有没有适合 Windows Server 2003 作为 Web 应用程序/网站服务器的安全软件推荐?
或者在网站上线之前我应该调整任何特殊设置。
答案1
一些建议:
(1)保护基础操作系统、关系数据库、应用服务器和 HTTP 服务器http://iase.disa.mil/stigs/stig/index.html
(2)如果可能的话,使用 2008 而不是 2003
(3) 考虑在此处发布您的网络图,其中删除 IP 地址,但描述端口、协议、管理接口和信任关系,以便我们审查它。
(4)查看 OWASP 网站,详细了解如何构建安全的 Web 应用程序、扫描其中的漏洞以及程序员常犯的标准错误 http://www.owasp.org/
(5)获取 Web 应用程序扫描程序并检查代码。如果您使用的是编译语言,也可以进行一些静态分析。
(6) 在将代码从 (A) 开发阶段移至 (B) 准备阶段再移至 (C) 生产阶段时,我之前为每个阶段使用了不同的服务器。这还允许在将每个站点移至另一个阶段之前对其进行审核。
答案2
如果您对此很认真,您可以使用 CIS 基准测试让您的系统处于已知状态:
另外,你可以查看 Web 应用程序防火墙(例如ModSecurity)——查看以下有关 WAF 的 SF 问题:
希望这可以帮助!
乔什
答案3
您应该查看Server 2003 安全合规性管理工具包。第 8 章和第 9 章讨论 IIS/Web 服务器安全性。还阅读并实施IIS6 安全最佳实践。我对 CIS 的任何内容都不太确定。最后制定升级计划以升级到服务器 2008。许多改进都与安全性有关。
答案4
尽管尚未维护,但我还是推荐 Core Force 安全系统:
http://force.coresecurity.com/
它需要一些设置,但它具有很多 Windows 默认应该具有的功能(例如像样的防火墙)。