說明：對于WWW服務，可以拒絕一些對站點有攻擊嫌疑的地址；尤其對于FTP服務，如果只是自己公司上傳文件，就可以只允許本公司的IP訪問改FTP服務，這樣，安全性大為提高。
�牐�
18.禁止對FTP服務的匿名訪問
說明：如果允許對FTP服務做匿名訪問，該匿名帳戶就有可能被利用來獲取更多的信息，以致對系統造成危害。
�牐�
19.建議使用W3C擴充日志文件格式，每天記錄客戶IP地址，用戶名，服務器端口，方法，URI字根，HTTP狀態，用戶代理，而且每天均要審查日志。（最好不要使用缺省的目錄，建議更換一個記日志的路徑，同時設置日志的訪問權限，只允許管理員和system為Full Control）
說明：作為一個重要措施，既可以發現攻擊的跡象，采取預防措施，也可以作為受攻擊的一個證據。
�牐�
20.慎重設置WEB站點目錄的訪問權限，一般情況下，不要給予目錄以寫入和允許目錄瀏覽權限。只給予.ASP文件目錄以腳本的權限，而不要給與執行權限。
說明：目錄訪問權限必須慎重設置，否則會被黑客利用。

21.ASP編程安全：
�牐�
安全不僅是網管的事，編程人員也必須在某些安全細節上注意，養成良好的安全習慣，否則，會給黑客造成可乘之機。目前，大多數網站上的ASP程序有這樣那樣的安全漏洞，但如果寫程序的時候注意的話，還是可以避免的。
�牐�
涉及用戶名與口令的程序最好封裝在服務器端，盡量少的在ASP文件里出現，涉及到與數據庫連接地用戶名與口令應給予最小的權限。
說明：用戶名與口令，往往是黑客們最感興趣的東西，如果被通過某種方式看到源代碼，后果是嚴重的。因此要盡量減少它們在ASP文件中的出現次數。出現次數多得用戶名與口令可以寫在一個位置比較隱蔽的包含文件中。如果涉及到與數據庫連接，理想狀態下只給它以執行存儲過程的權限，千萬不要直接給予該用戶以修改、插入、刪除記錄的權限。
�牐�
需要經過驗證的ASP頁面，可跟蹤上一個頁面的文件名，只有從上一頁面轉進來的會話才能讀取這個頁面。
說明：現在的需要經過驗證的ASP程序多是在頁面頭部加一個判斷語句，但這還不夠，有可能被黑客繞過驗證直接進入，因此有必要跟蹤上一個頁面。具體漏洞見所附漏洞文檔。
�牐�
防止ASP主頁.inc文件泄露問題
當存在asp 的主頁正在制作并沒有進行最后調試完成以前，可以被某些搜索引擎機動追加為搜索對象，如果這時候有人利用搜索引擎對這些網頁進行查找，會得到有關文件的定位，并能在瀏覽器中察看到數據庫地點和結構的細節揭示完整的源代碼。