22.3、IIS安全分析与增强

IIS安全威胁分析

iis是微软公司的Web服务软件，主要提供网页服务，除此之外还可以提供其他服务，第一个最主要的是网页服务，第二个是SMTP邮件服务，第三个是FTP文件传输服务。WEB服务默认的是八零端口，如果你是安全的WEB端口，加入了SSL形成的端口是四四三

SMTP端口号25，FTP两个端口控制端口21，数据端口20，这些端口都是基于TCP的

网页服务、SMTP服务、FTP服务这三种服务都可以由iis提供

iis典型的安全威胁如下，因为iis是WINDOWS下的一个WEB服务器，阿帕奇是linux旗下的一个WEB服务器，他们面临的安全威胁没有本质的差异，可以说面临的安全威胁是一模一样的

第一个威胁是非授权访问，你本来没有权限，但是你访问我的资源，这就对我们的机密性造成了影响。攻击者通过iis配置的失误或者系统的漏洞，比如说配了弱口令，就可能造成我们的用户猜到你的密码，然后非法访问你的网页资源

第二个网络蠕虫，攻击者利用iis服务程序的缓冲区溢出漏洞，构造网络蠕虫攻击，其实网络蠕虫只是一类，我觉得这一类可以归结到恶意代码。除了网页蠕虫以外，可能还有病毒、木马这一类的恶意程序都可能攻击我们的网页。

第三个网页篡改，修改页面信息，比如说把主页修改成一些反动的言论。

拒绝服务，让我们正常的用户不能够访问我们的网页，黑客通过DOS攻击来实现，或者是分布式拒绝服务攻击，主要的就是耗尽我们网站的资源，可能是耗尽网站服务器的内存CPU，硬盘或者是访问带宽

iis软件本身漏洞，只要是软件不可能没有漏洞，所以WINDOWS发了正式版之后，后期也在不断的去更新，打补丁。所以这块跟我们前面讲的阿帕奇一样的，那这几条本质上都是一样的。

iis安全机制

主要包括认证，访问控制和日志审计。

第一个认证机制，iis支持多种认证方式，第一个是匿名认证，就不认证，所有的用户都能够访问，这也是我们网站目前绝大部分的网站都处于的一个状态，就是不需要认证

第二个是基本认证，比如说让你输一下用户名密码

第三个可以提供证书认证，证书认证它这里面说的是基于活动目录的证书认证，后面还有一个证书认证是按照IIS配置的一个证书认证，这两个证书认证大家了解一下

第四个是数字签名认证，实施数字签名认证

第六个是WINDOWS认证，它可以集成NTLM身份认证，这是WINDOWS认证机制。

iis的访问控制，iis具有请求过滤，就是不是所有人请求我都可以给你返回，比如说某个IP地址或者某个域名，请求的时候我就给你过滤掉，让你访问不了我的网站

URL授权控制，让具有授权的用户才能够访问我们的网站

IP限制，文件的授权控制等等，这是访问控制，访问控制这块有点类似于我们的防火墙，或者是上网行为管理的功能，其实说实话，它这里边的访问控制功能基本上用的不是那么多，因为我们网站主要还是对外提供网页的访问服务，你要实现访问控制的话，我们有专业的设备来干这块的事情，防火墙能干，上网行为管理，行为安全网关，其实它就是专门干访问控制的事情，这些动作网站它本身带一定的基础功能，它可以做，但是实际项目应用当中很少有网站去做的，主要都是通过一系列的安全设备去干，包括日志审计，网站它自己也带日志审计的功能，能够记录我们WEB的访问情况。

另外与iis相关的日志审计，还有操作系统、数据库，包括应用服务的审计。

大型的系统架构，就是最上层是网页，然后下一层是应用，再下一层是数据库，其中这几个都要跑在操作系统之上

看网站的运行情况，不仅要看它的审计日志，还要看应用程序的数据库，包括操作系统，这些都是支撑我们网站去运行的底层基础设施，所以iis它自己提供审计日志，与iis相关的审计日志

看日志可以在我们的网站上直接去看，但是现在有个专业设备，日志审计或直接叫审计设备，它可以集中的把所有的这些日志，iis的日志也好，你的操作系统，数据库，应用服务，这些日志给你做集中，集中之后就可以做大数据分析，它可能能够给你做一些关联，比如说那几条日志出现的时候，可能就有某种攻击，比它更先进一点的是态势感知

态势感知不仅可以分析日志，还可以分析我们的网络流量。