如何防止端口 80 和 443 上的入站恶意网站威胁?

How can I protect against inbound malicious website threats on port 80 and 443?

我们有一个 Web 应用程序,它位于带有 IIS 的 windows 服务器上的端口 80 和 443 上。
其他一切都被锁定。带 VPN 的物理防火墙。

  1. 像这样通过 Web 端口进行的攻击的名称是什么?

  2. 如果没有保护措施,这些类型的恶意软件负载是否能够在服务器上执行?

  3. 如何防止 IIS 对端口 80 和 443 进行以下类型的攻击?

(这里我们使用了 malwarebytes,但如果可能的话,我想要一些可以集中报告多个服务器的东西)

它们看起来像是那种如果您点击错误 link 就会收到警告的恶意软件,但在这种情况下,您无需点击任何东西它们就会进入。

据我所知,通过配置来保护iis web服务器的方法有很多,例如:

1.Useend-to-end加密

  • 如果您的网站前面有反向代理 and/or 负载均衡器 服务器,更喜欢使用 SSL-bridging 而不是 SSL-offloading
  • 禁用比 TLS 1.2
    • 更旧的 SSL/TLS 版本
  • 禁用弱密码套装
  • SSL/TLS 和 cypher suit 设置是 server-wide 设置,IIS 支持 OS 支持的任何内容。但是,对于 .NET 应用程序 查看以下文章:

.NET Framework 的传输层安全 (TLS) 最佳实践:

https://docs.microsoft.com/en-us/dotnet/framework/network-programming/tls

2.Configure“请求过滤”:

  • “允许未列出的文件扩展名”:取消选中(仅允许您将使用的扩展名;添加“.”以允许无扩展名的请求)

  • “允许未列出的动词”:取消选中(仅允许您将使用的动词)

  • 尽可能降低“请求限制”

    请求过滤

https://docs.microsoft.com/en-us/iis/configuration/system.webserver/security/requestfiltering/

3.Remove HTTP headers 标识服务器和应用程序。这些 headers 被认为会导致安全漏洞:

  • 删除ServerHeader

https://docs.microsoft.com/en-us/iis/configuration/system.webserver/security/requestfiltering/#new-in-iis-100

  • 删除不需要的 HTTP 响应Headers

https://techcommunity.microsoft.com/t5/iis-support-blog/remove-unwanted-http-response-headers/ba-p/369710

更多方法可以参考这个link:https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/iis-best-practices/ba-p/1241577