智创网站
专业级防火墙


防黑客入侵、防提权、防创建新用户、文件防篡改
专业级防火墙帮助您抵御各种黑客非法侵害!

导航

网站IIS防火墙规则设置说明

    网站IIS防火墙安装后,需要根据网站具体情况,设置拦截规则,才会起到最佳的防护效果。我们先来
看看黑客是如何攻击网站的。

 

 

、黑客入侵网站的主要步骤

 

1、对网站进行漏洞扫描,比如,SQL注入扫描、文件上传等

2、尝试上传 ASP / PHP / .NET 木马进行提权,建立新的 Windows用户,将新用户加入到 Administrators 组

3、开启“远程桌面”,对服务器进行访问控制

 

 

二、基本防护措施

 

黑客攻击行为 防护措施 备注说明
 对网站进行 ASP / PHP 网页漏洞扫描

 

 例如,SQL注入点扫描

开启

(1)SQL注入拦截
(2)HTTP行为限制,只允许 HEAD / GET / POST 三个 HTTP行为动作
(3)限制URL长度,防止URL溢出攻击
(4)URL过滤拦截,过滤特殊行为的URL

 
 WEB漏洞上传 ASP / PHP / .EXE 木马程序 开启

(1)POST上传木马特征文件拦截,拦截ASP/PHP/.NET/.EXE木马上传
(2)服务器文件监控,发现写入 PHP木马后,立刻对内容扫描并拦截
(3)带点畸形目录文件监控拦截,拦截类似 com7 / lpt9 ...特殊文件

 
 利用 ASP / PHP / .NET 执行命令和提权 开启

(1)IIS应用程序池运行时用户监控,阻止非白名单 SYSTEM权限 IIS池
(2)危险系统组件监控拦截,阻止网页木马访问危险组件
(3)DOS命令和EXE程序监控拦截,阻止网页木马执行命令

 
 利用 ASP / PHP / .NET 建立畸形目录 开启

 

(1)带点畸形目录文件监控拦截,拦截类似 com6 / lpt8 ...特殊文件

 
 利用已上传的ASP/PHP木马建立Windows用户 开启

(1)Windows用户名创建拦截功能,阻止黑客创建新用户
(2)Administrators 组用户实时监控拦截,防止提权

 
 开启远程桌面,登录远程桌面控制服务器 开启

 

(1)远程桌面登录实时监控拦截,阻止非白名单用户登录远程桌面

 
 通过远程桌面对服务器进行操作 开启

 

(1)远程桌面实时屏幕录像功能,对各种操作进行屏幕录像,录像取证

当前版本只支持 Windows 2003 系统

 

、其他攻击行为的防护措施

 

1、拦截通过其他模式上传的 ASP/PHP木马文件

    安装《网站网页木马文件监控助手》

 

    当网站 wwwroot 目录中有 ASP / PHP / ASPX ... 等文件上传、BBS论坛附件上传、木马文件上传时,会被立刻监控到,同时对此

文件进行过滤扫描,若发现是已知的木马文件,则自动对其进行改名拦截处理。若发现是可疑文件,则写入监控日志文件,供服务器管

理员进行查阅审计。

软件下载和演示请访问 http://www.zcnt.com/FileMon.asp

 

2、拦截对 HTML / ASP / PHP 网页进行批量挂马等

    安装《智创网页文件防篡改助手》软件

    对服务器中指定的 WEB 目录进行修改和写入拦截,给文件目录加上一把保护锁。保护 HTML / ASP / PHP / ASPX 等文件不被写入和修改。

软件下载和演示请访问: http://www.zcnt.com/FileLock.asp

 

3、拦截上传 PHP木马后进行 UDP发包攻击

    安装《智创IIS网站异常流量实时监控助手》(w3wp.exe进程 UDP速度限制)

    对 IIS 的 UDP 进行速度限制,将 w3wp.exe 进程的 UDP 数据包发送速度限制在 8 - 64K 左右。从而避免异常 UDP 流量把整个服务器的带宽占用完。

软件下载和演示请访问 http://www.zcnt.com/IIsNetMon.asp

 

、高级防护措施

 

    特别说明,防火墙依赖设置的防护规则,规则强度设置的太低,可能没有效果;如果强度设置太高,可能导致正常访问被拦截 。这里的规则需要多次调整优化,使其达到最佳防护效果。

 

1、安装智创IIS防火墙,下载地址 http://www.zcnt.com/iis.asp
 

2、开启网站入侵访问审计监控功能,对 www.网站.com 进行监控,记录所有的POST信息

    找到黑客通过什么途径入侵的网站,什么页面有 xxx.asp / xxx.php 页面提交的数据,入侵时黑客向服务器提交了什么数据,向服务器 POST上传了什么 ASP / PHP 木马等。以便制定拦截规则。
 

3、开启

(1)SQL注入攻击拦截,防止黑客进行sql注入

(2)“一句话”木马拦截

(3)POST上传木马特征文件拦截

(4)POST行为白名单监控—记录类,记录有 POST行为的网页,以便后面进行拦截未知POST页面

 

4、对网页上传目录进行限制,例如,部分程序,有 /UploadFile/ 专用目录,如果网页存在漏洞,也可能被上传 asp/php等木马程序

    需要拦截 /UploadFile/ (其他名字,则做相应的修改)目录里的 asp / php / aspx 等文件,可以填写规则

*/UploadFile/*.asp
*/UploadFile/*.php
*/UploadFile/*.aspx
www.网站.com/UploadFile/*.aspx

这样,即使网站存在上传漏洞 xxx.asp 文件被上传到了 /uploadfile/ 目录里,也无法运行。
 

5、对后台 /admin/ 目录进行登录 IP限制

    开启 特殊目录访问IP限制功能,对后台IP进行限制。这样 /admin/ 目录只有指定的IP地址可以访问,非白名单IP一概拦截。
 

6、开启 POST行为白名单监控—拦截类模块,对所有未知 POST行为进行拦截

    拦截未知 ASP / PHP / .NET 木马程序的原理,

    服务器被上传 ASP / PHP / .NET 木马程序后,这类木马程序都会执行 HTTP POST 动作。我们预先把网站正常的POST程序网页建立一个白名单,凡是没有在白名单的ASP/PHP/.NET网页出现的 POST行为一律拦截。这样即使黑客上传了木马,这个木马也无法正常工作。这样可以拦截掉绝大部分网页木马,如各种加密变形的未知网页木马。
 

7、开启 Windows用户创建拦截功能,防止黑客创建新用户

    黑客上传 ASP / PHP / .NET 木马后,有可能在服务器上创建 Windows 用户和将用户提权到 Administrators 组,进而控制整个服务器。本功能将拦截黑客创建新 Windows 用户,以保证服务器安全。
 

8、开启 远程桌面登录实时监控拦截

    对远程桌面登录进行实时监控拦截,对于非白名单的IP地址登录,或非白名单的客户端登录一律进行拦截,以保护远程桌面防止被恶意登录。
 

9、开启 远程桌面实时屏幕录像功能,对各种操作进行屏幕录像,录像取证

    对黑客在服务器上进行的各种操作进行屏幕录像。
 

10、启用“文件防篡改”保护,规则设置演示说明 http://www.zcnt.com/FileLockHelp.asp

    对服务器中指定的网站目录进行写入拦截,给文件目录加上一把保护锁。保护 HTML / ASP / PHP / ASPX ...等文件不写入和修改。

    例如,服务器以下几个网站存在漏洞,被反复挂马和上传木马,监控目录可以填写

    d:\home\网站111\wwwroot
    d:\home\网站222\wwwroot
    d:\home\网站333\wwwroot
   
    这样,我们设置防篡改保护规则后,网站目录 d:\home\网站111\wwwroot 里的 HTML / ASP / PHP / ASPX ... 等文件的任何写入和修改都被禁止 ,这样可以保护网站不被上传和写入 ASP / PHP / ASPX ... 等网页木马文件, 同时又不会影响 BBS论坛上传 .rar / .zip / .jpg ...等文件。

 

五、如果防火墙规则设置上有任何疑问或问题,请联系我们的客服人员,我们将热诚为您服务。