首先给大家介绍国内的著名的安全站点 网络安全文章资料相当齐全 大家有空去 看看

http://forum.eviloctal.com 邪恶八进制
http://www.wrsky.com 火狐联盟
http://www.xfocus.net 网络安全焦点
这些都是国内最有权威的纯技术讨论安全站点 网络安全文章资料相当齐全 大家有空去 看看

一 主机的安全配置

1.装杀毒软件、防火墙、这些都是必备的也是基本的，还有就是勤打官方的补丁。

2.推荐几款安全工具，360安全卫士能扫描你系统的漏洞，然后下载补丁修补，间谍软件，恶意插件，靠他查杀。
  冰刃 系统分析特别强，分析系统正在运行的程序 ，开放的端口、内核模块,系统启动加载的软件、开放的服务，等等功能十分强大 可以辅助管理员查找木马。

3.做安全配置首先将：net.exe，cmd.exe，netstat.exe，regedit.exe，at.exe，attrib.exe， cacls.exe，这些文件都设置只允许administrators访问。

  还有将FTP.exe ，TFTP.exe ，这样命令黑客可以执行，下载黑客电脑的木马，安装到服务器，所以要改名。

  把135、445、139、这些端口都要关闭。

4.在“网络连接”里，把不需要的协议和服务都删掉，只安装了基本的Internet协议 （TCP/IP）在高级tcp/ip设置里-- “NetBIOS”设置“禁用tcp/IP上的NetBIOS。

5.把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和 标准上来说，多余的东西就没必要开启，减少一份隐患。

6.在屏幕保护，勾选上在恢复时使用密码保护，万一系统被黑客链接上 他不知道帐号密码也是没用的。

7.系统自带的TCP/IP筛选只开发你需要的端口，比如你只开放WEB服务和FTP服务，那么你就用TCP/IP筛选把其他端口过滤掉，只开放80和21端口。
这样就减少许多比必要的麻烦黑客就不会利用其他端口入侵你了。

这里有一个详细的2003的安全配置的文章大家去看看
http://bbs.wuyapc.com/read.php?tid-2355.shtml

二 ，WEB服务器的安全配置

你的WEB服务哪些目录允许解析哪些目录不允许解析  。比如存放附件的目录很容易让黑客在前台上传木马，黑客会利用得到管理员权限后，利用后台的一些功能 把附件改名为.ASP或者其他。 如果Web服务器解析了这个目录的话就会执行黑客的网页木马，
所以放附件的目录，或者没有其他无执行脚本程序目录，应该在Web服务器上设置这些目录不能解析

2.就是你这套整站程序是什么整站系统的的,要常关注官方的补丁 勤打补,你用的那套WEB系统可以到 www.sebug.net 上去搜索查询有什么漏洞,如果有漏洞请及时修补.

三，防止ASP木马在服务器上运行

1、删除FileSystemObject组件
2、删除WScript.Shell组件
3、删除Shell.Application组件
4、禁止调用Cmd.exe
把这些组件删除了ASP木马无法调用组件就无法运行.

还有就是FTP服务器，大家千万不要用SERV-U，SERV-U一直以来有个大漏洞，攻击者可以利用它，创建一个系统管理员的帐号，用终端3389登录。

四，注入漏洞的防范
1、 ASP程序连接 SQL Server 的账号不要使用sa,和任何属于Sysadmin组的账号，尽量 避免应用服务有过高的权限,应使用一个db_owner权限的一般用户来连接数据库。

2、WEB应用服务器与DB服务器分别使用不同的机器来存放，并且之间最好通过防火墙来 进行逻辑隔离，因为除了有程序在探测，sa 没密码的SQL Server,SQL Server 本身及大 量的扩展存储过程也有被溢出攻击的危险。

3、数据库服务器尽量不要与公网进行连接，如果一定要直接提供公网的连接存储，应考虑使用一个不是默认端口的端口来链接。

4、SA一定要设成强悍的密码，在默认安装Sql时sa账号没有密码，而一般管理员装完后 也忘了或怕麻烦而不更改密码。

5.DBO可以差异备份.列目录.SQL用户不允许访问硬盘也要设置.删除XP_CMDSHELL等SQL组件.为了防止EXEC命令执行.

6、不要使用IIS装好后预设的默认路径\Inetpub\WWWRoot路 径.

7、随时注意是否有新的补丁需要补上，目前SQL2000最新的补本包为SP4。

8、使用过滤和防注入函数来过滤掉一些特殊的字符 ，比如单引号'一定要过滤掉。

9、关闭IIS的错误提示，以防止攻击者获得ASP的错误提示.

黑客还会利用DDOS分布式拒绝服务攻击，发送大量半链接数据包把你服务器攻击直到无法访问。

五，防范DDOS分布式拒绝服务攻击

黑客还会利用DDOS分布式拒绝服务攻击 发送大量无用数据包把你服务器攻击知道无法访问

SYN攻击是最常见又最容易被利用的一种攻击手法。 记得2000年YAHOO就遭受到这样的攻击。

SYN攻击防范技术，归纳起来，主要有两大类，一类是通过防 火墙、路由器等过滤网关防护，另一类是通过加固TCP/IP协议栈防范.但必须清楚的是 ，SYN攻击不能完全被阻止，我们所做的是尽可能的减轻SYN攻击的危害，除非将TCP协 议重新设计。

　　1、过滤网关防护

　　这里，过滤网关主要指明防火墙，当然路由器也能成为过滤网关。防火墙部署在不同网络之间，防范外来非法攻击和防止保密信息外泄，它处于客户端和服务器之间，利用它来防护SYN攻击能起到很好的效果。过滤网关防护主要包括超时设置，SYN网关和SYN代理三种。

　　
　　2、加固tcp/ip协议栈

　　防范SYN攻击的另一项主要技术是调整tcp/ip协议，修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、增加最大半连接和缩短超时时间等。tcp/ip协议栈的调整可能会引起某些功能的受限，管理员应该在进行充分了解和测试的前提下进行此项工作。

　　为防范SYN攻击，win2000系统的tcp/ip协议内嵌了SynAttackProtect机制，Win2003系统也采用此机制。SynAttackProtect机制是通过关闭某些socket选项，增加额外的连接指示和减少超时时间，使系统能处理更多的SYN连接，以达到防范SYN攻击的目的。默认情况下，Win2000操作系统并不支持 SynAttackProtect保护机制，需要在注册表以下位置增加SynAttackProtect键值：HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

   3.增加最大半连接数

   六，防范ARP欺骗

防御方法 1．计算机IP地址与MAC绑定

在CMD方式下，键入以下命令：ARP-s IP地址MAC地址

例： ARP-s 192.168.1.100 XX-XX-XX-XX-XX 这样，就将静态IP地址192.168.1.100与网卡地址为XX-XX-XX-XX-XX的计算机绑定在一起了，即使别人