当前位置：搜档网 › WEB_服务器硬件配置方案

WEB_服务器硬件配置方案

WEB 服务器硬件配置方案

一、入门级常规服务器硬配置方案：

备注：作为WEB服务器，首先要保证不间断电源，机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器，此服务器配置能胜基本的WEB请求服务，如大量的数据交换，文件读写，可能会存在带宽瓶颈。

二、顶级服务器配置方案

备注：

1，系统支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64 Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition

2，工作环境：相对工作温度10℃-35℃，相对工作湿度20%-80% 无冷凝，相对存储温度-40℃-65℃，相对湿度5%-95% 无冷凝

3，以上配置为统一硬件配置，为DELL系列服务器标准配置，参考价位￥13000

WEB 服务器软件配置和安全配置方案

一、系统的安装

１、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。

２、IIS6.0的安装

开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件

应用程序———https://www.sodocs.net/doc/a111288179.html,（可选）

|——启用网络COM+ 访问（必选）

|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）

|——公用文件（必选）

|——万维网服务———Active Server pages（必选）

|——Internet 数据连接器（可选）

|——WebDAV 发布（可选）

|——万维网服务（必选）

|——在服务器端的包含文件（可选）

然后点击确定—>下一步安装。

３、系统补丁的更新

点击开始菜单—>所有程序—>Windows Update

按照提示进行补丁的安装。

４、备份系统

用GHOST备份系统。

５、安装常用的软件

例如：杀毒软件、解压缩软件等；安装之后用GHOST再次备份系统。

二、系统权限的设置

１、磁盘权限

系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限

系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限

系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限

系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限

系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限

２、本地安全策略设置

开始菜单—>管理工具—>本地安全策略

A、本地策略——>审核策略

审核策略更改成功失败

审核登录事件成功失败

审核对象访问失败

审核过程跟踪无审核

审核目录服务访问失败

审核特权使用失败

审核系统事件成功失败

审核账户登录事件成功失败

审核账户管理成功失败

B、本地策略——>用户权限分配

关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests、User组

通过终端服务允许登陆：只加入Administrators组，其他全部删除

C、本地策略——>安全选项

交互式登陆：不显示上次的用户名启用

网络访问：不允许SAM帐户和共享的匿名枚举启用

网络访问：不允许为网络身份验证储存凭证启用

网络访问：可匿名访问的共享全部删除

网络访问：可匿名访问的命全部删除

网络访问：可远程访问的注册表路径全部删除

网络访问：可远程访问的注册表路径和子路径全部删除

帐户：重命名来宾帐户重命名一个帐户

帐户：重命名系统管理员帐户重命名一个帐户

３、禁用不必要的服务

开始菜单—>管理工具—>服务

Print Spooler

Remote Registry

TCP/IP NetBIOS Helper

Server

以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

４、启用防火墙

桌面—>网上邻居—>（右键）属性—>本地连接—>（右键）属性—>高级—>（选中）Internet 连接防火墙—>设置

把服务器上面要用到的服务端口选中

例如：一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389）

在“FTP 服务器”、“WEB服务器（HTTP）”、“远程桌面”前面打上对号

如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，具体参数可以参照系统里面原有的参数。

然后点击确定。注意：如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。

三、Windows 2003安全配置

■．确保所有磁盘分区为NTFS分区

■．操作系统、Web主目录、日志分别安装在不同的分区

■．不要安装不需要的协议，比如IPX/SPX, NetBIOS?

■．不要安装其它任何操作系统

■．安装所有补丁（用瑞星安全漏洞扫描下载）

■．关闭所有不需要的服务

* Alerter (disable)

* ClipBook Server (disable)

* Computer Browser (disable)

* DHCP Client (disable)

* Directory Replicator (disable)

* FTP publishing service (disable)

* License Logging Service (disable)

* Messenger (disable)

* Netlogon (disable)

* Network DDE (disable)

* Network DDE DSDM (disable)

* Network Monitor (disable)

* Plug and Play (disable after all hardware configuration)

* Remote Access Server (disable)

* Remote Procedure Call (RPC) locater (disable)

* Schedule (disable)

* Server (disable)

* Simple Services (disable)

* Spooler (disable)

* TCP/IP Netbios Helper (disable)

* Telephone Service (disable)

■. 帐号和密码策略

1）保证禁止guest帐号

2）将administrator改名为比较难猜的帐号

3）密码唯一性：记录上次的 6 个密码

4）最短密码期限：2

5）密码最长期限：42

6）最短密码长度：8

7）密码复杂化(passfilt.dll)：启用

8）用户必须登录方能更改密码：启用

9）帐号失败登录锁定的时限：6

10）锁定后重新启用的时间间隔：720分钟

■．保护文件和目录

将C:\winnt, C:\winnt\config, C:\winnt\system32, C:\winnt\system等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限

■．注册表一些条目的修改

1）去除logon对话框中的shutdown按钮

将HKEY_LOCAL_MACHINE\SOFTWARE

\Microsoft\Windows NT\Current Version\Winlogon\中

ShutdownWithoutLogon REG_SZ 值设为0

2）去除logon信息的cashing功能

将HKEY_LOCAL_MACHINE\SOFTWARE

\Microsoft\Windows NT\Current Version\Winlogon\中

CachedLogonsCount REG_SZ 值设为0

4）限制LSA匿名访问

将HKEY_LOCAL_MACHINE\SYSTEM

\CurrentControlSet\Control\LSA中

RestriCanonymous REG_DWORD 值设为1

5）去除所有网络共享

将HKEY_LOCAL_MACHINE\SYSTEM

\CurrentControlSet\Services\LanManServer\Parameters\中

AutoShareServer REG_DWORD 值设为0

四、IIS的安全配置

■．关闭并删除默认站点：

默认FTP站点

默认Web站点

管理Web站点

■．建立自己的站点，与系统不在一个分区，如

D:\wwwroot3．建立E:\Logfiles 目录，以后建立站点时的日志文件均位于此目录，确保此目录上的访问控制权限是：Administrators（完全控制）System（完全控制）

■．删除IIS的部分目录：

IISHelp C:\winnt\help\iishelp

IISAdmin C:\system32\inetsrv\iisadmin

MSADC C:\Program Files\Common Files\System\msadc\

删除C:\\inetpub

■. 删除不必要的IIS映射和扩展：

IIS 被预先配置为支持常用的文件名扩展如.asp 和.shtm 文件。IIS 接收到这些类型的文件请求时，该调用由DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下：

选择计算机名，点鼠标右键，选择属性：

然后选择编辑

然后选择主目录，点击配置

选择扩展名\.htw\,\.htr\,\.idc\,\.ida\,\.idq\和\.printer\，点击删除

如果不使用server side include，则删除\.shtm\ \.stm\ 和\.shtml\

■. 禁用父路径:

“父路径”选项允许您在对诸如MapPath 函数调用中使用“..”。在默认情况下，该选项

处于启用状态，应该禁用它。

禁用该选项的步骤如下：

右键单击该Web 站点的根，然后从上下文菜单中选择“属性”。

单击“主目录”选项卡。

单击“配置”。

单击“应用程序选项”选项卡。

取消选择“启用父路径”复选框。

■. 在虚拟目录上设置访问控制权限

主页使用的文件按照文件类型应使用不同的访问控制列表：

CGI (.exe, .dll, .cmd, .pl)

Everyone (X)

Administrators（完全控制）

System（完全控制）

脚本文件(.asp)

Everyone (X)

Administrators（完全控制）

System（完全控制）

include 文件(.inc, .shtm, .shtml)

Everyone (X)

Administrators（完全控制）

System（完全控制）

静态内容(.txt, .gif, .jpg, .html)

Everyone (R)

Administrators（完全控制）

System（完全控制）

在创建Web站点时，没有必要在每个文件上设置访问控制权限，应该为每个文件类型创建一个新目录，然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。

例如，目录结构可为以下形式：

D:\wwwroot\myserver\static (.html)

D:\wwwroot\myserver\include (.inc)

D:\wwwroot\myserver \script (.asp)

D:\wwwroot\myserver \executable (.dll)

D:\wwwroot\myserver\images (.gif, .jpeg)

■. 启用日志记录

确定服务器是否被攻击时，日志记录是极其重要的。

应使用W3C 扩展日志记录格式，步骤如下：

打开Internet 服务管理器：

右键单击站点，然后从上下文菜单中选择“属性”。

单击“Web 站点”选项卡。

选中“启用日志记录”复选框。

从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。

单击“属性”。

单击“扩展属性”选项卡，然后设置以下属性：

* 客户IP 地址

* 用户名

* 方法

* URI 资源

* HTTP 状态

* Win32 状态

* 用户代理

* 服务器IP 地址

* 服务器端口

五、删除Windows Server 2003默认共享和禁用IPC连接

IPC$(Internet Process Connection)是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方计算机即可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。它是Windows NT/2000/XP/2003特有的功能，但它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。NT/2000/XP/2003在提供了ipc$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些，微软的初衷都是为了方便管理员的管理，但也为简称为IPC入侵者有意或无意的提供了方便条件，导致了系统安全性能的降低。在建立IPC的连接中不需要任何黑客工具，在命令行里键入相应的命令就可以了，不过有个前提条件，那就是你需要知道远程主机的用户名和密码。打开CMD后输入如下命令即可进行连接：net use\ipipc$ password /user:usernqme。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子键，将其值改为1即可禁用IPC连接

六、清空远程可访问的注册表路径

大家都知道，Windows 2003操作系统提供了注册表的远程访问功能，只有将远程可访问的注册表路径设置为空，这样才能有效的防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息.

打开组策略编辑器，依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”，在右侧窗口中找到“网络访问：可远程访问的注册表路径”，然后在打开的窗口中，将可远程访问的注册表路径和子路径内容全部设置为空即可（如图7）。

七、关闭不必要的端口

对于个人用户来说安装中默认的有些端口确实是没有什么必要的，关掉端口也就是关闭无用的服务。139端口是NetBIOS协议所使用的端口，在安装了TCP/IP 协议的同时，NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享；网上黑客也可通过NetBIOS知道你的电脑中的一切！在以前的Windows版本中，只要不安装Microsoft网络的文件和打印共享协议，就可关闭139端口。但在Windows Server 2003中，只这样做是不行的。如果想彻底关闭139端口，具体步骤如下：

鼠标右键单击“网络邻居”，选择“属性”，进入“网络和拨号连接”，再用鼠标右键单击“本地连接”，选择“属性”，打开“本地连接属性”页（如图8），

然后去掉“Microsoft网络的文件和打印共享”前面的“√”（如图9），

接下来选中“Internet协议(TCP/IP)”，单击“属性”→“高级”→“WINS”，把“禁用TCP/IP上的NetBIOS”选中，即任务完成(如图10)！

对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。

假如你的电脑中还装了IIS，你最好重新设置一下端口过滤。步骤如下：选择网卡属性，然后双击“Internet协议(TCP/IP)”，在出现的窗口中单击“高级”按钮，会进入“高级TCP/IP设置”窗口，接下来选择“选项”标签下的“TCP/IP 筛选”项，点“属性”按钮，会来到“TCP/IP 筛选”的窗口，在该窗口的“启用TCP/IP筛选(所有适配器)”前面打上“√”，然后根据需要配置就可以了。如果你只打算浏览网页，则只开放TCP端口80即可，所以可以在“TCP端口”上方选择“只允许”，然后单击“添加”按钮，输入80再单击“确定”即可

八、杜绝非法访问应用程序

Windows Server 2003是一种服务器操作系统，为了防止登陆到其中的用户，随意启动服务器中的应用程序，给服务器的正常运行带来不必要的麻烦，我们很有必要根据不同用户的访问权限，来限制。

他们去调用应用程序。实际上我们只要使用组策略编辑器作进一步的设置，即可实现这一目的，具体步骤如下：

打开“组策略编辑器”的方法为：依次点击“开始→运行”，在“运行”对话框中键入“gpedit.msc”命令并回车，即可打开“组策略编辑器”窗口。然后依次打开“组策略控制台→用户配置→管理模

板→系统”中的“只运行许可的Ｗｉｎｄｏｗｓ应用程序”并启用此策略.

然后点击下面的“允许的应用程序列表”边的“显示”按钮，弹出一个“显示内容”对话框，在此单击“添加”按钮来添加允许运行的应用程序即可

九、设置和管理账户

1、系统管理员账户最好少建，更改默认的管理员帐户名(Administrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。

2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码

3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest 的工具，也许你也可以利用它来删除Guest账户，但我没有试过。

4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时时间间隔60分钟”，“复位锁定计数设为30分钟”。

5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用

6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了https://www.sodocs.net/doc/a111288179.html,还要保留Aspnet账户。

7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。

十、网络服务安全管理

1、禁止C$、D$、ADMIN$一类的缺省共享

2、解除NetBios与TCP/IP协议的绑定

3、关闭不需要的服务，以下为建议选项

Computer Browser:维护网络计算机更新，禁用

Distributed File System: 局域网管理共享文件，不需要禁用

Distributed linktracking client：用于局域网更新连接信息，不需要禁用

Error reporting service：禁止发送错误报告

Microsoft Serch：提供快速的单词搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用

PrintSpooler：如果没有打印机可禁用

Remote Registry：禁止远程修改注册表

Remote Desktop Help Session Manager：禁止远程协助

十一、打开相应的审核策略

在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。

推荐的要审核的项目是：

登录事件成功失败

账户登录事件成功失败

系统事件成功失败

策略更改成功失败

对象访问失败

目录服务访问失败

特权使用失败

十二、其它安全相关设置

1、隐藏重要文件/目录

2、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。

3、防止SYN洪水攻击

4. 禁止响应ICMP路由通告报文

5. 防止ICMP重定向报文的攻击

6. 不支持IGMP协议

7、禁用DCOM：

十三、配置IIS 服务：

1、不使用默认的Web站点，如果使用也要将将IIS目录与系统磁盘分开。

2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。

3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、删除不必要的IIS扩展名映射。

右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm

5、更改IIS日志的路径

右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性

6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

7、使用UrlScan

但如果你在服务器运行https://www.sodocs.net/doc/a111288179.html,程序，并要进行调试你需打开要%WINDIR%\System32\Inetsrv\URLscan

文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添加debug谓词，注意此节是区分大小写的。

如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。

如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1 在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisreset 如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。

8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.

十四、配置Sql服务器

1、System Administrators 角色最好不要超过两个

2、如果是在本机最好将身份验证配置为Win登陆

3、不要使用Sa账户，为其配置一个超级复杂的密码

4、删除以下的扩展存储过程格式为：

use master

sp_dropextendedproc '扩展存储过程名'

xp_cmdshell：是进入操作系统的最佳捷径，删除

访问注册表的存储过程，删除

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues

Xp_regread Xp_regwrite Xp_regremovemultistring

OLE自动存储过程，不需要删除

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

5、隐藏SQL Server、更改默认的1433端口

右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏SQL Server 实例，并改原默认的1433端口。

十五、如果只做服务器，不进行其它操作，使用IPSec

1、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器操作—在管理IP 筛选器表选项下点击

添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口，第二项到此端口80——点击完成——点击确定。

2、再在管理IP筛选器表选项下点击

添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。

3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器操作窗口

4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成

5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止——下一步——完成——确定

6、在IP安全策略的右边窗口中右击新建的数据包筛选器，点击指派，不需要重启，IPSec就可生效.

十七、如何配置一台坚固安全的win2003服务器

1)确定你要用它来干什么，需要开什么服务，什么是不必要的，没用地就别装(像Index什么的)，不必要的服务全都可以关掉。

在控制面版=>管理=>工具中，自己看着办，如下服务是一定要禁止的：

Remote Registry Service

RunAs Service

Task Scheduler

Telnet

Windows Time

其他不必要的服务可以设为手动方式。

SNMP Service和SNMP Trap Service最好也关掉，要用的话，把管理公共字改掉。

2)打补丁。

确定你打上了Win2k SP2;

3)IIS配置。

1，在IIS管理器中，去处所有不必要的扩展关联(基本上除了ASP/ASA等几个必要的和CGI之类的外，其他都可以去掉) 有可能的话，可以安装一个SecureIIS，还是有一定效果的。

2，校验ftp权限，差不多就自己看着办吧，不要被人家tag就可以了~_*

4)MSSQL。

首先，记得一定要加一个难记得密码，不然就什么都完了。

然后记得升级SQL 7.0 SP2和SQL 2k SP1.

5)Terminal Server。

打了SP2基本就没太大问题，只要你的系统不是没密码..........

高级部分：

1)类防火墙限制。

这需要我们打开MS的IPSEC服务，然后选择网络设置=>网络界面属性=> TCP/IP =>高级=>选项简单一点的话，就用TCP/IP筛选，确定指开放那些端口，比如80，1433等等(可惜开放ftp服务的话，经常会乱开端口的，难以确定)；

要求高级的话，自己定义一个IPSEC策略，可以精确的过滤例如某种ICMP类型等等...可以做到水泄不通哦，不要到时候你自己也进不去了就好~_*

2)NetBIOS设置。

历史以来，netbios是仅次于IIS的winnt安全问题最多的服务，简直就是后门打开。

至少做这样一条设置：注册表编辑

Local_Machine＼System＼CurrentControlSet＼Control＼LSA-RestrictAnonymous = 1

可以禁止IPC$空用户连接，防止信息泄漏和其他更严重的安全问题。

3)Terminal Server加强。

注册表编辑：HKEY_LOCAL_ MACHINESOFTWAREMicrosoft＼WindowsNT＼CurrentVersion＼Winlogon＼Don‘t Display Last User Name=1

可以让别人在ts中看不到你上次登录的用户名，有安全了一点点(记住，别人获取你的信息越少，你就越安全)

4)系统文件目录权限检查。

基本的策略，可以在文件属性中修改，避免有everyone完全控制的目录，大部分文件最好禁止everyone写，甚至读。

对于系统的重要文件和目录，例如system32等等，可以用Win2k Resouece Kit中的一个工具xacls 详细的加强访问控制。

5)预防信息监测和DOS 攻击

必要的话，打开RSAS或者自己添加一个IPSEC安全策略，过滤掉ICMP Echo和Redrict类型，这样别人ping你就不会有反映，而如果ping不通的话，可能别人就此罢手了~_* 而且缺省配置下，很多的漏洞扫描器ping不通就不扫了，西西。(当然啦，如果你有更强的防火墙，哪就更好)

一定程度的DoS预防：

在注册表HKLM＼SYSTEM＼CurrentControlSet＼Services＼Tcpip＼Parameters中更改以下值可以帮助你防御一定强度的DoS攻击

SynAttackProtect REG_DWORD 2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

十八、Win 2003中提高FSO的安全性

ASP提供了强大的文件系统访问能力，可以对服务器硬盘上的任何文件进行操作，这给学校网站的安全带来巨大的威胁

ASP提供了强大的文件系统访问能力，可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作，这给学校网站的安全带来巨大的威胁。现在很多校园主机都遭受过FSO木马的侵扰。但是禁用FSO组件后，引起的后果就是所有利用这个组件的ASP程序将无法运行，无法满足客户的需求。如何既允许FileSystemObject组件，又不影响服务器的安全性呢（即：不同虚拟主机用户之间不能使用该组件读写别人的文件）？以下是笔者多年来摸索出来的经验：

第一步是有别于Windows 2000设置的关键：右击C盘，点击“共享与安全”，在出现在对话框中选择“安全”选项卡，将Everyone、Users组删除，删除后如果你的网站连ASP程序都不能运行，请添加IIS_WPG组（图1），并重启计算机。

经过这样设计后，FSO木马就已经不能运行了。如果你要进行更安全级别的设置，请分别对各个磁盘分区进行如上设置，并为各个站点设置不同匿名访问用户。下面以实例来介绍（假设你的主机上E盘Abc文件夹下设https://www.sodocs.net/doc/a111288179.html,站点）：

1. 打开“计算机管理→本地用户和组→用户”，创建Abc用户，并设置密码，并将“用户下次登录时须更改密码”前的对号去掉，选中“用户不能更改密码”和“密码永不过期”，并把用户设置为隶属于Guests组。

2. 右击E:\Abc，选择“属性→安全”选项卡，此时可以看到该文件夹的默认安全设置是“Everyone”完全控制（视不同情况显示的内容不完全一样），删除Everyone的完全控制（如果不能删除，请点击[高级]按钮，将“允许父项的继承权限传播”前面的对号去掉，并删除所有），添加Administrators 及Abc用户对本网站目录的所有安全权限。

3. 打开IIS管理器，右击https://www.sodocs.net/doc/a111288179.html,主机名，在弹出的菜单中选择“属性→目录安全性”选项卡，点击身份验证和访问控制的[编辑]，弹出图2所示对话框，匿名访问用户默认的就是“IUSR_机器名”，点击[浏览]，在“选择用户”对话框中找到前面创建的Abc账户，确定后重复输入密码。

十九、建议

如果你按本方案去操作，建议每做一项更改就测试一下服务器，如果有问题可以马上撤消更改。

而如果更改的项数多，才发现出问题，那就很难判断问题是出在哪一步上了。

二十、运行服务器记录当前的程序和开放的端口

1、将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。

2、将当前开放的端口抓图或记录下来，保存，方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程，和端口这一步可以省略。

服务器配置方案v1.1

服务器配置方案

目录服务器配置方案 (1) 第一章引言 (3) 1.1.编写目的 (3) 1.2.项目背景 (3) 第二章系统网络拓扑结构 (4) 第三章硬件需求 (6) 第四章软件需求 (7) 第五章网络需求 (8) 第六章云环境租用说明 (8)

第一章引言 1.1.编写目的该文档针对工程造价类项目管理信息系统（以下简称项目管理系统）的实际情况，提出其服务器配置方案。方案的制定本着满足用户实际需要并降低资金投入的原则，需要满足从硬件、网络、软件、安全等方面进行阐述，提供主推方案和备选方案，以便用户根据自身特点进行决策。 1.2.现状和目标工程造价类项目管理信息系统建设的主要目的是：建立对造价项目的全生命周期管理，包括从项目的启发到项目的后评估，对项目的各里程碑阶段提供信息化支撑手段；统一管理造价项目的各类信息，做到安全存储、有效统计、有效分析；实现造价项目相关流程的信息化，提高流程的流转效率，降低因纸质流程所带来的效率低下和非增值工作的浪费。因此系统的运行需要满足以下目标：用户在内外网均可访问：公司的员工可以在公司局域网和Internet上均能够访问使用系统；高可用性：当其中运行着的一台服务器出现故障无法启动时，另一台备份服务器会迅速的自动启动并运行（一般为2分钟左右），从而保证整个系统的正常运行。扩展性：整个网络以及硬件环境须具有可扩展性，满足公司用户能正常流畅的实用系统。比如存储能能扩展满足日益增长公司业务需求等。项目管理系统适用于以项目管理为主线贯穿销售、人资、客服等环节业务的管理。用户范围包括造价项目相关的所有人员，目前公司员工240多人，预计在2015年员工总人数达到300人以上，因此系统实用规模预计支持在线用户200人，并发用户50人。公司目前硬件环境如下：

NC硬件配置方案

NC 硬件配置方案一、需求分析电信实业目前将开设100 家左右的门店，每个门店都将访问总部的服务器。将业务数据传至总部服务器，以做分析统之用。估算将会有150 个并发访问服务。这也对服务器的性能配置提出了要求。但我们又是以什么为原则来对服务器配置进行选行的，又如何选到合适的配置机器而不造成资料浪费，又可保证服务器设备拥有一定保值期。下面我就这方面给于说明。首先，讲述一下对服务器性能需求的评估方法，然后对服务器的存储需求、内存需求、网络带宽需求分析做出论述。、服务器硬件配置需求推算原理服务器性能评估工式：TPM = Num X X X 80%X Z X m X F/（Y X 60 X 60%）。工式原理如下所述： NC 主要业务分析： 1、财务日常操作总凭证录入― 5 次远程调用，重量级别 4 ;10条sql，重量级别1 应用服务器压力值：20 数据库服务器压力值：10 帐表查询― 3次远程调用，重量级别 4 ;10条sql，重量级别4 应用服务器压力值：12 数据库服务器压力值：40 收付：单据录入―5次远程调用，重量级别4; 10条sql，重量级别2 应用服务器压力值：20 数据库服务器压力值：20 2：供应链日常操作库存/销售/订单等单据录入：5次远程调用，重量级别4; 10条sql,重量级别2 应用服务器压力值：20 数据库服务器压力值：20 库存/销售/订单等汇总查询：3次远程调用，重量级别4；10条sql，重量级别5 应用服务器压力值：12 数据库服务器压力值：50 可以看到，单据录入操作相当于基准测试的12－20；而汇总表查询操作在数据库端相当于基准测试的40－50。 3：重量级操作（如iufo 计算，月末结帐，存货计算，成本计算等）以报表为例，报表计算――10行X 10列二100个单元格（二100次远程调用），函数公式平均重量级别5；一次远程调用对应 3 条计300 条sql 语句，重量级别为1。应用服务器压力值：500 数据库服务器压力值：300 报表计算则基本上属于OLAP 事务了，因此其重量值远远高于单据录入操作。计算公式： NC的应用不完全是OLTP事务处理，还包含了相当一部分的OLAP事务处理；因此其评估不能完全按照标准的TPC－C 方式，需要进行多方面的综合考虑。1：按在线人数综合业务

服务器部署方案

服务器架构方案一： FMS直播中可以通过调整视频直播品质来调整带宽占用大小(视频品质数值范围1-100，数值越小品质越差) 1、通常一个在线观众要流畅清晰的观看标清视频需要大概30k~40k的带宽流量。 2、带宽的换算方法是128k的流量需要1M的网络带宽。 3、服务器所要负载的带宽是按可承载的最高并发流量计算出来的。并发流量是指同时访问资源的流量值，如果是利用FMS技术，要想满足并发流量的需求就需要将流量累加。如100人同时访问视频资源则可计算出：100人 * 30k = 3000k 3000k ÷ 128k/M = 23.4M(约20M带宽) 如果网站的视频观众最高并发量时达到100人，就需要至少20M的带宽；如果网站的视频观众最高并发量时达到1000人，就需要至少200M的带宽；如果网站的视频观众最高并发量时达到5000人，就需要至少1000M的带宽；推荐服务器：服务器的配置重点在于带宽，根据市场了解G端口<1000M带宽>的服务器推荐硬件配置固态硬盘，大内存即可，CPU占用率相对较低，目前没有一定数量的真实用户，暂时不能测试出对服务器硬件的消耗值，不过16G内存的服务器承载5000人同时观看直播。服务器架构方案二：

高性能服务器软硬件配置方案

高性能服务器硬件配置方案资料来源于金牌小说网https://www.sodocs.net/doc/a111288179.html, 這一個章節主要是要描述我們測試的硬體環境、Linux 版本、所需安裝的軟體和硬體切割資訊，並且讓你可以透過這份文件，輕而易舉的建立測試環境。 Hardware 有關於硬體的部分，表格中的資訊是我們所架設的硬體環境，错误！未指定书签。當然，你不需要和我們一樣使用同一系統的主機板來進行測試。表1. 硬體資訊。 Software错误！未指定书签。Requirement 目前是使用Fedora Core 5的作業系統，目前我我送測的RPM 檔案只支援Fedora Core 5的作業系統，如果需要支援其他的版本，則需要重新編譯和製作RPM 檔案。

?表2. 軟體資訊。 Space Requirement 表 3 和表4是我們透過安裝作業系統時，使用自動格式化的選項，來進行格式化硬碟；當然，你也是可以使用手動的方式，進行規劃硬碟的空間。 ?表3. 硬碟分割資訊。错误！未指定书签。 ?表4. LVM硬碟分割資訊。

Fedora Core 5 (DVD)错误！未指定书签。在這份文件中不會多加描述如何安裝Fedora Core 5，詳細的安裝步驟可以參考『鳥哥的Linux 私房菜』（網;址：https://www.sodocs.net/doc/a111288179.html,/linux_basic/0156installfc4.php）。所需要的軟體套件，請參考「表 2. 軟體資訊」。硬碟的格式化可以參考「表 3.硬碟分割資訊」「表 4. LVM硬碟分割資訊」。對於防火牆的設定部份，這裡將會採取『無防火牆』和『停用SELinux』，主要是要避免一些可能造成我們Linux 作業系統安全問題的軟體的破壞，某些服務可能會因為這個較為嚴密的安全機制，而導致無法提供連線的問題，或者無法進行資料存取的問題，所以，暫時也將他關閉。 COMMAND FOR MOUNTING/UNMOUNT DVD 错误！未指定书签。雖然我們在安裝作業系統時，有選擇我們所需要的軟體套件，但仍然有些的套件是在預設的狀態下是不會被選取到的，所以我們會需要一些基本的指令，來進行掛載Fedora Core 5 DVD 光碟片，詳細的指令如下： 1. 建立DVD掛載目錄 2. 掛載DVD 3. 卸載DVD

服务器部署方案

服务器部署方案标准化管理处编码[BBX968T-XBB8968-NNJ668-MM9N]

FMScms网站包含2个部分，即为客户端和服务端。客户端:网站前台+网站后台服务端:FMS直播软件和组件 FMS主播系统工作图解 FMS主播系统服务器架构以及硬件级宽带需求说明 FMS服务器安排需要两部分，WEB服务器以及FMS直播服务器，即为开始所说的用程序的2部分。 WEB服务器的作用是用来安装承载用户访问的客户端(网站或者移动端前台) FMS直播服务器的作用是用来接收处理并发布直播视频流一般来说，WEB服务器的要求不高，普通的服务器或者云主机就可以满足需求，FMS服务器相对来说带宽要求较高，硬件要求：市面上配置不错的独立服务器即可满足，当然还是推荐SSD固态硬盘。服务架构图服务器架构方案一： FMS直播中可以通过调整视频直播品质来调整带宽占用大小(视频品质数值范围1-100，数值越小品质越差) 1、通常一个在线观众要流畅清晰的观看标清视频需要大概30k~40k的带宽流量。 2、带宽的换算方法是128k的流量需要1M的网络带宽。 3、服务器所要负载的带宽是按可承载的最高并发流量计算出来的。并发流量是指同时访问资源的流量值，如果是利用FMS技术，要想满足并发流量的需求就需要将流量累加。如100人同时访问视频资源则可计算出： 100人 * 30k = 3000k 3000k ÷ 128k/M = (约20M带宽)

如果网站的视频观众最高并发量时达到100人，就需要至少20M的带宽；如果网站的视频观众最高并发量时达到1000人，就需要至少200M的带宽；如果网站的视频观众最高并发量时达到5000人，就需要至少1000M的带宽；推荐服务器：服务器的配置重点在于带宽，根据市场了解G端口<1000M带宽>的服务器推荐硬件配置固态硬盘，大内存即可，CPU占用率相对较低，目前没有一定数量的真实用户，暂时不能测试出对服务器硬件的消耗值，不过16G内存的服务器承载5000人同时观看直播。服务器架构方案二：采用CDN加速，分发流媒体。这种方式目前也是需要FMS服务器，未来一段时间我们会用另外的方法代替，不过这种方式对服务器的硬件以及带宽的需求就大大减小了。 1.web服务器，当然也可以安装FMS 2.流媒体服务器，这里的流媒体服务器FMS只用来承载聊天、礼物赠送等数据 3.接入CDN，我们目前支持RTMP协议的流媒体加速方式，即将推出的版本的FMSCMS会添加HTTP协议的流媒体，更适合主流加速方式。方案二的优点 1.服务器硬件以及带宽要求降低太多，节省服务器成本 2.在线观看直播人数可以无限拓宽，不需要担心服务器占用达到峰值的危险 3.网络环境得到优化，直播效果更加理想

案例主要软硬件选型原则和详细软硬件配置清单

5.12主要软硬件选型原则和详细软硬件配置清单 5.12.1软硬件选型原则软件选型原则：开放性，对称性与非对称处理，异种机互联能力，目录及安全服务的支持能力，应用软件的支持能力，网管能力，性能优化和监视能力，系统备份／恢复支持能力。硬件选型原则：系统的开放性，系统的延续性，系统可扩展性，系统的互连性能，应用软件的支持，系统的性价比，生产厂商的技术支持，可管理性（同事管理多处工作，消除问题，智能管理的方法），远程管理，状况跟踪，预故障处理，性能监控，安全管理，可用性，磁盘故障，内存问题，容错性（冗余组件、自动服务器恢复，冗余网卡，冗余ＣＰＵ电源模块，双对等ＰＣＩ总线）及平台支持 5.12.2软硬件配置清单参考《附表》中的项目软硬件配置清单。 5.13机房及配套工程建设方案使用目前已经建设好并正在使用的机房，不需要重新建设。

3.4.2性能需求 3.4.1.2.1交易响应时间交易响应时间指完成目标系统中的交互或批量业务处理所需的响应时间。根据业务处理类型的不同，可以把交易划分为三类：交互类业务、查询类业务和大数据量批处理类业务，分别给出响应时间要求的参考值，包括峰值响应时间、平均响应时间。 1、交互类业务日常交易指传统的大厅交互业务，如申报、发票销售、税务登记等，具有较高的响应要求。批量交易指一次完成多笔业务处理的交易，如批量扣缴等，由于批量交易的数据量不确定，需要根据具体的情况确定响应时间。表3-1交易类业务复杂性与响应时间关系表

备注：以上交易如果涉及与税务－国库－银行或税务－银行－国库交互的，响应时间参考值中均包含交互的时间 2、查询类业务如登记资料查询、申报表查询等。查询业务由于受到查询的复杂程度、查询的数据量大小等因素的影响，需要根据具体情况而定，在此给出一个参考范围。如有特殊要求，可以在具体开发文档中单独给出响应时间要求。表3-2查询类业务复杂性与响应时间关系表备注：业务处理过程的交互操作的响应时间参见上面交互类业务的相关指标。 3、大数据量、批处理业务如会计核算等业务处理，该类业务具有处理复杂、操作数据量大、处理时间长的特点，具体的响应时间在开发文档中给出。 3.4.1.2.2可靠性系统应保证在正常情况下和极端情况下业务逻辑的正确性。 1、无单点故障系统应不受任何单点故障的影响。

办公网络及硬件维护方案

办公网络及硬件维护方案一、计算机网络系统现状由于传统行业人员对计算机网络应用水平不高，应用不太普及不全面，计算机及网络系统的维护就更显重要，管理、维护的好坏直接影响工作业务的开展，而目前应用普遍存在的问题是： 1.缺乏规范管理；而导致维护及维修成本高，电子档案的无序管理使得单位资源的流失； 2.缺乏专业、专人管理，人工维护成本高，人员流动大，连续性差； 3.计算机、网络问题的管理维护随意性大，常常由于计算机、网络的问题，而影响正常业务的运行； 4.网络安全没有足够重视，网络病毒防范不强，互联网及局域网的隔离不够，直接将本单位资源裸露在互联网上； 5.资源备份意识不强，常常由于系统的损坏而导致重要文件丢失； 6.技术人员对新软件的应用水平参差不齐，经常性的本单位整体培训、交流不够。 7.与外部交流少，软硬件的发展应用不足等。二、计算机网络大服务概念的时机成熟我公司宗旨是为传统非IT的企事业单位提供专业计算机网络服务，为企事业单位提供专业化的、低成本高质量的标准化服务，公司经过对泰安高新区管委会等单位的行业服务实践，已为企事业单位提供了优质的计算机服务。企事业单位有越来越强烈的服务需求： 1.单位人员的精减与流动，其计算机网络管理的连续性得不到保证，维护成本高； 2.计算机应用范围越来越大，维护、管理工作问题更加突出； 3.急需低成本、高效率、专业化、科学、安全、连续性强的网络化服务。我公司计算机网络服务中心（其职能类似各单位的电脑室），最大好处是专业人员集中为整个企事业单位用户服务，其优势与特点是： 1.降低各单位维护管理成本，精简人员；

2.保证服务的连续性，不会应人员的流动给单位造成影响； 3.行业、专业、标准、快速、低成本的服务； 4.及时提供新技术服务与培训； 5.服务质量与连续性有行业保证。三、计算机网络服务的维护方法与保障机制（一）检查、更新、标准化 1.对客户需要新建计算机网络系统，我公司可提供设计、实施、维护等方案，直至单位满意； 2.如客户已有计算机网络系统，我公司将首先对现有硬件设备、网络系统全面检查，提出维护方案及存在的问题供客户参考，并统计备案； 3.为所有计算机、网络进行全面维护、升级，标准化工作； 4.为客户提供计算机专业知识咨询、操作、维护等方面的技术培训工作。（二）建立单位计算机网络信息化档案 1.所有新老客户我公司都将建立维护档案，档案包括有每台机的单机档案及公司计算机网络维护档案各一份并建立意义对应的关系； 2.单机档案：为客户需要提供服务的硬件设备建立计算机信息卡，并以标签的形式粘贴在计算机主机上。信息卡内容包括：机器名、机器编号、使用人、机器配置、IP地址、备注等。若更换硬件配置后，我公司将会及时更新信息卡内容。 3.单位计算机网络维护档案：为单位建立一套计算机网络系统维护档案。维护档案内容包括：申请人、时间、机器名、服务内容、故障现象、处理结果、维护人员、验收人员等信息情况；维护档案一式两份，双方各执一份，以便查询。（三）服务内容主要内容为计算机网络系统的建立与维护；各种软件调试安装，维护；应用软件的安装、维护；防病毒软件电脑查毒杀毒防毒；帮助建立各单位的网络安全系统与备份系统，要求各单位的安全备份及时到位；引导建立规范化，标准化的管理模式；电脑定期清洁维护；硬件更新升级的购置、安装、配置；打印机等外围设备驱动程序安装维护，技术支持与培训等。（四）服务保障机制的建立

linux服务器部署方案

服务器部署方案应用架构 3台服务器，操作系统要求red hat linux enterprise 4 内核版本2.6.9-67. 注：在安装的时候要安装防火墙基础软件要求： 1. Java环境： jdk-6u13-linux-i586-rpm.bin 2. Tomcat 环境： apache-tomcat-7.0.6.tar.gz 3.MYSQlDB 环境： MySQL-server-5.1.57-1.glibc23.i386.rpm,MySQL-client-5.1.57-1.glibc23.i386.rpm 4. memcached缓存环境： libevent-1.3.tar.gz ,memcached-1.2.2.tar.gz

基础软件安装 Jdk安装：安装步骤： 1. 新建temp文件夹在linux上比如根目录/temp 2.拷贝jdk-6u13-linux-i586-rpm.bin 到temp 下 3.chmod +x jdk-6u13-linux-i586.rpm.bin 4../jdk-6u13-linux-i586.rpm.bin 5.此时会生成文件jdk-6u13-linux-i58 6.rpm，同样给所有用户添加可执行的权限 6.chmod +x jdk-6u13-linux-i586.rpm 7.安装程序 rpm -ivh jdk-6u13-linux-i586.rpm 8.出现安装协议等，按接受即可设置步骤： 1.vi /etc/profile 在文件的最下面添加下面内容 JAVA_HOME=/usr/java/jdk1.6.0_13 CLASSPATH=.:＄JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib/dt.jar PATH=$JAVA_HOME/bin:/usr/bin:/usr/sbin:/bin:/sbin:/usr/X11R6/bin export JAVA_HOME CLASSPATH PATH 2.保存退出 3.检查 java -version 4.如果看到JVM版本及相关信息，即安装成功

明源ERP硬件部署方案

明源E R P硬件部署方案 Document serial number【UU89WT-UU98YT-UU8CB-UUUT-UUT108】

ERP硬件部署指引

一、系统支持的部署方式方案1：标准部署方式 1.部署原理定义：数据库服务、WEB服务、报表/消息服务分别单独部署在专用服务器，适合于用户数小于500的客户环境中。 Internet 这种部署方式将每个服务器角色分开，单独部署，不在同一台服务器上运行多种业务，专机专用。这样避免了多种服务在同一台服务器上争抢运算资源，影响ERP系统的性能。此外，从网络安全角度考虑，建议IT管理员对数据库、报表服务、Web 服务采用不同的安全策略，例如将数据库隔离在单独 VLAN、将需要对外网提供服务的服务器放在 DMZ等。

2.硬件配置

方案2：DB故障转移群集方式 1.部署原理定义：用两台(或多台)服务器+磁盘阵列柜，构成数据库故障转移群集，适用于用户数在500—1000内、对数据库服务器的可用性要求较高的用户环境中。 Internet 数据库故障转移群集用户数在500—1000时，可以不考虑WEB负载均衡和数据库查询分离，选用中高端配置的服务器基本上能满足用户的性能要求，但因为数据库服务器的工作负荷最重，也最容易发生故障，因此数据库服务器采用故障转移集群的方式。要实现 SQL Server数据库故障转移群集，有几个前提条件：

1. 要有共享存储设备，通常是磁盘阵列柜，直连或通过 FC SAN、iSCSI 与节点服务器连接； 2. 两台(或多台)节点服务器的软硬件配置一定要相同； 3. 节点服务器的操作系统必须是 Windows Server 2003/2008/2008 R2企业版，标准版没有群集功能； 4. SQL Server 2005/2008/2008 R2可以采用标准版或企业版，均有群集功能，但标准版只能支持双机群集，企业版可支持多机群集； 5. 必须有域环境(Active Directory)支持，工作组环境无法实现群集，但域控制器(DC)不能做 SQL Server集群节点。此外还必须注意： 1. SQL Server群集不能实现负载均衡、不提高数据库性能，只起到故障转移(双机热备)作用，到2008 R2 为止各版本 SQL Server群集都只有故障转移功能； 2. SQL Server群集不能提高数据安全性，群集的数据实际只有一份(在阵列柜上)，虽然磁盘阵列的理论可靠性比一般内部磁盘高，但不是绝对的；提高数据安全性必须通过定时备份、数据同步等手段解决； 3、WEB服务器的upfiles文件夹存放用户上传文档，会不断增大，建议将upflies文件存储到磁盘阵列中，通过IIS的虚拟目录实现ERP程序与存储阵列中upfiles的关联。 2.硬件配置

直播服务器配置方案

直播服务器配置方案（一）一、方案原理说明：本套方案通过直播页面配置边缘服务器以适应直播会议的最大访问量，本地PC机通过Flash Media Encode软件把摄像头捕获的是视频流直接推送至源服务器（接收直播流并处理分发给边缘服务器的主服务器，客户端不访问该源服务器，所以对该源服务器带宽要求不高，但是每个连接的客户端会有到源服务器的一个连接，因此对源服务器的资源配置要求会高些，例如内存，CPU等）；同时源服务器接收到直播流后会将直播流分发给边缘服务器（客户端访问边缘服务器，对边缘服务器的带宽要求很高，但是对资源要求不高）；在直播页面插入自己制作的FLASH播放器，FLASH播放器连接的服务器地址为边缘服务器地址IP，客户端通过播放器连接至不同的边缘服务器进行观看。二、方案所需器材 1、Flash Media Encoder2.5编码软件，Flash Media Server3.5破解版 2、现场配置快速能连接Internet的PC机一台，安装Flash Media Encoder2.5编码软件及Flash Media Server3.5破解版； 3、录制直播流的摄像机或者摄像头一个； 4、源服务器一台，安装Flash Media Server3.5破解版，保持默认配置； 5、边缘服务器若干台，安装Flash Media Server3.5破解版，配置为边缘服务器；三、方案图示说明四、方案描述会场通过连接PC机的摄像头拍摄直播视频，通过PC机的编码软件推送直播流至源服务器，源服务器分发数据流至各个边缘服务器；直播网页嵌入自己制作的FLASH播放器（每个播放器编码源于获取不同的边缘服务器），用户访问直播页面，通过程序控制展示给客户不同的FLASH播放器，各个不同的FLASH播放器获取不同的边缘服务器数据流，从而达到用户流的分配至不同的边缘服务器，实现直播分发的需求。五、架设步骤 1、准备内存、CPU配置较高，带宽可以稍低的服务器作为源服务器，源服务器安装Flash Media Server 3.5破解版软件，默认配置保持不变，同时Media Server两个服务（Flash Media Administration Server，Flash Media Server (FMS)）正常启动，软件能正常的使用；

服务器配置方案

服务器配置方案本文转自：傲龙网络在日常工作中，经常给客户进行硬件配置建议，发现很多客户基本的信息化基础的知识都不是太懂，比如服务器配置数选择和用户数关系等等。甚至很多IT专业人士，比如erp，crm顾问都不是很清楚。当然也有可能这些顾问只专注于他自己工作的那一块，认为这些是售前干的事情，不需要了解太多。在我看来我觉得多了解一些，碰到不懂的客户也可以给人家说个所以然出来，至少也没有什么坏处嘛。下面这篇文章也是平常的工作总结，贴出来给大家分享一下，也许还用的着。第一章服务器选择 1.1 服务器选择和用户数关系

说明：首选原则：在初期给客户提供硬件配置参考时，在线用户数建议

按注册用户数（或工作站数量）的50％计算。备用原则：根据企业的行业特点、用户使用频度、应用特点、硬件投入等综合因素考虑，在线用户数比例可以适当下调，由售前/销售人员在对客户的具体情况进行了解后做出适当的建议。服务器推荐选择品牌：IBM、DELL（戴尔）、HP（惠普）、Sun 、Lenovo （联想）、浪潮、曙光等品牌机型。 CPU：如果因为选择不同品牌服务器或双核处理器导致CPU型号/主频变动，只要求达到同级别或该级别以上处理能力。硬盘：对于硬盘方面，推荐选择SCSI硬盘，并做RAID5；对于小企业可以如果由于采购成本的考虑也可采用SATA。对于2000注册用户数以上企业，强烈推荐采用磁盘阵列。硬盘容量＝每用户分配容量×注册用户数＋操作系统容量＋部分冗余 1.2 常见机型参考报价

由于IBM服务器在几个品牌的PC服务器系列中价格较高，如果报价是供客户做预算用，则可将该报价直接发给客户供参考，减少商务询价的工作量。硬件配置和相关型号可上网查询： IBM服务器 HP服务器 DELL服务器 SUN服务器 Lenovo（联想） 1.3 服务器选择和用户数关系在线计算在IBM网站上有提供IBM Systems Workload Estimator工具可用于

机房服务器硬件配置方案

机房服务器硬件配置方案一、入门级常规服务器硬配置方案：硬件名称基本参数奔腾E2160系列，LPGA封装，双核，工作功率65W，核心电压 1.25V,数量参考价CPU 内存主板主频1800MHZ，总线频率800MHZ，倍频9，外频200MHZ，128M一级缓存，1M二级缓存，指令集MMX/SSE/SSE2/SSE3/Sup-SSE3/EM64T111￥460￥135￥599Kingston DDRII 667 1G,采用PBGA封，频率667MHZ 采用Intel P965/ICH8芯片组，集成Realtek ALC 662声卡芯片，适用Core2 Extreme/Core 2 Quad/Core 2 Duo/奔腾4/赛扬D/PentiumD系列处理器。前端总线频率FSB 1066MHz 硬盘台式机硬盘容量:160GB转速/分:7200转/分缓存（KB）:8000KB接口类型: Serial ATA接口速率: Serial ATA 300 机箱类型: xx飓风II机箱样式: 立式机箱结构: Micro ATX/ATX 3.51￥380机箱

光驱散热器 UPS 稳压器显示器鼠标键盘英寸仓位:1个软驱仓位+6个硬盘仓位光驱仓位:4个产品电源: 金河田 355WB 3C 选配，普通DVD光驱热器类型: CPU散热器散热方式: 风冷风扇转数（RPM）:2200轴承类型: 合金轴承适用范围: Intel LGA775 Conroe、Pentium D、Pentium4 Celeron D全系列最大风量(CFM):43CFM UPS电源类型: 后备式UPS额定输出容量: 0.5kva 选配

网站部署方案

网站部署方案 1.站点环境采用linux + apache + resin 作为网站运行环境。\ 大部分web站点都采用Linux+Apache作为其基础构架。其具有稳定性、安全性和高性能的特点。应用服务器中，resin具有很好的运行速度和性能。 2.目前服务器部署 ?分析:主站，我的空间和查询，社区为3个站点，分别部署在3台独立的

机器上，根据负载情况，可分别对3个子站点做负载均衡。 ? 目前出口带宽为100Mb/s(约等于10MB/s)，理论上网站最高PV 为9万/小时左右(但由于网内还有其它应用占用带宽，实际上不可能达到这个值)。大概连接数在 400 个/秒。普通的pc server 应该可以支撑。 3.500万－1000万PV 的技术方案 3.1 资讯主站点分析：在接入层使用DNS 进行负载均衡; 在WEB 服务器前端选择SQUID 进行数据的缓存，设定缓存为5分钟过期一次尽量使用squid 的缓存静态文件，减少应用服务器的使用。在应用层采用定时刷新的技术，5分钟更新一次；网络层至少要使用千M 网或光纤网 SQUID Resin DNS 轮询 SQUID SQUID Resin Resin 数据库存储服务器

3.2 查询主站点分析：使用DNS 轮询进行WEB 接入层的负载均衡; 在应用服务器与WEB 接入层中间使用LVS 和F5(硬件负载均衡)进行负载均衡；客户的状态使用COOKIE 进行存；使用缓存服务器缓存客户的数据库查询信息，减小数据库压力使用；网络层至少要使用千M 网或光纤网 DNS 轮询 Resin Resin 数据库存储服务器 LVS LVS Resin 缓存服务器 Resin

企业网络及硬件配置方案1

网络及硬件建议配置方案 1.1系统网络结构及软件平台建立良好的运行环境是建设好高质量ERP系统的前提保障，是系统能正常运作的基础，包括网络、硬件系统；另外也要选择选择适当的系统软件平台，这些都是对整个ERP管理信息系统的建立是至关重要的。系统硬件包含服务器、路由器、防火墙、交换机等；系统软件包括操作系统、数据库管理软件、开发工具等，系统软/硬件的选择应遵循功能强、系统稳定、高效率、兼容性好的原则，利于将来对整个系统的管理、维护等。 1.2系统网络硬件的选择 A、服务器硬件建议服务器使用专业品牌服务器如联想、IBM、HP等，要求性能稳定且具有良好的扩展空间。在配置方面，最低使用四核INTEL XEON 2.0GB以上的CPU，4GB内存，300GSAS 硬盘，1000M的网卡。为了防止服务器硬盘发生故障，建议至少使用两块硬盘，做RAID1，有条件的话建议用三块硬盘做RAID5。 B、服务器软件：操作系统：Windows 2003 Server 以上平台软件：要求服务器能够稳定运行Microsoft SQL server 2005 数据库以上。 C、网络接入配置及网络安全：

a 、网络方面，建议企业在网络中使用高性能路由器和交换机，应保证整个局域网达到10/100M 以上的速度，且运行速度稳定；要求服务器与客户端之间保证网络能时时连接顺畅，不能有间断。目前内部局域网已具备此条件。 b 、由于互联网的发展，木马感染电脑，影响工作生产的事情时有发生，建议企业有条件的话选购独立的硬件防火墙。在内部局域网到服务器的接口处安装了一个内部防火墙，防止内部用户的非授权访问和入侵。集团内的用户也将他们做为一种外部用户，用防火墙隔离。如放在核心机房，则无需再行购买单独防火墙。参考防火墙型号及价格： c 、对供电不稳定的环境，或为了防止意外的断电情况，建议企业为服务器等选购 UPS(不间断电源）。如放在核心机房，则无需再行购买UPS 。参考型号及价格：山特2KS UPS （含南海山特2KS 主机、24AH 蓄电池8 节、电池柜）价格5200元。 D 、数据安全考虑到数据安全性，如果要做到数据实时备份，可以采用黑方备份。用于对服务器数据库及操作系统的实时备份。

服务器配置方案

说明：首选原则：在初期给客户提供硬件配置参考时，在线用户数建议按注册用户数（或工作站数量）的50％计算。备用原则：根据企业的行业特点、用户使用频度、应用特点、硬件投入等综合因素考虑，在线用户数比例可以适当下调，由售前/销售人员在对客户的具体情况进行了解后做出适当的建议。服务器推荐选择品牌：IBM、DELL（戴尔）、HP（惠普）、Sun 、Lenovo （联想）、浪潮、曙光等品牌机型。 CPU：如果因为选择不同品牌服务器或双核处理器导致CPU型号/主频变动，只要求达到同级别或该级别以上处理能力。

硬盘：对于硬盘方面，推荐选择SCSI硬盘，并做RAID5；对于小企业可以如果由于采购成本的考虑也可采用SATA。对于2000注册用户数以上企业，强烈推荐采用磁盘阵列。硬盘容量＝每用户分配容量×注册用户数＋操作系统容量＋部分冗余常见机型参考报价

由于IBM服务器在几个品牌的PC服务器系列中价格较高，如果报价是供客户做预算用，则可将该报价直接发给客户供参考，减少商务询价的工作量。硬件配置和相关型号可上网查询： IBM服务器 HP服务器 DELL服务器 SUN服务器 Lenovo（联想）服务器选择和用户数关系在线计算在IBM网站上有提供IBM Systems Workload Estimator工具可用于计算在各种应用和用户数规模下建议采用的服务器型号配置，配置结果提供服务器型号、建议配置情况、可扩展性等信息。以下为IBM Systems Workload Estimator工具计算结果，供参考： At peak, this system will have 1000 active mail clients. The calculations for this workload take into consideration a maximum of 60 percent utilization. Based on the type of client connection, this translates to 4000 effective clients. 即当前配置可支持1000在线用户，4000有效用户，服务器配置结果受录入的基本信息影响较大。相关概念解释

服务器虚拟化部署方案

服务器虚拟化部署方案 Prepared on 24 November 2020

1.1.1.服务器虚拟化部署方案 1.1. 2.数据库服务器设计说明在数据库服务器的配置中，对数据库服务器性能影响较大的有： CPU：数据库查询和修改操作都需要消耗大量的CPU资源，另外数据库都是多线程应用程序，使用SMP（对称多处理）系统能够提供更好的性能。CPU缓存结构也很重要，因为数据库的对缓存的点击率是很高的。内存：最重要的性能因素。数据库需要大量的内存来缓存数据。如果服务器没有足够的内存来作为数据缓存，将使用磁盘子系统作缓存，磁盘子系统的访问速度比内存低很多，这样就会降低系统性能。内存太低，甚至会因为过于频繁的磁盘访问而导致服务器死机。配置256GB DDR3内存，以满足应用系统的数据缓存。磁盘：即使内存很充足，系统还得执行大量的磁盘I/O，从硬盘中读取数据并写入修改的数据，因此磁盘的访问速度对性能影响也很大。另外，磁盘中的数据非常重要。为了提高访问数据库的性能，并保护磁盘中的重要数据，RAID磁盘控制器成为数据库服务器的标准配置。针对数据库随机读操作更多的特性，RAID5是最常用的选择。另外每个数据库服务器包含两个HAB卡，光纤磁盘阵列包含两个磁盘控制器。数据库服务器通过SAN 光纤交换机与光纤磁盘阵列相连。任何一个数据库服务器与交换机之间的通路断掉均可以从另外一个HBA卡与交换机的通路上继续进行数据的传送。当任何一个交换机与磁盘阵列之间的通路断

掉均可以从另外一个交换机与光纤盘阵控制器上的通路继续进行数据的传送。数据库系统的衡量标准通常有两个：一个是整个数据库系统的运行性能，包括了一些典型操作的响应时间，以及在系统负载比较大的情况下，系统依然要有合理的运行表现；第二个是数据库系统的稳定性，即数据库系统能够稳定持续运行的时间，一般要求能够达到7×24。数据库服务器采用了双机系统，使得数据库应用系统实现了冗余，大大提高了系统的安全性及稳定性，保证了系统7×24小时对外提供服务，双机集群服务器共享磁盘阵列，数据均存放在共享存储中，无论是数据库还是应用，两台服务器都安装相同的应用。一台机器作为工作机，另外一台作为备份机，双机之间通过专用的心跳线来传递信息，互相检测对方的工作状态，此时工作机拥有对磁盘阵列的占用权利，可以对磁盘阵列的数据进行读写，而备份机无法对磁盘阵列进行操作，甚至无法发现磁盘阵列，这是通过双机软件的“软件锁”功能来实现的。工作机出现故障后，备份机的双机软件会监测到故障的发生，用户只要重新向虚拟IP地址发起请求，集群软件将该请求分配到正常工作的机器上，这样就完成了一次双机保障过程。 1.1.3.服务器虚拟化设计通过服务器虚拟化技术可以在一台物理服务器上创建多个不同的虚拟机，可以部署不同的操作系统，部署不同的业务应用，每个虚拟机之间相互隔离。当用户有新增的业务需求时，无需再去采购新的硬件，只需要在某一台物理机

系统部署与软硬件配置方案

1.1.系统部署与软硬件配置方案 1.1.1.性能设计指标考虑到中电投的档案业务以及信息化建设的实际情况，综合包括部署模式、网络情况、软硬件情况、用户类型、用户数量、数据量等各方面因素，为确保中电投档案管理系统的正常、稳定运行，中电投档案系统将至少满足下述性能指标： ●系统将支持对关系型数据库的文本数据以及大对象类型数据检索能力； ●系统的数据交换要求采用XML机制提供服务； ●系统支持并发用户数大于100人； ●百万目录数据量带全文，检索客户端响应时间：≤2秒； ●系统无故障运行时间大于5000小时； ●系统恢复时间小于4小时； ●电子目录数据接收，导入（导出）临时或核心数据库每批次能承载百万条以上，记录数据信息不发生错误； ●正确描述硬件负载情况，同时保证我方推荐的服务器及存储的配置要求能够满足未来五年企业档案发展的需求，且可扩展。 1.1. 2.系统逻辑部署视图系统部署将在中电投集团“统一平台”规划下，充分考虑集团总部档案信息化现状以及未来档案管理的发展趋势，档案管理系统将按照“集中应用、统一存储”的方式进行部署。同时将充分考虑部署方式的灵活、可扩展，能够随着集团公司基础设施的日益完善，逐步过渡到“云计算”模式。

档案系统逻辑部署视图基于项目性能要求以及可扩展性设计原则，在设计基础设施时逻辑上有以下逻辑服务器： 1）数据库系统用于存储档案管理系统的结构化数据，是一个实际可运行的存储、维护和应用系统提供数据的软件系统，是存储介质、处理对象和管理系统的集合体。 2）文件存储系统用于存储档案管理系统的非结构化数据，支持DAS/SAN/NAS/虚拟存储/云存储等存储模式。空间大小根据实际数据量而定，设计3～5年的存储量，建议采用RAID-5技术。 3）应用服务器部署中间件服务器及档案管理系统应用，面向用户提供应用服务。 4）基础应用服务器为档案管理系统提供基础性服务，包括全文索引、电子文件处理、WEB 报表、流媒体、缩略图等基础应用服务。

服务器虚拟化部署方案

服务器虚拟化部署方案 Company Document number：WTUT-WT88Y-W8BBGB-BWYTT-19998

WEB_服务器硬件配置方案

服务器配置方案v1.1

NC硬件配置方案

服务器部署方案

高性能服务器软硬件配置方案

服务器部署方案

案例主要软硬件选型原则和详细软硬件配置清单

办公网络及硬件维护方案

linux服务器部署方案

明源ERP硬件部署方案

直播服务器配置方案

服务器配置方案

机房服务器硬件配置方案

网站部署方案

企业网络及硬件配置方案1

服务器配置方案

服务器虚拟化部署方案

系统部署与软硬件配置方案

服务器虚拟化部署方案

相关文档

最新文档