如何: 向 ASP.NET Web 应用程序或 Web 服务下的锁定

文章翻译 文章翻译
文章编号: 815145 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本分步指南介绍了如何锁定 ASP.NET Web 应用程序或 Web 服务。web 应用程序常常是恶意攻击的目标。

有许多以减少与承载 Web 应用程序相关联的风险可以采取的步骤。在较高级别 ASP.NET 应用程序受益于相同的安全措施,作为常规的 Web 应用程序。但是,ASP.NET 文件扩展名以及使用的安全要求特殊的考虑因素。本文介绍了几个关键的机制来保护 ASP.NET Web 应用程序。

有关安全性的详细信息请访问下面的 Microsoft 网站:
http://www.microsoft.com/security

数据包筛选

在配置网络设备或防火墙程序的基于端口的数据包筛选时,ASP.NET 要求没有特殊的考虑因素。Internet 信息服务器 (IIS) 定义了 ASP.NET 用于通信的 TCP 端口号。默认状态下,ASP.NET 使用标准的 http 的 TCP 端口 80,并使用 TCP 端口 443 用于 HTTP SSL 加密。

应用程序层防火墙

如 Microsoft Internet 安全性和加速服务器的应用程序层防火墙可以分析传入的详细信息 Web 包括发出的 HTTP 命令,并为请求的文件的请求。 根据在的应用程序可能需要不同的文件类型。将 ASP.NET 客户端可能合法地请求具有以下文件扩展名,具体取决于应用程序功能的任何文件:
  • .ashx
  • .aspx
  • .asmx
  • .rem
  • .soap
在 ASP.NET 应用程序中包括的文件可以使用下面的文件扩展名。但是,防火墙应永远不会转发此类文件给最终用户。开发人员可能会根据在开发环境发出 Web 请求这些扩展:
  • .asax
  • .ascx
  • .asmx
  • .axd
  • .config
  • .cs
  • .csproj
  • .dll
  • .licx
  • .pdb
  • .rem
  • .resources
  • .resx
  • .soap
  • .vb
  • .vbproj
  • .vsdisco
  • .webinfo
  • .xsd
  • .xsx
您必须将防火墙配置为限制的 HTTP 类型可提交到 ASP.NET 应用程序的命令。专门,您必须从最终用户浏览器允许唯一的 GET、 HEAD,和 POST 命令。 开发人员可能还获得对其他 HTTP 命令的访问权限。

NTFS 安全

您可以有效地减少受攻击的个人信息的风险。若要执行此操作限制 NTFS 文件权限。默认状态下,ASPNET 用户帐户的上下文中运行 ASP.NET 应用程序。对于更高的安全性,您可以配置为 ASPNET 用户帐户的适当权限。

有关配置 NTFS 文件权限的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
815153如何: 配置安全的 ASP.NET 应用程序的 NTFS 文件权限

配置 URLScan

URLScan 是 Microsoft ISAPI 筛选器来提供更详细的筛选在 IIS 5.0 的服务器上的传入 Web 请求而设计的。URLScan 提供了一个的应用程序层防火墙的许多功能,并可以筛选基于文件名称的请求路径,和请求类型。URLScan 的安全工具有关的详细信息,请访问下面的 Microsoft 网站:
http://technet.microsoft.com/en-us/security/cc242650.aspx
关于 URLScan 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
815155如何: 配置 URLScan 对保护 ASP.NET Web 应用程序

配置 SQL Server 安全性

与一个 Microsoft SQL Server 通信的多个 ASP.NET 应用程序数据库。它是常见的恶意攻击数据库以使用 ASP.NET 应用程序,然后利用数据库管理员已授予应用程序的权限。若要提供此类攻击的防护的最大级别,配置您的数据库权限来限制 ASP.NET 向您授予的权限。只将最小的权限授予应用程序必须具有到函数。

例如对于限制 ASP.NET 能够读取仅那些视图、 表、 行和列的应用程序必须具有的权限访问到。应用程序不直接更新表,不要向授予 ASP.NET 提交更新权限。对于更高的安全性配置为 ASPNET 用户帐户适当的权限。

有关配置 SQL Server 的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
815154如何: 配置 SQL Server.net 应用程序的安全性

参考

有关详细的信息,请访问下面的 Microsoft 网站:
http://technet.microsoft.com/en-us/library/dd450372.aspx
有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
818014如何: 安全的基于.net 框架构建应用程序


属性

文章编号: 815145 - 最后修改: 2007年1月11日 - 修订: 4.5
这篇文章中的信息适用于:
  • Microsoft ASP.NET 1.0
  • Microsoft ASP.NET 1.1
关键字:?
kbmt kbwebservices kbwebserver kbwebforms kbconfig kbdeployment kbhowtomaster KB815145 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 815145
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com