Я ищу решения по безопасности для своих веб-серверов на уровне веб-служб. Есть ли какое-либо программное обеспечение, которое может работать поверх IIS в Windows? Кроме того, существуют ли какие-либо передовые методы, которым следуют веб-администраторы для защиты своих серверов? (Поддерживаются ASP.NET, IIS6 или IIS7, а также сервер 2003 или 2008)
Я слышал о брандмауэрах приложений, таких как dotDefender, но это дорого. Я рассматриваю это как дополнительный уровень безопасности, который может помочь остановить злоумышленников, взломавших не очень хорошо закодированные сайты.
URLScan 3.1 доступен для IIS версии 5.1 и более поздних (XP, 2003, 2008) и может быть загружен Вот в версиях x86 и x64.
При использовании URLScan я настоятельно рекомендую установить его как фильтр сайтов, а не как глобальный фильтр, если у вас несколько сайтов IIS. Это позволит вам использовать максимально строгие конфигурации, оставаясь при этом наиболее гибкими для сайтов или приложений, которым это необходимо. Прочтите Настройка URLScan документ для информации о том, как это сделать.
Если вы используете Windows Server 2008, нет необходимости устанавливать дополнительный брандмауэр. У него уже есть четко определенный брандмауэр, который также можно настроить из командной строки.
Веб-серверы также должны находиться за управляемым набором аппаратных брандмауэров, которые должны разрешать дополнительные ограничения для портов и IP-адресов. Поскольку вы работаете в магазине MS, вы можете также взглянуть на ISA.
настройте разрешения NTFS, как сказал Сквиллман.
Удачи!
Чего вы надеетесь достичь? Большая часть безопасности на самом сайте обеспечивается за счет разрешений веб-сайта, разрешений NTFS и / или авторизации внутренних приложений. Помимо этого, вы действительно смотрите на полноценный брандмауэр или веб-прокси.
Кроме того, IIS 7 поставляется с фильтрацией запросов, а также недавно выпущен URLScan 3.