默認(rèn)情況下，此選項(xiàng)設(shè)置為 0。如果將此選項(xiàng)設(shè)置為 0，則 URLScan 作為高優(yōu)先級篩選器運(yùn)行，這表示它先于服務(wù)器上安裝的所有其他 Internet 服務(wù)器應(yīng)用程序編程接口 (ISAPI) 篩選器執(zhí)行。如果將此選項(xiàng)設(shè)置為 1，則 URLScan 作為低優(yōu)先級篩選器運(yùn)行，以便其他篩選器可以在 URLScan 進(jìn)行任何分析之前修改 URL。FrontPage Server Extensions (FPSE) 要求將此選項(xiàng)設(shè)置為 1。 
? RejectResponseUrl=（默認(rèn)情況下不指定）

此選項(xiàng)指定在 URLScan 禁止請求時運(yùn)行的文件的虛擬路徑。這允許您自定義針對被禁止的請求發(fā)送給客戶機(jī)的響應(yīng)。必須將 RejectResponseUrl 指定為相應(yīng)文件的虛擬路徑，如 /Path/To/RejectResponseHandler.asp。可以指定 URLScan 通常禁止的文件，如 Active Server Pages (ASP) 頁。還可以從該頁指定以下服務(wù)器變量： ? HTTP_URLSCAN_STATUS_HEADER：此變量指定請求被禁止的原因。 
? HTTP_URLSCAN_ORIGINAL_VERB：此變量指定被禁止的請求中的原始謂詞（例如 GET、POST、HEAD 或 DEBUG）。 
? HTTP_URLSCAN_ORIGINAL_URL：此變量指定被禁止的請求中的原始 URL。 
如果將 RejectResponseUrl 設(shè)置為特殊值 /~*，則 URLScan 使用“僅日志記錄”模式。這允許 IIS 為所有請求提供服務(wù)，但它會在 URLScan 日志中為所有通常被禁止的請求添加相應(yīng)的項(xiàng)。這在需要測試 URLScan.ini 文件時很有用。

如果沒有指定 RejectResponseUrl 的值，則 URLScan 使用默認(rèn)值 /<Rejected-By-UrlScan>。

 
? UseFastPathReject=0

默認(rèn)情況下，此選項(xiàng)設(shè)置為 0。如果將此選項(xiàng)設(shè)置為 1，則 URLScan 忽略 RejectResponseUrl 設(shè)置并立即向?yàn)g覽器返回 404 錯誤信息。這比處理 RejectResponseUrl 要快，但它允許的日志記錄選項(xiàng)沒有那么多。如果將此選項(xiàng)設(shè)置為 0，則 URLScan 使用 RejectResponseUrl 設(shè)置來處理請求。 

[AllowVerbs] 節(jié)和 [DenyVerbs] 節(jié)
[AllowVerbs] 節(jié)和 [DenyVerbs] 節(jié)定義 URLScan 允許的 HTTP 謂詞（又稱作方法）。常用的 HTTP 謂詞包括 GET、POST、HEAD 和 PUT。其他應(yīng)用程序（如 FPSE 和 Web 分布式創(chuàng)作和版本控制 (WebDAV)）使用更多的謂詞。

[AllowVerbs] 節(jié)和 [DenyVerbs] 節(jié)的語法相同。它們由 HTTP 謂詞列表組成，每個謂詞占一行。

URLScan 根據(jù) [Options] 節(jié)中 UseAllowVerbs 選項(xiàng)的值來決定使用哪一節(jié)。默認(rèn)情況下，此選項(xiàng)設(shè)置為 1。如果將 UseAllowVerbs 設(shè)置為 1，則 URLScan 僅允許那些使用 [AllowVerbs] 節(jié)中列出的謂詞的請求。不使用任何這些謂詞的請求將被拒絕。在這種情況下，[DenyVerbs] 節(jié)被忽略。

如果將 UseAllowVerbs 設(shè)置為 0，則 URLScan 拒絕那些使用 [DenyVerbs] 節(jié)中明確列出的謂詞的請求。允許任何使用未在此節(jié)中出現(xiàn)的謂詞的請求。在這種情況下，URLScan 忽略 [AllowVerbs] 節(jié)。


[DenyHeaders] 節(jié)
當(dāng)客戶機(jī)向 Web 服務(wù)器請求頁面時，它通常會發(fā)送一些包含有關(guān)此請求的其他信息的 HTTP 標(biāo)頭。常見的 HTTP 標(biāo)頭包括： ? Host:

此標(biāo)頭包含 Web 服務(wù)器的名稱。 
? Accept:

此標(biāo)頭定義客戶機(jī)可以處理的文件類型。 
? User-Agent:

此標(biāo)頭包含請求頁面的瀏覽器的名稱。 
? Authorization:

此標(biāo)頭定義客戶機(jī)支持的身份驗(yàn)證方法。 
客戶機(jī)可能會向服務(wù)器發(fā)送其他標(biāo)頭以指定其他信息。

在 [DenyHeaders] 節(jié)中，您定義 URLScan 將拒絕的 HTTP 標(biāo)頭。如果 URLScan 收到的請求中包含此節(jié)中列出的任何標(biāo)頭，它將拒絕該請求。此節(jié)由 HTTP 標(biāo)頭列表組成，每個標(biāo)頭占一行。標(biāo)頭名后面必須跟一個冒號 (:)（例如 Header-Name:）。


[AllowExtensions] 節(jié)和 [DenyExtensions] 節(jié)
大多數(shù)文件都有一個標(biāo)識其文件類型的文件擴(kuò)展名。例如，Word 文檔的文件名一般以 .doc 結(jié)束，HTML 文件名一般以 .htm 或 .html 結(jié)束，純文本文件名一般以 .txt 結(jié)束。[AllowExtensions] 節(jié)和 [DenyExtensions] 節(jié)允許您定義 URLScan 將禁止的擴(kuò)展名。例如，您可以配置 URLScan 以拒絕對 .exe 文件的請求，防止 Web 用戶在您的系統(tǒng)上執(zhí)行應(yīng)用程序。

[AllowExtensions] 節(jié)和 [DenyExtensions] 節(jié)的語法相同。它們由文件擴(kuò)展名列表組成，每個擴(kuò)展名占一行。擴(kuò)展名以句點(diǎn) (.) 開頭（例如 .ext）。

URLScan 根據(jù) [Options] 節(jié)中 UseAllowExtensions 的值來決定使用哪一節(jié)。默認(rèn)情況下，此選項(xiàng)設(shè)置為 0。如果將 UseAllowExtensions 設(shè)置為 0，則 URLScan 僅拒絕對 [DenyExtensions] 節(jié)中列出的文件擴(kuò)展名的請求。允許此節(jié)中未列出的任何文件擴(kuò)展名。[AllowExtensions] 節(jié)被忽略。

如果將 UseAllowExtensions 設(shè)置為 1，則 URLScan 拒絕對 [AllowExtensions] 節(jié)中未明確列出的任何文件擴(kuò)展名的請求。僅允許對此節(jié)中列出的文件擴(kuò)展名的請求。[DenyExtensions] 節(jié)被忽略。

有關(guān)如何配置 URLScan 以允許對沒有擴(kuò)展名的文件的請求的其他信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應(yīng)的文章： 
312376 (http://support.microsoft.com/kb/312376/) 如何配置 URLScan 以在 IIS 中允許使用空擴(kuò)展名的請求 
[DenyUrlSequences] 節(jié)
可以配置 URLScan 以禁止那些 URL 中包含某些字符序列的請求。例如，可以禁止那些包含兩個連續(xù)句點(diǎn) (..) 的請求，利用目錄遍歷漏洞的攻擊中經(jīng)常采用這種手段。要指定一個想要禁止的字符序列，請將此序列單獨(dú)放在 [DenyUrlSequences] 節(jié)中的一行上。

請注意，添加字符序列可能會對 Microsoft Exchange 的 Outlook Web Access (OWA) 產(chǎn)生負(fù)面影響。當(dāng)您從 OWA 打開一個郵件時，該郵件的主題行包含在服務(wù)器所請求的 URL 中。由于 URLScan.ini 文件禁止任何包含百分號 (%) 和連字符 (&) 的請求，因此，當(dāng)用戶嘗試打開主題行為“Sales increase by 100%”或“Bob & Sue are coming to town”的郵件時，會收到 404 錯誤信息。要解決此問題，可以從 [DenyUrlSequences] 節(jié)中刪除這些序列。請注意，這樣做會降低安全性，因?yàn)樗锌赡茉试S危險的請求到達(dá)服務(wù)器。 

有關(guān)其他信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應(yīng)的文章： 
325965 (http://support.microsoft.com/kb/325965/) URLScan 工具可能會導(dǎo)致 Outlook Web Access 中出現(xiàn)問題 
回到頂端

配置 URLScan 用于依賴于 IIS 的應(yīng)用程序
Exchange、FPSE 和 Microsoft Visual Studio .NET 這類應(yīng)用程序的正常運(yùn)行依賴于 IIS。如果沒有正確配置 URLScan，這些應(yīng)用程序可能會停止正常運(yùn)行。 

有關(guān)如何配置 URLScan 用于這些應(yīng)用程序的其他信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應(yīng)的文章： 
309508 (http://support.microsoft.com/kb/309508/) Exchange 環(huán)境中的 IIS 鎖定和 URLscan 配置 
309394 (http://support.microsoft.com/kb/309394/) 如何協(xié)同使用 URLScan 和 FrontPage 2000 
318290 (http://support.microsoft.com/kb/318290/) 如何協(xié)同使用 URLScan 和 FrontPage 2002 
310588 (http://support.microsoft.com/kb/310588/) PRB：安全工具包中止 Visual Studio .NET 中的 ASP.NET 調(diào)試 
回到頂端

參考
有關(guān)其他信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應(yīng)的文章： 
325864 (http://support.microsoft.com/kb/325864/) 如何安裝和使用 IIS 鎖定向?qū)?nbsp;

最新評論