很多小型企业限于资金紧缺,无法让Web服务器得到很好的安全防护,往往就把一台Web服务器孤零零地扔在IDC机房里。这么处理的结果可想而知,Web服务器要么被黑客们当成了练兵场,要么沦为肉鸡,成为下一次网络攻击的踏板,能够毫发无伤全身而退的基本是凤毛麟角。其实,只要在Web服务器上用防火墙保护一下,效果就要好上很多,一般普通的攻击都可以挡住。提到这里,有些老板又要邹眉头了,“防火墙好是好,就是这个成本,太,太高了一些…..”。错!今天我们提供的这种保护Web服务器的方案并不需要额外的硬件投入,只要在Web服务器上安装上软件防火墙ISA2006,利用ISA的Web服务器发布功能就能享受到低投入高安全的乐趣。
我们准备了一台Web服务器SERVER1进行测试,如下图所示,SERVER1有个测试用的网站,我们来看看如何利用ISA2006保护这个可怜的Web服务器。
大致思路是这样的,在Web服务器上安装一块虚拟网卡,将Web站点建在虚拟网卡上,在ISA上用Web发布规则把虚拟网卡上的Web站点发布到物理网卡上。这个过程听起来平淡无奇,为什么还值得大书特书一番呢?关键就是要避免IIS和Web侦听器的冲突。两者都要监听80端口,前面安装ISA时,我们提到过ISA服务器上不应该有进程守护80端口,就是为了避免和Web侦听器冲突。但现在我们不得不考虑如何解决80端口的冲突问题,这篇文章关键之处就在这里。
解决冲突有两种方法,端口重定向和取消HTTP套接字池,具体容我一一道来。但之前先将实验环境搭好,包括创建虚拟网卡,安装ISA2006等。搭好后的实验拓扑如下图所示。
