Exchange 2007 SP2新增的备份功能

    以前我写过一篇《使用ISA Server保护内部的web服务器》文章，介绍使用ISA Server的&HTTP&过滤中只启用&GET&的方法，保护网站。但近期在用此办法保护某个政府的网站时，某些页面不能打开，必须启用POST方法。由于该网站代码存在一些漏洞，短期内又不能修补这些漏洞，如果启用POST方法，网站很容易被修改页面。所以，必须采用其他的技术手段，保护网站的安全。可以用ISA Server的HTTP过滤，解决部分问题。

    《小知识》网站被&黑&，通常由于以下几点原因引起：

    网站宿主服务器操作系统存在漏洞、网站Web服务器存在漏洞、弱口令、SQL Server漏洞、网站代码漏洞等，除了网站代码漏洞，其他都可以很容易解决。而网站代码漏洞（包括网站所用的后台编辑器漏洞等）比较难解决。

    首先，请看一下用ISA Server保护Web服务器的网络拓扑。

    1 使用ISA Server保护网站

    在ISA Server中创建策略，发布内网的Web服务器（主要步骤略），然后配置&HTTP&

    在&常规&选项卡中，在&URL保护&中，设置&最大URL长度（字节）&处，设置为30、查询长度设置为30，并启用&验证正则化&，取消&阻止高位字符&，同时选中&阻止包含Windows可执行文件内容的响应&。

    【说明】其中URL长度是指要Internet用户访问要保护的网站时，在IE浏览器中键入的网站的地址，例如，在本例中，假设要保护的网站是www.xxx.zzz，用户要搜索isa，其访问的网址是http://www.xxx.zzz//s?wd=ISA&cl=3&ie=utf-8，其中http://www.xxx.zzz/s是URL长度，每个英文字母、标点符号占用一个字节，如果有中文字符，每个中文字符占用两个字节，而?号及?之后的为&查询长度&。一般情况下，URL长度、查询长度要根据网址的最大长度（包括各个链接页）设置，一般设置最大URL长度150、查询30即可。
在启用&阻止包含Windows可执行文件内容的响应&选项时，即使黑客上传了木马程序到网站中，ISA Server也会阻止木马程序的运行。
在&方法&中，只允许GET、POST方法。

    【说明】如果网站不需要与用户&交互&，只允许GET方法即可。也有一些网站，需要用到POST方法，这时应该加上POST。
在&签名&处，添加如下的&签名&进行过滤：

    CMD、1＝1、1＝2、and、exec、insert、delete、update、count、*、%、chr、mid、master、truncate、char、declare、upload、&、net、admin等，并可根据需要随时添加或去除。在添加的时候，签名的搜索条件为&请求URL&。

    并且，以后可以根据SQL Server注入或其他注入方式，添加过滤字符。

    然后，在ISA Server中设置防火墙策略，禁止受保护的Web服务器访问外网。

    上述的设置，保护Web服务器不被注入。但是，还是有一些网站，存在&编辑器&漏洞，这个时候，可以在IIS中、通过限制客户端IP地址的方式，保护网站不被入侵。

    在设置URL长度、签名之后，如果在打开某个地址时，出现&错误代码 500&等错误页，请检查URL长度是否合适、地址栏中的字符是否在&签名&中被过滤掉，这些可以根据实际情况配置。

    2 在IIS中服务器上进行配置 2.1限制IP地址

    在本示例中，该网站的后台管理地址是http://www.xxx.yyy/badmin/index.htm，其中的后台编辑器，保存在badmin文件夹中，则可以在IIS网站中，在&目录安全性&→&IP地址和域名限制&中，只允许&内网地址&与&VPN客户端地址&，其他地址进行限制，如图7所示。

    经过这样设置之后，当Internet上用户试图使用&编辑器&漏洞，直接替换某些网页时，由于客户端的IP地址不属于内网地址、也不属于VPN地址，则在打开网站时，会弹出&您未被授权查看该页&的提示。

    如果网站中有一些图片，保存在badmin的文件夹下，则可以单独编辑这些文件夹，在类似图7的设置中，取消IP地址的限制即可。

    另外，也可以将一些后台编辑字面，参照上面的方式，限制IP地址，这样，只有指定的IP地址才能浏览编辑页面（或后台管理页面）。即使Internet上黑客，扫描到网站漏洞（尤其是一些编辑器漏洞），也不能&攻破&网站，因为Internet的用户是不允许访问或调用后台页面的。

    2.2 保存图片、文档的目录不给&执行&权限

    对于网站中保存图片、文档的目录，修改该目录权限，&执行权限&设置为&无&。

    3 网站的维护方式

    经过对ISA Server与IIS进行综合配置后，从Internet的用户只能浏览、搜索网站的内容，一般不能向网站上传程序、图片，以及黑客、木马的程序。当网站需要维护时，可以在局域网内，直接使用IP地址登录网站的后台进行维护，而在局域网外的用户，可以将ISA Server配置成VPN服务器、让远程客户端拨入ISA Server后，就和内网用户一样，直接用IP地址登录进入后台进行维护。