以前我写过一篇《使用ISA Server保护内部的web服务器》文章,介绍使用ISA Server的"HTTP"过滤中只启用"GET"的方法,保护网站。但近期在用此办法保护某个政府的网站时,某些页面不能打开,必须启用POST方法。由于该网站代码存在一些漏洞,短期内又不能修补这些漏洞,如果启用POST方法,网站很容易被修改页面。所以,必须采用其他的技术手段,保护网站的安全。可以用ISA Server的HTTP过滤,解决部分问题。
《小知识》网站被"黑",通常由于以下几点原因引起:
网站宿主服务器操作系统存在漏洞、网站Web服务器存在漏洞、弱口令、sql server漏洞、网站代码漏洞等,除了网站代码漏洞,其他都可以很容易解决。而网站代码漏洞(包括网站所用的后台编辑器漏洞等)比较难解决。
首先,请看一下用ISA Server保护Web服务器的网络拓扑。
1 使用ISA Server保护网站
在ISA Server中创建策略,发布内网的Web服务器(主要步骤略),然后配置"HTTP"
在"常规"选项卡中,在"URL保护"中,设置"最大URL长度(字节)"处,设置为30、查询长度设置为30,并启用"验证正则化",取消"阻止高位字符",同时选中"阻止包含Windows可执行文件内容的响应"。
【说明】其中URL长度是指要Internet用户访问要保护的网站时,在IE浏览器中键入的网站的地址,例如,在本例中,假设要保护的网站是www.xxx.zzz,用户要搜索isa,其访问的网址是https://www.xxx.zzz//s?wd=ISA&cl=3&ie=utf-8,其中https://www.xxx.zzz/s是URL长度,每个英文字母、标点符号占用一个字节,如果有中文字符,每个中文字符占用两个字节,而?号及?之后的为"查询长度"。一般情况下,URL长度、查询长度要根据网址的最大长度(包括各个链接页)设置,一般设置最大URL长度150、查询30即可。
在启用"阻止包含Windows可执行文件内容的响应"选项时,即使黑客上传了木马程序到网站中,ISA Server也会阻止木马程序的运行。
在"方法"中,只允许GET、POST方法。
【说明】如果网站不需要与用户"交互",只允许GET方法即可。也有一些网站,需要用到POST方法,这时应该加上POST。
在"签名"处,添加如下的"签名"进行过滤:
CMD、1=1、1=2、and、exec、insert、delete、update、count、*、%、chr、mid、master、truncate、char、declare、upload、&、net、admin等,并可根据需要随时添加或去除。在添加的时候,签名的搜索条件为"请求URL"。
并且,以后可以根据SQL Server注入或其他注入方式,添加过滤字符。
然后,在ISA Server中设置防火墙策略,禁止受保护的Web服务器访问外网。
上述的设置,保护Web服务器不被注入。但是,还是有一些网站,存在"编辑器"漏洞,这个时候,可以在iis中、通过限制客户端IP地址的方式,保护网站不被入侵。
在设置URL长度、签名之后,如果在打开某个地址时,出现"错误代码 500"等错误页,请检查URL长度是否合适、地址栏中的字符是否在"签名"中被过滤掉,这些可以根据实际情况配置。
2 在IIS中服务器上进行配置 2.1限制IP地址
在本示例中,该网站的后台管理地址是https://www.xxx.yyy/badmin/index.htm,其中的后台编辑器,保存在badmin文件夹中,则可以在IIS网站中,在"目录安全性"→"IP地址和域名限制"中,只允许"内网地址"与"VPN客户端地址",其他地址进行限制,如图7所示。
经过这样设置之后,当Internet上用户试图使用"编辑器"漏洞,直接替换某些网页时,由于客户端的IP地址不属于内网地址、也不属于VPN地址,则在打开网站时,会弹出"您未被授权查看该页"的提示。
如果网站中有一些图片,保存在badmin的文件夹下,则可以单独编辑这些文件夹,在类似图7的设置中,取消IP地址的限制即可。
另外,也可以将一些后台编辑字面,参照上面的方式,限制IP地址,这样,只有指定的IP地址才能浏览编辑页面(或后台管理页面)。即使Internet上黑客,扫描到网站漏洞(尤其是一些编辑器漏洞),也不能"攻破"网站,因为Internet的用户是不允许访问或调用后台页面的。
2.2 保存图片、文档的目录不给"执行"权限
对于网站中保存图片、文档的目录,修改该目录权限,"执行权限"设置为"无"。
3 网站的维护方式
经过对ISA Server与IIS进行综合配置后,从Internet的用户只能浏览、搜索网站的内容,一般不能向网站上传程序、图片,以及黑客、木马的程序。当网站需要维护时,可以在局域网内,直接使用IP地址登录网站的后台进行维护,而在局域网外的用户,可以将ISA Server配置成VPN服务器、让远程客户端拨入ISA Server后,就和内网用户一样,直接用IP地址登录进入后台进行维护。
关键词标签:Exchange
相关阅读
热门文章 VMware中Shared Folders(共享文件夹)的配CentOS NTP服务器安装与配置实战:RemoteApp服务器应用程序安装nginx搭建flv流媒体服务器
人气排行 VMware中Shared Folders(共享文件夹)的配置nginx搭建flv流媒体服务器CentOS NTP服务器安装与配置修改Windows Server 远程登录(远程桌面)最大连接数目nginx的自动启动脚本heartbeat+LVS-ipvsadm+ldirectord搭建lvs DR集群Windows 2003下配置架设NTP时间服务器五步解决“服务器超出最大允许连接数”错误
查看所有0条评论>>