是否有Windows Server 2003的安全软件build议作为Web应用程序/网站服务器?
或者在使网站成为现场之前,我应该调整任何特定的设置。
几点build议:
(1)保护基本操作系统,关系数据库,应用程序服务器和HTTP服务器http://iase.disa.mil/stigs/stig/index.html
(2)如果可能的话,使用2008年而不是2003年
(3)考虑在这里发布你的networking图,删除IP地址,但是描述端口,协议,pipe理接口和信任关系,所以我们可以检查它。
(4)查看OWASP站点,了解更多关于如何构build安全的Web应用程序,扫描漏洞以及程序员制作标准错误的信息http://www.owasp.org/
(5)获取Web应用程序扫描程序并查看您的代码。 如果你正在使用编译语言,你也可以做一些静态分析。
(6)将代码从(A)开发到(B)分段,到(C)生产时,我以前使用不同的服务器。 这也使每个网站的评论,然后将其移动到另一个雄鹿。
如果您认真对待它,可以使用CIS基准testing来使您的系统进入已知状态:
Server 2003 。 IIS和MySQL
此外,你可以看看一个Web应用程序防火墙(就像ModSecurity ) – 看看WAF上的以下SF问题:
IIS上的应用程序防火墙
开源XML防火墙?
希望这可以帮助!
玩笑
您应该查看server 2003安全合规性pipe理工具包中的安全基准。 第8章和第9章讨论IIS / Web服务器的安全性。 还阅读并实施IIS6安全最佳实践 。 我不确定CIS的任何内容。 最后制定一个升级计划,以达到服务器2008年。许多改进是围绕安全。
虽然,它没有被维护,我会build议核心力量安全系统:
http://force.coresecurity.com/
这将需要一些设置,但它有很多function,应该在Windows默认情况下(如体面的防火墙)。