10秒后自动关闭
【IIS辅助】使用指南

【IIS辅助】功能模块,作为入侵防护系统的一个重要组成部分,负责拦截来自WEB的入侵任务。它是入侵防护的第一步,黑客首先通过网络嗅探都是通过WEB方式进行,因此需要严格设置IIS辅助功能模块。

 

一、基本设置

护卫神

    1、开启IIS辅助功能:开启后,IIS辅助功能生效,否则无效,开启或者关闭后,请点击【保存】按钮;

    2、开启IIS查杀:在浏览器与服务器通信的数据流中检测危险数据,如果有,则进行阻断;

    3、禁止POST提交:阻止客户端POST提交数据;

    4、禁止文件上传:阻止客户端上传文件;

    5、拦截时显示关键词:是否将拦截关键词信息发送到浏览器,此功能是为了方便找到拦截的内容,建议关闭;

    6、防止PHP流量攻击:防止PHP的UDP恶意流量上传攻击,建议开启;

    7、自动拦截异常IP:对试图尝试入侵服务器的IP进行拦截,在重启IIS后才会清除。注意,对于CDN节点的服务器建议不勾选。

    8、监控的文件类型:一般需要监控动态脚本,如:asp|aspx|php|asa|cdx|asax|cer 等;

    9、拦截提示补充内容:您可以将自己的提示信息发送给被拦截的用户,如联系方式等。

    10、重启IIS:重新启动w3svc服务,重新应用IIS辅助设置。

 

二、访问控制

护卫神

    1、监控的URL路径:一般设置图片目录、上传目录等静态目录,不需要执行脚本的目录,如 “/images/” “/uploadfiles/”等,禁止该目录下的脚本文件,如 asp 文件被访问。

    2、该功能是为了解决黑客利用上传目录上传危险脚本文件的漏洞问题。

    3、拦截效果如图:

 

护卫神

 

三、SQL防注入

护卫神

    1、Get防注入关键词:过滤URL中的字符串,包括通过URL编码的字符串;

    2、POST防注入关键词:过滤POST提交数据中的数据,包括通过URL编码的数据;

    3、Cookies防注入关键词:过滤Cookies中的数据,包括通过URL编码的数据;

    4、【获取】按钮,获取官方指定的防注入关键词,比较完全,推荐采用;

    5、如果需要开启某功能,请选择对应的选项,并保存。保存完毕之后,请重启IIS以便完成应用。

    6、拦截效果如图:

护卫神

 

四、挂马防护

护卫神

    1、拦截数据流字节上限:超过该设定字节长度的数据流,将不进行解析,默认5000,用户可以自定义;

    2、挂马类型选项:包括 Script/Iframe 挂马,格式如: <script src=http://www.aa.com/muma.js></script> ,以及 <Iframe src=http://www.aa.com; width='250'height='200' scrolling='no'frameborder='0'> </iframe>  等格式;

    3、监控客户端数据提交方式:包括 Get/Post/Cookies 三种,建议都勾选;

    4、挂马白名单,如含有某些认可的特征,如某些统计代码,则可以将这些代码中的关键部分提取到挂马白名单中,那么即使提交的数据含有挂马的特征,但是含有白名单特征码,因此不会被拦截;

    5、拦截后的提示:

护卫神

 

五、白名单

护卫神

    1、URL白名单:设置信任的部分或完整路径,那么该目录下的文件将不受限制的访问;

    2、IP白名单:如果希望某个客户端的IP(段)不受限制的访问,那么可以将客户端的IP设置到IP白名单中;

    3、安全码:如果提交的内容,包含了安全码,那么该提交将会被放行而不进行拦截;

    4、注意:白名单优先级低于黑名单。

 

六、黑名单

护卫神

    1、禁止访问的URL路径或文件:如不希望某些目录或文件被访问,则可以设置到这里;

    2、输入禁止访问的IIS的客户端IP(段):禁止该IP的客户端访问IIS上的网站;

    3、黑名单优先级高于白名单;

    4、拦截效果如图:

护卫神

 

七、日志分析

护卫神

 

八、注意事项

    1、修改设置后,请保存,并重启IIS才会立即生效;

    2、为了提高效率,系统记录的日志并不是实时记录,如果您想立刻查看日志,则请重启IIS,否则,系统会根据时间和日志条数写日志;

用户留言