喜讯:国内、香港、海外云服务器租用特惠活动,2核/4G/10M仅需31元每月,点击抢购>>>
点击这里进入阿里云ECS官方页面,立即免费体验云服务器ECS>>>
问题描述
当在Windows实例上的IIS站点配置了允许通过IP地址直接访问(即IIS中绑定了空主机头)时,可以通过IP地址直接访问到服务器中IIS的默认站点。当有域名(包括恶意域名或未备案域名等)解析到该IP地址时,会通过该域名直接访问到网站内容,存在安全风险。
问题原因
当IIS中存在绑定空主机头时,会导致使用IP地址能够直接访问到IIS对应绑定空主机头的网站。
解决方案
说明
本文操作步骤以Windows Server 2019数据中心版64位中文版为例,实际操作以您实际的Windows实例操作系统为准。
您可以通过删除IIS中绑定空主机头的方式来禁止通过IP地址直接访问IIS网站,操作步骤如下:
远程连接Windows实例。
具体操作,请参见连接方式概述。
打开IIS管理器。
在桌面左下角,选择
> 服务器管理器。
在服务器管理器页面右上角,选择工具 > Internet Information Services (IIS) 管理器。
在左侧导航栏单击目标网站,然后单击操作列的绑定,在网站绑定对话框的空主机头(即主机名参数为空)基础上再绑定一个网站域名。
以绑定
example.aliyundoc.com域名为例,如图所示。
使用服务器的公网IP地址和已绑定的
example.aliyundoc.com域名访问网站。通过服务器的公网IP和域名都可以访问该网站,如图所示。
如果有其他恶意域名或未备案域名(例如
demo.aliyundoc.com)解析到了服务器的IP地址,虽然在IIS中未绑定该主机头,但是也可以成功访问该网站,如图所示。
禁止通过IP地址直接访问网站。
在 Internet Information Services (IIS) 管理器的左侧导航栏单击目标网站,然后单击操作列的绑定。
在网站绑定对话框中单击空主机头(即主机名参数为空),单击删除,保留您需要的域名即可。
以保留
example.aliyundoc.com域名为例,如图所示。
使用其他恶意域名或未备案域名重新访问网站验证是否成功禁止通过IP地址直接访问网站。
恶意域名或未备案域名(例如
demo.aliyundoc.com)即使解析到服务器的IP地址,也无法正常访问该网站,如图所示,即成功禁止通过IP地址直接访问网站。
推荐:TOP云智能建站优惠活动,仅880元即可搭建一个后台管理五端合一的智能网站(PC网站、手机网站、百度智能小程序、微信小程序、支付宝小程序),独享百度搜索SEO优势资源,让你的网站不仅有颜值有排面,更有排名,可以实实在在为您带来效益,请点击进入TOP云智能建站>>>,或咨询在线客服了解详情。
湘公网安备43019002001857号
备案号:
客服1 