Win2003服务器高安全配置(冰盾防火墙设置方法)_win服务器

答案是否定的,首先我想说:

       我认为目前Linux的家庭用户比较少,在用户量方面Linux是敌不过Windows的,因为大部分游戏,应用软件等都是基于win平台VB,VC,C#等开发的,而且目前电脑初学者学习的教材方面大部分都是关于Windows的,至少这几年,十几年内微软应该还是win霸主。在Linux挖掘出一个漏洞,能通过利用此漏洞广为传播病毒的计算机感染数量很少,所以Linux的漏洞价值不是很高。而且玩Linux的高手我认为大部分是技术型的,不屑于去追求那些蝇头小利以及炫耀什么,乐于开源以及分享自己最新的研究成果,这个原因也造就了如今Linux的安全性。

       Windows只要安全细节做得好,入侵成功的几率是很低的。好了,废话不多说了,下面进入正文,谈谈我对web服务器安全防护的经验和方案。

 

 

       这个安全防护方案正是我博客网站www.9170.org采用的防护方案,还有更高的防护方案以后再说(我提供一种思路,比如:一个外网IP开放VPN和NAT端口转发,然后路由器里面的一台计算机连接VPN,把80端口转发到内网,内网又有一个MySQL内网服务器)

 

方案如下:

系统平台:

      Win2003sp2企业版,打上所有微软发布的安全更新。

主要硬件:Intel双核CPU,512M内存

优化设置:

关闭默认共享$admin,$c等,代码如下:

net share c$ /delete

net share admin$ /delete

echo  .. delshare.reg .......

echo Windows Registry Editor Version 5.00> c:\delshare.reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg

echo "AutoShareWks"=dword:00000000>> c:\delshare.reg

echo "AutoShareServer"=dword:00000000>> c:\delshare.reg

echo  .. delshare.reg .....

regedit /s c:\delshare.reg

echo  .. delshare.reg ....

del c:\delshare.reg

新建文本文档另存为.bat文件运行.

尽量不安装任何应用软件(如:迅雷,QQ等)安装好杀毒软件以及防火墙。

安装winrar,关闭多余系统服务项(如自带的防火墙,计划任务,打印机等。注意:请根据服务器实际情况来关闭,如果不懂系统后台服务不建议去修改。可以参考http://baike.baidu.com/view/685551.htm)

开机自启的注册表键值除输入法外一般都可以删除。

 

系统安全设置

磁盘都使用NTFS格式,如果是FAT32,请转换。命令格式如:convert c:/fs:ntfs(命令默认是C盘,如果是别的分区,请修改盘符)对根目录的权限值保留administrator、system完全权限,如图所示:

Web根目录只保留administrator、system、以及用来启动该web的IIS用户完全访问权限。如图所示:

 

Web根目录只保留administrator、system、以及用来启动该web的IIS用户完全访问权限。如图所示:

CMD.EXE,NET.EXE,NET1.EXE,以及回收站目录只保留administrator和system的完全权限,如图所示:

删除安装IIS后生成的intepub目录。目录安全权限设置完毕。

PHP安全设置

由于此文说的是安全,跳过PHP安装步骤。编辑PHP配置文件,用文本编辑器打开php.ini。做如下修改:
        safe_mode = On
        disable_functions = passthru, exec, shell_exec, system, fopen, mkdir, rmdir, chmod, unlink, dir, fopen, fread, fclose, fwrite, file_exists, closedir, is_dir, readdir, opendir, fileperms, copy, unlink, delfile, popen, COM

 

PHP使用network service这个用户组启动的,所以在PHP的安装目录我们需要给他权限,如图所示:

至此PHP的安全设置已经完毕。

 

MySQL安全设置

安装好MySQL和phpmyadmin后使用root账户登录,修改root为强密码,最好是数字+大写+小写,如果记得住特殊符号也行。然后点权限,添加新用户新建一个用户,创建与用户同名的数据库并授予所有权限,不给予特殊权限。网站连接MySQL的用户就使用这个新建的,千万不要用root!如图所示:

 

IIS安全设置

对每个挂在IIS里面的网站设置一下权限,如MDB数据库路径在IIS里设置不能读取,写入等,无执行权限
 

 

上传目录无执行可读取。

 

关闭未知的扩展等,最好在每个网站都用一个独立用户启动,可以命名为IIS_***,对应每一个网站根目录的权限,IIS允许匿名访问,这样可以防止别的网站跨目录访问

 

防护CC和DDOS攻击

攻击的原理就不说了,搜索引擎搜索一下就知道了,一般的CC攻击都是WEB动态页面发起的,而且会在短时间新建很多TCP端口连接,根据这个特征,我们可以安装一个DDOS防火墙,设置规则,我使用的是冰盾,如图所示是我设置的防护CC攻击规则。

 

在端口过滤里面可以设置流量

这样设置完以后就能防止DDOS以及CC攻击。

而且能防止扫描软件扫描WEB页面和暴力破解后台登陆(因为做了连接数过多屏蔽,一般的扫描和破解都是多线程开放很多端口同时进行,工具扫描的连接数过多就自动屏蔽了,增大安全性能)

时间: 2024-09-20 10:36:46

Win2003服务器高安全配置(冰盾防火墙设置方法)_win服务器的相关文章

让服务器iis支持.apk文件下载的设置方法_win服务器

随着智能手机的普及,越来越多的人使用手机上网,很多网站也应手机上网的需要推出了网站客户端,.apk文件就是安卓(Android)的应用程序后缀名,默认情况下,使用IIS作为Web服务器的无法下载此文件,那么怎么才能让IIS支持.apk文件的下载呢? IIS服务器不能下载.apk文件的原因:iis的默认MIME类型中没有.apk文件,所以无法下载. IIS服务器不能下载.apk文件的解决办法:既然.apk无法下载是因为没有MIME,那么添加一个MIME类型就可以了. IIS服务器不能下载.apk文

win2008 R2 WEB环境配置之Mssql Server 2008 R2 安装图文教程及远程连接设置方法_win服务器

Microsoft SQL Server 是用于电子商务.业务线和数据仓库解决方案的数据库管理和分析系统.是微软旗下的商业数据库软件.目前最新的版本已经发展到SQL Server 2014了,微软更是推出了Windows Azure SQL云数据库. 本篇的教程的目的就是带领大家安装一下Sql server 2008 R2,对每一步作一个大概的说明,说得不好的地方,请大家指出来,大家共同进步. 这台服务器是天翼云的1元主机,买来就是给大家做教程用的.如果大家觉得好,请多多关注本博客. 安装步骤

windows防火墙支持FTP服务的设置方法_win服务器

这种问题站长们经常遇到,偶把真正的解决方案贴出来给大家看下! 问题:2003 server用于提供web和ftp服务,通过互联网用flashfxp实现远程上传网页.如果关闭防火墙,ftp上传下载正常,但启用windows防火墙后就不行,即使把web.ftp等服务列为例外也不行.究其原因,flashfxp工作时实际还要用1024以上的tcp端口,而且对端口的指定是要变的.请有类似经验的朋友指点一下,这种情况下如何在开启windows防火墙时保证flashfxp能正常上传下载?只知道ftp使用20.

让IIS支持Flv的详细设置方法_win服务器

国内大多都是Win2003的主机,FLV格式文件上传服务器后不能播放,默认是没有指定输出FLV这种格式的虽然FTP里面可以看见,但无法通过http访问,也就无法播放了.原因是,WIN2003加强了IIS6的MIME验证,一切未注册扩展文件格式统统显示404错误.手动在IIS得站点属性中的HTTP头->MIME添加MIME影射关系,MIME类型: video/x-flv 扩展名:.flv,即可通过Flash7+客户端Load进来播放. "虚拟主机都不支持Flv格式文件"的问题:比如

IIS7/IIS7.5 二级域名伪静态设置方法_win服务器

因为需要,一直在找IIS7.5二级域名伪静态的设置方法,但是一直没有找到,有的也是ASP.NET设置的,通过本人摸索,终于完成了,其实很简单,下面我一步步教大家怎么设置.    一.域名设置     这个就不多说了,大家都知道,就是将域名解析管理里的"*.xxxx.com"指向对应服务器IP,比如我的就是"*.xue163.com"指向我现在服务器IP.     二.服务器IIS设置     为了使得乏解析都有效,肯定需要一个默认网站的,不绑定任何域名,如我的: (

IIS 服务器 防范攻击3条安全设置技巧_win服务器

什么?你觉得安全设置很复杂?没关系,通过我们介绍的IIS服务器安全设置的三个方法,就能很好地防范攻击. 基本设置 打好补丁删除共享 个人站长通常使用Windows服务器,但是我们通过租用或托管的服务器往往不会有专门的技术人员来进行安全设置,所以就导致了一些常见的基本漏洞仍然存在.其实,只要通过简单的安装服务器补丁,就能防止大部分的漏洞入侵攻击. 在服务器安装好操作系统后,正式启用之前,就应该完成各种补丁的安装.服务器的补丁安装方法与我们使用的XP系统类似,这里就不再赘述. 做好了基本的补丁安装,

IIS中保持HTTP连接的设置方法_win服务器

大多数 Web 浏览器要求服务器在多个请求中保持连接打开.这被称为保持 HTTP 连接.保持连接是一个 HTTP 规范,它能够显著增强服务器性能.如果没有它,浏览器将必须为包含多个元素(如图形)的页进行大量的连接请求.可能需要为每个元素进行单独连接.这些额外的请求和连接要求额外的服务器活动和资源,这将会降低服务器的效率.它们还会大大降低浏览器的速度和响应能力,尤其是在网络连接速度较慢的地方. 在安装进程中,将默认启用保持 HTTP 连接.启用后,保持连接的持续时间是连接超时设置允许的时间. 集成

用Serv-U架设FTP服务器的方法与设置方法_win服务器

Serv-U是一种被广泛运用的FTP服务器端软件,支持Windows 9x/2000/XP操作系统.它安装简单,功能强大,可以用同一个IP设定多个FTP服务器.限定登录用户的权限.登录主目录及空间大小.支持远程登录管理等. 1.安装Serv-U Serv-U的安装相当还简单,你只需双击下载来的安装文件文件,按照提示一路点击"NEXT"按钮即可轻松完成. 注意:在选择安装目录时,最好选择安装在一个非系统盘里,以免将来系统发生异常时还要重新进行账号等的设置. 2.设置Serv-U Serv

配置win2008防火墙 允许被Ping的设置方法_win服务器

如果要配置允许被 Ping 通过以往的设置步骤会发现并不能从 Windows firewall 里找到 ICMP 的相关配置项,而该规则的操作现在必须通过"高级安全 Windows 防火墙" 进行配置.步骤如下: 打开管理工具中的"高级安全 Windows 防火墙": 在左侧导航窗体中定位到"入站规则",之后在入站规则中找到配置文件类型为"公共"的"文件和打印共享(回显请求 – ICMPv4-In)"规则,