Фильтрация правил <фильтрации запросовRules>
Общие сведения
Элемент <filteringRules> задает коллекцию настраиваемых правил фильтрации запросов. Этот элемент позволяет администраторам создавать настраиваемые правила фильтрации для своего сервера, расширяющие основные функциональные возможности функции фильтрации запросов.
Каждый <filteringRule> элемент задает коллекцию настраиваемых атрибутов и элементов, которые определяют поведение фильтрации запросов на основе определяемых пользователем критериев. Например, каждое правило фильтрации запросов может содержать следующие атрибуты:
denyUnescapedPercent— Этот атрибут указывает, должна ли фильтрация запросов отклонять запрос, если он содержит символы процента, которые не экранированы.scanAllRaw— этот атрибут указывает, должна ли фильтрация запросов сканировать необработанные заголовки для строк, указанных в элементеdenyStrings.scanQueryString— этот атрибут указывает, должна ли фильтрация запросов сканировать строку запроса на наличие строк, указанных в элементеdenyStrings.unescapeQueryStringЕсли для атрибута<requestFiltering>элемента задано значение true, будет выполнено два сканирования строки запроса: одно сканирование с необработанной строкой запроса и второе сканирование с неэкранированной строкой запроса.scanUrl— Этот атрибут указывает, должна ли фильтрация запросов сканировать URL-адрес для строк, указанных в элементеdenyStrings.
Кроме того, каждое правило фильтрации запросов может содержать следующие дочерние элементы:
<appliesTo>— указывает список расширений имен файлов, к которым применяется правило фильтрации запросов.Примечание
Если этот раздел пуст, правило применяется ко всем запросам.
<denyStrings>— указывает список строк, которые необходимо запретить для правила фильтрации запросов.<scanHeaders>— указывает список заголовков HTTP для проверки.
Примечание
Когда фильтрация запросов блокирует HTTP-запрос из-за правила фильтрации, IIS 7 возвращает клиенту ошибку HTTP 404 и регистрирует следующее состояние HTTP с уникальным подсостояние, определяющее причину отклонения запроса:
| Подсостояние HTTP | Описание |
|---|---|
404.19 |
Отклонено правилом фильтрации |
Это подсостояние позволяет веб-администраторам анализировать журналы IIS и выявлять потенциальные угрозы.
Совместимость
| Версия | Примечания |
|---|---|
| IIS 10.0 | Элемент <filteringRules> не был изменен в IIS 10.0. |
| IIS 8,5 | Элемент <filteringRules> не был изменен в IIS 8.5. |
| IIS 8,0 | Элемент <filteringRules> не был изменен в IIS 8.0. |
| IIS 7,5 | Элемент <filteringRules> входит в <requestFiltering> состав iis 7.5. |
| IIS 7.0 | Элемент <filteringRules><requestFiltering> элемента был представлен в качестве обновления для IIS 7.0, доступного в статье базы знаний Майкрософт 957508 (https://support.microsoft.com/kb/957508). |
| IIS 6,0 | Элемент <filteringRules> примерно аналогичен функции RuleList , добавленной в URLScan 3.0. |
Настройка
Установка iis 7 и более поздних версий по умолчанию включает в себя службу или функцию роли фильтрации запросов. Если служба или компонент роли фильтрации запросов удалены, его можно переустановить, выполнив следующие действия.
Windows Server 2012 или Windows Server 2012 R2
- На панели задач щелкните Диспетчер сервера.
- В диспетчер сервера откройте меню Управление и выберите пункт Добавить роли и компоненты.
- В мастере добавления ролей и компонентов нажмите кнопку Далее. Выберите тип установки и нажмите кнопку Далее. Выберите целевой сервер и нажмите кнопку Далее.
- На странице Роли сервера разверните узел Веб-сервер (IIS),веб-сервер, безопасность, а затем выберите Фильтрация запросов. Щелкните Далее.
. - На странице Выбор компонентов нажмите кнопку Далее.
- На странице Подтверждение выбранных элементов для установки нажмите кнопку Установить.
- На странице Результаты нажмите кнопку Закрыть.
Windows 8 или Windows 8.1
- На начальном экране переместите указатель в левый нижний угол, щелкните правой кнопкой мыши кнопку Пуск и выберите пункт панель управления.
- В панель управления щелкните Программы и компоненты, а затем — Включить или выключить компоненты Windows.
- Разверните узлы Службы IIS, Службы Интернета, Безопасность, а затем выберите Фильтрация запросов.
- Нажмите кнопку ОК.
- Щелкните Закрыть.
Windows Server 2008 или Windows Server 2008 R2
- На панели задач нажмите кнопку Пуск, наведите указатель мыши на пункт Администрирование, а затем щелкните диспетчер сервера.
- В области иерархии диспетчер сервера разверните узел Роли, а затем щелкните Веб-сервер (IIS) .
- В области Веб-сервер (IIS) прокрутите страницу до раздела Службы ролей и щелкните Добавить службы ролей.
- На странице Выбор служб ролеймастера добавления служб ролей выберите Фильтрация запросов и нажмите кнопку Далее.
- На странице Подтверждение выбранных элементов для установки нажмите кнопку Установить.
- На странице Результаты нажмите кнопку Закрыть.
Windows Vista или Windows 7
- На панели задач нажмите кнопку Пуск, а затем выберите пункт панель управления.
- В панель управления щелкните Программы и компоненты, а затем — Включить или отключить компоненты Windows.
- Разверните узел Службы IIS, Затем — Службы Интернета, а затем — Безопасность.
- Выберите Фильтрация запросов и нажмите кнопку ОК.
Инструкции
Добавление правила фильтрации запросов
Откройте диспетчер служб IIS.
Если вы используете Windows Server 2012 или Windows Server 2012 R2:
- На панели задач щелкните диспетчер сервера, инструменты, а затем диспетчер служб IIS.
Если вы используете Windows 8 или Windows 8.1:
- Удерживая нажатой клавишу Windows, нажмите букву X и щелкните панель управления.
- Щелкните Администрирование, а затем дважды щелкните диспетчер служб IIS.
Если вы используете Windows Server 2008 или Windows Server 2008 R2:
- На панели задач нажмите кнопку Пуск, наведите указатель на пункт Администрирование, а затем щелкните Диспетчер служб IIS.
Если вы используете Windows Vista или Windows 7:
- На панели задач нажмите кнопку Пуск, а затем выберите пункт панель управления.
- Дважды щелкните элемент Администрирование, а затем дважды щелкните диспетчер служб IIS.
В области Подключения перейдите к сайту, приложению или каталогу, для которых требуется настроить фильтрацию запросов.
В области Главная дважды щелкните Фильтрация запросов.
В области Фильтрация запросов перейдите на вкладку Правила .
В области Действия щелкните Добавить правило фильтрации.
Введите следующие сведения для правила фильтрации в диалоговом окне Добавление правила фильтрации :
- Введите понятное имя правила фильтрации в поле Имя .
- Выберите Проверить URL-адрес , если вы хотите, чтобы правило фильтрации сканирует заглушку URL-адреса для запроса.
- Выберите Сканировать строку запроса , если вы хотите, чтобы правило фильтрации сканирует строку запроса для запроса.
- Введите все http-заголовки для проверки в коллекции Заголовки сканирования .
- Введите расширения имен файлов для использования с правилом фильтрации в коллекции Applies To (Применяется к ).
- Введите коллекцию строк, которые необходимо запретить для правила фильтрации в коллекции Запретить строки .
Нажмите кнопку ОК , чтобы закрыть диалоговое окно Добавление правила фильтрации .
Конфигурация
Элемент <filteringRules><requestFiltering> элемента настраивается на уровне сайта, приложения или каталога.
Атрибуты
Отсутствует.
Дочерние элементы
| Элемент | Описание |
|---|---|
filteringRule |
Необязательный элемент. Добавляет правило в коллекцию настраиваемых правил фильтрации запросов. |
Образец конфигурации
В следующем примере показан <requestFiltering> элемент , который использует <denyStrings>элементы , <appliesTo>и <scanHeaders> для определения правила фильтрации запросов, которое предотвращает кражу изображений (пиявку) для определенного агента пользователя.
<requestFiltering>
<filteringRules>
<filteringRule name="Block Image Leeching" scanUrl="false" scanQueryString="false" scanAllRaw="false">
<scanHeaders>
<add requestHeader="User-agent" />
</scanHeaders>
<appliesTo>
<add fileExtension=".gif" />
<add fileExtension=".jpg" />
<add fileExtension=".png" />
</appliesTo>
<denyStrings>
<add string="leech-bot" />
</denyStrings>
</filteringRule>
</filteringRules>
</requestFiltering>
В следующем примере показан <requestFiltering> элемент, определяющий правило фильтрации запросов, которое предотвращает атаки путем внедрения кода SQL путем запрета коллекции текстовых строк в строках запроса, которые часто используются при атаках путем внедрения кода SQL.
<requestFiltering>
<filteringRules>
<filteringRule name="SQLInjection" scanUrl="false" scanQueryString="true">
<appliesTo>
<clear />
<add fileExtension=".asp" />
<add fileExtension=".aspx" />
<add fileExtension=".php" />
</appliesTo>
<denyStrings>
<clear />
<add string="--" />
<add string=";" />
<add string="/*" />
<add string="@" />
<add string="char" />
<add string="alter" />
<add string="begin" />
<add string="cast" />
<add string="create" />
<add string="cursor" />
<add string="declare" />
<add string="delete" />
<add string="drop" />
<add string="end" />
<add string="exec" />
<add string="fetch" />
<add string="insert" />
<add string="kill" />
<add string="open" />
<add string="select" />
<add string="sys" />
<add string="table" />
<add string="update" />
</denyStrings>
<scanHeaders>
<clear />
</scanHeaders>
</filteringRule>
</filteringRules>
</requestFiltering>
Пример кода
В следующих примерах показано, как использовать <denyStrings>элементы , <appliesTo>и <scanHeaders> для добавления правила фильтрации запросов для веб-сайта по умолчанию, которое предотвращает кражу изображений (пиявку) для определенного агента пользователя. Ниже приведен сценарий для этого примера: если вы обнаружили, что изображения на веб-сайте извлекались определенным агентом пользователя, можно создать правило фильтрации запросов, которое запрещает доступ к файлам изображений для этого конкретного агента пользователя. В этом конкретном примере правило фильтрации запросов выполняет поиск строки "leech-bot" в заголовке агента пользователя HTTP и запрещает доступ к ФАЙЛАм GIF, JPG и PNG, если заголовок user-agent содержит строку поиска.
AppCmd.exe
appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"filteringRules.[name='Block Image Leeching',scanUrl='False',scanQueryString='False',scanAllRaw='False']"
appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"filteringRules.[name='Block Image Leeching'].scanHeaders.[requestHeader='User-agent']"
appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"filteringRules.[name='Block Image Leeching'].appliesTo.[fileExtension='.gif']"
appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"filteringRules.[name='Block Image Leeching'].appliesTo.[fileExtension='.jpg']"
appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"filteringRules.[name='Block Image Leeching'].appliesTo.[fileExtension='.png']"
appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"filteringRules.[name='Block Image Leeching'].denyStrings.[string='leech-bot']"
PowerShell
Start-IISCommitDelay
$filteringRules = Get-IISConfigSection -CommitPath 'Default Web Site' -SectionPath 'system.webServer/security/requestFiltering' | Get-IISConfigCollection -CollectionName 'filteringRules'
New-IISConfigCollectionElement -ConfigCollection $filteringRules -ConfigAttribute @{ 'name' = 'Block Image Leeching'; 'scanUrl' = $false; 'scanQueryString' = $false; 'scanAllRaw' = $false; }
$Rule = Get-IISConfigCollectionElement -ConfigCollection $filteringRules -ConfigAttribute @{ 'name' = 'Block Image Leeching' }
$ruleScanHeaders = Get-IISConfigCollection -ConfigElement $Rule -CollectionName 'scanHeaders'
New-IISConfigCollectionElement -ConfigCollection $ruleScanHeaders -ConfigAttribute @{ 'requestHeader' = 'User-Agent' }
$ruleAppliesTo = Get-IISConfigCollection -ConfigElement $Rule -CollectionName 'appliesTo'
New-IISConfigCollectionElement -ConfigCollection $ruleAppliesTo -ConfigAttribute @{ 'fileExtension' = '.gif' }
New-IISConfigCollectionElement -ConfigCollection $ruleAppliesTo -ConfigAttribute @{ 'fileExtension' = '.jpg' }
New-IISConfigCollectionElement -ConfigCollection $ruleAppliesTo -ConfigAttribute @{ 'fileExtension' = '.png' }
$ruleDenyStrings = Get-IISConfigCollection -ConfigElement $Rule -CollectionName 'denyStrings'
New-IISConfigCollectionElement -ConfigCollection $ruleDenyStrings -ConfigAttribute @{ 'string' = 'leech-bot' }
Stop-IISCommitDelay
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetWebConfiguration("Default Web Site");
ConfigurationSection requestFilteringSection = config.GetSection("system.webServer/security/requestFiltering");
ConfigurationElementCollection filteringRulesCollection = requestFilteringSection.GetCollection("filteringRules");
ConfigurationElement filteringRuleElement = filteringRulesCollection.CreateElement("filteringRule");
filteringRuleElement["name"] = @"Block Image Leeching";
filteringRuleElement["scanUrl"] = false;
filteringRuleElement["scanQueryString"] = false;
filteringRuleElement["scanAllRaw"] = false;
ConfigurationElementCollection scanHeadersCollection = filteringRuleElement.GetCollection("scanHeaders");
ConfigurationElement addElement = scanHeadersCollection.CreateElement("add");
addElement["requestHeader"] = @"User-agent";
scanHeadersCollection.Add(addElement);
ConfigurationElementCollection appliesToCollection = filteringRuleElement.GetCollection("appliesTo");
ConfigurationElement addElement1 = appliesToCollection.CreateElement("add");
addElement1["fileExtension"] = @".gif";
appliesToCollection.Add(addElement1);
ConfigurationElement addElement2 = appliesToCollection.CreateElement("add");
addElement2["fileExtension"] = @".jpg";
appliesToCollection.Add(addElement2);
ConfigurationElement addElement3 = appliesToCollection.CreateElement("add");
addElement3["fileExtension"] = @".png";
appliesToCollection.Add(addElement3);
ConfigurationElementCollection denyStringsCollection = filteringRuleElement.GetCollection("denyStrings");
ConfigurationElement addElement4 = denyStringsCollection.CreateElement("add");
addElement4["string"] = @"leech-bot";
denyStringsCollection.Add(addElement4);
filteringRulesCollection.Add(filteringRuleElement);
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetWebConfiguration("Default Web Site")
Dim requestFilteringSection As ConfigurationSection = config.GetSection("system.webServer/security/requestFiltering")
Dim filteringRulesCollection As ConfigurationElementCollection = requestFilteringSection.GetCollection("filteringRules")
Dim filteringRuleElement As ConfigurationElement = filteringRulesCollection.CreateElement("filteringRule")
filteringRuleElement("name") = "Block Image Leeching"
filteringRuleElement("scanUrl") = False
filteringRuleElement("scanQueryString") = False
filteringRuleElement("scanAllRaw") = False
Dim scanHeadersCollection As ConfigurationElementCollection = filteringRuleElement.GetCollection("scanHeaders")
Dim addElement As ConfigurationElement = scanHeadersCollection.CreateElement("add")
addElement("requestHeader") = "User-agent"
scanHeadersCollection.Add(addElement)
Dim appliesToCollection As ConfigurationElementCollection = filteringRuleElement.GetCollection("appliesTo")
Dim addElement1 As ConfigurationElement = appliesToCollection.CreateElement("add")
addElement1("fileExtension") = ".gif"
appliesToCollection.Add(addElement1)
Dim addElement2 As ConfigurationElement = appliesToCollection.CreateElement("add")
addElement2("fileExtension") = ".jpg"
appliesToCollection.Add(addElement2)
Dim addElement3 As ConfigurationElement = appliesToCollection.CreateElement("add")
addElement3("fileExtension") = ".png"
appliesToCollection.Add(addElement3)
Dim denyStringsCollection As ConfigurationElementCollection = filteringRuleElement.GetCollection("denyStrings")
Dim addElement4 As ConfigurationElement = denyStringsCollection.CreateElement("add")
addElement4("string") = "leech-bot"
denyStringsCollection.Add(addElement4)
filteringRulesCollection.Add(filteringRuleElement)
serverManager.CommitChanges()
End Sub
End Module
JavaScript
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site";
var requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var filteringRulesCollection = requestFilteringSection.ChildElements.Item("filteringRules").Collection;
var filteringRuleElement = filteringRulesCollection.CreateNewElement("filteringRule");
filteringRuleElement.Properties.Item("name").Value = "Block Image Leeching";
filteringRuleElement.Properties.Item("scanUrl").Value = false;
filteringRuleElement.Properties.Item("scanQueryString").Value = false;
filteringRuleElement.Properties.Item("scanAllRaw").Value = false;
var scanHeadersCollection = filteringRuleElement.ChildElements.Item("scanHeaders").Collection;
var addElement = scanHeadersCollection.CreateNewElement("add");
addElement.Properties.Item("requestHeader").Value = "User-agent";
scanHeadersCollection.AddElement(addElement);
var appliesToCollection = filteringRuleElement.ChildElements.Item("appliesTo").Collection;
var addElement1 = appliesToCollection.CreateNewElement("add");
addElement1.Properties.Item("fileExtension").Value = ".gif";
appliesToCollection.AddElement(addElement1);
var addElement2 = appliesToCollection.CreateNewElement("add");
addElement2.Properties.Item("fileExtension").Value = ".jpg";
appliesToCollection.AddElement(addElement2);
var addElement3 = appliesToCollection.CreateNewElement("add");
addElement3.Properties.Item("fileExtension").Value = ".png";
appliesToCollection.AddElement(addElement3);
var denyStringsCollection = filteringRuleElement.ChildElements.Item("denyStrings").Collection;
var addElement4 = denyStringsCollection.CreateNewElement("add");
addElement4.Properties.Item("string").Value = "leech-bot";
denyStringsCollection.AddElement(addElement4);
filteringRulesCollection.AddElement(filteringRuleElement);
adminManager.CommitChanges();
VBScript
Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site"
Set requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set filteringRulesCollection = requestFilteringSection.ChildElements.Item("filteringRules").Collection
Set filteringRuleElement = filteringRulesCollection.CreateNewElement("filteringRule")
filteringRuleElement.Properties.Item("name").Value = "Block Image Leeching"
filteringRuleElement.Properties.Item("scanUrl").Value = False
filteringRuleElement.Properties.Item("scanQueryString").Value = False
filteringRuleElement.Properties.Item("scanAllRaw").Value = False
Set scanHeadersCollection = filteringRuleElement.ChildElements.Item("scanHeaders").Collection
Set addElement = scanHeadersCollection.CreateNewElement("add")
addElement.Properties.Item("requestHeader").Value = "User-agent"
scanHeadersCollection.AddElement(addElement)
Set appliesToCollection = filteringRuleElement.ChildElements.Item("appliesTo").Collection
Set addElement1 = appliesToCollection.CreateNewElement("add")
addElement1.Properties.Item("fileExtension").Value = ".gif"
appliesToCollection.AddElement(addElement1)
Set addElement2 = appliesToCollection.CreateNewElement("add")
addElement2.Properties.Item("fileExtension").Value = ".jpg"
appliesToCollection.AddElement(addElement2)
Set addElement3 = appliesToCollection.CreateNewElement("add")
addElement3.Properties.Item("fileExtension").Value = ".png"
appliesToCollection.AddElement(addElement3)
Set denyStringsCollection = filteringRuleElement.ChildElements.Item("denyStrings").Collection
Set addElement4 = denyStringsCollection.CreateNewElement("add")
addElement4.Properties.Item("string").Value = "leech-bot"
denyStringsCollection.AddElement(addElement4)
filteringRulesCollection.AddElement(filteringRuleElement)
adminManager.CommitChanges()