补天IISWall防火墙用户手册

一、版本说明

1、域名版：
   凡是绑定域名的版本，可随意更换服务器主机和IP地址，只要域名不变，IISWall都将起防护作用。
  ★ 域名标准版：绑定全域名，比如：绑定www.iiswall.com.cn，则将只保护www.iiswall.com.cn而bbs.iiswall.com.cn等将不受保护。
  ★ 域名专业版：绑定域名，比如：绑定iiswall.com.cn，则*.iiswall.com.cn将均受保护。
  ★ 域名高级版：绑定域，比如：绑定iiswall，则*.iiswall.*将均受保护。
2、IP版：
   凡是绑定IP的版本，可随意更换域名，只要IP不变，IISWall都将起防护作用。
  ★ IP标准版：绑定全IP，比如：绑定192.168.0.1，则将只保护对应192.168.0.1的域名。
  ★ IP专业版：绑定10个IP，比如：绑定192.168.0.12?，则对应IP为192.168.0.120-129的域名都将受保护。
  ★ IP高级版：绑定255个IP，比如：绑定192.168.0.*，则对应IP为192.168.0.0-255的域名都将受保护。

--------------------------------------------------------------------------------

 二、配置说明

1、文件名配置
   ★ 您可以把iiswall.dll、iiswall.ini和iiswall.key放在任何目录，但它们必须放在同一目录。
   ★ 您可以把iiswall.dll重命名为abc.dll，但同时也必须把iiswall.ini和iiswall.key分别命名为abc.ini和abc.key。
   *技巧一：若您是域名版，为方便记忆您可以把iiswall.dll的文件名部分改为您的域名，比如：hackbase.com.dll。
   *技巧二：若您是IP版，您可以把iiswall.dll等文件按照域名不同放在不同的目录，则可对不同的域名分别进行保护。
2、 配置文件
   iiswall.ini是iiswall的默认配置文件，里面有iiswall的详细控制参数，下面逐一介绍。
   ★ [Global]节配置
   DisableProxy=1                         ' 禁止代理访问开关
   AntiCc=0                               ' 防CC攻击开关
   LinkProtect=0                          ' 防盗链保护开关
   UrlFilter=1                            ' URL过滤开关
   IpBlock=0                              ' IP阻塞开关
   TrustScript=0                          ' 可信脚本开关
   WebAdminPath="/iiswall/"               ' Web管理路径
   SecureKey="iiswall"                    ' IISWall的加密密匙
   TrustIp="202.102.224.68|202.99.8.1"    ' 允许可信的IP不受IISWall的各种安全功能限制
   本节是以下各种防护功能的总控制开关，1为启用，0为关闭，若设置为0，则下面的配置即便设置了也不起作用，WebAdminPath为Web管理目录，即IISWall的远程管理脚本需要放在此目录下，SecureKey为IISWall的加密密匙， 用于生成加密认证串和在线Web管理，一定要设置复杂防止被猜测；TrustIp设置的为可信IP，多个IP之间用“|”隔开，IISWall允许可信IP免受各种安全功能的限制。
   ★ [DisableProxy]节配置
   ProtectExt="*.asp|*.php"            ' 保护的扩展名
   ErrorPage="/DisableProxy.htm"       ' 错误转向页面
   以上配置意思是禁止用户通过代理服务器访问站的ASP和PHP脚本，否则将返回错误页，错误页可为任何有效的URL，比如：http://www.iiswall.com.cn/DisableProxy.htm。
   ★ [AntiCc]节配置
   ProtectExt="*.asp|*.php"            ' 保护的扩展名
   ★ [LinkProtect]节配置
   SessionExpired=180                             ' 加密认证串的有效秒数
   UserIpAuth=0                                   ' 对客户端IP进行认证
   AllowHost="www.iiswall.com.cn|192.168.0.1"     ' 授权可链接资源的网站
   ErrorPage="/antilink.htm"                      ' 错误转向页面
   ProtectDir1= "/images/"                        ' 标准盗链保护图片目录
   ProtectExt1= "*.gif|*.jpg"                     ' 需要保护的图片扩展名
   ProtectDir2= "/download/"                      ' 标准盗链保护下载目录
   ProtectExt2= "*.zip|*.rar"                     ' 需要保护的文件扩展名
   ProtectDir3= "/media/*"                        ' 高级盗链保护下载目录(高级模式1：只能在线播放媒体文件不能下载)
   ProtectExt3= "*.rm|*.wma|*.swf"                ' 需要保护的文件扩展名
   ProtectDir4= "/vip/#"                          ' 高级盗链保护下载目录(高级模式2：不经过数字串认证不允许下载)
   ProtectExt4= "*.zip|*.rar|*.iso"               ' 需要保护的文件扩展名
   ProtectDir5= "/client/@"                       ' 高级盗链保护下载目录(高级模式3：不放在动态目录中则不允许下载)
   ProtectExt5= "*.zip|*.rar|*.iso"               ' 需要保护的文件扩展名
   ProtectDir不以"*"、"#"或"@"符号结束时将启用标准防盗链模式，适合保护图片和资源文件不被非法盗链，此时将对保护目录下的指定扩展名进行盗链保护，非法盗链者将转到错误页面，用户可自行改变保护目录，保护目录的格式为"/xxx/xxx/"，即开始和终止必须为"/"，当ProtectDir目录后以*、#或@号结束时将启用高级防盗链模式，高级模式启用后，用户将无法直接下载保护目录中的特定扩展名文件，而必须由ASP、PHP或JSP等接口程序为用户生成特定的认证串才可访问，*为 高级模式一将在Cookies中存在类似"iiswall=xxxxxxxx"串,#为高级模式二将在地址：http://www.abc.com/vip/file.zip?iiswall=xxxxxxxx中，此认证串是由用户接口程序根据SecureKey及一些用户的特定信息混合按照一定算法产生，@为高级模式三使用动态目录技术，下载地址如：http://www.abc.com/@iis@xxxxxxxx@wall@/client/file.zip,动态目录串的产生同高级模式二。高级模式一适合保护只能在线播放不能下载的媒体文件， 高级模式二与高级模式三适合保护VIP会员区的资料文件，当然也可根据实际情况灵活运用。
   ★ [UrlFilter]节配置
   MaxQueryString=512               ' 最大查询串的长度
   ProtectExt="*.asp|*.php"         ' 保护的扩展名
   ErrorPage="/antihacker.htm"      ' 错误转向页面
   FilterStr1=" or"                 ' 过滤的串一
   FilterStr2=";"                   ' 过滤的串二
   FilterStr3="cmd.exe"             ' 过滤的串三
   FilterStr4="del"                 ' 过滤的串四
   FilterStr5="shell"               ' 过滤的串五
   MaxQueryString为紧跟脚本文件（如:show.asp?id=231）后“？”后面的参数串总长度，限制该串长度可有效防护缓冲溢出攻击和恶意注入访问；FilterExtN为受保护的扩展名，FilterStrN为需要过滤的恶意攻击串，将检查到恶意攻击时将转到指定的错误页面。
   ★ [IpBlock]节配置
   IpFile="iplist.txt"
  iplist.txt为需要阻塞的IP列表,此文件可自行指定文件名，但必须 与IISWALL放在同一目录，文件内不可有空行，文件格式如下：
   192.168.0.4  '将阻塞192.168.0.4
   192.168.0.   '将阻塞一个C类192.168.0.*
   59.          '将阻塞A类以59开头的IP
   ★ [TrustScript]节配置
   ProtectExt="*.asp|*.php"
   ScriptFile="script.txt"
   ScriptExt为可信的脚本扩展名，不包含的将不受保护，ScriptFile为存放脚本路径的脚本文件，只有调用的脚本路径与文件中设定的匹配才允许执行，有效禁止Web木马的执行。ScriptFile格式为：
   /index.asp
   /show.asp
   /admin/index.asp
   /admin/user.asp
   ......

--------------------------------------------------------------------------------

  三、应用示例

1、安全需求
   ★ 因为总有国外用户通过代理恶意发贴故禁止代理访问。
   ★ 有人用CC攻击刷我的ASP论坛导致论坛无法访问。
   ★ 防止黑客通过SQL注入等手段通过Web上传木马等恶意程序。
   ★ 对论坛的上传文件zip和rar进行保护，必须认证后才可下载。
   ★ 禁止10段和IP为64.128开头的IP访问我的论坛。
2、安全配置
   [Global]
   DisableProxy=1
   AntiCc=1
   LinkProtect=1
   UrlFilter=1  
   IpBlock=1
   SecureKey="123456"
   [DisableProxy]
   ProtectExt="*.asp"
   ErrorPage="/DisableProxy.htm"
   [AntiCc]
   ProtectExt="*.asp"
   [LinkProtect]
   ErrorPage="/antilink.htm"
   ProtectDir1= "/upload/attachment/#"
   ProtectExt1="*.zip|*.rar"
   [UrlFilter]
   MaxQueryString=256
   ProtectExt="*.asp"
   ErrorPage="/antihacker.htm"
   FilterStr1=" or"
   FilterStr2=";"
   FilterStr3="cmd.exe"
   FilterStr4="--"
   FilterStr5="shell"
   [IpBlock]
   FileName=iplist.txt
   iplist.txt文件内容如下：
   10.
   64.128.
   同时在downfile.asp中添加一行<!-- #include file="iiswall.asp"-->代码，并在合适位置调用GetSid()函数即可。

 四、Web管理

1、配置设定
(1) 设定iiswall.ini文件中的WebAdminPath为"iiswall"。
(2) 设定Admin管理目录中的文件config.asp的SecureKey与iiswall.ini文件中的SecureKey一致。
(3) 设定Admin管理目录中的文件config.asp的InstallDir为"c:\iiswall"。
2、目录映射
(1) 在网站下建立虚拟目录为iiswall，映射到管理目录c:\iiswall\admin，注意需要asp执行权限。
(2) 若不映射的话，可在网站根目录下建立iiswall目录，然后把管理目录admin中的代码复制过来亦可。
3、Web管理
浏览http://www.abc.com/iiswall/index.asp 即可，默认用户名和密码都为iiswall
　
安全提醒：建议用户设定自己的WebAdminPath、SecureKey及Web管理员账号和密码。

 五、联系我们

IISWALL事业部
北京补天信息科技有限公司
总部地址： 北京市德胜门西大街15号远洋大厦
联系电话： 010-51661195
传真电话： 010-51661195
服务OICQ： 47000163