1,WWW(World Wide Web):称为万维网,是建立在Internet上的一种网络服务,为浏览者在Internet上查找和浏览信息提供了图形化的、易于访问的直观界面。基于超文本传输协议HTTP(Hypertext Transfer Protocol),是万维网WWW服务器传输数据到客户端浏览器的传送协议。HTTP 工作在 TCP/IP 模型之上,端口 为80;超文本传输安全协议HTTPS(Hypertext Transfer Protocol Secure)是 HTTP 的安全版本,它在 HTTP 下增加了 SSL/TLS 协议,提供了数据加密、完整性校验和身份验证,端口为 443。
2,IIS(Internet Information Services):是一种提供WWW的服务,是微软基于Windows的web网站服务组件。提供WWW服务的还有Apache、Tomcat、Nginx等。
3,一定要打开防火墙,只允许80和443端对放开放,允许程序中只允许图中的3条,其它全不打勾。
4,确定IIS关闭目录浏览功能。
5,重要目录如admin,一定要做IP限制;第一步限制所有客户端访问,设置状态为“拒绝”;第二步添加只允许访问的客户端IP。
6,除了脚本所在的目录,其它目录的“处理程序映射”全部为“读取”,如“images”和“上传文件的upload”目录等。
7,一些重要文件,需设置成IP访问为拒绝,连管理员也是拒绝状态。这些文件可能是配置文件等,只对应用程序起作用,但一定不让能浏览器直接访问。
8,“请求筛选 ”规则,可以做许多特定限制。
9,“错误页”里,可以用自定义的错误来替换系统的错误页。
10,web.config的customErrors设置。
<customErrors mode="Off" />:用于开发部署中,为开发者提供详细的错误信息用于调试。
<customErrors mode="On"/>:最安全选项,能隐藏错误提示信息.
<customErrors mode="RemoteOnly"/>:向大多数用户展示一般的错误信息,但向拥有服务器访问权限的用户展示完整的错误提示信息,即仅向远程客户端端显示自定义错误,并向本地主机显示详细错误信息。
11,关于安全方面,攻击方式层出不穷,本文只是最大限度的提供了一些安全机制。具体问题具体分析,如第8的“请求筛选”中,可以设置拒绝的扩展名、可以设置拒绝的URL、拒绝的HTTP谓词(如head)、标头大小限制、隐藏段等,在查询字符串中可自定义一些SQL注入或系统注入攻击字符串,如chr(、select、char(、exec、#、\、script、iframe、cast、sleep、substr、<、>、;、'、*、%、function等。
12,关于文件夹授权方面,除了上传文件的目录之外,其它的目录全是读取权限,不授权于修改权限。