WEB 服务器硬件配置方案

=第壹页WEB服务器硬件配置方案一、入门级常规服务器硬配置方案：硬件名称基本参数数量参考价CPU奔腾E2160系列，LPGA封装，双核，工作功率65W，核心电压1.25V,主频1800MHZ，总线频率800MHZ，倍频9，外频200MHZ，128M一级缓存，1M二级缓存，指令集MMX/SSE/SSE2/SSE3/Sup-SSE3/EM64T1￥460内存KingstonDDRII6671G,采用PBGA封，频率667MHZ1￥135主板采用IntelP965/ICH8芯片组，集成RealtekALC662声卡芯片，适用Core2Extreme/Core2Quad/Core2Duo/奔腾4/赛扬D/PentiumD系列处理器。前端总线频率FSB1066MHz1￥599硬盘台式机硬盘容量:160GB转速/分:7200转/分缓存（KB）:8000KB接口类型:SerialATA接口速率:SerialATA3001￥380机箱机箱类型:金河田飓风II机箱样式:立式机箱结构:MicroATX/ATX3.5英寸仓位:1个软驱仓位+6个硬盘仓位光驱仓位:4个产品电源:金河田355WB3C1￥230光驱选配，普通DVD光驱1-散热器热器类型:CPU散热器散热方式:风冷风扇转数（RPM）:2200轴承类型:合金轴承适用范围:IntelLGA775Conroe、PentiumD、Pentium4CeleronD全系列最大风量(CFM):43CFM1￥60UPSUPS电源类型:后备式UPS额定输出容量:0.5kva1￥200稳压器选配1-显示器普通显示器1-鼠标键盘普通PS键盘和鼠标1￥100备注：作为WEB服务器，首先要保证不间断电源，机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器，此服务器配置能胜基本的WEB请求服务，如大量的数据交换，文件读写，可能会存在带宽瓶颈。二、顶级服务器配置方案=第贰页硬件名称基本参数采用DELLPowerEdge2900(XeonE5310/2GB/146GB)配置CPUPowerEdge2900CPU频率1600MHZ，标配2个XeonE5310处理器，8M缓存。内存FB-DIMM，2GB，最大可配置48GB主板Inter5000X系列，FSB总线频率4066MHZ，6个扩展槽；集成ATIES1000控制器,含16MBSDRAM硬盘SAS结构，146GB容量；标配内置硬盘托架支持多达8块3.5SAS或SATA热插拔硬盘；支持两个半高(HH)驱动器托架提供磁带或光驱设备(可选CD-ROM、可选DVD-ROM或一体化CD-RW/DVD-ROM）网卡双嵌入式BroadcomNetXtremeII5708千兆以太网卡机箱478.9×226.6×674.3mm标准接口2个RJ-45(支持内置1GBNIC)后置、1个串口后置、6个通用串行总线(USB)2.0端口(两个前置、4个后置)、2个视频(1个前置、1个后置)散热器6个+2个热插拔冗余风扇(6个标配,外加每个电源1个风扇)管理工具OpenManage、标配主板管理控制器,含IMPI2.0支持、可选DRAC5/i的先进功能备注：1，系统支持WindowsServer2003R2EnterpriseEdition、WindowsServer2003R2WebEdition、WindowsServer2003R2x64EnterpriseEdition、WindowsServer2003R2x64StandardEdition、WindowsStorageServer2003R2WorkgroupEdition2，工作环境：相对工作温度10℃-35℃，相对工作湿度20%-80%无冷凝，相对存储温度-40℃-65℃，相对湿度5%-95%无冷凝3，以上配置为统一硬件配置，为DELL系列服务器标准配置，参考价位￥13000WEB服务器软件配置和安全配置方案一、系统的安装１、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。２、IIS6.0的安装开始菜单—控制面板—添加或删除程序—添加/删除Windows组件应用程序———ASP.NET（可选）|——启用网络COM+访问（必选）=第叁页|——Internet信息服务(IIS)———Internet信息服务管理器（必选）|——公用文件（必选）|——万维网服务———ActiveServerpages（必选）|——Internet数据连接器（可选）|——WebDAV发布（可选）|——万维网服务（必选）|——在服务器端的包含文件（可选）然后点击确定—下一步安装。３、系统补丁的更新点击开始菜单—所有程序—WindowsUpdate按照提示进行补丁的安装。４、备份系统用GHOST备份系统。５、安装常用的软件例如：杀毒软件、解压缩软件等；安装之后用GHOST再次备份系统。二、系统权限的设置１、磁盘权限系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限系统盘\DocumentsandSettings目录只给Administrators组和SYSTEM的完全控制权限系统盘\DocumentsandSettings\AllUsers目录只给Administrators组和SYSTEM的完全控制权限系统盘\Inetpub目录及下面所有目录、文件只给Administrators组和SYSTEM的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe文件只给Administrators组和SYSTEM的完全控制权限２、本地安全策略设置开始菜单—管理工具—本地安全策略A、本地策略——审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败B、本地策略——用户权限分配关闭系统：只有Administrators组、其它全部删除。通过终端服务拒绝登陆：加入Guests、User组通过终端服务允许登陆：只加入Administrators组，其他全部删除C、本地策略——安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除=第肆页网络访问：可匿名访问的命全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户帐户：重命名系统管理员帐户重命名一个帐户３、禁用不必要的服务开始菜单—管理工具—服务PrintSpoolerRemoteRegistryTCP/IPNetBIOSHelperServer以上是在WindowsServer2003系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。４、启用防火墙桌面—网上邻居—（右键）属性—本地连接—（右键）属性—高级—（选中）Internet连接防火墙—设置把服务器上面要用到的服务端口选中例如：一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389）在“FTP服务器”、“WEB服务器（HTTP）”、“远程桌面”前面打上对号如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，具体参数可以参照系统里面原有的参数。然后点击确定。注意：如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。三、Windows2003安全配置■．确保所有磁盘分区为NTFS分区■．操作系统、Web主目录、日志分别安装在不同的分区■．不要安装不需要的协议，比如IPX/SPX,NetBIOS?■．不要安装其它任何操作系统■．安装所有补丁（用瑞星安全漏洞扫描下载）■．关闭所有不需要的服务*Alerter(disable)*ClipBookServer(disable)*ComputerBrowser(disable)*DHCPClient(disable)*DirectoryReplicator(disable)*FTPpublishingservice(disable)*LicenseLoggingService(disable)*Messenger(disable)*Netlogon(disable)*NetworkDDE(disable)*NetworkDDEDSDM(disable)*NetworkMonitor(disable)*PlugandPlay(disableafterallhardwareconfiguration)*RemoteAccessServer(disable)=第伍页*RemoteProcedureCall(RPC)locater(disable)*Schedule(disable)*Server(disable)*SimpleServices(disable)*Spooler(disable)*TCP/IPNetbiosHelper(disable)*TelephoneService(disable)■.帐号和密码策略1）保证禁止guest帐号2）将administrator改名为比较难猜的帐号3）密码唯一性：记录上次的6个密码4）最短密码期限：25）密码最长期限：426）最短密码长度：87）密码复杂化(passfilt.dll)：启用8）用户必须登录方能更改密码：启用9）帐号失败登录锁定的时限：610）锁定后重新启用的时间间隔：720分钟■．保护文件和目录将C:\winnt,C:\winnt\config,C:\winnt\system32,C:\winnt\system等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限■．注册表一些条目的修改1）去除logon对话框中的shutdown按钮将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\中ShutdownWithoutLogonREG_SZ值设为02）去除logon信息的cashing功能将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\中CachedLogonsCountREG_SZ值设为04）限制LSA匿名访问将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA中RestriCanonymousREG_DWORD值设为15）去除所有网络共享将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\中AutoShareServerREG_DWORD值设为0四、IIS的安全配置■．关闭并删除默认站点：默认FTP站点默认Web站点=第陆页管理Web站点■．建立自己的站点，与系统不在一个分区，如D:\．建立E:\Logfiles目录，以后建立站点时的日志文件均位于此目录，确保此目录上的访问控制权限是：Administrators（完全控制）System（完全控制）■．删除IIS的部分目录：IISHelpC:\winnt\help\iishelpIISAdminC:\system32\inetsrv\iisadminMSADCC:\ProgramFiles\CommonFiles\System\msadc\删除C:\\inetpub■.删除不必要的IIS映射和扩展：IIS被预先配置为支持常用的文件名扩展如.asp和.shtm文件。IIS接收到这些类型的文件请求时，该调用由DLL处理。如果您不使用其中的某些扩展