或者限制攻击者突破计算机常用的系统工具。例如,tftp(.exe)、ftp(.exe)、cmd.exe、bash、net.exe、remote.exe,和telnet(.exe)等。
6.在web服务器上仅运行HTTP服务以及支持这种服务所需的服务。
7.熟悉和最大限度地减少通过公共网络服务器进入内部网络的任何连接。在面向互联网的系统上关闭文件和打印机共享以及NETBIOS名称解析。
8.在隔离区使用一个单独的DNS服务器为面向互联网的Web服务器服务。把在隔离区外面的不能够解析的任何查询都引导到其它公共DNS服务器中或者你的服务提供商的服务器中,千万不要引导到你内部的DND服务器。
9.在面向公众的系统中使用与内部系统不同的帐号和密码制定规则,面向互联网的IIS服务器应该位于防火墙后面的隔离区,隔离区和内部网络之间还有第二层防火墙。面向互联网的IIS服务器不应该是内部活动目录域的一部分,或者使用属于内部活动目录域的账户。
10.如果有必要的话,封锁所有通向隔离区的端口,80端口或者443端口除外。
1页码:[1] [2] [3] [4] [5] [6] 第4页、共6页 |
