海运的博客

URLScan是一个IIS下的ISAPI 筛选器，它能够限制服务器将要处理的HTTP请求的类型。通过阻止特定的 HTTP 请求，URLScan 筛选器可以阻止可能有害的请求到达服务器并造成危害，URLScan可用于IIS7.5、IIS7、IIS6.
IIS7.5下需先安装IIS6元数据兼容性，官网下载：http://www.iis.net/download/urlscan
URLScan配置文件：C:\Windows\System32\inetsrv\urlscan\UrlScan.ini
配置文件详解：

UseAllowVerbs=1
; 允许的请求的HTTP类型;
; 如果设置为 1，则[AllowVerbs]生效;
; 如果设置为 0，则[AllowVerbs]生效。
UseAllowExtensions=0
; 允许请求的后缀类型;
; 如果设置为 0，则[DenyExtensions]生效;
; 如果设置为 1，则[AllowExtensions]生效。
NormalizeUrlBeforeScan=1
; 执行前标准化URL。
VerifyNormalization=1
; 双重标准化URL。
AllowHighBitCharacters=1
; 如果设置为 1，将允许URL中存在所有字节;
; 如果设置为 0，含有非ASCII字符的URL将拒绝(如UTF8或者MBCS)。
AllowDotInPath=0
; 如果设置为0，则URLScan 拒绝所有包含多个句点 (.) 的请求。
RemoveServerHeader=0
;设置为1可隐藏服务器信息。
AlternateServerName= 
; 如果将 RemoveServerHeader设为0，此可自定义服务器关信息。
; 如果将 RemoveServerHeader设为1，则此选项将被忽略。
EnableLogging=1
; 开启日志记录
PerProcessLogging=0 
; 如果设置为0，为每个进程创建日志文件。
PerDayLogging=1 
; 如果设置为 1，则URLScan每天创建一个新的日志文件。
AllowLateScanning=0 
; 如果设置为 0，则 URLScan 作为高优先级筛选器运行。
UseFastPathReject=0 
; 如果设置为 1，则 URLScan 忽略 RejectResponseUrl 设置并立即向浏览器返回 404 错误信息。
; 如果设置为 0，则 URLScan 使用 RejectResponseUrl 设置来返回请求。
RejectResponseUrl=
; 设置用于返回的Url路径

访问Mcafee产品下载页面：http://www.mcafee.com/cn/downloads/downloads.aspx
输入授权号：

3048901-NAI

2012.11.13更新：

5000636-NAI
5000363-NAI

2017.02.23更新:

6240017-NAI
6240018-NAI

进入下载页面，选择相应的版本下载：

黑客入侵windows服务器经常会用到新建用户、提权，用mcafee限制可严防此类事情的发生。
打开mcafee控制台——访问保护——属性——用户自定义规则——添加：
7.1更新，注册表限制/SAM/SAM/Domains/Account/Groups/**

防止修改或替换SAM文件：

新建用户测试：

之前有介绍Iptables下limit模块，此模块应用限制是全局的，connlimit就灵活了许多，针对每个IP做限制。
应用示例，注意不同的默认规则要使用不同的方法。
1.默认规则为DROP的情况下限制每个IP连接不超过10个

iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 80 -m connlimit ! --connlimit-above 10 -j ACCEPT

2.默认规则为ACCEPT的情况下限制每个IP连接不超过10个

iptables -P INPUT ACCEPT
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP

Iptables是有状态机制的防火墙，通过conntrack模块跟踪记录每个连接的状态，通过它可制定严密的防火墙规则。
可用状态机制：

NEW #新连接数据包
ESTABLISHED #已连接数据包
RELATED #和出有送的数据包
INVALID #无效数据包

conntrack默认最大跟踪65536个连接，查看当前系统设置最大连接数：

cat /proc/sys/net/ipv4/ip_conntrack_max 
#新版方法
cat /proc/sys/net/netfilter/nf_conntrack_max

查看当前跟踪连接数：

cat /proc/net/ip_conntrack|wc -l
#新版方法
cat /proc/net/nf_conntrack | wc -l

当服务器连接多于最大连接数时会出现kernel: ip_conntrack: table full, dropping packet的错误。
解决方法，修改conntrack最大跟踪连接数：

vim /etc/sysctl.conf #添加以下内容
net.ipv4.ip_conntrack_max = 102400
#以下为新版方法
net.netfilter.nf_conntrack_max=102400
net.nf_conntrack_max=102400

立即生效：

sysctl -p

为防止重启Iptables后变为默认，还需修改模块参数：

vim /etc/modprobe.conf #添加以下内容
options ip_conntrack hashsize=12800 #值为102400/8

一劳永逸的方法，设置Iptables禁止对连接数较大的服务进行跟踪：

iptables -A INPUT -m state --state UNTRACKED,ESTABLISHED,RELATED -j ACCEPT
iptables -t raw -A PREROUTING -p tcp --dport 80 -j NOTRACK
iptables -t raw -A OUTPUT -p tcp --sport 80 -j NOTRACK