让你的Web服务器不再裸奔:ISA2006系列之十二

简介:
让你的 Web 服务器不再裸奔
很多小型企业限于资金紧缺,无法让Web服务器得到很好的安全防护,往往就把一台Web服务器孤零零地扔在IDC机房里。这么处理的结果可想而知,Web服务器要么被黑客们当成了练兵场,要么沦为肉鸡,成为下一次网络攻击的踏板,能够毫发无伤全身而退的基本是凤毛麟角。其实,只要在Web服务器上用防火墙保护一下,效果就要好上很多,一般普通的攻击都可以挡住。提到这里,有些老板又要邹眉头了,“防火墙好是好,就是这个成本,太,太高了一些…..”。错!今天我们提供的这种保护Web服务器的方案并不需要额外的硬件投入,只要在Web服务器上安装上软件防火墙ISA2006,利用ISAWeb服务器发布功能就能享受到低投入高安全的乐趣。
我们准备了一台Web服务器SERVER1进行测试,如下图所示,SERVER1有个测试用的网站,我们来看看如何利用ISA2006保护这个可怜的Web服务器。
 
大致思路是这样的,在Web服务器上安装一块虚拟网卡,将Web站点建在虚拟网卡上,在ISA上用Web发布规则把虚拟网卡上的Web站点发布到物理网卡上。这个过程听起来平淡无奇,为什么还值得大书特书一番呢?关键就是要避免IISWeb侦听器的冲突。两者都要监听80端口,前面安装ISA时,我们提到过ISA服务器上不应该有进程守护80端口,就是为了避免和Web侦听器冲突。但现在我们不得不考虑如何解决80端口的冲突问题,这篇文章关键之处就在这里。
解决冲突有两种方法,端口重定向和取消HTTP套接字池,具体容我一一道来。但之前先将实验环境搭好,包括创建虚拟网卡,安装ISA2006等。搭好后的实验拓扑如下图所示。
 
  安装虚拟网卡
要在Web服务器上安装ISA,首先要有两块以上的网卡,这倒用不着专门去买一块新网卡,我们在Web服务器上添加一块虚拟网卡就可以了。微软在系统中提供了Loopback回路网卡,Loopback网卡就是能提供协议绑定的虚拟网卡,我们只要添加一块Loopback网卡就可以了。在Web服务器的控制面板中选择“添加硬件”,如下图所示,出现添加硬件向导。
 
选择硬件已连接好。
 
选择“添加新的硬件设备”。
 
选择手工添加硬件。
 
硬件类型为网络适配器。
 
网卡型号要选择微软公司的Loopback网卡。
 
安装完Loopback网卡后,如下图所示,计算机中有了两块网卡,Loopback网卡的IP地址为10.1.1.254255.255.255.0;物理网卡为192.168.1.254 255.255.255.0,虽然添加的是一块虚拟网卡,但在ISA看来和物理网卡并没有区别。
 
  安装 ISA2006
既然Web服务器上已经有了两块网卡,那安装ISA2006就没有问题了。ISA2006的安装过程就不具体介绍了,前面的博文已经提及,大家只要注意两点:
1)   ISA内网的地址范围是 10.1.1.0  255.255.255.0,和虚拟网卡关联。
2)   ISA安装之前要关闭IIS网站,如下图所示,因为我们目前还没有找到解决冲突的办法,因此只能先把站点关闭。
 
ISA2006安装完毕,如下图所示,好了,环境已经搭好,我们要开始了!
 
  端口重定向
我们先考虑简单的解决方法,如果Web站点不放在80端口,而放在其他端口如81,这样就不会和Web侦听器有冲突了。发布规则也恰好支持端口重定向,因此这个解决方法简单易行,如果网站对80端口没有特殊要求,建议用此方法解决问题。
首先我们修改网站端口,如下图所示,在默认站点的属性中将TCP端口改为81
 
然后就可以启动Web站点了,如下图所示,右键点击默认网站,选择“启动”。
 
接下来要在服务器上创建一条Web发布规则,如下图所示,新建一条网站发布规则。
 
为发布规则取个名字。
 
当访问请求匹配发布规则时允许访问。
 
发布单个网站。
 
此次发布不使用证书加密。
 
被发布的网站是10.1.1.254,注意,目前ISA认为被发布的服务器在10.1.1.25480端口,其实是在81端口,我们过一会要修改这个参数。
 
发布整个网站,从根目录开始。
 
对访问请求的格式不作任何限制,域名或IP均可。
 
目前还没有Web侦听器,选择“新建”。
 
为侦听器取个名字。
 
侦听器不对访问请求加密。
 
侦听器负责监听外网。
 
不对用户进行身份验证。
 
不使用SSO单一登录设置。
 
选择使用新创建的Web侦听器。
 
被发布的服务器不要求身份验证。
 
发布规则适用于所有用户。
 
如下图所示,发布规则已经创建,只是此规则中认为发布的网站在10.1.1.25480端口,我们要修改端口。
 
切换到发布规则属性的“桥接”标签,如下图所示,勾选“将请求重定向到HTTP端口”,端口值填写81
 
好了,我们来测试一下发布规则,如下图所示,客户机访问ISA的外网地址,访问到了内网网卡81端口上的网站,发布ISA服务器上的网站成功了!
 
  配置 HTTP 套接字池
端口重定向为我们提供了一种简单的解决方法,但它改变了发布网站的端口,如果某些网站出于某种原因必须在80端口,那我们就必须想想其他办法了。我们能否让IIS监听内网的80端口,Web侦听器监听外网的80端口,这样不就可以和平共处了?有些朋友立刻想到了IIS中可以把网站绑定到一个指定的IP上,他们说干就干,立即动手,如下图所示,在IIS中将网站绑定到了10.1.1.254上,这么做是否能如愿以偿呢?
 
如下图所示,我们用netstat检查端口监听情况,如下图所示,发现IIS监听的可不止10.1.1.25481端口,而是在所有IP81端口都进行监听,这是为什么呢?
 
IIS的这种特性称为Socket Pooling(套接字池)。套接字(Socket )是IP地址和端口的组合,用于进行网络通讯,任何应用程序需要和网络上的其他应用程序进行通讯时,必须具有相应的套接字。例如Web站点侦听客 户的HTTP请求,那么它就绑定在相应的套接字(IP地址和端口,例如端口为标准的TCP 80)上。在IIS 4.0中,微软发现当多个Web站点分别通过不同的套接字绑定在不同的IP地址时,会占用较多的系统资源,于是在IIS 5.0中引入了Socket Pool(套接字池)这个概念。它的工作原理是这样的:IIS启动时会将所有Web站点配置的服务端口绑定在计算机的所有IP地址上,而不管这些IP地址是否分配给了这些 Web站点,IIS把绑定的这些套接字称为套接字池;然后IIS再将套接字池中的套接字根据Web站点的配置分配到相应的Web站点,这样 避免了不同Web站点占用不同IP地址的相同Web服务端口时需要不同的套接字,从而减少了系统资源的占用,提高了IIS的性能。
听了上面的介绍,您明白了套接字池是怎么回事,在目前的实验环境中,套接字池显然起了负作用,我们要想办法消除套接字池。Win2003安装光盘的支持工具集中有一个工具httpcfg可以帮我们完成这个任务,我们先安装支持工具,在服务器上放入Win2003的安装光盘,如下图所示,在安装光盘的 \Support\Tools目录下,双击suptools.msi
 
启动安装向导。
 
同意最终用户许可协议。
 
回答完软件安装路径等问题后开始安装支持工具了。
 
支持工具很快安装完成。
 
在服务器上依次点击 开始-程序-Windows Support ToolsCommand Prompt,如下图所示,输入httpcfg set iplisten –i 10.1.1.254,这条指令的目的是让IIS只在10.1.1.254上监听端口。
 
重启服务器让配置生效,然后我们在IIS中将默认网站的端口从81改为80,如下图所示,用netstat查看端口状况,我们发现构想已经实验,ISA监听外网80端口,IIS监听内网80端口。
 
对发布规则进行修改,如下图所示,将发布网站从81端口改为80端口。
 
好了,现在测试一下,如下图所示,发布网站工作正常,HTTP套接字池配置成功!
 
总结:两种方法中端口重定向比较简单,如果网站对端口没有特殊要求,推荐使用这种方法,否则只能借助HTTPCFG配置套接字池了。理论上可以考虑让Web侦听器监听其他端口,但其实缺乏可行性。

















本文转自yuelei51CTO博客,原文链接:http://blog.51cto.com/yuelei/87458 ,如需转载请自行联系原作者

相关文章
|
1天前
|
JavaScript 前端开发 Java
web服务器是什么
web服务器是什么
12 0
|
3天前
|
应用服务中间件 网络安全 Apache
构建高性能Web服务器:Nginx vs Apache
【5月更文挑战第16天】Nginx与Apache是两种主流Web服务器,各具优势。Nginx以其轻量级、高并发处理能力和反向代理功能见长,适合大型网站和高并发场景;而Apache以功能丰富、稳定性强闻名,适合企业网站和需要多种Web服务功能的场景。在性能上,Nginx处理高并发更优,Apache则可能在高负载时遭遇瓶颈。在选择时,应根据实际需求权衡。
|
3天前
|
JSON JavaScript API
使用 Node.js 开发一个简单的 web 服务器响应 HTTP post 请求
使用 Node.js 开发一个简单的 web 服务器响应 HTTP post 请求
11 1
|
3天前
|
JSON JavaScript 中间件
使用 Node.js 开发一个简单的 web 服务器响应 HTTP get 请求
使用 Node.js 开发一个简单的 web 服务器响应 HTTP get 请求
9 2
|
4天前
|
负载均衡 Go 调度
使用Go语言构建高性能的Web服务器:协程与Channel的深度解析
在追求高性能Web服务的今天,Go语言以其强大的并发性能和简洁的语法赢得了开发者的青睐。本文将深入探讨Go语言在构建高性能Web服务器方面的应用,特别是协程(goroutine)和通道(channel)这两个核心概念。我们将通过示例代码,展示如何利用协程处理并发请求,并通过通道实现协程间的通信和同步,从而构建出高效、稳定的Web服务器。
|
4天前
【计网·湖科大·思科】实验一 熟悉仿真软件及访问WEB服务器
【计网·湖科大·思科】实验一 熟悉仿真软件及访问WEB服务器
7 0
|
4天前
|
存储 安全 数据安全/隐私保护
Web应用程序的会话管理是一种跟踪和识别特定用户与Web服务器之间交互的技术
【5月更文挑战第12天】Python Web开发中,会话管理用于跟踪用户与服务器交互,如Flask框架提供的内置功能。以下是一个简单示例:安装Flask后,设置应用密钥,通过session读写用户状态。例如,创建一个显示和设置用户名称的Web应用,用户提交的名字将保存在会话中。在生产环境中,应安全存储密钥,如使用环境变量。扩展会话管理可借助第三方库实现更多功能,但可能需更多配置。
214 2
|
4天前
|
缓存 负载均衡 安全
深入探索Nginx高性能Web服务器配置与优化
【5月更文挑战第7天】本文深入探讨了Nginx的配置与优化,重点介绍了基础配置参数如`worker_processes`、`worker_connections`和`keepalive_timeout`,以及优化策略,包括使用epoll事件驱动模型、开启gzip压缩、启用缓存、负载均衡和安全配置。此外,还提到了性能调优工具,如ab、nginx-stats和nmon,以助于提升Nginx的性能和稳定性。
|
3天前
|
存储 安全 前端开发
第五章 跨域资源共享(CORS):现代Web开发中的关键机制
第五章 跨域资源共享(CORS):现代Web开发中的关键机制