8、基础 Web 服务器安全配置指南

基础 Web 服务器安全配置指南

1. 域名和 IP 地址限制配置

在配置域名限制时，建议使用 *.domainname.com 语法格式，而非 domainname.com 语法，因为 IIS 可能无法检查来自 domainname.com 的请求。在决定配置 IP 地址和域名限制时，需先了解 IIS 要验证和处理的 IP 地址或域名数量，建议保持列表简短，仅包含少量条目。若仅允许特定 IP 地址或域名访问网站，应配置“拒绝访问”，拒绝所有其他 IP 地址。

IP 地址限制是请求到达 IIS 服务器时的第一道防线，可借此控制访问以保护服务器。怀疑有攻击者试图访问系统时，拒绝可疑 IP 地址或域名的访问有助于保护 IIS 服务器。虽然也可使用防火墙或路由器访问列表来阻止访问，但 IP 地址限制配置速度更快，还能增加一层额外保护。此外，还可使用 Internet Protocol Security (IPSec)、Internet Connection Firewall (ICF)、Internet Authentication Services (IAS) 和 TCP/IP Filtering 等工具进一步保护 IIS 服务器。

2. 设置网站权限

配置 IP 地址限制后，还应考虑对网站本身应用限制。网站权限是应用于所有访问该网站用户的权限，与 NTFS 权限不同，NTFS 权限是应用于指定 Windows 用户或用户组的文件或文件夹的权限。当网站权限和 NTFS 权限冲突时，将应用更严格的权限。

2.1 网站权限类型

网站