强化 Windows Server 2003 IIS 服务器(转)

在实施上表所列举的规则时，应当对它们都进行镜像处理。这样可以确保任何进入服务器的 网络通信也可以返回到源服务器。 上表介绍了服务器要想完成特定角色的功能所应该打开的基本端口。如果服务器使用静态的 IP 地址，这些端口已经足够。如果需要提供更多的功能，则可能需要打开更多的端口。打开更多的端口将使得您的环境下的 IIS 服务器更容易管理，但是这可能大大降低服务器的安全性。 由于在域成员和域控制器之间有大量的交互，尤其是 RPC 和身份验证通信，在 IIS 服务器和全部域控制器之间，您应该允许所有的通信。通信还可以被进一步限制，但是大多数环境都需要为有效保护服务器而创建更多的过滤器。这将使得执行和管理 IPSec 策略非常困难。您应该为每一个将与 IIS 服务器进行交互的域控制器创建类似的规则。为了提高 IIS 服务器的可靠性和可用性，您需要为环境中的所有域控制器添加更多规则。 正如上表所示，如果环境中运行了 Microsoft 操作管理器 (MOM)，那么在执行 IPSec 过滤器的服务器和 MOM 服务器之间，应该允许传输所有的 网络通信。这是必须的，因为在 MOM 服务器和 OnePoint 客户端（向 MOM 控制台提供报告的客户端应用程序）之间存在大量的交互过程。其它管理软件可能也具有类似的需求。如果需要更高级别的安全性，则可以配置 OnePoint 客户端的过滤操作，从而协调 IPSec 和 MOM 服务器。 该 IPSec 策略将有效地阻止通过任意一个高端口的通信，因此它不允许远程过程调用 (RPC) 通信。这可能会使得服务器的管理非常困难。由于已经关闭了许多端口，您可以启用终端服务。这样一来，管理员便可以执行远程管理。 上面的 网络通信图假设环境中包含启用了 Active Directory 的 DNS 服务器。如果使用独立的 DNS 服务器，则可能需要其他规则。 IPSec 策略的执行应该不会对服务器的性能有明显影响。但是，在执行这些过滤器之前必须进行测试，以核实服务器保持了必要的功能和性能。您可能还需要添加一些附加规则以支持其它应用程序。 本指南包括一个 .cmd 文件，它简化了依照指南要求为域控制器创建 IPSec 过滤器的过程。PacketFilters-IIS.cmd 文件使用 NETSH 命令创建适当的过滤器。必须修改此 .cmd 文件，以使其包含您所在环境中域控制器的 IP 地址。脚本中包含两个占位符，用于要添加的两个域控制器。如需要，可以添加其他的域控制器。这些域控制器的 IP 地址列表应当是最新的。 如果环境中有 MOM，应当在脚本中指定相应的 MOM 服务器 IP 地址。此脚本不会创建永久的过滤器。因此，直到 IPSec 策略代理启动时，服务器才会得到保护。有关构建永久的过滤器或创建高级 IPSec 过滤器脚本的详细信息，请参阅模块其他成员服务器强化过程。最后，此脚本被配置为不分发其创建的 IPSec 策略。IP 安全性策略管理单元可被用来检查所创建的 IPSec 过滤器，并且分发 IPSec 策略以便让其生效。

强化 Windows Server 2003 IIS 服务器(转)

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/7178747/viewspace-162052/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/7178747/viewspace-162052/