服务器终极安全设置与优化指南[10]

在 [Internet服务管理员] 中，选取整个IIS电脑、或Web站台，於 [内容] 之 [主目录] 页，不勾选 [启用记录] 选项。设定非独立的处理程序使用 [独立] 的处理程序会损失20%的执行效率，此处所谓 独立」系指将 [主目录]、[虚拟目录] 页之应用程式保护选项设定为 [高（独立的）] 时。因此 [应用程式保护] 设定为 [低 (IIS处理程序)] 时执行效率较高如何设定非「独立」的处理程序呢？步骤如下： 在 [Internet服务管理员] 中，选取整个IIS电脑、Web站台、或应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录] 页，设定应用程式保护选项为 [低 (IIS处理程序)] 。  

4、调整快取（Cache）记忆体  
IIS 5.0将静态的网页资料暂存於快取（Cache）记忆体当中；IIS 4.0则将静态的网页资料暂存於档案当中。调整快取（Cache）记忆体的保存档案数量可以改善执行效率。ASP指令档案执行过後，会在暂存於快取（Cache）记忆体中以提高执行效能。增加快取记忆体的保存档案数量，可提高Active Server Pages之效能。可以设定所有在整个IIS电脑、「独立」Web站台、或「独立」应用程式上执行之应用程式的快取记忆体档案数量。如何设定快取（Cache）功能呢？步骤如下：在 [Internet服务管理员] 中选取整个IIS电脑、「独立」Web站台、或「独立」应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录] 页，按下 [设定] 按钮时，即可由 [处理程序选项] 页设定[指令档快取记忆体] 。如何设定快取（Cache）记忆体档案数量呢？步骤如下：在[Internet服务管理员] 中，选取整个IIS电脑、或Web站台的起始目录。於 [内容] 之[伺服器扩充程式] 页，按下 [设定] 按钮。即可设定快取（Cache）记忆体档案数量。 

5、勿使用CGI程式  
使用CGI程式时，因为处理程序（Process）须不断地产生与摧毁，造成执行效率不佳。一般而言，执行效率比较如下： 静态网页（Static）：100 ISAPI：50 ASP：10 CGI：1 换句话说，ASP比CGI可能快10倍，因此勿使用CGI程式可以改善IIS的执行效率。以弹性（Flexibility）而言：ASP > CGI > ISAPI > 静态网页（Static）。以安全（Security）而言：ASP（独立） = ISAPI（独立）= CGI > ASP（非独立） = ISAPI（非独立）= 静态网页（Static） 

6、增加IIS 5.0电脑CPU数量  
根据微软的测试报告，增加IIS 4.0电脑CPU数量，执行效率并不会改善多少；但是增加IIS 5.0电脑CPU数量，执行效率会几乎成正比地提供，换句话说，两颗CPU的IIS5.0电脑执行效率几乎是一颗CPU电脑的两倍，四颗CPU的IIS 5.0电脑执行效率几乎是一颗CPU电脑的四倍IIS 5.0将静态的网页资料暂存於快取（Cache）记忆体当中；IIS 4.0 则将静态的网页资料暂存於档案当中。调整快取（Cache）记忆体的保存档案数量可以改善执行效率。  

7、启用ASP侦错功能  
勿启用ASP侦错功能可以改善执行效率。如何勿启用ASP侦错功能呢？步骤如下：於[Internet服务管理员] 中，选取Web站台、或应用程式的起始目录，按右键选择[内容]，按 [主目录]、[虚拟目录] 或 [目录] 页，按下 [设定] 按钮，选择 [应用程式侦错] 页，不勾选 [启用ASP伺服器端指令侦错]、[启用ASP用户端指令侦错] 选项。 

8、静态网页采用HTTP 压缩  
静态网页采用HTTP 压缩，大约可以减少20%的传输量。HTTP压缩功能启用或关闭，系针对整台IIS伺服器来设定。用户端使用IE 5.0浏览器连线到已经启用HTTP压缩IIS5.0之Web伺服器，才有HTTP压缩功能。如何启用HTTP压缩功能呢？步骤如下：若要启用HTTP 压缩功能，方法为在 [Internet服务管理员] 中，选取电脑之 [内容]，於 [主要内容] 之下选取 [WWW服务]。然後按一下 [编辑] 按钮，於 [服务] 页上，选取 [压缩静态档案] 可以压缩静态档案，不选取 [压缩应用程式档案] 。 动态产生的内容档案（压缩应用程式档案）也可以压缩，但是须耗费额外CPU处理时间，若%Processor Time已经百分之八十或更多时，建议不要压缩 

以上是对采用IIS作为WEB服务器的一些安全相关的设置与其性能调整的参数设置，可以最大化的优化你的IIS，不过个人认为如果不存在障碍，还是采用apache比较好一些，漏洞少，建议采用apache 1.3.24版本，因为最近经测试，apache 1.3.23之前的版本都存在溢出漏洞，不要怕，这种漏洞很少的，呵呵。另外，个人建议不要采用ASP安全性总不叫人放心，个人认为还是采用JSP好一些，安全性好，功能强大，绝对超值，呵呵，因为PHP也存在不少的洞洞 

附：IIS安全工具及其使用说明 

一、IIS Lock Tool，快速设置IIS安全属性 

IIS Lock Tool的推出，还要感谢红色代码，因为正是红色代码的大面积传播，致使微软设计发布这款帮助管理员们设置IIS安全性的工具。 

（一）、IIS Lock Tool具有以下功能和特点 

１、最基本功能，帮助管理员设置IIS安全性； 

２、此工具可以在IIS4和IIS5上使用； 

３、即使系统没有及时安装所有补丁，也能有效防止IIS4和IIS5的已知漏洞； 

４、帮助管理员去掉对本网站不必要的一些服务，使IIS在满足本网站需求的情况下运行最少的服务； 

５、具有两种使用模式：快捷模式和高级模式。快捷模式直接帮助管理员设置好IIS安全性，这种模式只适合于只有HTML和HTM静态网页的网站使用，因为设置完成以后，ASP不能运行；高级模式允许管理员自己设置各种属性，设置得当，对IIS系统任何功能均没有影响。 

（二）、IIS Lock Tool的使用 

１、软件下载和安装 

IIS Lock Tool在微软网站下载，下载地址： 
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32362