WWW服务IIS安全性配置（iis服务配置与使用）

1，WWW（World Wide Web）：称为万维网，是建立在Internet上的一种网络服务，为浏览者在Internet上查找和浏览信息提供了图形化的、易于访问的直观界面。基于超文本传输协议HTTP（Hypertext Transfer Protocol），是万维网WWW服务器传输数据到客户端浏览器的传送协议。HTTP 工作在 TCP/IP 模型之上，端口 为80；超文本传输安全协议HTTPS（Hypertext Transfer Protocol Secure）是 HTTP 的安全版本，它在 HTTP 下增加了 SSL/TLS 协议，提供了数据加密、完整性校验和身份验证，端口为 443。

2，IIS（Internet Information Services）：是一种提供WWW的服务，是微软基于Windows的web网站服务组件。提供WWW服务的还有Apache、Tomcat、Nginx等。

3，一定要打开防火墙，只允许80和443端对放开放，允许程序中只允许图中的3条，其它全不打勾。

4，确定IIS关闭目录浏览功能。

5，重要目录如admin，一定要做IP限制；第一步限制所有客户端访问，设置状态为“拒绝”；第二步添加只允许访问的客户端IP。

6，除了脚本所在的目录，其它目录的“处理程序映射”全部为“读取”，如“images”和“上传文件的upload”目录等。

7，一些重要文件，需设置成IP访问为拒绝，连管理员也是拒绝状态。这些文件可能是配置文件等，只对应用程序起作用，但一定不让能浏览器直接访问。

8，“请求筛选 ”规则，可以做许多特定限制。

9，“错误页”里，可以用自定义的错误来替换系统的错误页。

10，web.config的customErrors设置。

<customErrors mode="Off" />：用于开发部署中，为开发者提供详细的错误信息用于调试。

<customErrors mode="On"/>：最安全选项，能隐藏错误提示信息.

<customErrors mode="RemoteOnly"/>：向大多数用户展示一般的错误信息，但向拥有服务器访问权限的用户展示完整的错误提示信息，即仅向远程客户端端显示自定义错误，并向本地主机显示详细错误信息。

11，关于安全方面，攻击方式层出不穷，本文只是最大限度的提供了一些安全机制。具体问题具体分析，如第8的“请求筛选”中，可以设置拒绝的扩展名、可以设置拒绝的URL、拒绝的HTTP谓词（如head）、标头大小限制、隐藏段等，在查询字符串中可自定义一些SQL注入或系统注入攻击字符串，如chr(、select、char(、exec、#、\、script、iframe、cast、sleep、substr、<、>、;、'、*、%、function等。

12，关于文件夹授权方面，除了上传文件的目录之外，其它的目录全是读取权限，不授权于修改权限。