chinapub.com 第x务器护741 站的搜索结果中时常出现一些 global asa文件,这个错误能在连接字符串中泄露口令、用户名 或目录结构。黑客利用这些信息,可获得对网站的非授权访问。 防止这种情况发生的最简单的方法是把后端代码放到主( master)目录中,并设置索引服务 器不能对其索引,从而把它与站点的其余部分分开。通过站点的 robots. txt文件指定该目录不 能从外部接触,也能防止 Internet搜索引擎的对其索引 6.设置Web日志文件并保护日志文件 在IS中,所有的日志配置选项都能通过运行Web站点的 Properties对话框并选择 Enable Logging来访问,如图24-7所示。日志是网站安全的最重要的方面之一。好的日志能提供所需 要的所有信息。它有助于监控网站上的活动和活动的起始位置。特别是,W3C扩展日志文件 格式允许记录一些关键的信息,比如,客户的IP地址、用户名、服务器ID、服务器端口号、 方法、 URI Stem和协议状态 v Cherd IP Addes Icol Serve P Addem Ito] 能cw卫2“sunl 图24-7配置日志选项 应该意识到当用户开始大量进入时,日志文件会迅速地膨胀。当我们必须从网上下载日 志时,会慢得令人难以忍受。 如果必须下载这些日志文件,那么确保只有 administrator和 System帐号才有访问日志文件 夹的权力。可以考虑把它们加密或使用 Kerberos进行双重安全保护。 另一方面,如果在本地计算机产生日志文件,不应到Web站点上访问日志文件夹。否则 很有可能使自己的日志文件被其他人访问 7.过滤IP地址限制对站点的访问 IS中的一个Web站点的安全选项(见Web站点的 Properties对话框中的 Directory Security选 项卡)是基于请求访问的客户的P地址来限制对网站的访问。正如在本章开始所讲的,这对IP 欺骗至少是一种威慑。 当地址被拒绝接受时,将向客户返回一个定制的错误页面,提示的关键信息如下 Http 403.6-forbidden: Ip address rejected 该页面位于C: WINNThelpliisHelp\common403-6.htm,并可进行修改,换成特定的信息, 甚至什么也不显示。要这样做的原因是,如果客户知道是因为IP地址而被拒绝,那么他们中 的一些人就会进一步找到绕过去的方法第2 4章 服务器防护计计741 下载 站的搜索结果中时常出现一些 g l o b a l . a s a文件，这个错误能在连接字符串中泄露口令、用户名 或目录结构。黑客利用这些信息，可获得对网站的非授权访问。 防止这种情况发生的最简单的方法是把后端代码放到主 ( m a s t e r )目录中，并设置索引服务 器不能对其索引，从而把它与站点的其余部分分开。通过站点的 r o b o t s . t x t文件指定该目录不 能从外部接触，也能防止I n t e r n e t搜索引擎的对其索引。 6. 设置We b日志文件并保护日志文件 在I I S中，所有的日志配置选项都能通过运行 We b站点的P r o p e r t i e s对话框并选择 E n a b l e L o g g i n g来访问，如图2 4 - 7所示。日志是网站安全的最重要的方面之一。好的日志能提供所需 要的所有信息。它有助于监控网站上的活动和活动的起始位置。特别是， W 3 C扩展日志文件 格式允许记录一些关键的信息，比如，客户的 I P地址、用户名、服务器 I D、服务器端口号、 方法、URI Stem和协议状态。 图24-7 配置日志选项 应该意识到当用户开始大量进入时，日志文件会迅速地膨胀。当我们必须从网上下载日 志时，会慢得令人难以忍受。 如果必须下载这些日志文件，那么确保只有 A d m i n i s t r a t o r和S y s t e m帐号才有访问日志文件 夹的权力。可以考虑把它们加密或使用 K e r b e r o s进行双重安全保护。 另一方面，如果在本地计算机产生日志文件，不应到 We b站点上访问日志文件夹。否则 很有可能使自己的日志文件被其他人访问。 7. 过滤I P地址限制对站点的访问 I I S中的一个We b站点的安全选项(见We b站点的P r o p e r t i e s对话框中的Directory Security选 项卡)是基于请求访问的客户的 I P地址来限制对网站的访问。正如在本章开始所讲的，这对 I P 欺骗至少是一种威慑。 当地址被拒绝接受时，将向客户返回一个定制的错误页面，提示的关键信息如下： HTTP 403.6-Forbidden:IP address rejected 该页面位于C : \ W I N N T \ h e l p \ i i s H e l p \ c o m m o n \ 4 0 3 - 6 . h t m，并可进行修改，换成特定的信息， 甚至什么也不显示。要这样做的原因是，如果客户知道是因为 I P地址而被拒绝，那么他们中 的一些人就会进一步找到绕过去的方法