟某功能,請(qǐng)選擇對(duì)應(yīng)的選項(xiàng),并保存。保存完畢之后,請(qǐng)重啟IIS以便完成應(yīng)用。
6、攔截效果如圖:
四、掛馬防護(hù)
1、攔截?cái)?shù)據(jù)流字節(jié)上限:超過(guò)該設(shè)定字節(jié)長(zhǎng)度的數(shù)據(jù)流,將不進(jìn)行解析,默認(rèn)5000,用戶可以自定義;
2、掛馬類型選項(xiàng):包括 Script/Iframe 掛馬,格式如: <script src=http://www.aa.com/muma.js></script> ,以及 <Iframe src=http://www.aa.com; width='250'height='200' scrolling='no'frameborder='0'> </iframe> 等格式;
3、監(jiān)控客戶端數(shù)據(jù)提交方式:包括 Get/Post/Cookies 三種,建議都勾選;
4、掛馬白名單,如含有某些認(rèn)可的特征,如某些統(tǒng)計(jì)代碼,則可以將這些代碼中的關(guān)鍵部分提取到掛馬白名單中,那么即使提交的數(shù)據(jù)含有掛馬的特征,但是含有白名單特征碼,因此不會(huì)被攔截;
5、攔截后的提示:
五、白名單
1、URL白名單:設(shè)置信任的部分或完整路徑,那么該目錄下的文件將不受限制的訪問(wèn);
2、IP白名單:如果希望某個(gè)客戶端的IP(段)不受限制的訪問(wèn),那么可以將客戶端的IP設(shè)置到IP白名單中;
3、安全碼:如果提交的內(nèi)容,包含了安全碼,那么該提交將會(huì)被放行而不進(jìn)行攔截;
4、注意:白名單優(yōu)先級(jí)低于黑名單。
六、黑名單
1、禁止訪問(wèn)的URL路徑或文件:如不希望某些目錄或文件被訪問(wèn),則可以設(shè)置到這里;
2、輸入禁止訪問(wèn)的IIS的客戶端IP(段):禁止該IP的客戶端訪問(wèn)IIS上的網(wǎng)站;
3、黑名單優(yōu)先級(jí)高于白名單;
4、攔截效果如圖:
七、日志分析
八、注意事項(xiàng)
1、修改設(shè)置后,請(qǐng)保存,并重啟IIS才會(huì)立即生效;
2、為了提高效率,系統(tǒng)記錄的日志并不是實(shí)時(shí)記錄,如果您想立刻查看日志,則請(qǐng)重啟IIS,否則,系統(tǒng)會(huì)根據(jù)時(shí)間和日志條數(shù)寫日志;