URLScan工具配置方法第2/2页

默认情况下，此选项设置为 0。如果将此选项设置为 0，则 URLScan 作为高优先级筛选器运行，这表示它先于服务器上安装的所有其他 Internet 服务器应用程序编程接口 (ISAPI) 筛选器执行。如果将此选项设置为 1，则 URLScan 作为低优先级筛选器运行，以便其他筛选器可以在 URLScan 进行任何分析之前修改 URL。FrontPage Server Extensions (FPSE) 要求将此选项设置为 1。 
? RejectResponseUrl=（默认情况下不指定）

此选项指定在 URLScan 禁止请求时运行的文件的虚拟路径。这允许您自定义针对被禁止的请求发送给客户机的响应。必须将 RejectResponseUrl 指定为相应文件的虚拟路径，如 /Path/To/RejectResponseHandler.asp。可以指定 URLScan 通常禁止的文件，如 Active Server Pages (ASP) 页。还可以从该页指定以下服务器变量： ? HTTP_URLSCAN_STATUS_HEADER：此变量指定请求被禁止的原因。 
? HTTP_URLSCAN_ORIGINAL_VERB：此变量指定被禁止的请求中的原始谓词（例如 GET、POST、HEAD 或 DEBUG）。 
? HTTP_URLSCAN_ORIGINAL_URL：此变量指定被禁止的请求中的原始 URL。 
如果将 RejectResponseUrl 设置为特殊值 /~*，则 URLScan 使用“仅日志记录”模式。这允许 IIS 为所有请求提供服务，但它会在 URLScan 日志中为所有通常被禁止的请求添加相应的项。这在需要测试 URLScan.ini 文件时很有用。

如果没有指定 RejectResponseUrl 的值，则 URLScan 使用默认值 /<Rejected-By-UrlScan>。

 
? UseFastPathReject=0

默认情况下，此选项设置为 0。如果将此选项设置为 1，则 URLScan 忽略 RejectResponseUrl 设置并立即向浏览器返回 404 错误信息。这比处理 RejectResponseUrl 要快，但它允许的日志记录选项没有那么多。如果将此选项设置为 0，则 URLScan 使用 RejectResponseUrl 设置来处理请求。 

[AllowVerbs] 节和 [DenyVerbs] 节
[AllowVerbs] 节和 [DenyVerbs] 节定义 URLScan 允许的 HTTP 谓词（又称作方法）。常用的 HTTP 谓词包括 GET、POST、HEAD 和 PUT。其他应用程序（如 FPSE 和 Web 分布式创作和版本控制 (WebDAV)）使用更多的谓词。

[AllowVerbs] 节和 [DenyVerbs] 节的语法相同。它们由 HTTP 谓词列表组成，每个谓词占一行。

URLScan 根据 [Options] 节中 UseAllowVerbs 选项的值来决定使用哪一节。默认情况下，此选项设置为 1。如果将 UseAllowVerbs 设置为 1，则 URLScan 仅允许那些使用 [AllowVerbs] 节中列出的谓词的请求。不使用任何这些谓词的请求将被拒绝。在这种情况下，[DenyVerbs] 节被忽略。

如果将 UseAllowVerbs 设置为 0，则 URLScan 拒绝那些使用 [DenyVerbs] 节中明确列出的谓词的请求。允许任何使用未在此节中出现的谓词的请求。在这种情况下，URLScan 忽略 [AllowVerbs] 节。


[DenyHeaders] 节
当客户机向 Web 服务器请求页面时，它通常会发送一些包含有关此请求的其他信息的 HTTP 标头。常见的 HTTP 标头包括： ? Host:

此标头包含 Web 服务器的名称。 
? Accept:

此标头定义客户机可以处理的文件类型。 
? User-Agent:

此标头包含请求页面的浏览器的名称。 
? Authorization:

此标头定义客户机支持的身份验证方法。 
客户机可能会向服务器发送其他标头以指定其他信息。

在 [DenyHeaders] 节中，您定义 URLScan 将拒绝的 HTTP 标头。如果 URLScan 收到的请求中包含此节中列出的任何标头，它将拒绝该请求。此节由 HTTP 标头列表组成，每个标头占一行。标头名后面必须跟一个冒号 (:)（例如 Header-Name:）。


[AllowExtensions] 节和 [DenyExtensions] 节
大多数文件都有一个标识其文件类型的文件扩展名。例如，Word 文档的文件名一般以 .doc 结束，HTML 文件名一般以 .htm 或 .html 结束，纯文本文件名一般以 .txt 结束。[AllowExtensions] 节和 [DenyExtensions] 节允许您定义 URLScan 将禁止的扩展名。例如，您可以配置 URLScan 以拒绝对 .exe 文件的请求，防止 Web 用户在您的系统上执行应用程序。

[AllowExtensions] 节和 [DenyExtensions] 节的语法相同。它们由文件扩展名列表组成，每个扩展名占一行。扩展名以句点 (.) 开头（例如 .ext）。

URLScan 根据 [Options] 节中 UseAllowExtensions 的值来决定使用哪一节。默认情况下，此选项设置为 0。如果将 UseAllowExtensions 设置为 0，则 URLScan 仅拒绝对 [DenyExtensions] 节中列出的文件扩展名的请求。允许此节中未列出的任何文件扩展名。[AllowExtensions] 节被忽略。

如果将 UseAllowExtensions 设置为 1，则 URLScan 拒绝对 [AllowExtensions] 节中未明确列出的任何文件扩展名的请求。仅允许对此节中列出的文件扩展名的请求。[DenyExtensions] 节被忽略。

有关如何配置 URLScan 以允许对没有扩展名的文件的请求的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 
312376 (http://support.microsoft.com/kb/312376/) 如何配置 URLScan 以在 IIS 中允许使用空扩展名的请求 
[DenyUrlSequences] 节
可以配置 URLScan 以禁止那些 URL 中包含某些字符序列的请求。例如，可以禁止那些包含两个连续句点 (..) 的请求，利用目录遍历漏洞的攻击中经常采用这种手段。要指定一个想要禁止的字符序列，请将此序列单独放在 [DenyUrlSequences] 节中的一行上。

请注意，添加字符序列可能会对 Microsoft Exchange 的 Outlook Web Access (OWA) 产生负面影响。当您从 OWA 打开一个邮件时，该邮件的主题行包含在服务器所请求的 URL 中。由于 URLScan.ini 文件禁止任何包含百分号 (%) 和连字符 (&) 的请求，因此，当用户尝试打开主题行为“Sales increase by 100%”或“Bob & Sue are coming to town”的邮件时，会收到 404 错误信息。要解决此问题，可以从 [DenyUrlSequences] 节中删除这些序列。请注意，这样做会降低安全性，因为它有可能允许危险的请求到达服务器。 

有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 
325965 (http://support.microsoft.com/kb/325965/) URLScan 工具可能会导致 Outlook Web Access 中出现问题 
回到顶端

配置 URLScan 用于依赖于 IIS 的应用程序
Exchange、FPSE 和 Microsoft Visual Studio .NET 这类应用程序的正常运行依赖于 IIS。如果没有正确配置 URLScan，这些应用程序可能会停止正常运行。 

有关如何配置 URLScan 用于这些应用程序的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 
309508 (http://support.microsoft.com/kb/309508/) Exchange 环境中的 IIS 锁定和 URLscan 配置 
309394 (http://support.microsoft.com/kb/309394/) 如何协同使用 URLScan 和 FrontPage 2000 
318290 (http://support.microsoft.com/kb/318290/) 如何协同使用 URLScan 和 FrontPage 2002 
310588 (http://support.microsoft.com/kb/310588/) PRB：安全工具包中止 Visual Studio .NET 中的 ASP.NET 调试 
回到顶端

参考
有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 
325864 (http://support.microsoft.com/kb/325864/) 如何安装和使用 IIS 锁定向导 

最新评论