WEB 服务器硬件配置方案
一、入门级常规服务器硬配置方案:
备注:作为WEB服务器,首先要保证不间断电源,机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器,此服务器配置能胜基本的WEB请求服务,如大量的数据交换,文件读写,可能会存在带宽瓶颈。
二、顶级服务器配置方案
硬件名称
基本参数CPU
PowerEdge 2900 CPU 频率1600MHZ ,标配2个Xeon E5310处理器,8M 缓存。内存
FB-DIMM ,2GB ,最大可配置48GB 主板Inter 5000X 系列,FSB 总线频率4066MHZ ,6个扩展槽;集成ATI
ES1000控制器,含16MB SDRAM
硬盘SAS 结构,146GB 容量;标配内置硬盘托架支持多达8块3.5"SAS 或
SATA 热插拔硬盘;支持两个半高(HH)驱动器托架提供磁带或光驱设
备(可选CD-ROM 、可选DVD-ROM 或一体化CD-RW/DVD-ROM )网卡双嵌入式Broadcom NetXtreme II 5708千兆以太网卡机箱478.9×226.6×674.3mm 标准接口2个RJ-45(支持内置1GB NIC)后置、1个串口后置、6个通用串行总线(USB) 2.0端口(两个前置、4个后置)、2个视频(1个前置、1个后置)散热器6个+2个热插拔冗余风扇(6个标配,外加每个电源1个风扇)管理工具OpenManage 、标配主板管理控制器,含IMPI 2.0支持、可选DRAC 5/i 的先进功能采用DELL PowerEdge 2900(Xeon E5310/2GB/146GB) 配置备注:1,系统支持Windows Server 2003 R2 Enterprise Edition 、Windows Server 2003 R2 Web Edition 、Windows Server 2003 R2 x64 Enterprise Edition 、Windows Server 2003 R2 x64 Standard Edition 、Windows Storage Server 2003 R2 Workgroup Edition 2,工作环境:相对工作温度10℃-35℃,相对工作湿度20%-80% 无冷凝,相对存储温度-40℃-65℃,相对湿度5%-95% 无冷凝3,以上配置为统一硬件配置,为DELL 系列服务器标准配置,参考价位¥13000
WEB 服务器软件配置和安全配置方案
一、系统的安装 
1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。
2、IIS6.0的安装
  开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows 组件
  应用程序 ———ASP.NET (可选)
       |——启用网络 COM+ 访问(必选)
术。线缆敷设原则:在分线盒处,当不同电压回路交叉时,应采用金属隔板进行隔开处理;同一线槽内,强电回路须同时切断习题电源,线缆敷设完毕,要进行检查和检测处理。高中资料试卷技术指导。对于调试过程中高中资料试卷技术问题,作为调试人员,需要在事前掌握图纸资料、设备制造厂家出具高中资料试卷试验报告与相关技术资料,并且了解现场设备高中资料试卷布置情况与有关高中资料试卷电气系统接线等情况,然后根据规范与规程规定,制定设备调试高中资料试卷方案。力保护装置做到准确灵活。对于差动保护装置高中资料试卷调试技术是指发电机一变压器组在发生内部故障时,需要进行外部电源高中资料试卷切除从而采用高中资料试卷主要保护装置。
       |——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) 
                      |——公用文件(必选)
                      |——万维网服务———Active Server pages(必选)
                             |——Internet 数据连接器(可选)
                              |——WebDAV 发布(可选)
                              |——万维网服务(必选)
                              |——在服务器端的包含文件(可选)
然后点击确定—>下一步安装。
3、系统补丁的更新
  点击开始菜单—>所有程序—>Windows Update
好的空间名字  按照提示进行补丁的安装。
4、备份系统
  用GHOST备份系统。
5、安装常用的软件
  例如:杀毒软件、解压缩软件等;安装之后用GHOST再次备份系统。
二、系统权限的设置
1、磁盘权限
  系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限
小罗伯特唐尼退出漫威
  系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限
  系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限
  系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限
  系统盘\Windows\、、、 文件只给Administrators 组和SYSTEM 的完全控制权限
2、本地安全策略设置
  开始菜单—>管理工具—>本地安全策略
  A、本地策略——>审核策略
  审核策略更改   成功 失败 
  审核登录事件   成功 失败
  审核对象访问      失败
  审核过程跟踪   无审核
  审核目录服务访问    失败
  审核特权使用      失败
  审核系统事件   成功 失败
  审核账户登录事件 成功 失败
  审核账户管理   成功 失败
  B、本地策略——>用户权限分配
  关闭系统:只有Administrators组、其它全部删除。
  通过终端服务拒绝登陆:加入Guests、User组
  通过终端服务允许登陆:只加入Administrators组,其他全部删除
  C、本地策略——>安全选项
  交互式登陆:不显示上次的用户名       启用
  网络访问:不允许SAM帐户和共享的匿名枚举  启用
  网络访问:不允许为网络身份验证储存凭证   启用
  网络访问:可匿名访问的共享         全部删除
  网络访问:可匿名访问的命          全部删除
  网络访问:可远程访问的注册表路径      全部删除
  网络访问:可远程访问的注册表路径和子路径  全部删除
  帐户:重命名来宾帐户            重命名一个帐户
  帐户:重命名系统管理员帐户         重命名一个帐户
3、禁用不必要的服务
  开始菜单—>管理工具—>服务
  Print Spooler
  Remote Registry
  TCP/IP NetBIOS Helper
  Server   
  以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
4、启用防火墙
  桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>高级—>(选中)Internet 连接防火墙—>设置
  把服务器上面要用到的服务端口选中
  例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389)
  在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上对号
  如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。  然后点击确定。注意:如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。
三、Windows 2003安全配置
  ■.确保所有磁盘分区为NTFS分区
  ■.操作系统、Web主目录、日志分别安装在不同的分区
  ■.不要安装不需要的协议,比如IPX/SPX, NetBIOS?
  ■.不要安装其它任何操作系统
■.安装所有补丁(用瑞星安全漏洞扫描下载)
孙红雷丁嘉丽  ■.关闭所有不需要的服务
  * Alerter (disable)
  * ClipBook Server (disable)
  * Computer Browser (disable)
  * DHCP Client (disable)
  * Directory Replicator (disable)
  * FTP publishing service (disable)
  * License Logging Service (disable)
  * Messenger (disable)
  * Netlogon (disable)
  * Network DDE (disable)
  * Network DDE DSDM (disable)
  * Network Monitor (disable)
  * Plug and Play (disable after all hardware configuration)
  * Remote Access Server (disable)
  * Remote Procedure Call (RPC) locater (disable)
  * Schedule (disable)
  * Server (disable)
  * Simple Services (disable)
  * Spooler (disable)
  * TCP/IP Netbios Helper (disable)
  * Telephone Service (disable)
■. 帐号和密码策略
  1)保证禁止guest帐号
  2)将administrator改名为比较难猜的帐号
  3)密码唯一性:记录上次的  6 个密码
  4)最短密码期限:2
  5)密码最长期限:42
  6)最短密码长度:8
  7)密码复杂化(passfilt.dll):启用
  8)用户必须登录方能更改密码:启用
  9)帐号失败登录锁定的时限:6
  10)锁定后重新启用的时间间隔:720分钟
  ■.保护文件和目录
配置windows update失败
  将C:\winnt, C:\winnt\config, C:\winnt\system32, C:\winnt\system等目录的访问权限做限制,限制everyone的写权限,限制users组的读写权限
  ■.注册表一些条目的修改
  1)去除logon对话框中的shutdown按钮
  将HKEY_LOCAL_MACHINE\SOFTWARE
  \Microsoft\Windows NT\Current Version\Winlogon\中
  ShutdownWithoutLogon REG_SZ 值设为0
  2)去除logon信息的cashing功能
  将HKEY_LOCAL_MACHINE\SOFTWARE
  \Microsoft\Windows NT\Current Version\Winlogon\中
  CachedLogonsCount REG_SZ 值设为0
4)限制LSA匿名访问
  将HKEY_LOCAL_MACHINE\SYSTEM
  \CurrentControlSet\Control\LSA中
  RestriCanonymous REG_DWORD 值设为1
  5)去除所有网络共享
  将HKEY_LOCAL_MACHINE\SYSTEM
  \CurrentControlSet\Services\LanManServer\Parameters\中
AutoShareServer REG_DWORD 值设为0
四、IIS的安全配置
  ■.关闭并删除默认站点:
  默认FTP站点
  默认Web站点
  管理Web站点
  ■.建立自己的站点,与系统不在一个分区,如
  D:\wwwroot3.建立E:\Logfiles 目录,以后建立站点时的日志文件均位于此目录,确保此目录上的访问控制权限是:Administrators(完全控制)System(完全控制)
  ■.删除IIS的部分目录:
  IISHelp C:\winnt\help\iishelp
  IISAdmin C:\system32\inetsrv\iisadmin
  MSADC C:\Program Files\Common Files\System\msadc\
  删除C:\\inetpub
■. 删除不必要的IIS映射和扩展:
  IIS 被预先配置为支持常用的文件名扩展如.asp 和.shtm 文件。IIS 接收到这些类型的文件请求时,该调用由DLL 处理。如果您不使用其中的某些扩展或功能,则应删除该
  映射,步骤如下:
选择计算机名,点鼠标右键,选择属性:
  然后选择编辑
  然后选择主目录,点击配置
  选择扩展名\.htw\,\.htr\,\.idc\,\.ida\,\.idq\和\.printer\,点击删除
  如果不使用server side include,则删除\.shtm\ \.stm\ 和\.shtml\
  ■. 禁用父路径:
  “父路径”选项允许您在对诸如MapPath 函数调用中使用“..”。在默认情况下,该选项
  处于启用状态,应该禁用它。
  禁用该选项的步骤如下:
  右键单击该Web 站点的根,然后从上下文菜单中选择“属性”。
  单击“主目录”选项卡。
  单击“配置”。
  单击“应用程序选项”选项卡。
  取消选择“启用父路径”复选框。
  ■. 在虚拟目录上设置访问控制权限
  主页使用的文件按照文件类型应使用不同的访问控制列表:
  CGI (.exe, .dll, .cmd, .pl)
郭采洁图片  Everyone (X)
  Administrators(完全控制)
  System(完全控制)
  脚本文件(.asp)王菲现拉皮后遗症
  Everyone (X)
  Administrators(完全控制)
  System(完全控制)
  include 文件(.inc, .shtm, .shtml)
  Everyone (X)
  Administrators(完全控制)
  System(完全控制)
  静态内容(.txt, .gif, .jpg, .html)
  Everyone (R)