我正在从Web服务级别寻找我的Web服务器的安全解决scheme。 有什么软件可以在Windows上的IIS上运行? 此外,networkingpipe理员是否有任何最佳做法来保护他们的服务器? (支持ASP.NET,IIS6或IIS7和服务器2003或2008)
我听说过dotDefender这样的应用程序防火墙,但代价很高。 我认为这是一个额外的安全级别,可以帮助阻止入侵者打破不那么好编码的网站。
URLScan 3.1可用于IIS 5.1及更高版本(XP,2003,2008),可以在这里下载x86和x64版本。
使用URLScan时,如果您有多个IIS站点,我强烈build议将其作为站点筛选器安装,而不要安装为全局筛选器。 这将允许您尽可能使用最严格的configuration,同时对于需要它的站点或应用程序仍然是最灵活的。 有关如何执行此操作的信息,请阅读URLScan安装文档。
你希望完成什么? 网站上的大多数安全性通过网站权限,NTFS权限和/或内部应用程序授权来处理。 除此之外,你真的在看一个完整的防火墙或Web代理。
如果您正在运行Windows Server 2008,则不需要安装额外的防火墙。 它已经有一个非常明确的防火墙,也可以通过命令提示符进行configuration。
Web服务器也应该在受控的硬件防火墙后面,这应该允许对端口和IP地址进行额外的限制。 既然你是一个MS商店,你也可以看看ISA。
像squillman说的configuration你的NTFS权限。
祝你好运!
另外,IIS 7还附带了请求过滤function,最近还发布了URLScan 3。