我正在寻找 Web 服务级别的 Web 服务器安全解决方案。是否有任何软件可以在 Windows 中的 IIS 上运行?此外,Web 管理员是否遵循任何最佳实践来保护其服务器?(支持 ASP.NET、IIS6 或 IIS7 以及服务器 2003 或 2008)
我听说过诸如 dotDefender 之类的应用程序防火墙,但它价格昂贵。我认为这是一种额外的安全保护措施,可以帮助阻止入侵者破坏编码不太完善的网站。
答案1
URLScan 3.1 适用于 IIS 5.1 及更高版本(XP、2003、2008),可下载这里在 x86 和 x64 版本中。
使用 URLScan 时,如果您有多个 IIS 站点,我强烈建议将其安装为站点过滤器,而不是全局过滤器。这样,您就可以使用最严格的配置,同时仍能为需要它的站点或应用程序提供最大的灵活性。阅读URLScan 设置文档以获取有关如何执行此操作的信息。
答案2
您希望实现什么目标?网站本身的大多数安全性都是通过网站权限、NTFS 权限和/或内部应用程序授权来处理的。除此之外,您实际上还需要一个完整的防火墙或 Web 代理。
答案3
如果您运行的是 Windows Server 2008,则无需安装额外的防火墙。它已经有一个非常明确的防火墙,也可以从命令提示符中进行配置。
Web 服务器还应位于一组受控的硬件防火墙后面,这些防火墙应允许对端口和 IP 地址进行额外的限制。由于您是 MS 商店,您可能还想查看 ISA。
按照 squillman 的说法配置您的 NTFS 权限。
祝你好运!
答案4
此外,IIS 7 还附带请求过滤功能,最近还发布了 URLScan 3。