在IIS6中安裝WebKnight的方法(iis防火墻)
2024-08-29 03:15:10
供稿:網友
如何在IIS6中安裝WebKnight����?
我們的 WebServer 是 IIS6����,所以這里只介紹IIS6的安裝,我見有些帖子介紹WebKnight的安裝時����,說只有把IIS調整成IIS5.0隔離模式(IIS5.0 isolation mode)才可以,但實際上WebKnight的官方網站有介紹不需要此操作即可安裝的辦法����,但這需要放棄WebKnight的全局配置特性,相比放棄IIS6.0����,我更愿意放棄WebKnight的這個特性:
首先下載一份WebKnight����,下載地址:?PageID=99#Download(注����,這不是直接下載地址����,點開后需要再點擊WebKnight 2.2 (Release date: 2008.09.02)����,以防更新后各位朋友還下載舊的版本)
解壓后有2個目錄Setup、Source����,其中Source是源碼,我們這里只需要安裝����,進入Setup
進入Setup后還有2個目錄:w32代表32位;x64代表64位����;按照您服務器的操作系統來選擇即可,我這里選x64(由于WebKnight的32位����、64位文件結構完全相同����,所以下面的內容完全適用與32位操作系統)
確保自己的每一個網站都運行在獨立的應用程序池中����;
在WebKnight的配置程序中
取消選擇“Global Filter Capabilities”下的“Is Installed As Global Filter”
選擇“Logging”下的“Per Process Logging”,這樣每一個應用程序池的實例都會加載一個單獨的WebKnight實例
確保Windows用戶NETWORK SERVICE(或您設定的應用程序池的其他用戶)有WebKnight文件夾的修改權限
拷貝第3步中x64文件夾中的所有文件到服務器上(如:F:/WebKnight/WebSite1/)����,注意:每一個網站均需要一個獨立完整的WebKnight����,不可共用
打開IIS Manager
在需要安裝WebKnight的網站上點擊右鍵 > 屬性 > ISAPI filters
點擊添加 > Filter Name隨意,如(WebKnight)����,Excutable選擇WebKnight目錄下的WebKnight.dll(注意:要選網站所屬的WebKnight目錄,不要選錯)
點擊確定����,完成安裝
點擊WebKnight目錄中的Config.exe,具體配置方法見下一節����,配置完成后再進行下一步����,切記
在以上操作后����,重新啟動IIS(重啟IIS其實可以避免,只需將配置WebKnight的網站的應用程序池停止再啟動即可)
如何配置WebKnight
聲明:由于WebKnight的配置很多����,這里我只寫一下推薦配置����,個人觀點,僅供參考����,如果更好的建議,期待您的分享
在WebKnight目錄中(如:F:/WebKnight/WebSite1/)����,雙擊Config.exe開始配置����,在彈出的Open Configuration對話框中����,選擇WebKnight.xml
Scanning Engine 掃描引擎
無需更改默認配置
Incident Response Handling 已發生攻擊的處理
如果您希望有人攻擊時看到的頁面是WebKnight目錄中的denied.htm����,選擇Response Directly即可;
如果您希望有人攻擊時看到的頁面是您網站下的某個文件(如:)����,選擇Response Redirect����,并在下面的Response Redirect URL中填寫您網站下文件的路徑(如:/Error/Denied.htm)
如果您只希望記錄攻擊,但不希望中斷用戶的訪問����,您可以選擇Response Log Only
Logging 日志
如果日志量特別大,請取消選擇Enabled����,否則很有可能磁盤可用空間不知不覺就沒有了����,還有可能有比較嚴重的磁盤I/O性能問題
日志默認是存儲在WebKnight目錄下的LogFiles文件夾中����,如果您想改變該路徑����,可以修改Log Directory的值
WebKnight每天的日志是由不同文件存儲的,默認保存28天的數據����,您可以在Log Retention中修改該值
Connection 連接
無需更改默認配置
Authentication 安全認證
無需更改默認配置
Request Limits 請求限制
取消選擇Limit Content Length(Content-Length是header中的一個值,代表所請求元素的尺寸)����,我個人覺得這項沒有必要選擇����,因為元素尺寸有可能很大
取消選擇Limit URL(即限制URL的長度),原因同上����,URL也可能很長
取消選擇Limit Query String(即查詢字符串的長度),原因同上����,查詢字符串也可能很長
取消選擇Limit HTTP Version(即HTTP版本)����,我感覺沒有必要限制HTTP版本����,有可能會造成使用過舊版本瀏覽器的用戶無法訪問自己的網站
取消選擇Use Max Headers(即限制Headers中各項的最大長度)����。我一開始是選擇了該項的,但在我的實踐中����,由于我們用了網站流量統計、廣告合作代碼等����,導致Headers中的一些項超長,阻止了相當多的正常請求����,所以我想干脆一勞永逸,取消選擇了該項
URL Scanning 網址掃描
取消選擇RFC Compliant URL����、RFC Compliant HTTP Url����、Deny Url HighBitShellCode����,勾選了這三項,很多不太標準的URL格式就會無法訪問����,比如包含中文的URL
取消選擇Deny URL Backslash,因為我們網站中����,“/”在URL里面也會用到
在URL Denied Sequences中����,描述了拒絕請求的一些URL字符串����,如果其中有您網站中正在使用的,可以刪除����,方法是選中要刪除的項目����,右鍵����,點擊Remove Selected
Mapped Path 映射目錄
Use Allowed Paths,這項保持勾選����,因為這項可以限制Web程序可以訪問的服務器上的物理路徑,我們需要做的只是在下面的Allowed Paths中添加上我們自己的網站物理路徑����,比如F:/WebSite1,添加方法是在任意項上點擊右鍵 > Insert Item > 輸入物理路徑后����,回車即可
Requested File 被請求的文件
在Denied Files(拒絕請求的文件)中,去掉網站允許請求的文件����,如:log.htm、logfiles
在Denied Extensions(拒絕請求的后綴名)中,去掉網站循序請求的后綴名����,如:shtm
Robots 蜘蛛程序
無需更改默認配置
Headers 頭信息
Server Header中,可以修改Header中的Server字段的值����,我覺得這個也可以改改,挺好玩的
為了防止組織合法的請求����,取消勾選RFC Compliant Host Header、Use Denied Headers
ContentType 內容類型
取消選擇Use Allowed Content Types����,若選中,則無法上傳文件
Cookie 這個就不需要翻譯成中文了吧:)
無需更改默認配置
User Agent 用戶代理/客戶端
取消勾選Deny User Agent Empty����、Deny User Agent Non RFC,否則有部分合法訪問會被拒絕
Referrer 訪問來路
取消選擇Use Referrer Scanning����,因為我覺得一個訪問的來路可能不會有太嚴重的安全問題����,還是為了盡量讓合法的請求通過,我選擇取消勾選該項
Methods HTTP請求方法
無需更改默認配置
Querystring 查詢字符串
無需更改默認配置
Global Filter Capabilities 全局過濾功能
取消勾選Is Installed As Global Filter����,切記,該項一定要取消選擇����,否則WebKnight不能正產工作
SQL Injection SQL 注入
無需更改默認配置
Web Applications Web應用程序
勾選Allow File Uploads,否則上傳文件的功能會失效
勾選Allow Unicode
勾選Allow ASP NET
如果您的網站需要支持ASP����,勾選Allow ASP
同理,您的網站需要支持什么����,請您自己選擇需要勾選的項
修改后,記得通過菜單欄File > Save 來保存配置(或通過快捷鍵Ctrl+S)����,保存配置后,就可以重啟IIS或應用程序池來啟用WebKnight了
提示:您可以通過查看WebKnight的日志����,來查看哪些合法請求被阻止了,然后修改相應的配置
注意,安裝時必須啟用IIS5.0隔離模式����。否則加載dll失敗。����。
開啟IIS5.0隔離模式具體位置:IIS管理器->網站->右鍵屬性->服務->以 IIS5.0 隔離模式運行 WWW服務 (打上鉤)->應用
重啟IIS����。。然后安裝webknight...
32位系統 WebKnightSetupw32 目錄下 WebKnight.msi
64位系統 WebKnightSetupx64 目錄下 WebKnight.msi
安裝可以默認����,也可以你自己自定義路徑...設置時,到已安裝好目錄下運行:Config.exe
然后選擇 WebKnight.xml 具體安全設置����,以后再一一介紹。真希望有能能翻譯個過來����。。
再說一次����,必須要開啟IIS5.0隔離模式����,才能成功加載防火墻����。����。
如果附件里的這個DLL加載不成功可以安裝官方的,官方下載地址?PageID=99#Download
