你還在為IIS7服務器的安全問題煩勞？以后就不用了，在這里，我們將集中介紹一些簡單的方法，只需要簡單的9步，從此IIS7服務器和其應用程序的安全都不再是問題。

第1步：使用強化的OS操作系統的Web服務器。如果你還在使用Windows Server 2008 R2的操作系統，你需要注意的是它的服務器核心安裝版本不能降低被攻擊的風險,雖然它會給你需要的所有的功能。如果你使用的是常規版本的Windows Server，那么可以試著安裝IIS，但是它只作用于你目前所需要的裝置。你也可以根據你的實際需要，恢復或者安裝更多你所需要的功能，但是你要考慮清楚，如果你添加了你不使用的裝置，這會擴大你受到攻擊的范圍。

第2步：利用好防火墻。防火墻能確保服務器只接收有效的有服務的封包,幫助保護你的WEB服務器,尤其是面向互聯網的服務器。如果有人試圖對你的服務器進行惡意攻擊，防火墻就是你的第一道防線，第一道防線防好了，也就沒有后面的事情了。為了更好地保障你的系統,尤其是IIS服務器，推薦使用入侵預防系統(IPS)。如果你覺得你的的系統不是很大,不需要特定裝硬件防火墻裝置時,你可以選擇利用Windows Server 2008的綜合防火墻，它一樣可以獲得較好的安全性。

第3步：限制訪問你WEB服務器的內容。這一點，你可以用IIS7進行控制ip和域來達到。例如,你可以授權組織內部域的訪問，限制外部域的訪問。你也可以添加合作伙伴、老板、管理員或其他任何你希望可以訪問的組織或者個人的IP，使他們成為你WEB服務器唯一面向的用戶。

第4步：過濾信息。IIS7可讓你過濾需要處理和過濾的信息。你可以設定特定的規則進行信息過濾,例如處理和過濾帶有特定擴展名的文件，或者處理在URL中的特定短語。

第5步：URL授權。當一個有效的包進入IIS處理時,同一時間也產生一個授權的人。用特定的頁面和/或Web服務器的網站，可以使用IIS7，利用一個過程來調用URL進行授權給不同的用戶。一般情況下，用戶首先需要驗證自己，并根據其驗證身份，設置允許或不允許進入他們所要求進入的網頁/網站。這與之前ISS版本不同，使用URL授權可以支持更詳細的授權用戶。

第6步：在用戶和Web服務器之間使用有證書的SSL通信。這是確保你IIS服務器的最佳方法之一。如果你的服務器是公開使用的,你可以在GoDaddy或Verisign這樣的受信任的證書頒發機構獲得證書。這個證書在任何一個瀏覽器、任何一臺電腦上都是可信任的,也是最容易的,但是一分錢一分貨，使用SSL的價格也較高。只在組織內部使用的IIS服務器,可以在你所處的環境使用自己的PKI證書發出的Web服務器。但是,如果個別電腦上沒有安裝證書，內部用戶訪問時,計算機可能會出現問題。如果你的IIS服務器還是在測試環境中,那么你可以在ISS管理工具中使用自簽名的證書。注意，不像IIS7，舊版的ISS中沒有集成這一功能，你必須在微軟下載一個工具來創造自己的簽名證書。

第7步：記錄日志。記錄日志可幫助你搜索攻擊源或者一個服務器損壞的原因。日志可以在確保你的設置的同時,在危機關頭也可以協助你的監測工作。

第8步：測試。如果你的IIS基礎設施和所有的安全解決方案都已經沒有問題的話，那么接下來要做的就是要進行測試了。不用擔心不會，因為微軟會提供給你大師級的策略來確保你的測試是最好的。測試最常用的工具是SCW和SCM。SCW，安全配置向導，這是根據你的服務器除IIS服務器之外，是否或者還扮演一些其他的角色，因服務器而異。測試結束后SCW會提供如何提高服務器安全性的報告和建議。SCM，安全合規管理器，這是微軟給你的服務器做安全測試的工具。它在與配置服務器的預定義模板進行對比后,會通過改變使用策略來配置服務器。更新過的SCM數據庫工具，要比SCW所使用的更復雜，所以需要定期進行初始化安裝服務器后能運行這些工具。

第9步：IIS日志記錄。在第7步我們提到需要記錄日志，其實日志最重要的作用是為你監視特定事件可能導致服務器或托管的應用程序中存在的問題，監控服務器本身的運行時間，可用性和性能問題，監控IIS服務器的每一個SLA協議的對象，無論是內部(公司)或外部(客戶端)的SLA要求。

關鍵字：IIS服務器、客戶端、數據庫、服務器、防火墻、操作系統