32、IIS 7.0 扩展与安全防护全解析

IIS 7.0 扩展与安全防护全解析

1. IIS 7.0 API 扩展能力

IIS 7.0 的 API 提供了几乎无限的扩展能力，可用于增强核心服务器功能。通过参考示例教程，你可以创建以下类型的启动项目：
- 原生代码模块
- 托管代码模块
- 带跟踪功能的托管代码模块
- 自定义模块的 IIS 配置扩展
- 自定义模块的 IIS 管理工具扩展

MSDN 是获取所需类和结构完整参考的最佳资源，教程为开发自定义扩展提供了起点。IIS 7.0 是微软推出的最具扩展性的 Web 服务器平台，能让开发者无缝集成到核心系统的各个方面，包括功能、诊断、配置和管理。

2. IIS 安全基础认知

2.1 安全的定义

安全可定义为免受攻击或危险的状态。但实际上，几乎不存在完全安全的软件产品，即使软件本身无漏洞，也可能因与其他系统的交互方式或不良操作实践（如使用易猜密码）而受到威胁。一个真正安全的系统应能拒绝未授权访问，同时允许授权用户使用，这也是安全工作的难点所在。

2.2 风险管理

当看到声称安全的产品或安全指南时，应思考“对谁安全”和“防范什么”这两个问题。不同产品对使用场景有不同假设，因此不能盲目相信其安全性声明。

在计算领域，面临的攻击可能无穷无尽，安全专家借鉴风险管理概念来评估安全措施的适用性。同一威胁对不同组织的影响可能不同，为确定应应对的威胁，可使用风险加权成本的概念：
[
\text{风险加权成本} = \text{风险发生的预期成本} \times \text{风险发生的可能性}
] </