请求筛选 <requestFiltering>

项目
03/25/2024

概述

请求筛选是 Internet Information Services (IIS) 7.0 中引入的内置安全功能，很大程度上取代了之前 IIS 6.0 通过 UrlScan 加载项而实现的大部分功能。请求筛选功能的所有设置都位于 <requestFiltering> 元素内，其中包含以下每个功能区域的多个子元素：

<denyUrlSequences> - 此元素可以包含 IIS 7 将拒绝的 URL 序列模式的集合。例如：您可以拒绝攻击者可能尝试利用的部分 URL 序列。
<fileExtensions> - 此元素可以包含 IIS 7 拒绝或允许的文件扩展名集合。例如：您可以阻止对 Web.config 文件的所有请求。
<hiddenSegments> - 此元素可以包含无法浏览的 URL 的集合。例如：您可以拒绝对 ASP.NET App_Code 文件夹的请求。
<requestLimits> - 此元素包含 URL、内容和查询字符串长度的设置。此元素还可以包含 HTTP 标头的用户定义最大长度的集合。
<verbs> - 此元素可以包含 IIS 7 将拒绝或允许的 HTTP 谓词的集合；例如：可以阻止所有 HTTP TRACE 请求。

IIS 7.5 中的新增功能

IIS 7.5 针对请求筛选增加了若干额外的功能区域：

<alwaysAllowedUrls> - 此元素可以包含请求筛选始终允许的 URL 集合。
<alwaysAllowedQueryStrings> -此元素可以包含请求筛选始终允许的查询字符串集合。
<denyQueryStringSequences> - 此元素可以包含请求筛选将始终拒绝的查询字符串序列的集合。使用此元素，管理员可以阻止其检测到的潜在危险的查询字符串序列。
<filteringRules> - 此元素可以包含自定义请求筛选规则的集合。使用此集合，管理员可以针对特定条件创建自定义请求筛选规则。

IIS 10.0 中的新增功能

IIS 10.0 增加了 removeServerHeader 属性，可用于禁止向远程客户端发送 HTTP 服务器标头。

HTTP 404 错误子状态代码

当请求筛选阻止 HTTP 请求时，IIS 7 将向客户端返回 HTTP 404 错误，并记录 HTTP 唯一子状态，以确定拒绝请求的原因。例如：

HTTP 子状态	说明
`404.5`	URL 序列被拒绝
`404.6`	谓词被拒绝
`404.7`	文件扩展名被拒绝
`404.8`	隐藏命名空间
`404.11`	URL 双转义
`404.12`	URL 具有高位字符
`404.14`	URL 太长
`404.15`	查询字符串太长
`404.18`	查询字符串序列被拒绝
`404.19`	筛选规则拒绝
`413.1`	内容长度过大
`431`	请求标头过长

这些子状态允许 Web 管理员分析其 IIS 日志并识别潜在威胁。

兼容性

版本	说明
IIS 10.0	在 IIS 10.0 中增加了禁止服务器标头的功能。
IIS 8.5	`<requestFiltering>` 元素在 IIS 8.5 中未进行修改。
IIS 8.0	`<requestFiltering>` 元素在 IIS 8.0 中未进行修改。
IIS 7.5	在 IIS 7.5 中，请求筛选附带 `unescapeQueryString` 属性以及 `alwaysAllowedUrls`、`alwaysAllowedQueryStrings`、和 `denyQueryStringSequencesfilteringRules` 元素。这些元素作为 IIS 7.0 的更新引入，可通过 Microsoft 知识库文章 957508 (`https://support.microsoft.com/kb/957508`) 获取。
IIS 7.0	`<requestFiltering>` 元素是在 IIS 7.0 中引入的。
IIS 6.0	`<requestFiltering>` 元素取代了 IIS 6.0 的 UrlScan 功能。

安装

IIS 7 及更高版本的默认安装包括请求筛选角色服务或功能。如果卸载请求筛选角色服务或功能，可以使用以下步骤重新安装它。

Windows Server 2012 或 Windows Server 2012 R2

在任务栏上，单击 “服务器管理器”。
在“服务器管理器”中，单击“管理”菜单，然后单击“添加角色和功能”。
在“添加角色和功能”向导中，单击“下一步”。选择安装类型，然后单击“下一步”。选择目标服务器，然后单击“下一步”。
在“服务器角色”页上，依次展开“Web 服务器 (IIS)”、“Web 服务器”和“安全性”，然后选择“请求筛选”。单击 “下一步” 。
。
在“选择功能”页上，单击“下一步”。
在“确认安装选择”页上，单击“安装”。
在“结果” 页面中单击“关闭” 。

Windows 8 或 Windows 8.1

在“开始”屏幕上，将指针一直移动到左下角，右键单击“开始”按钮，然后单击“控制面板”。
在“控制面板”中，单击“程序与功能”，然后单击“打开或关闭 Windows 功能”。
依次展开“Internet Information Services”、“万维网服务”和“安全性”，然后选择“请求筛选”。
单击“确定”。
单击“关闭” 。

Windows Server 2008 或 Windows Server 2008 R2

在任务栏上，单击“开始”，指向“管理工具”，然后单击“服务器管理器”。
在“服务器管理器”层次结构窗格中，展开“角色”，然后单击“Web 服务器(IIS)”。
在“Web 服务器(IIS)”窗格中，滚动到“角色服务”部分，然后单击“添加角色服务”。
在“添加角色服务向导”的“选择角色服务”页上，选择“请求筛选”，然后单击“下一步”。
在“确认安装选择”页中，单击“安装”。
在“结果” 页面中单击“关闭” 。

Windows Vista 或 Windows 7

在任务栏上，单击“开始”，然后单击“控制面板”。
在“控制面板”中，单击“程序与功能”，然后单击“打开或关闭 Windows 功能”。
扩展“Internet Information Services”，展开“万维网服务”，然后展开“安全性”。
选择“请求筛选”，然后单击“确定”。

操作方式

IIS 7.0 用户请注意：本节中的某些步骤可能需要安装 Microsoft Administration Pack for IIS 7.0，其中包括请求筛选用户界面。若要安装 Microsoft Administration Pack for IIS 7.0，请参阅以下 URL：

https://www.iis.net/expand/AdministrationPack

如何编辑请求筛选功能设置和请求限制

打开 Internet Information Services (IIS) 管理器：
- 如果使用的是 Windows Server 2012 或 Windows Server 2012 R2：
  - 在任务栏上，单击“服务器管理器”，单击“工具”，然后单击“Internet Information Services (IIS)管理器”。
- 如果使用的是 Windows 8 或 Windows 8.1：
  - 按住 Windows 键，按字母 X，然后单击“控制面板”。
  - 单击“管理工具”，然后双击“Internet Information Services (IIS) 管理器”。
- 如果使用的是 Windows Server 2008 或 Windows Server 2008 R2：
  - 在任务栏上，单击“开始”，指向“管理工具”，然后单击“Internet Information Services (IIS)管理器”。
- 如果使用的是 Windows Vista 或 Windows 7：
  - 在任务栏上，单击“开始”，然后单击“控制面板”。
  - 双击“管理工具”，然后双击“Internet Information Services (IIS) 管理器”。
在“连接”窗格中，转到要为其修改请求筛选设置的连接、站点、应用程序或目录。
在“主页”窗格中，双击“请求过滤”。
在“操作”窗格中，单击“编辑功能设置...”。
指定选项，然后单击“确定”。
例如，可以进行以下更改：
- 指定 2048，可将最大 URL 长度更改为 2KB。
- 指定 1024 可将最大查询字符串长度更改为 1KB。
- 清除“允许未列出的谓词”复选框可拒绝对未列出的 HTTP 谓词的访问。

如何拒绝 URL 序列

打开 Internet Information Services (IIS) 管理器：
- 如果使用的是 Windows Server 2012 或 Windows Server 2012 R2：
  - 在任务栏上，单击“服务器管理器”，单击“工具”，然后单击“Internet Information Services (IIS)管理器”。
- 如果使用的是 Windows 8 或 Windows 8.1：
  - 按住 Windows 键，按字母 X，然后单击“控制面板”。
  - 单击“管理工具”，然后双击“Internet Information Services (IIS) 管理器”。
- 如果使用的是 Windows Server 2008 或 Windows Server 2008 R2：
  - 在任务栏上，单击“开始”，指向“管理工具”，然后单击“Internet Information Services (IIS)管理器”。
- 如果使用的是 Windows Vista 或 Windows 7：
  - 在任务栏上，单击“开始”，然后单击“控制面板”。
  - 双击“管理工具”，然后双击“Internet Information Services (IIS) 管理器”。
在“连接”窗格中，转到要为其修改请求筛选设置的连接、站点、应用程序或目录。
在“主页”窗格中，双击“请求过滤”。
在“请求筛选”窗格中，单击“拒绝 URL 序列”选项卡，然后在“操作”窗格中单击“添加 URL 序列...”。
在“添加拒绝序列”对话框中，输入要阻止的 URL 序列，然后单击“确定”。

例如，若要防止服务器上的目录遍历，将在对话框中输入两个句点 ("..")。

如何拒绝对特定文件扩展名的访问

打开 Internet Information Services (IIS) 管理器：
- 如果使用的是 Windows Server 2012 或 Windows Server 2012 R2：
  - 在任务栏上，单击“服务器管理器”，单击“工具”，然后单击“Internet Information Services (IIS)管理器”。
- 如果使用的是 Windows 8 或 Windows 8.1：
  - 按住 Windows 键，按字母 X，然后单击“控制面板”。
  - 单击“管理工具”，然后双击“Internet Information Services (IIS) 管理器”。
- 如果使用的是 Windows Server 2008 或 Windows Server 2008 R2：
  - 在任务栏上，单击“开始”，指向“管理工具”，然后单击“Internet Information Services (IIS)管理器”。
- 如果使用的是 Windows Vista 或 Windows 7：
  - 在任务栏上，单击“开始”，然后单击“控制面板”。
  - 双击“管理工具”，然后双击“Internet Information Services (IIS) 管理器”。
在“连接”窗格中，转到要为其修改请求筛选设置的连接、站点、应用程序或目录。
在“主页”窗格中，双击“请求过滤”。
在“请求筛选”窗格中，单击“文件扩展名”选项卡，然后在“操作”窗格中单击“拒绝文件扩展名...”。
在“拒绝文件扩展名”对话框中，输入要阻止的文件扩展名，然后单击“确定”。
例如，若要防止访问文件扩展名为 .inc 的文件，请在对话框中输入“inc”。

如何添加隐藏段

打开 Internet Information Services (IIS) 管理器：
- 如果使用的是 Windows Server 2012 或 Windows Server 2012 R2：
  - 在任务栏上，单击“服务器管理器”，单击“工具”，然后单击“Internet Information Services (IIS)管理器”。
- 如果使用的是 Windows 8 或 Windows 8.1：
  - 按住 Windows 键，按字母 X，然后单击“控制面板”。
  - 单击“管理工具”，然后双击“Internet Information Services (IIS) 管理器”。
- 如果使用的是 Windows Server 2008 或 Windows Server 2008 R2：
  - 在任务栏上，单击“开始”，指向“管理工具”，然后单击“Internet Information Services (IIS)管理器”。
- 如果使用的是 Windows Vista 或 Windows 7：
  - 在任务栏上，单击“开始”，然后单击“控制面板”。
  - 双击“管理工具”，然后双击“Internet Information Services (IIS) 管理器”。
在“连接”窗格中，转到要为其修改请求筛选设置的连接、站点、应用程序或目录。
在“主页”窗格中，双击“请求过滤”。
在“请求筛选”窗格中，单击“隐藏段”选项卡，然后单击“操作”窗格中的“添加隐藏段...”。
在“添加隐藏段”对话框中，输入要隐藏的相对路径，然后单击“确定”。

如何为 HTTP 标头添加限制

打开 Internet Information Services (IIS) 管理器：
- 如果使用的是 Windows Server 2012 或 Windows Server 2012 R2：
  - 在任务栏上，单击“服务器管理器”，单击“工具”，然后单击“Internet Information Services (IIS)管理器”。
- 如果使用的是 Windows 8 或 Windows 8.1：
  - 按住 Windows 键，按字母 X，然后单击“控制面板”。
  - 单击“管理工具”，然后双击“Internet Information Services (IIS) 管理器”。
- 如果使用的是 Windows Server 2008 或 Windows Server 2008 R2：
  - 在任务栏上，单击“开始”，指向“管理工具”，然后单击“Internet Information Services (IIS)管理器”。
- 如果使用的是 Windows Vista 或 Windows 7：
  - 在任务栏上，单击“开始”，然后单击“控制面板”。
  - 双击“管理工具”，然后双击“Internet Information Services (IIS) 管理器”。
在“连接”窗格中，转到要为其修改请求筛选设置的连接、站点、应用程序或目录。
在“主页”窗格中，双击“请求过滤”。
在“请求筛选”窗格中，单击“标头”选项卡，然后单击“操作”窗格中的“添加标头...”。
在“添加标头”对话框中，输入 HTTP 标头和标头限制所需的最大大小，然后单击“确定”。

例如，“Content-type”标头包含请求的 MIME 类型。将值指定为 100 会将内容类型标头的长度限制为 100 个字节。

如何拒绝 HTTP 谓词

打开 Internet Information Services (IIS) 管理器：
- 如果使用的是 Windows Server 2012 或 Windows Server 2012 R2：
  - 在任务栏上，单击“服务器管理器”，单击“工具”，然后单击“Internet Information Services (IIS)管理器”。
- 如果使用的是 Windows 8 或 Windows 8.1：
  - 按住 Windows 键，按字母 X，然后单击“控制面板”。
  - 单击“管理工具”，然后双击“Internet Information Services (IIS) 管理器”。
- 如果使用的是 Windows Server 2008 或 Windows Server 2008 R2：
  - 在任务栏上，单击“开始”，指向“管理工具”，然后单击“Internet Information Services (IIS)管理器”。
- 如果使用的是 Windows Vista 或 Windows 7：
  - 在任务栏上，单击“开始”，然后单击“控制面板”。
  - 双击“管理工具”，然后双击“Internet Information Services (IIS) 管理器”。
在“连接”窗格中，转到要为其修改请求筛选设置的连接、站点、应用程序或目录。
在“主页”窗格中，双击“请求过滤”。
在“请求筛选”窗格中，单击“HTTP 谓词”选项卡，然后在“操作”窗格中单击“拒绝谓词...”。
在“拒绝谓词”对话框中，输入要阻止的 HTTP 谓词，然后单击“确定”。

例如，要防止向服务器发出 HTTP TRACE 请求，请在对话框中输入“TRACE”。

配置

特性

属性	说明
`allowDoubleEscaping`	可选布尔属性。如果设置为 true，则请求筛选将允许包含双转义字符的 URL。如果设置为 false，则如果 URL 中存在两次转义的字符，请求筛选将拒绝请求。默认值为 `false`。
`allowHighBitCharacters`	可选布尔属性。如果设置为 true，请求筛选将允许在 URL 中包含非 ASCII 字符。如果设置为 false，则如果 URL 中存在高位字符，请求筛选将拒绝请求。默认值为 `true`。
`removeServerHeader`	可选布尔属性。如果设置为 true，请求筛选将禁止 IIS 服务器标头。如果设置为 false，IIS 将返回默认服务器标头。（注意：此属性是在 IIS 10.0 中新增的，在 Windows Server 版本 1709 或 Windows 10 版本 1709 之前的 Windows 版本中无效。）默认值为 `false`。
`unescapeQueryString`	可选布尔属性。如果设置为 true，则请求筛选将对每个查询字符串扫描执行两轮扫描。第一轮将扫描原始查询字符串，第二轮将在 IIS 解码所有转义序列后扫描查询字符串。如果设置为 false，请求筛选将仅查看客户端发送的原始查询字符串。注：IIS 7.5 中添加了此属性。默认值为 `true`。

子元素

元素	说明
`alwaysAllowedQueryStrings`	可选元素。指定请求筛选始终允许的查询字符串集合。注意：IIS 7.5 中添加了此元素。
`alwaysAllowedUrls`	可选元素。指定请求筛选始终允许的 URL 集合。注意：IIS 7.5 中添加了此元素。
`denyQueryStringSequences`	可选元素。指定请求筛选将始终拒绝的查询字符串序列的集合。注意：IIS 7.5 中添加了此元素。
`denyUrlSequences`	可选元素。指定应拒绝的序列，这有助于阻止对 Web 服务器发起的基于 URL 的攻击。
`fileExtensions`	可选元素。指定允许或拒绝哪些文件扩展名，以限制发送到 Web 服务器的请求类型。
`filteringRules`	可选元素。指定自定义请求筛选规则的集合。注意：IIS 7.5 中添加了此元素。
`hiddenSegments`	可选元素。指定某些 URL 段可以拒绝客户端的访问。
`requestLimits`	可选元素。指定对 Web 服务器处理的请求的限制。
`verbs`	可选元素。指定允许或拒绝哪些 HTTP 谓词，以限制发送到 Web 服务器的请求类型。

配置示例

Web.config 文件中的以下配置示例可执行多个与安全相关的任务：

拒绝访问两个 URL 序列。第一个序列可阻止目录遍历，第二个序列可阻止访问备用数据流。
拒绝访问未列出的文件扩展名和未列出的 HTTP 谓词。
将 URL 的最大长度设置为 2KB，并将查询字符串的最大长度设置为 1KB。

<configuration>
   <system.webServer>
      <security>
         <requestFiltering>
            <denyUrlSequences>
               <add sequence=".." />
               <add sequence=":" />
            </denyUrlSequences>
            <fileExtensions allowUnlisted="false" />
            <requestLimits maxUrl="2048" maxQueryString="1024" />
            <verbs allowUnlisted="false" />
         </requestFiltering>
      </security>
   </system.webServer>
</configuration>

代码示例

下面的代码示例演示如何拒绝对默认网站的三个 URL 序列的访问：目录遍历 ("..")、备用数据流 (":") 和反斜杠 ("")。

AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"denyUrlSequences.[sequence='..']" 

appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"denyUrlSequences.[sequence=':']" 

appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"denyUrlSequences.[sequence='\']"

PowerShell

Start-IISCommitDelay

$denyUrlSequences = Get-IISConfigSection -CommitPath 'Default Web Site' -SectionPath 'system.webServer/security/requestFiltering' | Get-IISConfigCollection -CollectionName 'denyUrlSequences'

New-IISConfigCollectionElement -ConfigCollection $denyUrlSequences -ConfigAttribute @{ 'sequence' = '..' }
New-IISConfigCollectionElement -ConfigCollection $denyUrlSequences -ConfigAttribute @{ 'sequence' = ':' }
New-IISConfigCollectionElement -ConfigCollection $denyUrlSequences -ConfigAttribute @{ 'sequence' = '\' }

Stop-IISCommitDelay

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetWebConfiguration("Default Web Site");

         ConfigurationSection requestFilteringSection = config.GetSection("system.webServer/security/requestFiltering");

         ConfigurationElementCollection denyUrlSequencesCollection = requestFilteringSection.GetCollection("denyUrlSequences");

         ConfigurationElement addElement = denyUrlSequencesCollection.CreateElement("add");
         addElement["sequence"] = @"..";
         denyUrlSequencesCollection.Add(addElement);

         ConfigurationElement addElement1 = denyUrlSequencesCollection.CreateElement("add");
         addElement1["sequence"] = @":";
         denyUrlSequencesCollection.Add(addElement1);

         ConfigurationElement addElement2 = denyUrlSequencesCollection.CreateElement("add");
         addElement2["sequence"] = @"\";
         denyUrlSequencesCollection.Add(addElement2);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample

Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetWebConfiguration("Default Web Site")
      Dim requestFilteringSection As ConfigurationSection = config.GetSection("system.webServer/security/requestFiltering")
      Dim denyUrlSequencesCollection As ConfigurationElementCollection = requestFilteringSection.GetCollection("denyUrlSequences")

      Dim addElement As ConfigurationElement = denyUrlSequencesCollection.CreateElement("add")
      addElement("sequence") = ".."
      denyUrlSequencesCollection.Add(addElement)

      Dim addElement1 As ConfigurationElement = denyUrlSequencesCollection.CreateElement("add")
      addElement1("sequence") = ":"
      denyUrlSequencesCollection.Add(addElement1)

      Dim addElement2 As ConfigurationElement = denyUrlSequencesCollection.CreateElement("add")
      addElement2("sequence") = "\"
      denyUrlSequencesCollection.Add(addElement2)

      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site";
var requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var denyUrlSequencesCollection = requestFilteringSection.ChildElements.Item("denyUrlSequences").Collection;

var addElement = denyUrlSequencesCollection.CreateNewElement("add");
addElement.Properties.Item("sequence").Value = "..";
denyUrlSequencesCollection.AddElement(addElement);

var addElement1 = denyUrlSequencesCollection.CreateNewElement("add");
addElement1.Properties.Item("sequence").Value = ":";
denyUrlSequencesCollection.AddElement(addElement1);

var addElement2 = denyUrlSequencesCollection.CreateNewElement("add");
addElement2.Properties.Item("sequence").Value = "\\";
denyUrlSequencesCollection.AddElement(addElement2);

adminManager.CommitChanges();

VBScript

Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site"
Set requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set denyUrlSequencesCollection = requestFilteringSection.ChildElements.Item("denyUrlSequences").Collection

Set addElement = denyUrlSequencesCollection.CreateNewElement("add")
addElement.Properties.Item("sequence").Value = ".."
denyUrlSequencesCollection.AddElement(addElement)

Set addElement1 = denyUrlSequencesCollection.CreateNewElement("add")
addElement1.Properties.Item("sequence").Value = ":"
denyUrlSequencesCollection.AddElement(addElement1)

Set addElement2 = denyUrlSequencesCollection.CreateNewElement("add")
addElement2.Properties.Item("sequence").Value = "\"
denyUrlSequencesCollection.AddElement(addElement2)

adminManager.CommitChanges()