你还在为IIS7服务器的安全问题烦劳？以后就不用了，在这里，我们将集中介绍一些简单的方法，只需要简单的9步，从此IIS7服务器和其应用程序的安全都不再是问题。

第1步：使用强化的OS操作系统的Web服务器。如果你还在使用Windows Server 2008 R2的操作系统，你需要注意的是它的服务器核心安装版本不能降低被攻击的风险,虽然它会给你需要的所有的功能。如果你使用的是常规版本的Windows Server，那么可以试着安装IIS，但是它只作用于你目前所需要的装置。你也可以根据你的实际需要，恢复或者安装更多你所需要的功能，但是你要考虑清楚，如果你添加了你不使用的装置，这会扩大你受到攻击的范围。

第2步：利用好防火墙。防火墙能确保服务器只接收有效的有服务的封包,帮助保护你的WEB服务器,尤其是面向互联网的服务器。如果有人试图对你的服务器进行恶意攻击，防火墙就是你的第一道防线，第一道防线防好了，也就没有后面的事情了。为了更好地保障你的系统,尤其是IIS服务器，推荐使用入侵预防系统(IPS)。如果你觉得你的的系统不是很大,不需要特定装硬件防火墙装置时,你可以选择利用Windows Server 2008的综合防火墙，它一样可以获得较好的安全性。

第3步：限制访问你WEB服务器的内容。这一点，你可以用IIS7进行控制ip和域来达到。例如,你可以授权组织内部域的访问，限制外部域的访问。你也可以添加合作伙伴、老板、管理员或其他任何你希望可以访问的组织或者个人的IP，使他们成为你WEB服务器唯一面向的用户。

第4步：过滤信息。IIS7可让你过滤需要处理和过滤的信息。你可以设定特定的规则进行信息过滤,例如处理和过滤带有特定扩展名的文件，或者处理在URL中的特定短语。

第5步：URL授权。当一个有效的包进入IIS处理时,同一时间也产生一个授权的人。用特定的页面和/或Web服务器的网站，可以使用IIS7，利用一个过程来调用URL进行授权给不同的用户。一般情况下，用户首先需要验证自己，并根据其验证身份，设置允许或不允许进入他们所要求进入的网页/网站。这与之前ISS版本不同，使用URL授权可以支持更详细的授权用户。

第6步：在用户和Web服务器之间使用有证书的SSL通信。这是确保你IIS服务器的最佳方法之一。如果你的服务器是公开使用的,你可以在GoDaddy或Verisign这样的受信任的证书颁发机构获得证书。这个证书在任何一个浏览器、任何一台电脑上都是可信任的,也是最容易的,但是一分钱一分货，使用SSL的价格也较高。只在组织内部使用的IIS服务器,可以在你所处的环境使用自己的PKI证书发出的Web服务器。但是,如果个别电脑上没有安装证书，内部用户访问时,计算机可能会出现问题。如果你的IIS服务器还是在测试环境中,那么你可以在ISS管理工具中使用自签名的证书。注意，不像IIS7，旧版的ISS中没有集成这一功能，你必须在微软下载一个工具来创造自己的签名证书。

第7步：记录日志。记录日志可帮助你搜索攻击源或者一个服务器损坏的原因。日志可以在确保你的设置的同时,在危机关头也可以协助你的监测工作。

第8步：测试。如果你的IIS基础设施和所有的安全解决方案都已经没有问题的话，那么接下来要做的就是要进行测试了。不用担心不会，因为微软会提供给你大师级的策略来确保你的测试是最好的。测试最常用的工具是SCW和SCM。SCW，安全配置向导，这是根据你的服务器除IIS服务器之外，是否或者还扮演一些其他的角色，因服务器而异。测试结束后SCW会提供如何提高服务器安全性的报告和建议。SCM，安全合规管理器，这是微软给你的服务器做安全测试的工具。它在与配置服务器的预定义模板进行对比后,会通过改变使用策略来配置服务器。更新过的SCM数据库工具，要比SCW所使用的更复杂，所以需要定期进行初始化安装服务器后能运行这些工具。

第9步：IIS日志记录。在第7步我们提到需要记录日志，其实日志最重要的作用是为你监视特定事件可能导致服务器或托管的应用程序中存在的问题，监控服务器本身的运行时间，可用性和性能问题，监控IIS服务器的每一个SLA协议的对象，无论是内部(公司)或外部(客户端)的SLA要求。

关键字：IIS服务器、客户端、数据库、服务器、防火墙、操作系统