要求：1、配置一臺堡壘主機(jī)；支持php、asp虛擬10個站的WEB的堡壘主機(jī)；就是說從新買來一臺服務(wù)器，安裝、配置、上架的過程。
一、安裝系統(tǒng)，這里我選擇的是windows 2000 server版，其實windows 2000是一個非常安全的一個操作系統(tǒng)，操作簡單，而且Microsoft也對他這套系統(tǒng)很負(fù)責(zé)。安裝時沒什么特別的，也非常簡單，其實我們只要注意以下幾點(diǎn)就可以了。
  1、安裝時要采用NTFS格式的系統(tǒng)分區(qū)。NTFS格式分區(qū)的訪問控制決不亞于*NIX系統(tǒng)，其實他的文件系統(tǒng)是按照UNIX而設(shè)計的，服務(wù)器上的每個磁盤都應(yīng)該采用。
  2、在安裝時一定要與公網(wǎng)斷開、確保安裝盤完好無損并可以信賴。
3、安裝時只安裝TCP/IP協(xié)議即可，同樣安裝時不安裝任何程序及服務(wù)如圖1所示，以最小化安裝即可。為了安全，我們的服務(wù)器不加入域。

二、一般網(wǎng)上的教程常常說安裝系統(tǒng)后就去“補(bǔ)丁鋪”了，其實這樣作是非常不安全的，這時系統(tǒng)的安全系數(shù)幾乎為0，接入網(wǎng)絡(luò)更新的時候很有可能“中獎”，我們先打好系統(tǒng)底層基礎(chǔ)安全。
  1、開始運(yùn)行輸入“l(fā)usrmgr.msc”(引號不要以下相同)打開本地用戶和組，在這里先建一個“Backup Operators”組的用戶，用來日常數(shù)據(jù)備份和維護(hù)工作，建立10個guests組的用戶用來分配給那10個虛擬網(wǎng)站使用,如user1----user10重命名管理員賬號及來賓賬號，并給予一個強(qiáng)壯的密碼。
2、配置賬戶策略，打開“本地安全設(shè)置”。
密碼策略：密碼必須符合復(fù)雜性  ----已啟用
            密碼長度最小值      ----13個字符（建議更高）
  賬戶鎖定策略設(shè)置：賬戶鎖定閾值  ----3次     無效登錄
賬戶鎖定時間  ----30分鐘 （可以根據(jù)需要更改）
如圖2、3。


3、配置日志審核。
審核策略更改      成功+失敗  
審核登錄事件      成功+失敗  
審核對象訪問      失敗  
審核目錄服務(wù)訪問  失敗
審核特權(quán)使用      失敗
審核賬戶管理      成功+失敗
審核系統(tǒng)事件      成功+失敗  
審核賬戶管理      成功+失敗　如圖4所示

4、配置用戶權(quán)利指派。
備份文件和目錄     ---- 建議用管理員賬號和剛建的那個Backup Operators組的那個賬號。刪除administrators組及其它組。
本地登錄              ---- 同上
關(guān)閉系統(tǒng)              ---- 同上
還原文件和目錄        ---- 同上
管理審核和安全日志    ---- 管理員賬戶
配置單一進(jìn)程          ---- 管理員賬戶
取得文件或?qū)ο蟮乃袡?quán)---- 管理員賬戶
從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)    ---- 無
更改系統(tǒng)時間          ---- 無
裝載卸載設(shè)備驅(qū)動程序  ----管理員賬戶
磁盤配額              ----管理員賬戶
根據(jù)你的須要添加，不授予其它組任何權(quán)限，除了你有別的特殊要求。
三、停用系統(tǒng)提供不必要的服務(wù)。
開始運(yùn)行輸入services.msc打開系統(tǒng)服務(wù)控制臺。啟用不必要的服務(wù)會給服務(wù)器帶來一定的安全隱患，而且也會占用系統(tǒng)一部分資源。一般系統(tǒng)只運(yùn)行以下服務(wù)即可，如果特別須要可視情況而定。
  Event Log  事件查看器
  IIS Admin Service  管理 Web 服務(wù)
  Logical Disk Manager 磁盤管理
  Plug and Play  管理即插即用硬件設(shè)備
  Protected Storage  提供對敏感數(shù)據(jù)的保護(hù)性存儲
  Remote Procedure Call (RPC)  系統(tǒng)進(jìn)程調(diào)用
  Security Accounts Manager    存儲本地用戶帳戶的安全信息
  Windows Management Instrumentation  提供系統(tǒng)管理信息
  World Wide Web Publishing Service  提供 Web 連接和管理
  四、網(wǎng)絡(luò)連接的安全配置
1、在桌面的“網(wǎng)上鄰居”上右鍵“屬性”，找到“本地連接”右鍵“屬性”如圖5。我們只保留“internet 協(xié)議（TCP/IP）”，其它的對于我們這樣的服務(wù)器沒有用途而且還會帶來安全隱患。

2、“internet 協(xié)議（TCP/IP）--屬性--高級—WINS”選項卡，選擇禁用TCP/IP上的NetBLOS(S)如圖6
3、選擇“選項---TCP/IP篩選---屬性”，如果只提供WEB服務(wù)可只允許80端口的TCP數(shù)據(jù)通過，如果是多個WEB而用端口區(qū)分那就可視情況而定
了。如圖7所示。