加固Windows Server 2003 IIS 服务器---win,服务器-为中国网络技术提供点滴动力-iyit.net-易特网络技术！

　　通行证: 用户密码

域名空间　下载中心　 社区论坛　信息公告 MY小屋

联系我们
设为首页
加入收藏

QQ,ASP,PHP,JSP,XML,SQL,.Net,编程程序网页图象建站经验私服




	当前位置：首页>>服务器>>Web服务器>>正文	新版上线！[旧版]

注:打开慢时请稍等

加固Windows Server 2003 IIS 服务器

http://www.iyit.net 日期：2006-10-6 13:55:39 来源：点击：

【参加讨论】

在实施上表所列举的规则时，应当对它们都进行镜像处理。这样可以确保任何进入服务器的网络通信也可以返回到源服务器。

　　上表介绍了服务器要想完成特定角色的功能所应该打开的基本端口。如果服务器使用静态的 IP 地址，这些端口已经足够。如果需要提供更多的功能，则可能需要打开更多的端口。打开更多的端口将使得您的环境下的 IIS 服务器更容易管理，但是这可能大大降低服务器的安全性。

　　由于在域成员和域控制器之间有大量的交互，尤其是 RPC 和身份验证通信，在 IIS 服务器和全部域控制器之间，您应该允许所有的通信。通信还可以被进一步限制，但是大多数环境都需要为有效保护服务器而创建更多的过滤器。这将使得执行和管理 IPSec 策略非常困难。您应该为每一个将与 IIS 服务器进行交互的域控制器创建类似的规则。为了提高 IIS 服务器的可靠性和可用性，您需要为环境中的所有域控制器添加更多规则。

　　正如上表所示，如果环境中运行了 Microsoft 操作管理器 (MOM)，那么在执行 IPSec 过滤器的服务器和 MOM 服务器之间，应该允许传输所有的网络通信。这是必须的，因为在 MOM 服务器和 OnePoint 客户端（向 MOM 控制台提供报告的客户端应用程序）之间存在大量的交互过程。其它管理软件可能也具有类似的需求。如果需要更高级别的安全性，则可以配置 OnePoint 客户端的过滤操作，从而协调 IPSec 和 MOM 服务器。

　　该IPSec 策略将有效地阻止通过任意一个高端口的通信，因此它不允许远程过程调用 (RPC) 通信。这可能会使得服务器的管理非常困难。由于已经关闭了许多端口，您可以启用终端服务。这样一来，管理员便可以执行远程管理。

　　上面的网络通信图假设环境中包含启用了 Active Directory 的 DNS 服务器。如果使用独立的 DNS 服务器，则可能需要其他规则。本篇文章发表于www.iyit.net(易特网络)

　　IPSec 策略的执行应该不会对服务器的性能有明显影响。但是，在执行这些过滤器之前必须进行测试，以核实服务器保持了必要的功能和性能。您可能还需要添加一些附加规则以支持其它应用程序。

　　本指南包括一个 .cmd 文件，它简化了依照指南要求为域控制器创建 IPSec 过滤器的过程。PacketFilters-IIS.cmd 文件使用 NETSH 命令创建适当的过滤器。必须修改此 .cmd 文件，以使其包含您所在环境中域控制器的 IP 地址。脚本中包含两个占位符，用于要添加的两个域控制器。如需要，可以添加其他的域控制器。这些域控制器的 IP 地址列表应当是最新的。

　　如果环境中有 MOM，应当在脚本中指定相应的 MOM 服务器 IP 地址。此脚本不会创建永久的过滤器。因此，直到 IPSec 策略代理启动时，服务器才会得到保护。有关构建永久的过滤器或创建高级 IPSec 过滤器脚本的详细信息，请参阅模块其他成员服务器强化过程。最后，此脚本被配置为不分发其创建的 IPSec 策略。IP 安全性策略管理单元可被用来检查所创建的 IPSec 过滤器，并且分发 IPSec 策略以便让其А?

　　小结

　　本章解释了在本指南指定的三种环境下，为保护 IIS 服务器的安全所应采取的强化设置。我们讨论的大多数设置通过组策略进行配置和应用。可以将能够为 MSBP 提供有益补充的组策略对象 (GPO) 链接到包含 IIS 服务器的相应组织单位 (OU)，以便为这些服务器提供的服务赋予更多的安全性。

　　本章讨论的有些设置不能通过组策略得到应用。对于这种情况，本章介绍了有关手动配置这些设置的详细信息。此外，我们还详细介绍了创建和应用能够控制 IIS 服务器间网络通信类型的 IPSec 过滤器的具体过程。

本新闻共5页,当前在第5页 1 2 3 4 5

编辑：黑鹰　[发送给好友] [打印本页] [关闭窗口] [返回顶部]
上一篇：概述IIS6.0默认设置安全性的改变
下一篇：打造安全IIS服务器之IIS FAQ
转载请注明来源：www.iyit.net
特别声明： 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。

　相关文章

我在windows XP上安装apache2.044+php	Apache2-Win32+PHP的成功安装方法	PHP在Win2003上面怎样安装？
请问IIS能否和Apache服务器并存的问题	在win2k下如何安装apache、mysql、php？	当一个长时间运行的服务器端脚本，客户
读出数据库的数据生成一个EXCEL文件存于	我怎么才能让留言时间和北京时间对应呀	关于 Apache 的几种常见应用举例与分析
备份和恢复Windows IIS服务器设置	提高IIS网站服务器效率八法	在Win 2003环境中设置一个Web服务器
网管实战服务器为什么无法进行自动备份	加固安全为IIS服务器配置SSL	首次用服务器的站长常犯的错误
Win2003完美配置Apache+IIS+Tomcat多站	一步步教你在Win2003下安装IIS组件	轻松架设Win2003中WEB服务器
用IIS和Apache搭建Web服务器入门（1）	用IIS和Apache搭建Web服务器入门（2）	基于IIS的WEB服务器架建
Winodws下IIS/Apache+PHP+MySQL的安装配	Win2000 Server IIS和Tomcat5多站点配置	windows下jsp运行环境的配置方案

最新更新

热点排行

推荐新闻

关于 Apache 的几种常见应用举例与分析

IIS出现错误后如何完全重装

IIS常见问题和错误及其解决方案

备份和恢复Windows IIS服务器设置

一个IP建多个Web站点--主机头名法

我在windows XP上安装apache2.044+ph

Apache+php，怎样打开session支持？？

在linux中怎么配置pdflib和php 高分！

怎么样同时解释.php和.php3的文件呀，

PHP 4.1.0 及以后版本使用POST变量的接

Apache2-Win32+PHP的成功安装方法

关于 Apache 的几种常见应用举例与分析

IIS出现错误后如何完全重装

IIS常见问题和错误及其解决方案

备份和恢复Windows IIS服务器设置

一个IP建多个Web站点--主机头名法

QQ密码被盗怎么办!我教你找回密码

如何控制我的电脑只允许登录我自己的Q

QQ2006 Beta3隆重发布实用功能一一奉

三分钟让你的系统变处女：Acronis Tru

让你的密码成为黑客的“耻辱”

比较SQL Server2005和Oracle 10g R2

SQL Server2005的XML数据类型之基础篇

SQL SERVER服务器的“偷梁换柱”

在win2003下MySQL数据库每天自动备份

Win2000 Apache PHP MySQL 安装及安全

MySQL账户相关

快速安装Windows操作系统独家秘籍

	友情链接

	Copyrights © 2004-2006 iYiT.Net All Rights Reserved. 网站合作、广告联系QQ:147007642、466949678
	易特网络技术冀ICP备05011851号		浏览器不支持嵌入式框架，或被配置为不显示嵌入式框架。