22.3、IIS安全分析与增强
目录
- IIS安全威胁分析
- iis安全机制
- iis安全增强
IIS安全威胁分析
iis是微软公司的Web服务软件,主要提供网页服务,除此之外还可以提供其他服务,第一个最主要的是网页服务,第二个是SMTP邮件服务,第三个是FTP文件传输服务。WEB服务默认的是八零端口,如果你是安全的WEB端口,加入了SSL形成的端口是四四三
SMTP端口号25,FTP两个端口控制端口21,数据端口20,这些端口都是基于TCP的
网页服务、SMTP服务、FTP服务这三种服务都可以由iis提供
iis典型的安全威胁如下,因为iis是WINDOWS下的一个WEB服务器,阿帕奇是linux旗下的一个WEB服务器,他们面临的安全威胁没有本质的差异,可以说面临的安全威胁是一模一样的
第一个威胁是非授权访问,你本来没有权限,但是你访问我的资源,这就对我们的机密性造成了影响。攻击者通过iis配置的失误或者系统的漏洞,比如说配了弱口令,就可能造成我们的用户猜到你的密码,然后非法访问你的网页资源
第二个网络蠕虫,攻击者利用iis服务程序的缓冲区溢出漏洞,构造网络蠕虫攻击,其实网络蠕虫只是一类,我觉得这一类可以归结到恶意代码。除了网页蠕虫以外,可能还有病毒、木马这一类的恶意程序都可能攻击我们的网页。
第三个网页篡改,修改页面信息,比如说把主页修改成一些反动的言论。
拒绝服务,让我们正常的用户不能够访问我们的网页,黑客通过DOS攻击来实现,或者是分布式拒绝服务攻击,主要的就是耗尽我们网站的资源,可能是耗尽网站服务器的内存CPU,硬盘或者是访问带宽
iis软件本身漏洞,只要是软件不可能没有漏洞,所以WINDOWS发了正式版之后,后期也在不断的去更新,打补丁。所以这块跟我们前面讲的阿帕奇一样的,那这几条本质上都是一样的。
iis安全机制
主要包括认证,访问控制和日志审计。
第一个认证机制,iis支持多种认证方式,第一个是匿名认证,就不认证,所有的用户都能够访问,这也是我们网站目前绝大部分的网站都处于的一个状态,就是不需要认证
第二个是基本认证,比如说让你输一下用户名密码
第三个可以提供证书认证,证书认证它这里面说的是基于活动目录的证书认证,后面还有一个证书认证是按照IIS配置的一个证书认证,这两个证书认证大家了解一下
第四个是数字签名认证,实施数字签名认证
第六个是WINDOWS认证,它可以集成NTLM身份认证,这是WINDOWS认证机制。
iis的访问控制,iis具有请求过滤,就是不是所有人请求我都可以给你返回,比如说某个IP地址或者某个域名,请求的时候我就给你过滤掉,让你访问不了我的网站
URL授权控制,让具有授权的用户才能够访问我们的网站
IP限制,文件的授权控制等等,这是访问控制,访问控制这块有点类似于我们的防火墙,或者是上网行为管理的功能,其实说实话,它这里边的访问控制功能基本上用的不是那么多,因为我们网站主要还是对外提供网页的访问服务,你要实现访问控制的话,我们有专业的设备来干这块的事情,防火墙能干,上网行为管理,行为安全网关,其实它就是专门干访问控制的事情,这些动作网站它本身带一定的基础功能,它可以做,但是实际项目应用当中很少有网站去做的,主要都是通过一系列的安全设备去干,包括日志审计,网站它自己也带日志审计的功能,能够记录我们WEB的访问情况。
另外与iis相关的日志审计,还有操作系统、数据库,包括应用服务的审计。
大型的系统架构,就是最上层是网页,然后下一层是应用,再下一层是数据库,其中这几个都要跑在操作系统之上
看网站的运行情况,不仅要看它的审计日志,还要看应用程序的数据库,包括操作系统,这些都是支撑我们网站去运行的底层基础设施,所以iis它自己提供审计日志,与iis相关的审计日志
看日志可以在我们的网站上直接去看,但是现在有个专业设备,日志审计或直接叫审计设备,它可以集中的把所有的这些日志,iis的日志也好,你的操作系统,数据库,应用服务,这些日志给你做集中,集中之后就可以做大数据分析,它可能能够给你做一些关联,比如说那几条日志出现的时候,可能就有某种攻击,比它更先进一点的是态势感知
态势感知不仅可以分析日志,还可以分析我们的网络流量。
iis安全增强
第一个及时安装补丁,所有的系统基本上都是这么干的,无论是操作系统还是我们的软件系统,还是某一个数据库,第一步要做增强,肯定就是要及时发现一些最新漏洞,及时的打补丁
第二个启用动态IP限制,用于减缓拒绝服务攻击以及暴力破解这两类攻击,它核心思路是限制我们,比如说某个单个IP,它的连接数量,或者是限制口令输入次数,输入五次错误之后,把这个IP给锁定十分钟,防止一个人就耗尽了我的资源,或者你疯狂的去猜我的密码,这是动态IP限制
第三个启用urlscan,主要是限制特定的http请求,可以防止有危害的http请求,危及我们网站安全,限制你的一些请求
第四个启用IIS web应用防火墙,其实iis本身带一些防火墙功能,就跟我们的操作系统一样,它自身也带一定的防火墙功能,在它的基础上,我们可以部署单独的、专业的waf来干web应用安全防护这样的一个事情,它可以阻挡SQL注入、跨站脚本等等这一类的安全攻击,但是实际上,用的不是那么多
第五个启用SSL,因为我们传统的网站是明文传输的,通过它之后,就可以形成https加密传送,保证我们网站的网络通信安全,这是iis安全增强的几个措施
相关文章:
22.3、IIS安全分析与增强
目录 IIS安全威胁分析iis安全机制iis安全增强 IIS安全威胁分析 iis是微软公司的Web服务软件,主要提供网页服务,除此之外还可以提供其他服务,第一个最主要的是网页服务,第二个是SMTP邮件服务,第三个是FTP文件传输服务。…...
windows平台本地部署DeepSeek大模型+Open WebUI网页界面(可以离线使用)
环境准备: 确定部署方案请参考:DeepSeek-R1系列(1.5b/7b/8b/32b/70b/761b)大模型部署需要什么硬件条件-CSDN博客 根据本人电脑配置:windows11 + i9-13900HX+RTX4060+DDR5 5600 32G内存 确定部署方案:DeepSeek-R1:7b + Ollama + Open WebUI 1. 安装 Ollama Ollama 是一…...
港中文腾讯提出可穿戴3D资产生成方法BAG,可自动生成服装和配饰等3D资产如,并适应特定的人体模型。
今天给大家介绍一种名为BAG(Body-Aligned 3D Wearable Asset Generation)的新方法,可以自动生成可穿戴的3D资产,如服装和配饰,以适应特定的人体模型。BAG方法通过构建一个多视图图像扩散模型,生成与人体对齐…...
模型:实现机器翻译)
【人工智能】Python中的序列到序列(Seq2Seq)模型:实现机器翻译
《Python OpenCV从菜鸟到高手》带你进入图像处理与计算机视觉的大门! 解锁Python编程的无限可能:《奇妙的Python》带你漫游代码世界 序列到序列(Seq2Seq)模型是自然语言处理(NLP)中一项核心技术,广泛应用于机器翻译、语音识别、文本摘要等任务。本文深入探讨Seq2Seq模…...
34.日常算法
1.合并区间 题目来源 以数组 intervals 表示若干个区间的集合,其中单个区间为 intervals[i] [starti, endi] 。请你合并所有重叠的区间,并返回 一个不重叠的区间数组,该数组需恰好覆盖输入中的所有区间 。 示例 1: 输入&#x…...
架构设计指南)
DeepSeek深度思考:客户端(Android/iOS)架构设计指南
目标读者:中高级开发者、架构师 适用场景:大型复杂应用开发、跨团队协作、长期维护迭代 一、架构设计核心原则 1.模块化(Modularization) 横向拆分:按功能边界划分(如登录、支付、消息模块)纵向…...
2025 年前端开发现状分析:卷疯了还是卷麻了?
一、前端现状:框架狂飙,开发者崩溃 如果你是个前端开发者,那么你大概率经历过这些场景: 早上打开 CSDN(或者掘金,随便),发现又有新框架发布了,名字可能是 VueXNext.js 之…...
数据库 绪论
目录 数据库基本概念 一.基本概念 1.信息 2.数据 3.数据库(DB) 4.数据库管理系统(DBMS) 5.数据库系统(DBS) 二.数据管理技术的发展 1.人工管理阶段 2.文件系统阶段 3.数据库系统阶段 4.数据库管…...
【AIGC魔童】DeepSeek v3提示词Prompt书写技巧
【AIGC魔童】DeepSeek v3提示词Prompt书写技巧 (1)基础通用公式(适用80%场景)(2)问题解决公式(决策支持)(3)创意生成公式(4)学习提升公…...
Docker 部署 RabbitMQ | 自带延时队列
一、获取镜像 docker pull farerboy/rabbitmq:3.9.9 二、运行镜像 docker run -d --name rabbitmq \n --hostname rabbitmq \n -p 15672:15672/tcp \n -p 5672:5672/tcp \n -v /wwwroot/opt/docker/rabbitmq:/var/lib/rabbitmq \n farerboy/rabbitmq:3.9.9 备注:…...
【Unity】Unity中物体的static属性作用
Unity中物体的static属性主要用于优化游戏性能和简化渲染过程。 Unity中物体的static属性的作用 优化渲染性能:当物体被标记为static时,Unity会在游戏运行时将其视为静止的物体,这意味着这些物体的渲染信息不会随着每一帧的更新而变化…...
网络编程基础1
七层协议模型和四层协议模型 七层协议模型:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层 四层协议模型:链路层、网络层、传输层、应用层 TCP通信流程 服务器端 (1)创建socket(socket) (2)绑定自己的IP(bind) (3)监听客户端连接(liste…...
跨越边界,大模型如何助推科技与社会的完美结合?
点击蓝字 关注我们 AI TIME欢迎每一位AI爱好者的加入! 概述 2024年,大模型技术已成为人工智能领域的焦点。这不仅仅是一项技术进步,更是一次可能深刻影响社会发展方方面面的变革。大模型的交叉能否推动技术与社会的真正融合?2025年…...
kafka生产端之架构及工作原理
文章目录 整体架构元数据更新 整体架构 消息在真正发往Kafka之前,有可能需要经历拦截器(Interceptor)、序列化器(Serializer)和分区器(Partitioner)等一系列的作用,那么在此之后又会…...
在 Windows 上使用 ZIP 包安装 MySQL 的详细步骤
以下是使用官方 ZIP 包在 Windows 上安装 MySQL 的详细步骤,确保能通过 mysql -uroot -p 成功连接。 步骤 1:下载 MySQL ZIP 包 访问 MySQL 官方下载页面: https://dev.mysql.com/downloads/mysql/选择 Windows (x86, 64-bit), ZIP Archive&…...
【web自动化】指定chromedriver以及chrome路径
selenium自动化,指定chromedriver,以及chrome路径 对应这篇文章,可以点击查看,详情 from selenium import webdriverdef get_driver():# 获取配置对象option webdriver.ChromeOptions()option.add_experimental_option("de…...
记录 | WPF创建和基本的页面布局
目录 前言一、创建新项目注意注意点1注意点2 解决方案名称和项目名称 二、布局2.1 Grid2.1.1 RowDefinitions 行分割2.1.2 Row & Column 行列定位区分 2.1.3 ColumnDefinitions 列分割 2.2 StackPanel2.2.1 Orientation 修改方向 三、模板水平布局【Grid中套StackPanel】中…...
mysql 存储过程和自定义函数 详解
首先创建存储过程或者自定义函数时,都要使用use database 切换到目标数据库,因为存储过程和自定义函数都是属于某个数据库的。 存储过程是一种预编译的 SQL 代码集合,封装在数据库对象中。以下是一些常见的存储过程的关键字: 存…...
Maven 中常用的 scope 类型及其解析
在 Maven 中,scope 属性用于指定依赖项的可见性及其在构建生命周期中的用途。不同的 scope 类型能够影响依赖项的编译和运行阶段。以下是 Maven 中常用的 scope 类型及其解析: compile(默认值): 这是默认的作用域。如果…...
SpringCloud - Nacos注册/配置中心
前言 该博客为Nacos学习笔记,主要目的是为了帮助后期快速复习使用 学习视频:7小快速通关SpringCloud 辅助文档:SpringCloud快速通关 源码地址:cloud-demo 一、简介 Nacos官网:https://nacos.io/docs/next/quickstar…...
C++ 继承(1)
1.继承概念 我们平时有时候在写多个有内容重复的类的时候会很麻烦 比如我要写Student Teacher Staff 这三个类 里面都要包含 sex name age成员变量 唯一不同的可能有一个成员变量 但是这三个成员变量我要写三遍 太麻烦了 有没有好的方式呢? 有的 就是继承…...
【C语言】传值调用与传址调用详解
博客主页: [小ᶻ☡꙳ᵃⁱᵍᶜ꙳] 本文专栏: C语言 文章目录 💯前言💯传值调用1. 什么是传值调用?2. 示例代码:传值调用失败的情况执行结果: 3. 为什么传值调用无法修改外部变量? Ǵ…...
蓝桥杯C语言组:图论问题
蓝桥杯C语言组图论问题研究 摘要 图论是计算机科学中的一个重要分支,在蓝桥杯C语言组竞赛中,图论问题频繁出现,对参赛选手的算法设计和编程能力提出了较高要求。本文系统地介绍了图论的基本概念、常见算法及其在蓝桥杯C语言组中的应用&#…...
windows通过网络向Ubuntu发送文件/目录
由于最近要使用树莓派进行一些代码练习,但是好多东西都在windows里或虚拟机上,就想将文件传输到树莓派上,但试了发现u盘不能简单传送,就在网络上找到了通过windows 的scp命令传送 前提是树莓派先开启ssh服务,且Window…...
Unity抖音云启动测试:如何用cmd命令行启动exe
相关资料:弹幕云启动(原“玩法云启动能力”)_直播小玩法_抖音开放平台 1,操作方法 在做云启动的时候,接完发现需要命令行模拟云环境测试启动,所以研究了下。 首先进入cmd命令,CD进入对应包的文件…...
ZU47DR 100G光纤 高性能板卡
简介 2347DR是一款最大可提供8路ADC接收和8路DAC发射通道的高性能板卡。板卡选用高性价比的Xilinx的Zynq UltraScale RFSoC系列中XCZU47DR-FFVE1156作为处理芯片(管脚可以兼容XCZU48DR-FFVE1156,主要差别在有无FEC(信道纠错编解码࿰…...
【算法】动态规划专题⑥ —— 完全背包问题 python
目录 前置知识进入正题模板 前置知识 【算法】动态规划专题⑤ —— 0-1背包问题 滚动数组优化 完全背包问题是动态规划中的一种经典问题,它与0-1背包问题相似,但有一个关键的区别:在完全背包问题中,每种物品都有无限的数量可用。…...
MySQL——表操作及查询
一.表操作 MySQL的操作中,一些专用的词无论是大写还是小写都是可以通过的。 1.插入数据 INSERT [INTO] table_name (列名称…)VALUES (列数据…), (列数据…); "[]"表示可有可无,插入时,如果不指定要插入的列,则表示默…...
SAP-ABAP:ROLLBACK WORK使用详解
在SAP ABAP 中,ROLLBACK WORK 语句用于回滚当前事务(LUW,Logical Unit of Work),撤销自上次提交或回滚以来的所有数据库更改。它通常与 COMMIT WORK 配合使用,确保数据一致性。 关键点: 回滚作…...
C#中深度解析BinaryFormatter序列化生成的二进制文件
C#中深度解析BinaryFormatter序列化生成的二进制文件 BinaryFormatter序列化时,对象必须有 可序列化特性[Serializable] 一.新建窗体测试程序BinaryDeepAnalysisDemo,将默认的Form1重命名为FormBinaryDeepAnalysis 二.新建测试类Test Test.cs源程序如下: using System; us…...