userli
副版主
帖子
1103
精华
1
无忧币 15423
积分 3306
阅读权限 140
|
发表于:2008-3-25 10:35
标题:WIN2000 SERVER安全配置技巧58条(2)
<上一帖 |
下一帖>
21.安装最新的MDAC(http://www.microsoft.com/data/download.htm)
;r"P+r9W�q9E�]$Q�t-q51CTO技术论坛
�b�k Z!j
C�I51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 说明:MDAC为数据访问部件,通常程式对数据库的访问都通过他,但他也是黑客攻击的目标,为防止以前版本的漏洞可能会被带入升级后的版本,建议卸载后安装最新的版本。注意:在安装最新版本前最好先做一下测试,因为有的数据访问方式或许在新版本中不再被支持,这种情况下能够通过修改注册表来档漏洞,祥见漏洞测试文档。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离'v!E;T%c*H�W�I�F(O
3{&N�Q)a;O�p n51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 22.配置IP拒绝访问列表
4|6]�K.n$v:Y�[�t(M1|51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�j4x"?�Z/n�u
说明:对于WWW服务,能够拒绝一些对站点有攻击嫌疑的地址;尤其对于FTP服务,假如只是自己公司上传文档,就能够只允许本公司的IP访问改FTP服务,这样,安全性大为提高。 51CTO技术论坛.P2V%q"n�K1n W
3m�D�a6Y�Q-U51CTO技术论坛 23.禁止对FTP服务的匿名访问
-T�v#^5s�d�W�?�]8F51CTO技术论坛
�V�H$|&|2W51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 说明:假如允许对FTP服务做匿名访问,该匿名帐户就有可能被利用来获取包多的信息,以致对系统造成危害。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离2p"_�U+A�o�@�~�s;}
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离+w7V�I�l/Y-g�B,A
X
24.建议使用W3C扩充日志文档格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时配置日志的访问权限,只允许管理员和system为Full Control)
7y�l c�u5Q3~7z�j.r�H#c�W
说明:作为一个重要措施,既能够发现攻击的迹象,采取预防措施,也能够作为受攻击的一个证据。
�Z�Z�@1N5P;Q
o/}51CTO技术论坛7]�r"g4Q6b�M�K
25.慎重配置WEB站点目录的访问权限,一般情况下,不要给予目录以写入和允许目录浏览权限。只给予.ASP文档目录以脚本的权限,而不要给和执行权限。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�U6P�g)`
A#s#I�m
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离3|�K3~�S�D$f
说明:目录访问权限必须慎重配置,否则会被黑客利用。 �C�g�s
z�w5c){�s
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离8?�Q)}$]�O�@�F�G�l�T�[
26.涉及用户名和口令的程式最好封装在服务器端,尽量少的在ASP文档里出现,涉及到和数据库连接地用户名和口令应给予最小的权限。 51CTO技术论坛�|�X+j�{�E%]�X#I8N�L
�Q�N�N�u,i R�l;e-M51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 说明:用户名和口令,往往是黑客们最感兴趣的东西,假如被通过某种方式看到源代码,后果是严重的。因此要尽量减少他们在ASP文档中的出现次数。出现次数多得用户名和口令能够写在一个位置比较隐蔽的包含文档中。假如涉及到和数据库连接,理想状态下只给他以执行存储过程的权限,千万不要直接给予该用户以修改、插入、删除记录的权限。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离9V�o�m1Z�j�s�f
1j�B�Y�z
R�u4x
27.需要经过验证的ASP页面,可跟踪上一个页面的文档名,只有从上一页面转进来的会话才能读取这个页面。
.g�t'y
g"U,g�s#@"L0E"z
�M�U�~&E J5Pbbs.51cto.com 说明:现在的需要经过验证的ASP程式多是在页面头部加一个判断语句,但这还不够,有可能被黑客绕过验证直接进入,因此有必要跟踪上一个页面。具体漏洞见所附漏洞文档。
�G2|�U
r�C�j�Mbbs.51cto.com
;s�j�u v�P�|�U51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 28.防止ASP主页.inc文档泄露问题 �h
]�z;N�}�w�H�]
N�K
bbs.51cto.com$]"e9|0^*U;r9X�E0]$D+Q
当存在asp 的主页正在制作并没有进行最后调试完成以前,能够被某些搜索引擎机动追加为搜索对象,假如这时候有人利用搜索引擎对这些网页进行查找,会得到有关文档的定位,并能在浏览器中察看到数据库地点和结构的细节揭示完整的源代码。 (n,n�D�n,O�]�{/S�q�v
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离9u)K�o |+h�_�Q
解决方案:应该在网页发布前对其进行完全的调试;安全专家需要褂讪asp 包含文档以便外部的用户不能看他们。 首先对 .inc 文档内容进行加密,其次也能够使用 .asp 文档代替 .inc 文档使用户无法从浏览器直接观看文档的源代码。.inc 文档的文档名不用使用系统默认的或有特别含义容易被用户猜测到的,尽量使用无规则的英文字母。 51CTO技术论坛�x�T9M�f�B�O�a
I
7l�o�O"i m5}�^�x3I#w w51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 29.注意某些ASP编辑器会自动备份asp文档,会被下载的漏洞
4P�R�y$?
q�q�{�s�y51CTO技术论坛 ],~�K9k�O4o+M9R
在有些编辑asp程式的工具,当创建或修改一个asp文档时,编辑器自动创建一个备份文档,比如:UltraEdit就会备份一个.bak文档,如您创建或修改了some.asp,编辑器自动生成一个叫some.asp.bak文档,假如您没有删除这个 bak文档,攻击有能够直接下载some.asp.bak文档,这样some.asp的源程式就会给下载。 51CTO技术论坛�D)N4d�J V�Y$v�v7|
'@ K#}+\,?/i$d�Z,]
在处理类似留言板、BBS等输入框的ASP程式中,最好屏蔽掉HTML、javascript、VBScript语句,如无特别需要,能够限定只允许输入字母和数字,屏蔽掉特别字符。同时对输入字符的长度进行限制。而且不但在客户端进行输入合法性检查,同时要在服务器端程式中进行类似检查。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离5U"c b9C!T�X:t�W
/M/I�t1j.g�g�f;h�C
说明:输入框是黑客利用的一个目标,他们能够通过输入脚本语言等对用户客户端造成损坏; 假如该输入框涉及到数据查询,他们会利用特别查询输入得到更多的数据库数据,甚至是表的全部。因此必须对输入框进行过滤。但假如为了提高效率仅在客户端进行输入合法性检查,仍有可能被绕过,因此必须在服务器端再做一次检查。
8f�`.n%E�a5w)q�G&P3o#h�`51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
8A�y�M+E&?�X8Q�]�u 30.防止ACCESS mdb 数据库有可能被下载的漏洞
�M5n:^7~6~%p�e-}5V6~/j�L�E�w�X�p/_�z
在用ACCESS做后台数据库时,假如有人通过各种方法知道或猜到了服务器的ACCESS数据库的路径和数据库名称,那么他能够下载这个ACCESS数据库文档,这是很危险的。
�^�W�m�p1\�N#k�d�]51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
"W�v�R�T�D�r4? 解决方法:
�}'z-d�B+V*P+Y51CTO技术论坛6~&O+q
Y�Z�}&s�\
1>为您的数据库文档名称起个复杂的很规的名字,并把他放在几目录下。所谓 “很规”, 打个比方: 比如有个数据库要保存的是有关书籍的信息, 可不要把他起个“book.mdb”的名字,起个怪怪的名称,比如d34ksfslf.mdb, 再把他放在如./kdslf/i44/studi/的几层目录下,这样黑客要想通过猜的方式得到您的ACCESS数据库文档就难上加难了。
%F�k�d*A(?0G.Y�}51CTO技术论坛
�m�G#k)O�Q-k*^�C�C�R 2>不要把数据库名写在程式中。有些人喜欢把DSN写在程式中,比如:
�x�D�@�_�i�_
\bbs.51cto.com51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�R8W�R9r8e�U!N
o�q
�B�X�q�T!w�O�o51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
2q�?�I�o4\bbs.51cto.comDBPath = Server.MapPath("cmddb.mdb")�f�H q3y:m
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离(E�~�t�X�m�t
�[:W;?8C-k�D2Z#N51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离bbs.51cto.com-l!X�y7~�i�j
;F8I8F�M�K
o�b�i�T6b t%q R51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 假如万一给人拿到了源程式,您的ACCESS数据库的名字就一览无余。因此建议您在ODBC里配置数据源,再在程式中这样写:
�R�N�W#J�C$M�I�d,~#w
P51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离)[
x3J�w�d-~�p�D�f1l�~
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离9u y�E/?*K�?)j�U�X
�|�s&T9m�Q(Vconn.open "shujiyuan" 51CTO技术论坛�Z�I�d�k�_&e"U&D�z ]
:x�f�y%s�~-abbs.51cto.com�v%M�s%g"z
8B�v�V9p"`
?2W�z51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离2o�e�B�{8k*~�\�r�P�V
3>使用ACCESS来为数据库文档编码及加密。首先在选取堡具->安全->加密/解密数据库,选取数据库(如:employer.mdb),然后接确定,接着会出现“数据库加密后另存为”的窗口,存为:employer1.mdb。 接着employer.mdb就会被编码,然后存为employer1.mdb。 8w
j'f2B�c�r"H0i
bbs.51cto.com/@�`;F�L�L0R
要注意的是,以上的动作并不是对数据库配置密码,而只是对数据库文档加以编码,目的是为了防止他人使用别的工具来查看数据库文档的内容。
+}�Y�p1K$L�|�J;[51CTO技术论坛�h.f/H;y ?�s�A�W
接下来我们为数据库加密,首先以打开经过编码了的employer1.mdb, 在打开时,选择“独占”方式。然后选取宝能表的“工具->安全->配置数据库密码”, 接着 输入密码即可。这样即使他人得到了employer1.mdb文档,没有密码他是无法看到 employer1.mdb的。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
d5C$M�D-h!T�e&T
q
51CTO技术论坛�n
u�K1I;q.z�T5X�W+y�[
31.SQL SERVER是NT平台上用的最多的数据库系统,但是他的安全问题也必须引起重视。数据库中往往存在着最有价值的信息,一旦数据被窃后果不堪设想。 bbs.51cto.com�H�^�o�y�S0n
bbs.51cto.com5b�}�w5\&W(N�J�k
及时更新补丁程式。 /q�r#O�`${�[
说明:和NT相同,SQL SERVER的许多漏洞会由补丁程式来弥补。建议在安装补丁程式之前先在测试机器上做测试,同时提前做好目标服务器的数据备份。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离"Y Y:q�N;j+~�T*E�p
3M�S'j-l�Q51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离给SA一个复杂的口令。 (q*C0P�b�s�c�[
L�V�R$}2x e�I4h9X说明:SA具备对SQL SERVER数据库操作的全部权限。遗憾的是,一部分网管对数据库并不熟悉,建立数据库的工作由编程人员完成,而这部分人员往往只注重编写SQL 语句本身,对SQL SERVER数据库的管理不熟悉,这样很有可能造成SA口令为空。这对数据库安全是个严重威胁。现在具备这种隐患的站点不在少数。
�z�k�A*P8j�T�O51CTO技术论坛
�g!p9n/x�D(@3c2w:`3c严格控制数据库用户的权限,轻易不要给让用户对表有直接的查询、更改、插入、删除权限,能够通过给用户以访问视图的权限,连同只具备执行存储过程的权限。
�_2Y&e8F�l�A
'?�t�u�f�I�W说明:用户假如对表有直接的操作权限,就会存在数据被破坏的危险。制订完整的数据库备份和恢复策略。
�Z4j�A�y�r"e�c1Q
1}"r8W�|2Jbbs.51cto.com 32.现在,PCANYWHERE是最流行的基于2000的远程控制工具,同样也需要注意安全问题。 �p&D�K�q�X%y
�C(k u1U�P#?bbs.51cto.com建议采用单独的用户名和口令,最好采用加密手段。千万不要采用和NT管理员相同的用户名和口令,也不要使用和NT集成的口令。同时在服务器端的配置时务必采用security options中的强加密方式,拒绝低加密水平的连接,同时采用口令加密和传输过程中的用户名和口令加密,以防止被嗅探到,还要限制连接次数,另外很重要的一点就是一定在protect item中配置高强度的口令,同时一定限制不能够让别人看到您的host端的任何配置,即便是要察看主机端的相关配置也必须要输入口令!
�X�Q�U-G�y�o�g
{
+a9c�[�F"@�i1W�?�Cbbs.51cto.com说明:PCANYWHERE 口令是远程控制的第一个关口,假如和NT的相同, 就失去了安全屏障。被攻破后就毫无安全可言。而假如采用单独的口令,即使攻破了PCANYWHERE,NT更有一个口令屏障。及时安装较新的版本。
5|�O$_1t1X-K�V�T
pbbs.51cto.com#n�{2h�B
t
33.实际上,安全和应用在很多时候是矛盾的,因此,您需要在其中找到平衡点,毕竟服务器是给用户用而不是做OPEN HACK的,假如安全原则妨碍了系统应用,那么这个安全原则也不是个好的原则。 网络安全是一项系统工程,他不但有空间的跨度,更有时间的跨度。很多朋友(包括部分系统管理员)认为进行了安全配置的主机就是安全的,其实这其中有个误区:我只能说一台主机在一定的情况一定的时间上是安全的随着网络结构的变化、新的漏洞的发现,管理员/用户的操作,主机的安全状况是随时随地变化着的,只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。
&Z�q/i R
y9z X�P'b�b�q�n51CTO技术论坛bbs.51cto.com3`�M�V4\5~6s�A�n9L�|
以下是提高IIS 5.0网站服务器的执行效率的八种方法: 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离-c(_
K)W'm
+d�\
F�O8s;L-B7P�y2r51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 1. 启用HTTP的持续作用能够改善15~20%的执行效率。
8H�D,P-f2]'U�p:u;x51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离51CTO技术论坛�|!L#@�F�H
2. 不启用记录能够改善5~8%的执行效率。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�|�]�W�b�B-H!R
-Q�a�j0`�l 3. 使用 “单独” 的处理程式会损失20%的执行效率。
%o+Y+d$?&| _'u
5G#`�y�h�V+@�d X6V#D.D51CTO技术论坛 4. 增加快取内存的保存文档数量,可提高Active Server Pages之效能。 �A�a�m8P @ i�j�y
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 h�r�v�d�w2P�Z
5. 勿使用CGI程式。 �N�f�U T,_�F�z
�g!|.S�z�v�p9Vbbs.51cto.com 6. 增加IIS 5.0电脑CPU数量。
�@8x�Y�]3g�|�I�d51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离3Z6d�c�{*Y4l�J�n/O
7. 勿启用ASP侦错功能。
2R�[�V"h D7}51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
�S*v�k/y�t T5F�x�r51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 8. 静态网页采用HTTP 压缩,大约能够减少20%的传输量。 bbs.51cto.com#Q/D�A/q.y�i�S
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离+n�U3D�]�t
34.启用HTTP的持续作用(Keep-Alive)时,IIS和浏览器的连线不会断线,能够改善执行效率,直到浏览器关闭时连线才会断线。因为维持“Keep-Alive”状态时,于每次用户端请求时都不须重新建立一个新的连接,所以将改善服务器的效率。此功能为HTTP1.1预设的功能,HTTP 1.0加上Keep-Alive header也能够提供HTTP的持续作用功能。
�^�v1S3]�h*{51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离$a�c;r6~0o�D&{
启用HTTP的持续作用能够改善15~20%的执行效率。如何启用HTTP的持续作用呢?步骤如下:在“Internet服务管理员”中,选取整个IIS电脑、或Web站台,于“内容”之“主目录”页,勾选“HTTP的持续作用”选项。 3@9~ q�T�@9e
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离1a�q�[/H&G'E�i2G
35.不启用记录能够改善5~8%的执行效率。如何设定不启用记录呢?步骤如下: 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
k�y�B�g�N7D Q:m
在“Internet服务管理员”中,选取整个IIS电脑、或Web站台,于“内容”之“主目录”页,不勾选“启用记录”选项。设定非单独的处理程式使用“单独”的处理程式会损失20%的执行效率,此处所谓“单独”系指将“主目录”、“虚拟目录”页之应用程式保护选项设定为“高(单独的)” 时。因此“应用程式保护”设定为“低 (IIS处理程式)”时执行效率较高如何设定非“单独”的处理程式呢?步骤如下:在“Internet服务管理员”中,选取整个IIS电脑、Web站台、或应用程式的起始目录。于“内容”之“主目录”、“虚拟目录”页,设定应用程式保护选项为“低 (IIS处理程式)”。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�?�S8m�Q�x�K�j Y�O5Q
�h�w#r�I�P�U�f�M
36.IIS 5.0将静态的网页资料暂存于快取(Cache)内存当中;IIS 4.0则将静态的网页资料暂存于文档当中。调整快取(Cache)内存的保存文档数量能够改善执行效率。ASP指令文档执行过后,会在暂存于快取(Cache)内存中以提高执行效能。增加快取内存的保存文档数量,可提高Active Server Pages之效能。能够设定任何在整个IIS电脑、“单独”Web站台、或“单独”应用程式上执行之应用程式的快取内存文档数量。如何设定快取(Cache)功能呢?步骤如下:在 “Internet服务管理员” 中选取整个IIS电脑、“单独”Web站台、或“单独”应用程式的起始目录。于 “内容” 之 “主目录”、“虚拟目录” 页,按下 “设定” 按钮时,即可由 “处理程式选项” 页设定“指令档快取内存” 。如何设定快取(Cache)内存文档数量呢?步骤如下:在“Internet服务管理员” 中,选取整个IIS电脑、或Web站台的起始目录。于 “内容” 之“服务器扩充程式” 页,按下 “设定” 按钮。即可设定快取(Cache)内存文档数量。
"_)P�}"t�]6i�K+R
�b�z#c)v:E
{(s51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 37.使用CGI程式时,因为处理程式(Process)须不断地产生和摧毁,造成执行效率不佳。一般而言,执行效率比较如下: 静态网页(Static):100 ISAPI:50 ASP:10 CGI:1。换句话说,ASP比CGI可能快10倍,因此勿使用CGI程式能够改善IIS的执行效率。以弹性(Flexibility)而言:ASP > CGI > ISAPI > 静态网页(Static)。以安全(Security)而言:ASP(单独) = ISAPI(单独)= CGI > ASP(非单独) = ISAPI(非单独)= 静态网页(Static)
!K�_�v�x�|2W51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离+m _5Y%E.\*N1w�A
38.根据微软的测试报告,增加IIS 4.0电脑CPU数量,执行效率并不会改善多少;但是增加IIS 5.0电脑CPU数量,执行效率会几乎成正比地提供,换句话说,两颗CPU的IIS5.0电脑执行效率几乎是一颗CPU电脑的两倍,四颗CPU的IIS 5.0电脑执行效率几乎是一颗CPU电脑的四倍IIS 5.0将静态的网页资料暂存于快取(Cache)内存当中;IIS 4.0 则将静态的网页资料暂存于文档当中。调整快取(Cache)内存的保存文档数量能够改善执行效率。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离:[ b�]�o�F�G8C�_�y.g�j
�q&W�m�Z2d&V,k#\bbs.51cto.com 39.勿启用ASP侦错功能能够改善执行效率。如何勿启用ASP侦错功能呢?步骤如下:于“Internet服务管理员” 中,选取Web站台、或应用程式的起始目录,按右键选择“内容”,按 “主目录”、“虚拟目录” 或 “目录” 页,按下 “设定” 按钮,选择 “应用程式侦错” 页,不勾选 “启用ASP服务器端指令侦错”、“启用ASP用户端指令侦错” 选项。
^�b�C.C�X�H51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�Y�T6w�R+h�?+}
40.静态网页采用HTTP 压缩,大约能够减少20%的传输量。HTTP压缩功能启用或关闭,系针对整台IIS服务器来设定。用户端使用IE 5.0浏览器连线到已启用HTTP压缩IIS5.0之Web服务器,才有HTTP压缩功能。如何启用HTTP压缩功能呢?步骤如下:若要启用HTTP压缩功能,方法为在“Internet服务管理员”中,选取电脑之“内容”,于“主要内容”之下选取“WWW服务”。然后按一下“编辑” 按钮,于“服务”页上,选取“压缩静态文档”能够压缩静态文档,不选取“压缩应用程式文档”。动态产生的内容文档(压缩应用程式文档)也能够压缩,但是须耗费额外CPU处理时间,若%Processor Time已百分之八十或更多时,建议不要压缩。 �P$I�n+D!r%`
�l�`*?:E
k
以上是对采用IIS作为WEB服务器的一些安全相关的配置和其性能调整的参数配置,能够最大化的优化您的IIS,但是个人认为假如不存在障碍,还是采用apache比较好一些,漏洞少,建议采用apache 1.3.24版本,因为最近经测试,apache 1.3.23之前的版本都存在溢出漏洞,不要怕,这种漏洞很少的。另外,个人建议不要采用ASP安全性总不叫人放心,个人认为还是采用JSP好一些,安全性好,功能强大,绝对超值,因为PHP也存在不少的漏洞。
|
|
|
| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图