我应采取哪些措施来保护我的多层ASP.NET应用程序？

没有特别的顺序

>通过加密配置文件来保护它们.
>确保您的数据库支持某种DMZ,而不是公共可访问的IP
>让安全公司对您的站点进行潜在漏洞检查(Cross Site Scripting / Sql Injection)
>使用SSL
>在服务器上以端口方式锁定所有内容,但80 HTTP&除非绝对必要,否则为443 HTTPS
>确保您的远程桌面/ VNC连接到盒子是安全的
>如果您在DB中存储密码,则哈希&加盐它们并且不存储纯文本
>发布代码,不要在服务器上保留源代码
>根据已知标准构建代码,即不编写自己的加密算法
>如果Site-> DB或Site-MSMQ之间的安全连接可用,请使用它们

微软有一篇关于保护我将要挖掘的ASP.NET应用程序的文章.

编辑

正如赛义德刚刚在他的回复中所说的那样,(1归功于他)

Building Secure ASP.NET Applications: Authentication,Authorization,and Secure Communication