22.3、IIS安全分析与增强

山兔12025-02-12 21:24

目录

IIS安全威胁分析

iis是微软公司的Web服务软件,主要提供网页服务,除此之外还可以提供其他服务,第一个最主要的是网页服务,第二个是SMTP邮件服务,第三个是FTP文件传输服务。WEB服务默认的是八零端口,如果你是安全的WEB端口,加入了SSL形成的端口是四四三

SMTP端口号25,FTP两个端口控制端口21,数据端口20,这些端口都是基于TCP的

网页服务、SMTP服务、FTP服务这三种服务都可以由iis提供

iis典型的安全威胁如下,因为iis是WINDOWS下的一个WEB服务器,阿帕奇是linux旗下的一个WEB服务器,他们面临的安全威胁没有本质的差异,可以说面临的安全威胁是一模一样的

第一个威胁是非授权访问,你本来没有权限,但是你访问我的资源,这就对我们的机密性造成了影响。攻击者通过iis配置的失误或者系统的漏洞,比如说配了弱口令,就可能造成我们的用户猜到你的密码,然后非法访问你的网页资源

第二个网络蠕虫,攻击者利用iis服务程序的缓冲区溢出漏洞,构造网络蠕虫攻击,其实网络蠕虫只是一类,我觉得这一类可以归结到恶意代码。除了网页蠕虫以外,可能还有病毒、木马这一类的恶意程序都可能攻击我们的网页。

第三个网页篡改,修改页面信息,比如说把主页修改成一些反动的言论。

拒绝服务,让我们正常的用户不能够访问我们的网页,黑客通过DOS攻击来实现,或者是分布式拒绝服务攻击,主要的就是耗尽我们网站的资源,可能是耗尽网站服务器的内存CPU,硬盘或者是访问带宽

iis软件本身漏洞,只要是软件不可能没有漏洞,所以WINDOWS发了正式版之后,后期也在不断的去更新,打补丁。所以这块跟我们前面讲的阿帕奇一样的,那这几条本质上都是一样的。

iis安全机制

主要包括认证,访问控制和日志审计。

第一个认证机制,iis支持多种认证方式,第一个是匿名认证,就不认证,所有的用户都能够访问,这也是我们网站目前绝大部分的网站都处于的一个状态,就是不需要认证

第二个是基本认证,比如说让你输一下用户名密码

第三个可以提供证书认证,证书认证它这里面说的是基于活动目录的证书认证,后面还有一个证书认证是按照IIS配置的一个证书认证,这两个证书认证大家了解一下

第四个是数字签名认证,实施数字签名认证

第六个是WINDOWS认证,它可以集成NTLM身份认证,这是WINDOWS认证机制。

iis的访问控制,iis具有请求过滤,就是不是所有人请求我都可以给你返回,比如说某个IP地址或者某个域名,请求的时候我就给你过滤掉,让你访问不了我的网站

URL授权控制,让具有授权的用户才能够访问我们的网站

IP限制,文件的授权控制等等,这是访问控制,访问控制这块有点类似于我们的防火墙,或者是上网行为管理的功能,其实说实话,它这里边的访问控制功能基本上用的不是那么多,因为我们网站主要还是对外提供网页的访问服务,你要实现访问控制的话,我们有专业的设备来干这块的事情,防火墙能干,上网行为管理,行为安全网关,其实它就是专门干访问控制的事情,这些动作网站它本身带一定的基础功能,它可以做,但是实际项目应用当中很少有网站去做的,主要都是通过一系列的安全设备去干,包括日志审计,网站它自己也带日志审计的功能,能够记录我们WEB的访问情况。

另外与iis相关的日志审计,还有操作系统、数据库,包括应用服务的审计。

大型的系统架构,就是最上层是网页,然后下一层是应用,再下一层是数据库,其中这几个都要跑在操作系统之上

看网站的运行情况,不仅要看它的审计日志,还要看应用程序的数据库,包括操作系统,这些都是支撑我们网站去运行的底层基础设施,所以iis它自己提供审计日志,与iis相关的审计日志

看日志可以在我们的网站上直接去看,但是现在有个专业设备,日志审计或直接叫审计设备,它可以集中的把所有的这些日志,iis的日志也好,你的操作系统,数据库,应用服务,这些日志给你做集中,集中之后就可以做大数据分析,它可能能够给你做一些关联,比如说那几条日志出现的时候,可能就有某种攻击,比它更先进一点的是态势感知

态势感知不仅可以分析日志,还可以分析我们的网络流量。

iis安全增强

第一个及时安装补丁,所有的系统基本上都是这么干的,无论是操作系统还是我们的软件系统,还是某一个数据库,第一步要做增强,肯定就是要及时发现一些最新漏洞,及时的打补丁

第二个启用动态IP限制,用于减缓拒绝服务攻击以及暴力破解这两类攻击,它核心思路是限制我们,比如说某个单个IP,它的连接数量,或者是限制口令输入次数,输入五次错误之后,把这个IP给锁定十分钟,防止一个人就耗尽了我的资源,或者你疯狂的去猜我的密码,这是动态IP限制

第三个启用urlscan,主要是限制特定的http请求,可以防止有危害的http请求,危及我们网站安全,限制你的一些请求

第四个启用IIS web应用防火墙,其实iis本身带一些防火墙功能,就跟我们的操作系统一样,它自身也带一定的防火墙功能,在它的基础上,我们可以部署单独的、专业的waf来干web应用安全防护这样的一个事情,它可以阻挡SQL注入、跨站脚本等等这一类的安全攻击,但是实际上,用的不是那么多

第五个启用SSL,因为我们传统的网站是明文传输的,通过它之后,就可以形成https加密传送,保证我们网站的网络通信安全,这是iis安全增强的几个措施

相关推荐
用户962377954482 天前
DVWA 靶场实验报告 (High Level)
安全
数据智能老司机2 天前
用于进攻性网络安全的智能体 AI——在 n8n 中构建你的第一个 AI 工作流
人工智能·安全·agent
数据智能老司机2 天前
用于进攻性网络安全的智能体 AI——智能体 AI 入门
人工智能·安全·agent
用户962377954482 天前
DVWA 靶场实验报告 (Medium Level)
安全
red1giant_star2 天前
S2-067 漏洞复现:Struts2 S2-067 文件上传路径穿越漏洞
安全
用户962377954482 天前
DVWA Weak Session IDs High 的 Cookie dvwaSession 为什么刷新不出来?
安全
cipher4 天前
ERC-4626 通胀攻击:DeFi 金库的"捐款陷阱"
前端·后端·安全
一次旅行7 天前
网络安全总结
安全·web安全
red1giant_star7 天前
手把手教你用Vulhub复现ecshop collection_list-sqli漏洞(附完整POC)
安全
ZeroNews内网穿透7 天前
谷歌封杀OpenClaw背后:本地部署或是出路
运维·服务器·数据库·安全
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04OpenClaw优化飞书API 额度已耗尽问题05Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services06Window 10部署openclaw报错node.exe : npm error code 12807本地部署 OpenClaw + DeepSeek-R1 完全指南08Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤09网站改了域名,如何查找?10小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)