让你的
Web
服务器不再裸奔
很多小型企业限于资金紧缺,无法让Web服务器得到很好的安全防护,往往就把一台Web服务器孤零零地扔在IDC机房里。这么处理的结果可想而知,Web服务器要么被黑客们当成了练兵场,要么沦为肉鸡,成为下一次网络攻击的踏板,能够毫发无伤全身而退的基本是凤毛麟角。其实,只要在Web服务器上用防火墙保护一下,效果就要好上很多,一般普通的攻击都可以挡住。提到这里,有些老板又要邹眉头了,“防火墙好是好,就是这个成本,太,太高了一些…..”。错!今天我们提供的这种保护Web服务器的方案并不需要额外的硬件投入,只要在Web服务器上安装上软件防火墙ISA2006,利用ISA的Web服务器发布功能就能享受到低投入高安全的乐趣。
我们准备了一台Web服务器SERVER1进行测试,如下图所示,SERVER1有个测试用的网站,我们来看看如何利用ISA2006保护这个可怜的Web服务器。
大致思路是这样的,在Web服务器上安装一块虚拟网卡,将Web站点建在虚拟网卡上,在ISA上用Web发布规则把虚拟网卡上的Web站点发布到物理网卡上。这个过程听起来平淡无奇,为什么还值得大书特书一番呢?关键就是要避免IIS和Web侦听器的冲突。两者都要监听80端口,前面安装ISA时,我们提到过ISA服务器上不应该有进程守护80端口,就是为了避免和Web侦听器冲突。但现在我们不得不考虑如何解决80端口的冲突问题,这篇文章关键之处就在这里。
解决冲突有两种方法,端口重定向和取消HTTP套接字池,具体容我一一道来。但之前先将实验环境搭好,包括创建虚拟网卡,安装ISA2006等。搭好后的实验拓扑如下图所示。
一
安装虚拟网卡
要在Web服务器上安装ISA,首先要有两块以上的网卡,这倒用不着专门去买一块新网卡,我们在Web服务器上添加一块虚拟网卡就可以了。微软在系统中提供了Loopback回路网卡,Loopback网卡就是能提供协议绑定的虚拟网卡,我们只要添加一块Loopback网卡就可以了。在Web服务器的控制面板中选择“添加硬件”,如下图所示,出现添加硬件向导。
选择硬件已连接好。
选择“添加新的硬件设备”。
选择手工添加硬件。
硬件类型为网络适配器。
网卡型号要选择微软公司的Loopback网卡。
安装完Loopback网卡后,如下图所示,计算机中有了两块网卡,Loopback网卡的IP地址为10.1.1.254,255.255.255.0;物理网卡为192.168.1.254 255.255.255.0,虽然添加的是一块虚拟网卡,但在ISA看来和物理网卡并没有区别。
二
安装
ISA2006
既然Web服务器上已经有了两块网卡,那安装ISA2006就没有问题了。ISA2006的安装过程就不具体介绍了,前面的博文已经提及,大家只要注意两点:
1)
ISA内网的地址范围是 10.1.1.0 255.255.255.0,和虚拟网卡关联。
2)
ISA安装之前要关闭IIS网站,如下图所示,因为我们目前还没有找到解决冲突的办法,因此只能先把站点关闭。
ISA2006安装完毕,如下图所示,好了,环境已经搭好,我们要开始了!
三
端口重定向
我们先考虑简单的解决方法,如果Web站点不放在80端口,而放在其他端口如81,这样就不会和Web侦听器有冲突了。发布规则也恰好支持端口重定向,因此这个解决方法简单易行,如果网站对80端口没有特殊要求,建议用此方法解决问题。
首先我们修改网站端口,如下图所示,在默认站点的属性中将TCP端口改为81。
然后就可以启动Web站点了,如下图所示,右键点击默认网站,选择“启动”。
接下来要在服务器上创建一条Web发布规则,如下图所示,新建一条网站发布规则。
为发布规则取个名字。
当访问请求匹配发布规则时允许访问。
发布单个网站。
此次发布不使用证书加密。
被发布的网站是10.1.1.254,注意,目前ISA认为被发布的服务器在10.1.1.254的80端口,其实是在81端口,我们过一会要修改这个参数。
发布整个网站,从根目录开始。
对访问请求的格式不作任何限制,域名或IP均可。
目前还没有Web侦听器,选择“新建”。
为侦听器取个名字。
侦听器不对访问请求加密。
侦听器负责监听外网。
不对用户进行身份验证。
不使用SSO单一登录设置。
选择使用新创建的Web侦听器。
被发布的服务器不要求身份验证。
发布规则适用于所有用户。
如下图所示,发布规则已经创建,只是此规则中认为发布的网站在10.1.1.254的80端口,我们要修改端口。
切换到发布规则属性的“桥接”标签,如下图所示,勾选“将请求重定向到HTTP端口”,端口值填写81。
好了,我们来测试一下发布规则,如下图所示,客户机访问ISA的外网地址,访问到了内网网卡81端口上的网站,发布ISA服务器上的网站成功了!
四
配置
HTTP
套接字池
端口重定向为我们提供了一种简单的解决方法,但它改变了发布网站的端口,如果某些网站出于某种原因必须在80端口,那我们就必须想想其他办法了。我们能否让IIS监听内网的80端口,Web侦听器监听外网的80端口,这样不就可以和平共处了?有些朋友立刻想到了IIS中可以把网站绑定到一个指定的IP上,他们说干就干,立即动手,如下图所示,在IIS中将网站绑定到了10.1.1.254上,这么做是否能如愿以偿呢?
如下图所示,我们用netstat检查端口监听情况,如下图所示,发现IIS监听的可不止10.1.1.254的81端口,而是在所有IP的81端口都进行监听,这是为什么呢?
IIS的这种特性称为Socket Pooling(套接字池)。套接字(Socket )是IP地址和端口的组合,用于进行网络通讯,任何应用程序需要和网络上的其他应用程序进行通讯时,必须具有相应的套接字。例如Web站点侦听客 户的HTTP请求,那么它就绑定在相应的套接字(IP地址和端口,例如端口为标准的TCP 80)上。在IIS 4.0中,微软发现当多个Web站点分别通过不同的套接字绑定在不同的IP地址时,会占用较多的系统资源,于是在IIS 5.0中引入了Socket Pool(套接字池)这个概念。它的工作原理是这样的:IIS启动时会将所有Web站点配置的服务端口绑定在计算机的所有IP地址上,而不管这些IP地址是否分配给了这些 Web站点,IIS把绑定的这些套接字称为套接字池;然后IIS再将套接字池中的套接字根据Web站点的配置分配到相应的Web站点,这样 避免了不同Web站点占用不同IP地址的相同Web服务端口时需要不同的套接字,从而减少了系统资源的占用,提高了IIS的性能。
听了上面的介绍,您明白了套接字池是怎么回事,在目前的实验环境中,套接字池显然起了负作用,我们要想办法消除套接字池。Win2003安装光盘的支持工具集中有一个工具httpcfg可以帮我们完成这个任务,我们先安装支持工具,在服务器上放入Win2003的安装光盘,如下图所示,在安装光盘的 \Support\Tools目录下,双击suptools.msi。
启动安装向导。
同意最终用户许可协议。
回答完软件安装路径等问题后开始安装支持工具了。
支持工具很快安装完成。
在服务器上依次点击 开始-程序-Windows Support Tools-Command Prompt,如下图所示,输入httpcfg set iplisten –i 10.1.1.254,这条指令的目的是让IIS只在10.1.1.254上监听端口。
重启服务器让配置生效,然后我们在IIS中将默认网站的端口从81改为80,如下图所示,用netstat查看端口状况,我们发现构想已经实验,ISA监听外网80端口,IIS监听内网80端口。
对发布规则进行修改,如下图所示,将发布网站从81端口改为80端口。
好了,现在测试一下,如下图所示,发布网站工作正常,HTTP套接字池配置成功!
总结:两种方法中端口重定向比较简单,如果网站对端口没有特殊要求,推荐使用这种方法,否则只能借助HTTPCFG配置套接字池了。理论上可以考虑让Web侦听器监听其他端口,但其实缺乏可行性。
本文转自yuelei51CTO博客,原文链接:http://blog.51cto.com/yuelei/87458 ,如需转载请自行联系原作者
