??? 以前我寫(xiě)過(guò)一篇《使用ISA Server保護(hù)內(nèi)部的web服務(wù)器》文章��,介紹使用ISA Server的"HTTP"過(guò)濾中只啟用"GET"的方法,保護(hù)網(wǎng)站。但近期在用此辦法保護(hù)某個(gè)政府的網(wǎng)站時(shí)��,某些頁(yè)面不能打開(kāi)��,必須啟用POST方法��。由于該網(wǎng)站代碼存在一些漏洞��,短期內(nèi)又不能修補(bǔ)這些漏洞��,如果啟用POST方法��,網(wǎng)站很容易被修改頁(yè)面��。所以��,必須采用其他的技術(shù)手段��,保護(hù)網(wǎng)站的安全��?�?梢杂肐SA Server的HTTP過(guò)濾��,解決部分問(wèn)題��。
??? 《小知識(shí)》網(wǎng)站被"黑"��,通常由于以下幾點(diǎn)原因引起:
??? 網(wǎng)站宿主服務(wù)器操作系統(tǒng)存在漏洞��、網(wǎng)站W(wǎng)eb服務(wù)器存在漏洞��、弱口令��、SQL Server漏洞��、網(wǎng)站代碼漏洞等��,除了網(wǎng)站代碼漏洞��,其他都可以很容易解決��。而網(wǎng)站代碼漏洞(包括網(wǎng)站所用的后臺(tái)編輯器漏洞等)比較難解決��。
??? 首先��,請(qǐng)看一下用ISA Server保護(hù)Web服務(wù)器的網(wǎng)絡(luò)拓?fù)洹?/p>
??? 1 使用ISA Server保護(hù)網(wǎng)站
??? 在ISA Server中創(chuàng)建策略��,發(fā)布內(nèi)網(wǎng)的Web服務(wù)器(主要步驟略)��,然后配置"HTTP"
??? 在"常規(guī)"選項(xiàng)卡中��,在"URL保護(hù)"中��,設(shè)置"最大URL長(zhǎng)度(字節(jié))"處��,設(shè)置為30��、查詢(xún)長(zhǎng)度設(shè)置為30��,并啟用"驗(yàn)證正則化"��,取消"阻止高位字符"��,同時(shí)選中"阻止包含Windows可執(zhí)行文件內(nèi)容的響應(yīng)"��。
??? 【說(shuō)明】其中URL長(zhǎng)度是指要Internet用戶(hù)訪(fǎng)問(wèn)要保護(hù)的網(wǎng)站時(shí)��,在IE瀏覽器中鍵入的網(wǎng)站的地址��,例如��,在本例中��,假設(shè)要保護(hù)的網(wǎng)站是www.xxx.zzz,用戶(hù)要搜索isa��,其訪(fǎng)問(wèn)的網(wǎng)址是http://www.xxx.zzz//s?wd=ISA&cl=3&ie=utf-8��,其中http://www.xxx.zzz/s是URL長(zhǎng)度��,每個(gè)英文字母��、標(biāo)點(diǎn)符號(hào)占用一個(gè)字節(jié)��,如果有中文字符��,每個(gè)中文字符占用兩個(gè)字節(jié)��,而?號(hào)及?之后的為"查詢(xún)長(zhǎng)度"��。一般情況下��,URL長(zhǎng)度��、查詢(xún)長(zhǎng)度要根據(jù)網(wǎng)址的最大長(zhǎng)度(包括各個(gè)鏈接頁(yè))設(shè)置��,一般設(shè)置最大URL長(zhǎng)度150��、查詢(xún)30即可��。
在啟用"阻止包含Windows可執(zhí)行文件內(nèi)容的響應(yīng)"選項(xiàng)時(shí)��,即使黑客上傳了木馬程序到網(wǎng)站中��,ISA Server也會(huì)阻止木馬程序的運(yùn)行��。
在"方法"中��,只允許GET��、POST方法��。
??? 【說(shuō)明】如果網(wǎng)站不需要與用戶(hù)"交互"��,只允許GET方法即可��。也有一些網(wǎng)站��,需要用到POST方法��,這時(shí)應(yīng)該加上POST��。
在"簽名"處��,添加如下的"簽名"進(jìn)行過(guò)濾:
??? CMD��、1=1、1=2��、and��、exec��、insert��、delete��、update��、count��、*��、%��、chr��、mid��、master��、truncate、char��、declare��、upload��、&��、net��、admin等��,并可根據(jù)需要隨時(shí)添加或去除��。在添加的時(shí)候��,簽名的搜索條件為"請(qǐng)求URL"��。
??? 并且��,以后可以根據(jù)SQL Server注入或其他注入方式��,添加過(guò)濾字符��。
??? 然后��,在ISA Server中設(shè)置防火墻策略��,禁止受保護(hù)的Web服務(wù)器訪(fǎng)問(wèn)外網(wǎng)��。
??? 上述的設(shè)置��,保護(hù)Web服務(wù)器不被注入��。但是��,還是有一些網(wǎng)站��,存在"編輯器"漏洞��,這個(gè)時(shí)候��,可以在IIS中��、通過(guò)限制客戶(hù)端IP地址的方式��,保護(hù)網(wǎng)站不被入侵。
??? 在設(shè)置URL長(zhǎng)度��、簽名之后��,如果在打開(kāi)某個(gè)地址時(shí)��,出現(xiàn)"錯(cuò)誤代碼 500"等錯(cuò)誤頁(yè)��,請(qǐng)檢查URL長(zhǎng)度是否合適��、地址欄中的字符是否在"簽名"中被過(guò)濾掉��,這些可以根據(jù)實(shí)際情況配置��。
??? 2 在IIS中服務(wù)器上進(jìn)行配置 2.1限制IP地址
??? 在本示例中��,該網(wǎng)站的后臺(tái)管理地址是http://www.xxx.yyy/badmin/index.htm��,其中的后臺(tái)編輯器��,保存在badmin文件夾中��,則可以在IIS網(wǎng)站中��,在"目錄安全性"→"IP地址和域名限制"中��,只允許"內(nèi)網(wǎng)地址"與"VPN客戶(hù)端地址"��,其他地址進(jìn)行限制��,如圖7所示��。
??? 經(jīng)過(guò)這樣設(shè)置之后��,當(dāng)Internet上用戶(hù)試圖使用"編輯器"漏洞��,直接替換某些網(wǎng)頁(yè)時(shí)��,由于客戶(hù)端的IP地址不屬于內(nèi)網(wǎng)地址��、也不屬于VPN地址��,則在打開(kāi)網(wǎng)站時(shí)��,會(huì)彈出"您未被授權(quán)查看該頁(yè)"的提示��。
??? 如果網(wǎng)站中有一些圖片��,保存在badmin的文件夾下��,則可以單獨(dú)編輯這些文件夾��,在類(lèi)似圖7的設(shè)置中��,取消IP地址的限制即可��。
??? 另外��,也可以將一些后臺(tái)編輯字面��,參照上面的方式��,限制IP地址��,這樣��,只有指定的IP地址才能瀏覽編輯頁(yè)面(或后臺(tái)管理頁(yè)面)��。即使Internet上黑客��,掃描到網(wǎng)站漏洞(尤其是一些編輯器漏洞)��,也不能"攻破"網(wǎng)站��,因?yàn)镮nternet的用戶(hù)是不允許訪(fǎng)問(wèn)或調(diào)用后臺(tái)頁(yè)面的��。
??? 2.2 保存圖片��、文檔的目錄不給"執(zhí)行"權(quán)限
??? 對(duì)于網(wǎng)站中保存圖片��、文檔的目錄��,修改該目錄權(quán)限��,"執(zhí)行權(quán)限"設(shè)置為"無(wú)"��。
??? 3 網(wǎng)站的維護(hù)方式
??? 經(jīng)過(guò)對(duì)ISA Server與IIS進(jìn)行綜合配置后��,從Internet的用戶(hù)只能瀏覽��、搜索網(wǎng)站的內(nèi)容��,一般不能向網(wǎng)站上傳程序��、圖片��,以及黑客��、木馬的程序��。當(dāng)網(wǎng)站需要維護(hù)時(shí)��,可以在局域網(wǎng)內(nèi)��,直接使用IP地址登錄網(wǎng)站的后臺(tái)進(jìn)行維護(hù)��,而在局域網(wǎng)外的用戶(hù),可以將ISA Server配置成VPN服務(wù)器��、讓遠(yuǎn)程客戶(hù)端撥入ISA Server后��,就和內(nèi)網(wǎng)用戶(hù)一樣��,直接用IP地址登錄進(jìn)入后臺(tái)進(jìn)行維護(hù)��。
關(guān)鍵詞標(biāo)簽:Exchange
CentOS NTP服務(wù)器安裝與配置
VMware中Shared Folders(共享文件夾)的配置