四 大小型web服务器的区别

大型WEB服务器

在UNⅨ和LINUX平台下使用最广泛的免费HTTP服务器是APACHE服务器，而Windows平台NT/2000/2003使用ⅡS的WEB服务器。在选择使用WEB服务器应考虑的本身特性因素有：性能、安全性、日志和统计、虚拟主机、代理服务器、缓冲服务和集成应用程序等，下面介绍几种常用的WEB服务器。

Microsoft ⅡS

Microsoft的Web服务器产品为Internet Information Server （ⅡS）， ⅡS 是允许在公共Intranet或Internet上发布信息的Web服务器。ⅡS是目前最流行的Web服务器产品之一，很多著名的网站都是建立在ⅡS的平台上。ⅡS提供了一个图形界面的管理工具，称为 Internet服务管理器，可用于监视配置和控制Internet服务。

ⅡS是一种Web服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。它提供ISAPI(Intranet Server API）作为扩展Web服务器功能的编程接口；同时，它还提供一个Internet数据库连接器，可以实现对数据库的查询和更新。

IBM WebSphere  

WebSphere Application Server 是 一 种功能完善、开放的Web应用程序服务器，是IBM电子商务计划的核心部分，它是基于 Java 的应用环境，用于建立、部署和管理 Internet 和 Intranet Web 应用程序。这一整套产品进行了扩展，以适应 Web 应用程序服务器的需要，范围从简单到高级直到企业级。

WebSphere 针对以 Web 为中心的开发人员，他们都是在基本 HTTP服务器和 CGI 编程技术上成长起来的。IBM 将提供 WebSphere 产品系列，通过提供综合资源、可重复使用的组件、功能强大并易于使用的工具、以及支持 HTTP 和 ⅡOP 通信的可伸缩运行时环境，来帮助这些用户从简单的 Web 应用程序转移到电子商务世界。

BEA WebLogic

BEA WebLogic Server 是一种多功能、基于标准的web应用服务器，为企业构建自己的应用提供了坚实的基础。各种应用开发、部署所有关键性的任务，无论是集成各种系统和数据库，还是提交服务、跨 Internet 协作，起始点都是 BEA WebLogic Server。由于 它具有全面的功能、对开放标准的遵从性、多层架构、支持基于组件的开发，基于 Internet 的企业都选择它来开发、部署最佳的应用。

BEA WebLogic Server 在使应用服务器成为企业应用架构的基础方面继续处于领先地位。BEA WebLogic Server 为构建集成化的企业级应用提供了稳固的基础，它们以 Internet 的容量和速度，在连网的企业之间共享信息、提交服务，实现协作自动化。

Apache

Apache仍然是世界上用的最多的Web服务器，市场占有率达60%左右。它源于NCSAhttpd服务器，当NCSA WWW服务器项目停止后，那些使用NCSA WWW服务器的人们开始交换用于此服务器的补丁，这也是apache名称的由来（pache 补丁）。世界上很多著名的网站都是Apache的产物，它的成功之处主要在于它的源代码开放、有一支开放的开发队伍、支持跨平台的应用（可以运行在几乎所有的Unix、Windows、Linux系统平台上）以及它的可移植性等方面。

Tomcat

Tomcat是一个开放源代码、运行servlet和JSP Web应用软件的基于Java的Web应用软件容器。Tomcat Server是根据servlet和JSP规范进行执行的，因此我们就可以说Tomcat Server也实行了Apache-Jakarta规范且比绝大多数商业应用软件服务器要好。

Tomcat是Java Servlet 2.2和JavaServer Pages 1.1技术的标准实现，是基于Apache许可证下开发的自由软件。Tomcat是完全重写的Servlet API 2.2和JSP 1.1兼容的Servlet/JSP容器。Tomcat使用了JServ的一些代码，特别是Apache服务适配器。随着Catalina Servlet引擎的出现，Tomcat第四版号的性能得到提升，使得它成为一个值得考虑的Servlet/JSP容器，因此目前许多WEB服务器都是采用Tomcat。

小型WEB服务器

【nginx】　

* 支持通用语言接口，如php、python、perl等

* 支持正向和方向代理、虚拟主机、url重写、压缩传输等

* nginx的模块都是静态编译的，对fcgi的支持非常好，在处理链接的的方式上nginx支持epoll。

【 micro_httpd - really small HTTP server】

特点：

* 支持安全的 .. 上级目录过滤

* 支持通用的MIME类型

* 支持简单的目录

* 支持目录列表

* 支持使用 index.html 作为首页

* Trailing-slash redirection

* 程序总共代码才200多行

这个httpd适合学习简单的Web Server编写学习，因为它只有一个简单的框架，只能够处理简单的静态页，可以考虑用来放静态页。

【 mini_httpd - small HTTP server 】

特点：

* 支持GET、HEAD、POST方法

* 支持CGI功能

* 支持基本的验证功能

* 支持安全 .. 上级目录功能

* 支持通用的MIME类型

* 支持目录列表功能

* 支持使用 index.html,index.htm,index.cgi 作为首页

* 支持多个根目录的虚拟主机

* 支持标准日志记录

* 支持自定义错误页

* Trailing-slash redirection

mini_httpd 也是相对比较适合学习使用，大体实现了一个Web Server的功能，支持静态页和CGI，能够用来放置一些个人简单的东西，不适宜投入生产使用。

【 thttpd - tiny/turbo/throttling HTTP server 】

thttpd中是一个简单，小型，轻便，快速和安全的http服务器.

简单：它能够支持HTTP/1.1协议标准，或者超过了最低水平

小巧：它具有非常少的运行时间，因为它不fork子进程来接受新请求，并且非常谨慎的分配内存。

便携：它能够在大部分的类Unix系统上运行，包括FreeBSD,SunOS 4,Solaris 2,BSD/OS,Linux,OSF等等

快速：它的速度要超过主流的Web服务器（Apache,NCSA,Netscape），在高负载情况下，它要快的多

安全：它努力的保护主机不受到攻击，不中断服务器

thttpd 类似于lighttpd，对于并发请求不使用fork（）来派生子进程处理，而是采用多路复用（Multiplex）技术来实现。因此效能很好。同时它还有一个特点就是基于URL的文件流量限制，这对于下载的流量控制而言是非常方便的。象Apache就必须使用插件实现，效率较thttpd低。

thttpd跟lighttpd类似，适合静态资源类的服务，比如图片、资源文件、静态HTML等等的应用，性能应该比较好，同时也适合简单的CGI应用的场合。

【 lighttpd - light footprint + httpd = LightTPD 】

Lighttpd是一个德国人领导的开源软件，其根本的目的是提供一个专门针对高性能网站，安全、快速、兼容性好并且灵活的web server环境。具有非常低的内存开销，cpu占用率低，效能好，以及丰富的模块等特点。

lighttpd 是众多OpenSource轻量级的web server中较为优秀的一个。支持FastCGI,CGI,Auth，输出压缩（output compress),URL重写，Alias等重要功能，而Apache之所以流行，很大程度也是因为功能丰富，在lighttpd上很多功能都有相应的实现了，这点对于apache的用户是非常重要的，因为迁移到lighttpd就必须面对这些问题。

实用起来lighttpd确实非常不错，apache主要的问题是密集并发下，不断的fork（）和切换，以及较高（相对于 lighttpd而言）的内存占用，使系统的资源几尽枯竭。而lighttpd采用了Multiplex技术，代码经过优化，体积非常小，资源占用很低，而且反应速度相当快。

利用apache的rewrite技术，将繁重的cgi/fastcgi任务交给lighttpd来完成，充分利用两者的优点，现在那台服务器的负载下降了一个数量级，而且反应速度也提高了一个甚至是2个数量级！

lighttpd 适合静态资源类的服务，比如图片、资源文件、静态HTML等等的应用，性能应该比较好，同时也适合简单的CGI应用的场合。

【 SHTTPD - Simple HTTPD 】

Shttpd是另一个轻量级的web server，具有比thttpd更丰富的功能特性，支持CGI,SSL,cookie,MD5认证，还能嵌入（embedded）到现有的软件里。最有意思的是不需要配置文件！ 由于shttpd可以嵌入其他软件，因此可以非常容易的开发嵌入式系统的web server，官方网站上称shttpd如果使用uclibc/dielibc(libc的简化子集）则开销将非常非常低。

特点：

* 小巧、快速、不膨胀、无需安装、简单的40KB的exe文件，随意运行

* 支持GET,POST,HEAD,PUT,DELETE 等方法

* 支持CGI,SSL,SSI,MD5验证，resumed download,aliases,inetd模式运行

* 标准日志格式

* 非常简单整洁的嵌入式API

* dietlibc friendly. NOT that friendly to the uClibc (*)

* 容易定制运行在任意平台：Windows,QNX,RTEMS,UNⅨ (*BSD,Solaris,Linux)

由于shttpd可以轻松嵌入其他程序里，因此shttpd是较为理想的web server开发原形，开发人员可以基于shttpd开发出自己的webserver

五 web服务器安全

1.加强Web服务器的安全设置。

以Linux为操作平台的Web服务器的安全设置策略，能够有效降低服务器的安全隐患，以确保Web服务器的安全性，主要包括：登录有户名与密码的安全设置、系统口令的安全设置、BIOS的安全设置、使用SSL通信协议、命令存储的修改设置、隐藏系统信息、启用日志记录功能以及设置Web服务器有关目录的权限等[3]。

2.加强互联网的安全防范。

Web服务器需要对外提供服务，它既有域名又有公网的网址，显然存在一些安全隐患。所以，可给予Web服务器分配私有的地址，并且运用防火墙来做NAT可将其进行隐藏；同时因为一些攻击来源于内网的攻击，比如把内网计算机和Web服务器存放在相同的局域网之内，则在一定程度上会增加很多安全隐患，所以必须把它划分为不同的虚拟局域网，运用防火墙的地址转换来提供相互间的访问，这样就大大提高了Web服务器的安全性和可靠性；把Web服务器连接至防火墙的DMZ端口，将不适宜对外公布的重要信息的服务器放于内部网络，进而在提供对外的服务的同时，可以最大限度地保护好内部网络[4]。

3.网络管理员要不断加强网络日常安全的维护与管理。

要对管理员用户名与密码定期修改；要对Web服务器系统的新增用户情况进行定时核对，并且需要认真仔细了解网络用户的各种功能；要及时给予更新Web服务器系统的杀毒软件以及病毒库，必要时可针对比较特殊的病毒给予安装专门杀毒的程序，同时要定期查杀Web服务器的系统病毒，定期查看CPU的正常工作使用状态、后台工作进程以及应用程序，假若发现异常情况需要及时给予妥当处理[5]；因为很多木马与病毒均是运用系统漏洞来进行攻击的，所以需要不断自动更新Web服务器系统，以及定期扫描Web服务器系统的漏洞。

Web服务器现在已经成为了病毒、木马的重灾区。不但企业的门户网站被篡改、资料被窃取，而且还成为了病毒与木马的传播者。有些Web管理员采取了一些措施，虽然可以保证门户网站的主页不被篡改，但是却很难避免自己的网站被当作肉鸡，来传播病毒、恶意插件、木马等等。这很大一部分原因是管理员在Web安全防护上太被动。他们只是被动的防御。为了彻底提高Web服务器的安全，Web安全要主动出击。