server安全入门.txt

BBS的精华之处

  
5>仅给用户真正需要的权限，权限的最小化原则是安全的重要保障；  
 
8.预防DoS：  
在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以 
下值可以帮助你防御一定强度的DoS攻击  
SynAttackProtect REG_DWORD 2  
EnablePMTUDiscovery REG_DWORD 0  
NoNameReleaseOnDemand REG_DWORD 1  
EnableDeadGWDetect REG_DWORD 0  
KeepAliveTime REG_DWORD 300,000  
PerformRouterDiscovery REG_DWORD 0  
EnableICMPRedirects REG_DWORD 0  
 
ICMP攻击：ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法，其实应付 
的方法也很简单，win2000自带一个Routing & Remote Access工具，这个工具初具 
路由器的雏形（微软真是的，什么都要做？听说最近又要做防火墙了）在这个工具 
中，我们可以轻易的定义输入输出包过滤器，例如，设定输入ICMP代码255丢弃就 
表示丢弃所有的外来ICMP报文（让你炸？我丢、丢、丢）  
 
四、 需要注意的一些事：  
实际上，安全和应用在很多时候是矛盾的，因此，你需要在其中找到平衡点，毕竟 
服务器是给用户用而不是做OPEN HACK的，如果安全原则妨碍了系统应用，那么这 
个安全原则也不是一个好的原则。  
网络安全是一项系统工程，它不仅有空间的跨度，还有时间的跨度。很多朋友（包 
括部分系统管理员）认为进行了安全配置的主机就是安全的，其实这其中有个误区 
：我们只能说一台主机在一定的情况一定的时间上是安全的，随着网络结构的变化 
、新的漏洞的发现，管理员/用户的操作，主机的安全状况是随时随地变化着的， 
只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。  
本文在撰写过程中参阅了大量Win2000安全的文章，在此向这些作者表示感谢。  
 
 
提高IIS 5.0网站伺服器的执行效率的八种方法  
 
 
　以下是提高IIS 5.0网站伺服器的执行效率的八种方法： 
 
　1. 启用HTTP的持续作用可以改善15~20%的执行效率。 
 
　2. 不启用记录可以改善5~8%的执行效率。 
 
　3. 使用 [独立] 的处理程序会损失20%的执行效率。 
 
　4. 增加快取记忆体的保存档案数量，可提高Active Server Pages之效能。 
 
　5. 勿使用CGI程式。 
 
　6. 增加IIS 5.0电脑CPU数量。 
 
　7. 勿启用ASP侦错功能。 
 
　8. 静态网页采用HTTP 压缩，大约可以减少20%的传输量。 
 
　简单介绍如下。 
 
　1、启用HTTP的持续作用 
 
　启用HTTP的持续作用（Keep-Alive）时，IIS与浏览器的连线不会断线，可以改 
善执行效率，直到浏览器关闭时连线才会断线。因为维持「Keep-Alive」状态时， 
於每次用户端请求时都不须重新建立一个新的连接，所以将改善伺服器的效率。 
 
　此功能为HTTP 1.1预设的功能，HTTP 1.0加上Keep-Alive header也可以提供 
HTTP的持续作用功能。 
 
　2、启用HTTP的持续作用可以改善15~20%的执行效率。 
 
　如何启用HTTP的持续作用呢？步骤如下： 
 
　在 [Internet服务管理员] 中，选取整个IIS电脑、或Web站台，於 [内容] 之  
[主目录] 页，勾选 [HTTP的持续作用] 选项。 
 
　3、不启用记录 
 
　不启用记录可以改善5~8%的执行效率。 
 
　如何设定不启用记录呢？步骤如下： 
 
　在 [Internet服务管理员] 中，选取整个IIS电脑、或Web站台，於 [内容] 之  
[主目录] 页，不勾选 [启用记录] 选项。 
 
　设定非独立的处理程序 
 
　使用 [独立] 的处理程序会损失20%的执行效率，此处所谓「独立」系指将 [主 
目录]、[虚拟目录] 页之应用程式保护选项设定为 [高（独立的）] 时。因此 [应 
用程式保护] 设定为 [低 (IIS处理程序)] 时执行效率较高，设定画面如下： 
 
　如何设定非「独立」的处理程序呢？步骤如下： 
 
　在 [Internet服务管理员] 中，选取整个IIS电脑、Web站台、或应用程式的起始 
目录。於 [内容] 之 [主目录]、[虚拟目录] 页，设定应用程式保护选项为 [低  
(IIS处理程序)] 。 
 
　4、调整快取（Cache）记忆体 
 
　IIS 5.0将静态的网页资料暂存於快取（Cache）记忆体当中；IIS 4.0则将静态 
的网页资料暂存於档案当中。调整快取（Cache）记忆体的保存档案数量可以改善 
执行效率。 
 
　ASP指令档案执行过後，会在暂存於快取（Cache）记忆体中以提高执行效能。增 
加快取记忆体的保存档案数量，可提高Active Server Pages之效能。 
 
　可以设定所有在整个IIS电脑、「独立」Web站台、或「独立」应用程式上执行之 
应用程式的快取记忆体档案数量。 
 
　如何设定快取（Cache）功能呢？步骤如下： 
 
　在 [Internet服务管理员] 中，选取整个IIS电脑、「独立」Web站台、或「独立 
」应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录] 页，按下 [设定 
] 按钮时，即可由 [处理程序选项] 页设定 [指令档快取记忆体] 。 
 
　如何设定快取（Cache）记忆体档案数量呢？步骤如下： 
 
　在 [Internet服务管理员] 中，选取整个IIS电脑、或Web站台的起始目录。於  
[内容] 之 [伺服器扩充程式] 页，按下 [设定] 按钮。 
 
　即可设定快取（Cache）记忆体档案数量。 
 
　5、勿使用CGI程式 
 
　使用CGI程式时，因为处理程序（Process）须不断地产生与摧毁，造成执行效率 
不佳。 
 
　一般而言，执行效率比较如下： 
 
　 　 静态网页（Static）：100 
 
　 　 ISAPI：50 
 
　 　 ASP：10 
 
　 　 CGI：1 
 
　换句话说，ASP比CGI可能快10倍，因此勿使用CGI程式可以改善IIS的执行效率。 
 
 
　以弹性（Flexibility）而言：ASP > CGI > ISAPI > 静态网页（Static）。 
 
　以安全（Security）而言：ASP（独立） = ISAPI（独立）= CGI > ASP（非独立 
） = ISAPI（非独立）= 静态网页（Static）。 
 
　6、增加IIS 5.0电脑CPU数量 
 
　根据微软的测试报告，增加IIS 4.0电脑CPU数量，执行效率并不会改善多少；但 
是增加IIS 5.0电脑CPU数量，执行效率会几乎成正比地提供，换句话说，两颗CPU 
的IIS 5.0电脑执行效率几乎是一颗CPU电脑的两倍，四颗CPU的IIS 5.0电脑执行效 
率几乎是一颗CPU电脑的四倍。 
 
　IIS 5.0将静态的网页资料暂存於快取（Cache）记忆体当中；IIS 4.0则将静态 
的网页资料暂存於档案当中。调整快取（Cache）记忆体的保存档案数量可以改善 
执行效率。 
 
　7、启用ASP侦错功能 
 
　勿启用ASP侦错功能可以改善执行效率。 
 
　如何勿启用ASP侦错功能呢？步骤如下： 
 
　於 [Internet服务管理员] 中，选取Web站台、或应用程式的起始目录，按右键 
选择 [内容]，按 [主目录]、[虚拟目录] 或 [目录] 页，按下 [设定] 按钮，选 
择 [应用程式侦错] 页，不勾选 [启用ASP伺服器端指令侦错]、[启用ASP用户端指 
令侦错] 选项。 
 
　8、静态网页采用HTTP 压缩 
 
　静态网页采用HTTP 压缩，大约可以减少20%的传输量。 
 
　HTTP压缩功能启用或关闭，系针对整台IIS伺服器来设定。 
 
　用户端使用IE 5.0浏览器连线到已经启用HTTP压缩IIS 5.0之Web伺服器，才有 
HTTP压缩功能。 
 
　如何启用HTTP压缩功能呢？步骤如下： 
 
　若要启用HTTP压缩功能，方法为在 [Internet服务管理员] 中，选取电脑之 [内 
容]，於 [主要内容] 之下选取 [WWW服务]。然後按一下 [编辑] 按钮，於 [服务] 
 页上，选取 [压缩静态档案] 可以压缩静态档案，不选取 [压缩应用程式档案]  
。 
 
　动态产生的内容档案（压缩应用程式档案）也可以压缩，但是须耗费额外CPU处 
理时间，若% Processor Time已经百分之八十或更多时，建议不要压缩。