创旗备案管理系统的安全配置方案

1、备案系统升级到“20120910”。

2、启用管理员授权访问功能，只允许指定的来源IP访问管理中心。
访问ip.cn网站获取当前上网IP，尽量设置在该IP段内。如上网IP为114.80.1.2，可设置授权访问ip范围为：114.80.0.0-114.80.255.255。（如图：

来源IP访问管理中心控制

）



3、配置WEB服务的权限。

a、Linux关闭nginx信息显示：
打开nginx.conf，在http { }里加上：
server_tokens off;
nginx禁止访问目录：
error_page  403 404 502 503 504 /;

location ^~ /ispfile/
{
deny all;
}

b、Windows关闭apache信息显示：
开启httpd.conf，加入以下三行:
ServerTokens ProductOnly
ServerSignature Off
TraceEnable off

<Directory "D:\abchosting\trunkey\wwwroot\ispfile">
   Options FollowSymLinks
   AllowOverride None
   Order deny,allow
   Deny from all
</Directory>

c、隐藏PHP版本信息：
开启php.ini，加入:
expose_php = Off
修改配置值：
cgi.fix_pathinfo=0
完成以上设定后，重新启动 Apache/Nginx 即可。

5、配置系统防火墙，只开启80服务端口，关闭所有与备案系统无关的其它服务与软件。
a、Linux下的iptables配置，打开“/etc/system/iptables”
------------------------------------------------------------------------------------
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

配置完成后，重启service iptables restart

b、Windows下配置系统防火墙，只开放WEB端口与远程管理端口。