IIS6 까지 에서는, 일명 웹방화벽 모듈로 Microsoft 에서 제공하는 UrlScan 이나 WebKnight 를 사용하였는데요. IIS7 에서는 UrlScan 이 기존 IIS6 보다 훨씬더 많은 항목이 제어가 가능하도록 개선되었습니다. 그래도 부족해 보이긴 합니다. -_-;

이미 알고 있는 관리자들도 있겠지만,. IIS6 에서도 최소한의 요청 필터링 기능이 추가되어 있었으나 이러한 자체 기능으로는 부족하여 최근에는 WebKnight 가 필터링 모듈로는 거의 대세인듯 싶습니다. 그 많큼 다양하고 강력한 기능을 제공하고 있으니깐 말이지요,.



IIS7 에서는 위처럼 modrqflt.dll 을 통해서 필터 처리가 가능합니다. 위에 대한 실제 설정은 applicationHost.config 의 <system.webServer> <security> <requestFiltering> 노드의 각 항목에서 설정이 가능합니다.


1. 이중 인코딩 요청 필터링

<requestFiltering allowDoubleEscaping="false"></requestFiltering>


2. 최상위 비트 설정 문자 필터링

<requestFiltering allowHighBitCharacters="true"></requestFiltering>


3. 파일 확장자 기반 필터링 <기본값>




4. 요청 제한 필터링

<requestLimits maxAllowedContentLength="30000000" maxUrl="260" maxQueryString="25" />


5. Http 동사 제한 필터링 및 숨겨진 네임스페이스 필터링 <기본값>




6. URL 시퀀스 기반 필터링 

<denyUrlSequences>
   <add sequence=".." />
</denyUrlSequences>