IIS7.0安全性配置研究

摘要 IIS和APACHE是当今两大主流的WEB信息服务平台，而对于WINDOWS系统的用户来说，微软的IIS系统成为配置WEB信息平台的首选。本文从个人实践出发，以IIS7.0为例，详细论述了IIS安全性设置中的相关问题。

关键词 计算机技术；IIS；安全性设置

中图分类号TP39 文献标识码A 文章编号 1674-6708（2013）86-0187-02

IIS和APACHE是当今两大主流的WEB信息服务平台，而对于WINDOWS系统的用户来说，微软的IIS系统成为配置WEB信息平台的首选。虽然微软针对IIS应用平台了若干补丁文件，但网络上流行的IIS漏洞还是层出不穷，作为IIS用户来讲，做好安全性设置成为保证服务器正常运行的首要条件。

1 IIS概述

IIS是Internet Information Services的缩写，它的应用可以使服务器进行WWW服务。其中包含了Gopher server和FTP server。我们利用IIS可以静态网页，同时对ASP、JAVA、VBscript页面进行支持，还有其它一些扩展功能。我们后面的讲述，将以版本IIS7.0为例。

2 IIS安全性设置

要创建一个安全可靠的Web服务器，必须要实现Windows系统和IIS的双重安全。攻击者往往从网站漏洞入手，获取网站控制权，然后通过提权，逐步控制服务器。针对攻击者采用的手段和方法，我们进行相应的IIS及相关安全设置，可以起到较好的防范效果。下面是根据实践经验得到的几个比较有效的方法。

2.1 端口的安全设置

端口是计算机和网络进行通讯的通道，做好端口安全设置是进行IIS安全设置的基础。我们在架设IIS服务器时，首先要分析本服务器的应用，保留将要使用的端口，关闭不用的端口。例如：如果我们仅仅进行静态网页，只保留80端口就可以了；但如果网站有mssql数据库的支持，那么还要开放1433端口；如果现时架设FTP服务器，那就要再保留21端口。端口的配置方法如下：

第一，通过配置windows系统防火墙实现端口安全配置。我们以windows server 2008系统为例说明仅保留80端口的设置方法。

首先打开windows系统防火墙，单击“更改设置”。在打开的“Windows防火墙设置”对话框的“例外”选项卡中，分别选择“安全万维网服务（HTTPS）”、“核心网络”、“万维网服务”三项内容，单击确定。这样就自动开启80端口而其它端口将被关闭。

如果要添加其它端口，可以点击“添加端口”按钮进行添加。

2.2 驱动器及文件夹权限的设置

作为一个网站服务器，自身的安全只是一个方面，而网站文件的安全患服务器是无法进行防范的，比如从理论上讲IIS服务器不能阻止ASP类木马运行，这是因为ASP木马本身是一个合法的web文档。这就要求我们做好与IIS相关的驱动器和文件夹权限的设置。一旦网站被攻击，保证操作系统及网站文件之外的其它文件不受影响。本人通过实践验证，通过系统用户设定，结合IIS7.0的身份验证机制可以有效地进行网站文件的隔离，具体操作如下：

第一，打开服务器各驱动器的属性对话框，在安全选项卡中设置系统驱动器及其它驱动器的权限，仅保留administrators组、SYSTEM及CREATOR OWNER用户对驱动器的完全控制权限。

第二，设置网站访问用户。我们打开“控制面板-管理工具-本地用户和组-用户“，添加一个users组的用户silx。

第三，设置网站所在文件夹的权限，除文件夹继承驱动器的权限外，在文件夹属性的安全选项卡中，添加用户sjlx，并将新建用户sjlx的权限设为完全控制。

第四，设置网站的IIS身份认证。在网站的IIS身份认证中将网站访问的匿名用户设置为sjlx。同时设置网站的应用程序池，应用程序池高级设置中将应用程序池标识设置为sjlx。

通过以上设置，如果网站受到攻击，比如被植入了asp木马，因为网站的匿名用户是sjlx，而这个用户仅对该网站的文件具备权限，入侵者就不能更改系统和其它文件，从而将危险性降至最低。

2.3 设置网站的ipv4地址和域限制

如果网站仅对部分用户开放，我们就可以把网站的访问用户范围缩小，从而进一步增强IIS的安全性。通过设置网站的ipv4地址和域限制可以实现这一目的。比如我们仅允许222.1.84.1-222.1.84.254 IP段的用户进行网站的访问，可以进行如下设置：

在网站的功能视图中，打开该网站的ipv4地址和域限制，然后点击“添加允许条目”，在打开的“添加允许奴隶制规则”对话框中，输入允许的IP地址范围。

2.4 网站文件夹的安全设置

目前，网站的安全受木马攻击的威胁最大，攻击者往往利用网站的注入漏洞或者上传文件过滤不严的漏洞进行木马的植入，其中上传漏洞是存在最为广泛的漏洞，很容易被攻击者检测和利用，针对这个漏洞，我们只需在IIS设置中，将上传文件夹的执行权限去掉，那么即使木马上传到网站，也不能运行，从而保护了网站的安全，设置方法如下：

从IIS面板左侧选中需要设置的文件夹uploadfiles，然后从右侧管理视图中点击“处理程序映射”图标，进入网站程序映射设置，然后点击“编辑功能权限”，对该上传文件夹只保留读取权限，单击“确定”即可。

通过以上设置，我们可以有效防止常规性的网络攻击，使我们的网站更加安全，当然在使用IIS平台的过程中，我们还要定期结合网站的访问日志进行安全性分析，充分利用IIS 的相关安全设置来保护我们的网站安全。

参考文献

[1][美]谢菲尔.IIS7开发与管理完全参考手册[M].北京：清华大学出版社，2009.

[2][黎巴嫩]Bilal Haidar.开发安全可靠的 3.5应用程序——涵盖C#和[M].北京：清华大学出版社，2011.