动易SiteAzure系统前后台分离部署方案040.docVIP

动易SiteAzure系统前后台分离部署方案 广东动易软件股份有限公司 目录 目录 2 1.部署方案概述 3 1.1本部署方案概述及安全意义 3 1.2软硬件准备 3 1.3部署拓扑图 3 2. Windows Server 2012通用安全设置 4 2.1服务器系统激活及更新补丁 4 2.2磁盘权限设置 5 2.3网络连接设置 6 2.4 TCP/IP协议和端口禁用 7 2.5修改远程端口 8 2.6关闭不必要的服务 9 2.7网络及Windows防火墙设置 10 2.8系统帐户及账户安全策略配置 16 2.9关闭共享 23 3.Web Server安全配置 24 3.1 IIS安装 24 3.2网站用户配置 29 3.3网站前、后服务器web文件夹权限设置 31 3.4删除不必要的处理程序映射 40 3.5删除不必要的处理程序映射功能权限 41 3.6设置日志存储位置 42 4.Data Server安全配置 44 4.1 SQL Server安装中的安全注意事项 44 4.2 SQL Server安装完成后的安全配置 55 4.3供Web使用的数据库账户安全配置 56 4.4针对前台WEB服务器的数据库增强安全配置 58 4.5网络及防火墙配置 64 5.前后台服务器网站文件同步设置 65 6.相关注意事项 69 1.部署方案概述 1.1本部署方案概述及安全意义 网站部署方式是使用3台服务器分别作为网站前台，网站后台及数据库部署服务器。后台服务器网站文件和管理操作数据同步更新到前台服务器网站中，并单独设置好web服务器上文件相关权限最小化。此部署目的是在3台服务器上各自配置安全，使网站访问者只能对网站前台有访问等权限。 1.2软硬件准备 WEB服务器1：作为前台访问服务器，安装Windows Server 2012版本操作系统，安装IIS、Microsoft .NET Framework 4.6.2。 WEB服务器2：作为后台管理服务器，安装Windows Server 2012版本操作系统，安装IIS、Microsoft .NET Framework 4.6.2，同步软件（推荐使用：GoodSync）。 SQL服务器：作为数据库服务器，安装Windows Server 2012版本操作系统，安装Microsoft SQL Server 2014或以上版本。 其它：路由器、防火墙、网线、电缆等周边设施。 1.3部署拓扑图 2. Windows Server 2012通用安全设置 2.1服务器系统激活及更新补丁 打开 控制面版 系统 Windows激活，输入产品密钥，激活操作系统。 打开 控制面版 Windows更新 更改设置，选择“自动安装更新”。 打开 控制面版 Windows更新 检查更新，稍等片刻，让操作系统完成安装必威体育精装版的补丁，更新完成后，按提示重启服务器。 2.2磁盘权限设置 所有服务器硬盘分区格式采用NTFS，便于细分权限，详细设置如下： 所有磁盘分区只保留默认的Administrators 和SYSTEM用户组权限，删除其它默认自带的用户权限。注：网站和数据库不要放置在C盘，以免当需要重装操作系统时，丢失网站或数据库文件。 系统盘设置：为了网站正常运行和日常应用需要特别设定权限的部分： 2.3网络连接设置 网络连接属性中，删除不需要协议和服务，只安装“Internet 协议版本 4（TCP/IPv4）”，注：如有其他需要，如文件夹共享等，保留所需服务即可。 2.4 TCP/IP协议和端口禁用 在高级TCP/IP协议属性里--NetBIOS设置禁用TCP/IP上的NetBIOS。NetBIOS是网络协议中一个很大的隐患，装好系统后马上将它禁用。 2.5修改远程端口 1、开始--运行--regedit 2、依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中 PortNumber 改为你想用的端口号如：8888，注意使用十进制。如下图： 3、依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/ 右边键值中 PortNumber 改为你想用的端口号如：8888，注意使用十进制。如下图： 4、修改完毕，重新启动服务器，设置生效。 5、防火墙中的出入站规则3389端口，修改为新设置的8888。 2.6关闭不必要的服务 禁用不必要的系统服务， 提高安全性和系统效率。 运行，输入命令Services.msc（