Internet IIS服务器安全构建指南

 

　　Win2K操作系统的一个主要特色就是将IIS融入其内核之中，并提供一些用来配置和维护软件的向导工具，使构建一个Internet网站轻松易得。但是，如果要创建一个安全可靠的Internet网站，实现"地面部分"－Win2K操作系统和"空中部分"－IIS的双重安全，还需要更加全面和深入的工作。本文就对这些稳固工作中的 空中部分－IIS进行讨论，旨在帮助管理员一步步地实施网站安全构建工作。

　　一、TCP/IP方面要重点考虑的安全配置信息

　　Win2K提供了三种方式对进站连接进行访问控制，以下分别介绍。

　　1、TCP/IP安全配置

　　Win2K中的TCP/IP安全配置与Windows NT 4.0中的执行方式完全相同，配置方法非常基本也非常简单，根本原则就是"全部允许或只允许"：



　　"全部允许"表示放行来自所有端口的通讯数据，"只允许"表示除了特别列出端口外的通讯数据都拒绝。TCP/IP筛选虽然简单，但过滤总比没有过滤好，建议管理员不要漏掉这个防线。

　　2、对路由和远程访问服务（Routing and Remote Access Service，RRAS）形式的进站连接设置访问控制列表
　　路由和远程访问服务(RRAS)能够配置出更加灵活复杂的信息包过滤器，尽管过滤方式是静态的，但它的过滤细节却很多，包括信息包方向、IP地址、各种协议类型。



　　3、IPSec Policy Filters（IP安全策略过滤器）

　　IPSec Policy Filters由IPSec Policy Agent（IP安全策略代理）强制执行，是Win2K操作系统的新生功能。它弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞，可以实现更仔细更精确的TCP/IP安全。可以说，IPSec是一个基于通讯分析的策略，它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后据此允许或拒绝通讯的传输。这些规则叫做过滤器列表，管理员可以围绕各种不同的安全认证协议来设计它们，协议包括：

　　● Internet密钥交换协议(Internet Key Exchange Protocol，IKE): 一种使VPN节点之间达成安全通信的协议，其功能强大、设计灵活。
　　● 认证IP数据包(Authentication Header,AH)：也就是将数据包中的数据和一个变化的数字签字结合起来，使得接收者能够确认数据发送者的身份以及确认数据在传输过程中没有被纂改过。
　　● Encapsulation Security Payload (ESP)：指使用硬件对数据包中的数据进行加密，使象Sniffer类的网络监听软件无法得到任何有用信息。

　　二、配置安全的IIS5

　　1、单独设置IIS服务器

　　如果可能，IIS应该安装在一个单独的服务器上。就是说，这个服务器不是任何域中的成员，不必与域控制器建立Netlogon信道，从而降低通过服务器之间连接而建立起来的空用户连接所带来的安全风险。而且，由于系统之间不传递认证通讯信息，也就降低了登录口令被截获的可能。

　　2、禁止不需要的服务

　　另外，如果仅仅是单纯的Web 服务器，那么最好禁止掉以下不需要的服务：

　　3、合理设置Web根文件夹

　　同前面论述的将操作系统与应用程序单独存放在不同的分区或磁盘驱动器一样，现在又要使用到隔离技术了。建议将Web根文件夹wwwroot定位在操作系统分区以外的地方甚至是另外的物理磁盘驱动器上。而且，当设置Web站点的虚拟目录或重定向文件夹时，也要保证这些目录不会被重定向到操作系统的启动分区，因为有些攻击能够危及访问文件夹所在分区上的其它文件夹。

　　还有一种安全处理方式就是把Web根文件夹设置到另一个服务器上，使IIS服务器成为一个只缓冲请求、应答请求的系统。而且，经过这样处理后，整个服务器基本上是一个通用型的，其上没有存储任何内容，即使站点遭到攻击而瘫痪，也可以从磁带或其它备份中快速简单地恢复服务器。

让你的IIS无懈可击2006-11-8

IIS 创建虚拟目录2006-11-8

Internet IIS服务器安全构建指南[图]2006-11-8

用IIS+ASP建网站的安全性分析2006-11-8

保护IIS的15个技巧2006-11-8

建站技巧：用IIS高效管理网站[图]2006-11-8

决IIS5 HTTP500内部错误2006-11-8

目前没有评论!

您的姓名： 匿名发送

电子邮件：

评论内容：
不能超过100个字符

所有留言只代表网友个人观点，不代表本站观点。
请各位遵纪守法并注意语言文明。