这个问题非常好，有助于提高大家安全意识。防止服务器被入侵是网络安全的范畴。我们要系统性思维来考虑。

中国在2016年推出了《网络安全法》，同时，在2019年12月发布了《等级保护》2.0。这里头都对网络安全要求提高到了更高的高度。按国家要求，我们安全至少需要从两方面来防护：

在计算机安全技术上，我们可以从4个方面来着手分析服务器存在的风险，以及防范措施。

①、物理环境安全

物理环境就是指我们服务器存放的位置，我们需要分析它是否存在风险，比如：

如果是自有服务器，你必须要有相对隔离的专用空间，并配上门禁和视频监控控制出入。因为如果服务器人人都可以触碰到它，那它没有任何安全可言。因为只要物理上可以接触到，那就有可能会被恶意的人盗走服务器，然后在慢慢破解服务器，获取服务器的信息。

如果服务器是托管，你必须要求托管方有上面提到的门禁、视频监控等。不过，一般都会有。

如果是云服务器，也就是虚拟机，那你要求云服务商的物理服务器必须在国内，同样有上面提到的基本物理安全。

②、通讯网络安全

通讯网络就是服务器需要对外提供服务使用的网络系统。这一块是我们比较熟悉的。我们需要做如下措施来保障安全：

出口必须有防火墙，（有条件用双机）通过防火墙的的规则，可以屏蔽不需要开放的端口。使得黑客们的攻击面变窄。

服务器和桌面终端不能在同一个区域，至少需要划分VLAN隔离。

对外服务的访问尽量采用加密访问，比如：web服务就尽量采用HTTPS来提供；

有分支结构访问的，采用加密IPsec VPN或者SSL VPN来访问。

服务器本身需要有 TPM 芯片（现在一般都有），该芯片是可信计算模块，可以帮助我们的服务器对内部的计算信息进行加密。确保

你的问题，有我回答，我是IT屠工！

1、用户安全

(1) 运行 lusrmgr.msc,重命名原 Administrator 用户为自定义一定长度的名字， 并新建同名Administrator 普通用户，设置超长密码去除所有隶属用户组。

(2) 运行 gpedit.msc ——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求，设置密码最小长度、密码最长使用期限，定期修改密码保证 服务器账户的密码安全。

(3) 运行 gpedit.msc ——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定，设置单用户多次登录错误锁定策略，具体设置参照要求设置。

(4) 运行 gpedit.msc ——计算机配置—安全设置—本地策略—安全选项 交互式登录 :不显示上次的用户名；——启动 交互式登录：回话锁定时显示用户信息；——不显示用户信息

(5) 运行 gpedit.msc ——计算机配置—安全设置—本地策略—安全选项

网络访问：可匿名访问的共享；——清空

网络访问：可匿名访问的命名管道；——清空

网络访问：可远程访问的注册表路径；——清空

网络访问：可远程访问的注册表路径和子路径；——清空

(6) 运行

gpedit.msc

ASPNET

Guest IUSR_***** IWAM_*****

1：安装，ISAPI_Rewrite3
2：网站根目录下，.htaccess
至于规则，则根据你的具体要求来写
例如
RewriteEngine on
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php/$1 [QSA,PT,L]
请将上面正则表达式，保存为.htaccesss文件，并放到thinkphp项目入口文件同级目录下。并且修改数据库配置（config.php）文件使网站支持url重写功能，加入代码：define(‘URL_REWRITE’,2);