pzg's blog

IIS使用10则

1. 自定义错误页 虽然自定义错误页很简单,但只有少数管理员有效地利用了它。管理员可以在MMC中将HTTP错误信息映射到服务器上的绝对URL或是某个文件,更为详细的信息可以在这里找到。如果你嫌这太麻烦,想要更简单的方法,或者你希望开发者自己定义错误页,同时又不想让他们具有使用MMC的权限,你可以使用类似Customer Error 这样的工具。
2. MetaBase研究
如果你认为Apache功能强大是因为它有一个配置文件,那么你应该看一看IIS的MetaBase有多棒。使用MetaBase,管理员可以完成关于IIS的所有工作,例如,建立一个虚拟目录;停止、启动或暂停Web站点;建立、删除、禁止或启用应用程序。微软提供了一个可视化工具MetaEdit帮助你读写MetaBase,你可以在这里下载它的最新版本。为了更有效地利用MetaBase,你应该试一下命令行界面—IIS Administration Script,简称为adsutil.vbs,你可以在C:\inetpub\adminscripts或者%SystemRoot%\system32\inetsrv\adminsamples目录下找到它。
注意:MetaBase对Web站点的正常工作非常重要,千万不要破坏它。切记:做任何修改前必须先备份。
3. 自动纠正URL的拼写错误
Apache的拥护者总是在吹嘘Apache的一些小功能,其中最酷的就数“自动纠正URL拼写错误”了,现在,IIS管理员也可以把玩这些小功能了,使用URLSpellCheck,自动纠正URL拼写错误小菜一碟。
4. 重写URLs
Apache的拥护者一直就吹嘘mod_rewrite的强大功能,现在,用于IIS的这类产品有一打那么多,很多比mod_rewrite要好用,因为使用mod_rewrite,你必须熟悉正则表达式。试一下:IISWrite或ISAPI rewrite。
5. 探测浏览器
假设浏览站点的每一个人都使用同一种浏览器或屏幕大小都一样显然是很愚蠢的,你可以使用javascript可以对访问者的浏览器进行检测。如果你使用的是IIS的话,你将会有更好的选择—Cyscape公司的BrowserHawk,Apache世界里没有与它相比较的产品。Cyscape公司最近推出了一款新产品叫CuntryHawk,它可以用于探测访问者所在的区域(国家)。很可惜,至今我还没有语言敏感或者区域敏感的内容需要使用它。
6. 站点内容压缩
IIS 5有一个内置的压缩功能,可说实在话,它简直就糟透了,使用pipeboost吧。
7. Web应用程序缓存
你可以为不同的文件或目录设置过期时间,打开IIS信息服务器,右击站点内容,单击属性,在跳出来的窗体中你就可以进行相应的设置了。如果你想让开发者自己设置,请使用CacheRight 、XCache这些软件。
有效地利用缓存是要花费一些时间和钱的,但当你看到访问量攀升,可站点日记因为没有数不清的304响应而变得很小,带宽流量也大大下降时,你就会体会到为什么必须这样做了。设置了良好缓存的站点不多,相反,关于它的好处的文章在网上却多如牛毛,去看一看这些:Brian Davidson’s page,Mark Nottingham,和 what AOL has to say 。
8. 调谐服务器
调谐服务器不是一个小题目,需要一本专著来说明它。在网上有一些很好的基础教程和帮助,比如Brett Hill和微软自己的Knowledge Base article 。当然,如果你不想花这些时间的话,用这个–XTune。
9. 加强站点的安全
现在攻击站点的人可真不少,但只要你愿意付出一点点的努力,你就不会是一个只会坐着挨打的傻瓜。找出你的服务器信息和操作系统信息是攻击者的第一个目标,所以,首先,不要暴露你的HTTP头让别人知道你运行的是IIS,使用 ServerMask这类软件将HTTP头删除或替换掉。其次,你可以通过删除不必要的文件扩展名来进一步伪装你的服务器环境。另外,你还可以扫描有问题的URL请求,微软为你提供了一个免费工具–URLScan。
10. 补丁,补丁,补丁!

《“IIS使用10则”》 有 1 条评论

  1. huangjun 的头像

    黑客老是喜欢改MetaBase文件

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注