IIS服务管理实用技巧六则
发布:admin | 发布时间: 2010年1月23日Microsoft的IIS(Internet Information Server)服务具有安装方便,使用配置简单的特点,在网络上使用得非常广泛,许多网站都是基于IIS建立的。一般来说,我们都是按照默认配置来管理和维护IIS服务的。但是,Windows自带的IIS服务管理功能毕竟有限,无法满足更高的使用要求。实际上,想让IIS服务更加顺畅和安全的运行,还需要很多IIS管理软件“辅佐”才行。这里就介绍常用的IIS服务管理软件,实现对IIS服务进行网络数据压缩、保卫IIS安全、IIS资源的安全管理、IIS服务的伪装、控制网络带宽、监控IIS服务等实用功能。
给IIS巧设“压缩器”
在默认情况下,当您访问IIS服务器时,相关网络数据没有经过任何压缩处理,这无疑会消耗宝贵的网络带宽。使用IISxpress这款独特的IIS插件,即可为其添加数据压缩处理功能。在“Internet信息服务”窗口中选中“网站”节点,在其属性窗口中打开“ISAPI筛选器”面板,在其中可以看到名称为IISxpres的筛选器。IIS启动成功后,IISxpres跟随IIS自动加载。当客户端使用浏览器访问网站时,会向IIS服务器发出各种请求信息,IIS根据具体的请求信息,作出相应的回应,IISxpres会拦截IIS的各种回应信息,当IISxpres判断IIS回应给客户端的文件类型(例如Html,XML等)可以进行压缩处理时,就会自动的对这些文件进行压缩,然后将压缩后数据发送给客户端。IISxpres内建了许多过滤规则,只有回应信息符合这些规则时,IISxpres才会对器进行压缩处理,而客户端可以照常接收。
在系统托盘中双击IISxpres图标,在其配置程序窗口中的“History”面板中记录了IISxpress对IIS的回应信息压缩处理的历史信息,包括时间、主机文件路径、文件原始大小、压缩后文件的大小、压缩率等参数。在“General”面板中的“Status”面板中显示了IIS和IISxpress的运行状态(正在运行或者停止),在“Activity”面板中显示了IISxpress压缩文件的数量、未压缩的数据量、已压缩的数据量、整体压缩率等统计信息。实际上,对于ZIP等文件来,再执行压缩处理已经没有必要了,在“Exclusions”面板中可以设置那些类型的数据排除在自动压缩之外。在窗口左侧点击“Extension”按钮,在窗口右侧列出不需要压缩的文件类型。点击“Add”按钮,可以增加新的文件类型。在窗口左侧点击“Content Types”按钮,在窗口右侧显示哪些数据类型不需要压缩处理。点击“Add”按钮可增加新的编码类型。在窗口左侧点击“URIs”按钮,在窗口右侧显示显示哪些Web路径下的文件不需要压缩处理,如果在IIS服务器上存在多个网站,在“Site”列表中选择合适的网站名称,点击“Add”按钮,在路径编辑窗口中可以设置新的Web路径名称,如果勾选“Use URI path as wildcard”项,则在路径中可以使用通配符。在设置窗口中的“Configuration”面板点击“Start”或“Stop”按钮启动/停止IISxpres。勾选“Allow filter to process responses”项,表示允许IISxpress对IIS的各种回应信息进行压缩处理。在“Select the compression level for the server”列表中可以选择压缩的等级。下载地址:http://www.ripcordsoftware.com/cs/files/15/installers25/entry110.aspx。
使用SecureIIS保卫IIS安全
为了防止黑客攻击和破坏IIS服务器,最好的办法就是对IIS服务器进行全面保护。使用SecureIIS这款为IIS量身定制的安全软件,即可轻松防御针对IIS各种入侵行为。SecureIIS提供了“Site Security”(站点安全防护)和“File Monitoring”(文件实时监控)两种保护机制。在SecureIIS主界面工具栏上点击“Site Security”和“File Monitor”标签旁边的开始按钮,即可开启上述两种保护模式。在SecureIIS主窗口左侧点击“Site Security”项,在右侧显示服务器上的网站列表,选中“All Sites”项,表示对所有网站进行配置。当然,也可以选择单独的网站、或者对应网站中的目标文件夹,来执行安全配置操作。
在“Buffer”面板中允许管理员对客户端提交各种类型的数据的尺寸进行限制,为了安全起见,建议选中Buffer面板中的所有选项。您可以针对不同的数据类型,来灵活的更改其许的数据长度,例如其中的“Maximum URL Length Allowed”项即可用来限制客户端提交的URL最大长度等。在“Methods”面板中可以对各种HTTP请求方法进行配置,SecureIIS能够阻止攻击者利用HTTP请求方法对IIS造成的潜在威胁。一般情况下,除了“Post”和“Get”方法可以使用之外,其它方法应该禁用。在“Shellcode”面板中可以设置防范常见的溢出攻击功能,入侵者经常向IIS发送一段特殊的代码,以引起IIS的溢出,从而控制服务器。对于英语版的IIS,建议选中全部项目,对于非英语版的IIS,最好不使用该功能,否则可能引起错误。在“Keywords”面板中可以设置非法关键字过滤功能,SecureIIS可以避免客户端向IIS非法提交关键字,从而达到侵入服务器的目的。建议勾选其中的“SYSTEM32”和“cmd.exe”项,这样当入侵者向IIS提交的URL地址、查询的字符串、得到的头信息、发送的数据中当包含上述项目时,SecureIIS将阻止其连接。在“Protect”面板中SecureIIS将允许管理员快速禁止IIS中未使用的数据编码方案。阻止入侵者使用特殊的编码(例如%u),来绕过安全系统的检查。建议选中其中的所有项目。在“Folders”面板中可以设置是否允许客户端访问和控制网站文件夹。建议不允许从外部直接访问网站根文件夹、以及其它包含重要文件的文件夹。可以有效抗击针对IIS的跨目录攻击方式。在“Web Applications”面板中可以设置让IIS接受这些非标准的HTTP请求。主要包括“Allow FrontPage Server Extensions”和“Enable Outlook Web Access 2000”两项。此外,当客户端发送了无效的请求后,IIS会返回特定的错误处理信息,在“Errors”面板中可以定制这些错误处理信息。
在SecureIIS主界面的导航栏中点击“File Monitor”项,在右侧显示文件监控窗口。在其中的“Folders”面板中显示网站文件夹和系统文件夹的路径信息,针对每一个重要文件夹,SecureIIS提供了“Recursive”(允许监控选定文件夹及其子文件夹)、“Add”(监视文件和文件夹的新建操作)、“Remove”(监视文件和文件夹的删除操作)、“Modify”(监视文件和文件夹的修改操作)、“Rename”(监视文件和文件夹的改名操作)等监控项目。点击路径列表顶部的“Click here to add a new item”项,然后点击其中的“…”按钮,可以自定义监控文件夹。在“Files”面板中可以单独监视IIS主机文件的变化,可以对一些重要文件(例如Cmd.exe等)进行监控。在SecureIIS主界面左侧点击“Site Statistics”项,可以各监控项的错误数据统计窗口。在SecureIIS主界面左侧点击“Log Viewer”项,可以打开日志查看窗口,在其中列出SecureIIS记录的日志信息,选中相应的日志行,在描述面板中显示详细的日志信息。下载地址:http://www.eeye.com/html/products/SecureIIS/SecureIIS_222_Personal.exe。
为IIS配置“资源保护器”
为了让IIS服务器安全稳定运行,我们需要时刻保护IIS中敏感数据的安全,不允许用户随意访问IIS中的重要文件或者文件夹。使用IISKeeper这款IIS安全软件,就可以轻松实现上述功能。当IISKeeper安装完成后,在自动弹出配置窗口中的“Choose Web site”列表中选择需要保护的网站名称,如果选择“All Web Sites”项,表示保护IIS上的所有网站。之后点击“Install filter”按钮,IISKeeper即可为IIS安装对应的过滤器。
在IISKeeper主窗口中的“User”面板中点击“Add User”按钮,可以添加新的用户信息。包括用户名称、Email地址、密码,是否禁用该用户,设置有效期限等。在“Groups”面板中点击“Add group”按钮,可以创建新的用户组。在“Users”面板中选中对应的用户名称,在“Available groups”栏中选择对应的组名,点击“Add Group”按钮,即可将选中的用户添加到该组中。在“Protected Resources”面板中点击“Add Resource”按钮,在弹出窗口中点击“Select folder”按钮,选中需要保护的文件夹,点击“Select File”按钮,选中需要保护的文件。在“Realm”栏中输入保护项目的名称,在“Protect Mode”栏中选择保护的类型即可。点击OK按钮完成保护资源的添加操作。
选中对应的保护资源项目,在“User Right”面板中的“Available users”栏中的“Groups”列表中选中对应组名,在其下显示其中包含的所有用户,选中对应的用户,将其拖动到“Granted users”栏中,即可赋予该用户访问该保护资源的权利。这样,您可以根据需要为不同的用户分配不同的访问权限。在“Granted users”栏中双击对应的用户名,在权限设置窗口中勾选“Time Limit”项,表示为该用户设置访问期限,超过该日期的话,将禁止其访问目标资源。勾选“Traffic Limit”项,表示为该用户设置流量限制,在“Additional Traffic”栏中输入流量大小(单位为MB),当该用户访问的数据量超过该数值时,将禁止其访问操作。此外。在“Groups Rights”面板中的“Available Groups”栏中显示存在的所有组名,选中对应的组名,将其拖动到“Granted Groups for Resource”栏中,即可允许该组中的所有用户访问选定的资源项目。这样,当用户访问IIS中需要保护的资源项目时,IISKeeper将根据其权限决定是否允许其进行访问操作。在“Locked IP”面板中显示所有被锁定的IP信息,包括具体的IP地址以及锁定的时限等。对于恶意的访问者,IISKeeper将按照预设的配置,自动将其锁定。在“Locked IP”面板中选择对应的锁定IP项目,点击“Delete”按钮可以将其删除。在IISKeeper主窗口点击菜单“File”→“Global Parameters”项,在配置窗口中的“Attack Protection”面板中勾选“Enable Attack Protection”项,表示激活攻击保护功能,在“Lock client IP address for X min”栏中设置锁定攻击者IP的时间,在“When amount of bad login more than”栏中设置允许在预设的时间内尝试登录的次数。在“Realm& Encryption”面板中的“Default realm name for basic authorization”栏中设置默认的保护名称,点击“Random Key”按钮,可以产生随机加密字符串,用来对Cookie保护模式进行加密处理。下载地址:http://www.metamatica.com/downloads/iiskeepersetup.exe
为IIS服务器披上“伪装衣”
为了防止IIS服务器遭到攻击,最好的方法就是让攻击者找不到您的IIS服务器。使用ServerMask这款独特的软件,即可将您的IIS服务器“改头换面”,伪装成其它类型的服务器来迷惑攻击者,让其陷入找不到攻击目标的境地。黑客对IIS服务器进行攻击之前,都需要判断Web服务器的类型,根据服务器返回的信息来确定其“身份”,ServerMask正是据此执行伪装功能,将错误的信息发送给攻击者,让其产生错觉而无法对其执行攻击操作。
在ServerMask主窗口左侧显示在IIS服务器上安装的所有网站,选择目标网站,在窗口右侧的“Security Profile”列表中提供了多种伪装手段,如果选择“Hide”项,ServerMask即可将您的网站隐藏起来,当攻击者试图向其发送测试连接请求时,ServerMask将拒绝发送任何回应信息,如果该网站消失了一样。如果选择“Emulate”项,表示执行网站仿真功能,当攻击者试图探测本网站的信息时,ServerMask可以将本网站伪装成Apache服务器,并将相关的虚假信息发送给攻击者,让其误以为本机使用的Apache服务器,让其要么知难而退,要么执行错误的攻击操作。如果选择“Randomize”项,表示使用随机伪装信息保护本网站。实际上,ServerMask可以模拟大量的服务器回应信息,包括Apache对应的Redhat、Unix、Mac、Win32等服务器版本,以及Oracle 9i、Lotus-Domino、Zeus、IBM_HTTP_Server、SunOS、LiveServer、WebSphere Application Server等40多种服务器的头信息。这样攻击者每次试图探测本网站时,ServerMask可以使用随机的服务器的头信息来迷惑攻击者,让其感到本网站“高深莫测”,从而知难而退。
如果您选择“Customize”项,表示自定义伪装信息。在弹出的面板中输入新的伪装项目名称,点击“Headers”按钮,在“Server Header”面板中勾选“Enable Server header masking”项,表示激活IIS信息头加密功能,选择“Remove Server header from all HTTP response”项,表示删除IIS信息头。选择“Masquerade in Server header as common non-IIS server”项,表示使用其它服务器的信息头内容替换IISIIS信息头。选择“Randomize Swever header among common non-IIS servers”项,让ServerMask自动随即的改变IIS信息头,选择“Set custom Server header value”项,可以让您自定义IIS信息头内容。在“Add Headers”面板中勾选“Enable Header Add”项,表示允许添加新的IIS信息头。点击“Add”按钮,添加新的IIS信息头即可。除了系统自身提供的IIS头信息之外,一些第三方的IIS增强工具都会产生一些HTTP头信息。这些信息照样可以暴露您的服务器类型。在“Remove Headers”面板中勾选“Enable Header Remove”项,表示可以在IIS头信息中删除第三方工具的相关信息。此外,点击“Add”按钮,可以添加新的需要删除的Header信息。
在ServerMask主窗口中点击“Cookie”按钮,在“Cookie Masking”面板中勾选“Mask all session cookie on list”项,表示激活Cookie伪装功能。在列表中已经预设了一些常见的Cookie类型,双击对应的Cookie项目,可以对其进行更改。在“Change cookie mask every X seconds”栏中可以设置更换Cookie信息的时间间隔。此外,还可以根据具体的网站程序,点击“Add”按钮,创建新的Cookie项目。其余的设置保存默认,即可完成伪装项目的新建操作。按照上述方法,您可以创建多个伪装项目。之后在“Security Profile”列表中选择您创建的伪装项目,即可使用其来保卫IIS服务器的安全了。下载地址:http://www.port80software.com/download/SMSetup.exe.
为IIS服务器巧设“限速器”
在默认情况下,当您在IIS服务器上配置好所需的网站后,对于来访者来说,其连接过程是不受任何约束的,也就是说访问者可以自由使用主机的网络带宽。当访问量比较大的情况下,就会出现网络带宽过于拥挤的情况。使用HttpShaper这款独特的软件,可以为IIS服务器添加带宽限制功能,从而更加合理有效的使用网络带宽。在HttpShaper主窗口中点击菜单“Tools”→“Options”项,在设置窗口中可以更改IIS服务器的端口号。点击菜单“Shaper”→“Rules”项,在规则配置窗口中可以创建和管理各项限速规则。HttpShaper提供了基于主机、文件类型、访问者IP、动态设置等多种规则类型。
在“Hosts”面板中点击“Add”按钮,在弹出窗口中输入网站的名称,域名(多域名之间以分号相隔),在“BW limit”栏中设置针对该网站的带宽限制值(单位为KB每秒,以下与之相同),点击OK按钮保存配置。按照上述方法,可以针对任意网站配置限速规则。在规则管理窗口的“File types”面板中点击“Add”按钮,在弹出窗口中的“File type”列表中选择目标文件类型,在“BW limit”栏中设置针对该文件类型的带宽限制值。在“Bandwidth of specific size”面板中可以设置当被访问的文件的体积大于预设值时,针对该文件采取的带宽限制值。在“Access”面板可以针对不同访问者的IP和未配置的网站,分别设置其带宽限速值。在“Dynamic shaping”面板中勾选“Only activate shaping when average outbound rate exceeds”项,在其下设置临界带宽使用率(单位为KB每秒)。这样如果IIS服务器的带宽使用率连续10秒之内超过临界值时,则激活预设限速规则。如果IIS服务器的带宽使用率连续10秒之内没有超过临界值,则禁用上述限速规则。下载地址:http://www.httpshaper.com/download/HttpShaperInst.exe。
为IIS配置监控伴侣
在IIS服务运行过程中,对其进行全面监控是很有必要的,这可以让管理员全面了解服务器的运行状态,及时发现可能存在的问题。使用IISGuard这款独特的软件,即可轻松实现上述功能。IISGuard能实时在线跟踪和监控所有发送给IIS服务器的HTTP和 HTTPS连接请求,并能实时监控每一个连接请求的运行状态,同时提供其细节信息(包括网页路径、Cookie、Http头信息等)。并可以将IIS运行的监控信息记入日志,并提供了强大的日志搜索功能,能对运行在IIS服务器上的网站进行线查看和管理等。在浏览器的地址栏中输入 http://目标IP:85 (目标IP表示主机的名称或者IP地址),即可打开IISGuard控制页面。在IISGuard菜单栏的右侧的“Server Time”中显示IIS服务器当前的精确时间。在控制页面的“Home”面板中显示了IIS服务器和IISGuard的基本信息。在“Currently requested”中列出了当前请求的数量信息,点击对应的数量链接,就切换到连接监控面板。
在“Log Files”列出了IISGuard监控IIS服务器运行的日志文件的数量,点击相应的数量连接,可以切换到日志查看面板。在“Live Monitor”面板中列出当前和最近IIS服务器处理的的网络请求信息,在工具条中的“Active”项中点选“ALL”单选框,可以显示当前所有连接请求的细节信息。在“Last”栏中输入目标数量值,则可以按照预设的数量显示当前请求的明细信息。在“History”栏中输入合适的统计数值和时间周期,则可以按照预设的数量显示最近发生的连接请求的详细信息。在“Autorefresh”栏中可以设置信息显示的刷新时间。在工具栏的最右侧分别点击三个按钮,分别执行启动、暂停、中止信息刷新操作。在其下的列表中显示当前活动和历史连接请求统计信息,包括请求开始时间、IIS服务器处理请求所处的状态、连接请求持续时间、客户端IP地址、请求数据包长度、回应数据包尺寸、HTTP连接请求的方法、被执行的程序在应用程序池中的ID号等信息。在“Log Files”面板中显示IIS服务器的日志信息,在“Log entries”列表中列出详细的监控日志,在其底部的“Show”栏输入显示的行数,在“From”栏中输入起始行数,点击“Go”按钮可以更新列表内容。点击“<<First”、“<Previous”、“ Next>”、“ Last>>”等链接能进行上下翻页操作。利用IISGuard提供的搜索功能,可以对监控的日志信息进行有效过滤,从而发现危害IIS服务器运行的入侵信息。在Log Files工具条的“Filter by time”中设定过滤的起始与结束时间。之后点击“Apply”按钮执行过滤操作。在“Search”中输入要过滤的IP地址(多地址之间使用分号分隔,IP地址支持通配符),这样可以过滤更多的地址。
在“Sites”面板中显示在IIS服务器中建立的网站信息,包括网站描述信息、主机信息等。、在“Status”列中显示网站的运行状态(启动还是中止),在“Action”列中点击分别三个按钮,可以启动、暂停、中止目标网站的运行。在“Settings”面板中可以对IISGuard的运行参数进行设置,在“General”面板中点击“Edit”按钮,在设置页面中可以分别当客户端访问网站中哪些类型的脚本文件时,对其访问操作进行监控和记录。在“Log Files”设置页面的“Log file max size”中设置日志文件的最大尺寸,在“Compression”定义日志文件压缩的标准。在“Web Access”设置页面中的“Port”中定义IISGuard访问端口,在“Allow anonymous access”中确定是否允许匿名访问,如果禁止匿名访问,在“Username”设置允许访问的用户名,在“Password”中设置密码,这样当访问IISGuard控制页面时,必须输入密码。勾选“IP filtering”能开启IP过滤,这样,访问者的IP只有符合“Allowed IP Addresses”中定义地址范围,才能访问IISGuard(如果是多个IP地址,彼此之间用分号隔开)。下载地址:http://downloads.parker-software.com/IISTools/IISGuardSetup-1-0-416.exe。
文章如转载,请注明转载自:http://www.5iadmin.com/post/57.html
- 相关文章:
发表评论
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。