URLScan Tool是一款IIS的安全辅助工具，它可以帮助管理员来加强服务器的安全，它先于iis对用户的请求进行处理，从而使得各项请求符合管理员的规则设置，极大的预防和封堵住各项漏洞的利用和入侵。
urlscan.ini的配置参考和说明如下:
UseAllowVerbs=1 
允许的方法=1，如果是1，将使用[AllowVerbs]反之将使用 [DenyVerbs]。默认是1
UseAllowExtensions=0
允许使用的扩展名=0，如果是1，将使用[AllowExtensions] , 反之[DenyExtensions] 将起作用.默认为0
NormalizeUrlBeforeScan=1
扫描前标准化URL=1，如果是1，在处理前先标准化URL，默认为1，注意：如果设置为0 将使得扩展名和URL检查不可靠，
所以除非是测试，不然建议不要设置为其他值
VerifyNormalization=1
核实标准化=1，如果是1，将2次标准化URL并且如果发生变化将拒绝请求。默认值为1
AllowHighBitCharacters=0
允许使用高位编码=0，如果是1，URL中将允许使用高位编码（如UTF8或者MBCS）。默认为0
AllowDotInPath=0
允许在路径中使用点=0.如果是1，路径中允许使用“.”，而不作为扩展名部分。默认为0，注意：如果设置为1将使扩展名检查不可靠，
所以除非是测试，不然建议不要设置为其他值
RemoveServerHeader=0
移除服务头=0.如果是1，将溢出请求中的服务头，默认为0
EnableLogging=1 
启用日志=1.如果是1，将启动urlscan日志，重启后生效。
PerProcessLogging=0
为每一个进程生成日志文件，重启urlscan后生效
AllowLateScanning=0
如果是1，urlscan将以较低的优先权过滤器运行。默认为0.需要注意的是仅仅在已经安装的过滤器修改地址而你希望urlscan应用规则去重
写地址是使用。重启生效
PerDayLogging=1 
如果是1，urlscan将每天生成一个新的日志，比如 'UrlScan.010101.log'。如果是o，urlscan将生成日志到urlscan.log。默认为1，重启生效。
UseFastPathReject=0
如果是1，urlscan将不会使用RejectResponseUrl（拒绝响应地址）。需要IIS6.0以上版本，这也将阻止iis把拒绝的请求写入W3SVC日志。
这里不管是否设置urlscan都将把拒绝的请求写入日志。默认为0.
LogLongUrls=0
这个属性对urlscan3.0即以后的版本无效，他们已经把完整的路径写入日志中了。
UnescapeQueryString=1
如果是1，urlscan将对原始字串和过滤后的字串这2种方式都进行处理。
如果是0，urlscan将仅仅检查客户端发送的原始字串。默认为1.注意：如果设置为0，那么基于请求字串的检查将不可靠。
RejectResponseUrl=
当UseFastPathReject=0时，这项设置生效。注意：象这种设置"RejectResponseUrl=/~*"将使urlscan使用日志模式。他仅仅记录下结果而并不拒绝请求。
LoggingDirectory=Logs
设置日志的存放路径，比如c:\some\path，默认存放在与UrlScan.dll相同文件夹下
AlternateServerName=
如果RemoveServerHeader=0，原来的服务头被清除，这里可以重新设置服务头内容。
[RequestLimits]
MaxAllowedContentLength=30000000
MaxUrl=260
MaxQueryString=2048
限制最大内容长度，url最大长度，最大请求字串
[AllowVerbs]
GET
HEAD
POST
允许的http方法，当UseAllowVerbs=1时，设置生效
[DenyVerbs]
PROPFIND
PROPPATCH
MKCOL
Delete
PUT
COPY
MOVE
LOCK
UNLOCK
OPTIONS
SEARCH
拒绝的http方法，当UseAllowVerbs=0时生效。
[DenyHeaders]
Translate:
If:
Lock-Token:
Transfer-Encoding:
拒绝的文件头
[AllowExtensions]
.asp
.htm
.html
.txt
.jpg
.jpeg
.gif
.png
.rar
.asa
允许的扩展名，当UseAllowExtensions=1时生效，如果默认是没有.asp的，如果是动态asp网站一定要加上。这样的话，即使安装了php运行环境，php网页也无法打开