热门标签 | HotTags
当前位置:  开发笔记 > 数据库 > 正文

在IIS6中安装WebKnight的方法(iis防火墙)

由于WebKnight的配置很多,这里我只写一下推荐配置,个人观点,仅供参考,如果更好的建议,期待您的分享
如何在IIS6中安装WebKnight?

我们的 WebServer 是 IIS6,所以这里只介绍IIS6的安装,我见有些帖子介绍WebKnight的安装时,说只有把IIS调整成IIS5.0隔离模式(IIS5.0 isolation mode)才可以,但实际上WebKnight的官方网站有介绍不需要此操作即可安装的办法,但这需要放弃WebKnight的全局配置特性,相比放弃IIS6.0,我更愿意放弃WebKnight的这个特性:

首先下载一份WebKnight,下载地址:http://aqtronix.com/?PageID=99#Download(注,这不是直接下载地址,点开后需要再点击WebKnight 2.2 (Release date: 2008.09.02),以防更新后各位朋友还下载旧的版本)
解压后有2个目录Setup、Source,其中Source是源码,我们这里只需要安装,进入Setup
进入Setup后还有2个目录:w32代表32位;x64代表64位;按照您服务器的操作系统来选择即可,我这里选x64(由于WebKnight的32位、64位文件结构完全相同,所以下面的内容完全适用与32位操作系统)
确保自己的每一个网站都运行在独立的应用程序池中;
在WebKnight的配置程序中

取消选择“Global Filter Capabilities”下的“Is Installed As Global Filter”
选择“Logging”下的“Per Process Logging”,这样每一个应用程序池的实例都会加载一个单独的WebKnight实例

确保Windows用户NETWORK SERVICE(或您设定的应用程序池的其他用户)有WebKnight文件夹的修改权限
拷贝第3步中x64文件夹中的所有文件到服务器上(如:F:\WebKnight\WebSite1\),注意:每一个网站均需要一个独立完整的WebKnight,不可共用
打开IIS Manager
在需要安装WebKnight的网站上点击右键 > 属性 > ISAPI filters
点击添加 > Filter Name随意,如(WebKnight),Excutable选择WebKnight目录下的WebKnight.dll(注意:要选网站所属的WebKnight目录,不要选错)
点击确定,完成安装
点击WebKnight目录中的Config.exe,具体配置方法见下一节,配置完成后再进行下一步,切记
在以上操作后,重新启动IIS(重启IIS其实可以避免,只需将配置WebKnight的网站的应用程序池停止再启动即可)

如何配置WebKnight

声明:由于WebKnight的配置很多,这里我只写一下推荐配置,个人观点,仅供参考,如果更好的建议,期待您的分享

在WebKnight目录中(如:F:\WebKnight\WebSite1\),双击Config.exe开始配置,在弹出的Open Configuration对话框中,选择WebKnight.xml
Scanning Engine 扫描引擎

无需更改默认配置

Incident Response Handling 已发生攻击的处理

如果您希望有人攻击时看到的页面是WebKnight目录中的denied.htm,选择Response Directly即可;
如果您希望有人攻击时看到的页面是您网站下的某个文件(如:http://www.xxx.com/Error/Denied.htm),选择Response Redirect,并在下面的Response Redirect URL中填写您网站下文件的路径(如:/Error/Denied.htm)
如果您只希望记录攻击,但不希望中断用户的访问,您可以选择Response Log Only

Logging 日志

如果日志量特别大,请取消选择Enabled,否则很有可能磁盘可用空间不知不觉就没有了,还有可能有比较严重的磁盘I/O性能问题
日志默认是存储在WebKnight目录下的LogFiles文件夹中,如果您想改变该路径,可以修改Log Directory的值
WebKnight每天的日志是由不同文件存储的,默认保存28天的数据,您可以在Log Retention中修改该值

Connection 连接

无需更改默认配置

Authentication 安全认证

无需更改默认配置

Request Limits 请求限制

取消选择Limit Content Length(Content-Length是header中的一个值,代表所请求元素的尺寸),我个人觉得这项没有必要选择,因为元素尺寸有可能很大
取消选择Limit URL(即限制URL的长度),原因同上,URL也可能很长
取消选择Limit Query String(即查询字符串的长度),原因同上,查询字符串也可能很长
取消选择Limit HTTP Version(即HTTP版本),我感觉没有必要限制HTTP版本,有可能会造成使用过旧版本浏览器的用户无法访问自己的网站
取消选择Use Max Headers(即限制Headers中各项的最大长度)。我一开始是选择了该项的,但在我的实践中,由于我们用了网站流量统计、广告合作代码等,导致Headers中的一些项超长,阻止了相当多的正常请求,所以我想干脆一劳永逸,取消选择了该项

URL Scanning 网址扫描

取消选择RFC Compliant URL、RFC Compliant HTTP Url、Deny Url HighBitShellCode,勾选了这三项,很多不太标准的URL格式就会无法访问,比如包含中文的URL
取消选择Deny URL Backslash,因为我们网站中,“\”在URL里面也会用到
在URL Denied Sequences中,描述了拒绝请求的一些URL字符串,如果其中有您网站中正在使用的,可以删除,方法是选中要删除的项目,右键,点击Remove Selected

Mapped Path 映射目录

Use Allowed Paths,这项保持勾选,因为这项可以限制Web程序可以访问的服务器上的物理路径,我们需要做的只是在下面的Allowed Paths中添加上我们自己的网站物理路径,比如F:\WebSite1,添加方法是在任意项上点击右键 > Insert Item > 输入物理路径后,回车即可

Requested File 被请求的文件

在Denied Files(拒绝请求的文件)中,去掉网站允许请求的文件,如:log.htm、logfiles
在Denied Extensions(拒绝请求的后缀名)中,去掉网站循序请求的后缀名,如:shtm

Robots 蜘蛛程序

无需更改默认配置

Headers 头信息

Server Header中,可以修改Header中的Server字段的值,我觉得这个也可以改改,挺好玩的
为了防止组织合法的请求,取消勾选RFC Compliant Host Header、Use Denied Headers

ContentType 内容类型

取消选择Use Allowed Content Types,若选中,则无法上传文件

COOKIE 这个就不需要翻译成中文了吧:)

无需更改默认配置

User Agent 用户代理/客户端

取消勾选Deny User Agent Empty、Deny User Agent Non RFC,否则有部分合法访问会被拒绝

Referrer 访问来路

取消选择Use Referrer Scanning,因为我觉得一个访问的来路可能不会有太严重的安全问题,还是为了尽量让合法的请求通过,我选择取消勾选该项

Methods HTTP请求方法

无需更改默认配置

Querystring 查询字符串

无需更改默认配置

Global Filter Capabilities 全局过滤功能

取消勾选Is Installed As Global Filter,切记,该项一定要取消选择,否则WebKnight不能正产工作

SQL Injection SQL 注入

无需更改默认配置

Web Applications Web应用程序

勾选Allow File Uploads,否则上传文件的功能会失效
勾选Allow Unicode
勾选Allow ASP NET
如果您的网站需要支持ASP,勾选Allow ASP
同理,您的网站需要支持什么,请您自己选择需要勾选的项

修改后,记得通过菜单栏File > Save 来保存配置(或通过快捷键Ctrl+S),保存配置后,就可以重启IIS或应用程序池来启用WebKnight了
提示:您可以通过查看WebKnight的日志,来查看哪些合法请求被阻止了,然后修改相应的配置

注意,安装时必须启用IIS5.0隔离模式。否则加载dll失败。。
开启IIS5.0隔离模式具体位置:IIS管理器->网站->右键属性->服务->以 IIS5.0 隔离模式运行 WWW服务 (打上钩)->应用
重启IIS。。然后安装webknight...
32位系统 WebKnightSetupw32 目录下 WebKnight.msi
64位系统 WebKnightSetupx64 目录下 WebKnight.msi
安装可以默认,也可以你自己自定义路径...设置时,到已安装好目录下运行:Config.exe
然后选择 WebKnight.xml 具体安全设置,以后再一一介绍。真希望有能能翻译个过来。。
再说一次,必须要开启IIS5.0隔离模式,才能成功加载防火墙。。

如果附件里的这个DLL加载不成功可以安装官方的,官方下载地址http://aqtronix.com/?PageID=99#Download
推荐阅读
  • 网站访问全流程解析
    本文详细介绍了从用户在浏览器中输入一个域名(如www.yy.com)到页面完全展示的整个过程,包括DNS解析、TCP连接、请求响应等多个步骤。 ... [详细]
  • 使用虚拟机配置服务器
    本文详细介绍了如何使用虚拟机配置服务器,包括购买云服务器的操作步骤、系统默认配置以及相关注意事项。通过这些步骤,您可以高效地配置和管理您的服务器。 ... [详细]
  • 在 Axublog 1.1.0 版本的 `c_login.php` 文件中发现了一个严重的 SQL 注入漏洞。该漏洞允许攻击者通过操纵登录请求中的参数,注入恶意 SQL 代码,从而可能获取敏感信息或对数据库进行未授权操作。建议用户尽快更新到最新版本并采取相应的安全措施以防止潜在的风险。 ... [详细]
  • 本文介绍了如何使用Postman构建和发送HTTP请求,包括四个主要部分:方法(Method)、URL、头部(Headers)和主体(Body)。特别强调了Body部分的重要性,并详细说明了不同类型的请求体。 ... [详细]
  • PHP 5.5.31 和 PHP 5.6.17 安全更新发布
    PHP 5.5.31 和 PHP 5.6.17 已正式发布,主要包含多个安全修复。强烈建议所有用户尽快升级至最新版本以确保系统安全。 ... [详细]
  • Cookie学习小结
    Cookie学习小结 ... [详细]
  • 兆芯X86 CPU架构的演进与现状(国产CPU系列)
    本文详细介绍了兆芯X86 CPU架构的发展历程,从公司成立背景到关键技术授权,再到具体芯片架构的演进,全面解析了兆芯在国产CPU领域的贡献与挑战。 ... [详细]
  • 2020年9月15日,Oracle正式发布了最新的JDK 15版本。本次更新带来了许多新特性,包括隐藏类、EdDSA签名算法、模式匹配、记录类、封闭类和文本块等。 ... [详细]
  • 包含phppdoerrorcode的词条 ... [详细]
  • 高端存储技术演进与趋势
    本文探讨了高端存储技术的发展趋势,包括松耦合架构、虚拟化、高性能、高安全性和智能化等方面。同时,分析了全闪存阵列和中端存储集群对高端存储市场的冲击,以及高端存储在不同应用场景中的发展趋势。 ... [详细]
  • 本文详细介绍了如何在PHP中记录和管理行为日志,包括ThinkPHP框架中的日志记录方法、日志的用途、实现原理以及相关配置。 ... [详细]
  • 基于iSCSI的SQL Server 2012群集测试(一)SQL群集安装
    一、测试需求介绍与准备公司计划服务器迁移过程计划同时上线SQLServer2012,引入SQLServer2012群集提高高可用性,需要对SQLServ ... [详细]
  • Linux CentOS 7 安装PostgreSQL 9.5.17 (源码编译)
    近日需要将PostgreSQL数据库从Windows中迁移到Linux中,LinuxCentOS7安装PostgreSQL9.5.17安装过程特此记录。安装环境&#x ... [详细]
  • 本文深入解析了 Kubernetes 控制平面(特别是 API 服务器)与集群节点之间的通信机制,并对其通信路径进行了详细分类。旨在帮助用户更好地理解和定制其安装配置,从而增强网络安全性,确保集群的稳定运行。 ... [详细]
  • 深入解析Struts、Spring与Hibernate三大框架的面试要点与技巧 ... [详细]
author-avatar
651404449_724afc
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有