软考-信息安全工程师学习笔记107—IIS 安全分析与增强
IIS 概述
IIS (Internet Information Services)是 Microsoft 公司的 Web 服务软件的简称,主要提供 Web 服务。
IIS 处理 HTTP 请求的步骤如下:
- HTTP.sys 接收到客户的 HTTP 请求;
- HTTP.sys 联系 WAS(Windows Process Activation Service),从配置库中获取信息;
- WAS 从配置库 applicationHost.config 中请求配置信息
- WWW Service 接收配置信息,例如应用池和站点配置;
- WWW Service 使用这些配置信息设置 HTTP.sys;
- WAS 针对请求,为应用池启动工作进程;
- 工作进程处理请求和返回 HTTP,sys 的响应;
- 客户接收到响应。
IIS 安全分析
IIS 安全机制
IIS 的访问控制流程分为以下步骤:
- 用户浏览器所在计算机的 IP 地址是否限制?如果来自受限 IP,访问将被拒绝;否则进入下一步 验证。
- 用户身份验证是否通过?对于非匿名访问的站点,要对用户进行账号验证,如果使用非法账号, 访问将被拒绝;否则进入下一步验证。
- 在 IIS 中指定的 Web 权限是否允许用户访问?如果用户试图进行未授权的访问,访问将被拒绝; 否则进入下一步验证。
- 用户正在进行的操作请求是否符合相应 Web 文件或文件夹的 NTFS 许可权限?如果不符合,访问 将被拒绝;如果符合,则允许访问。
- 用户通过上述访问控制措施就可以访问其请求的资源。
IIS 安全增强
学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼
请先 后发表评论~