使用ISA Server保护内部的web服务器
河北 王春海
现在许多网站经常遭受***:有的主页被改,有的网站所在的服务器被***:被添加管理员帐户、系统被植入***或***程序等。造成网站以及网站所有服务器被***的主要原因有:
操作系统有漏洞、网站代码有漏洞、网站所使用的数据库有漏洞、存在弱密码等、服务器上运行的某个服务软件(例如有的版本的Serv-U软件)有漏洞。
上面的任何一个漏洞,都可能被***者探测到并利用一些“现成”的针对某个漏洞的程序对服务器***或者达到修改主页的目的。web server服务器?
一些网络管理员,非常头疼这个问题:自己管理的服务器,已经及时的打了补丁,并且更新了杀毒软件病毒库,也设置了非常“强”的密码,但对网页代码不熟悉,网站或服务器被***后,只是被动的恢复网站,不能从根本上解决问题。解决问题的根本方法需要检查网站的代码,修补有漏洞的代码,但在很多情况下,网站的代码是很不容易被修改的。这时候,可以采用一个“折衷”的办法,就是用ISA Server中的“HHTP筛选器”功能,保护Web网站及网站所在的服务器。搭建web服务器的步骤、为了叙述方便,我们以下页的图1为例进行说明。一般情况下,web服务器直接连接到Internet(或者采用路由器进行端口转发或重定向到Internet),假设此web服务器的公网地址是202.206.197.224,则改进后,在web服务器与Internet之间增加一个有双网卡的服务器,这台服务器一块网卡设置为原来Web服务器的IP地址(202.206.197.224)连接到Internet,另一块网卡设置一个内网地址(假设为192.168.10.20/24)与web服务器相连,并将web服务器的地址改为192.168.10.10/24,设置网关为192.168.10.20。然后在双网卡的服务器上安装ISA Server并创建一条Web服务器发布规则,发布192.168.10.10的web网站到Internet。安装web服务器的过程、有关ISA Server的安装、使用可以参看其他资料,本文主要介绍发布web服务器之后的规则设置。
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /><?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
图1 web服务器改造前后
创建web服务器发布规则后,用鼠标右键单击该策略,从弹出的快捷菜单中选择“配置HTTP(如图2所示)”
图2 配置HTTP过滤
在“方法”选项卡中,在“指定HTTP方法要执行的操作”下拉列表中选择“只允许指定的方法” ,单击“添加”按钮,添加GET和POST方法(注意,都为大写)。如果该Web服务器只允许Internet上的用户浏览,而网站的更新都是在内网或者通过FTP上传的方式更新,则只添加GET方法即可,如图3所示。idea没有webservice,
图3 允许指定的方法
在“签名”选项卡中,单击“添加”按钮,在“查找范围”下拉列表中选择“请求URL”,在“签名”中添加要过滤的字符,例如cmd.exe,然后在“名称”文本框中指定一个与此对应的名称,如图4所示。
图4 添加过滤的签名
然后参照图4的方法,添加如下的URL签名:
exec、eval、truacate、dir、and、insert、1=1、1=2等签名,另外,你也可以在网上查找一些相关的资料,就是一些漏洞扫描工具、***工具很容易使用的一些***关键字。设置之后如图5所示。iis配置web服务器图解,
图5 配置签名
设置之后,单击ISA Server控制台上的“应用”按钮,让设置生效。
采用此种方法后,可以在很大一部分上,防止网站被***,但事物是相对的,没有任何一个防火墙能百分百的保护网络。这需要我们要查看相关的一些资料,及时更新防火墙的设置进行应对。另外,在采用签名后,要测试被ISA Server保护的网站,查看一下所有的网页通否被打开,如果ISA Server过滤的太严格,可以在图5的“签名”中删除相关的签名。在采用图3的方法后,如果只使用GET方法(注意大小写),则外网中任何尝试更新网站的数据(不管是正常还是不正常的)都会被中止,这时候一些网站中的留言板、论坛将不能使用。对于这种情况,可以把论坛、留言板与网站分开,用ISA Server另外发布一个留言板或论坛网站,对这个新发布的网站采取“宽容”的策略,把严格的策略应用于需要“重点保护”的网站上。
只允许GET方法后,网站的数据更新,可以在内网直接更新。这在一些政府网站,或者网站就使用自己单位的服务器而需要将网站发布到Internet上的用户,尤其适合。
