机房服务器硬件配置方案

一、入门级常规服务器硬配置方案：

备注：作为WEB服务器，首先要保证不间断电源，机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器，此服务器配置能胜基本的WEB请求服务，如大量的数据交换，文件读写，可能会存在带宽瓶颈。

二、顶级服务器配置方案

备注：

1，系统支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64 Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition

2，工作环境：相对工作温度10℃-35℃，相对工作湿度20%-80% 无冷凝，相对存储温度-40℃-65℃，相对湿度5%-95% 无冷凝

3，以上配置为统一硬件配置，为DELL系列服务器标准配置，参考价位￥13000

WEB 服务器软件配置和安全配置方案

一、系统的安装

１、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。

２、IIS6.0的安装

开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件

应用程序———https://www.360docs.net/doc/e211428072.html,（可选）

|——启用网络COM+ 访问（必选）

|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）

|——公用文件（必选）

|——万维网服务———Active Server pages（必选）

|——Internet 数据连接器（可选）

|——WebDAV 发布（可选）

|——万维网服务（必选）

|——在服务器端的包含文件（可选）

然后点击确定—>下一步安装。

３、系统补丁的更新

点击开始菜单—>所有程序—>Windows Update

按照提示进行补丁的安装。

４、备份系统

用GHOST备份系统。

５、安装常用的软件

例如：杀毒软件、解压缩软件等；安装之后用GHOST再次备份系统。

二、系统权限的设置

１、磁盘权限

系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限

系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限

系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限

系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限

系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限

２、本地安全策略设置

开始菜单—>管理工具—>本地安全策略

A、本地策略——>审核策略

审核策略更改成功失败

审核登录事件成功失败

审核对象访问失败

审核过程跟踪无审核

审核目录服务访问失败

审核特权使用失败

审核系统事件成功失败

审核账户登录事件成功失败

审核账户管理成功失败

B、本地策略——>用户权限分配

关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests、User组

通过终端服务允许登陆：只加入Administrators组，其他全部删除

C、本地策略——>安全选项

交互式登陆：不显示上次的用户名启用

网络访问：不允许SAM帐户和共享的匿名枚举启用

网络访问：不允许为网络身份验证储存凭证启用

网络访问：可匿名访问的共享全部删除

网络访问：可匿名访问的命全部删除

网络访问：可远程访问的注册表路径全部删除

网络访问：可远程访问的注册表路径和子路径全部删除

帐户：重命名来宾帐户重命名一个帐户

帐户：重命名系统管理员帐户重命名一个帐户

３、禁用不必要的服务

开始菜单—>管理工具—>服务

Print Spooler

Remote Registry

TCP/IP NetBIOS Helper

Server

以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

４、启用防火墙

桌面—>网上邻居—>（右键）属性—>本地连接—>（右键）属性—>高级—>（选中）Internet 连接防火墙—>设置

把服务器上面要用到的服务端口选中

例如：一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389）

在“FTP 服务器”、“WEB服务器（HTTP）”、“远程桌面”前面打上对号

如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，具体参数可以参照系统里面原有的参数。

然后点击确定。注意：如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。

三、Windows 2003安全配置

■．确保所有磁盘分区为NTFS分区

■．操作系统、Web主目录、日志分别安装在不同的分区

■．不要安装不需要的协议，比如IPX/SPX, NetBIOS?

■．不要安装其它任何操作系统

■．安装所有补丁（用瑞星安全漏洞扫描下载）

■．关闭所有不需要的服务

* Alerter (disable)

* ClipBook Server (disable)

* Computer Browser (disable)

* DHCP Client (disable)

* Directory Replicator (disable)

* FTP publishing service (disable)

* License Logging Service (disable)

* Messenger (disable)

* Netlogon (disable)

* Network DDE (disable)

* Network DDE DSDM (disable)

* Network Monitor (disable)

* Plug and Play (disable after all hardware configuration)

* Remote Access Server (disable)

* Remote Procedure Call (RPC) locater (disable)

* Schedule (disable)

* Server (disable)

* Simple Services (disable)

* Spooler (disable)

* TCP/IP Netbios Helper (disable)

* Telephone Service (disable)

■. 帐号和密码策略

1）保证禁止guest帐号

2）将administrator改名为比较难猜的帐号

3）密码唯一性：记录上次的6 个密码

4）最短密码期限：2

5）密码最长期限：42

6）最短密码长度：8

7）密码复杂化(passfilt.dll)：启用

8）用户必须登录方能更改密码：启用

9）帐号失败登录锁定的时限：6

10）锁定后重新启用的时间间隔：720分钟

■．保护文件和目录

将C:\winnt, C:\winnt\config, C:\winnt\system32, C:\winnt\system等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限

■．注册表一些条目的修改

1）去除logon对话框中的shutdown按钮

将HKEY_LOCAL_MACHINE\SOFTWARE

\Microsoft\Windows NT\Current V ersion\Winlogon\中

ShutdownWithoutLogon REG_SZ 值设为0

2）去除logon信息的cashing功能

将HKEY_LOCAL_MACHINE\SOFTWARE

\Microsoft\Windows NT\Current V ersion\Winlogon\中

CachedLogonsCount REG_SZ 值设为0

4）限制LSA匿名访问

将HKEY_LOCAL_MACHINE\SYSTEM

\CurrentControlSet\Control\LSA中

RestriCanonymous REG_DWORD 值设为1

5）去除所有网络共享

将HKEY_LOCAL_MACHINE\SYSTEM

\CurrentControlSet\Services\LanManServer\Parameters\中

AutoShareServer REG_DWORD 值设为0

四、IIS的安全配置

■．关闭并删除默认站点：

默认FTP站点

默认Web站点

管理Web站点

■．建立自己的站点，与系统不在一个分区，如

D:\wwwroot3．建立E:\Logfiles 目录，以后建立站点时的日志文件均位于此目录，确保此目录上的访问控制权限是：Administrators（完全控制）System（完全控制）

■．删除IIS的部分目录：

IISHelp C:\winnt\help\iishelp

IISAdmin C:\system32\inetsrv\iisadmin

MSADC C:\Program Files\Common Files\System\msadc\

删除C:\\inetpub

■. 删除不必要的IIS映射和扩展：

IIS 被预先配置为支持常用的文件名扩展如.asp 和.shtm 文件。IIS 接收到这些类型的文件请求时，该调用由DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下：

选择计算机名，点鼠标右键，选择属性：

然后选择编辑

然后选择主目录，点击配置

选择扩展名\.htw\,\.htr\,\.idc\,\.ida\,\.idq\和\.printer\，点击删除

如果不使用server side include，则删除\.shtm\ \.stm\ 和\.shtml\

■. 禁用父路径:

“父路径”选项允许您在对诸如MapPath 函数调用中使用“..”。在默认情况下，该选项

处于启用状态，应该禁用它。

禁用该选项的步骤如下：

右键单击该Web 站点的根，然后从上下文菜单中选择“属性”。

单击“主目录”选项卡。

单击“配置”。

单击“应用程序选项”选项卡。

取消选择“启用父路径”复选框。

■. 在虚拟目录上设置访问控制权限

主页使用的文件按照文件类型应使用不同的访问控制列表：

CGI (.exe, .dll, .cmd, .pl)

Everyone (X)

Administrators（完全控制）

System（完全控制）

脚本文件(.asp)

Everyone (X)

Administrators（完全控制）

System（完全控制）

include 文件(.inc, .shtm, .shtml)

Everyone (X)

Administrators（完全控制）

System（完全控制）

静态内容(.txt, .gif, .jpg, .html)

Everyone (R)

Administrators（完全控制）

System（完全控制）

在创建Web站点时，没有必要在每个文件上设置访问控制权限，应该为每个文件类型创建一个新目录，然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。

例如，目录结构可为以下形式：

D:\wwwroot\myserver\static (.html)

D:\wwwroot\myserver\include (.inc)

D:\wwwroot\myserver \script (.asp)

D:\wwwroot\myserver \executable (.dll)

D:\wwwroot\myserver\images (.gif, .jpeg)

■. 启用日志记录

确定服务器是否被攻击时，日志记录是极其重要的。

应使用W3C 扩展日志记录格式，步骤如下：

打开Internet 服务管理器：

右键单击站点，然后从上下文菜单中选择“属性”。

单击“Web 站点”选项卡。

选中“启用日志记录”复选框。

从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。

单击“属性”。

单击“扩展属性”选项卡，然后设置以下属性：

* 客户IP地址

* 用户名

* 方法

* URI 资源

* HTTP 状态

* Win32 状态

* 用户代理

* 服务器IP地址

* 服务器端口

五、删除Windows Server 2003默认共享和禁用IPC连接

IPC$(Internet Process Connection)是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方计算机即可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。它是Windows NT/2000/XP/2003特有的功能，但它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。NT/2000/XP/2003在提供了ipc$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些，微软的初衷都是为了方便管理员的管理，但也为简称为IPC入侵者有意或无意的提供了方便条件，导致了系统安全性能的降低。在建立IPC的连接中不需要任何黑客工具，在命令行里键入相应的命令就可以了，不过有个前提条件，那就是你需要知道远程主机的用户名和密码。打开CMD后输入如下命令即可进行连接：net use\ipipc$ password /user:usernqme。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子键，将其值改为1即可禁用IPC连接

六、清空远程可访问的注册表路径

大家都知道，Windows 2003操作系统提供了注册表的远程访问功能，只有将远程可访问的注册表路径设置为空，这样才能有效的防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息.

打开组策略编辑器，依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”，在右侧窗口中找到“网络访问：可远程访问的注册表路径”，然后在打开的窗口中，将可远程访问的注册表路径和子路径内容全部设置为空即可（如图7）。

七、关闭不必要的端口

对于个人用户来说安装中默认的有些端口确实是没有什么必要的，关掉端口也就是关闭无用的服务。139端口是NetBIOS协议所使用的端口，在安装了TCP/IP 协议的同时，NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享；网上黑客也可通过NetBIOS知道你的电脑中的一切！在以前的Windows版本中，只要不安装Microsoft网络的文件和打印共享协议，就可关闭139端口。但在Windows Server 2003中，只这样做是不行的。如果想彻底关闭139端口，具体步骤如下：

鼠标右键单击“网络邻居”，选择“属性”，进入“网络和拨号连接”，再用鼠标右键单击“本地连接”，选择“属性”，打开“本地连接属性”页（如图8），

然后去掉“Microsoft网络的文件和打印共享”前面的“√”（如图9），

接下来选中“Internet协议(TCP/IP)”，单击“属性”→“高级”→“WINS”，把“禁用TCP/IP上的NetBIOS”选中，即任务完成(如图10)！

对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。

假如你的电脑中还装了IIS，你最好重新设置一下端口过滤。步骤如下：选择网卡属性，然后双击“Internet协议(TCP/IP)”，在出现的窗口中单击“高级”按钮，会进入“高级TCP/IP设置”窗口，接下来选择“选项”标签下的“TCP/IP 筛选”项，点“属性”按钮，会来到“TCP/IP 筛选”的窗口，在该窗口的“启用TCP/IP筛选(所有适配器)”前面打上“√”，然后根据需要配置就可以了。如果你只打算浏览网页，则只开放TCP端口80即可，所以可以在“TCP端口”上方选择“只允许”，然后单击“添加”按钮，输入80再单击“确定”即可

八、杜绝非法访问应用程序

Windows Server 2003是一种服务器操作系统，为了防止登陆到其中的用户，随意启动服务器中的应用程序，给服务器的正常运行带来不必要的麻烦，我们很有必要根据不同用户的访问权限，来限制。

他们去调用应用程序。实际上我们只要使用组策略编辑器作进一步的设置，即可实现这一目的，具体步骤如下：

打开“组策略编辑器”的方法为：依次点击“开始→运行”，在“运行”对话框中键入“gpedit.msc”命令并回车，即可打开“组策略编辑器”窗口。然后依次打开“组策略控制台→用户配置→管理模

板→系统”中的“只运行许可的Ｗｉｎｄｏｗｓ应用程序”并启用此策略.

然后点击下面的“允许的应用程序列表”边的“显示”按钮，弹出一个“显示内容”对话框，在此单击“添加”按钮来添加允许运行的应用程序即可

九、设置和管理账户

1、系统管理员账户最好少建，更改默认的管理员帐户名(Administrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。

2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码

3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest 的工具，也许你也可以利用它来删除Guest账户，但我没有试过。

4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时时间间隔60分钟”，“复位锁定计数设为30分钟”。

5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用

6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了https://www.360docs.net/doc/e211428072.html,还要保留Aspnet账户。

7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。

十、网络服务安全管理

1、禁止C$、D$、ADMIN$一类的缺省共享

2、解除NetBios与TCP/IP协议的绑定

3、关闭不需要的服务，以下为建议选项

Computer Browser:维护网络计算机更新，禁用

Distributed File System: 局域网管理共享文件，不需要禁用

Distributed linktracking client：用于局域网更新连接信息，不需要禁用

Error reporting service：禁止发送错误报告

Microsoft Serch：提供快速的单词搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用

PrintSpooler：如果没有打印机可禁用

Remote Registry：禁止远程修改注册表

Remote Desktop Help Session Manager：禁止远程协助

十一、打开相应的审核策略

在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。

推荐的要审核的项目是：

登录事件成功失败

账户登录事件成功失败

系统事件成功失败

策略更改成功失败

对象访问失败

目录服务访问失败

特权使用失败

十二、其它安全相关设置

1、隐藏重要文件/目录

2、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。

3、防止SYN洪水攻击

4. 禁止响应ICMP路由通告报文

5. 防止ICMP重定向报文的攻击

6. 不支持IGMP协议

7、禁用DCOM：

十三、配置IIS 服务：

1、不使用默认的Web站点，如果使用也要将将IIS目录与系统磁盘分开。

2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。

3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、删除不必要的IIS扩展名映射。

右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm

5、更改IIS日志的路径

右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性

6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

7、使用UrlScan

但如果你在服务器运行https://www.360docs.net/doc/e211428072.html,程序，并要进行调试你需打开要%WINDIR%\System32\Inetsrv\URLscan

文件夹中的URLScan.ini 文件，然后在UserAllow V erbs节添加debug谓词，注意此节是区分大小写的。

如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。

如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1 在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisreset 如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。

8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.

十四、配置Sql服务器

1、System Administrators 角色最好不要超过两个

2、如果是在本机最好将身份验证配置为Win登陆

3、不要使用Sa账户，为其配置一个超级复杂的密码

4、删除以下的扩展存储过程格式为：

use master

sp_dropextendedproc '扩展存储过程名'

xp_cmdshell：是进入操作系统的最佳捷径，删除

访问注册表的存储过程，删除

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues

Xp_regread Xp_regwrite Xp_regremovemultistring

OLE自动存储过程，不需要删除

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

5、隐藏SQL Server、更改默认的1433端口

右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏SQL Server 实例，并改原默认的1433端口。

十五、如果只做服务器，不进行其它操作，使用IPSec

1、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器操作—在管理IP 筛选器表选项下点击

添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口，第二项到此端口80——点击完成——点击确定。

2、再在管理IP筛选器表选项下点击

添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。

3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器操作窗口

4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成

5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止——下一步——完成——确定

6、在IP安全策略的右边窗口中右击新建的数据包筛选器，点击指派，不需要重启，IPSec就可生效.

十七、如何配置一台坚固安全的win2003服务器

1)确定你要用它来干什么，需要开什么服务，什么是不必要的，没用地就别装(像Index什么的)，不必要的服务全都可以关掉。

在控制面版=>管理=>工具中，自己看着办，如下服务是一定要禁止的：

Remote Registry Service

RunAs Service

Task Scheduler

Telnet

Windows Time

其他不必要的服务可以设为手动方式。

SNMP Service和SNMP Trap Service最好也关掉，要用的话，把管理公共字改掉。

2)打补丁。

确定你打上了Win2k SP2;

3)IIS配置。

1，在IIS管理器中，去处所有不必要的扩展关联(基本上除了ASP/ASA等几个必要的和CGI之类的外，其他都可以去掉) 有可能的话，可以安装一个SecureIIS，还是有一定效果的。

2，校验ftp权限，差不多就自己看着办吧，不要被人家tag就可以了~_*

4)MSSQL。

首先，记得一定要加一个难记得密码，不然就什么都完了。

然后记得升级SQL 7.0 SP2和SQL 2k SP1.

5)Terminal Server。

打了SP2基本就没太大问题，只要你的系统不是没密码..........

高级部分：

1)类防火墙限制。

这需要我们打开MS的IPSEC服务，然后选择网络设置=>网络界面属性=> TCP/IP =>高级=>选项简单一点的话，就用TCP/IP筛选，确定指开放那些端口，比如80，1433等等(可惜开放ftp服务的话，经常会乱开端口的，难以确定)；

要求高级的话，自己定义一个IPSEC策略，可以精确的过滤例如某种ICMP类型等等...可以做到水泄不通哦，不要到时候你自己也进不去了就好~_*

2)NetBIOS设置。

历史以来，netbios是仅次于IIS的winnt安全问题最多的服务，简直就是后门打开。

至少做这样一条设置：注册表编辑

Local_Machine＼System＼CurrentControlSet＼Control＼LSA-RestrictAnonymous = 1

可以禁止IPC$空用户连接，防止信息泄漏和其他更严重的安全问题。

3)Terminal Server加强。

注册表编辑：HKEY_LOCAL_ MACHINESOFTWAREMicrosoft＼WindowsNT＼CurrentV ersion＼Winlogon＼Don‘t Display Last User Name=1

可以让别人在ts中看不到你上次登录的用户名，有安全了一点点(记住，别人获取你的信息越少，你就越安全)

4)系统文件目录权限检查。

基本的策略，可以在文件属性中修改，避免有everyone完全控制的目录，大部分文件最好禁止everyone写，甚至读。

对于系统的重要文件和目录，例如system32等等，可以用Win2k Resouece Kit中的一个工具xac ls 详细的加强访问控制。

5)预防信息监测和DOS 攻击

必要的话，打开RSAS或者自己添加一个IPSEC安全策略，过滤掉ICMP Echo和Redrict类型，这样别人ping你就不会有反映，而如果ping不通的话，可能别人就此罢手了~_* 而且缺省配置下，很多的漏洞扫描器ping不通就不扫了，西西。(当然啦，如果你有更强的防火墙，哪就更好)

一定程度的DoS预防：

在注册表HKLM＼SYSTEM＼CurrentControlSet＼Services＼Tcpip＼Parameters中更改以下值可以帮助你防御一定强度的DoS攻击

SynAttackProtect REG_DWORD 2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

十八、Win 2003中提高FSO的安全性

ASP提供了强大的文件系统访问能力，可以对服务器硬盘上的任何文件进行操作，这给学校网站的安全带来巨大的威胁

ASP提供了强大的文件系统访问能力，可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作，这给学校网站的安全带来巨大的威胁。现在很多校园主机都遭受过FSO木马的侵扰。但是禁用FSO组件后，引起的后果就是所有利用这个组件的ASP程序将无法运行，无法满足客户的需求。如何既允许FileSystemObject组件，又不影响服务器的安全性呢（即：不同虚拟主机用户之间不能使用该组件读写别人的文件）？以下是笔者多年来摸索出来的经验：

第一步是有别于Windows 2000设置的关键：右击C盘，点击“共享与安全”，在出现在对话框中选择“安全”选项卡，将Everyone、Users组删除，删除后如果你的网站连ASP程序都不能运行，请添加IIS_WPG组（图1），并重启计算机。

经过这样设计后，FSO木马就已经不能运行了。如果你要进行更安全级别的设置，请分别对各个磁盘分区进行如上设置，并为各个站点设置不同匿名访问用户。下面以实例来介绍（假设你的主机上E盘Abc文件夹下设https://www.360docs.net/doc/e211428072.html,站点）：

1. 打开“计算机管理→本地用户和组→用户”，创建Abc用户，并设置密码，并将“用户下次登录时须更改密码”前的对号去掉，选中“用户不能更改密码”和“密码永不过期”，并把用户设置为隶属于Guests组。

2. 右击E:\Abc，选择“属性→安全”选项卡，此时可以看到该文件夹的默认安全设置是“Everyone”完全控制（视不同情况显示的内容不完全一样），删除Everyone的完全控制（如果不能删除，请点击[高级]按钮，将“允许父项的继承权限传播”前面的对号去掉，并删除所有），添加Administrators 及Abc用户对本网站目录的所有安全权限。

3. 打开IIS管理器，右击https://www.360docs.net/doc/e211428072.html,主机名，在弹出的菜单中选择“属性→目录安全性”选项卡，点击身份验证和访问控制的[编辑]，弹出图2所示对话框，匿名访问用户默认的就是“IUSR_机器名”，点击[浏览]，在“选择用户”对话框中找到前面创建的Abc账户，确定后重复输入密码。

十九、建议

如果你按本方案去操作，建议每做一项更改就测试一下服务器，如果有问题可以马上撤消更改。

而如果更改的项数多，才发现出问题，那就很难判断问题是出在哪一步上了。

二十、运行服务器记录当前的程序和开放的端口

1、将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。

2、将当前开放的端口抓图或记录下来，保存，方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程，和端口这一步可以省略。

机房维护方案74306

机房维护方案一、维护目的保障机房设备正常运行，过对机房环境支撑系统、监控设备、计算机主机设备定期检测、维护和保养，保障机房设备运行稳定，通过保养延长设备生命周期，降低故障率。确保机房在突发事故导致硬件设备故障，影响机房正常运作情况下，可及时得到设备供应商或机房服务维护人员的产品维修和技术支持，并快速解决故障。二、维护内容 1、机房主机设备维护管理：计算机服务器（包括PC服务器及存储服务器）；网络设备（交换路由设备等）。 2、机房监控设备维护管理：供配电监测系统、温度环境检测系统、门禁设备系统、保安监控设备。 3、机房空调与配电设备维护管理：空调设备、新风设备、UPS 电池、主配电箱。 4、机房消防设备维护管理：烟感热感探测器、手动报警按钮和报警控制器、灭火器的控制装置。 5、机房供水水路、电路及照明维护管理：水电路管线及接口的检查维护。 6、机房基础维护管理：机柜线路的整理、标签检查更换、机房除尘清洁、防火地板、墙面、吊顶、门窗及相关配套的维护管理。三、具体维护方案 1、机房主要设备维护及安全：

服务器维护及安全： ①关闭无用的端口：网络连接都是通过开放的应用端口来实现的。尽可能少地开放端口，就会大大减少了攻击者成功的机会。关闭掉不会用到的服务。telnet使用更为安全的ssh来代替。下载端口扫描程序扫描系统，如果发现有未知的开放端口，马上找到正使用它的进程，从而判断是否关闭。 Windows主机可采用定义安全策略的方法关闭隐患端口；也可采用筛选tcp端口添加允许的端口，其余端口就被自动排除。 Linux主机可检查inetd．conf文件。在该文件中注释掉那些永不会用到的服务(如：echo、gopher、rsh、rlogin、rexec、ntalk、finger 等)。 ②删除不用的软件包将不需要的服务一律去掉，如果服务器运行了很多的服务。但有许多服务是不需要的，很容易引起安全风险；同时可以腾出空间运行必要的服务，既节省资源又能保证服务器安全。 ③不设置缺省路由在服务器中，应该严格禁止设置缺省路由，建议为每一个子网或网段设置一个路由，否则其它机器就可能通过一定方式访问该服务器而造成安全隐患。 ④口令管理服务器登陆口令的长度一般不少于8个字符，口令的组成应以无

NC硬件配置方案

NC 硬件配置方案一、需求分析电信实业目前将开设100 家左右的门店，每个门店都将访问总部的服务器。将业务数据传至总部服务器，以做分析统之用。估算将会有150 个并发访问服务。这也对服务器的性能配置提出了要求。但我们又是以什么为原则来对服务器配置进行选行的，又如何选到合适的配置机器而不造成资料浪费，又可保证服务器设备拥有一定保值期。下面我就这方面给于说明。首先，讲述一下对服务器性能需求的评估方法，然后对服务器的存储需求、内存需求、网络带宽需求分析做出论述。、服务器硬件配置需求推算原理服务器性能评估工式：TPM = Num X X X 80%X Z X m X F/（Y X 60 X 60%）。工式原理如下所述： NC 主要业务分析： 1、财务日常操作总凭证录入― 5 次远程调用，重量级别 4 ;10条sql，重量级别1 应用服务器压力值：20 数据库服务器压力值：10 帐表查询― 3次远程调用，重量级别 4 ;10条sql，重量级别4 应用服务器压力值：12 数据库服务器压力值：40 收付：单据录入―5次远程调用，重量级别4; 10条sql，重量级别2 应用服务器压力值：20 数据库服务器压力值：20 2：供应链日常操作库存/销售/订单等单据录入：5次远程调用，重量级别4; 10条sql,重量级别2 应用服务器压力值：20 数据库服务器压力值：20 库存/销售/订单等汇总查询：3次远程调用，重量级别4；10条sql，重量级别5 应用服务器压力值：12 数据库服务器压力值：50 可以看到，单据录入操作相当于基准测试的12－20；而汇总表查询操作在数据库端相当于基准测试的40－50。 3：重量级操作（如iufo 计算，月末结帐，存货计算，成本计算等）以报表为例，报表计算――10行X 10列二100个单元格（二100次远程调用），函数公式平均重量级别5；一次远程调用对应 3 条计300 条sql 语句，重量级别为1。应用服务器压力值：500 数据库服务器压力值：300 报表计算则基本上属于OLAP 事务了，因此其重量值远远高于单据录入操作。计算公式： NC的应用不完全是OLTP事务处理，还包含了相当一部分的OLAP事务处理；因此其评估不能完全按照标准的TPC－C 方式，需要进行多方面的综合考虑。1：按在线人数综合业务

机房设备维护方案

机房设备维护方案机房设备维护方案一、维护目的保障机房设备正常运行，过对机房环境支撑系统、监控设备、计算机主机设备定期检测、维护和保养，保障机房设备运行稳定，通过保养延长设备生命周期，降低故障率。确保机房在突发事故导致硬件设备故障，影响机房正常运作情况下，可及时得到设备供应商或机房服务维护人员的产品维修和技术支持，并快速解决故障。二、维护内容 1机房主机设备维护管理：计算机服务器（包括PC服务器及存储服务器）；网络设备（交换设备等）。 2、机房监控设备维护管理：供配电监测系统、温度环境检测系统、门禁设备系统、保安监控设备。 3、机房空调与配电设备维护管理：空调设备、新风设备、UPS 电池、主配电箱。

4、机房消防设备维护管理：烟感热感探测器、手动报警按钮和报警控制器、灭火器的控制装置。 5、机房供水水路、电路及照明维护管理：水电路管线及接口的检查维护。 6、机房基础维护管理：机柜线路的整理、标签检查更换、机房除尘清洁、防火地板、墙面、吊顶、门窗及相关配套的维护管理。三、具体维护方案 1机房主要设备维护及安全：服务器维护及安全： ①关闭无用的端口：网络连接都是通过开放的应用端口来实现的。尽可能少地开放端口，就会大大减少了攻击者成功的机会。关闭掉不会用到的服务。telnet使用更为安全的ssh来代替。下载端口扫描程序扫描系统，如果发现有未知的开放端口，马上找到正使用它的进程，从而判断是否关闭。 Windows主机可采用定义安全策略的方法关闭隐患端口；也可采用筛选tcp端口添加允许的端口，其余端口就被自动排除。 Linux主机可检查inetd. conf文件。在该文件中注释掉那些永不会用至U的服务（如: echo gopher、rsh、rlogin、rexec ntalk、finger 等）。 ②删除不用的软件包将不需要的服务一律去掉，如果服务器运行了很多的服务。但有许多服务是不需要的，很容易引起安全风险；同时可以腾出空间运行必要的服务，既节省资源又能保证服务器安全。

服务器配置方案v1.1

服务器配置方案

目录服务器配置方案 (1) 第一章引言 (3) 1.1.编写目的 (3) 1.2.项目背景 (3) 第二章系统网络拓扑结构 (4) 第三章硬件需求 (6) 第四章软件需求 (7) 第五章网络需求 (8) 第六章云环境租用说明 (8)

第一章引言 1.1.编写目的该文档针对工程造价类项目管理信息系统（以下简称项目管理系统）的实际情况，提出其服务器配置方案。方案的制定本着满足用户实际需要并降低资金投入的原则，需要满足从硬件、网络、软件、安全等方面进行阐述，提供主推方案和备选方案，以便用户根据自身特点进行决策。 1.2.现状和目标工程造价类项目管理信息系统建设的主要目的是：建立对造价项目的全生命周期管理，包括从项目的启发到项目的后评估，对项目的各里程碑阶段提供信息化支撑手段；统一管理造价项目的各类信息，做到安全存储、有效统计、有效分析；实现造价项目相关流程的信息化，提高流程的流转效率，降低因纸质流程所带来的效率低下和非增值工作的浪费。因此系统的运行需要满足以下目标：用户在内外网均可访问：公司的员工可以在公司局域网和Internet上均能够访问使用系统；高可用性：当其中运行着的一台服务器出现故障无法启动时，另一台备份服务器会迅速的自动启动并运行（一般为2分钟左右），从而保证整个系统的正常运行。扩展性：整个网络以及硬件环境须具有可扩展性，满足公司用户能正常流畅的实用系统。比如存储能能扩展满足日益增长公司业务需求等。项目管理系统适用于以项目管理为主线贯穿销售、人资、客服等环节业务的管理。用户范围包括造价项目相关的所有人员，目前公司员工240多人，预计在2015年员工总人数达到300人以上，因此系统实用规模预计支持在线用户200人，并发用户50人。公司目前硬件环境如下：

高性能服务器软硬件配置方案

高性能服务器硬件配置方案资料来源于金牌小说网https://www.360docs.net/doc/e211428072.html, 這一個章節主要是要描述我們測試的硬體環境、Linux 版本、所需安裝的軟體和硬體切割資訊，並且讓你可以透過這份文件，輕而易舉的建立測試環境。 Hardware 有關於硬體的部分，表格中的資訊是我們所架設的硬體環境，错误！未指定书签。當然，你不需要和我們一樣使用同一系統的主機板來進行測試。表1. 硬體資訊。 Software错误！未指定书签。Requirement 目前是使用Fedora Core 5的作業系統，目前我我送測的RPM 檔案只支援Fedora Core 5的作業系統，如果需要支援其他的版本，則需要重新編譯和製作RPM 檔案。

?表2. 軟體資訊。 Space Requirement 表 3 和表4是我們透過安裝作業系統時，使用自動格式化的選項，來進行格式化硬碟；當然，你也是可以使用手動的方式，進行規劃硬碟的空間。 ?表3. 硬碟分割資訊。错误！未指定书签。 ?表4. LVM硬碟分割資訊。

Fedora Core 5 (DVD)错误！未指定书签。在這份文件中不會多加描述如何安裝Fedora Core 5，詳細的安裝步驟可以參考『鳥哥的Linux 私房菜』（網;址：https://www.360docs.net/doc/e211428072.html,/linux_basic/0156installfc4.php）。所需要的軟體套件，請參考「表 2. 軟體資訊」。硬碟的格式化可以參考「表 3.硬碟分割資訊」「表 4. LVM硬碟分割資訊」。對於防火牆的設定部份，這裡將會採取『無防火牆』和『停用SELinux』，主要是要避免一些可能造成我們Linux 作業系統安全問題的軟體的破壞，某些服務可能會因為這個較為嚴密的安全機制，而導致無法提供連線的問題，或者無法進行資料存取的問題，所以，暫時也將他關閉。 COMMAND FOR MOUNTING/UNMOUNT DVD 错误！未指定书签。雖然我們在安裝作業系統時，有選擇我們所需要的軟體套件，但仍然有些的套件是在預設的狀態下是不會被選取到的，所以我們會需要一些基本的指令，來進行掛載Fedora Core 5 DVD 光碟片，詳細的指令如下： 1. 建立DVD掛載目錄 2. 掛載DVD 3. 卸載DVD

机房设备维护方案

机房设备维护方案一、维护目的保障机房设备正常运行，过对机房环境支撑系统、监控设备、计算机主机设备定期检测、维护和保养，保障机房设备运行稳定，通过保养延长设备生命周期，降低故障率。确保机房在突发事故导致硬件设备故障，影响机房正常运作情况下，可及时得到设备供应商或机房服务维护人员的产品维修和技术支持，并快速解决故障。二、维护内容 1、机房主机设备维护管理：计算机服务器（包括PC服务器及存储服务器）；网络设备（交换设备等）。 2、机房监控设备维护管理：供配电监测系统、温度环境检测系统、门禁设备系统、保安监控设备。 3、机房空调与配电设备维护管理：空调设备、新风设备、UPS电池、主配电箱。 4、机房消防设备维护管理：烟感热感探测器、手动报警按钮和报警控制器、灭火器的控制装置。 5、机房供水水路、电路及照明维护管理：水电路管线及接口的检查维护。 6、机房基础维护管理：机柜线路的整理、标签检查更换、机房除尘清洁、防火地板、墙面、吊顶、门窗及相关配套的维护管理。三、具体维护方案 1、机房主要设备维护及安全：

服务器维护及安全： ①关闭无用的端口：网络连接都是通过开放的应用端口来实现的。尽可能少地开放端口，就会大大减少了攻击者成功的机会。关闭掉不会用到的服务。telnet使用更为安全的ssh来代替。下载端口扫描程序扫描系统，如果发现有未知的开放端口，马上找到正使用它的进程，从而判断是否关闭。 Windows主机可采用定义安全策略的方法关闭隐患端口；也可采用筛选tcp端口添加允许的端口，其余端口就被自动排除。 Linux主机可检查inetd．conf文件。在该文件中注释掉那些永不会用到的服务(如：echo、gopher、rsh、rlogin、rexec、ntalk、finger等)。 ②删除不用的软件包将不需要的服务一律去掉，如果服务器运行了很多的服务。但有许多服务是不需要的，很容易引起安全风险；同时可以腾出空间运行必要的服务，既节省资源又能保证服务器安全。 ③不设置缺省路由在服务器中，应该严格禁止设置缺省路由，建议为每一个子网或网段设置一个路由，否则其它机器就可能通过一定方式访问该服务器而造成安全隐患。 ④口令管理

案例主要软硬件选型原则和详细软硬件配置清单

5.12主要软硬件选型原则和详细软硬件配置清单 5.12.1软硬件选型原则软件选型原则：开放性，对称性与非对称处理，异种机互联能力，目录及安全服务的支持能力，应用软件的支持能力，网管能力，性能优化和监视能力，系统备份／恢复支持能力。硬件选型原则：系统的开放性，系统的延续性，系统可扩展性，系统的互连性能，应用软件的支持，系统的性价比，生产厂商的技术支持，可管理性（同事管理多处工作，消除问题，智能管理的方法），远程管理，状况跟踪，预故障处理，性能监控，安全管理，可用性，磁盘故障，内存问题，容错性（冗余组件、自动服务器恢复，冗余网卡，冗余ＣＰＵ电源模块，双对等ＰＣＩ总线）及平台支持 5.12.2软硬件配置清单参考《附表》中的项目软硬件配置清单。 5.13机房及配套工程建设方案使用目前已经建设好并正在使用的机房，不需要重新建设。

3.4.2性能需求 3.4.1.2.1交易响应时间交易响应时间指完成目标系统中的交互或批量业务处理所需的响应时间。根据业务处理类型的不同，可以把交易划分为三类：交互类业务、查询类业务和大数据量批处理类业务，分别给出响应时间要求的参考值，包括峰值响应时间、平均响应时间。 1、交互类业务日常交易指传统的大厅交互业务，如申报、发票销售、税务登记等，具有较高的响应要求。批量交易指一次完成多笔业务处理的交易，如批量扣缴等，由于批量交易的数据量不确定，需要根据具体的情况确定响应时间。表3-1交易类业务复杂性与响应时间关系表

备注：以上交易如果涉及与税务－国库－银行或税务－银行－国库交互的，响应时间参考值中均包含交互的时间 2、查询类业务如登记资料查询、申报表查询等。查询业务由于受到查询的复杂程度、查询的数据量大小等因素的影响，需要根据具体情况而定，在此给出一个参考范围。如有特殊要求，可以在具体开发文档中单独给出响应时间要求。表3-2查询类业务复杂性与响应时间关系表备注：业务处理过程的交互操作的响应时间参见上面交互类业务的相关指标。 3、大数据量、批处理业务如会计核算等业务处理，该类业务具有处理复杂、操作数据量大、处理时间长的特点，具体的响应时间在开发文档中给出。 3.4.1.2.2可靠性系统应保证在正常情况下和极端情况下业务逻辑的正确性。 1、无单点故障系统应不受任何单点故障的影响。

办公大楼机房维护方案

办公大楼机房维护方案办公大楼机房维护方案一、机房维护的必要性机房确保机房在突发事故导致硬件设备故障，影响机房正常运作情况下，可及时得到设备供应商或机房服务维护公司的产品维修和技术支持，并快速解决故障。二、维护内容 1、机房监控设备维护管理:供配电监测系统、空调环境检测系统、门禁设备系统、漏水检测、保安监控设备(包含摄像头、硬盘录像机)、监控主机; 2、机房空调与配电设备维护管理:精密空调机组、新风设备;UPS及电池、主配电柜、UPS 配电柜; 3、机房消防设备维护管理:各种探测器、手动报警按钮和报警控制器，灭火剂的控制装置; 4、机房供水水路、电路及照明线路的维护管理:水、电路管线及接口的检查维修。 5、机房基础维护管理:机柜线路的整理、标签检查更换、机房除尘清洁、地板、墙面、吊顶、门窗及有关配套的维护管理 6、机房主机设备维护管理:计算机服务器(包括PC服务器、存储服务器);网络设备(路由及交换设备等);KVM系统;

7、机房运维管理体系建设:完善机房运维规范，优化机房运维体系; 三、维护具体需求 1、机房监控设备: 1) 每季度一次设备的除尘、清理，扫净监控设备显露的尘土，对摄像机、防护罩、门禁、监控采集模块等部件要卸下彻底吹风除尘，之后用无水酒精棉将各个擦干净，调整摄像头清晰度，防止由于机器运转、静电等因素将尘土吸入监控设备机体内，确保机器正常运行。同时检查监控机房通风、散热、净尘、供电等设施。室外温度应在,20 ?,，60?，相对湿度应在10,,100,;室内温度应控制在，5?,，35?，相对湿度应控制在10,,80,，留给机房监控设备一个良好的运行环境。 2)根据监控系统各部份设备的使用说明，每月检测其各项技术参数及监控系统传输线路质量，处理故障隐患，协助监控主管设定使用级别等各种数据，确保各部份设备各项功能良好，能够正常运行。 3)对容易老化的监控设备部件每月一次进行全面检查，一旦发现老化现象应及时更换、维修，如视频头、采集模块等。 4)对易吸尘部份每季度定期清理一次，如监视器、漏水检测主机、门禁主机等暴露在空气中，由于屏幕的静电作用，会有许多灰尘被吸附在监视器表面，影响画面的清晰度，要定期擦拭监视器，校对监视器的颜色及亮度。 5) 对长时间工作的监控设备每月定期维护一次，如硬盘录像机长时间工作会产生较多的热量，一旦其电风扇有故障，会影响排热，以免硬盘录像机工作不正常。 6) 对监控系统及设备的运行情况进行监控，分析运行情况，及时发现并排除故障。如:网络设备、服务器系统、监控终端及各种终端外设。桌面系统的运行检查，网络及桌面系统的病毒防御。

服务器部署方案

服务器架构方案一： FMS直播中可以通过调整视频直播品质来调整带宽占用大小(视频品质数值范围1-100，数值越小品质越差) 1、通常一个在线观众要流畅清晰的观看标清视频需要大概30k~40k的带宽流量。 2、带宽的换算方法是128k的流量需要1M的网络带宽。 3、服务器所要负载的带宽是按可承载的最高并发流量计算出来的。并发流量是指同时访问资源的流量值，如果是利用FMS技术，要想满足并发流量的需求就需要将流量累加。如100人同时访问视频资源则可计算出：100人 * 30k = 3000k 3000k ÷ 128k/M = 23.4M(约20M带宽) 如果网站的视频观众最高并发量时达到100人，就需要至少20M的带宽；如果网站的视频观众最高并发量时达到1000人，就需要至少200M的带宽；如果网站的视频观众最高并发量时达到5000人，就需要至少1000M的带宽；推荐服务器：服务器的配置重点在于带宽，根据市场了解G端口<1000M带宽>的服务器推荐硬件配置固态硬盘，大内存即可，CPU占用率相对较低，目前没有一定数量的真实用户，暂时不能测试出对服务器硬件的消耗值，不过16G内存的服务器承载5000人同时观看直播。服务器架构方案二：

办公网络及硬件维护方案

办公网络及硬件维护方案一、计算机网络系统现状由于传统行业人员对计算机网络应用水平不高，应用不太普及不全面，计算机及网络系统的维护就更显重要，管理、维护的好坏直接影响工作业务的开展，而目前应用普遍存在的问题是： 1.缺乏规范管理；而导致维护及维修成本高，电子档案的无序管理使得单位资源的流失； 2.缺乏专业、专人管理，人工维护成本高，人员流动大，连续性差； 3.计算机、网络问题的管理维护随意性大，常常由于计算机、网络的问题，而影响正常业务的运行； 4.网络安全没有足够重视，网络病毒防范不强，互联网及局域网的隔离不够，直接将本单位资源裸露在互联网上； 5.资源备份意识不强，常常由于系统的损坏而导致重要文件丢失； 6.技术人员对新软件的应用水平参差不齐，经常性的本单位整体培训、交流不够。 7.与外部交流少，软硬件的发展应用不足等。二、计算机网络大服务概念的时机成熟我公司宗旨是为传统非IT的企事业单位提供专业计算机网络服务，为企事业单位提供专业化的、低成本高质量的标准化服务，公司经过对泰安高新区管委会等单位的行业服务实践，已为企事业单位提供了优质的计算机服务。企事业单位有越来越强烈的服务需求： 1.单位人员的精减与流动，其计算机网络管理的连续性得不到保证，维护成本高； 2.计算机应用范围越来越大，维护、管理工作问题更加突出； 3.急需低成本、高效率、专业化、科学、安全、连续性强的网络化服务。我公司计算机网络服务中心（其职能类似各单位的电脑室），最大好处是专业人员集中为整个企事业单位用户服务，其优势与特点是： 1.降低各单位维护管理成本，精简人员；

2.保证服务的连续性，不会应人员的流动给单位造成影响； 3.行业、专业、标准、快速、低成本的服务； 4.及时提供新技术服务与培训； 5.服务质量与连续性有行业保证。三、计算机网络服务的维护方法与保障机制（一）检查、更新、标准化 1.对客户需要新建计算机网络系统，我公司可提供设计、实施、维护等方案，直至单位满意； 2.如客户已有计算机网络系统，我公司将首先对现有硬件设备、网络系统全面检查，提出维护方案及存在的问题供客户参考，并统计备案； 3.为所有计算机、网络进行全面维护、升级，标准化工作； 4.为客户提供计算机专业知识咨询、操作、维护等方面的技术培训工作。（二）建立单位计算机网络信息化档案 1.所有新老客户我公司都将建立维护档案，档案包括有每台机的单机档案及公司计算机网络维护档案各一份并建立意义对应的关系； 2.单机档案：为客户需要提供服务的硬件设备建立计算机信息卡，并以标签的形式粘贴在计算机主机上。信息卡内容包括：机器名、机器编号、使用人、机器配置、IP地址、备注等。若更换硬件配置后，我公司将会及时更新信息卡内容。 3.单位计算机网络维护档案：为单位建立一套计算机网络系统维护档案。维护档案内容包括：申请人、时间、机器名、服务内容、故障现象、处理结果、维护人员、验收人员等信息情况；维护档案一式两份，双方各执一份，以便查询。（三）服务内容主要内容为计算机网络系统的建立与维护；各种软件调试安装，维护；应用软件的安装、维护；防病毒软件电脑查毒杀毒防毒；帮助建立各单位的网络安全系统与备份系统，要求各单位的安全备份及时到位；引导建立规范化，标准化的管理模式；电脑定期清洁维护；硬件更新升级的购置、安装、配置；打印机等外围设备驱动程序安装维护，技术支持与培训等。（四）服务保障机制的建立

明源ERP硬件部署方案

明源E R P硬件部署方案 Document serial number【UU89WT-UU98YT-UU8CB-UUUT-UUT108】

ERP硬件部署指引

一、系统支持的部署方式方案1：标准部署方式 1.部署原理定义：数据库服务、WEB服务、报表/消息服务分别单独部署在专用服务器，适合于用户数小于500的客户环境中。 Internet 这种部署方式将每个服务器角色分开，单独部署，不在同一台服务器上运行多种业务，专机专用。这样避免了多种服务在同一台服务器上争抢运算资源，影响ERP系统的性能。此外，从网络安全角度考虑，建议IT管理员对数据库、报表服务、Web 服务采用不同的安全策略，例如将数据库隔离在单独 VLAN、将需要对外网提供服务的服务器放在 DMZ等。

2.硬件配置

方案2：DB故障转移群集方式 1.部署原理定义：用两台(或多台)服务器+磁盘阵列柜，构成数据库故障转移群集，适用于用户数在500—1000内、对数据库服务器的可用性要求较高的用户环境中。 Internet 数据库故障转移群集用户数在500—1000时，可以不考虑WEB负载均衡和数据库查询分离，选用中高端配置的服务器基本上能满足用户的性能要求，但因为数据库服务器的工作负荷最重，也最容易发生故障，因此数据库服务器采用故障转移集群的方式。要实现 SQL Server数据库故障转移群集，有几个前提条件：

1. 要有共享存储设备，通常是磁盘阵列柜，直连或通过 FC SAN、iSCSI 与节点服务器连接； 2. 两台(或多台)节点服务器的软硬件配置一定要相同； 3. 节点服务器的操作系统必须是 Windows Server 2003/2008/2008 R2企业版，标准版没有群集功能； 4. SQL Server 2005/2008/2008 R2可以采用标准版或企业版，均有群集功能，但标准版只能支持双机群集，企业版可支持多机群集； 5. 必须有域环境(Active Directory)支持，工作组环境无法实现群集，但域控制器(DC)不能做 SQL Server集群节点。此外还必须注意： 1. SQL Server群集不能实现负载均衡、不提高数据库性能，只起到故障转移(双机热备)作用，到2008 R2 为止各版本 SQL Server群集都只有故障转移功能； 2. SQL Server群集不能提高数据安全性，群集的数据实际只有一份(在阵列柜上)，虽然磁盘阵列的理论可靠性比一般内部磁盘高，但不是绝对的；提高数据安全性必须通过定时备份、数据同步等手段解决； 3、WEB服务器的upfiles文件夹存放用户上传文档，会不断增大，建议将upflies文件存储到磁盘阵列中，通过IIS的虚拟目录实现ERP程序与存储阵列中upfiles的关联。 2.硬件配置

服务器部署方案

服务器部署方案标准化管理处编码[BBX968T-XBB8968-NNJ668-MM9N]

FMScms网站包含2个部分，即为客户端和服务端。客户端:网站前台+网站后台服务端:FMS直播软件和组件 FMS主播系统工作图解 FMS主播系统服务器架构以及硬件级宽带需求说明 FMS服务器安排需要两部分，WEB服务器以及FMS直播服务器，即为开始所说的用程序的2部分。 WEB服务器的作用是用来安装承载用户访问的客户端(网站或者移动端前台) FMS直播服务器的作用是用来接收处理并发布直播视频流一般来说，WEB服务器的要求不高，普通的服务器或者云主机就可以满足需求，FMS服务器相对来说带宽要求较高，硬件要求：市面上配置不错的独立服务器即可满足，当然还是推荐SSD固态硬盘。服务架构图服务器架构方案一： FMS直播中可以通过调整视频直播品质来调整带宽占用大小(视频品质数值范围1-100，数值越小品质越差) 1、通常一个在线观众要流畅清晰的观看标清视频需要大概30k~40k的带宽流量。 2、带宽的换算方法是128k的流量需要1M的网络带宽。 3、服务器所要负载的带宽是按可承载的最高并发流量计算出来的。并发流量是指同时访问资源的流量值，如果是利用FMS技术，要想满足并发流量的需求就需要将流量累加。如100人同时访问视频资源则可计算出： 100人 * 30k = 3000k 3000k ÷ 128k/M = (约20M带宽)

如果网站的视频观众最高并发量时达到100人，就需要至少20M的带宽；如果网站的视频观众最高并发量时达到1000人，就需要至少200M的带宽；如果网站的视频观众最高并发量时达到5000人，就需要至少1000M的带宽；推荐服务器：服务器的配置重点在于带宽，根据市场了解G端口<1000M带宽>的服务器推荐硬件配置固态硬盘，大内存即可，CPU占用率相对较低，目前没有一定数量的真实用户，暂时不能测试出对服务器硬件的消耗值，不过16G内存的服务器承载5000人同时观看直播。服务器架构方案二：采用CDN加速，分发流媒体。这种方式目前也是需要FMS服务器，未来一段时间我们会用另外的方法代替，不过这种方式对服务器的硬件以及带宽的需求就大大减小了。 1.web服务器，当然也可以安装FMS 2.流媒体服务器，这里的流媒体服务器FMS只用来承载聊天、礼物赠送等数据 3.接入CDN，我们目前支持RTMP协议的流媒体加速方式，即将推出的版本的FMSCMS会添加HTTP协议的流媒体，更适合主流加速方式。方案二的优点 1.服务器硬件以及带宽要求降低太多，节省服务器成本 2.在线观看直播人数可以无限拓宽，不需要担心服务器占用达到峰值的危险 3.网络环境得到优化，直播效果更加理想

机房建设方案完整版

机房建设方案一、机房组建的必要性随着信息技术的迅猛发展，电脑应用的越来越普及，电脑教育已成为各学校学生的必修课。电脑在未来一段时间或者以后将继续占领教育市场。因此，良好的电脑设施设备的建设将成为电脑教育成败的关键，所以我们需要建设配套设备良好的机房，以满足教学需要，同时使学生学的更好，教师教的更出色。二、机房组建的目的因要满足教学需要，本系需要组建两间计算机教学机房，以供5个班（08办公1、2；09办公1、2；09商务英语与文秘）的学生教学使用。三、机房的用途 1、教学：机房的主要用途用于上计算机基础课（计算机基础和办公软件等）和计算机专业课（PhotoShop、Dreamwear、数据库等）。 2、培训：用于办公软件培训，会计培训等多种培训。 3、考证：用于计算机基础，会计等证书的考试。 4、办公：用于教师办公使用。 5、外租：外租于外面的公司使用。四、机房组建的总体布局

他空调4000/台2台散热音箱 200元/ 台一对教师演讲电源插排60元/个22个教师演讲无线麦克风系统300元/ 套一套教师演讲有线话筒40元/个二个教师演讲教学、办公桌3套教师演讲、办公网络布置网线走地线，组网采用对等工作方式，管理维护较为方便。装机先在学生机和教师机中装好以下常用教学软件：

以装好的那台学生机为源，进行网络复制系统，在其他台学生机装上同样的系统和软件。接下来，根据地理位置，对60台学生机进行手动标号，再由此手动设置60台学生机的计算机名、IP地址，IP地址段从 192.168.11.1——192.168.11.60。最后设置教师机的IP地址为192.168.11.61。

服务器配置方案

服务器配置方案本文转自：傲龙网络在日常工作中，经常给客户进行硬件配置建议，发现很多客户基本的信息化基础的知识都不是太懂，比如服务器配置数选择和用户数关系等等。甚至很多IT专业人士，比如erp，crm顾问都不是很清楚。当然也有可能这些顾问只专注于他自己工作的那一块，认为这些是售前干的事情，不需要了解太多。在我看来我觉得多了解一些，碰到不懂的客户也可以给人家说个所以然出来，至少也没有什么坏处嘛。下面这篇文章也是平常的工作总结，贴出来给大家分享一下，也许还用的着。第一章服务器选择 1.1 服务器选择和用户数关系

说明：首选原则：在初期给客户提供硬件配置参考时，在线用户数建议

按注册用户数（或工作站数量）的50％计算。备用原则：根据企业的行业特点、用户使用频度、应用特点、硬件投入等综合因素考虑，在线用户数比例可以适当下调，由售前/销售人员在对客户的具体情况进行了解后做出适当的建议。服务器推荐选择品牌：IBM、DELL（戴尔）、HP（惠普）、Sun 、Lenovo （联想）、浪潮、曙光等品牌机型。 CPU：如果因为选择不同品牌服务器或双核处理器导致CPU型号/主频变动，只要求达到同级别或该级别以上处理能力。硬盘：对于硬盘方面，推荐选择SCSI硬盘，并做RAID5；对于小企业可以如果由于采购成本的考虑也可采用SATA。对于2000注册用户数以上企业，强烈推荐采用磁盘阵列。硬盘容量＝每用户分配容量×注册用户数＋操作系统容量＋部分冗余 1.2 常见机型参考报价

由于IBM服务器在几个品牌的PC服务器系列中价格较高，如果报价是供客户做预算用，则可将该报价直接发给客户供参考，减少商务询价的工作量。硬件配置和相关型号可上网查询： IBM服务器 HP服务器 DELL服务器 SUN服务器 Lenovo（联想） 1.3 服务器选择和用户数关系在线计算在IBM网站上有提供IBM Systems Workload Estimator工具可用于

IDC数据机房维护保养方案计划

| IDC数据机房运维方案韩东勋 2017.8.25

目录 1 IDC数据机房架构图 (1) 1.1 IDC数据机房系统逻辑架构图 (1) 1.2IDC机房网络拓扑图 (1) 1.3IDC数据机房安全技术架构图 (2) 2 IDC机房运维 (2) 2.1软件维护 (2) 2.2硬件维护 (2) 2.3安全维护 (3) 2.4物理环境维护 (3) 2.5其它维护内容 (4) 3 IDC机房智能化管理............................................................................................ 错误!未定义书签。 4 IDC机房信息资产统计 (9) 5 IDC机房值班方案 (9) 6 IDC机房应急预案 (12)

1 IDC 数据机房架构图 1.1 IDC 数据机房系统逻辑架构图 1.2 IDC 数据机房网络拓扑图业务层：主机托管、业务备份等资源层：计算、存储、宽带等网络层：路由器、交换机、防火墙等物理层：电力、空调、综合布线等运营管理层网络管理资源管理业务管理运营管理

1.3IDC数据机房安全技术架构图 2 IDC机房运维 2.1 软件维护 ?软件设备可分为操作系统软件、典型应用软件（如：数据库软件、中间件软件等）、业务应用软件等维护：常用应用软件的安装、调试、管理、更新、升级、故障检测及排除。操作系统的调试、管理、更新，升级，故障检测及排除。建立常用应用软件及驱动程序库。（视客户情况而定） 2.2 硬件维护 ?硬件设备包括：网络设备、安全设备、主机设备、存储设备等维护：计算机硬件设备的维护、保养、更新、升级、故障检测及排除。对于需要更换的设备，提供设备选型建议及市场参考价格，并可代为购买（设备采购费用另计）。

机房服务器硬件配置方案

机房服务器硬件配置方案一、入门级常规服务器硬配置方案：硬件名称基本参数奔腾E2160系列，LPGA封装，双核，工作功率65W，核心电压 1.25V,数量参考价CPU 内存主板主频1800MHZ，总线频率800MHZ，倍频9，外频200MHZ，128M一级缓存，1M二级缓存，指令集MMX/SSE/SSE2/SSE3/Sup-SSE3/EM64T111￥460￥135￥599Kingston DDRII 667 1G,采用PBGA封，频率667MHZ 采用Intel P965/ICH8芯片组，集成Realtek ALC 662声卡芯片，适用Core2 Extreme/Core 2 Quad/Core 2 Duo/奔腾4/赛扬D/PentiumD系列处理器。前端总线频率FSB 1066MHz 硬盘台式机硬盘容量:160GB转速/分:7200转/分缓存（KB）:8000KB接口类型: Serial ATA接口速率: Serial ATA 300 机箱类型: xx飓风II机箱样式: 立式机箱结构: Micro ATX/ATX 3.51￥380机箱

光驱散热器 UPS 稳压器显示器鼠标键盘英寸仓位:1个软驱仓位+6个硬盘仓位光驱仓位:4个产品电源: 金河田 355WB 3C 选配，普通DVD光驱热器类型: CPU散热器散热方式: 风冷风扇转数（RPM）:2200轴承类型: 合金轴承适用范围: Intel LGA775 Conroe、Pentium D、Pentium4 Celeron D全系列最大风量(CFM):43CFM UPS电源类型: 后备式UPS额定输出容量: 0.5kva 选配

完整的IDC机房建设方案

数据中心建设方案目录综述 (2) IDC网络建设 (5) IDC网络建设 (6) IDC基础系统建设 (11) IDC应用服务系统建设 (24) IDC综合管理系统 (32) IDC计费系统 (36) IDC计费系统 (40) 技术服务 (43) IDC机房系统设计说明 (51) 一期实施内容建议 (58)

综述经历了ISP/ICP飞速发展，.COM公司的风靡后，一种新的服务模式--互联网数据中心（Internet Data Center，缩写为IDC）正悄然兴起。它在国外吸引着像AT&T、AO- 、IBM、Exodus、UUNET等大公司的巨资投入；国内不但四大电信运营商中国电信、中国网通、中国联通、中国吉通开始做跑马圈地，一些专业服务商如清华万博、首都在线和世纪互联等，也参与了角逐。 IDC(Internet Data Center) - Internet数据中心，它是传统的数据中心与Internet的结合，它除了具有传统的数据中心所具有的特点外，如数据集中、主机运行可靠等，还应具有访问方式的变化、要做到7x24服务、反应速度快等。IDC是一个提供资源外包服务的基地，它应具有非常好的机房环境、安全保证、网络带宽、主机的数量和主机的性能、大的存储数据空间、软件环境以及优秀的服务性能。 IDC作为提供资源外包服务的基地，它可以为企业和各类网站提供专业化的服务器托管、空间租用、网络批发带宽甚至ASP、EC等业务。简单地理解，IDC是对入驻(Hosting)企业、商户或网站服务器群托管的场所；是各种模式电子商务赖以安全运作的基础设施，也是支持企业及其商业联盟(其分销商、供应商、客户等)实施价值链管理的平台。形象地说，IDC是个高品质机房，在其建设方面，对各个方面都有很高的要求。 IDC的总体结构如下图所示:

机房维护(服务器搬迁方案)

机房维护——服务器搬迁方案服务器搬迁方案一、统状况分析机房的搬迁工作是整个搬家工作中关键的部分，所有的设备将在规定的菪机时间内从原有的机房备搬迁到新的地方，只有按照预定的计划，服务器在预计的时间内全部恢复正常的使用，才意味着搬迁工程的结束。首先要检验系统配置：系统配置主要确认硬件设备的配置清单，这份清单的准确性直接影响到备件的备货情况，在搬迁过程中如果出现硬件的问题，我们将有足够的备件来协调处理服务器的维修，能够在正常的菪机时间内判断故障，排除故障，及时地解决问题，所以在系统检测时一定要仔细，认真，保证数据的真实性。实施的时候我们将安排公司资深的工程师来收集这方面的数据，并做好书面得报告，并以电子文档的形式告诉用户，以备后用。（具体收集参数见附件一：《硬件配置信息表》）应用描述：应用的描述也是一个重要的方面。每台服务器都是在运行不同的应用，我们收集这方面的资料以后，会根据不同的应用来考虑，如果机器在搬迁过程中出现由于系统问题导致应用无法启动，将会准备一系列的方案，来协调其他的服务器来处理这部分的应用或者使用我们的备机来使机器恢复正常的运行。这部分的工作我们将在用户的配合下来实施完成。（具体参数见附件二：《软件信息配置表》）服务时间：服务时间的确定也是搬迁工作中不可缺少的部分，我

们会根据每台服务器的不同性质来安排每台机器的菪机时间，根据每台机器的不同的菪机时间来确定我们整个搬迁过程的安排，从而使搬迁过程能够顺利进行。避免计划外的菪机时间。三、项目实施过程（一）搬迁的准备搬迁的准备工作是整个搬迁工作的极其重要的部分。在搬迁以前，我们要针对现有的服务器设备进行一次全面的检测工作，包括：硬件的配置的检测和软件信息的检测。准备工作要做的充分，这是保证搬迁工作能够顺利进行的首要条件。通过检测我们不仅可以有效地把一部分隐患排除在搬迁之前，确保在搬迁过程中，机器设备的故障率降到最低，从而避免在搬迁工程中的计划外菪机时间。 1．机房设备的检测 1）硬件设备的检测针对服务器的硬件设备，我们将详细的记录服务器的硬件配置信息，在搬迁以前明确硬件配置，具有针对性地准备一些备件，在服务器菪机的时候能够及时的修复服务器，及时的解决由于硬件故障产生的计划外菪机，避免不必要的菪机时间。 2）服务器软件应用的检测针对服务器的软件应用，我们同样也要进行一些常规的检测，把一些由于软件问题产生菪机时间减少到最低限度。从而使搬迁工作能够顺利进行。 2．数据的备份

机房服务器硬件配置方案

机房维护方案74306

NC硬件配置方案

机房设备维护方案

服务器配置方案v1.1

高性能服务器软硬件配置方案

机房设备维护方案

案例主要软硬件选型原则和详细软硬件配置清单

办公大楼机房维护方案

服务器部署方案

办公网络及硬件维护方案

明源ERP硬件部署方案

服务器部署方案

机房建设方案完整版

最新整理服务器机房维护方案.docx

服务器配置方案

IDC数据机房维护保养方案计划

机房服务器硬件配置方案

完整的IDC机房建设方案

机房维护(服务器搬迁方案)