IIS 使用技巧和周边辅助工具介绍

Microsoft的IIS（Internet Information Server）服务具有安装方便，使用配置简单的特点，在网络上使用得非常广泛，许多网站都是基于IIS建立的。一般来说，我们都是按照默认配置来管理和维护IIS服务的。但是，Windows自带的IIS服务管理功能毕竟有限，无法满足更高的使用要求。实际上，想让IIS服务更加顺畅和安全的运行，还需要很多IIS管理软件“辅佐”才行。这里就介绍常用的IIS服务管理软件，实现对IIS服务进行网络数据压缩、保卫IIS安全、IIS资源的安全管理、IIS服务的伪装、控制网络带宽、监控IIS服务等实用功能。

给IIS巧设“压缩器”
在默认情况下，当您访问IIS服务器时，相关网络数据没有经过任何压缩处理，这无疑会消耗宝贵的网络带宽。使用IISxpress这款独特的IIS插件，即可为其添加数据压缩处理功能。在“Internet信息服务”窗口中选中“网站”节点，在其属性窗口中打开“ISAPI筛选器”面板，在其中可以看到名称为IISxpres的筛选器。IIS启动成功后，IISxpres跟随IIS自动加载。当客户端使用浏览器访问网站时，会向IIS服务器发出各种请求信息，IIS根据具体的请求信息，作出相应的回应，IISxpres会拦截IIS的各种回应信息，当IISxpres判断IIS回应给客户端的文件类型（例如Html，XML等）可以进行压缩处理时，就会自动的对这些文件进行压缩，然后将压缩后数据发送给客户端。IISxpres内建了许多过滤规则，只有回应信息符合这些规则时，IISxpres才会对器进行压缩处理，而客户端可以照常接收。
在系统托盘中双击IISxpres图标，在其配置程序窗口中的“History”面板中记录了IISxpress对IIS的回应信息压缩处理的历史信息，包括时间、主机文件路径、文件原始大小、压缩后文件的大小、压缩率等参数。在“General”面板中的“Status”面板中显示了IIS和IISxpress的运行状态（正在运行或者停止），在“Activity”面板中显示了IISxpress压缩文件的数量、未压缩的数据量、已压缩的数据量、整体压缩率等统计信息。实际上，对于ZIP等文件来，再执行压缩处理已经没有必要了，在“Exclusions”面板中可以设置那些类型的数据排除在自动压缩之外。在窗口左侧点击“Extension”按钮，在窗口右侧列出不需要压缩的文件类型。点击“Add”按钮，可以增加新的文件类型。在窗口左侧点击“Content Types”按钮，在窗口右侧显示哪些数据类型不需要压缩处理。点击“Add”按钮可增加新的编码类型。在窗口左侧点击“URIs”按钮，在窗口右侧显示显示哪些Web路径下的文件不需要压缩处理，如果在IIS服务器上存在多个网站，在“Site”列表中选择合适的网站名称，点击“Add”按钮，在路径编辑窗口中可以设置新的Web路径名称，如果勾选“Use URI path as wildcard”项，则在路径中可以使用通配符。在设置窗口中的“Configuration”面板点击“Start”或“Stop”按钮启动／停止IISxpres。勾选“Allow filter to process responses”项，表示允许IISxpress对IIS的各种回应信息进行压缩处理。在“Select the compression level for the server”列表中可以选择压缩的等级。下载地址：http://www.ripcordsoftware.com/cs/files/15/installers25/entry110.aspx。

使用SecureIIS保卫IIS安全
为了防止黑客攻击和破坏IIS服务器，最好的办法就是对IIS服务器进行全面保护。使用SecureIIS这款为IIS量身定制的安全软件，即可轻松防御针对IIS各种入侵行为。SecureIIS提供了“Site Security”（站点安全防护）和“File Monitoring”（文件实时监控）两种保护机制。在SecureIIS主界面工具栏上点击“Site Security”和“File Monitor”标签旁边的开始按钮，即可开启上述两种保护模式。在SecureIIS主窗口左侧点击“Site Security”项，在右侧显示服务器上的网站列表，选中“All Sites”项，表示对所有网站进行配置。当然，也可以选择单独的网站、或者对应网站中的目标文件夹，来执行安全配置操作。
在“Buffer”面板中允许管理员对客户端提交各种类型的数据的尺寸进行限制，为了安全起见，建议选中Buffer面板中的所有选项。您可以针对不同的数据类型，来灵活的更改其许的数据长度，例如其中的“Maximum URL Length Allowed”项即可用来限制客户端提交的URL最大长度等。在“Methods”面板中可以对各种HTTP请求方法进行配置，SecureIIS能够阻止攻击者利用HTTP请求方法对IIS造成的潜在威胁。一般情况下，除了“Post”和“Get”方法可以使用之外，其它方法应该禁用。在“Shellcode”面板中可以设置防范常见的溢出攻击功能，入侵者经常向IIS发送一段特殊的代码，以引起IIS的溢出，从而控制服务器。对于英语版的IIS，建议选中全部项目，对于非英语版的IIS，最好不使用该功能，否则可能引起错误。在“Keywords”面板中可以设置非法关键字过滤功能，SecureIIS可以避免客户端向IIS非法提交关键字，从而达到侵入服务器的目的。建议勾选其中的“SYSTEM32”和“cmd.exe”项，这样当入侵者向IIS提交的URL地址、查询的字符串、得到的头信息、发送的数据中当包含上述项目时，SecureIIS将阻止其连接。在“Protect”面板中SecureIIS将允许管理员快速禁止IIS中未使用的数据编码方案。阻止入侵者使用特殊的编码（例如%u），来绕过安全系统的检查。建议选中其中的所有项目。在“Folders”面板中可以设置是否允许客户端访问和控制网站文件夹。建议不允许从外部直接访问网站根文件夹、以及其它包含重要文件的文件夹。可以有效抗击针对IIS的跨目录攻击方式。在“Web Applications”面板中可以设置让IIS接受这些非标准的HTTP请求。主要包括“Allow FrontPage Server Extensions”和“Enable Outlook Web Access 2000”两项。此外，当客户端发送了无效的请求后，IIS会返回特定的错误处理信息，在“Errors”面板中可以定制这些错误处理信息。
在SecureIIS主界面的导航栏中点击“File Monitor”项，在右侧显示文件监控窗口。在其中的“Folders”面板中显示网站文件夹和系统文件夹的路径信息，针对每一个重要文件夹，SecureIIS提供了“Recursive”（允许监控选定文件夹及其子文件夹）、“Add”（监视文件和文件夹的新建操作）、“Remove”（监视文件和文件夹的删除操作）、“Modify”（监视文件和文件夹的修改操作）、“Rename”（监视文件和文件夹的改名操作）等监控项目。点击路径列表顶部的“Click here to add a new item”项，然后点击其中的“…”按钮，可以自定义监控文件夹。在“Files”面板中可以单独监视IIS主机文件的变化，可以对一些重要文件（例如Cmd.exe等）进行监控。在SecureIIS主界面左侧点击“Site Statistics”项，可以各监控项的错误数据统计窗口。在SecureIIS主界面左侧点击“Log Viewer”项，可以打开日志查看窗口，在其中列出SecureIIS记录的日志信息，选中相应的日志行，在描述面板中显示详细的日志信息。下载地址：http://www.eeye.com/html/products/SecureIIS/SecureIIS_222_Personal.exe。

为IIS配置“资源保护器”
为了让IIS服务器安全稳定运行，我们需要时刻保护IIS中敏感数据的安全，不允许用户随意访问IIS中的重要文件或者文件夹。使用IISKeeper这款IIS安全软件，就可以轻松实现上述功能。当IISKeeper安装完成后，在自动弹出配置窗口中的“Choose Web site”列表中选择需要保护的网站名称，如果选择“All Web Sites”项，表示保护IIS上的所有网站。之后点击“Install filter”按钮，IISKeeper即可为IIS安装对应的过滤器。
在IISKeeper主窗口中的“User”面板中点击“Add User”按钮，可以添加新的用户信息。包括用户名称、Email地址、密码，是否禁用该用户，设置有效期限等。在“Groups”面板中点击“Add group”按钮，可以创建新的用户组。在“Users”面板中选中对应的用户名称，在“Available groups”栏中选择对应的组名，点击“Add Group”按钮，即可将选中的用户添加到该组中。在“Protected Resources”面板中点击“Add Resource”按钮，在弹出窗口中点击“Select folder”按钮，选中需要保护的文件夹，点击“Select File”按钮，选中需要保护的文件。在“Realm”栏中输入保护项目的名称，在“Protect Mode”栏中选择保护的类型即可。点击OK按钮完成保护资源的添加操作。
选中对应的保护资源项目，在“User Right”面板中的“Available users”栏中的“Groups”列表中选中对应组名，在其下显示其中包含的所有用户，选中对应的用户，将其拖动到“Granted users”栏中，即可赋予该用户访问该保护资源的权利。这样，您可以根据需要为不同的用户分配不同的访问权限。在“Granted users”栏中双击对应的用户名，在权限设置窗口中勾选“Time Limit”项，表示为该用户设置访问期限，超过该日期的话，将禁止其访问目标资源。勾选“Traffic Limit”项，表示为该用户设置流量限制，在“Additional Traffic”栏中输入流量大小（单位为MB），当该用户访问的数据量超过该数值时，将禁止其访问操作。此外。在“Groups Rights”面板中的“Available Groups”栏中显示存在的所有组名，选中对应的组名，将其拖动到“Granted Groups for Resource”栏中，即可允许该组中的所有用户访问选定的资源项目。这样，当用户访问IIS中需要保护的资源项目时，IISKeeper将根据其权限决定是否允许其进行访问操作。在“Locked IP”面板中显示所有被锁定的IP信息，包括具体的IP地址以及锁定的时限等。对于恶意的访问者，IISKeeper将按照预设的配置，自动将其锁定。在“Locked IP”面板中选择对应的锁定IP项目，点击“Delete”按钮可以将其删除。在IISKeeper主窗口点击菜单“File”→“Global Parameters”项，在配置窗口中的“Attack Protection”面板中勾选“Enable Attack Protection”项，表示激活攻击保护功能，在“Lock client IP address for X min”栏中设置锁定攻击者IP的时间，在“When amount of bad login more than”栏中设置允许在预设的时间内尝试登录的次数。在“Realm& Encryption”面板中的“Default realm name for basic authorization”栏中设置默认的保护名称，点击“Random Key”按钮，可以产生随机加密字符串，用来对Cookie保护模式进行加密处理。下载地址：http://www.metamatica.com/downloads/iiskeepersetup.exe

为IIS服务器披上“伪装衣”
为了防止IIS服务器遭到攻击，最好的方法就是让攻击者找不到您的IIS服务器。使用ServerMask这款独特的软件，即可将您的IIS服务器“改头换面”，伪装成其它类型的服务器来迷惑攻击者，让其陷入找不到攻击目标的境地。黑客对IIS服务器进行攻击之前，都需要判断Web服务器的类型，根据服务器返回的信息来确定其“身份”，ServerMask正是据此执行伪装功能，将错误的信息发送给攻击者，让其产生错觉而无法对其执行攻击操作。
在ServerMask主窗口左侧显示在IIS服务器上安装的所有网站，选择目标网站，在窗口右侧的“Security Profile”列表中提供了多种伪装手段，如果选择“Hide”项，ServerMask即可将您的网站隐藏起来，当攻击者试图向其发送测试连接请求时，ServerMask将拒绝发送任何回应信息，如果该网站消失了一样。如果选择“Emulate”项，表示执行网站仿真功能，当攻击者试图探测本网站的信息时，ServerMask可以将本网站伪装成Apache服务器，并将相关的虚假信息发送给攻击者，让其误以为本机使用的Apache服务器，让其要么知难而退，要么执行错误的攻击操作。如果选择“Randomize”项，表示使用随机伪装信息保护本网站。实际上，ServerMask可以模拟大量的服务器回应信息，包括Apache对应的Redhat、Unix、Mac、Win32等服务器版本，以及Oracle 9i、Lotus-Domino、Zeus、IBM_HTTP_Server、SunOS、LiveServer、WebSphere Application Server等40多种服务器的头信息。这样攻击者每次试图探测本网站时，ServerMask可以使用随机的服务器的头信息来迷惑攻击者，让其感到本网站“高深莫测”，从而知难而退。
如果您选择“Customize”项，表示自定义伪装信息。在弹出的面板中输入新的伪装项目名称，点击“Headers”按钮，在“Server Header”面板中勾选“Enable Server header masking”项，表示激活IIS信息头加密功能，选择“Remove Server header from all HTTP response”项，表示删除IIS信息头。选择“Masquerade in Server header as common non-IIS server”项，表示使用其它服务器的信息头内容替换IISIIS信息头。选择“Randomize Swever header among common non-IIS servers”项，让ServerMask自动随即的改变IIS信息头，选择“Set custom Server header value”项，可以让您自定义IIS信息头内容。在“Add Headers”面板中勾选“Enable Header Add”项，表示允许添加新的IIS信息头。点击“Add”按钮，添加新的IIS信息头即可。除了系统自身提供的IIS头信息之外，一些第三方的IIS增强工具都会产生一些HTTP头信息。这些信息照样可以暴露您的服务器类型。在“Remove Headers”面板中勾选“Enable Header Remove”项，表示可以在IIS头信息中删除第三方工具的相关信息。此外，点击“Add”按钮，可以添加新的需要删除的Header信息。
在ServerMask主窗口中点击“Cookie”按钮，在“Cookie Masking”面板中勾选“Mask all session cookie on list”项，表示激活Cookie伪装功能。在列表中已经预设了一些常见的Cookie类型，双击对应的Cookie项目，可以对其进行更改。在“Change cookie mask every X seconds”栏中可以设置更换Cookie信息的时间间隔。此外，还可以根据具体的网站程序，点击“Add”按钮，创建新的Cookie项目。其余的设置保存默认，即可完成伪装项目的新建操作。按照上述方法，您可以创建多个伪装项目。之后在“Security Profile”列表中选择您创建的伪装项目，即可使用其来保卫IIS服务器的安全了。下载地址：http://www.port80software.com/download/SMSetup.exe.

为IIS服务器巧设“限速器”
在默认情况下，当您在IIS服务器上配置好所需的网站后，对于来访者来说，其连接过程是不受任何约束的，也就是说访问者可以自由使用主机的网络带宽。当访问量比较大的情况下，就会出现网络带宽过于拥挤的情况。使用HttpShaper这款独特的软件，可以为IIS服务器添加带宽限制功能，从而更加合理有效的使用网络带宽。在HttpShaper主窗口中点击菜单“Tools”→“Options”项，在设置窗口中可以更改IIS服务器的端口号。点击菜单“Shaper”→“Rules”项，在规则配置窗口中可以创建和管理各项限速规则。HttpShaper提供了基于主机、文件类型、访问者IP、动态设置等多种规则类型。
在“Hosts”面板中点击“Add”按钮，在弹出窗口中输入网站的名称，域名（多域名之间以分号相隔），在“BW limit”栏中设置针对该网站的带宽限制值（单位为KB每秒，以下与之相同），点击OK按钮保存配置。按照上述方法，可以针对任意网站配置限速规则。在规则管理窗口的“File types”面板中点击“Add”按钮，在弹出窗口中的“File type”列表中选择目标文件类型，在“BW limit”栏中设置针对该文件类型的带宽限制值。在“Bandwidth of specific size”面板中可以设置当被访问的文件的体积大于预设值时，针对该文件采取的带宽限制值。在“Access”面板可以针对不同访问者的IP和未配置的网站，分别设置其带宽限速值。在“Dynamic shaping”面板中勾选“Only activate shaping when average outbound rate exceeds”项，在其下设置临界带宽使用率（单位为KB每秒）。这样如果IIS服务器的带宽使用率连续10秒之内超过临界值时，则激活预设限速规则。如果IIS服务器的带宽使用率连续10秒之内没有超过临界值，则禁用上述限速规则。下载地址：http://www.httpshaper.com/download/HttpShaperInst.exe。

为IIS配置监控伴侣
在IIS服务运行过程中，对其进行全面监控是很有必要的，这可以让管理员全面了解服务器的运行状态，及时发现可能存在的问题。使用IISGuard这款独特的软件，即可轻松实现上述功能。IISGuard能实时在线跟踪和监控所有发送给IIS服务器的HTTP和 HTTPS连接请求，并能实时监控每一个连接请求的运行状态，同时提供其细节信息（包括网页路径、Cookie、Http头信息等）。并可以将IIS运行的监控信息记入日志，并提供了强大的日志搜索功能，能对运行在IIS服务器上的网站进行线查看和管理等。在浏览器的地址栏中输入 http://目标IP:85 （目标IP表示主机的名称或者IP地址），即可打开IISGuard控制页面。在IISGuard菜单栏的右侧的“Server Time”中显示IIS服务器当前的精确时间。在控制页面的“Home”面板中显示了IIS服务器和IISGuard的基本信息。在“Currently requested”中列出了当前请求的数量信息，点击对应的数量链接，就切换到连接监控面板。
在“Log Files”列出了IISGuard监控IIS服务器运行的日志文件的数量，点击相应的数量连接，可以切换到日志查看面板。在“Live Monitor”面板中列出当前和最近IIS服务器处理的的网络请求信息，在工具条中的“Active”项中点选“ALL”单选框，可以显示当前所有连接请求的细节信息。在“Last”栏中输入目标数量值，则可以按照预设的数量显示当前请求的明细信息。在“History”栏中输入合适的统计数值和时间周期，则可以按照预设的数量显示最近发生的连接请求的详细信息。在“Autorefresh”栏中可以设置信息显示的刷新时间。在工具栏的最右侧分别点击三个按钮，分别执行启动、暂停、中止信息刷新操作。在其下的列表中显示当前活动和历史连接请求统计信息，包括请求开始时间、IIS服务器处理请求所处的状态、连接请求持续时间、客户端IP地址、请求数据包长度、回应数据包尺寸、HTTP连接请求的方法、被执行的程序在应用程序池中的ID号等信息。在“Log Files”面板中显示IIS服务器的日志信息，在“Log entries”列表中列出详细的监控日志，在其底部的“Show”栏输入显示的行数，在“From”栏中输入起始行数，点击“Go”按钮可以更新列表内容。点击“<”、“ Last>>”等链接能进行上下翻页操作。利用IISGuard提供的搜索功能，可以对监控的日志信息进行有效过滤，从而发现危害IIS服务器运行的入侵信息。在Log Files工具条的“Filter by time”中设定过滤的起始与结束时间。之后点击“Apply”按钮执行过滤操作。在“Search”中输入要过滤的IP地址（多地址之间使用分号分隔，IP地址支持通配符），这样可以过滤更多的地址。
在“Sites”面板中显示在IIS服务器中建立的网站信息，包括网站描述信息、主机信息等。、在“Status”列中显示网站的运行状态（启动还是中止），在“Action”列中点击分别三个按钮，可以启动、暂停、中止目标网站的运行。在“Settings”面板中可以对IISGuard的运行参数进行设置，在“General”面板中点击“Edit”按钮，在设置页面中可以分别当客户端访问网站中哪些类型的脚本文件时，对其访问操作进行监控和记录。在“Log Files”设置页面的“Log file max size”中设置日志文件的最大尺寸，在“Compression”定义日志文件压缩的标准。在“Web Access”设置页面中的“Port”中定义IISGuard访问端口，在“Allow anonymous access”中确定是否允许匿名访问，如果禁止匿名访问，在“Username”设置允许访问的用户名，在“Password”中设置密码，这样当访问IISGuard控制页面时，必须输入密码。勾选“IP filtering”能开启IP过滤，这样，访问者的IP只有符合“Allowed IP Addresses”中定义地址范围，才能访问IISGuard（如果是多个IP地址，彼此之间用分号隔开）。下载地址：http://downloads.parker-software.com/IISTools/IISGuardSetup-1-0-416.exe。

上一篇: 各国语言缩写-各国语言简称
下一篇: 一个修复 Windows XP 任务栏的批处理文件
文章来自: 网络
引用通告: 查看所有引用 | 我要引用此文章
Tags: IIS
相关日志: