??? 以前我寫過一篇《使用ISA Server保護內部的web服務器》文章,介紹使用ISA Server的"HTTP"過濾中只啟用"GET"的方法����,保護網站����。但近期在用此辦法保護某個政府的網站時����,某些頁面不能打開�,必須啟用POST方法�。由于該網站代碼存在一些漏洞���,短期內又不能修補這些漏洞,如果啟用POST方法����,網站很容易被修改頁面。所以����,必須采用其他的技術手段���,保護網站的安全?��?梢杂肐SA Server的HTTP過濾,解決部分問題����。
??? 《小知識》網站被"黑"�����,通常由于以下幾點原因引起:
??? 網站宿主服務器操作系統(tǒng)存在漏洞���、網站Web服務器存在漏洞����、弱口令�、SQL Server漏洞�、網站代碼漏洞等�,除了網站代碼漏洞���,其他都可以很容易解決�����。而網站代碼漏洞(包括網站所用的后臺編輯器漏洞等)比較難解決���。
??? 首先����,請看一下用ISA Server保護Web服務器的網絡拓撲���。
??? 1 使用ISA Server保護網站
??? 在ISA Server中創(chuàng)建策略���,發(fā)布內網的Web服務器(主要步驟略)����,然后配置"HTTP"
??? 在"常規(guī)"選項卡中�,在"URL保護"中���,設置"最大URL長度(字節(jié))"處�,設置為30�、查詢長度設置為30,并啟用"驗證正則化"��,取消"阻止高位字符"�,同時選中"阻止包含Windows可執(zhí)行文件內容的響應"。
??? 【說明】其中URL長度是指要Internet用戶訪問要保護的網站時����,在IE瀏覽器中鍵入的網站的地址�,例如,在本例中��,假設要保護的網站是www.xxx.zzz����,用戶要搜索isa��,其訪問的網址是http://www.xxx.zzz//s?wd=ISA&cl=3&ie=utf-8�,其中http://www.xxx.zzz/s是URL長度����,每個英文字母��、標點符號占用一個字節(jié)����,如果有中文字符,每個中文字符占用兩個字節(jié)����,而?號及?之后的為"查詢長度"。一般情況下����,URL長度、查詢長度要根據網址的最大長度(包括各個鏈接頁)設置����,一般設置最大URL長度150����、查詢30即可�。
在啟用"阻止包含Windows可執(zhí)行文件內容的響應"選項時���,即使黑客上傳了木馬程序到網站中,ISA Server也會阻止木馬程序的運行���。
在"方法"中����,只允許GET、POST方法�����。
??? 【說明】如果網站不需要與用戶"交互"���,只允許GET方法即可��。也有一些網站����,需要用到POST方法���,這時應該加上POST�。
在"簽名"處��,添加如下的"簽名"進行過濾:
??? CMD���、1=1、1=2�、and����、exec��、insert����、delete、update���、count�����、*��、%�、chr�、mid、master�����、truncate、char���、declare、upload���、&����、net��、admin等��,并可根據需要隨時添加或去除�����。在添加的時候����,簽名的搜索條件為"請求URL"。
??? 并且���,以后可以根據SQL Server注入或其他注入方式�,添加過濾字符����。
??? 然后�����,在ISA Server中設置防火墻策略�����,禁止受保護的Web服務器訪問外網����。
??? 上述的設置,保護Web服務器不被注入���。但是,還是有一些網站,存在"編輯器"漏洞�����,這個時候��,可以在IIS中��、通過限制客戶端IP地址的方式,保護網站不被入侵�。
??? 在設置URL長度�、簽名之后�����,如果在打開某個地址時�,出現(xiàn)"錯誤代碼 500"等錯誤頁,請檢查URL長度是否合適����、地址欄中的字符是否在"簽名"中被過濾掉����,這些可以根據實際情況配置��。
??? 2 在IIS中服務器上進行配置 2.1限制IP地址
??? 在本示例中���,該網站的后臺管理地址是http://www.xxx.yyy/badmin/index.htm���,其中的后臺編輯器,保存在badmin文件夾中���,則可以在IIS網站中��,在"目錄安全性"→"IP地址和域名限制"中��,只允許"內網地址"與"VPN客戶端地址"�,其他地址進行限制,如圖7所示���。
??? 經過這樣設置之后�,當Internet上用戶試圖使用"編輯器"漏洞,直接替換某些網頁時����,由于客戶端的IP地址不屬于內網地址����、也不屬于VPN地址���,則在打開網站時��,會彈出"您未被授權查看該頁"的提示����。
??? 如果網站中有一些圖片,保存在badmin的文件夾下,則可以單獨編輯這些文件夾�,在類似圖7的設置中,取消IP地址的限制即可�。
??? 另外,也可以將一些后臺編輯字面���,參照上面的方式����,限制IP地址��,這樣��,只有指定的IP地址才能瀏覽編輯頁面(或后臺管理頁面)。即使Internet上黑客����,掃描到網站漏洞(尤其是一些編輯器漏洞)�,也不能"攻破"網站,因為Internet的用戶是不允許訪問或調用后臺頁面的��。
??? 2.2 保存圖片、文檔的目錄不給"執(zhí)行"權限
??? 對于網站中保存圖片�����、文檔的目錄���,修改該目錄權限,"執(zhí)行權限"設置為"無"。
??? 3 網站的維護方式
??? 經過對ISA Server與IIS進行綜合配置后�����,從Internet的用戶只能瀏覽����、搜索網站的內容����,一般不能向網站上傳程序�����、圖片�,以及黑客�����、木馬的程序�。當網站需要維護時�,可以在局域網內,直接使用IP地址登錄網站的后臺進行維護���,而在局域網外的用戶�����,可以將ISA Server配置成VPN服務器�����、讓遠程客戶端撥入ISA Server后����,就和內網用戶一樣����,直接用IP地址登錄進入后臺進行維護。
關鍵詞標簽:Exchange
CentOS NTP服務器安裝與配置
VMware中Shared Folders(共享文件夾)的配置