ISA Server、IIS多方并举保护网站的安全

以前我写过一篇《使用ISA Server保护内部的web服务器》文章，介绍使用ISA Server的“HTTP”过滤中只启用“GET”的方法，保护网站。但近期在用此办法保护某个政府的网站时，某些页面不能打开，必须启用POST方法。由于该网站代码存在一些漏洞，短期内又不能修补这些漏洞，如果启用POST方法，网站很容易被修改页面。所以，必须采用其他的技术手段，保护网站的安全。可以用ISA Server的HTTP过滤，解决部分问题。。
《小知识》网站被“黑”，通常由于以下几点原因引起：
网站宿主服务器操作系统存在漏洞、网站Web服务器存在漏洞、弱口令、SQL Server漏洞、网站代码漏洞等，除了网站代码漏洞，其他都可以很容易解决。而网站代码漏洞（包括网站所用的后台编辑器漏洞等）比较难解决。
首先，请看一下用ISA Server保护Web服务器的网络拓扑，如图1所示。

图1 ISA Server保护网站
1 使用ISA Server保护网站 在ISA Server中创建策略，发布内网的Web服务器（主要步骤略），然后配置“HTTP”（如图2所示）。

图2 配置HTTP
在“常规”选项卡中，在“URL保护”中，设置“最大URL长度（字节）”处，设置为30、查询长度设置为30，并启用“验证正则化”，取消“阻止高位字符”，同时选中“阻止包含Windows可执行文件内容的响应”，如图3所示。

图3 URL保护
【说明】其中URL长度是指要Internet用户访问要保护的网站时，在IE浏览器中键入的网站的地址，例如，在本例中，假设要保护的网站是www.xxx.zzz，用户要搜索isa，其访问的网址是http://www.xxx.zzz//s?wd=ISA&cl=3&ie=utf-8，其中http://www.xxx.zzz/s是URL长度，每个英文字母、标点符号占用一个字节，如果有中文字符，每个中文字符占用两个字节，而?号及?之后的为“查询长度”。一般情况下，URL长度、查询长度要根据网址的最大长度（包括各个链接页）设置，一般设置最大URL长度150、查询30即可。
在启用“阻止包含Windows可执行文件内容的响应”选项时，即使黑客上传了木马程序到网站中，ISA Server也会阻止木马程序的运行。
在“方法”中，只允许GET、POST方法，如图4所示。

图4 允许GET与POST方法
【说明】如果网站不需要与用户“交互”，只允许GET方法即可。也有一些网站，需要用到POST方法，这时应该加上POST。
在“签名”处，添加如下的“签名”进行过滤：
CMD、1＝1、1＝2、and、exec、insert、delete、update、count、*、%、chr、mid、master、truncate、char、declare、upload、&、net、admin等，并可根据需要随时添加或去除。在添加的时候，签名的搜索条件为“请求URL”，如图5所示。

图5 添加签名
并且，以后可以根据SQL Server注入或其他注入方式，添加过滤字符。
然后，在ISA Server中设置防火墙策略，禁止受保护的Web服务器访问外网，如图6所示。

图6 禁止Web服务器访问Internet
上述的设置，保护Web服务器不被注入。但是，还是有一些网站，存在“编辑器”漏洞，这个时候，可以在IIS中、通过限制客户端IP地址的方式，保护网站不被入侵。
在设置URL长度、签名之后，如果在打开某个地址时，出现“错误代码 500”等错误页（如图7所示），请检查URL长度是否合适、地址栏中的字符是否在“签名”中被过滤掉，这些可以根据实际情况配置。

图7 网页不能显示
2 在IIS中服务器上进行配置 2.1限制IP地址 在本示例中，该网站的后台管理地址是http://www.xxx.yyy/badmin/index.htm，其中的后台编辑器，保存在badmin文件夹中，则可以在IIS网站中，在“目录安全性”→“IP地址和域名限制”中，只允许“内网地址”与“VPN客户端地址”，其他地址进行限制，如图7所示。

图7 限制IP地址
经过这样设置之后，当Internet上用户试图使用“编辑器”漏洞，直接替换某些网页时，由于客户端的IP地址不属于内网地址、也不属于VPN地址，则在打开网站时，会弹出“您未被授权查看该页”的提示，如图8所示。

图8 客户端IP地址被拒绝
如果网站中有一些图片，保存在badmin的文件夹下，则可以单独编辑这些文件夹，在类似图7的设置中，取消IP地址的限制即可。
另外，也可以将一些后台编辑字面，参照上面的方式，限制IP地址，这样，只有指定的IP地址才能浏览编辑页面（或后台管理页面）。即使Internet上黑客，扫描到网站漏洞（尤其是一些编辑器漏洞），也不能“攻破”网站，因为Internet的用户是不允许访问或调用后台页面的。
2.2 保存图片、文档的目录不给“执行”权限 对于网站中保存图片、文档的目录，修改该目录权限，“执行权限”设置为“无”，如图9所示。

图9 不给执行权限
3 网站的维护方式 经过对ISA Server与IIS进行综合配置后，从Internet的用户只能浏览、搜索网站的内容，一般不能向网站上传程序、图片，以及黑客、木马的程序。当网站需要维护时，可以在局域网内，直接使用IP地址登录网站的后台进行维护，而在局域网外的用户，可以将ISA Server配置成VPN服务器、让远程客户端拨入ISA Server后，就和内网用户一样，直接用IP地址登录**后台进行维护。
本文出自 “王春海的博客” 博客，转载请与作者联系！