本文结合笔者亲历实践，详细分析了使用这种模式建站所面临的各个层次的安全问题，并给出了相应的解决方法，特别是一些细节性的问题。

系统安全

微软的操作系统以功能强大着称，但其漏洞也层出不穷。因此，如果采用Windows 平台作为Web 服务器，在安装和配置时就要注意以下几点：

（1）系统安装完毕，应该及时给系统打上各种补丁。可以在服务器上安装360 安全卫士，通过该软件自动扫描系统漏洞，并下载安装相应的补丁。

（2）不要安装多余的服务和协议。因为有的服务本身就存在漏洞，多余的协议也会占用系统资源，所以不妨把无用的服务和协议停止或关闭（例如FTP、STMP 等）。

（3）安装专业的防病毒软件和防火墙软件。

网站配置安全

优化可靠的IIS 配置是网站安全成功的基础，不妨从以下几方面做好安全配置：

（1）尽量不要把网站安装在默认的C:\Inetpub\wwwroot\目录下。

主要原因有两个：一是C 盘是系统盘，很多因素都可能破坏系统，导致数据丢失等意外情况发生；二是如果选择默认安装，黑客很容易就能猜出安装的位置，并对网站实施攻击。可以安装在除系统盘外的其他分区，并删除默认建立的站点的虚拟目录，停止默认Web 站点，即删除对应的文件目录C:\Inetpub，配置所有站点的公共设置，设置好相关的连接数限制。

（2）在配置网站安全策略时，在IIS 站点配置时如果没有特殊要求，不要勾选“脚本资源访问”、“写入”、“目录浏览”这3 个选项。

不选“脚本资源访问”，能有效阻止客户端运行一些服务器端的程序；不选“写入”，可防止客户上传一些可执行文件；不选“目录浏览”，就能使客户端猜不出网站的路径结构。

同时，还要删除所有不必要的应用程序扩展，只保留如asp、aspx 等有用的应用程序扩展。

（3）对上传文件进行严格的控制，一般不允许可执行文件如exe、bat 等文件的上传。

程序代码安全

很多网站已经部署了足够的安全设备，但还是经常遭遇黑客攻击或病毒入侵，这就要考虑一下问题是否出在程序代码不安全或属性设置不当之上。

例如下面的案例。

案例：整个网站看起来很正常，但在打开首页或其他某一页面时出现空白，或弹出其他页面。如果不安装个人防火墙，不知道问题出在哪里；如果安装了个人防火墙，则会弹出诸如“拦截到一个木马或恶意广告页面URL:http://ff1114.2288.org”的提示信息。

这时，如果您打开网站首页文件或数据库连接文件index.asp 或者default.asp、conn.asp 等，就会发现文件最后一行写入了一句挂马代码，如或，将该行代码删除，浏览网页即可恢复正常。

(责任编辑：)