喜讯：国内、香港、海外云服务器租用特惠活动，2核/4G/10M仅需31元每月，点击抢购>>>

点击这里进入阿里云ECS官方页面，立即免费体验云服务器ECS>>>

问题描述

当在Windows实例上的IIS站点配置了允许通过IP地址直接访问（即IIS中绑定了空主机头）时，可以通过IP地址直接访问到服务器中IIS的默认站点。当有域名（包括恶意域名或未备案域名等）解析到该IP地址时，会通过该域名直接访问到网站内容，存在安全风险。

问题原因

当IIS中存在绑定空主机头时，会导致使用IP地址能够直接访问到IIS对应绑定空主机头的网站。

解决方案

您可以通过删除IIS中绑定空主机头的方式来禁止通过IP地址直接访问IIS网站，操作步骤如下：

1. 远程连接Windows实例。

   具体操作，请参见连接方式概述。

2. 打开IIS管理器。

   1. 在桌面左下角，选择 > 服务器管理器。

      

   2. 在服务器管理器页面右上角，选择工具 > Internet Information Services (IIS) 管理器。

3. 在左侧导航栏单击目标网站，然后单击操作列的绑定，在网站绑定对话框的空主机头（即主机名参数为空）基础上再绑定一个网站域名。

   以绑定example.aliyundoc.com域名为例，如图所示。

   

4. 使用服务器的公网IP地址和已绑定的example.aliyundoc.com域名访问网站。

   • 通过服务器的公网IP和域名都可以访问该网站，如图所示。

     

   • 如果有其他恶意域名或未备案域名（例如demo.aliyundoc.com）解析到了服务器的IP地址，虽然在IIS中未绑定该主机头，但是也可以成功访问该网站，如图所示。

     

5. 禁止通过IP地址直接访问网站。

   1. 在 Internet Information Services (IIS) 管理器的左侧导航栏单击目标网站，然后单击操作列的绑定。

   2. 在网站绑定对话框中单击空主机头（即主机名参数为空），单击删除，保留您需要的域名即可。

      以保留example.aliyundoc.com域名为例，如图所示。

   3. 使用其他恶意域名或未备案域名重新访问网站验证是否成功禁止通过IP地址直接访问网站。

      恶意域名或未备案域名（例如demo.aliyundoc.com）即使解析到服务器的IP地址，也无法正常访问该网站，如图所示，即成功禁止通过IP地址直接访问网站。