看到王春海老師的這篇文章,挺實用。特轉載學習
|
|
|
以前我寫過一篇《使用ISA Server保護內部的web服務器》文章,介紹使用ISA Server的“HTTP”過濾中只啓用“GET”的方法,保護網站。但近期在用此辦法保護某個政府的網站時,某些頁面不能打開,必須啓用POST方法。由於該網站代碼存在一些漏洞,短期內又不能修補這些漏洞,如果啓用POST方法,網站很容易被修改頁面。所以,必須採用其他的技術手段,保護網站的安全。可以用ISA Server的HTTP過濾,解決部分問題。。
《小知識》網站被“黑”,通常由於以下幾點原因引起:
網站宿主服務器操作系統存在漏洞、網站Web服務器存在漏洞、弱口令、SQL Server漏洞、網站代碼漏洞等,除了網站代碼漏洞,其他都可以很容易解決。而網站代碼漏洞(包括網站所用的後臺編輯器漏洞等)比較難解決。
首先,請看一下用ISA Server保護Web服務器的網絡拓撲,如圖1所示。
 圖1 ISA Server保護網站 1 使用ISA Server保護網站
在ISA Server中創建策略,發佈內網的Web服務器(主要步驟略),然後配置“HTTP”(如圖2所示)。
 圖2 配置HTTP
在“常規”選項卡中,在“URL保護”中,設置“最大URL長度(字節)”處,設置爲30、查詢長度設置爲30,並啓用“驗證正則化”,取消“阻止高位字符”,同時選中“阻止包含Windows可執行文件內容的響應”,如圖3所示。
 圖3 URL保護
【說明】其中URL長度是指要Internet用戶訪問要保護的網站時,在IE瀏覽器中鍵入的網站的地址,例如,在本例中,假設要保護的網站是www.xxx.zzz,用戶要搜索isa,其訪問的網址是http://www.xxx.zzz//s?wd=ISA&cl=3&ie=utf-8,其中http://www.xxx.zzz/s是URL長度,每個英文字母、標點符號佔用一個字節,如果有中文字符,每個中文字符佔用兩個字節,而?號及?之後的爲“查詢長度”。一般情況下,URL長度、查詢長度要根據網址的最大長度(包括各個鏈接頁)設置,一般設置最大URL長度150、查詢30即可。
在啓用“阻止包含Windows可執行文件內容的響應”選項時,即使***上傳了***程序到網站中,ISA Server也會阻止***程序的運行。
在“方法”中,只允許GET、POST方法,如圖4所示。
 圖4 允許GET與POST方法
【說明】如果網站不需要與用戶“交互”,只允許GET方法即可。也有一些網站,需要用到POST方法,這時應該加上POST。
在“簽名”處,添加如下的“簽名”進行過濾:
CMD、1=1、1=2、and、exec、insert、delete、update、count、*、%、chr、mid、master、truncate、char、declare、upload、&、net、admin等,並可根據需要隨時添加或去除。在添加的時候,簽名的搜索條件爲“請求URL”,如圖5所示。
 圖5 添加簽名
並且,以後可以根據SQL Server注入或其他注入方式,添加過濾字符。
然後,在ISA Server中設置防火牆策略,禁止受保護的Web服務器訪問外網,如圖6所示。
 圖6 禁止Web服務器訪問Internet
上述的設置,保護Web服務器不被注入。但是,還是有一些網站,存在“編輯器”漏洞,這個時候,可以在IIS中、通過限制客戶端IP地址的方式,保護網站不被***。
在設置URL長度、簽名之後,如果在打開某個地址時,出現“錯誤代碼 500”等錯誤頁(如圖7所示),請檢查URL長度是否合適、地址欄中的字符是否在“簽名”中被過濾掉,這些可以根據實際情況配置。
 圖7 網頁不能顯示 2 在IIS中服務器上進行配置 2.1限制IP地址
在本示例中,該網站的後臺管理地址是http://www.xxx.yyy/badmin/index.htm,其中的後臺編輯器,保存在badmin文件夾中,則可以在IIS網站中,在“目錄安全性”→“IP地址和域名限制”中,只允許“內網地址”與“***客戶端地址”,其他地址進行限制,如圖7所示。
 圖7 限制IP地址
經過這樣設置之後,當Internet上用戶試圖使用“編輯器”漏洞,直接替換某些網頁時,由於客戶端的IP地址不屬於內網地址、也不屬於***地址,則在打開網站時,會彈出“您未被授權查看該頁”的提示,如圖8所示。
 圖8 客戶端IP地址被拒絕
如果網站中有一些圖片,保存在badmin的文件夾下,則可以單獨編輯這些文件夾,在類似圖7的設置中,取消IP地址的限制即可。
另外,也可以將一些後臺編輯字面,參照上面的方式,限制IP地址,這樣,只有指定的IP地址才能瀏覽編輯頁面(或後臺管理頁面)。即使Internet上***,掃描到網站漏洞(尤其是一些編輯器漏洞),也不能“攻破”網站,因爲Internet的用戶是不允許訪問或調用後臺頁面的。 2.2 保存圖片、文檔的目錄不給“執行”權限
對於網站中保存圖片、文檔的目錄,修改該目錄權限,“執行權限”設置爲“無”,如圖9所示。
 圖9 不給執行權限 3 網站的維護方式
經過對ISA Server與IIS進行綜合配置後,從Internet的用戶只能瀏覽、搜索網站的內容,一般不能向網站上傳程序、圖片,以及***、***的程序。當網站需要維護時,可以在局域網內,直接使用IP地址登錄網站的後臺進行維護,而在局域網外的用戶,可以將ISA Server配置成***服務器、讓遠程客戶端撥入ISA Server後,就和內網用戶一樣,直接用IP地址登錄進入後臺進行維護。
本文出自 “王春海的博客” 博客,轉載請與作者聯繫! 本文出自 51CTO.COM技術博客 |