关于Windows Internet服务器安全配置(2)

2008-02-23 07:05:09来源：互联网阅读 ()

额外措施

我们可以通过增加一些设备和措施来进一步加强系统安全性。

1.代理型防火墙，如ISA2004

代理型防火墙可以对进出的包进行内容过滤，设置对HTTP REQUEST内的request string或者form内容进行过滤。将SELECT、DROP、DELETE、INSERT等都过滤掉。因为这些关键词在客户提交的表单或者内容中是不可能出现的，过滤了以后可以说从根本杜绝了SQL 注入。

2.用SNORT建立IDS

用另一台服务器建立个SNORT，对于所有进出服务器的包都进行分析和记录，特别是FTP上传的指令以及HTTP对ASP文件的请求，可以特别关注一下。

实践篇

下面我用的例子,将是一台标准的虚拟主机。

系统：Windows2003

服务：[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]

描述：为了演示，绑定了最多的服务，大家可以根据实际情况做筛减。

1.Windows本地安全策略端口限制

A.对于我们的例子来说，需要开通以下端口：

外->本地 80

外->本地 20

外->本地 21

外->本地 PASV所用到的一些端口

外->本地 25

外->本地 110

外->本地 3389

然后按照具体情况，打开SQL SERVER和MYSQL的端口：

外->本地 1433

外->本地 3306

B.接着是开放从内部往外需要开放的端口

按照实际情况，如果无需邮件服务，则不要打开以下两条规则：

本地->外 53 TCP,UDP

本地->外 25

按照具体情况如果无需在服务器上访问网页尽量不要开以下端口：

本地->外 80

C.除了明确允许的一律阻止

这个是安全规则的关键：

外->本地 所有协议 阻止

2.用户帐号

a.将administrator改名，例子中改为root。

b.取消所有除管理员root外所有用户属性中的。

远程控制->启用远程控制，以及，终端服务配置文件->允许登陆到终端服务器。

c.将guest改名为administrator并且修改密码。

d.除了管理员root，IUSER以及IWAM以及ASPNET用户外，禁用其他一切用户，包括SQL DEBUG以及TERMINAL USER等等。

3.目录权限

将所有盘符的权限，全部改为只有

administrators组  全部权限

system  全部权限

将C盘的所有子目录和子文件，继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限，然后做如下修改：

C:\Program Files\Common Files 开放Everyone，默认的读取及运行，列出文件目录，读取三个权限。

C:\Windows\ 开放Everyone　默认的读取及运行，列出文件目录，读取三个权限。

C:\Windows\Temp 开放Everyone 修改，读取及运行，列出文件目录，读取，写入权限。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有

上一篇：手把手教你几种方式来巧妙设置路由器

下一篇：电子邮件炸弹攻击原理及相关预防方法

IDC资讯：主机资讯注册资讯托管资讯 vps资讯网站建设

网站运营：建站经验策划盈利搜索优化网站推广免费资源

网站联盟：联盟新闻联盟介绍联盟点评网赚技巧

行业资讯：搜索引擎网络游戏电子商务广告传媒

网络编程： Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它

服务器技术： Web服务器 Ftp服务器 Mail服务器 Dns服务器安全防护

软件技巧：其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷

网页制作： FrontPages Dreamweaver Javascript css photoshop fireworks Flash

程序设计： Java技术 C/C++ VB delphi

网络知识：网络协议网络安全网络管理组网方案 Cisco技术

操作系统： Win2000 WinXP Win2003 Mac OS Linux FreeBSD

最新资讯

热门关注