在本篇文章中,我們將集中介紹一些方法,來(lái)幫助你在你的環(huán)境中使用并確保IIS7服務(wù)器和其應(yīng)用程序的安全。
1、第一步,確保你的Web服務(wù)器是強(qiáng)化的OS操作系統(tǒng)。如果你使用的是Windows Server 2008 R2的操作系統(tǒng),那么服務(wù)器核心安裝版本會(huì)給你需要的——所有功能,但不能降低被攻擊的風(fēng)險(xiǎn)。如果你正在使用常規(guī)版本的Windows Server,可以試著安裝IIS,它只是作用于你目前所需要的裝置。根據(jù)你的需要,也可以恢復(fù)或者安裝更多你所需要的功能。注意,當(dāng)你添加了,你不使用的裝置時(shí),這會(huì)使你受到的攻擊范圍擴(kuò)大。
2、使用防火墻可以真正幫助你保護(hù)WEB服務(wù)器,尤其是面向互聯(lián)網(wǎng)的服務(wù)器。防火墻能確保服務(wù)器只接收有效的有服務(wù)的封包。當(dāng)外部襲擊者試圖對(duì)你的服務(wù)器進(jìn)行惡意攻擊時(shí),防火墻就是你的第一道防線(xiàn)。使用入侵預(yù)防系統(tǒng)(IPS),可以進(jìn)一步保障你的系統(tǒng),尤其是IIS服務(wù)器。 如果你的系統(tǒng)不是很大,不需要裝特定的硬件防火墻裝置時(shí),你也可以利用Windows Server 2008的綜合防火墻同樣可以獲得較好的安全性。
3、用IIS7控制ip和域限制訪(fǎng)問(wèn)你WEB服務(wù)器的內(nèi)容。 例如,你可以只授權(quán)組織內(nèi)部域的訪(fǎng)問(wèn)。或者添加除合作伙伴以外,管理員家里的IP地址,老板或其他任何你希望可以訪(fǎng)問(wèn)的組織或者個(gè)人。
4、IIS7可讓你更好的過(guò)濾需要處理的,需要過(guò)濾的信息。利用這一特點(diǎn)你可以對(duì)特定規(guī)則要求過(guò)濾,例如處理帶有特定擴(kuò)展名的文件,或者處理在URL中的特定短語(yǔ)。
5、當(dāng)一個(gè)有效的包進(jìn)入IIS處理時(shí),同時(shí)也應(yīng)該會(huì)有一個(gè)授權(quán)的人。IIS7允許你使用一個(gè)過(guò)程調(diào)用 URL授權(quán)。 特定的頁(yè)面和/或Web服務(wù)器的網(wǎng)站,可以授權(quán)給不同的用戶(hù)。默認(rèn)情況下,用戶(hù)應(yīng)首先驗(yàn)證自己,并根據(jù)其驗(yàn)證身份,然后允許或不允許進(jìn)入他們所要求的網(wǎng)頁(yè)/網(wǎng)站。這與之前ISS版本不同,管理員可設(shè)置文件系統(tǒng)級(jí)別上的權(quán)限。使用URL授權(quán)IIS7的方式來(lái)支持更詳細(xì)的授權(quán)用戶(hù)。
6、確保你的IIS服務(wù)器的最佳方法之一是通過(guò)使用有證書(shū)的SSL通信在用戶(hù)和Web服務(wù)器之間。如果服務(wù)器是公開(kāi)使用的,你應(yīng)該要從GoDaddy或Verisign這樣的受信任的證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)的證書(shū)。這個(gè)證書(shū)在任何瀏覽器上,在任何一臺(tái)電腦上,都是可信任的,也是最容易的,但是使用SSL的缺點(diǎn)就是價(jià)格較高。如果IIS服務(wù)器只在你的組織內(nèi)部使用,你可以使用自己的PKI證書(shū)發(fā)出的Web服務(wù)器,在你所處的環(huán)境。但是,內(nèi)部用戶(hù)訪(fǎng)問(wèn)時(shí)可能存在,在不同的電腦上沒(méi)有安裝證書(shū)的計(jì)算機(jī)訪(fǎng)問(wèn)會(huì)出現(xiàn)問(wèn)題。如果你的IIS服務(wù)器只在測(cè)試環(huán)境中使用,那么你可以在ISS管理工具中,使用自簽名的證書(shū)。在以前的ISS版本中沒(méi)有集成這一功能,你必須從微軟下載一個(gè)工具來(lái)創(chuàng)造自己的簽名證書(shū),而在IIS7中,這個(gè)過(guò)程就容易多了。
7、日志 是一個(gè)讓你最有保障的方法。它可幫助你搜索攻擊源或者一個(gè)服務(wù)器損壞的原因。從一開(kāi)始就確保你的設(shè)置,并在危機(jī)關(guān)頭協(xié)助你的監(jiān)測(cè)工作。
8、如果你感覺(jué)你的IIS基礎(chǔ)設(shè)施和所有的安全解決方案已經(jīng)沒(méi)有問(wèn)題的話(huà),那么就要進(jìn)行測(cè)試了。使用測(cè)試工具微軟會(huì)提供給你大師級(jí)的策略來(lái)確保你的測(cè)試是最好的方法。 做測(cè)試最常用的工具是SCW和SCM。下面就來(lái)介紹一下:安全配置向?qū)В⊿CW)——這是根據(jù)你的服務(wù)器除IIS服務(wù)器之外,是否或者還扮演一些其他的角色,而有所不同。 測(cè)試結(jié)束后SCW會(huì)告訴你如何提高服務(wù)器安全性的報(bào)告和建議。安全合規(guī)管理器(SCM)-是微軟給你的服務(wù)器做安全測(cè)試的工具。在與配置服務(wù)器的預(yù)定義模板進(jìn)行對(duì)比后,通過(guò)改變使用策略來(lái)配置服務(wù)器。SCM使用更新過(guò)的數(shù)據(jù)庫(kù)工具,要比SCW所使用的工具更復(fù)雜。從而確保你定期進(jìn)行初始化安裝服務(wù)器后能運(yùn)行這些工具。
9、上面提到了有關(guān)IIS日志記錄功能的作用,但日志最重要的作用是為你監(jiān)視特定事件可能導(dǎo)致服務(wù)器或托管的應(yīng)用程序中存在的問(wèn)題。同樣重要的是為你監(jiān)控服務(wù)器本身的運(yùn)行時(shí)間,可用性和性能問(wèn)題。 也可以監(jiān)控IIS服務(wù)器的一個(gè)SLA協(xié)議的對(duì)象,無(wú)論是內(nèi)部(公司)或外部(客戶(hù)端)的SLA要求。 理論上,這種監(jiān)測(cè)可以由一個(gè)服務(wù)器管理員手動(dòng)完成,但要更高效、更可靠的話(huà)可把這種工作,交給像Monitis的監(jiān)測(cè)公司解決。