IIS相關的潛在風險

雖然微軟大幅改善IIS7的安全性，但是把IIS7當作網站伺服器仍有許多需注意的風險。記住！微軟是以讓網站管理員便於操作為導向，而非網站安全性。現在可以透過瀏覽器操作IIS伺服器，因此導致風險性大增

• 安裝軟體太容易

  利用Windows系統，可以簡單地完成安裝WordPress、Joomla或ZenCart這一類程式，但同時也帶來風險。網站管理員對於程式的風險漏洞沒有一絲警覺性時，一不小心，可能把危險軟體裝到伺服器上。當然，還是可以透過下指令的方式或GNU / Linux shell安裝應用程式。但管理員能善用這些工具時，他們對於基本安全風險會更有警覺。

• 惡意軟體帶來的傷害

  許多網站管理員仍對紅色代碼病毒(Code Red)以及Nimda蠕蟲對於IIS伺服器造成的傷害記憶猶新。當時駭客透過DDoS攻擊及路徑探索(path traversal)等方式，任意竄改網站或攻擊網站。
  由於微軟樹大招風，永遠是惡意軟體攻擊的目標之一。即使微軟的工程師盡心盡力修補已知漏洞，但數以千計的惡意軟體仍在外散布，對微軟伺服器造成極大的威脅。

保護IIS伺服器

如同其他伺服器一樣，必須採取某些步驟強化IIS伺服器的安全性。雖然防禦惡意軟體、入侵檢測/防禦系統、網路防火牆，和其他工具和技術可以防禦部分的攻擊，卻無法充分抵抗由已安裝的第三方軟體所發動的攻擊。

WAF可以抵禦IIS伺服器以下漏洞

路徑探索(Path Traversal) / 已知蠕蟲 / 遠端命令執行 / 探針(Probes)DDoS攻擊 / 伺服器入侵
透過執行SaaS(Security-as-a-Service)解決方案，無論網站管理員功力厲害與否，WAF能為網站伺服器提供保護，為網站程式避免掉許多威脅。透過檢測分析網站流量內容，確認是否符合或違反通訊協議、port或IP，避免網站程式被攻擊。WAF能提供優化後的防禦服務，防禦DDoS攻擊、XSS跨站攻擊、SQL Injection、path traversal以及其他網站攻擊技術。

為何IIS伺服器需要WAF？

抵禦過去已知和最近新興的駭客攻擊手法
提供最佳化即時防禦的預設安全規範
提供管理界面及API，輕鬆管理多台服務器
不需另外增購硬體設備，且能彈性擴充

避免攻擊的必要性

每年因為網路犯罪造成的損失高達數億美元。比起損失的金錢和遭竊的資料，企業應該更在乎名譽受損帶來的傷害。當網站出現漏洞時，用戶或者訪客就會開始質疑網站的安全性。而且如果搜尋引擎在網站上發現惡意軟體或垃圾信件時，就會把網站標示為惡意網站，將網站從搜尋結果中刪除，導致網站合法流量大幅下降。