1、网站服务器常规机安全防护:推荐用比较纯粹的“火绒安全软件”。不推荐用360卫士(445端口无法关闭、自动升级OS对.net负面)、腾讯电脑管家(体积庞大、会使主机性能下降20%)、金山卫士(性能一般);
2、网站服务器IIS保护,推荐用【网站安全狗枸杞版】(http://www.safedog.cn/gouqi.html?from=im286 注意百度枸杞版,如果下载正式版则要注册账号,目前使用也是免费的,另外,枸杞版安装末尾时,默认安装服务器安全狗,建议不要安装服务器安全狗),不再推荐的360主机卫士(已不更新、功能较少)
网站安全狗(IIS版)安装后主要的几个需要设置的模块请参照文档进行设置,文档中未说明的模块请参照默认配置。
主动防御模块的网站漏洞防护
默认安装出来的URL长度上限值是2048,需要修改为建议范围值,网站产品的URL的长度产生于搜索部分的链接,搜索内容可能会被黑客利用,安全狗中设置的长度按照建议长度150~200设置即可,如图:
Wpcms一般情况下url长度均<80,但一些特殊功能的url较长,例如查询栏目的url:(长度有112)
http://cloud.szxy.edu88.com/moreInfo.aspx?layoutTemplateId=135&bigClassPkId=3&searchtype=1&newstype=0&search=aaa红色部分是搜索内容,攻击者会利用此字段发起长URL攻击。
如果请求的URL超长则会出现:(配置单点登录的网站URL设置稍微大一点)
主动防御模块的网马防护部分
通过安全狗软件可以解决短位文件名漏洞的攻击。如按照本教程配置可以不用安装URLSCAN工具:
主动防御模块的危险组件防护
需要将VBScript.Encode禁用,Jscript不要禁用。
.NET设置模块
选择.net版本为v2.0.50727版本,选择完整模式,并且勾选禁止第三方非法修改.net配置
流量保护模块
此处的规则主要是防护CC攻击,访问规则默认按照图片中配置进行设置。具体使用时可根据实际需求进行调整。比如攻击频繁的情况下,可调整为5秒内允许最大请求数目90次,如果IP冻结时间太长,也可调整为1分钟。请根据实际情况灵活配置。
另外:当我们网站生成静态化时,打开网址,在浏览器网址后面自动加了WebShieldSessionVerify=等字样,而非正常的index.html。那是因为开启了网站安全狗的CC防护的会话验证模式的中级模式或高级模式,所以IE浏览器会跟上这段代码进行网站访问的验证。不想出现这段验证代码可以将网站安全狗的CC攻击防护功能的会话验证模式调整为初级模式(该模式对攻击验证判断较为宽松)即可解决。但正常情况下,在不使用静态化功能时,此处建议设置为中级模式或高级模式。
资源保护模块:解决IIS版本信息泄露低危漏洞
此项设置可以。
防护日志:按默认保存30天即可,若磁盘空间紧张,则建议关闭日志