上海电信IDC机房服务器托管服务器硬件配置和服务器安全配置信息全能.docx

上海电信IDC机房服务器托管服务器硬件配置和服务器安全配置信息全能.docx

《上海电信IDC机房服务器托管服务器硬件配置和服务器安全配置信息全能.docx》由会员分享，可在线阅读，更多相关《上海电信IDC机房服务器托管服务器硬件配置和服务器安全配置信息全能.docx（24页珍藏版）》请在冰点文库上搜索。

上海电信IDC机房服务器托管服务器硬件配置和服务器安全配置信息全能

WEB服务器硬件配置方案

一、入门级常规服务器硬配置方案：

硬件名称

基本参数

数量

参考价

CPU

奔腾E2160系列，LPGA封装，双核，工作功率65W，核心电压1.25V,主频1800MHZ，总线频率800MHZ，倍频9，外频200MHZ，128M一级缓存，1M二级缓存，指令集MMX/SSE/SSE2/SSE3/Sup-SSE3/EM64T

1

￥460

内存

KingstonDDRII6671G,采用PBGA封，频率667MHZ

1

￥135

主板

采用IntelP965/ICH8芯片组，集成RealtekALC662声卡芯片，适用Core2Extreme/Core2Quad/Core2Duo/奔腾4/赛扬D/PentiumD系列处理器。

前端总线频率FSB1066MHz

1

￥599

硬盘

台式机硬盘容量:

160GB转速/分:

7200转/分缓存（KB）:

8000KB接口类型:

SerialATA接口速率:

SerialATA300

1

￥380

机箱

机箱类型:

金河田飓风II机箱样式:

立式机箱结构:

MicroATX/ATX3.5英寸仓位:

1个软驱仓位+6个硬盘仓位光驱仓位:

4个产品电源:

金河田355WB3C

1

￥230

光驱

选配，普通DVD光驱

1

-

散热器

热器类型:

CPU散热器散热方式:

风冷风扇转数（RPM）:

2200轴承类型:

合金轴承适用范围:

IntelLGA775Conroe、PentiumD、Pentium4CeleronD全系列最大风量（CFM）:

43CFM

1

￥60

UPS

UPS电源类型:

后备式UPS额定输出容量:

0.5kva

1

￥200

稳压器

选配

1

-

显示器

普通显示器

1

-

鼠标键盘

普通PS键盘和鼠标

1

￥100

备注：

作为WEB服务器，首先要保证不间断电源，机房要控制好相对温度和湿度。

这里有额外配置的UPS不间断电源和稳压器，此服务器配置能胜基本的WEB请求服务，如大量的数据交换，文件读写，可能会存在带宽瓶颈。

二、顶级服务器配置方案

硬件名称

基本参数

采用DELLPowerEdge2900（XeonE5310/2GB/146GB）配置

CPU

PowerEdge2900CPU频率1600MHZ，标配2个XeonE5310处理器，8M缓存。

内存

FB-DIMM，2GB，最大可配置48GB

主板

Inter5000X系列，FSB总线频率4066MHZ，6个扩展槽；集成ATIES1000控制器,含16MBSDRAM

硬盘

SAS结构，146GB容量；标配内置硬盘托架支持多达8块3.5"SAS或SATA热插拔硬盘；支持两个半高（HH）驱动器托架提供磁带或光驱设备（可选CD-ROM、可选DVD-ROM或一体化CD-RW/DVD-ROM）

网卡

双嵌入式BroadcomNetXtremeII5708千兆以太网卡

机箱

478.9×226.6×674.3mm

标准接口

2个RJ-45（支持内置1GBNIC）后置、1个串口后置、6个通用串行总线（USB）2.0端口（两个前置、4个后置）、2个视频（1个前置、1个后置）

散热器

6个+2个热插拔冗余风扇（6个标配,外加每个电源1个风扇）

管理工具

OpenManage、标配主板管理控制器,含IMPI2.0支持、可选DRAC5/i的先进功能

备注：

1，系统支持WindowsServer2003R2EnterpriseEdition、WindowsServer2003R2WebEdition、WindowsServer2003R2x64EnterpriseEdition、WindowsServer2003R2x64StandardEdition、WindowsStorageServer2003R2WorkgroupEdition

2，工作环境：

相对工作温度10℃-35℃，相对工作湿度20%-80%无冷凝，相对存储温度-40℃-65℃，相对湿度5%-95%无冷凝

3，以上配置为统一硬件配置，为DELL系列服务器标准配置，参考价位￥13000

WEB服务器软件配置和安全配置方案

一、系统的安装　　

１、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。

２、IIS6.0的安装

　　开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件

　　应用程序———ASP.NET（可选）

　　　　　　　|——启用网络COM+访问（必选）

　　　　　　　|——Internet信息服务（IIS）———Internet信息服务管理器（必选）　

　　　　　　　　　　　　　　　　　　　　　|——公用文件（必选）

　　　　　　　　　　　　　　　　　　　　　|——万维网服务———ActiveServerpages（必选）

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　|——Internet数据连接器（可选）

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　|——WebDAV发布（可选）

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　|——万维网服务（必选）

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　|——在服务器端的包含文件（可选）

然后点击确定—>下一步安装。

３、系统补丁的更新

　　点击开始菜单—>所有程序—>WindowsUpdate

　　按照提示进行补丁的安装。

４、备份系统

　　用GHOST备份系统。

５、安装常用的软件

　　例如：

杀毒软件、解压缩软件等；安装之后用GHOST再次备份系统。

二、系统权限的设置

１、磁盘权限

　　系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限

　　系统盘\DocumentsandSettings目录只给Administrators组和SYSTEM的完全控制权限

　　系统盘\DocumentsandSettings\AllUsers目录只给Administrators组和SYSTEM的完全控制权限

　　系统盘\Inetpub目录及下面所有目录、文件只给Administrators组和SYSTEM的完全控制权限

　　系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe文件只给Administrators组和SYSTEM的完全控制权限

２、本地安全策略设置

　　开始菜单—>管理工具—>本地安全策略

　　A、本地策略——>审核策略

　　审核策略更改　　　成功　失败　　

　　审核登录事件　　　成功　失败

　　审核对象访问　　　　　　失败

　　审核过程跟踪　　　无审核

　　审核目录服务访问　　　　失败

　　审核特权使用　　　　　　失败

　　审核系统事件　　　成功　失败

　　审核账户登录事件　成功　失败

　　审核账户管理　　　成功　失败

　　B、本地策略——>用户权限分配

　　关闭系统：

只有Administrators组、其它全部删除。

　　通过终端服务拒绝登陆：

加入Guests、User组

　　通过终端服务允许登陆：

只加入Administrators组，其他全部删除

　　C、本地策略——>安全选项

　　交互式登陆：

不显示上次的用户名　　　　　　　启用

　　网络访问：

不允许SAM帐户和共享的匿名枚举　　启用

　　网络访问：

不允许为网络身份验证储存凭证　　　启用

　　网络访问：

可匿名访问的共享　　　　　　　　　全部删除

　　网络访问：

可匿名访问的命　　　　　　　　　　全部删除

　　网络访问：

可远程访问的注册表路径　　　　　　全部删除

　　网络访问：

可远程访问的注册表路径和子路径　　全部删除

　　帐户：

重命名来宾帐户　　　　　　　　　　　　重命名一个帐户

　　帐户：

重命名系统管理员帐户　　　　　　　　　重命名一个帐户

３、禁用不必要的服务

　　开始菜单—>管理工具—>服务

　　PrintSpooler

　　RemoteRegistry

　　TCP/IPNetBIOSHelper

　　Server　　

　　以上是在WindowsServer2003系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

４、启用防火墙

　　桌面—>网上邻居—>（右键）属性—>本地连接—>（右键）属性—>高级—>（选中）Internet连接防火墙—>设置

　　把服务器上面要用到的服务端口选中

　　例如：

一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389）

　　在“FTP服务器”、“WEB服务器（HTTP）”、“远程桌面”前面打上对号

　　如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，具体参数可以参照系统里面原有的参数。

　　然后点击确定。

注意：

如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。

三、Windows2003安全配置

　　■．确保所有磁盘分区为NTFS分区

　　■．操作系统、Web主目录、日志分别安装在不同的分区

　　■．不要安装不需要的协议，比如IPX/SPX,NetBIOS?

　　■．不要安装其它任何操作系统

■．安装所有补丁（用瑞星安全漏洞扫描下载）

　　■．关闭所有不需要的服务

　　*Alerter（disable）

　　*ClipBookServer（disable）

　　*ComputerBrowser（disable）

　　*DHCPClient（disable）

　　*DirectoryReplicator（disable）

　　*FTPpublishingservice（disable）

　　*LicenseLoggingService（disable）

　　*Messenger（disable）

　　*Netlogon（disable）

　　*NetworkDDE（disable）

　　*NetworkDDEDSDM（disable）

　　*NetworkMonitor（disable）

　　*PlugandPlay（disableafterallhardwareconfiguration）

　　*RemoteAccessServer（disable）

　　*RemoteProcedureCall（RPC）locater（disable）

　　*Schedule（disable）

　　*Server（disable）

　　*SimpleServices（disable）

　　*Spooler（disable）

　　*TCP/IPNetbiosHelper（disable）

　　*TelephoneService（disable）

■.帐号和密码策略

　　1）保证禁止guest帐号

　　2）将administrator改名为比较难猜的帐号

　　3）密码唯一性：

记录上次的6个密码

　　4）最短密码期限：

2

　　5）密码最长期限：

42

　　6）最短密码长度：

8

　　7）密码复杂化（passfilt.dll）：

启用

　　8）用户必须登录方能更改密码：

启用

　　9）帐号失败登录锁定的时限：

6

　　10）锁定后重新启用的时间间隔：

720分钟

　　■．保护文件和目录

　　将C:

\winnt,C:

\winnt\config,C:

\winnt\system32,C:

\winnt\system等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限

　　■．注册表一些条目的修改

　　1）去除logon对话框中的shutdown按钮

　　将HKEY_LOCAL_MACHINE\SOFTWARE

　　\Microsoft\WindowsNT\CurrentVersion\Winlogon\中

　　ShutdownWithoutLogonREG_SZ值设为0

　　2）去除logon信息的cashing功能

　　将HKEY_LOCAL_MACHINE\SOFTWARE

　　\Microsoft\WindowsNT\CurrentVersion\Winlogon\中

　　CachedLogonsCountREG_SZ值设为0

4）限制LSA匿名访问

　　将HKEY_LOCAL_MACHINE\SYSTEM

　　\CurrentControlSet\Control\LSA中

　　RestriCanonymousREG_DWORD值设为1

　　5）去除所有网络共享

　　将HKEY_LOCAL_MACHINE\SYSTEM

　　\CurrentControlSet\Services\LanManServer\Parameters\中

AutoShareServerREG_DWORD值设为0

四、IIS的安全配置

　　■．关闭并删除默认站点：

　　默认FTP站点

　　默认Web站点

　　管理Web站点

　　■．建立自己的站点，与系统不在一个分区，如

　　D:

\wwwroot3．建立E:

\Logfiles目录，以后建立站点时的日志文件均位于此目录，确保此目录上的访问控制权限是：

Administrators（完全控制）System（完全控制）

　　■．删除IIS的部分目录：

　　IISHelpC:

\winnt\help\iishelp

　　IISAdminC:

\system32\inetsrv\iisadmin

　　MSADCC:

\ProgramFiles\CommonFiles\System\msadc\

　　删除C:

\\inetpub

■.删除不必要的IIS映射和扩展：

　　IIS被预先配置为支持常用的文件名扩展如.asp和.shtm文件。

IIS接收到这些类型的文件请求时，该调用由DLL处理。

如果您不使用其中的某些扩展或功能，则应删除该

　　映射，步骤如下：

选择计算机名，点鼠标右键，选择属性：

　　然后选择编辑

　　然后选择主目录，点击配置

　　选择扩展名\.htw\,\.htr\,\.idc\,\.ida\,\.idq\和\.printer\，点击删除

　　如果不使用serversideinclude，则删除\.shtm\\.stm\和\.shtml\

　　■.禁用父路径:

　　“父路径”选项允许您在对诸如MapPath函数调用中使用“..”。

在默认情况下，该选项

　　处于启用状态，应该禁用它。

　　禁用该选项的步骤如下：

　　右键单击该Web站点的根，然后从上下文菜单中选择“属性”。

　　单击“主目录”选项卡。

　　单击“配置”。

　　单击“应用程序选项”选项卡。

　　取消选择“启用父路径”复选框。

　　■.在虚拟目录上设置访问控制权限

　　主页使用的文件按照文件类型应使用不同的访问控制列表：

　　CGI（.exe,.dll,.cmd,.pl）

　　Everyone（X）

　　Administrators（完全控制）

　　System（完全控制）

　　脚本文件（.asp）

　　Everyone（X）

　　Administrators（完全控制）

　　System（完全控制）

　　include文件（.inc,.shtm,.shtml）

　　Everyone（X）

　　Administrators（完全控制）

　　System（完全控制）

　　静态内容（.txt,.gif,.jpg,.html）

　　Everyone（R）

　　Administrators（完全控制）

　　System（完全控制）

　　在创建Web站点时，没有必要在每个文件上设置访问控制权限，应该为每个文件类型创建一个新目录，然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。

　　例如，目录结构可为以下形式：

　　D:

\wwwroot\myserver\static（.html）

　　D:

\wwwroot\myserver\include（.inc）

　　D:

\wwwroot\myserver\script（.asp）

　　D:

\wwwroot\myserver\executable（.dll）

　　D:

\wwwroot\myserver\images（.gif,.jpeg）

　　■.启用日志记录

　　确定服务器是否被攻击时，日志记录是极其重要的。

　　应使用W3C扩展日志记录格式，步骤如下：

　　打开Internet服务管理器：

　　右键单击站点，然后从上下文菜单中选择“属性”。

　　单击“Web站点”选项卡。

　　选中“启用日志记录”复选框。

　　从“活动日志格式”下拉列表中选择“W3C扩展日志文件格式”。

　　单击“属性”。

　　单击“扩展属性”选项卡，然后设置以下属性：

　　*客户IP地址

　　*用户名

　　*方法

　　*URI资源

　　*HTTP状态

　　*Win32状态

　　*用户代理

　　*服务器IP地址

*服务器端口

五、删除WindowsServer2003默认共享和禁用IPC连接

　　IPC$（InternetProcessConnection）是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方计算机即可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。

它是WindowsNT/2000/XP/2003特有的功能，但它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。

NT/2000/XP/2003在提供了ipc$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享（c$,d$,e$……）和系统目录winnt或windows（admin$）共享。

所有的这些，微软的初衷都是为了方便管理员的管理，但也为简称为IPC入侵者有意或无意的提供了方便条件，导致了系统安全性能的降低。

在建立IPC的连接中不需要任何黑客工具，在命令行里键入相应的命令就可以了，不过有个前提条件，那就是你需要知道远程主机的用户名和密码。

打开CMD后输入如下命令即可进行连接：

netuse\ipipc$password/user:

usernqme。

我们可以通过修改注册表来禁用IPC连接。

打开注册表编辑器。

找到如下组建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子键，将其值改为1即可禁用IPC连接

六、清空远程可访问的注册表路径

　　大家都知道，Windows2003操作系统提供了注册表的远程访问功能，只有将远程可访问的注册表路径设置为空，这样才能有效的防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息.

打开组策略编辑器，依次展开“计算机配置→Windows设置→安全设置→本地策略→安全选项”，在右侧窗口中找到“网络访问：

可远程访问的注册表路径”，然后在打开的窗口中，将可远程访问的注册表路径和子路径内容全部设置为空即可（如图7）。

七、关闭不必要的端口

　对于个人用户来说安装中默认的有些端口确实是没有什么必要的，关掉端口也就是关闭无用的服务。

139端口是NetBIOS协议所使用的端口，在安装了TCP/IP协议的同时，NetBIOS也会被作为默认设置安装到系统中。

139端口的开放意味着硬盘可能会在网络中共享；网上黑客也可通过NetBIOS知道你的电脑中的一切！

在以前的Windows版本中，只要不安装Microsoft网络的文件和打印共享协议，就可关闭139端口。

但在WindowsServer2003中，只这样做是不行的。

如果想彻底关闭139端口，具体步骤如下：

　　鼠标右键单击“网络邻居”，选择“属性”，进入“网络和拨号连接”，再用鼠标右键单击“本地连接”，选择“属性”，打开“本地连接属性”页（如图8），

然后去掉“Microsoft网络的文件和打印共享”前面的“√”（如图9），

接下来选中“Internet协议（TCP/IP）”，单击“属性”→“高级”→“WINS”，把“禁用TCP/IP上的NetBIOS”选中，即任务完成（如图10）！

对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。

　　假如你的电脑中还装了IIS，你最好重新设置一下端口过滤。

步骤如下：

选择网卡属性，然后双击“Internet协议（TCP/IP）”，在出现的窗口中单击“高级”按钮，会进入“高级TCP/IP设置”窗口，接下来选择“选项”标签下的“TCP/IP筛选”项，点“属性”按钮，会来到“TCP/IP筛选”的窗口，在该窗口的“启用TCP/IP筛选（所有适配器）”前面打上“√”，然后根据需要配置就可以了。

如果你只打算浏览网页，则只开放TCP端口80即可，所以可以在“TCP端口”上方选择“只允许”，然后单击“添加”按钮，输入80再单击“确定”即可

八、杜绝非法访问应用程序

　　WindowsServer2003是一种服务器操作系统，为了防止登陆到其中的用户，随意启动服务器中的应用程序，给服务器的正常运行带来不必要的麻烦，我们很有必要根据不同用户的访问权限，来限制。

　　他们去调用应用程序。

实际上我们只要使用组策略编辑器作进一步的设置，即可实现这一目的，具体步骤如下：

　　打开“组策略编辑器”的方法为：

依次点击“开始→运行”，在“运行”对话框中键入“gpedit.msc”命令并回车，即可打开“组策略编辑器”窗口。

然后依次打开“组策略控制台→用户配置→管理模板→系统”中的“只运行许可的Ｗｉｎｄｏｗｓ应用程序”并启用此策略.

然后点击下面的“允许的应用程序列表”边的“显示”按钮，弹出一个“显示内容”对话框，在此单击“添加”按钮来添加允许运行的应用程序即可

九、设置和管理账户

　　1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。

　　2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码

　　3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。

　　4、在运行中输