Xiaotang公司的WEB服務(wù)器經(jīng)常受到來(lái)自于Internet外部和企業(yè)內(nèi)部的一些非法用戶(hù)破壞和攻擊公司的網(wǎng)站，前幾天，因?yàn)楣芾韱T的工作疏忽、失誤，沒(méi)能及時(shí)把委派用戶(hù)所賦予的權(quán)限收回，造成公司的幾個(gè)普通員工的用戶(hù)名和密碼及相應(yīng)的訪問(wèn)權(quán)限被篡改，給公司帶來(lái)了一些不必要的管理?yè)p失、維護(hù)難度，公司要求管理員設(shè)法阻止這些惡意的行為等。

1.在IIS7.0中配置身份驗(yàn)證

（1）打開(kāi)“Internet信息服務(wù)（IIS）管理器，展開(kāi)“網(wǎng)站”，單擊相應(yīng)的網(wǎng)站，如benet.com,在“視圖功能”中雙擊“身份驗(yàn)證”。

（2）在“功能視圖”當(dāng)中顯示了IIS7.0所支持的身份驗(yàn)證方式。

1）匿名身份驗(yàn)證：匿名身份驗(yàn)證允許任何用戶(hù)訪問(wèn)任何的公共內(nèi)容，而不要求向客戶(hù)端瀏覽器提供用戶(hù)名和密碼。默認(rèn)情況下，匿名身份驗(yàn)證在IIS7.0H中處于啟用狀態(tài)。

2）基本身份驗(yàn)證：基本身份驗(yàn)證要求用戶(hù)提供有效的用戶(hù)名和密碼才能訪問(wèn)內(nèi)容。幾乎所有的主流瀏覽器都支持這種身份驗(yàn)證?；旧矸蒡?yàn)證可以跨越防火墻和代理服務(wù)器，如果僅僅允許訪問(wèn)服務(wù)器上的部分內(nèi)容而非全部?jī)?nèi)容時(shí)，這種身份驗(yàn)證方法是一個(gè)不錯(cuò)的選擇。但是，由于這種驗(yàn)證方式對(duì)密碼不加密，所以安全性較低。

3）摘要式身份驗(yàn)證：摘要式身份驗(yàn)證使用Windows域控制器對(duì)請(qǐng)求訪問(wèn)WEB服務(wù)器內(nèi)容的用戶(hù)進(jìn)行身份驗(yàn)證。

4）Windows身份驗(yàn)證：如果希望客戶(hù)端使用NTLM和kerbers協(xié)議進(jìn)行驗(yàn)證，則選擇該驗(yàn)證方法。

5）Forms身份驗(yàn)證：Forms身份驗(yàn)證使用客戶(hù)端重定向?qū)⑽唇?jīng)身份驗(yàn)證的用戶(hù)重定向至一個(gè)HTML表單，用戶(hù)可以在該表單中輸入憑據(jù)，通常是用戶(hù)名和密碼，確認(rèn)憑據(jù)有效后，系統(tǒng)會(huì)將用戶(hù)重定向至他們最初請(qǐng)求的頁(yè)面。

6）ASP.NET模擬：如果要在ASP.NET應(yīng)用程序的非默認(rèn)安全上下文中運(yùn)行ASP.NET應(yīng)用程序，則使用ASP.NET模擬。

如果某些內(nèi)容只應(yīng)由選定用戶(hù)查看，則必須配置相應(yīng)的NTFS的權(quán)限以防止匿名用戶(hù)訪問(wèn)這些內(nèi)容，如果希望只允許注冊(cè)用戶(hù)查看選定的內(nèi)容，應(yīng)該為這些內(nèi)容配置一種要求提供用戶(hù)名和密碼的身份驗(yàn)證方法，如基本身份驗(yàn)證或摘要式身份驗(yàn)證。

（3）要應(yīng)用某種身份驗(yàn)證方法，可以單擊該驗(yàn)證方法，單擊“應(yīng)用”，在單擊“編輯”按鈕，配置該身份驗(yàn)證方法。 #p#

2.配置IPV4地址和域名規(guī)則

（1）打開(kāi)“Internet信息訪問(wèn)（IIS）管理器，展開(kāi)“網(wǎng)站”，單擊相應(yīng)的網(wǎng)站，如benet.com在“功能視圖”中雙擊“IPV4地址和域限制”。

（2）如果只允許指定地址訪問(wèn)網(wǎng)站，單擊“添加允許條目”。如果想拒絕某些地址訪問(wèn)網(wǎng)站，單擊“添加拒絕條目”。要拒絕192.168.1.100訪問(wèn)該網(wǎng)站，可以單擊“添加拒絕條目”，輸出要拒絕的地址，單擊“確定”按鈕。

（3）如果不再想應(yīng)用已建立的條目，可以單擊“刪除”按鈕，刪除該條目。#p#

3.IIS7.0中配置ISAPI和CGI限制

（1）打開(kāi)“I nternet信息服務(wù)（IIS）管理器”，單擊計(jì)算機(jī)名，在“功能視圖”中雙擊“ISAPII和CGI和限制”。

（2）單擊“添加”按鈕，指定ISAPI指定或CGI路徑和描述信息，單擊“確定”按鈕，如果要修改該規(guī)則，可以單擊“編輯”按鈕。

 #p#

4.在IIS7.0中配置安全套接字層
    
（1）打開(kāi)“Internet信息服務(wù)（IIS）管理器，展開(kāi)“網(wǎng)站”，單擊相應(yīng)的網(wǎng)站，如benet.com，單擊操作窗口的“綁定”。

（2）在彈出的對(duì)話框當(dāng)中單擊“添加”按鈕，選擇協(xié)議類(lèi)型為“HTTPS”，選擇服務(wù)器中已有的證書(shū)，單擊“確定”按鈕，（注：如如果服務(wù)器中沒(méi)有可用的證書(shū)，可以單擊服務(wù)器名稱(chēng)，雙擊“服務(wù)器證書(shū)”進(jìn)行導(dǎo)入或申請(qǐng)新的證書(shū)）。

（3）綁定證書(shū)后單擊“關(guān)閉”按鈕。

（4）在“功能試圖”中雙擊“SSL設(shè)置”。

（5）選中“要求SSL”，根據(jù)需要選擇“需要128位SSL”和“忽略”、“接受”、“必需”客戶(hù)端證書(shū)。

 #p#

5.配置預(yù)先共享

（1）打開(kāi)“Internet信息服務(wù)（IIS）管理器，在“連接”窗口中單擊計(jì)算機(jī)名，在“功能視圖”當(dāng)中雙擊“管理服務(wù)”。

（2）單擊“停止”。

（3）再次單擊計(jì)算機(jī)名稱(chēng)，在“功能視圖”中雙擊“共享的配置”。

（4）選擇“啟用共享的配置”，設(shè)置物理路徑和密碼。

（5）再右擊“操作”下的“應(yīng)用”，完成以上的所有操作之后應(yīng)重啟一下服務(wù)。

【編輯推薦】

1. dos攻擊和Web服務(wù)器存在重大安全漏洞
2. Abyss Web服務(wù)器惡意HTTP請(qǐng)求導(dǎo)致信息泄漏漏洞