网站IIS防火墙规则设置说明

    网站IIS防火墙安装后，需要根据网站具体情况，设置拦截规则，才会起到最佳的防护效果。我们先来
看看黑客是如何攻击网站的。

　

　

一、黑客入侵网站的主要步骤

　

1、对网站进行漏洞扫描，比如，SQL注入扫描、文件上传等

2、尝试上传 ASP / PHP / .NET 木马进行提权，建立新的 Windows用户，将新用户加入到 Administrators 组

3、开启“远程桌面”，对服务器进行访问控制

　

　

二、基本防护措施

　

黑客攻击行为	防护措施	备注说明
对网站进行 ASP / PHP 网页漏洞扫描 　  例如，SQL注入点扫描	开启 （1）SQL注入拦截 （2）HTTP行为限制，只允许 HEAD / GET / POST 三个 HTTP行为动作 （3）限制URL长度，防止URL溢出攻击 （4）URL过滤拦截，过滤特殊行为的URL
WEB漏洞上传 ASP / PHP / .EXE 木马程序	开启 （1）POST上传木马特征文件拦截，拦截ASP/PHP/.NET/.EXE木马上传 （2）服务器文件监控，发现写入 PHP木马后，立刻对内容扫描并拦截 （3）带点畸形目录文件监控拦截，拦截类似 com7 / lpt9 ...特殊文件
利用 ASP / PHP / .NET 执行命令和提权	开启 （1）IIS应用程序池运行时用户监控，阻止非白名单 SYSTEM权限 IIS池 （2）危险系统组件监控拦截，阻止网页木马访问危险组件 （3）DOS命令和EXE程序监控拦截，阻止网页木马执行命令
利用 ASP / PHP / .NET 建立畸形目录	开启 　 （1）带点畸形目录文件监控拦截，拦截类似 com6 / lpt8 ...特殊文件
利用已上传的ASP/PHP木马建立Windows用户	开启 （1）Windows用户名创建拦截功能，阻止黑客创建新用户 （2）Administrators 组用户实时监控拦截，防止提权
开启远程桌面，登录远程桌面控制服务器	开启 　 （1）远程桌面登录实时监控拦截，阻止非白名单用户登录远程桌面
通过远程桌面对服务器进行操作	开启 　 （1）远程桌面实时屏幕录像功能，对各种操作进行屏幕录像，录像取证	当前版本只支持 Windows 2003 系统

　

三、其他攻击行为的防护措施

　

1、拦截通过其他模式上传的 ASP/PHP木马文件

    安装《网站网页木马文件监控助手》

　

    当网站 wwwroot 目录中有 ASP / PHP / ASPX ... 等文件上传、BBS论坛附件上传、木马文件上传时，会被立刻监控到，同时对此

文件进行过滤扫描，若发现是已知的木马文件，则自动对其进行改名拦截处理。若发现是可疑文件，则写入监控日志文件，供服务器管

理员进行查阅审计。

软件下载和演示请访问 https://www.zcnt.com/FileMon.asp

　

2、拦截对 HTML / ASP / PHP 网页进行批量挂马等

    安装《智创网页文件防篡改助手》软件

    对服务器中指定的 WEB 目录进行修改和写入拦截，给文件目录加上一把保护锁。保护 HTML / ASP / PHP / ASPX 等文件不被写入和修改。

软件下载和演示请访问： https://www.zcnt.com/FileLock.asp

　

3、拦截上传 PHP木马后进行 UDP发包攻击

    安装《智创IIS网站异常流量实时监控助手》（w3wp.exe进程 UDP速度限制）

    对 IIS 的 UDP 进行速度限制，将 w3wp.exe 进程的 UDP 数据包发送速度限制在 8 - 64K 左右。从而避免异常 UDP 流量把整个服务器的带宽占用完。

软件下载和演示请访问 https://www.zcnt.com/IIsNetMon.asp

　

四、高级防护措施

　

    特别说明，防火墙依赖设置的防护规则，规则强度设置的太低，可能没有效果；如果强度设置太高，可能导致正常访问被拦截 。这里的规则需要多次调整优化，使其达到最佳防护效果。

　

1、安装智创IIS防火墙，下载地址 https://www.zcnt.com/iis.asp
　

2、开启网站入侵访问审计监控功能，对 www.网站.com 进行监控，记录所有的POST信息

    找到黑客通过什么途径入侵的网站，什么页面有 xxx.asp / xxx.php 页面提交的数据，入侵时黑客向服务器提交了什么数据，向服务器 POST上传了什么 ASP / PHP 木马等。以便制定拦截规则。
　

3、开启

（1）SQL注入攻击拦截，防止黑客进行sql注入

（2）“一句话”木马拦截

（3）POST上传木马特征文件拦截

（4）POST行为白名单监控—记录类，记录有 POST行为的网页，以便后面进行拦截未知POST页面

　

4、对网页上传目录进行限制，例如，部分程序，有 /UploadFile/ 专用目录，如果网页存在漏洞，也可能被上传 asp/php等木马程序

    需要拦截 /UploadFile/ （其他名字，则做相应的修改）目录里的 asp / php / aspx 等文件，可以填写规则

*/UploadFile/*.asp
*/UploadFile/*.php
*/UploadFile/*.aspx
www.网站.com/UploadFile/*.aspx

这样，即使网站存在上传漏洞 xxx.asp 文件被上传到了 /uploadfile/ 目录里，也无法运行。
　

5、对后台 /admin/ 目录进行登录 IP限制

    开启 特殊目录访问IP限制功能，对后台IP进行限制。这样 /admin/ 目录只有指定的IP地址可以访问，非白名单IP一概拦截。
　

6、开启 POST行为白名单监控—拦截类模块，对所有未知 POST行为进行拦截

    拦截未知 ASP / PHP / .NET 木马程序的原理，

    服务器被上传 ASP / PHP / .NET 木马程序后，这类木马程序都会执行 HTTP POST 动作。我们预先把网站正常的POST程序网页建立一个白名单，凡是没有在白名单的ASP/PHP/.NET网页出现的 POST行为一律拦截。这样即使黑客上传了木马，这个木马也无法正常工作。这样可以拦截掉绝大部分网页木马，如各种加密变形的未知网页木马。
　

7、开启 Windows用户创建拦截功能，防止黑客创建新用户

    黑客上传 ASP / PHP / .NET 木马后，有可能在服务器上创建 Windows 用户和将用户提权到 Administrators 组，进而控制整个服务器。本功能将拦截黑客创建新 Windows 用户，以保证服务器安全。
　

8、开启 远程桌面登录实时监控拦截

    对远程桌面登录进行实时监控拦截，对于非白名单的IP地址登录，或非白名单的客户端登录一律进行拦截，以保护远程桌面防止被恶意登录。
　

9、开启 远程桌面实时屏幕录像功能，对各种操作进行屏幕录像，录像取证

    对黑客在服务器上进行的各种操作进行屏幕录像。
　

10、启用“文件防篡改”保护，规则设置演示说明 https://www.zcnt.com/FileLockHelp.asp

    对服务器中指定的网站目录进行写入拦截，给文件目录加上一把保护锁。保护 HTML / ASP / PHP / ASPX ...等文件不写入和修改。

    例如，服务器以下几个网站存在漏洞，被反复挂马和上传木马，监控目录可以填写

    d:\home\网站111\wwwroot
    d:\home\网站222\wwwroot
    d:\home\网站333\wwwroot
   
    这样，我们设置防篡改保护规则后，网站目录 d:\home\网站111\wwwroot 里的 HTML / ASP / PHP / ASPX ... 等文件的任何写入和修改都被禁止 ，这样可以保护网站不被上传和写入 ASP / PHP / ASPX ... 等网页木马文件， 同时又不会影响 BBS论坛上传 .rar / .zip / .jpg ...等文件。

　

五、如果防火墙规则设置上有任何疑问或问题，请联系我们的客服人员，我们将热诚为您服务。