如何加固外网上的IIS服务器安全的技巧？

关于IIS服务器的安全主要包括六步：
1、使用安全配置向导（Security Configuration Wizard）来决定web服务器所需的最小功能，然后禁止其他不需要的功能。具体地说，它能帮你
1》禁止不需要的服务
2》堵住不用的端口
3》至于打开的端口，对可以访问的地址和其他安全做进一步的限制
4》如果可行，禁止不需要的IIS的web扩展
5》减小对SMB，LAN Manager，和LDAP协议的显露
6》定义一个高信噪比的对策
2、把网站文件放在一个非系统分区（partition）上，防止directory traversal的缺陷，对内容进行NTFS权限稽查（Audit）。
3、对自己的系统定期做安全扫描和稽查，在别人发现问题前尽早先发现自己的薄弱处。
4、定期做日志分析，寻找多次失败的登陆尝试，反复出现的404，401，403错误，不是针对你的网站的请求记录等。
5、如果使用IIS 6的话，使用Host Headers ，URL扫描，实现自动网站内容和IIS Metabase的Replication，对IUSR_servername帐号户使用标准的名称等。
6、总的web架构的设计思路：别把你的外网web服务器放在内网的活动目录（Active Directory）里，别用活动目录帐号运行IIS匿名认证，考虑实时监测，认真设置应用池设置，争取对任何活动做日志记录，禁止在服务器上使用Internet Explorer等。

主机加固为任何系统提供各种保护手段，实现多层次、立体式防护。在系统加固中，通常会对各个层，包括物理层、用户层、 *** 作系统层、应用层、主机层和其他层进行安全防护‘
1删除未使用的应用程序
每天会有许多后台进程和服务在企业服务器端上运行。由于不清楚一些应用程序对 *** 作系统本身是否有用，想要删除这些应用程序会很棘手。借助一些扫描工具可以随时检查是否有应用程序是完全没有价值的，从而删除这些应用程序。
2定期修补系统
应用程序供应商和 *** 作系统供应商普遍会在几周内发布一次补丁，每当更新可用时，更新系统就是一个良好的做法。所有这些更新都包含漏洞补丁，如果跳过更新，系统就有可能会受到威胁。新系统应安装在隔离环境中，以受到很好的保护，免受安全攻击。当在不受信任的环境中（如互联网）启动服务器时，服务器会处于很不安全的状态，只有在经过完全修补和测试后才能发布。此外，还要保持定期的安全扫描。
3控制网络服务
要始终检查通过网络可以访问哪些服务以及哪些用户正在访问这些服务，这会对用户、对应用程序和服务的常规使用有一个更清晰的了解。建立及时警报机制，以应对一旦任何用户多次尝试访问受限服务的安全问题。

---