在本篇文章中,我們將集中介紹一些方法,來幫助你在你的環(huán)境中使用并確保IIS7服務器和其應用程序的安全。
1、第一步,確保你的Web服務器是強化的操作系統。如果你使用的是Windows Server 2008 R2的操作系統,那么服務器核心安裝版本會給你需要的——所有功能,但不能降低被攻擊的風險。如果你正在使用常規(guī)版本的Windows Server,可以試著安裝IIS,它只是作用于你目前所需要的裝置。根據你的需要,也可以恢復或者安裝更多你所需要的功能。注意,當你添加了,你不使用的裝置時,這會使你受到的攻擊范圍擴大。
2、使用防火墻可以真正幫助你保護WEB服務器,尤其是面向互聯網的服務器。防火墻能確保服務器只接收有效的有服務的封包。當外部襲擊者試圖對你的服務器進行惡意攻擊時,防火墻就是你的第一道防線。使用入侵預防系統(IPS),可以進一步保障你的系統,尤其是IIS服務器。如果你的系統不是很大,不需要裝特定的硬件防火墻裝置時,你也可以利用Windows Server 2008的綜合防火墻同樣可以獲得較好的安全性。
3、用IIS7控制ip和域限制訪問你WEB服務器的內容。例如,你可以只授權組織內部域的訪問。或者添加除合作伙伴以外,管理員家里的IP地址,老板或其他任何你希望可以訪問的組織或者個人。
4、IIS7可讓你更好的過濾需要處理的,需要過濾的信息。利用這一特點你可以對特定規(guī)則要求過濾,例如處理帶有特定擴展名的文件,或者處理在URL中的特定短語。
5、當一個有效的包進入IIS處理時,同時也應該會有一個授權的人。IIS7允許你使用一個過程調用 URL授權。特定的頁面和/或Web服務器的網站,可以授權給不同的用戶。默認情況下,用戶應首先驗證自己,并根據其驗證身份,然后允許或不允許進入他們所要求的網頁/網站。這與之前ISS版本不同,管理員可設置文件系統級別上的權限。使用URL授權IIS7的方式來支持更詳細的授權用戶。
6、確保你的IIS服務器的最佳方法之一是通過使用有證書的SSL通信在用戶和Web服務器之間。如果服務器是公開使用的,你應該要從GoDaddy或Verisign這樣的受信任的證書頒發(fā)機構頒發(fā)的證書。這個證書在任何瀏覽器上,在任何一臺電腦上,都是可信任的,也是最容易的,但是使用SSL的缺點就是價格較高。如果IIS服務器只在你的組織內部使用,你可以使用自己的PKI證書發(fā)出的Web服務器,在你所處的環(huán)境。但是,內部用戶訪問時可能存在,在不同的電腦上沒有安裝證書的計算機訪問會出現問題。如果你的IIS服務器只在測試環(huán)境中使用,那么你可以在ISS管理工具中,使用自簽名的證書。在以前的ISS版本中沒有集成這一功能,你必須從微軟下載一個工具來創(chuàng)造自己的簽名證書,而在IIS7中,這個過程就容易多了。
7、日志是一個讓你最有保障的方法。它可幫助你搜索攻擊源或者一個服務器損壞的原因。從一開始就確保你的設置,并在危機關頭協助你的監(jiān)測工作。
8、如果你感覺你的IIS基礎設施和所有的安全解決方案已經沒有問題的話,那么就要進行測試了。使用測試工具微軟會提供給你大師級的策略來確保你的測試是最好的方法。做測試最常用的工具是SCW和SCM。下面就來介紹一下:安全配置向導(SCW)——這是根據你的服務器除IIS服務器之外,是否或者還扮演一些其他的角色,而有所不同。測試結束后SCW會告訴你如何提高服務器安全性的報告和建議。安全合規(guī)管理器(SCM)-是微軟給你的服務器做安全測試的工具。在與配置服務器的預定義模板進行對比后,通過改變使用策略來配置服務器。SCM使用更新過的數據庫工具,要比SCW所使用的工具更復雜。從而確保你定期進行初始化安裝服務器后能運行這些工具。
9、上面提到了有關IIS日志記錄功能的作用,但日志最重要的作用是為你監(jiān)視特定事件可能導致服務器或托管的應用程序中存在的問題。同樣重要的是為你監(jiān)控服務器本身的運行時間,可用性和性能問題。也可以監(jiān)控IIS服務器的一個SLA協議的對象,無論是內部(公司)或外部(客戶端)的SLA要求。理論上,這種監(jiān)測可以由一個服務器管理員手動完成,但要更高效、更可靠的話可把這種工作,交給像Monitis的監(jiān)測公司解決。
如何找到監(jiān)控IIS服務器,可以通過Monitis在以下鏈接: http://blog.monitis.com/index.php/2011/06/25/monitoring-iis-with-vbscript-via-monitis/
京公網安備 11010502049343號