亚洲色一色噜一噜噜噜_在线国产精品一区二区_91国自产拍 精品_国产伦三级一区二区

<address id="xly8e"><var id="xly8e"><center id="xly8e"></center></var></address>
<kbd id="xly8e"><dl id="xly8e"></dl></kbd>


<bdo id="xly8e"><mark id="xly8e"><legend id="xly8e"></legend></mark></bdo>
  • 

    • <span id="xly8e"><delect id="xly8e"></delect></span>
    

    汶上信息港
    
標(biāo)題: windows 2003服務(wù)器建立虛擬主機(jī)詳細(xì)教程 [打印本頁(yè)]
    

    
作者: 中都社區(qū)    時(shí)間: 2009-11-7 00:03
    
標(biāo)題: windows 2003服務(wù)器建立虛擬主機(jī)詳細(xì)教程
    隨著Internet越來越普及,各種各樣的虛擬主機(jī)也越來越多,由于虛擬主機(jī)需要同時(shí)向大量不同的用戶提供安全的網(wǎng)絡(luò)應(yīng)用環(huán)境,因此搭建一個(gè)虛擬主機(jī)平臺(tái)除了需要架設(shè)WEB和FTP服務(wù)器,還涉及到一些虛擬主機(jī)環(huán)境所特有的問題。以下就對(duì)這些特有的問題進(jìn)行歸納和分析。我個(gè)人認(rèn)為在建立虛擬主機(jī)時(shí)主要需要注意以下三個(gè)大方面: 
    WinSystem子站熱點(diǎn) 
    Windows Vista Windows Server 2003Windows Server 2000Windows XP 
    系統(tǒng)故障診斷 終端用戶網(wǎng)絡(luò)管理安全防范 
    Windows存儲(chǔ)活動(dòng)目錄 認(rèn)證和職業(yè)硬件知識(shí) 
      1.用戶與磁盤空間和域名的綁定;% w* d! q: [8 }0 F% t  ^
    
  2.用戶使用磁盤空間的容量限制(磁盤配額);
    
% u: V1 d% }4 i& e4 t+ a  3.IIS和用戶環(huán)境的安全問題(我使用的是Windows Server系統(tǒng));
    
: K( u0 m, q& g" T8 N; S  下面我就以這三個(gè)方面在Windows 2003 Enterprise Server具體如何實(shí)現(xiàn)做一個(gè)詳細(xì)的介紹。- U$ z. Q, I# `# J( L$ |  v: R
    
  一、用戶與磁盤空間和域名的綁定
    
& ~1 s5 N% L+ {! C; J' z  先打開計(jì)算機(jī)管理(要是服務(wù)器已經(jīng)升成為AD模式,就打開Active Directory用戶與計(jì)算機(jī)),點(diǎn)擊展開本地用戶和組,右鍵單擊用戶模塊分別創(chuàng)建兩個(gè)用戶帳號(hào)。我這里建立的用戶帳號(hào)依次為test1、test2。注意,為了安全考慮,請(qǐng)?jiān)诮M的模塊中新建一個(gè)組。把用于虛擬主機(jī)的用戶歸納到里面,并把用戶原來隸屬于的User組刪除。(作為一個(gè)稱職的管理員,需要注意的小細(xì)節(jié)是很多的,不然一個(gè)錯(cuò)誤的細(xì)節(jié)就會(huì)引起災(zāi)難)如圖1:
    
, i) P* R7 r. b/ i) L
    圖1:建立虛擬主機(jī)的用戶組
      建立好帳號(hào)后,就在FTP空間目錄下先建立一個(gè)LocalUser文件夾。然后對(duì)應(yīng)所使用的帳號(hào)建立子文件夾。如:要是FTP空間指定的是D:\ WEB_Space文件夾,那就在這個(gè)文件夾下創(chuàng)建一個(gè)LocalUser文件夾。接著建立兩個(gè)子文件夾:test1、test2.如圖2:
    
7 P8 Z4 A- w+ B9 H' Z
    圖2:建立LocalUser文件夾
      由于剛才我們建立用戶帳號(hào)時(shí),把它們單獨(dú)的歸納到一個(gè)組中,這時(shí)就需要在FTP空間根目錄屬性的安全選項(xiàng)卡中把這個(gè)組添加進(jìn)去,用戶將無法通過FTP訪問。如圖3:+ ~# b6 u1 m- L! k& H# ]
    

    圖3:設(shè)置用戶組權(quán)限
      接著我們需要建立FTP 用戶隔離站點(diǎn)。這個(gè)功能是以前版本的IIS中FTP站點(diǎn)所沒有的,F(xiàn)TP 用戶隔離為 Internet 服務(wù)提供商 (ISP) 和應(yīng)用服務(wù)提供商提供了解決方案,使他們可以為客戶提供上載文件和 Web 內(nèi)容的個(gè)人 FTP 目錄。FTP 用戶隔離通過將用戶限制在自己的目錄中,來防止用戶查看或覆蓋其他用戶的 Web 內(nèi)容。7 V% K0 R. H( G2 T. ^- }2 O
    
      因?yàn)轫攲幽夸浘褪?FTP 服務(wù)的根目錄,用戶無法瀏覽目錄樹的上一層。在特定的站點(diǎn)內(nèi),用戶能創(chuàng)建、修改或刪除文件和文件夾。FTP 用戶隔離是站點(diǎn)屬性,而不是服務(wù)器屬性。無法為每個(gè) FTP 站點(diǎn)啟動(dòng)或關(guān)閉該屬性。所以在建立FTP站點(diǎn)的時(shí)候就應(yīng)該選擇好,不然站點(diǎn)建立以后,將無法修改。1 ^, G. F2 h7 W3 @3 [  I, e
    
  不隔離用戶:該模式不啟用 FTP 用戶隔離。該模式的工作方式與以前版本的 IIS 類似。由于在登錄到 FTP 站點(diǎn)的不同用戶間的隔離尚未實(shí)施,該模式最適合于只提供共享內(nèi)容下載功能的站點(diǎn)或不需要在用戶間進(jìn)行數(shù)據(jù)訪問保護(hù)的站點(diǎn)。
    
3 Y8 Y/ h% t$ {% ~( C  隔離用戶:該模式在用戶訪問與其用戶名匹配的主目錄前,根據(jù)本機(jī)或域帳戶驗(yàn)證用戶。所有用戶的主目錄都在單一 FTP 主目錄下,每個(gè)用戶均被安放和限制在自己的主目錄中。不允許用戶瀏覽自己主目錄外的內(nèi)容。如果用戶需要訪問特定的共享文件夾,您可以再建立一個(gè)虛擬根目錄。該模式不使用 Active Directory 目錄服務(wù)進(jìn)行驗(yàn)證。 注意 當(dāng)使用該模式創(chuàng)建了上百個(gè)主目錄時(shí),服務(wù)器性能會(huì)下降。4 s1 X% p0 l& y
    
  用 Active Directory 隔離用戶:該模式根據(jù)相應(yīng)的 Active Directory 容器驗(yàn)證用戶憑據(jù),而不是搜索整個(gè) Active Directory,那樣做需要大量的處理時(shí)間。將為每個(gè)客戶指定特定的 FTP 服務(wù)器實(shí)例,以確保數(shù)據(jù)完整性及隔離性。當(dāng)用戶對(duì)象在 Active Directory 容器內(nèi)時(shí),可以將 FTPRoot 和 FTPDir 屬性提取出來,為用戶主目錄提供完整路徑。
    
$ c) y* A; q  y3 M$ v9 ]      如果FTP 服務(wù)能成功地訪問該路徑,則用戶被放在代表 FTP 根位置的該主目錄中。用戶只能看見自己的 FTP 根位置,因此受限制而無法向上瀏覽目錄樹。如果 FTPRoot 或 FTPDir 屬性不存在,或它們無法共同構(gòu)成有效、可訪問的路徑,用戶將無法訪問。
    
' X6 T. ]0 K9 K  打開Internet信息服務(wù)(IIS)管理器,點(diǎn)擊展開服務(wù)器,右鍵單擊FTP站點(diǎn),新建一個(gè)FTP站點(diǎn),在建立向?qū)е校驗(yàn)槲业姆?wù)器不是Active Directory模式,所以我們選擇隔離用戶這個(gè)選項(xiàng)。如圖4:2 w9 q2 f4 ~/ d. A; m
    

    圖4:FTP用戶隔離選項(xiàng)
      完成建立向?qū)Ш?,開打新建立的FTP站點(diǎn)屬性,點(diǎn)擊屬性中的安全用戶選項(xiàng)卡,把允許匿名連接關(guān)閉。確定后退出。
    
' g# q; k" P; i6 _  最后是域名的綁定,域名綁定有兩種定義,第一種是直接使用完整域名綁定WEB服務(wù),如在服務(wù)器上提供www.test1.com和[url=http://www.zhongdushi.cn/www.test2.com]www.test2.com[/url]空間服務(wù),第二種是開設(shè)子域名服務(wù),如提供test1.yesky.com和test2.yesky.com空間服務(wù)。這兩種在工作原理上是一樣的,但第二種在操作上有一些不同。需要自己服務(wù)器的DSN支持。! W3 t. ?2 w# V1 |/ e
    

    
1 m* @6 O/ B/ c* T* U7 j  首先我們讓我們來了解一下關(guān)于域名(DNS)的基本知識(shí),在我們要了解DNS,首先要了解幾個(gè)名詞:域名空間;根域;頂級(jí)域;二級(jí)域;主機(jī)名;區(qū)域。
    
1 x8 M9 e" V# e7 [; x/ J* ^  L& M  域名空間:是DNS名的結(jié)構(gòu)統(tǒng)稱,他的結(jié)構(gòu)主要是由根域,頂級(jí)域,二級(jí)域和主機(jī)名組成。: S% n$ N# w5 @, z$ a
    
  根域:是處在整個(gè)結(jié)構(gòu)的頂級(jí),是用點(diǎn)(.)表示的。由國(guó)外的幾個(gè)公司管理的。55555沒有我們的份~郁悶!!)* i, n4 d9 G4 ?  D% N& [
    
  頂級(jí)域:是由2-3個(gè)英文字母組成,并且有著一定的意義,一般采用相對(duì)意義的英文單詞縮寫或相對(duì)代碼。如:COM是指商業(yè)機(jī)構(gòu),GOV是指政府機(jī)構(gòu),CN是指中國(guó)……& |( Y" _) L9 @' x8 I, D
    
  二級(jí)域:是由一些域名提供商出租給個(gè)人或企業(yè)、機(jī)構(gòu)的服務(wù)。如www.souod.com這個(gè)域名中souod就屬于二級(jí)域。
    
9 }1 g% B, Q5 I  主機(jī)名:是用來表示Internet或內(nèi)部網(wǎng)的計(jì)算機(jī)名稱,但大家注意一點(diǎn),在Internet上,有的時(shí)候主機(jī)名指代表一臺(tái)服務(wù)器的IP地址,而不是服務(wù)器的名稱,這一點(diǎn)是和內(nèi)部網(wǎng)有區(qū)別的!1 s5 b/ P! t3 ]- x1 U& x& {
    
  區(qū)域:是域名空間中的一個(gè)離散部分。區(qū)域主要是用來把一個(gè)域名變成可管理的幾個(gè)部分,如: www.souod.com這個(gè)域名我們可以把他劃分成www和souod.com這兩個(gè)部分。這樣,我們就可以利用souod.com這部分生成不同的主機(jī)名。如mail.souod.com;bbs.souod.com等等。這一點(diǎn)比較重要。
    
- k3 T* g8 r0 r$ p: r  DSN服務(wù)工作的流程我們可以把它稱作名字解析過程,它共分為兩種:正向搜索和反向搜索。正向搜索是把一個(gè)域名解析成一個(gè)IP,我們這里就用Internet上的www.niyaole.cn域名做一個(gè)案例。! v4 \7 S& Q4 E) e# t
    
      我們先在IE瀏覽器中輸入www.niyaole.cn這個(gè)域名,然后計(jì)算機(jī)將自動(dòng)把這個(gè)域名傳遞給本地DNS服務(wù)器(也就是指在本機(jī)網(wǎng)卡屬性中TCP/IP協(xié)議的DSN服務(wù)器輸入框里輸入的IP地址所對(duì)應(yīng)的服務(wù)器),DNS服務(wù)器收到信息后,將在自己的區(qū)域表中搜索有沒有該域名所對(duì)應(yīng)的IP!有則返回,若沒有,它則會(huì)把搜索的信息傳遞給國(guó)外的幾個(gè)根域DSN服務(wù)器之一,請(qǐng)求解析該域名。
    
% m: u2 h! }; _      根域DSN服務(wù)器則返回一條對(duì)COM域DNS服務(wù)器的IP地址給本地DNS服務(wù)器引用(由于niyaole.com的頂級(jí)域是COM所以返回COM域DNS服務(wù)器的IP地址),本地DNS服務(wù)器在根據(jù)IP地址給COM域DNS服務(wù)器發(fā)送一條www.niyaole.cn域名解析請(qǐng)求的信息,COM域DNS服務(wù)器返回一條對(duì)DSN服務(wù)器的IP地址指引,然后本地DNS服務(wù)器再根據(jù)收到的IP地址給yeDSN服務(wù)器,發(fā)送一條www.niyaole.cn域名解析請(qǐng)求的信息,DSN服務(wù)器根據(jù)請(qǐng)求反饋給www的IP地址,本地服務(wù)器再把這個(gè)IP反饋給我們。這時(shí)解析完成,我們也就打開了www.niyaole.cn的網(wǎng)頁(yè)。
    
) k- q/ V( Z/ N  反向搜索正好相反,它是把一個(gè)IP地址解析成一個(gè)域名,常看見的諸如Windows 2003下的Nslookup命令工具。由于DNS服務(wù)是按域名而不是按IP地址索引的,反向搜索一搜索就會(huì)搜索所有的信息,很消耗資源。為了避免這種情況,DNS服務(wù)創(chuàng)建了一個(gè)叫in-addr.arpa的特殊二級(jí)域,它使用的是與其他域名空間結(jié)構(gòu)相同的方法,但它不采用域名,而是采用IP地址。* X; m1 h* t: b; ~7 [
    
  注意,要想做Internet上第二種虛擬主機(jī),最好向域名提供商申請(qǐng)DNS轉(zhuǎn)移權(quán),要求提供商把DNS解析權(quán)指定到你的DNS服務(wù)器上,這樣你就能自己利用Windwos Server的DSN服務(wù)隨意開設(shè)子域名了,不然你每次要用一個(gè)新的子域名都要向域名提供商申請(qǐng),那是很麻煩的,而且DSN在自己的服務(wù)器上還有很多好處,如開設(shè)MAIL服務(wù)等等。
    
' @$ S  S1 T2 S: J+ n  先來打開DNS管理器,點(diǎn)擊展開服務(wù)器,在正向查找區(qū)域新建一個(gè)區(qū)域。選擇創(chuàng)建主要區(qū)域,輸入你申請(qǐng)的域名,注意,只要輸入我上面所說的區(qū)域就可以了,如yesky.com、sina.com.cn。完成。如圖5:
    
/ M7 X  C3 L/ {; d' m2 v, u
    圖5:創(chuàng)建主要區(qū)域
      創(chuàng)建好區(qū)域后,就在你創(chuàng)建的區(qū)域里創(chuàng)建主機(jī)。最好創(chuàng)建的主機(jī)名與你的用戶名相同,這樣方便管理。當(dāng)然,如果你的系統(tǒng)已經(jīng)升級(jí)到AD模式,那這步可以跳過,因?yàn)樵贏D模式下,你每創(chuàng)建一個(gè)帳戶,就會(huì)自動(dòng)的生成對(duì)應(yīng)的主機(jī)名稱。如圖6:7 U, u, E& u0 e2 `% L
    

    圖6:創(chuàng)建主機(jī)
      所有的主機(jī)都創(chuàng)建好了后,就打開Internet信息服務(wù)(IIS)管理器,在WEB站點(diǎn)下創(chuàng)建新的WEB站點(diǎn)。在站點(diǎn)創(chuàng)建向?qū)У腎P地址和端口設(shè)置對(duì)話框中輸入需要綁定的完整域名,如www.test.com、test1.test.com、test12.test.com,創(chuàng)建完成后,域名就和空間綁定了。如圖7:
    
6 c* e3 l! a* O! g6 X1 p
    圖7:域名和空間的綁定
      在DNS中有多少個(gè)主機(jī),就可以建立多少個(gè)子域名WEB站點(diǎn)。也可以用域名提供商提供的直接指定IP的域名。但這里需要注意的是,一旦服務(wù)器中Internet信息服務(wù)(IIS)管理器里出現(xiàn)了帶主機(jī)頭的站點(diǎn)后,有時(shí)將會(huì)導(dǎo)致沒有主機(jī)頭的站點(diǎn)出錯(cuò),這個(gè)問題很奇怪,可是能DNS映射引起的。5 s/ b# d' V1 }
    
  二、用戶使用磁盤空間的容量限制(磁盤配額)0 A+ ^. d. ]. A- I
    

    
% J; y4 b- H. b* J9 k9 I) H  在配置之前,讓我們先了解一下磁盤配額管理的一些基礎(chǔ)知識(shí),以便我們更容易理解它的工作方法。Windows 2003磁盤配額會(huì)跟蹤每個(gè)用戶在每個(gè)盤符中的使用情況。并根據(jù)用戶的磁盤配額進(jìn)行控制。因?yàn)榕漕~是以每個(gè)用戶做為單位進(jìn)行跟蹤的,所以不管用戶在這個(gè)盤符下的任何地方儲(chǔ)存文件都會(huì)被記錄。磁盤配額共有二個(gè)比較顯著的特點(diǎn):; J* X$ w) T1 ]0 H/ ]. O
    
  1.根據(jù)每個(gè)用戶所擁有的文件和文件夾來計(jì)算使用磁盤的空間量。當(dāng)一個(gè)新建、復(fù)制、保存文件到開啟了磁盤配額的盤符上,或獲得盤符上某文件所有權(quán)時(shí),系統(tǒng)就自動(dòng)從磁盤配額管理所限定的空間中扣減該用戶的空間容量。) k& G" R, c5 I
    
  2.系統(tǒng)在計(jì)算用戶使用磁盤空間時(shí)是忽略壓縮的,它按照未壓縮的字節(jié)計(jì)算用戶使用的硬盤空間,而不管用戶實(shí)際使用了多少磁盤空間。這樣做是因?yàn)楝F(xiàn)在很多不同的文件類型在壓縮的時(shí)候所壓縮的比例不同。會(huì)造成文件長(zhǎng)度的很大差異,給磁盤管理帶來很大的工作負(fù)擔(dān)。
    
* \- {* {4 X: R9 d# k5 ?$ A, a  注意,磁盤配額必須建立在NTFS格式的盤符上。不然無法使用。
    
, |' T4 q' F; |4 N  選擇你FTP空間所在的盤符,打開盤符的屬性對(duì)話框,單擊配額選項(xiàng)卡,選擇啟用配額管理復(fù)選框,開啟磁盤配額管理。這是原本一些灰色不能使用的屬性開始能使用了。請(qǐng)根據(jù)情況修改它們:如圖8:
    
/ I0 A# K0 ]: \( a% ~. X* f1 q/ v
    圖8:修改磁盤配額
      拒絕將磁盤空間給超過配額限制的用戶:選擇這個(gè)復(fù)選框,當(dāng)用戶超過了分配的磁盤空間時(shí),他們就會(huì)收到一個(gè)空間已用完的消息,而且不能在往空間里面寫任何東西* A0 v: [# r" Q3 q9 t0 F$ P: Y
    
  不限制磁盤使用:當(dāng)你不打算限制用戶磁盤空間時(shí),單擊這個(gè)選項(xiàng)。1 G' q4 _+ G) w& U* X5 B$ i! n
    
  將磁盤空間限制為:配置用戶可以使用的磁盤空間容量
    
- ]) C$ c: i3 P; D; W6 D  將警告等級(jí)設(shè)置為:配置在用戶登陸空間時(shí),如果空間使用已經(jīng)達(dá)到警告空間等級(jí),將會(huì)發(fā)送一個(gè)信息給該用戶,提醒用戶空間快使用完了/ {1 B' S8 f; D! k0 N! X( A
    
  配額項(xiàng):單擊這個(gè)按鈕可以打開配額項(xiàng)對(duì)話框,在這個(gè)對(duì)話框中,可以通過配置菜單分別定制每個(gè)用戶磁盤空間。也可以刪除老用戶空間配額限制。另外它的主界面就是一個(gè)用戶配額監(jiān)控器。如圖9:
    
/ b! f/ A0 }- a' ~9 u% v8 w2 @( z
    圖9:用戶配額監(jiān)控器
      設(shè)置好后確定-關(guān)閉屬性窗口,這時(shí)用戶的磁盤配額就已經(jīng)設(shè)置好了。還是比較簡(jiǎn)單的。3 t) w& B  Q& u& V0 O1 m+ `
    
  三、IIS和用戶環(huán)境的安全問題
    
( x% M0 N4 v/ P2 n  b8 k
    
4 F4 q' D- [3 V1 e* Y  記得一位資深的安全人士曾經(jīng)說過,從Windows 2000 Server開始,本身的系統(tǒng)漏洞和網(wǎng)絡(luò)漏洞已經(jīng)不是那么多了,甚至可以說Windows本身安全系數(shù)已經(jīng)超越了LINUX系統(tǒng)本身,(這里我只是引用語句,希望不會(huì)引發(fā)Windows和LINUX向來的爭(zhēng)論)但由于Windows周邊產(chǎn)品漏洞和不安全因數(shù)太多,尤其是IIS服務(wù)。才導(dǎo)致人人說它不安全。. L9 M$ L8 |* @' Z: w5 z6 o; B
    
  由于系統(tǒng)的安全問題實(shí)在是太過于龐大,所分的體系也非常多,不可能面面具到,所以我根據(jù)個(gè)人經(jīng)驗(yàn)說幾個(gè)和虛擬主機(jī)密切相關(guān)的安全問題,但由于這些問題要想得到徹底的解決說明的話,那需要太多的篇幅,這里我也只能指出這些問題,和解決這些問題的思路。
    
( Y/ b% h9 i. x! {3 _' P0 Q  支持ASP系統(tǒng)的IIS安全問題:
    
) V. p4 q  }% y( p: |7 _  在支持ASP的IIS系統(tǒng)中,主要問題有兩個(gè),一個(gè)是由于ASP頁(yè)面的輸入框引起的安全攻擊。在ASP頁(yè)面中,我們經(jīng)常可以看見輸入框,如登錄帳號(hào)、密碼、查詢、手機(jī)等等..這些控件其實(shí)是很危險(xiǎn)的,因?yàn)檫@些控件的后臺(tái)往往是連接著數(shù)據(jù)庫(kù),(SQL、Oracle等)有經(jīng)驗(yàn)的程序員可以通過這些輸入框輸入數(shù)據(jù)庫(kù)命令,在通過系統(tǒng)本身的數(shù)據(jù)庫(kù)執(zhí)行后,得到數(shù)據(jù)庫(kù)帳號(hào)和密碼。那也意味著離得到SYSTEM或Administrator帳號(hào)不遠(yuǎn)了。3 A8 s% X- g- \/ ]* E" M+ e  K1 f
    
      所以,一般在做ASP頁(yè)面時(shí),我們?cè)谟羞@些輸入框的窗口上都做一些限制,如最多只能輸入多少個(gè)字符、哪些特殊字符不允許輸入等等。但現(xiàn)在很少有網(wǎng)站能做到滴水不漏的,可能也是因?yàn)楣ぷ髁刻蟮木壒拾?( 第二個(gè)問題是FileSystemObject這個(gè)組件為 ASP 提供了對(duì)默認(rèn)的Windows Server服務(wù)器硬盤上的任何文件進(jìn)行讀、寫、復(fù)制、刪除、改名等操作。權(quán)限實(shí)在是太大。也導(dǎo)致一些惡意虛擬主機(jī)租借用戶利用這個(gè)ASP組件來攻擊和控制系統(tǒng)。所以在不是必要的情況下,請(qǐng)不要啟用它。太危險(xiǎn)了。) @2 d- A% a4 y% w
    
  基本系統(tǒng)設(shè)置安全問題:
    
) {6 F% R3 [. u3 q2 r  一、端口設(shè)置。端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口,也是計(jì)算機(jī)的第一道屏障,由于做虛擬主機(jī)的系統(tǒng)一般不需要開太多的端口,所以可以在網(wǎng)卡屬性、Internet協(xié)議(TCP/IP)屬性、高級(jí)、選項(xiàng)、TCP/IP篩選屬性里進(jìn)行添加。不過Windows Server TCP/IP篩選設(shè)置做的有點(diǎn)問題:只允許開哪些端口,不允許關(guān)哪些端口,郁悶吧。
    
+ |9 T2 o$ P$ R, @2 \- W  二、IIS設(shè)置:首先,把C盤中的默認(rèn)的IIS目錄Inetpub徹底刪掉,在Internet信息服務(wù)(IIS)管理器中將默認(rèn)WEB網(wǎng)站給停止,從新建立你所需要的WEB發(fā)布站點(diǎn),但注意,請(qǐng)把你要發(fā)布站點(diǎn)的目錄建立在其他盤符,并不要給其命名一些相對(duì)簡(jiǎn)單或容易猜中的名字,如WEB、IIS、Inetpub等。其次,在Internet信息服務(wù)(IIS)管理器中刪除在你虛擬主機(jī)上不想用到的文件名映射,如,你的系統(tǒng)只需要支持ASP和HTML的話,那只要保留這個(gè)兩個(gè)文件名映射就可以了,其他的都可以刪除,步驟為在Internet信息服務(wù)(IIS)管理器中右擊主機(jī)、屬性、WWW服務(wù)、編輯、主目錄配置、應(yīng)用程序映射,然后就開始一個(gè)個(gè)刪吧。最后在的應(yīng)用程序調(diào)試書簽內(nèi)將腳本錯(cuò)誤消息改為發(fā)送文本就基本可以了。9 |& ?$ a/ k, ]! r8 R; `
    
  三、預(yù)防DoS: DOS:即Denial Of Service,拒絕服務(wù)的縮寫,原理就是生產(chǎn)出大量的數(shù)據(jù)包讓服務(wù)器不停的處理,導(dǎo)致服務(wù)器不能對(duì)其他的數(shù)據(jù)產(chǎn)生響應(yīng)。在注冊(cè)表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以幫助你防御一定強(qiáng)度的DoS攻擊 SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerFORMRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 04 I  n/ G2 l0 l% T7 Q1 P) H$ P
    
  四、工作進(jìn)程隔離:在虛擬主機(jī)上經(jīng)常會(huì)出現(xiàn)由于某個(gè)用戶WEB站點(diǎn)的應(yīng)用程序出錯(cuò),進(jìn)入無限循環(huán),導(dǎo)致服務(wù)器資源大量消耗,最終死機(jī)的情況,這個(gè)問題在以往的IIS中是很難解決的,有時(shí)還得借助第三方軟件。" J, D# U( |" W$ `& R+ H8 p- H
    
7 \! a# l/ A5 w- p! `6 S' [3 N- x; v3 Z% J# T
    
  但現(xiàn)在,IIS 6.0 引入了工作進(jìn)程隔離模式,該模式可以在隔離環(huán)境中運(yùn)行所有的 Web 應(yīng)用程序。當(dāng)在工作進(jìn)程隔離模式下運(yùn)行 IIS 時(shí),可以將應(yīng)用程序配置成在單獨(dú)的應(yīng)用程序池中運(yùn)行。每個(gè)應(yīng)用程序池在邏輯上表示一個(gè)可配置的工作進(jìn)程,并且鏈接到池中的應(yīng)用程序。工作進(jìn)程彼此獨(dú)立運(yùn)行;它們可能失敗,但不會(huì)影響其他工作進(jìn)程。應(yīng)用程序池保護(hù)其中的應(yīng)用程序免受支持其他應(yīng)用程序池的工作進(jìn)程的影響。這樣,就可以避免應(yīng)用程序相互影響。
    
6 X# V+ |8 r) S+ b, ?3 v6 V4 U  在工作進(jìn)程隔離模式下,超文本傳輸協(xié)議 (HTTP) 請(qǐng)求被直接路由到服務(wù)于已配置的應(yīng)用程序的內(nèi)核應(yīng)用程序池隊(duì)列。服務(wù)于應(yīng)用程序池的工作進(jìn)程會(huì)將請(qǐng)求直接從該隊(duì)列中拉出,避免了進(jìn)程切換的開銷。為進(jìn)一步保護(hù) WWW 服務(wù),IIS 6.0 會(huì)隔離關(guān)鍵的萬維網(wǎng)發(fā)布服務(wù)組件,如 HTTP 協(xié)議堆棧和 WWW 服務(wù)管理和監(jiān)控,避免其受到在工作進(jìn)程中運(yùn)行的第三方代碼的影響。1 M7 U. X% }% X
    
      HTTP 協(xié)議堆棧接受 WWW 服務(wù)請(qǐng)求并將其排入隊(duì)列。當(dāng)工作進(jìn)程處于不正常的狀態(tài)并因此中斷處理請(qǐng)求時(shí),HTTP 協(xié)議堆棧會(huì)繼續(xù)處理請(qǐng)求。同時(shí),WWW 服務(wù)將檢測(cè)不正常的工作進(jìn)程并將其關(guān)閉。如果要求新工作進(jìn)程為請(qǐng)求提供服務(wù),WWW 服務(wù)會(huì)啟動(dòng)一個(gè)新工作進(jìn)程以便從 HTTP 協(xié)議堆棧中獲取隊(duì)列中的請(qǐng)求。即使工作進(jìn)程失敗,WWW 服務(wù)仍會(huì)繼續(xù)處理請(qǐng)求并保護(hù)用戶免于丟失服務(wù)。打開 Internet信息服務(wù)(IIS)管理器,展開服務(wù)器,右鍵點(diǎn)擊應(yīng)用程序池,選擇屬性。就可以在彈出的對(duì)話框中根據(jù)自己的系統(tǒng)環(huán)境進(jìn)行進(jìn)程隔離設(shè)置了。如圖10:
    
9 l) c& Q5 S5 ?; @4 I4 g
    圖10:Internet信息服務(wù)(IIS)管理器
      由于系統(tǒng)環(huán)境比較多樣化,所以很難有一個(gè)設(shè)置的標(biāo)準(zhǔn),所以具體的設(shè)置請(qǐng)參考Windows 2003的幫助。- F- D$ w% Q, Z: e' T! C: T
    
  五、查看事件查看器:作為一個(gè)網(wǎng)管就應(yīng)該時(shí)時(shí)刻刻的觀察服務(wù)器的安全性,而事件查看器可以反映系統(tǒng)80%的安全情況,這需要我們要養(yǎng)成每天分析事件查看器的習(xí)慣。一般情況是每天早晚各查看一次,并保留一個(gè)星期的日志。




    

    

    歡迎光臨 汶上信息港 (http://m.loveproblemguru.com/)

Powered by Discuz! X3.5