防范措施:
对于IIS目录的安全,笔者认为至少需要做到两点。一是需要对IP地址、子网、域名等加以限制。如根据追踪发现某个不知名的IP地址经常ping Web服务器,此时就需要及时的将这个IP地址拉入黑名单,禁止其访问IIS目录。二是需要做好追踪、分析工作。管理员可以使用一些软件来记录用户对IIS目录的访问。如是否有用户试图越权访问其没有权限的目录等等。限制与事后追踪,对于IIS目录的安全来说,是两把保护伞,一把都不能够缺。
五、做好服务器的升级工作
如果在服务器上只部署了一个Web服务,那么笔者建议在第一时间对操作系统与IIS服务器进行升级。通过给系统与服务打补丁,是提高Web服务器安全的最好方法之一。毕竟现在很多的黑客其攻击都是停留在对现有漏洞的攻击。如果将这些已经发现的漏洞补上,那么遭受到攻击的可能性就会小许多。
不过在升级的过程中需要注意。如果在Web服务器上还有第三方的服务或者非微软的产品,那么在升级之前需要先进行测试。判断操作系统与IIS服务最新的补丁是否跟现有的其他服务与产品相互冲突。虽然这个冲突的几率还是比较少的,但是这个测试的工作不可缺。
六、禁用不需要的服务
IIS服务器部署完成之后,其可能还会同时装有其他的应用服务。如FTP、SMTP等等。这些服务都带有比较大的安全隐患。如FTP本身就是被设计满足简单的读写访问。如果你在Web服务器上采取了比较严格的安全措施。但是在FTP服务上没有。则攻击者就可以先利用FTP服务器下载一些黑客的工具。然后再借助这些工具从内部发起对Web服务器的攻击。此时攻击成功率就会高许多。
所以如果某些服务不需要的话,需要在第一时间禁用它。宁可以后有需要的时候i,再花时间打开。每个服务都好像房间的门。如果将不需要的门堵死,那么安全工作就会好做许多。因为需要关注的“门”的数量大大减少了。
以上这六点虽然不怎么起眼,但是确是大家在日常工作中经常容易忽视的地方。从小处着眼,能够让你的Web服务器在安全方面前进一大步。