九步讓IIS7服務(wù)器安全問(wèn)題不再是問(wèn)題
在這里,我們將介紹一些方法,來(lái)幫助你使用并確保IIS7服務(wù)器和其應(yīng)用程序的安全。
1、使用強(qiáng)化的OS操作系統(tǒng)的Web服務(wù)器。如果你還在使用Windows Server 2008 R2的操作系統(tǒng),你需要注意的是它的服務(wù)器核心安裝版本不能降低被攻擊的風(fēng)險(xiǎn),雖然它會(huì)給你需要的所有的功能。如果你使用的是常規(guī)版本的Windows Server,那么可以試著安裝IIS,但是它只作用于你目前所需要的裝置。你也可以根據(jù)你的實(shí)際需要,恢復(fù)或者安裝更多你所需要的功能,但是你要考慮清楚,如果你添加了你不使用的裝置,這會(huì)擴(kuò)大你受到攻擊的范圍。
2、利用好防火墻。防火墻能確保服務(wù)器只接收有效的有服務(wù)的封包,幫助保護(hù)你的WEB服務(wù)器,尤其是面向互聯(lián)網(wǎng)的服務(wù)器。如果有人試圖對(duì)你的服務(wù)器進(jìn)行惡意攻擊,防火墻就是你的第一道防線,第一道防線防好了,也就沒有后面的事情了。為了更好地保障你的系統(tǒng),尤其是IIS服務(wù)器,推薦使用入侵預(yù)防系統(tǒng)(IPS)。如果你覺得你的的系統(tǒng)不是很大,不需要特定裝硬件防火墻裝置時(shí),你可以選擇利用Windows Server 2008的綜合防火墻,它一樣可以獲得較好的安全性。
3、限制訪問(wèn)你WEB服務(wù)器的內(nèi)容。這一點(diǎn),你可以用IIS7進(jìn)行控制ip和域來(lái)達(dá)到。例如,你可以授權(quán)組織內(nèi)部域的訪問(wèn),限制外部域的訪問(wèn)。你也可以添加合作伙伴、老板、管理員或其他任何你希望可以訪問(wèn)的組織或者個(gè)人的IP,使他們成為你WEB服務(wù)器唯一面向的用戶。
4、過(guò)濾信息。IIS7可讓你過(guò)濾需要處理和過(guò)濾的信息。你可以設(shè)定特定的規(guī)則進(jìn)行信息過(guò)濾,例如處理和過(guò)濾帶有特定擴(kuò)展名的文件,或者處理在URL中的特定短語(yǔ)。
5、URL授權(quán)。當(dāng)一個(gè)有效的包進(jìn)入IIS處理時(shí),同一時(shí)間也產(chǎn)生一個(gè)授權(quán)的人。用特定的頁(yè)面和/或Web服務(wù)器的網(wǎng)站,可以使用IIS7,利用一個(gè)過(guò)程來(lái)調(diào)用URL進(jìn)行授權(quán)給不同的用戶。一般情況下,用戶首先需要驗(yàn)證自己,并根據(jù)其驗(yàn)證身份,設(shè)置允許或不允許進(jìn)入他們所要求進(jìn)入的網(wǎng)頁(yè)/網(wǎng)站。這與之前ISS版本不同,使用URL授權(quán)可以支持更詳細(xì)的授權(quán)用戶。
6、在用戶和Web服務(wù)器之間使用有證書的SSL通信。這是確保你IIS服務(wù)器的最佳方法之一。如果你的服務(wù)器是公開使用的,你可以在GoDaddy或Verisign這樣的受信任的證書頒發(fā)機(jī)構(gòu)獲得證書。這個(gè)證書在任何一個(gè)瀏覽器、任何一臺(tái)電腦上都是可信任的,也是最容易的,但是一分錢一分貨,使用SSL的價(jià)格也較高。只在組織內(nèi)部使用的IIS服務(wù)器,可以在你所處的環(huán)境使用自己的PKI證書發(fā)出的Web服務(wù)器。但是,如果個(gè)別電腦上沒有安裝證書,內(nèi)部用戶訪問(wèn)時(shí),計(jì)算機(jī)可能會(huì)出現(xiàn)問(wèn)題。如果你的IIS服務(wù)器還是在測(cè)試環(huán)境中,那么你可以在ISS管理工具中使用自簽名的證書。注意,不像IIS7,舊版的ISS中沒有集成這一功能,你必須在微軟下載一個(gè)工具來(lái)創(chuàng)造自己的簽名證書。
7、記錄日志。記錄日志可幫助你搜索攻擊源或者一個(gè)服務(wù)器損壞的原因。日志可以在確保你的設(shè)置的同時(shí),在危機(jī)關(guān)頭也可以協(xié)助你的監(jiān)測(cè)工作。
8、測(cè)試。如果你的IIS基礎(chǔ)設(shè)施和所有的安全解決方案都已經(jīng)沒有問(wèn)題的話,那么接下來(lái)要做的就是要進(jìn)行測(cè)試了。不用擔(dān)心不會(huì),因?yàn)?/SPAN>微軟會(huì)提供給你大師級(jí)的策略來(lái)確保你的測(cè)試是最好的。測(cè)試最常用的工具是SCW和SCM。SCW,安全配置向?qū)?/SPAN>,這是根據(jù)你的服務(wù)器除IIS服務(wù)器之外,是否或者還扮演一些其他的角色,因服務(wù)器而異。測(cè)試結(jié)束后SCW會(huì)提供如何提高服務(wù)器安全性的報(bào)告和建議。SCM,安全合規(guī)管理器,這是微軟給你的服務(wù)器做安全測(cè)試的工具。它在與配置服務(wù)器的預(yù)定義模板進(jìn)行對(duì)比后,會(huì)通過(guò)改變使用策略來(lái)配置服務(wù)器。更新過(guò)的SCM數(shù)據(jù)庫(kù)工具,要比SCW所使用的更復(fù)雜,所以需要定期進(jìn)行初始化安裝服務(wù)器后能運(yùn)行這些工具。
9、IIS日志記錄。在第7步我們提到需要記錄日志,其實(shí)日志最重要的作用是為你監(jiān)視特定事件可能導(dǎo)致服務(wù)器或托管的應(yīng)用程序中存在的問(wèn)題,監(jiān)控服務(wù)器本身的運(yùn)行時(shí)間,可用性和性能問(wèn)題,監(jiān)控IIS服務(wù)器的每一個(gè)SLA協(xié)議的對(duì)象,無(wú)論是內(nèi)部(公司)或外部(客戶端)的SLA要求。
關(guān)鍵字:IIS服務(wù)器、客戶端、數(shù)據(jù)庫(kù)、服務(wù)器、防火墻、操作系統(tǒng)
新文章:
- CentOS7下圖形配置網(wǎng)絡(luò)的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統(tǒng)后丟失windows啟動(dòng)項(xiàng)
- CentOS單網(wǎng)卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗(yàn)證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網(wǎng)打印機(jī)IP講解
- CentOS7使用hostapd實(shí)現(xiàn)無(wú)AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網(wǎng)絡(luò)重啟出錯(cuò)
- 解決Centos7雙系統(tǒng)后丟失windows啟動(dòng)項(xiàng)
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統(tǒng)有什么不同呢
- Centos 6.6默認(rèn)iptable規(guī)則詳解