security - 如何防止端口 80 和 443 上的入站恶意网站威胁?
问题描述
我们有一个 Web 应用程序,它位于带有 IIS 的 Windows 服务器上的端口 80 和 443 上。
其他一切都被锁定。带 VPN 的物理防火墙。
像这样通过 Web 端口发起的攻击的名称是什么?
如果您没有保护,这些类型的恶意软件负载是否能够在服务器上执行?
我们如何保护以下类型的端口 80 和 443 上的 IIS 免受攻击?
(这里我们使用了恶意软件字节,但如果可能的话,我想要多台服务器的中央报告)
它们看起来像是一种恶意软件,如果您单击错误链接,您会收到警告,但在这种情况下,它们会在您没有单击任何内容的情况下入站。
解决方案
据我所知,有很多方法可以通过配置来保护 iis web 服务器,例如:
1.使用端到端加密
- 如果您的 Web 服务器前面有反向代理和/或负载平衡器,则更喜欢使用 SSL 桥接而不是 SSL 卸载
- 禁用比 TLS 1.2 更旧的 SSL/TLS 版本
- 禁用弱密码套装
- SSL/TLS 和密码套装设置是服务器范围的设置,IIS 支持操作系统支持的任何内容。但是,对于 .NET 应用程序,请查看以下文章:
.NET Framework 的传输层安全 (TLS) 最佳实践:
https://docs.microsoft.com/en-us/dotnet/framework/network-programming/tls
2.配置“请求过滤”:
“允许未列出的文件扩展名”:取消选中(仅允许您将使用的扩展名;添加“.”以允许无扩展名请求)
“允许未列出的动词”:取消选中(仅允许您将使用的动词)
尽可能降低“请求限制”
请求过滤
https://docs.microsoft.com/en-us/iis/configuration/system.webserver/security/requestfiltering/
3.删除标识服务器和应用程序的HTTP标头。这些标头被认为会导致安全漏洞:
- removeServerHeader
- 删除不需要的 HTTP 响应标头
更多方法可以参考这个链接:https ://techcommunity.microsoft.com/t5/core-infrastructure-and-security/iis-best-practices/ba-p/1241577
推荐阅读
- java - 什么时候应该声明一个方法是同步的?
- react-native - 不滚动就不会渲染视图
- angular - 如何导航到 Angular 7 中的锚点
- firebase - Unicode 字符在 Cloud Firestore 中不起作用
- python - Python 单元测试 - 模拟类属性
- html - 如何使用 Beautifulsoup4 跳过使用相同元素的抓取
- jquery - 空白不需要输入的电子邮件验证
- multithreading - 在 GeForce GTX 1060 上的多线程应用程序中管理共享 OpenGL 资源时崩溃
- python - 路线绘图仪 python
- javascript - 从 Scala.rx 0.3.2 更新到 0.4.0 时的 LinkingErrors