|
|
|
|
| IIS的安全漏洞威胁到IIS的网站服务,网站维护人员要及时获取IIS相关漏洞信息,具体可关注微软公司设立的安全响应中心(Microsoft Security Response Center)发布的信息。
|
|
|
| 启用动态IP限制(Dynamic IP Restrictions)
|
|
|
| IIS启用动态IP限制功能,用于减缓拒绝服务攻击及暴力口令猜测攻击,如下图所示。
|
|
|
|
|
|
|
|
|
| IIS启用URLScan限制特定的HTTP请求,可以防止有危害的HTTP请求危及网站的应用。
|
|
|
| 启用IIS Web应用防火墙(Web Application Firewall)
|
|
|
| ThreatSentry 4是IIS的Web应用防火墙,可以识别和阻挡SQL注入、DoS、CSRF/XSRF、XSS等Web应用威胁,如下图所示。同时,它还提供基于行为的入侵防护(Behavior-based Intrusion Prevention)以识别零日攻击与目标定向攻击。
|
|
|
|
|
| ThreatSentry 4 Web应用防火墙安全报警界面示意图
|
|
|
|
|
| IIS的网站信息传递在通常情形下是明文传递的,敏感网站数据在网上传输的时候容易泄露。启用IIS SSL服务后,可以保障IIS Web网络通信安全,如下图所示。
|
|
|
|
|
|
|
