调试易

这个问题就比较综合性了，
这要看你的网站要提供什么服务了！！根据服务来定义，建议如下：
一、代码强健，如果代码不够好，再多防火墙也防不住（比如SQL注入）
二、根据相应的服务开放相应的端口，如果只是用来浏览网页，将所有的UDP端口关掉，只放开TCP 80端口
三、SQL数据库默认的1433端口也改掉，防止针对1433端口的攻击，SA的密码设得长一些
四、系统经常升级，可知漏洞的补丁及时补上
五、如果是通过硬件防火墙，可以通过ACL和LOG来定义和监控所有的访问总的来说，看你的投入了，网络安全涉及的很多知识，如果自己架服务器最好自己先充充电或者找这方面的高手来做一个网站安全测试和评估。。

可以参考一下这两处文章http://218.75.14.190/blog/article.asp?id=134 (windows2003服务器的安全配置)http://218.75.14.190/blog/article.asp?id=26 (win2000服务器的安全配置)当然如果不是windows平台,那就不必看了

所有部分只分配够用的最低权限(包括程序、IIS与数据库的设置)
最好应用服务器与数据库服务器分开，数据库可以放在外部无法访问的内网
后台管理页面，限制IP