IIS 概述

IIS (Internet Information Services)是 Microsoft 公司的 Web 服务软件的简称，主要提供 Web 服务。

IIS 处理 HTTP 请求的步骤如下：

1. HTTP.sys 接收到客户的 HTTP 请求；
2. HTTP.sys 联系 WAS(Windows Process Activation Service)，从配置库中获取信息;
3. WAS 从配置库 applicationHost.config 中请求配置信息
4. WWW Service 接收配置信息，例如应用池和站点配置；
5. WWW Service 使用这些配置信息设置 HTTP.sys;
6. WAS 针对请求，为应用池启动工作进程；
7. 工作进程处理请求和返回 HTTP,sys 的响应；
8. 客户接收到响应。

IIS 安全分析

IIS 安全机制

IIS 的访问控制流程分为以下步骤：

1. 用户浏览器所在计算机的 IP 地址是否限制？如果来自受限 IP，访问将被拒绝；否则进入下一步 验证。
2. 用户身份验证是否通过？对于非匿名访问的站点，要对用户进行账号验证，如果使用非法账号， 访问将被拒绝；否则进入下一步验证。
3. 在 IIS 中指定的 Web 权限是否允许用户访问？如果用户试图进行未授权的访问，访问将被拒绝； 否则进入下一步验证。
4. 用户正在进行的操作请求是否符合相应 Web 文件或文件夹的 NTFS 许可权限？如果不符合，访问 将被拒绝；如果符合，则允许访问。
5. 用户通过上述访问控制措施就可以访问其请求的资源。

IIS 安全增强

学习参考资料：

信息安全工程师教程（第二版）

建群网培信息安全工程师系列视频教程

信息安全工程师5天修炼