做好Web服务器的安全配置，预防服务器被恶意破坏，避免造成无谓的损失！

Web服务器，一般是指“网站服务器”，是指驻留于互联网上某种类型计算机的程序。Web服务器可以向Web浏览器等客户端提供文档，也可以存储网站文件，供全世界浏览，更可以放置数据文件，让全世界下载。

一台Web服务器上可以建立多个网站，各个网站的拥有者只需要把做好的网页和相关文件，放置在Web服务器的网站中，其它互联网用户就可以通过Web浏览器访问该网站中的网页了。

Web服务器的安全配置以IIS为例，绝对不要使用IIS默认安装的WEB目录，而需要在E盘新建一个目录，然后在IIS管理器中右击“主机->属性->WWW服务，编辑->主目录配置->应用程序映射”，只保留asp（动态服务器页面）和asa（asp的一个全局应用文件），其余全部删除。

一、 Web服务器操作系统的安装

操作系统的安装，以Windows 2000为例，更高版本的Windows也有类似的功能。格式化硬盘的时候，必须格式化为“NTFS”格式的，绝对不要使用“FAT32”格式。C盘默认为操作系统盘；D盘可以放常用软件；E盘网站，格式化完成后立刻设置磁盘权限；D盘的安全设置为“Administrator（系统管理员）”和“System（系统）”完全控制，将其他用户删除；E盘用于放置网站，如果只有一个网站，就设置“Administrator（系统管理员）”和“System（系统）”完全控制，“Everyone（每个人/所有人）”读取。如果网站上某段代码必须完成写操作，这时再单独对那个文件所在的文件夹权限进行更改。

系统安装过程中，一定要本着“最小服务原则”，无用的服务一概不选择，以此达到系统的最小安装。在安装IIS的过程中，只安装最基本、必要的功能，那些不必要的危险服务不要安装，例如：FrontPage 2000服务器扩展、Internet服务管理器(HTML)、FTP服务、文档、索引服务等等。

二、Web服务器的网络安全配置

确保网络安全，最基本的是端口设置，在“本地连接属性”，点“Internet协议(TCP/IP)”，点“高级”，再点“选项”-“TCP/IP筛选”。仅打开网站服务所需要使用的服务端口，配置界面如下图。

进行如下设置后，从你的服务器将不能使用域名解析进行上网，但是外部的访问是正常的。这个设置主要是为了防止一般规模的DDoS攻击。

三、安全模板设置

运行MMC，添加独立管理单元“安全配置与分析”，导入模板basicsv.inf或者securedc.inf，然后点“立刻配置计算机”，系统就会自动配置“帐户策略”、“本地策略”、“系统服务”等信息，一步到位。不过这些配置可能会导致某些软件无法运行或者运行出错。

四、管理权限和特权

文件和网络服务影响web服务器的安全，比如说，一个Web服务器引擎,通过网络服务软件进行威胁，用户可以访问在其上的网络服务正在运行的帐户的权限。为了增加安全性,分配特权最少需要一个特定的网络服务来运行。此外,分配最小的权限，给Web应用程序文件和数据库所需的任何匿名用户。

五、删除不必要的模块和应用扩展

默认的Apache（阿帕奇）安装，启用了一些预先定义的模块，若不需要使用就关闭这些模块，以防止针对性攻击。微软（Microsoft）的Web服务器和互联网信息服务，也是类似的，它默认为服务于大量的应用程序类型,如：ASP，ASP.NET等，但你的应用程序扩展名列表中，只包括网站或网络应用列表。每个应用程序的扩展，仅限于使用特定的HTTP动词。

六、监控和审计Web服务器

最后一点，也是最重要的一点就是，网络服务日志是网站访问日志，对于“数据库服务器日志”和“操作系统日志”要经常监测。因为日志文件往往会提供所有关于企图攻击的信息，因此要做到及时发现和处理。最好把所有存储的日志文件，放在一个隔离区的Web服务器日志里面。

以上六条，其实只需要几分钟就可以设置完成。做好Web服务器的安全设置，可以预防服务器被恶意破坏，避免造成浪费大量时间去恢复数据，减少无谓的损失。

服务器的配置，是为了满足企业的实际需求而进行的活动，因此只有明确了解了企业需求，才能够更好地进行相对应的活动。希望小编为各位用户们整理的以上六条关于web服务器安全配置的内容，能够对大家有所帮助。

亿速云，作为一家为众多企业用户提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、高防IP、SSL证书”等专业产品与增值服务的专业IDC服务提供商、云计算服务提供商，一直高度关注和重视用户的网络安全、服务器使用安全等问题。

为了更加精准有效地防御DDoS攻击，并降低用户的防御成本，亿速云为用户提供专业抗DDoS攻击的高防服务器、高防裸金属服务器，具有“超大防护带宽、超强清洗能力、全业务场景支持” 的特点。采用“智能硬件防火墙 + 流量牵引技术”，并为用户配置相对应的高防IP，在用户面临DDoS攻击时，可精准识别出恶意流量，并将恶意流量引流到高防IP。恶意流量在高防IP上进行清洗、过滤后，高防IP会将正常流量返回给源站IP，从而达到“防御DDoS攻击，保证用户网站正常稳定运行”的目的。