如何在IIS6中安装WebKnight?
我们的 WebServer 是 IIS6,所以这里只介绍IIS6的安装,我见有些帖子介绍WebKnight的安装时,说只有把IIS调整成IIS5.0隔离模式(IIS5.0 isolation mode)才可以,但实际上WebKnight的官方网站有介绍不需要此操作即可安装的办法,但这需要放弃WebKnight的全局配置特性,相比放弃IIS6.0,我更愿意放弃WebKnight的这个特性:
首先下载一份WebKnight,下载地址:http://aqtronix.com/?PageID=99#Download(注,这不是直接下载地址,点开后需要再点击WebKnight 2.2 (Release date: 2008.09.02),以防更新后各位朋友还下载旧的版本)
解压后有2个目录Setup、Source,其中Source是源码,我们这里只需要安装,进入Setup
进入Setup后还有2个目录:w32代表32位;x64代表64位;按照您服务器的操作系统来选择即可,我这里选x64(由于WebKnight的32位、64位文件结构完全相同,所以下面的内容完全适用与32位操作系统)
确保自己的每一个网站都运行在独立的应用程序池中;
在WebKnight的配置程序中
取消选择“Global Filter Capabilities”下的“Is Installed As Global Filter”
选择“Logging”下的“Per Process Logging”,这样每一个应用程序池的实例都会加载一个单独的WebKnight实例
确保Windows用户NETWORK SERVICE(或您设定的应用程序池的其他用户)有WebKnight文件夹的修改权限
拷贝第3步中x64文件夹中的所有文件到服务器上(如:F:\WebKnight\WebSite1\),注意:每一个网站均需要一个独立完整的WebKnight,不可共用
打开IIS Manager
在需要安装WebKnight的网站上点击右键 > 属性 > ISAPI filters
点击添加 > Filter Name随意,如(WebKnight),Excutable选择WebKnight目录下的WebKnight.dll(注意:要选网站所属的WebKnight目录,不要选错)
点击确定,完成安装
点击WebKnight目录中的Config.exe,具体配置方法见下一节,配置完成后再进行下一步,切记
在以上操作后,重新启动IIS(重启IIS其实可以避免,只需将配置WebKnight的网站的应用程序池停止再启动即可)
如何配置WebKnight
声明:由于WebKnight的配置很多,这里我只写一下推荐配置,个人观点,仅供参考,如果更好的建议,期待您的分享
在WebKnight目录中(如:F:\WebKnight\WebSite1\),双击Config.exe开始配置,在弹出的Open Configuration对话框中,选择WebKnight.xml
Scanning Engine 扫描引擎
无需更改默认配置
Incident Response Handling 已发生攻击的处理
如果您希望有人攻击时看到的页面是WebKnight目录中的denied.htm,选择Response Directly即可;
如果您希望有人攻击时看到的页面是您网站下的某个文件(如:http://www.xxx.com/Error/Denied.htm),选择Response Redirect,并在下面的Response Redirect URL中填写您网站下文件的路径(如:/Error/Denied.htm)
如果您只希望记录攻击,但不希望中断用户的访问,您可以选择Response Log Only
Logging 日志
如果日志量特别大,请取消选择Enabled,否则很有可能磁盘可用空间不知不觉就没有了,还有可能有比较严重的磁盘I/O性能问题
日志默认是存储在WebKnight目录下的LogFiles文件夹中,如果您想改变该路径,可以修改Log Directory的值
WebKnight每天的日志是由不同文件存储的,默认保存28天的数据,您可以在Log Retention中修改该值
Connection 连接
无需更改默认配置
Authentication 安全认证
无需更改默认配置
Request Limits 请求限制
取消选择Limit Content Length(Content-Length是header中的一个值,代表所请求元素的尺寸),我个人觉得这项没有必要选择,因为元素尺寸有可能很大
取消选择Limit URL(即限制URL的长度),原因同上,URL也可能很长
取消选择Limit Query String(即查询字符串的长度),原因同上,查询字符串也可能很长
取消选择Limit HTTP Version(即HTTP版本),我感觉没有必要限制HTTP版本,有可能会造成使用过旧版本浏览器的用户无法访问自己的网站
取消选择Use Max Headers(即限制Headers中各项的最大长度)。我一开始是选择了该项的,但在我的实践中,由于我们用了网站流量统计、广告合作代码等,导致Headers中的一些项超长,阻止了相当多的正常请求,所以我想干脆一劳永逸,取消选择了该项
URL Scanning 网址扫描
取消选择RFC Compliant URL、RFC Compliant HTTP Url、Deny Url HighBitShellCode,勾选了这三项,很多不太标准的URL格式就会无法访问,比如包含中文的URL
取消选择Deny URL Backslash,因为我们网站中,“\”在URL里面也会用到
在URL Denied Sequences中,描述了拒绝请求的一些URL字符串,如果其中有您网站中正在使用的,可以删除,方法是选中要删除的项目,右键,点击Remove Selected
Mapped Path 映射目录
Use Allowed Paths,这项保持勾选,因为这项可以限制Web程序可以访问的服务器上的物理路径,我们需要做的只是在下面的Allowed Paths中添加上我们自己的网站物理路径,比如F:\WebSite1,添加方法是在任意项上点击右键 > Insert Item > 输入物理路径后,回车即可
Requested File 被请求的文件
在Denied Files(拒绝请求的文件)中,去掉网站允许请求的文件,如:log.htm、logfiles
在Denied Extensions(拒绝请求的后缀名)中,去掉网站循序请求的后缀名,如:shtm
Robots 蜘蛛程序
无需更改默认配置
Headers 头信息
Server Header中,可以修改Header中的Server字段的值,我觉得这个也可以改改,挺好玩的
为了防止组织合法的请求,取消勾选RFC Compliant Host Header、Use Denied Headers
ContentType 内容类型
取消选择Use Allowed Content Types,若选中,则无法上传文件
Cookie 这个就不需要翻译成中文了吧:)
无需更改默认配置
User Agent 用户代理/客户端
取消勾选Deny User Agent Empty、Deny User Agent Non RFC,否则有部分合法访问会被拒绝
Referrer 访问来路
取消选择Use Referrer Scanning,因为我觉得一个访问的来路可能不会有太严重的安全问题,还是为了尽量让合法的请求通过,我选择取消勾选该项
Methods HTTP请求方法
无需更改默认配置
Querystring 查询字符串
无需更改默认配置
Global Filter Capabilities 全局过滤功能
取消勾选Is Installed As Global Filter,切记,该项一定要取消选择,否则WebKnight不能正产工作
SQL Injection SQL 注入
无需更改默认配置
Web Applications Web应用程序
勾选Allow File Uploads,否则上传文件的功能会失效
勾选Allow Unicode
勾选Allow ASP NET
如果您的网站需要支持ASP,勾选Allow ASP
同理,您的网站需要支持什么,请您自己选择需要勾选的项
修改后,记得通过菜单栏File > Save 来保存配置(或通过快捷键Ctrl+S),保存配置后,就可以重启IIS或应用程序池来启用WebKnight了
提示:您可以通过查看WebKnight的日志,来查看哪些合法请求被阻止了,然后修改相应的配置
注意,安装时必须启用IIS5.0隔离模式。否则加载dll失败。。
开启IIS5.0隔离模式具体位置:IIS管理器->网站->右键属性->服务->以 IIS5.0 隔离模式运行 WWW服务 (打上钩)->应用
重启IIS。。然后安装webknight...
32位系统 WebKnightSetupw32 目录下 WebKnight.msi
64位系统 WebKnightSetupx64 目录下 WebKnight.msi
安装可以默认,也可以你自己自定义路径...设置时,到已安装好目录下运行:Config.exe
然后选择 WebKnight.xml 具体安全设置,以后再一一介绍。真希望有能能翻译个过来。。
再说一次,必须要开启IIS5.0隔离模式,才能成功加载防火墙。。
如果附件里的这个DLL加载不成功可以安装官方的,官方下载地址http://aqtronix.com/?PageID=99#Download
当前位置: 操作系统/服务器>linux
本页文章导读:
▪在IIS6中安装WebKnight的方法(iis防火墙)
如何在IIS6中安装WebKnight? 我们的 WebServer 是 IIS6,所以这里只介绍IIS6的安装,我见有些帖子介绍WebKnight的安装时,说只有把IIS调整成IIS5.0隔离模式(IIS5.0 isolation mode)才可以,但实际上WebKni.........
▪远程桌面超出最大连接数的解决方法
【系统环境】 系统:Windows 2003 解决这个现像的办法很多,如果马上需要登陆服务器,最easy的方法是: 代码如下:开始——运行中输入:mstsc /console /v:192.168.12.241:3389 【解决方法】 1、找到一.........
▪win2003 iis asp.net伪静态配置图解
一、【系统环境】 操作系统:windows2003 软件:iis 6.0 .net2.0以上 二、【配置伪静态步骤】 1.右键点击 要设置网站的网站 2.属性 ——》主目录 ——》配置——》 3.如右侧窗口,找到 .aspx 扩展.........
[1]在IIS6中安装WebKnight的方法(iis防火墙)
来源: 互联网 发布时间: 2013-12-24
[2]远程桌面超出最大连接数的解决方法
来源: 互联网 发布时间: 2013-12-24
【系统环境】
系统:Windows 2003
解决这个现像的办法很多,如果马上需要登陆服务器,最easy的方法是:
开始——运行中输入:mstsc /console /v:192.168.12.241:3389
【解决方法】
1、找到一台能连上网络的windows2003的机器
2、开始–运行–输入“tsmmc.msc”,跳出一个远程桌面控制台
3、右键点击左边的“远程桌面”,选择“新建远程桌面”,按照要求填写要连接的虚拟主机的ip、用户名、密码、域名,然后点击“确定”
4、点击新建好的远程桌面,就可以登陆到远程虚拟主机了
【扫尾工作】
1、登陆到远程虚拟主机后,打开“任务管理器”,选择“用户”,踢掉那2个留在系统中的用户
2、开始-运行-gpedit.msc-计算机配置-管理模板-windows组件-终端服务-会话,右边窗口选择“为断开的会话设置时间限制”-选择已启用,设置一个时间
win2K/win2003终端服务器超出最大允许连接数的问题
一、用注销来退出远程桌面而不是直接关闭窗口
二、限制已断开链接的会话存在时间
1、从终端服务配置中修改
运行-Tscc.msc(终端服务配置)-连接-双击RDP-Tcp或右击-属性-会话-选中第一个的替代用户设置(O)-结束已断开的会话[将默认值“从不”改为一个适当的时间,比如30分钟]
2、从组策略修改
开始-运行-gpedit.msc-计算机配置-管理模板-windows组件-终端服务-会话右边窗口选择 为断开的会话设置时间限制 -选择已启用,选择一个时间
三、增加最多链接数
1、 从终端服务配置中修改:运行-Tscc.msc(终端服务配置)-连接-双击RDP-Tcp或右击-属性,选择“网卡”选项卡-修改“最大连接数”改成你 所需的值,当然这个值不也能太大,否则会占用较多的系统资源。不过这里修改的值好像不起作用,设置成无限制时照样还是会出现本文所说的情况。
2、组策略级别要高于终端服务配置,当启用组策略后终端服务配置中的相应选项会变成灰色不可修改
运行-gpedit.msc-计算机配置-管理模板-Windows组件-终端服务双击右边的”限制连接数量“-选择”已启用“-填入允许的最大连接数
四、改变远程终端模式
打开“控制面板”,双击“添加删除程序”,单击“添加删除Windows组件”,“组件”,在Windows组件向导对话框中选中“终端服务” , “下一步”,“应用服务器”,“下一步”,然后按照提示即可改变终端服务的模式。
Windows 2000终端服务有2种运行模式: 远程管理模式和应用程序服务器模式。远程管理模式允许系统管理员远程管理服务器,而且只允许2个终端会话同时登录终端服务器。应用程序服务器模式允许用户 运行一个以上应用程序,允许多个用户从终端登录访问服务器。但是,应用终端服务的用户必须有终端服务授权,即必须在90天之内在这个域或工作组中设置终端 服务授权服务器,否则用户需删除应用程序,然后再重新安装。
五、修改本地安全策略
控制面板>>管理工具>>本地安全策略>>本地策略>>安全选项>>
1、先找到>>Microsoft网络服务器:在挂起会话之前所需的空闲时间默认为:15分钟,改为自己所需要的时间(就是登陆后无动作空闲超过多少时间后自动断开)
2、然后找到>>网络安全:在超过登录时间后强制注销。默认为:已禁用,一定要改为:已启用
如果已经发生解决办法:
1、首先你可以telnet到此主机上(不管你用哪种方法),当然如果能直接操作机器更好,不过直接操作就不必用命令行了,那当然是知道机器超级管理员的密码的情况下,可以使用OpenTelnet来打开远程服务器的Telnet端口。
2、Telnet上去后,先看登陆的用户:
输入命令:query user
系统返回:
C:>query user
此时可以看出的可能都不一样,根据具体情况而定。找出断开了但是仍然占用系统资源和通道的用户,我们要把它踢掉。如下进行操作即可。
输入命令:logoff 1
3、如果服务器关闭了telnet功能(这是默认的),还可以通过SqlServer的xp_cmdshell扩展存储过程,使用格式:master.dbo.xp_cmdshell '
命令内容',其余可参考第二步。此方式要求有访问xp_cmdshell的权限
上面的解决办法基本没有用 后来我用 服务器终端服务器超出最大允许连接数时,以前考虑用冷启动服务器,但这样必须跑一趟机房,最近发
现最好的办法就是在“运行”命令行里输入:mstsc /console /v:你的服务器IP:远程端口
或者用下面的3389连接客户端加强版windows终端连接器加强版(解决终端人数过多问题)
系统:Windows 2003
解决这个现像的办法很多,如果马上需要登陆服务器,最easy的方法是:
代码如下:
开始——运行中输入:mstsc /console /v:192.168.12.241:3389
【解决方法】
1、找到一台能连上网络的windows2003的机器
2、开始–运行–输入“tsmmc.msc”,跳出一个远程桌面控制台
3、右键点击左边的“远程桌面”,选择“新建远程桌面”,按照要求填写要连接的虚拟主机的ip、用户名、密码、域名,然后点击“确定”
4、点击新建好的远程桌面,就可以登陆到远程虚拟主机了
【扫尾工作】
1、登陆到远程虚拟主机后,打开“任务管理器”,选择“用户”,踢掉那2个留在系统中的用户
2、开始-运行-gpedit.msc-计算机配置-管理模板-windows组件-终端服务-会话,右边窗口选择“为断开的会话设置时间限制”-选择已启用,设置一个时间
win2K/win2003终端服务器超出最大允许连接数的问题
一、用注销来退出远程桌面而不是直接关闭窗口
二、限制已断开链接的会话存在时间
1、从终端服务配置中修改
运行-Tscc.msc(终端服务配置)-连接-双击RDP-Tcp或右击-属性-会话-选中第一个的替代用户设置(O)-结束已断开的会话[将默认值“从不”改为一个适当的时间,比如30分钟]
2、从组策略修改
开始-运行-gpedit.msc-计算机配置-管理模板-windows组件-终端服务-会话右边窗口选择 为断开的会话设置时间限制 -选择已启用,选择一个时间
三、增加最多链接数
1、 从终端服务配置中修改:运行-Tscc.msc(终端服务配置)-连接-双击RDP-Tcp或右击-属性,选择“网卡”选项卡-修改“最大连接数”改成你 所需的值,当然这个值不也能太大,否则会占用较多的系统资源。不过这里修改的值好像不起作用,设置成无限制时照样还是会出现本文所说的情况。
2、组策略级别要高于终端服务配置,当启用组策略后终端服务配置中的相应选项会变成灰色不可修改
运行-gpedit.msc-计算机配置-管理模板-Windows组件-终端服务双击右边的”限制连接数量“-选择”已启用“-填入允许的最大连接数
四、改变远程终端模式
打开“控制面板”,双击“添加删除程序”,单击“添加删除Windows组件”,“组件”,在Windows组件向导对话框中选中“终端服务” , “下一步”,“应用服务器”,“下一步”,然后按照提示即可改变终端服务的模式。
Windows 2000终端服务有2种运行模式: 远程管理模式和应用程序服务器模式。远程管理模式允许系统管理员远程管理服务器,而且只允许2个终端会话同时登录终端服务器。应用程序服务器模式允许用户 运行一个以上应用程序,允许多个用户从终端登录访问服务器。但是,应用终端服务的用户必须有终端服务授权,即必须在90天之内在这个域或工作组中设置终端 服务授权服务器,否则用户需删除应用程序,然后再重新安装。
五、修改本地安全策略
控制面板>>管理工具>>本地安全策略>>本地策略>>安全选项>>
1、先找到>>Microsoft网络服务器:在挂起会话之前所需的空闲时间默认为:15分钟,改为自己所需要的时间(就是登陆后无动作空闲超过多少时间后自动断开)
2、然后找到>>网络安全:在超过登录时间后强制注销。默认为:已禁用,一定要改为:已启用
如果已经发生解决办法:
1、首先你可以telnet到此主机上(不管你用哪种方法),当然如果能直接操作机器更好,不过直接操作就不必用命令行了,那当然是知道机器超级管理员的密码的情况下,可以使用OpenTelnet来打开远程服务器的Telnet端口。
2、Telnet上去后,先看登陆的用户:
输入命令:query user
系统返回:
C:>query user
此时可以看出的可能都不一样,根据具体情况而定。找出断开了但是仍然占用系统资源和通道的用户,我们要把它踢掉。如下进行操作即可。
输入命令:logoff 1
3、如果服务器关闭了telnet功能(这是默认的),还可以通过SqlServer的xp_cmdshell扩展存储过程,使用格式:master.dbo.xp_cmdshell '
命令内容',其余可参考第二步。此方式要求有访问xp_cmdshell的权限
上面的解决办法基本没有用 后来我用 服务器终端服务器超出最大允许连接数时,以前考虑用冷启动服务器,但这样必须跑一趟机房,最近发
现最好的办法就是在“运行”命令行里输入:mstsc /console /v:你的服务器IP:远程端口
或者用下面的3389连接客户端加强版windows终端连接器加强版(解决终端人数过多问题)
[3]win2003 iis asp.net伪静态配置图解
来源: 互联网 发布时间: 2013-12-24
一、【系统环境】
操作系统:windows2003
软件:iis 6.0 .net2.0以上
二、【配置伪静态步骤】
1.右键点击 要设置网站的网站
2.属性 ——》主目录 ——》配置——》
3.如右侧窗口,找到 .aspx 扩展名——》编辑——》复制 可执行文件的路径——》关闭
4.点击 添加——》粘贴 刚复制的 可执行文件路径
5.扩展名填写 .html (如果是 .htm 或者 任意你想要的扩展都可以 前提是以后的应用程序扩展列表里边没有该扩展)
6.不选中 确认文件是否存在
7.确定
下面是图解,希望可以帮助你
图一:配置伪静态
图二:配置伪静态
图三:配置伪静态
到这一步就完成了windows配置伪静态图解。如有疑问,请联系我们
原文来自: http://www.cncnc.com.cn/news/shownews-545-1.html
操作系统:windows2003
软件:iis 6.0 .net2.0以上
二、【配置伪静态步骤】
1.右键点击 要设置网站的网站
2.属性 ——》主目录 ——》配置——》
3.如右侧窗口,找到 .aspx 扩展名——》编辑——》复制 可执行文件的路径——》关闭
4.点击 添加——》粘贴 刚复制的 可执行文件路径
5.扩展名填写 .html (如果是 .htm 或者 任意你想要的扩展都可以 前提是以后的应用程序扩展列表里边没有该扩展)
6.不选中 确认文件是否存在
7.确定
下面是图解,希望可以帮助你
图一:配置伪静态
图二:配置伪静态
图三:配置伪静态
到这一步就完成了windows配置伪静态图解。如有疑问,请联系我们
原文来自: http://www.cncnc.com.cn/news/shownews-545-1.html
最新技术文章: