机房服务器硬件配置方案.docx
- 文档编号:12999356
- 上传时间:2023-06-10
- 格式:DOCX
- 页数:23
- 大小:27.72KB
机房服务器硬件配置方案.docx
《机房服务器硬件配置方案.docx》由会员分享,可在线阅读,更多相关《机房服务器硬件配置方案.docx(23页珍藏版)》请在冰点文库上搜索。
机房服务器硬件配置方案
机房服务器硬件配置方案
一、入门级常规服务器硬配置方案:
硬件名称基本参数
奔腾E2160系列,LPGA封装,双核,工作功率65W,核心电压
1.25V,数量参考价CPU
内存
主板主频1800MHZ,总线频率800MHZ,倍频9,外频200MHZ,128M一
级缓存,1M二级缓存,指令集MMX/SSE/SSE2/SSE3/Sup-SSE3/EM64T111¥460¥135¥599KingstonDDRII6671G采,用PBGA封,频率667MHZ
采用IntelP965/ICH8芯片组,集成RealtekALC662声卡芯片,适用Core2
Extreme/Core2Quad/Core2Duo/奔腾4/赛扬D/PentiumD系列处理器。
前端总线频率FSB1066MHz
硬盘台式机硬盘容量:
160GB转速/分:
7200转/分缓存(KB):
8000KB接
口类型:
SerialATA接口速率:
SerialATA300
机箱类型:
xx飓风II机箱样式:
立式机箱结构:
MicroATX/ATX
3.51¥380机箱
光驱
散热器
UPS
稳压器
鼠标键盘英寸仓位:
1个软驱仓位+6个硬盘仓位光驱仓位:
4个产品电源:
金河田
355WB3C
选配,普通DVD光驱
热器类型:
CPU散热器散热方式:
风冷风扇转数(RPM):
2200轴承类
型:
合金轴承适用范围:
IntelLGA775Conroe、Pentium
D、Pentium4
CeleronD全系列最大风量(CFM):
43CFM
UPS电源类型:
后备式UPS额定输出容量:
0.5kva
选配
普通显示器
普通PS键盘和鼠标¥230-¥60¥200--¥100备注:
作为WEB服务器,首先要保证不间断电源,机房要控制好相对温度和湿度。
这里有额外配置的UPS不间断电源和稳压器,此服务器配置能胜基本的WEB请求服务,如大量的数据交换,文件读写,可能会存在带宽瓶颈。
二、顶级服务器配置方案硬件名称
CPU
内存
主板基本参数
PowerEdge2900CPU频率1600MHZ,标配2个XeonE5310处理器,8M
缓存。
FB-DIMM,2GB,最大可配置48GB
Inter5000X系列,FSB总线频率4066MHZ,6个扩展槽;集成ATIES1000
控制器,含16MBSDRAM
SAS结构,146GB容量;标配内置硬盘托架支持多达8块
3.5"SAS或
SATA热插拔硬盘;支持两个半高(HH)驱动器托架提供磁带或光驱设备
(可选CD-ROM、可选DVD-ROM或一体化CD-RW/DVD-ROM)采用
DELLPowerEdge2900(Xeon
配置
硬盘
网卡
机箱
标准接口
散热器
478.9×
226.6×
674.3mm
2个RJ-45支(持内置1GBNIC后)置、1个串口后置、6个通用串行总线
(USB)
2.0端口(两个前置、4个后置)、2个视频(1个前置、1个后置)
6个+2个热插拔冗余风扇(6个标配,外加每个电源1个风扇)
OpenManage、标配主板管理控制器,含IMPI
2.0支持、可选DRAC5/i
的先进功能
备注:
1,系统支持WindowsServer2003R2EnterpriseEdition、WindowsServer2003R2WebEdition、WindowsServer2003R2x64EnterpriseEditio、nWindowsServer2003R2x64StandardEditio、nWindowsStorageServer2003R2WorkgroupEdition
2,工作环境:
相对工作温度10℃-35℃,相对工作湿度20%-80%无冷凝,相对存储温度-40℃-65℃,相对湿度5%-95%无冷凝
3,以上配置为统一硬件配置,为DELL系列服务器标准配置,参考价位
¥13000WEB服务器软件配置和安全配置方案
一、系统的安装
1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS
6.0安装在系统里面。
2、IIS
6.0的安装
开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件
应用程序———ASP.NET(可选)
|——公用文件(必选)
|——万维网服务(必选)
|——在服务器端的包含文件(可选)然后点击确定—>下一步安装。
3、系统补丁的更新
点击开始菜单—>所有程序—>WindowsUpdate
按照提示进行补丁的安装。
4、备份系统
用GHOST备份系统。
5、安装常用的软件
例如:
杀毒软件、解压缩软件等;安装之后用GHOST再次备份系统。
二、系统权限的设置
、磁盘权限
系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限
系统盘\DocumentsandSettings目录只给Administrators组和SYSTEM的完全控制权限
1.exe文件只给Administrators组和SYSTEM的完全控制权限
2、本地安全策略设置
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改成功失败
审核登录事件成功失败
审核对象访问失败
审核过程跟踪无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件成功失败
审核账户登录事件成功失败
审核账户管理成功失败
B、本地策略——>用户权限分配
关闭系统:
只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:
加入Guests、User组
通过终端服务允许登陆:
只加入Administrators组,其他全部删除
C、本地策略——>安全选项交互式登陆:
不显示上次的用户名启用网络访问:
不允许SAM帐户和共享的匿名枚举启用网络访问:
不允许为网络身份验证储存凭证启用网络访问:
可匿名访问的共享全部删除网络访问:
可匿名访问的命全部删除网络访问:
可远程访问的注册表路径全部删除网络访问:
可远程访问的注册表路径和子路径全部删除帐户:
重命名来宾帐户重命名一个帐户帐户:
重命名系统管理员帐户重命名一个帐户
3、禁用不必要的服务
开始菜单—>管理工具—>服务
PrintSpooler
RemoteRegistry
TCP/IPNetBIOSHelper
Server
以上是在WindowsServer2003系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
4、启用防火墙
把服务器上面要用到的服务端口选中
例如:
一台WEB服务器,要提供WEB
(80)、FTP
(21)服务及远程桌面管理
(3389)
在“FT服P务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上对号
如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。
然后点击确定。
注意:
如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。
三、Windows2003安全配置
■.确保所有磁盘分区为NTFS分区
■.
■.
■.
■.操作系统、Web主目录、日志分别安装在不同的分区不要安装不需要的协议,比如IPX/SPX,NetBIOS?
不要安装其它任何操作系统安装所有补丁(用瑞星安全漏洞扫描下载)■.关闭所有不需要的服务
*Alerter(disable)
*ClipBookServer(disable)
*ComputerBrowser(disable)
*DHCPClient(disable)
*DirectoryReplicator(disable)
*FTPpublishingservice(disable)
*LicenseLoggingService(disable)
*Messenger(disable)
*Netlogon(disable)
*NetworkDDE(disable)
*NetworkDDEDSDM(disable)
*NetworkMonitor(disable)
*PlugandPlay(disableafterallhardwareconfiguration)
*RemoteAccessServer(disable)*RemoteProcedureCall(RPC)locater(disable)
*Schedule(disable)
*Server(disable)
*SimpleServices(disable)
*Spooler(disable)
*TCP/IPNetbiosHelper(disable)
*TelephoneService(disable)
■.帐号和密码策略
1)保证禁止guest帐号
2)将administrator改名为比较难猜的帐号
3)密码唯一性:
记录上次的6个密码
4)最短密码期限:
2
5)密码最长期限:
42
6)最短密码长度:
8
7)密码复杂化(passfilt.dll):
启用
8)用户必须登录方能更改密码:
启用
9)帐号失败登录锁定的时限:
6
10)锁定后重新启用的时间间隔:
720分钟
■.保护文件和目录
将C:
\winnt,C:
\winnt\config,C:
\winnt\system32,C:
\winnt\system等目录的访问权限做限制,限制everyone的写权限,限制users组的读写权限
■.注册表一些条目的修改
1)去除logon对话框中的shutdown按钮
将HKEY_LOCAL_MACHINE\SOFTWARE
中
ShutdownWithoutLogonREG_SZ值设为0
2)去除logon信息的cashing功能
将HKEY_LOCAL_MACHINE\SOFTWARE
中
CachedLogonsCountREG_S值Z设为04)限制LSA匿名访问将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA中RestriCanonymousREG_DWOR值D设为1
5)去除所有网络共享
将HKEY_LOCAL_MACHINE\SYSTEM
中
AutoShareServerREG_DWOR值D设为0
四、IIS的安全配置
■.关闭并删除默认站点:
默认FTP站点
默认Web站点
管理Web站点■.建立自己的站点,与系统不在一个分区,如D:
3.建立E:
\Logfiles目录,以后建立站点时的日志文件均位于此目录,确保此目录上的访问控制权限是:
Administrators(完全控制)System(完全控制)
■.删除IIS的部分目录:
IISHelpC:
\winnt\help\iishelp
IISAdminC:
MSADCC:
\ProgramFiles\CommonFiles\System\msadc\
删除C:
■.删除不必要的IIS映射和扩展:
IIS被预先配置为支持常用的文件名扩展如.asp和.shtm文件。
IIS接收到这些类型的文件请求时,该调用由DLL处理。
如果您不使用其中的某些扩展或功能,则应删除该
映射,步骤如下:
选择计算机名,点鼠标右键,选择属性:
然后选择编辑然后选择主目录,点击配置
选择扩展名和,点击删除
如果不使用serversideinclude,则删除和\.shtml\
■.禁用父路径:
“父路径”选项允许您在对诸如MapPath函数调用中使用“..。
”在默认情况下,该选项处于启用状态,应该禁用它。
禁用该选项的步骤如下:
右键单击该Web站点的根,然后从上下文菜单中选择“属性”。
单击“主目录”选项卡。
单击“配置”。
单击“应用程序选项”选项卡。
取消选择“启用父路径”复选框。
■.在虚拟目录上设置访问控制权限
主页使用的文件按照文件类型应使用不同的访问控制列表:
CGI(.exe,.dll,.cmd,.pl)
Everyone(X)
Administrators(完全控制)
System(完全控制)
脚本文件(.asp)
Everyone(X)
Administrators(完全控制)
System(完全控制)
include文件(.inc,.shtm,.shtml)
Everyone(X)
Administrators(完全控制)
System(完全控制)
静态内容(.txt,.gif,.jpg,.html)
Everyone(R)
Administrators(完全控制)
System(完全控制)
在创建Web站点时,没有必要在每个文件上设置访问控制权限,应该为每个文件类型创建一个新目录,然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。
例如,目录结构可为以下形式:
D:
D:
D:
D:
D:
■.启用日志记录确定服务器是否被攻击时,日志记录是极其重要的。
应使用W3C扩展日志记录格式,步骤如下:
右键单击站点,然后从上下文菜单中选择“属性”。
单击“Web站点”选项卡。
选中“启用日志记录”复选框。
从“活动日志格式”下拉列表中选择“W3C扩展日志文件格式单击“属性”。
单击“扩展属性”选项卡,然后设置以下属性:
*客户IP地址
*用户名
*方法
*URI资源
*HTTP状态
*Win32状态
*用户代理
服务器IP地址
*服务器端口
五、删除WindowsServer2003默认共享和禁用IPC连接
usernqme。
我们可以通过修改注册表来禁用IPC连接。
打开注册表编辑器。
找到如下组建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetContro中lLsa的restrictanonymous子键,将其值改为1即可禁用IPC连接六、清空远程可访问的注册表路径
大家都知道,Windows2003操作系统提供了注册表的远程访问功能,只有将远程可访问的注册表路径设置为空,这样才能有效的防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息.
打开组策略编辑器,依次展开“计算机配置→Windows设置→安全设置→本地策略→安全选项”,在右侧窗口中找到“网络访问:
可远程访问的注册表路径”,然后在打开的窗口中,将可远程访问的注册表路径和子路径内容全部设置为空即可(如图7)。
七、关闭不必要的端口
对于个人用户来说安装中默认的有些端口确实是没有什么必要的,关掉端口也就是关闭无用的服务。
139端口是NetBIOS协议所使用的端口,在安装了TCP/IP协议的同时,NetBIOS也会被作为默认设置安装到系统中。
139端口的开放意味着硬盘可能会在网络中共享;网上黑客也可通过NetBIOS知道你的电脑
中的一切!
在以前的Windows版本中,只要不安装Microsoft网络的文件和打印共享协议,就可关闭139端口。
但在WindowsServer2003中,只这样做是不行的。
如果想彻底关闭139端口,具体步骤如下:
鼠标右键单击“网络邻居”,选择“属性”,进入“网络和拨号连接”,再用鼠标右键单击“本地连接”,选择“属性”,打开“本地连接属性”页(如图8),
然后去掉“Microsoft网络的文件和打印共享”前面的“√(”如图9),
对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。
假如你的电脑中还装了IIS,你最好重新设置一下端口过滤。
步骤如下:
八、杜绝非法访问应用程序
WindowsServer2003是一种服务器操作系统,为了防止登陆到其中的用户,随意启动服务器中的应用程序,给服务器的正常运行带来不必要的麻烦,我们很有必要根据不同用户的访问权限,来限制。
他们去调用应用程序。
实际上我们只要使用组策略编辑器作进一步的设置,即可实现这一目的,具体步骤如下:
打开“组策略编辑器”的方法为:
依次点击“开始→运行”,在“运行”对话框中键入“gpedit.msc命”令并回车,即可打开“组策略编辑器”窗口。
然后依次打开“组策略控制台→用户配置→管理模
板→系统”中的“只运行许可的Windows应用程序”并启用此策略.
然后点击下面的“允许的应用程序列表”边的“显示”按钮,弹出一个“显示内容”对话框,在此单击“添加”按钮来添加允许运行的应用程序即可
九、设置和管理账户
1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。
2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码
3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,当然现在也有一个DelGuest的工具,也许你也可以利用它来删除Guest账户,但我没有试过。
4、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时时间间隔60分钟”,“复位锁定计数设为30分钟”。
5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用
7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。
十、网络服务安全管理
1、禁止C$、D$、ADMIN$一类的缺省共享
2、解除NetBios与TCP/IP协议的绑定
3、关闭不需要的服务,以下为建议选项
ComputerBrowser:
维护网络计算机更新,禁用
DistributedFileSystem:
局域网管理共享文件,不需要禁用
Distributedlinktrackingclient:
用于局域网更新连接信息,不需要禁用
Errorreportingservice:
禁止发送错误报告
MicrosoftSerch:
提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:
PrintSpooler:
如果没有打印机可禁用
RemoteRegistry:
禁止远程修改注册表
RemoteDesktopHelpSessionManage:
r
禁止远程协助
十一、打开相应的审核策略
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
登录事件成功失败
账户登录事件成功失败
系统事件成功失败
策略更改成功失败
对象访问失败
目录服务访问失败
特权使用失败
十二、其它安全相关设置
1、隐藏重要文件/目录
3、防止SYN洪水攻击
4.禁止响应ICMP路由通告报文
5.防止ICMP重定向报文的攻击
6.不支持IGMP协议
7、禁用DCOM:
十三、配置IIS服务:
1、不使用默认的Web站点,如果使用也要将将IIS目录与系统磁盘分开。
3、删除系统盘下的虚拟目录,如:
_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。
主要为.shtml,.shtm,.stm
5、更改IIS日志的路径
6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的I
E6.0的版本不需要。
7、使用UrlScan
文件夹中的URLScan.ini文件,然后在UserAllowVerbs节添加debug谓词,注意此节是区分大小写的。
如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。
如果你的网页使用了非ASCII代码,你需要在Option节中将
AllowHighBitCharacters的值设为1在对URLScan.in文i件做了更改后,你需要重启IIS服务才能生效,快速方法运行中输入iisreset如果你在配置后出现什么问题,你可以通过添加/删除程序删除UrlScan。
十四、配置Sql服务器
1、SystemAdministrators角色最好不要超过两个
2、如果是在本机最好将身份验证配置为Win登陆
3、不要使用Sa账户,为其配置一个超级复杂的密码
4、删除以下的扩展存储过程格式为:
usemaster
sp_dropextendedproc'扩展存储过程名'
xp_cmdshell:
是进入操作系统的最佳捷径,删除
访问注册表的存储过程,删除
Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regreadXp_regwriteXp_regremovemultistring
OLE自动存储过程,不需要删除
Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop
5、隐藏SQLServe、r更改默认的1433端口
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏SQLServer实例,并改原默认的1433端口。
十五、如果只做服务器,不进行其它操作,使用IPS
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 机房 服务器 硬件 配置 方案