isa2006_發(fā)布內(nèi)部網(wǎng)站web

1、發(fā)布內(nèi)部網(wǎng)站web很多小型企業(yè)限于資金緊缺，無法讓 Web 服務(wù)器得到很好的安全防護(hù)，往往就把一臺 Web 服務(wù)器孤零零地扔在 IDC 機(jī)房里。這么處理的結(jié)果可想而知， Web 服務(wù)器要么被黑客們當(dāng)成了練兵場，要么淪為肉雞，成為下一次網(wǎng)絡(luò)攻擊的踏板，能夠毫發(fā)無傷全身而退的基本是鳳毛麟角。其實(shí)，只要在 Web 服務(wù)器上用防火墻保護(hù)一下，效果就要好上很多，一般普通的攻擊都可以擋住。提到這里，有些老板又要鄒眉頭了，“防火墻好是好，就是這個(gè)成本，太，太高了一些 . ”。錯(cuò)！今天我們提供的這種保護(hù) Web 服務(wù)器的方案并不需要額外的硬件投入，只要在 Web 服務(wù)器上安裝上軟件防火墻 ISA2006 ，利

2、用 ISA 的 Web 服務(wù)器發(fā)布功能就能享受到低投入高安全的樂趣。 我們準(zhǔn)備了一臺 Web 服務(wù)器 SERVER1 進(jìn)行測試，如下圖所示， SERVER1 有個(gè)測試用的網(wǎng)站，我們來看看如何利用 ISA2006 保護(hù)這個(gè)可憐的 Web 服務(wù)器。大致思路是這樣的，在 Web 服務(wù)器上安裝一塊虛擬網(wǎng)卡，將 Web 站點(diǎn)建在虛擬網(wǎng)卡上，在 ISA 上用 Web 發(fā)布規(guī)則把虛擬網(wǎng)卡上的 Web 站點(diǎn)發(fā)布到物理網(wǎng)卡上。 這個(gè)過程聽起來平淡無奇，為什么還值得大書特書一番呢？關(guān)鍵就是要避免 IIS 和 Web 偵聽器的沖突 。兩者都要監(jiān)聽端口，前面安裝 ISA 時(shí)，我們提到過 ISA 服務(wù)器上不應(yīng)該有進(jìn)程守

3、護(hù) 80 端口，就是為了避免和 Web 偵聽器沖突。但現(xiàn)在我們不得不考慮如何解決 80 端口的沖突問題，這篇文章關(guān)鍵之處就在這里。 解決沖突有兩種方法，端口重定向和取消 HTTP 套接字 池，具體容我一一道來。但之前先將實(shí)驗(yàn)環(huán)境搭好，包括創(chuàng)建虛擬網(wǎng)卡，安裝 ISA2006 等。搭好后的實(shí)驗(yàn)拓?fù)淙缦聢D所示。一 安裝虛擬網(wǎng)卡 要在 Web 服務(wù)器上安裝 ISA ，首先要有兩塊以上的網(wǎng)卡，這倒用不著專門去買一塊新網(wǎng)卡，我們在 Web 服務(wù)器上添加一塊虛擬網(wǎng)卡就可以了。微軟在系統(tǒng)中提供了 Loopback 回路網(wǎng)卡， Loopback 網(wǎng)卡就是能提供協(xié)議綁定的虛擬網(wǎng)卡，我們只要添加一塊 Loopbac

4、k 網(wǎng)卡就可以了。在 Web 服務(wù)器的控制面板中選擇“添加硬件”，如下圖所示，出現(xiàn)添加硬件向?qū)?。選擇硬件已連接好。選擇“添加新的硬件設(shè)備”。選擇手工添加硬件。硬件類型為網(wǎng)絡(luò)適配器。網(wǎng)卡型號要選擇微軟公司的 Loopback 網(wǎng)卡。安裝完 Loopback 網(wǎng)卡后，如下圖所示，計(jì)算機(jī)中有了兩塊網(wǎng)卡， Loopback 網(wǎng)卡的 IP 地址為 10.1.1 .254 ， ；物理網(wǎng)卡為 54 ，雖然添加的是一塊虛擬網(wǎng)卡，但在 ISA 看來和物理網(wǎng)卡并沒有區(qū)別二 安裝 ISA2006 既然 Web 服務(wù)器上已經(jīng)有了兩塊網(wǎng)卡，那

5、安裝 ISA2006 就沒有問題了。 ISA2006 的安裝過程就不具體介紹了，前面的博文已經(jīng)提及，大家只要注意兩點(diǎn)： 1）   ISA 內(nèi)網(wǎng)的地址范圍是   ，和虛擬網(wǎng)卡關(guān)聯(lián)。 2）   ISA 安裝之前要關(guān)閉 IIS 網(wǎng)站，如下圖所示，因?yàn)槲覀兡壳斑€沒有找到解決沖突的辦法，因此只能先把站點(diǎn)關(guān)閉。ISA2006 安裝完畢，如下圖所示，好了，環(huán)境已經(jīng)搭好，我們要開始了！8三 端口重定向 我們先考慮簡單的解決方法，如果 Web 站點(diǎn)不放在 80 端口，而放在其他端口如 81 ，這樣就不會和 Web 偵聽器有沖突了。發(fā)布規(guī)則

6、也恰好支持端口重定向，因此這個(gè)解決方法簡單易行，如果網(wǎng)站對 80 端口沒有特殊要求，建議用此方法解決問題。 首先我們修改網(wǎng)站端口，如下圖所示，在默認(rèn)站點(diǎn)的屬性中將 TCP 端口改為 81 。然后就可以啟動 Web 站點(diǎn)了，如下圖所示，右鍵點(diǎn)擊默認(rèn)網(wǎng)站，選擇“啟動”。接下來要在服務(wù)器上創(chuàng)建一條 Web 發(fā)布規(guī)則，如下圖所示，新建一條網(wǎng)站發(fā)布規(guī)則。為發(fā)布規(guī)則取個(gè)名字。當(dāng)訪問請求匹配發(fā)布規(guī)則時(shí)允許訪問。發(fā)布單個(gè)網(wǎng)站。此次發(fā)布不使用證書加密。被發(fā)布的網(wǎng)站是 10.1.1 .254 ，注意，目前 ISA 認(rèn)為被發(fā)布的服務(wù)器在 54 的 80 端口，其實(shí)是在 81 端口，我們過一會要修改這

7、個(gè)參數(shù)。發(fā)布整個(gè)網(wǎng)站，從根目錄開始。對訪問請求的格式不作任何限制，域名或 IP 均可。目前還沒有 Web 偵聽器，選擇“新建”。為偵聽器取個(gè)名字。偵聽器不對訪問請求加密。偵聽器負(fù)責(zé)監(jiān)聽外網(wǎng)。不對用戶進(jìn)行身份驗(yàn)證。不使用 SSO 單一登錄設(shè)置。選擇使用新創(chuàng)建的 Web 偵聽器。被發(fā)布的服務(wù)器不要求身份驗(yàn)證。發(fā)布規(guī)則適用于所有用戶。如下圖所示，發(fā)布規(guī)則已經(jīng)創(chuàng)建，只是此規(guī)則中認(rèn)為發(fā)布的網(wǎng)站在 10.1.1 .254 的 80 端口，我們要修改端口。切換到發(fā)布規(guī)則屬性的“橋接”標(biāo)簽，如下圖所示，勾選“將請求重定向到 HTTP 端口”，端口值填寫 81 。好了，我們來測試一下發(fā)布規(guī)則，如下圖所示，客戶機(jī)

8、訪問 ISA 的外網(wǎng)地址，訪問到了內(nèi)網(wǎng)網(wǎng)卡 81 端口上的網(wǎng)站，發(fā)布 ISA 服務(wù)器上的網(wǎng)站成功了！四 配置 HTTP 套接字池 端口重定向?yàn)槲覀兲峁┝艘环N簡單的解決方法，但它改變了發(fā)布網(wǎng)站的端口，如果某些網(wǎng)站出于某種原因必須在 80 端口，那我們就必須想想其他辦法了。我們能否讓 IIS 監(jiān)聽內(nèi)網(wǎng)的 80 端口， Web 偵聽器監(jiān)聽外網(wǎng)的 80 端口，這樣不就可以和平共處了？有些朋友立刻想到了 IIS 中可以把網(wǎng)站綁定到一個(gè)指定的 IP 上，他們說干就干，立即動手，如下圖所示，在 IIS 中將網(wǎng)站綁定到了 10.1.1 .254 上，這么做是否能如愿以償呢？如下圖所示，我們用 netstat

9、檢查端口監(jiān)聽情況，如下圖所示，發(fā)現(xiàn) IIS 監(jiān)聽的可不止 10.1.1 .254 的 81 端口，而是在所有 IP 的 81 端口都進(jìn)行監(jiān)聽，這是為什么呢？IIS 的這種特性稱為 Socket Pooling （套接字池）。套接字（ Socket ）是 IP 地址和端口的組合，用于進(jìn)行網(wǎng)絡(luò)通訊，任何應(yīng)用程序需要和網(wǎng)絡(luò)上的其他應(yīng)用程序進(jìn)行通訊時(shí)，必須具有相應(yīng)的套接字。例如 Web 站點(diǎn)偵聽客 戶的 HTTP 請求，那么它就綁定在相應(yīng)的套接字（ IP 地址和端口，例如端口為標(biāo)準(zhǔn)的 TCP 80 ）上。在 IIS 4.0 中，微軟發(fā)現(xiàn)當(dāng)多個(gè) Web 站點(diǎn)分別通過不同的套接字綁定在不同的 IP 地址時(shí)

10、，會占用較多的系統(tǒng)資源，于是在 IIS 5.0 中引入了 Socket Pool （套接字池）這個(gè)概念。它的工作原理是這樣的： IIS 啟動時(shí)會將所有 Web 站點(diǎn)配置的服務(wù)端口綁定在計(jì)算機(jī)的所有 IP 地址上，而不管這些 IP 地址是否分配給了這些 Web 站點(diǎn)， IIS 把綁定的這些套接字稱為套接字池；然后 IIS 再將套接字池中的套接字根據(jù) Web 站點(diǎn)的配置分配到相應(yīng)的 Web 站點(diǎn)，這樣 避免了不同 Web 站點(diǎn)占用不同 IP 地址的相同 Web 服務(wù)端口時(shí)需要不同的套接字，從而減少了系統(tǒng)資源的占用，提高了 IIS 的性能。 聽了上面的介紹，您明白了套接字池是怎么回事，在目前的實(shí)驗(yàn)環(huán)

11、境中，套接字池顯然起了負(fù)作用，我們要想辦法消除套接字池。 Win2003 安裝光盤的支持工具集中有一個(gè)工具 httpcfg 可以幫我們完成這個(gè)任務(wù)，我們先安裝支持工具，在服務(wù)器上放入 Win2003 的安裝光盤，如下圖所示，在安裝光盤的 SupportTools 目錄下，雙擊 suptools.msi 。 啟動安裝向?qū)АＭ庾罱K用戶許可協(xié)議。回答完軟件安裝路徑等問題后開始安裝支持工具了。支持工具很快安裝完成。在服務(wù)器上依次點(diǎn)擊 開始程序 Windows Support Tools Command Prompt ，如下圖所示，輸入 httpcfg set iplisten i 54 ，這條指令的目的是讓 IIS 只在 54 上監(jiān)聽端口。重啟服務(wù)器讓配置生效，然后我們在 IIS 中將默認(rèn)網(wǎng)站的端口從 81 改為 80 ，如下圖所示，用 netstat 查看端口狀況，我們發(fā)現(xiàn)構(gòu)想已經(jīng)實(shí)驗(yàn)， ISA 監(jiān)聽外網(wǎng) 80 端口， IIS 監(jiān)聽內(nèi)網(wǎng)