www.tmsmall666.cn

　　1、使用防火墻可以真正幫助你保護(hù)WEB服務(wù)器，尤其是面向互聯(lián)網(wǎng)的服務(wù)器。防火墻能確保服務(wù)器只接收有效的有服務(wù)的封包。當(dāng)外部襲擊者試圖對(duì)你的服務(wù)器進(jìn)行惡意攻擊時(shí)，防火墻就是你的第一道防線。使用入侵預(yù)防系統(tǒng)(IPS)，可以進(jìn)一步保障你的系統(tǒng)，尤其是IIS服務(wù)器。 如果你的系統(tǒng)不是很大，不需要裝特定的硬件防火墻裝置時(shí)，你也可以利用Windows Server 2008的綜合防火墻同樣可以獲得較好的安全性。

　　2、確保你的web/' target='_blank'>Web服務(wù)器是強(qiáng)化的OS操作系統(tǒng)。如果你使用的是web/' target='_blank'>Windows Server 2008 R2的操作系統(tǒng)，那么服務(wù)器核心安裝版本會(huì)給你需要的--所有功能，但不能降低被攻擊的風(fēng)險(xiǎn)。如果你正在使用常規(guī)版本的Windows Server,可以試著安裝IIS,它只是作用于你目前所需要的裝置。根據(jù)你的需要，也可以恢復(fù)或者安裝更多你所需要的功能。注意，當(dāng)你添加了，你不使用的裝置時(shí)，這會(huì)使你受到的攻擊范圍擴(kuò)大。

　　3、用IIS7控制ip和域限制訪問(wèn)你WEB服務(wù)器的內(nèi)容。 例如，你可以只授權(quán)組織內(nèi)部域的訪問(wèn)。或者添加除合作伙伴以外，管理員家里的IP地址，老板或其他任何你希望可以訪問(wèn)的組織或者個(gè)人。

　　4、IIS7可讓你更好的過(guò)濾需要處理的，需要過(guò)濾的信息。利用這一特點(diǎn)你可以對(duì)特定規(guī)則要求過(guò)濾，例如處理帶有特定擴(kuò)展名的文件，或者處理在URL中的特定短語(yǔ)。

　　5、日志 是一個(gè)讓你最有保障的方法。它可幫助你搜索攻擊源或者一個(gè)服務(wù)器損壞的原因。從一開(kāi)始就確保你的設(shè)置，并在危機(jī)關(guān)頭協(xié)助你的監(jiān)測(cè)工作。

　　6、確保你的IIS服務(wù)器的最佳方法之一是通過(guò)使用有證書(shū)的SSL通信在用戶和Web服務(wù)器之間。如果服務(wù)器是公開(kāi)使用的，你應(yīng)該要從GoDaddy或Verisign這樣的受信任的證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)的證書(shū)。這個(gè)證書(shū)在任何瀏覽器上，在任何一臺(tái)電腦上，都是可信任的，也是最容易的，但是使用SSL的缺點(diǎn)就是價(jià)格較高。如果IIS服務(wù)器只在你的組織內(nèi)部使用，你可以使用自己的PKI證書(shū)發(fā)出的Web服務(wù)器，在你所處的環(huán)境。但是，內(nèi)部用戶訪問(wèn)時(shí)可能存在，在不同的電腦上沒(méi)有安裝證書(shū)的計(jì)算機(jī)訪問(wèn)會(huì)出現(xiàn)問(wèn)題。如果你的IIS服務(wù)器只在測(cè)試環(huán)境中使用，那么你可以在ISS管理工具中，使用自簽名的證書(shū)。在以前的ISS版本中沒(méi)有集成這一功能，你必須從微軟下載一個(gè)工具來(lái)創(chuàng)造自己的簽名證書(shū)，而在IIS7中，這個(gè)過(guò)程就容易多了。

　　7、　　當(dāng)一個(gè)有效的包進(jìn)入IIS處理時(shí)，同時(shí)也應(yīng)該會(huì)有一個(gè)授權(quán)的人。IIS7允許你使用一個(gè)過(guò)程調(diào)用 URL授權(quán)。 特定的頁(yè)面和/或Web服務(wù)器的php/' target='_blank'>網(wǎng)站，可以授權(quán)給不同的用戶。默認(rèn)情況下，用戶應(yīng)首先驗(yàn)證自己，并根據(jù)其驗(yàn)證身份，然后允許或不允許進(jìn)入他們所要求的網(wǎng)頁(yè)/php/' target='_blank'>網(wǎng)站。這與之前ISS版本不同，管理員可設(shè)置文件系統(tǒng)級(jí)別上的權(quán)限。使用URL授權(quán)IIS7的方式來(lái)支持更詳細(xì)的授權(quán)用戶。

　　8、如果你感覺(jué)你的IIS基礎(chǔ)設(shè)施和所有的安全解決方案已經(jīng)沒(méi)有問(wèn)題的話，那么就要進(jìn)行測(cè)試了。使用測(cè)試工具微軟會(huì)提供給你大師級(jí)的策略來(lái)確保你的測(cè)試是最好的方法。 做測(cè)試最常用的工具是SCW和SCM.下面就來(lái)介紹一下：安全配置向?qū)?SCW)--這是根據(jù)你的服務(wù)器除IIS服務(wù)器之外，是否或者還扮演一些其他的角色，而有所不同。 測(cè)試結(jié)束后SCW會(huì)告訴你如何提高服務(wù)器安全性的報(bào)告和建議。安全合規(guī)管理器(SCM)-是微軟給你的服務(wù)器做安全測(cè)試的工具。在與配置服務(wù)器的預(yù)定義模板進(jìn)行對(duì)比后，通過(guò)改變使用策略來(lái)配置服務(wù)器。SCM使用更新過(guò)的數(shù)據(jù)庫(kù)工具，要比SCW所使用的工具更復(fù)雜。從而確保你定期進(jìn)行初始化安裝服務(wù)器后能運(yùn)行這些工具。

　　9、上面提到了有關(guān)IIS日志記錄功能的作用，但日志最重要的作用是為你監(jiān)視特定事件可能導(dǎo)致服務(wù)器或托管的應(yīng)用程序中存在的問(wèn)題。同樣重要的是為你監(jiān)控服務(wù)器本身的運(yùn)行時(shí)間，可用性和性能問(wèn)題。 也可以監(jiān)控IIS服務(wù)器的一個(gè)SLA協(xié)議的對(duì)象，無(wú)論是內(nèi)部(公司)或外部(客戶端)的SLA要求。 理論上，這種監(jiān)測(cè)可以由一個(gè)服務(wù)器管理員手動(dòng)完成，但要更高效、更可靠的話可把這種工作，交給像Monitis的監(jiān)測(cè)公司解決。

　　以上9個(gè)步驟，都是由前輩們辛苦的總結(jié)出來(lái)的，也希望大家有了新的方法可以提出來(lái)大家一起解決!

重慶中技互聯(lián)網(wǎng)信息咨詢有限公司 www.tmsmall666.cn