簡單9步,征服IIS7服務(wù)器安全問題
你還在為IIS7服務(wù)器的安全問題煩勞?以后就不用了,在這里,我們將集中介紹一些簡單的方法,只需要簡單的9步,從此IIS7服務(wù)器和其應(yīng)用程序的安全都不再是問題。
第1步:使用強(qiáng)化的OS操作系統(tǒng)的Web服務(wù)器。如果你還在使用Windows Server 2008 R2的操作系統(tǒng),你需要注意的是它的服務(wù)器核心安裝版本不能降低被攻擊的風(fēng)險,雖然它會給你需要的所有的功能。如果你使用的是常規(guī)版本的Windows Server,那么可以試著安裝IIS,但是它只作用于你目前所需要的裝置。你也可以根據(jù)你的實(shí)際需要,恢復(fù)或者安裝更多你所需要的功能,但是你要考慮清楚,如果你添加了你不使用的裝置,這會擴(kuò)大你受到攻擊的范圍。
第2步:利用好防火墻。防火墻能確保服務(wù)器只接收有效的有服務(wù)的封包,幫助保護(hù)你的WEB服務(wù)器,尤其是面向互聯(lián)網(wǎng)的服務(wù)器。如果有人試圖對你的服務(wù)器進(jìn)行惡意攻擊,防火墻就是你的第一道防線,第一道防線防好了,也就沒有后面的事情了。為了更好地保障你的系統(tǒng),尤其是IIS服務(wù)器,推薦使用入侵預(yù)防系統(tǒng)(IPS)。如果你覺得你的的系統(tǒng)不是很大,不需要特定裝硬件防火墻裝置時,你可以選擇利用Windows Server 2008的綜合防火墻,它一樣可以獲得較好的安全性。
第3步:限制訪問你WEB服務(wù)器的內(nèi)容。這一點(diǎn),你可以用IIS7進(jìn)行控制ip和域來達(dá)到。例如,你可以授權(quán)組織內(nèi)部域的訪問,限制外部域的訪問。你也可以添加合作伙伴、老板、管理員或其他任何你希望可以訪問的組織或者個人的IP,使他們成為你WEB服務(wù)器唯一面向的用戶。
第4步:過濾信息。IIS7可讓你過濾需要處理和過濾的信息。你可以設(shè)定特定的規(guī)則進(jìn)行信息過濾,例如處理和過濾帶有特定擴(kuò)展名的文件,或者處理在URL中的特定短語。
第5步:URL授權(quán)。當(dāng)一個有效的包進(jìn)入IIS處理時,同一時間也產(chǎn)生一個授權(quán)的人。用特定的頁面和/或Web服務(wù)器的網(wǎng)站,可以使用IIS7,利用一個過程來調(diào)用URL進(jìn)行授權(quán)給不同的用戶。一般情況下,用戶首先需要驗(yàn)證自己,并根據(jù)其驗(yàn)證身份,設(shè)置允許或不允許進(jìn)入他們所要求進(jìn)入的網(wǎng)頁/網(wǎng)站。這與之前ISS版本不同,使用URL授權(quán)可以支持更詳細(xì)的授權(quán)用戶。
第6步:在用戶和Web服務(wù)器之間使用有證書的SSL通信。這是確保你IIS服務(wù)器的最佳方法之一。如果你的服務(wù)器是公開使用的,你可以在GoDaddy或Verisign這樣的受信任的證書頒發(fā)機(jī)構(gòu)獲得證書。這個證書在任何一個瀏覽器、任何一臺電腦上都是可信任的,也是最容易的,但是一分錢一分貨,使用SSL的價格也較高。只在組織內(nèi)部使用的IIS服務(wù)器,可以在你所處的環(huán)境使用自己的PKI證書發(fā)出的Web服務(wù)器。但是,如果個別電腦上沒有安裝證書,內(nèi)部用戶訪問時,計(jì)算機(jī)可能會出現(xiàn)問題。如果你的IIS服務(wù)器還是在測試環(huán)境中,那么你可以在ISS管理工具中使用自簽名的證書。注意,不像IIS7,舊版的ISS中沒有集成這一功能,你必須在微軟下載一個工具來創(chuàng)造自己的簽名證書。
第7步:記錄日志。記錄日志可幫助你搜索攻擊源或者一個服務(wù)器損壞的原因。日志可以在確保你的設(shè)置的同時,在危機(jī)關(guān)頭也可以協(xié)助你的監(jiān)測工作。
第8步:測試。如果你的IIS基礎(chǔ)設(shè)施和所有的安全解決方案都已經(jīng)沒有問題的話,那么接下來要做的就是要進(jìn)行測試了。不用擔(dān)心不會,因?yàn)?/SPAN>微軟會提供給你大師級的策略來確保你的測試是最好的。測試最常用的工具是SCW和SCM。SCW,安全配置向?qū)?/SPAN>,這是根據(jù)你的服務(wù)器除IIS服務(wù)器之外,是否或者還扮演一些其他的角色,因服務(wù)器而異。測試結(jié)束后SCW會提供如何提高服務(wù)器安全性的報告和建議。SCM,安全合規(guī)管理器,這是微軟給你的服務(wù)器做安全測試的工具。它在與配置服務(wù)器的預(yù)定義模板進(jìn)行對比后,會通過改變使用策略來配置服務(wù)器。更新過的SCM數(shù)據(jù)庫工具,要比SCW所使用的更復(fù)雜,所以需要定期進(jìn)行初始化安裝服務(wù)器后能運(yùn)行這些工具。
第9步:IIS日志記錄。在第7步我們提到需要記錄日志,其實(shí)日志最重要的作用是為你監(jiān)視特定事件可能導(dǎo)致服務(wù)器或托管的應(yīng)用程序中存在的問題,監(jiān)控服務(wù)器本身的運(yùn)行時間,可用性和性能問題,監(jiān)控IIS服務(wù)器的每一個SLA協(xié)議的對象,無論是內(nèi)部(公司)或外部(客戶端)的SLA要求。
關(guān)鍵字:IIS服務(wù)器、客戶端、數(shù)據(jù)庫、服務(wù)器、防火墻、操作系統(tǒng)
新文章:
- CentOS7下圖形配置網(wǎng)絡(luò)的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統(tǒng)后丟失windows啟動項(xiàng)
- CentOS單網(wǎng)卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗(yàn)證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網(wǎng)打印機(jī)IP講解
- CentOS7使用hostapd實(shí)現(xiàn)無AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網(wǎng)絡(luò)重啟出錯
- 解決Centos7雙系統(tǒng)后丟失windows啟動項(xiàng)
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統(tǒng)有什么不同呢
- Centos 6.6默認(rèn)iptable規(guī)則詳解