|
|
知识路径: > 网络信息安全概述 > 网络信息安全目标与功能 > 网站安全需求分析与安全保护工程 > IIS安全分析与增强 >
|
|
相关知识点:6个
|
|
|
|
|
|
|
|
|
IIS的安全漏洞威胁到IIS的网站服务,网站维护人员要及时获取IIS相关漏洞信息,具体可关注微软公司设立的安全响应中心(Microsoft Security Response Center)发布的信息。
|
|
|
|
启用动态IP限制(Dynamic IP Restrictions)
|
|
|
|
IIS启用动态IP限制功能,用于减缓拒绝服务攻击及暴力口令猜测攻击,如下图所示。
|
|
|
|
|
|
|
|
|
|
IIS启用URLScan限制特定的HTTP请求,可以防止有危害的HTTP请求危及网站的应用。
|
|
|
|
启用IIS Web应用防火墙(Web Application Firewall)
|
|
|
|
ThreatSentry 4是IIS的Web应用防火墙,可以识别和阻挡SQL注入、DoS、CSRF/XSRF、XSS等Web应用威胁,如下图所示。同时,它还提供基于行为的入侵防护(Behavior-based Intrusion Prevention)以识别零日攻击与目标定向攻击。
|
|
|
|
|
|
ThreatSentry 4 Web应用防火墙安全报警界面示意图
|
|
|
|
|
|
IIS的网站信息传递在通常情形下是明文传递的,敏感网站数据在网上传输的时候容易泄露。启用IIS SSL服务后,可以保障IIS Web网络通信安全,如下图所示。
|
|
|
|
|
|
|
