《Windows服務(wù)器管理和維護(hù).ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《Windows服務(wù)器管理和維護(hù).ppt（70頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、服務(wù)器管理和維護(hù),,2011年11月,,服務(wù)器管理和維護(hù),一、服務(wù)器維護(hù)操作規(guī)范 二、服務(wù)器上線前的準(zhǔn)備工作 三、磁盤管理 四、性能監(jiān)視 五、IIS的管理及維護(hù) 六、備份和還原,一、服務(wù)器維護(hù)操作規(guī)范,服務(wù)器維護(hù)要求,維護(hù)應(yīng)滿足的條件 重裝服務(wù)器的要求 服務(wù)器上禁止的操作 安全檢查要求,維護(hù)應(yīng)滿足的條件,禁止空口令、弱口令、未打補(bǔ)丁的服務(wù)器接入網(wǎng)絡(luò) 服務(wù)器口令只能由有權(quán)限訪問(wèn)的人員掌握 禁止在網(wǎng)吧等公共環(huán)境登錄服務(wù)器,重裝服務(wù)器的要求,重裝服務(wù)器的情況 關(guān)機(jī)超過(guò)6周 關(guān)機(jī)期間發(fā)布了重大漏洞的補(bǔ)丁 服務(wù)器感染木馬、病毒、蠕蟲(chóng) 服務(wù)器被入侵,服務(wù)器上禁止的操作,不允許安裝程序開(kāi)發(fā)環(huán)境或開(kāi)發(fā)調(diào)試程序

2、 不允許使用IE瀏覽外部網(wǎng)站 不允許收發(fā)EMAIL 不允許在服務(wù)器上玩游戲,安全檢查要求,新裝服務(wù)器必須符合安全規(guī)范的要求 必須經(jīng)過(guò)安全部的安全檢查 業(yè)務(wù)應(yīng)用程序應(yīng)在通過(guò)檢查后安裝,口令使用規(guī)范,保證口令的強(qiáng)度 口令長(zhǎng)度不小于12位 口令應(yīng)包含大小寫字母、數(shù)字、特殊字符 不能使用容易記憶的密碼 不能使用姓名、電話、生日等作為密碼 一般口令應(yīng)三個(gè)月更改一次 服務(wù)器發(fā)生入侵事件后，采用相同口令的服務(wù)器組應(yīng)立即更改口令 員工離職或服務(wù)器歸屬發(fā)生變化，應(yīng)及時(shí)更改密碼,系統(tǒng)的授權(quán),長(zhǎng)期授權(quán)：長(zhǎng)期對(duì)服務(wù)器有操作權(quán)限 短期授權(quán)：臨時(shí)分配的權(quán)限 授權(quán)方式：提供帳號(hào)和口令 不允許對(duì)非本公司人員進(jìn)行長(zhǎng)期授權(quán) 短期

3、授權(quán)不超過(guò)三周 服務(wù)器負(fù)責(zé)人應(yīng)有短期授權(quán)的記錄,網(wǎng)絡(luò)訪問(wèn)控制,使用iptables 、IPSEC等手段 遵循最小特權(quán)原則 采用“不被允許的就是被禁止的”網(wǎng)絡(luò)訪問(wèn)控制策略,服務(wù)器維護(hù)十大鐵律,口令必須大于12位，符合規(guī)定的復(fù)雜度要求 不同服務(wù)器不能重復(fù)使用同一口令 口令至少三個(gè)月更改一次 必須啟用IPSEC/iptables，不得停用 符合條件的必須安裝winchk和Octopod等系統(tǒng) 補(bǔ)丁發(fā)布后，必須在規(guī)定時(shí)間重啟服務(wù)器 不能在服務(wù)器上收發(fā)郵件、使用IE瀏覽無(wú)關(guān)的網(wǎng)站 新的應(yīng)用安裝前要通知安全部進(jìn)行漏洞跟蹤 新開(kāi)設(shè)對(duì)外服務(wù)和后臺(tái)管理不得使用同一端口 系統(tǒng)上線前，必須確保備份策略有效并正常執(zhí)行

4、,二、服務(wù)器上線前的準(zhǔn)備工作,服務(wù)器上線前的準(zhǔn)備工作,根據(jù)項(xiàng)目需求對(duì)服務(wù)器硬盤進(jìn)行分區(qū) 分區(qū)方式 各分區(qū)大小 將附件(web2003sec.exe)上傳至服務(wù)器D盤根目錄下 執(zhí)行web2003sec.exe，路徑設(shè)置為D盤根目錄 執(zhí)行解壓目錄中的sec.bat，待半自動(dòng)操作完畢后，再執(zhí)行全手動(dòng)操作，最后刪除d:web2003sec目錄 將服務(wù)器提交給網(wǎng)絡(luò)安全部進(jìn)行安全檢查,SEC.bat操作流程說(shuō)明,修改d:web2003sec2003ipcIpSecurity.ini TCP 23=NONE 5631=61.172.247.100;61.172.247.98;61.172.241.98;19

5、2.168.1.10/255.255.255.0 UDP 5632=61.172.247.100;61.172.247.98;61.172.241.98;192.168.1.10/255.255.255.0 69=NONE Important：應(yīng)用Ipsecurity前必須仔細(xì)檢查配置是否正確,Ipsecurity案例,某個(gè)陽(yáng)光明媚的午后，項(xiàng)目組聯(lián)系johnny ，要求增加WEB服務(wù)器10.8.0.9訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器10.8.0.10的1433端口的權(quán)限。Johnny打開(kāi)數(shù)據(jù)庫(kù)服務(wù)器上的ipsecurity.ini文件，看到1433端口已經(jīng)配置了允許部分服務(wù)器的訪問(wèn)權(quán)限，修改ipsecurit

6、y對(duì)johnny來(lái)說(shuō)已經(jīng)駕輕就熟，他立即對(duì)文件做了修改，修改后的部分內(nèi)容如下： TCP 1433=10.8.0.9,10.8.0.13,10.8.0.11 應(yīng)用該策略后，本來(lái)正常的2個(gè)網(wǎng)站都無(wú)法打開(kāi) 問(wèn)題出在哪兒呢？,SEC.bat操作流程說(shuō)明,應(yīng)用Ipsec策略 開(kāi)啟添加/刪除WINDOWS組件控制面板 提示是否下載Serv-U 6.3.0.1 安裝包 自動(dòng)用記事本打開(kāi)Serv-U 6.3.0.1 許可證文本文件 提示是否安裝winchk安全工具包 自動(dòng)彈出SQL Server客戶端網(wǎng)絡(luò)實(shí)用配置選項(xiàng) 自動(dòng)創(chuàng)建IIS日志記錄文件夾 自動(dòng)創(chuàng)建WEB默認(rèn)站點(diǎn)文件夾 自動(dòng)創(chuàng)建Serv-U日志記錄文件

7、夾 自動(dòng)創(chuàng)建和拷貝IPSEC工具包 自動(dòng)創(chuàng)建和拷貝數(shù)據(jù)備份工具包 自動(dòng)創(chuàng)建和拷貝IIS站點(diǎn)備份上傳工具包,自動(dòng)刪除匿名終端用戶 提示是否安裝WINRAR 3.5程序包 自動(dòng)導(dǎo)入關(guān)閉共享設(shè)置注冊(cè)表 自動(dòng)導(dǎo)入本地安全設(shè)置注冊(cè)表 自動(dòng)安裝OCTOPOD客戶端程序 自動(dòng)開(kāi)啟服務(wù)器本地安全策略控制面板 自動(dòng)刪除系統(tǒng)默認(rèn)共享設(shè)置 自動(dòng)關(guān)閉非必用系統(tǒng)服務(wù) 自動(dòng)刪除前期操作工具包,全手動(dòng)操作流程說(shuō)明,設(shè)置網(wǎng)卡屬性，設(shè)置DNS 調(diào)整自動(dòng)更新，數(shù)據(jù)執(zhí)行保護(hù)（DEP），關(guān)閉遠(yuǎn)程桌面 確認(rèn)Pcanywhere設(shè)置是否正確 設(shè)置IIS日志記錄路徑 設(shè)置IIS映射 啟用IIS父路徑 OCTOPOD中新增服務(wù)器 OCTOP

8、OD探測(cè) 時(shí)間同步，安裝GINA，開(kāi)啟遠(yuǎn)程日志收集，修改管理員帳號(hào)名，修改管理員密碼，安裝遠(yuǎn)程桌面(I,II,III期)，安裝Netsnmp 服務(wù)器重啟 服務(wù)器補(bǔ)丁檢查 提交給網(wǎng)絡(luò)安全部安全檢查,服務(wù)器前期操作視頻,SEC.bat操作流程說(shuō)明,cd d:web2003sec2003ipc 進(jìn)入d:web2003sec2003ipc子目錄 d:web2003sec2003ipcipsecurity.exe 運(yùn)行ipsec配置程序，根據(jù)ipsecurity.ini的配置自動(dòng)生成ipsec策略 cd .. 返回上一級(jí)目錄，當(dāng)前目錄為d:web2003sec rundll32.exe shell32.

9、dll,Control_RunDLL appwiz.cpl,,2 運(yùn)行 添加/刪除組件 explorer ftp://down:down61.172.252.28/ServUSetup1.exe 下載Serv-U notepad d:web2003seckey.txt 打開(kāi)Serv-U注冊(cè)碼文件,SEC.bat操作流程說(shuō)明,wrar350sc.exe 安裝WinRAR regedit /s stopshare.reg 導(dǎo)入關(guān)閉共享的注冊(cè)表文件 regedit /s anquan.reg 導(dǎo)入安全策略的注冊(cè)表文件 sshdnew.exe 安裝OCTOPOD copy .chelue.inf %S

10、ystemRoot%securitytemplates!chelue.inf 復(fù)制本地安全策略模板 %SystemRoot%system32secpol.msc /s 打開(kāi) 本地安全策略,SEC.bat操作流程說(shuō)明,net share c$ /delete net share d$ /delete net share e$ /delete net share f$ /delete net share g$ /delete net share admin$ /delete net share out /delete 刪除默認(rèn)共享 net stop dnscache net stop Remote

11、Registry net stop Spooler net stop messenger net stop LmHosts net stop WinHttpAutoProxySvc net stop Dhcp net stop ipfiltermon net stop seclogon 停止不必要的服務(wù),SEC.bat操作流程說(shuō)明,rmdir /s %systemroot%system32inetsrviisadmpwd /q rmdir /s %systemroot%system32inetsrviisadmin /q rmdir /s c:inetpub /q 刪除默認(rèn)IIS目錄 del

12、d:WEB2003sec.exe /q rmdir /s d:/WEB2003sec /q rmdir /s d:/WEB2003sec /q 刪除前期安裝包,三、 磁盤管理,基本磁盤和動(dòng)態(tài)磁盤,基本磁盤（Basic Disk）是經(jīng)常使用的磁盤類型，在默認(rèn)安裝情況下，系統(tǒng)就使用基本磁盤。基本磁盤通過(guò)分區(qū)（Partition）管理磁盤空間，分區(qū)可以包含主分區(qū)和擴(kuò)展分區(qū)，而在擴(kuò)展分區(qū)中又可以劃分出一個(gè)或多個(gè)邏輯分區(qū)，通過(guò)這樣的方式組織磁盤資源，而物理硬盤上沒(méi)有劃分為分區(qū)的空間是不能使用的。 動(dòng)態(tài)磁盤是在Windows 2000 中開(kāi)始引入的一種磁盤管理方式，利用動(dòng)態(tài)磁盤可以實(shí)現(xiàn)很多基本磁盤不能或不

13、容易實(shí)現(xiàn)的功能。在動(dòng)態(tài)磁盤上，不使用分區(qū)劃分容量，而是使用卷（Volume）來(lái)描述動(dòng)態(tài)磁盤上的每一個(gè)空間劃分。與分區(qū)的作用相同，卷也要賦予一個(gè)盤符，并且也要經(jīng)過(guò)格式化之后才能使用,磁盤分區(qū)方式,主分區(qū) 擴(kuò)展分區(qū) 邏輯驅(qū)動(dòng)器（邏輯分區(qū)）,磁盤分區(qū)方式,一個(gè)硬盤可以有一個(gè)主分區(qū)，一個(gè)擴(kuò)展分區(qū)，也可以只有一個(gè)主分區(qū)沒(méi)有擴(kuò)展分區(qū)。邏輯分區(qū)可以若干。 硬盤的容量主分區(qū)的容量擴(kuò)展分區(qū)的容量 擴(kuò)展分區(qū)的容量各個(gè)邏輯驅(qū)動(dòng)器（邏輯分區(qū)）的容量之和 邏輯分區(qū)只能從擴(kuò)展分區(qū)上操作,磁盤陣列卷,磁盤陣列卷：RAID(Redudant Array of Indepandent Disks,獨(dú)立磁盤冗余陣列) 是為防止硬

14、盤故障而導(dǎo)致數(shù)據(jù)丟失,采用一組廉價(jià)磁盤構(gòu)成一個(gè)獨(dú)立的存儲(chǔ)設(shè)備使用.RAID保護(hù)數(shù)據(jù)的主要方法就是數(shù)據(jù)冗余存儲(chǔ),將數(shù)據(jù)同時(shí)保存到多個(gè)硬盤上,提高數(shù)據(jù)的可用性.RAID技術(shù)分成多種等級(jí),每種針對(duì)不同的應(yīng)用需求.實(shí)現(xiàn)形式有采用硬件完成，將RAID集成在服務(wù)器上,也可由軟件實(shí)現(xiàn)。磁盤陣列從RAID0RAID6共分成7種基本級(jí)別。 比較常用的為RAID0 RAID1 RAID1+0 RAID5,動(dòng)態(tài)磁盤卷的五種類型,簡(jiǎn)單卷 Simple Volume 跨區(qū)卷 Spanned Volume 鏡像卷 Mirrored Volume 帶區(qū)卷 Striped Volume 帶奇偶校驗(yàn)的帶區(qū)卷 RAID-5 Vo

15、lume,簡(jiǎn)單卷,簡(jiǎn)單卷是物理磁盤的一部分，但它工作時(shí)就好像是物理上的一個(gè)獨(dú)立單元。簡(jiǎn)單卷是相當(dāng)于 Windows NT 4.0 及更早版本中的主分區(qū)的動(dòng)態(tài)存儲(chǔ)。當(dāng)您只有一個(gè)動(dòng)態(tài)磁盤時(shí)，簡(jiǎn)單卷是您可以創(chuàng)建的唯一卷。通過(guò)將卷擴(kuò)展到相同或不同磁盤上的未分配空間上可以增加現(xiàn)有簡(jiǎn)單卷的大小。,跨區(qū)卷,可以將來(lái)自多個(gè)硬盤（最少2個(gè)，最多32個(gè)）中的空間置于一個(gè)跨區(qū)卷中，用戶在使用的時(shí)候感覺(jué)不到是在使用多個(gè)硬盤。但向跨區(qū)卷中寫入數(shù)據(jù)必須先將同一跨區(qū)卷中的第一個(gè)硬盤中的空間寫滿，才能再向同一個(gè)跨區(qū)卷中的下一個(gè)磁盤空間中寫入數(shù)據(jù)，每塊硬盤用來(lái)組成跨區(qū)卷的空間不必相同，圖4-2 為跨區(qū)卷示意圖。,帶區(qū)卷,可以將

16、來(lái)自多個(gè)硬盤（最少2個(gè)，最多32個(gè)）中的相同空間組合成一個(gè)卷。向帶區(qū)卷中寫入數(shù)據(jù)時(shí)，數(shù)據(jù)按照64KB分成一塊，這些大小為64KB的數(shù)據(jù)塊被分散存放于組成帶區(qū)卷的各個(gè)硬盤空間中。該卷具有很高的文件讀寫效率，但不支持容錯(cuò)功能。若某個(gè)成員發(fā)生故障，則整個(gè)帶區(qū)卷的數(shù)據(jù)會(huì)丟失。帶區(qū)卷中的成員，要求其容量必須相同，并且來(lái)自不同的物理硬盤。帶區(qū)卷示意圖如圖4-3 所示。,鏡像卷,是將同一份數(shù)據(jù)做兩個(gè)相同的拷貝，并且每一份拷貝存放在不同的硬盤中。當(dāng)向其中一個(gè)卷作修改（寫入或刪除）時(shí)，另一個(gè)卷也完成相同的操作。當(dāng)一個(gè)硬盤出故障時(shí)，仍可從另一個(gè)硬盤中讀取數(shù)據(jù)，因而有很好的容錯(cuò)能力。鏡像卷可讀性能好，但是磁盤利用率

17、很低（50%）。圖4-4所示為鏡像卷示意圖。,RAID-5卷,RAID-5是一種容錯(cuò)卷，并且數(shù)據(jù)和奇偶校驗(yàn)值在三個(gè)或更多的物理磁盤上呈間歇的帶區(qū)分布如果物理磁盤的某一部分出現(xiàn)故障，則可在其余的數(shù)據(jù)和奇偶檢驗(yàn)值基礎(chǔ)上重新創(chuàng)建出現(xiàn)故障的那部分?jǐn)?shù)據(jù)在大多數(shù)活動(dòng)由讀數(shù)據(jù)組成的計(jì)算機(jī)環(huán)境中，RAID-5卷是解決數(shù)據(jù)冗余的一個(gè)很好的方案。,卷與分區(qū)的主要區(qū)別,更改磁盤容量方式不同 卷：在不重新啟動(dòng)計(jì)算機(jī)的情況下可更改磁盤容量大小，而且不會(huì)丟失數(shù)據(jù)。 分區(qū)：一旦創(chuàng)建，就無(wú)法更改容量大小，除非借助于特殊的磁盤工具軟件，如PQMagic等 磁盤空間的限制大小不同 卷：可被擴(kuò)展到磁盤中包括不連續(xù)的磁盤空間，還可以

18、創(chuàng)建跨磁盤的卷集，將幾個(gè)磁盤合為一個(gè)大卷集 分區(qū)：必須是同一磁盤上的連續(xù)的空間才可分為一個(gè)區(qū)，分區(qū)最大的容量也就是磁盤的容量,卷與分區(qū)的主要區(qū)別,卷或分區(qū)個(gè)數(shù)不同 卷：在一個(gè)磁盤上可創(chuàng)建的卷集個(gè)數(shù)沒(méi)有限制 分區(qū)：一個(gè)磁盤上只能分最多四個(gè)區(qū) 磁盤配置信息存放位置不同 卷：磁盤配置信息是存放在磁盤上的，如果是RAID容錯(cuò)系統(tǒng)會(huì)被復(fù)制到其他動(dòng)態(tài)磁盤上，可以移動(dòng)到其他計(jì)算機(jī)上繼續(xù)使用 分區(qū)：如果使用硬件RAID系統(tǒng)，相關(guān)信息保存在RAID卡中，RAID磁盤移動(dòng)到其他計(jì)算機(jī)上會(huì)丟失信息,從基本磁盤轉(zhuǎn)換為動(dòng)態(tài)磁盤,安裝好Windows 2003之后，可以將基本磁盤轉(zhuǎn)換到動(dòng)態(tài)磁盤。根據(jù)原有磁盤上的分區(qū)類型，

19、在轉(zhuǎn)換到動(dòng)態(tài)磁盤的時(shí)候，會(huì)轉(zhuǎn)化為不同的動(dòng)態(tài)磁盤卷，同時(shí)磁盤上的數(shù)據(jù)不會(huì)丟失。,四、Windows性能監(jiān)視,,使用事件查看器維護(hù)系統(tǒng)日志 使用“任務(wù)管理器”監(jiān)視系統(tǒng)資源 使用“性能監(jiān)視器”監(jiān)視系統(tǒng)性能 使用警報(bào) 優(yōu)化性能,日志是進(jìn)行系統(tǒng)分析的重要手段 維護(hù)日志 系統(tǒng)日志、應(yīng)用日志、安全日志 應(yīng)用訪問(wèn)日志 Web日志、Email日志、FTP日志等 服務(wù)器要有詳細(xì)的記錄維護(hù)情況的日志 與維護(hù)有關(guān)的日志要保存3個(gè)月以上 定期查看日志，發(fā)異常要及時(shí)報(bào)告,使用事件查看器維護(hù)系統(tǒng)日志,使用事件查看器維護(hù)系統(tǒng)日志,通過(guò)條件篩選關(guān)注特定的日志內(nèi)容,使用事件查看器維護(hù)系統(tǒng)日志,使用事件查看器維護(hù)系統(tǒng)日志,監(jiān)視程序

20、 監(jiān)視進(jìn)程 監(jiān)視性能,使用“任務(wù)管理器”監(jiān)視系統(tǒng)資源,在“系統(tǒng)監(jiān)視器”中，對(duì)象是計(jì)算機(jī)系統(tǒng)的主要組件或子系統(tǒng) 實(shí)例是相同類型的多個(gè)對(duì)象 計(jì)數(shù)器： 從對(duì)象的不同方面收集數(shù)據(jù) 在對(duì)象上不停地收集數(shù)據(jù) 跟蹤所有實(shí)例的統(tǒng)計(jì)數(shù)據(jù) 可以在“系統(tǒng)監(jiān)視器”中指定顯示哪些計(jì)數(shù)器,使用“系統(tǒng)監(jiān)視器”監(jiān)視應(yīng)用性能,優(yōu)化性能,性能優(yōu)化過(guò)程 檢查內(nèi)存性能 檢查處理器性能 檢查磁盤性能 檢查網(wǎng)絡(luò)性能,,,標(biāo)識(shí)不可接受的性能區(qū)域,,,,采取糾正操作,分析監(jiān)視數(shù)據(jù),,,性能優(yōu)化過(guò)程,建立基線來(lái)標(biāo)識(shí)趨勢(shì) 使用計(jì)數(shù)器檢查內(nèi)存 監(jiān)視每秒的頁(yè)面數(shù)目 監(jiān)視 Available Bytes 檢查分頁(yè)文件 頻繁分頁(yè)表明了內(nèi)存不足 檢查分頁(yè)

21、文件大小 使用計(jì)數(shù)器監(jiān)視分頁(yè)文件大小,檢查內(nèi)存性能,使用計(jì)數(shù)器檢查處理器性能 檢查工作站的使用值 使用值高表明系統(tǒng)正在有效處理較重的工作負(fù)荷 收集更多的數(shù)據(jù) 檢查服務(wù)器的使用值 使用值較高服務(wù)器將無(wú)法承受 使用值較高說(shuō)明產(chǎn)生了瓶頸,檢查處理器性能,,監(jiān)視 PhysicalDisk 和 LogicalDisk 對(duì)象 使用計(jì)數(shù)器檢查磁盤性能： 報(bào)告邏輯卷標(biāo)上未分配磁盤空間占總可用空間的百分比 度量 I/O 操作 表明數(shù)據(jù)移動(dòng)的速度 表明按字節(jié)傳輸數(shù)據(jù)的速度 表明每秒完成的讀寫次數(shù),檢查磁盤性能,檢查網(wǎng)絡(luò)性能,使用性能監(jiān)視器： 使用性能監(jiān)視器能夠監(jiān)視服務(wù)器上網(wǎng)絡(luò)對(duì)象的性能 使用計(jì)數(shù)器檢查成員服務(wù)器的

22、網(wǎng)絡(luò)活動(dòng)，包括輸出數(shù)據(jù)包隊(duì)列的長(zhǎng)度和溢出 使用網(wǎng)絡(luò)監(jiān)視器： 使用網(wǎng)絡(luò)監(jiān)視器可以監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流 使用 “網(wǎng)絡(luò)監(jiān)視器”驅(qū)動(dòng)程序和“網(wǎng)絡(luò)監(jiān)視器”工具,五、 IIS的管理及維護(hù),S安裝的注意事項(xiàng),盡可能不安裝不需要IIS組件，能較大程度的保證IIS的安全 一個(gè)基本的web站點(diǎn)，通常只需要3個(gè)組件就能正常工作 刪除原有的默認(rèn)站點(diǎn) 手工刪除如下目錄： C:inetpub C:WINNTsystem32inetsrviisadmin C:WINNTsystem32inetsrviisadmpwd,網(wǎng)站屬性,在【網(wǎng)站】標(biāo)簽中，可以對(duì)網(wǎng)站的一般屬性進(jìn)行設(shè)置 網(wǎng)站標(biāo)識(shí) IP 地址 TCP 端口 SSL 端口 高級(jí)

23、,網(wǎng)站屬性,2、連接 無(wú)限 限制到 連接超時(shí) 啟用保持 HTTP 激活 3、啟用日志記錄 D:LogFiles,性能屬性,在性能標(biāo)簽中，可以對(duì)網(wǎng)絡(luò)總帶寬和Web服務(wù)連接的總數(shù)進(jìn)行限制，這樣會(huì)有利于網(wǎng)絡(luò)連接和Web服務(wù)器性能的穩(wěn)定。為了限制帶寬，IIS將安裝數(shù)據(jù)包計(jì)劃程序。默認(rèn)的最大帶寬為1024K，連接數(shù)為1000個(gè)。,主目錄屬性,主目錄的位置可以有三種來(lái)源：計(jì)算機(jī)上的目錄、另一計(jì)算機(jī)上的共享位置、重定向到 URL。對(duì)于前兩種來(lái)說(shuō)，其設(shè)置基本相同，都要進(jìn)行權(quán)限和應(yīng)用程序的設(shè)置。 1、本地路徑 腳本資源訪問(wèn) 讀取 寫入 目錄瀏覽 記錄訪問(wèn) 索引資源,應(yīng)用程序設(shè)置,無(wú) 純腳本 腳本和可執(zhí)行程序 【

24、應(yīng)用程序設(shè)置 】中的【應(yīng)用程序配置】有三種設(shè)置：映射、選項(xiàng)、調(diào)試。,文檔屬性,1、啟用默認(rèn)文檔 所謂默認(rèn)文檔就是當(dāng) 瀏覽器請(qǐng)求不包括頁(yè) 面名稱時(shí)顯示的文檔， 當(dāng)瀏覽Web站點(diǎn)時(shí)會(huì) 自動(dòng)連接到主頁(yè)上。 用戶可以選擇啟用或 不啟用。 2、啟用文檔頁(yè)腳,重定向到 URL,當(dāng)選中【重定向到 URL】后，在其中輸入U(xiǎn)RL地址即可。另外，用戶還可選擇將客戶端重定向到輸入U(xiǎn)RL地址還是該地址下的目錄，并可以選擇是否對(duì)該站點(diǎn)資源進(jìn)行永久重定向。,目錄安全性屬性,目錄安全性屬性中包括【身份驗(yàn)證和訪問(wèn)控制】、【IP地址及域名限制】、【安全通信】三個(gè)屬性頁(yè)。,身份驗(yàn)證和訪問(wèn)方法,啟用匿名訪問(wèn) 集成Windows身份

25、驗(yàn)證 摘要式身份驗(yàn)證 基本身份驗(yàn)證 .NET Passport身份驗(yàn)證 IP地址及域名限制 安全通信,IIS的安全配置,刪除默認(rèn)目錄（C:inetpub、C:WINNTsystem32inetsrviisadmin、C:WINNTsystem32inetsrviisadmpwd） 刪除默認(rèn)站點(diǎn) 刪除危險(xiǎn)的IIS組件 刪除不必要的應(yīng)用程序映射 （保留.asa .aspx .ascx.ashx.asmx.asp .config .cs） 設(shè)置IIS日志記錄路徑（d:logfiles） IIS管理器網(wǎng)站右鍵點(diǎn)擊屬性活動(dòng)日志格式（屬性）日志文件目錄設(shè)置為 設(shè)置IIS映射 IIS管理器網(wǎng)站右鍵點(diǎn)擊屬

26、性主目錄配置映射應(yīng)用程序擴(kuò)展保留下列映射，除此以外均刪除（.asa .aspx .ascx.ashx.asmx.asp .config .cs）,網(wǎng)站安全管理需要注意的問(wèn)題,安裝補(bǔ)丁后服務(wù)器未及時(shí)重啟 各類口令設(shè)置過(guò)于簡(jiǎn)單 前臺(tái)web與后臺(tái)DB使用同一口令 Web與后臺(tái)管理使用了同一端口 后臺(tái)管理沒(méi)有IP限制 臨時(shí)文件*.bak文件沒(méi)有刪除 代碼中對(duì)用戶輸入過(guò)濾不嚴(yán)格 使用SA帳號(hào)連接數(shù)據(jù)庫(kù) 使用存在漏洞的應(yīng)用軟件,六、備份與還原,備份的基本概念和類型,備份的功能 所有備份的目的都是要確保丟失的數(shù)據(jù)能夠被有效地恢復(fù)。經(jīng)常在服務(wù)器硬盤或者客戶機(jī)硬盤上進(jìn)行數(shù)據(jù)備份，可以防止由于磁盤故障、電力不

27、足、病毒感染以及發(fā)生其他事故時(shí)造成的數(shù)據(jù)丟失。如果數(shù)據(jù)已經(jīng)丟失，以前曾經(jīng)作過(guò)備份，就可以及時(shí)恢復(fù)這些丟失的數(shù)據(jù)，保證業(yè)務(wù)不受影響。 備份的類型 （1）正常備份 （2）復(fù)制備份 （3）差異備份 （4）增量備份 （5）定期備份,正常備份是將選定的文件都備份下來(lái)，并把每一個(gè)文件都標(biāo)記為已備份（換句話說(shuō)就是要設(shè)置檔案文件的位）。 復(fù)制備份是備份選定的所有文件，但不對(duì)正在備份的每個(gè)文件做標(biāo)記，也就是說(shuō)不設(shè)置檔案文件的位。 差異備份是備份自最后一次正常備份以來(lái)創(chuàng)建或經(jīng)過(guò)修改的文件。 增量備份是只備份最后一次正常備份或增量備份以來(lái)又創(chuàng)建或修改的文件。（備份的數(shù)據(jù)很少） 定期備份是把選定的已經(jīng)修改的所有文件按事先安排的日期進(jìn)行定期復(fù)制。,備份數(shù)據(jù),制定備份策略 1.決定備份哪些文件和文件夾 2.決定備份間隔 3.決定備份介質(zhì)類型 4.決定是采用網(wǎng)絡(luò)備份還是本地備份 5.決定備份類型的組合,