[转]用ISA来保护web服务器

时间: 2009-07-01 / 分类: 防火墙 / 浏览次数: 4,910 / 0个评论 发表评论

我们准备了一台Web服务器SERVER1进行测试,如下图所示,SERVER1有个测试用的网站,我们来看看如何利用ISA2006保护这个可怜的Web服务器。

clip_image002

大致思路是这样的,在Web服务器上安装一块虚拟网卡,将Web站点建在虚拟网卡上,在ISA上用Web发布规则把虚拟网卡上的Web站点发布到物理网卡上。这个过程听起来平淡无奇,为什么还值得大书特书一番呢?关键就是要避免IIS和Web侦听器的冲突。两者都要监听80端口,前面安装ISA时,我们提到过ISA服务器上不应该有进程守护80端口,就是为了避免和Web侦听器冲突。但现在我们不得不考虑如何解决80端口的冲突问题,这篇文章关键之处就在这里。

解决冲突有两种方法,端口重定向和取消HTTP套接字池,具体容我一一道来。但之前先将实验环境搭好,包括创建虚拟网卡,安装ISA2006等。搭好后的实验拓扑如下图所示。

clip_image003

安装虚拟网卡

要在Web服务器上安装ISA,首先要有两块以上的网卡,这倒用不着专门去买一块新网卡,我们在Web服务器上添加一块虚拟网卡就可以了。微软在系统中提供了Loopback回路网卡,Loopback网卡就是能提供协议绑定的虚拟网卡,我们只要添加一块Loopback网卡就可以了。在Web服务器的控制面板中选择“添加硬件”,如下图所示,出现添加硬件向导。

clip_image005

选择硬件已连接好。

clip_image007

选择“添加新的硬件设备”。

clip_image009

选择手工添加硬件。

clip_image011

硬件类型为网络适配器。

clip_image013

网卡型号要选择微软公司的Loopback网卡。

clip_image015

安装完Loopback网卡后,如下图所示,计算机中有了两块网卡,Loopback网卡的IP地址为10.1.1.254,255.255.255.0;物理网卡为192.168.1.254 255.255.255.0,虽然添加的是一块虚拟网卡,但在ISA看来和物理网卡并没有区别。

clip_image017

安装ISA2006

既然Web服务器上已经有了两块网卡,那安装ISA2006就没有问题了。ISA2006的安装过程就不具体介绍了,前面的博文已经提及,大家只要注意两点:

1) ISA内网的地址范围是 10.1.1.0 255.255.255.0,和虚拟网卡关联。

2) ISA安装之前要关闭IIS网站,如下图所示,因为我们目前还没有找到解决冲突的办法,因此只能先把站点关闭。

clip_image019

ISA2006安装完毕,如下图所示,好了,环境已经搭好,我们要开始了!

clip_image021

端口重定向

我们先考虑简单的解决方法,如果Web站点不放在80端口,而放在其他端口如81,这样就不会和Web侦听器有冲突了。发布规则也恰好支持端口重定向,因此这个解决方法简单易行,如果网站对80端口没有特殊要求,建议用此方法解决问题。

首先我们修改网站端口,如下图所示,在默认站点的属性中将TCP端口改为81。

clip_image023

然后就可以启动Web站点了,如下图所示,右键点击默认网站,选择“启动”。

clip_image025

接下来要在服务器上创建一条Web发布规则,如下图所示,新建一条网站发布规则。

clip_image027

为发布规则取个名字。

clip_image029

当访问请求匹配发布规则时允许访问。

clip_image031

发布单个网站。

clip_image033

此次发布不使用证书加密。

clip_image035

被发布的网站是10.1.1.254,注意,目前ISA认为被发布的服务器在10.1.1.254的80端口,其实是在81端口,我们过一会要修改这个参数。

clip_image037

发布整个网站,从根目录开始。

clip_image039

对访问请求的格式不作任何限制,域名或IP均可。

clip_image041

目前还没有Web侦听器,选择“新建”。

clip_image043

为侦听器取个名字。

clip_image045

侦听器不对访问请求加密。

clip_image047

侦听器负责监听外网。

clip_image049

不对用户进行身份验证。

clip_image051

不使用SSO单一登录设置。

clip_image053

选择使用新创建的Web侦听器。

clip_image055

被发布的服务器不要求身份验证。

clip_image057

发布规则适用于所有用户。

clip_image059

如下图所示,发布规则已经创建,只是此规则中认为发布的网站在10.1.1.254的80端口,我们要修改端口。

clip_image061

切换到发布规则属性的“桥接”标签,如下图所示,勾选“将请求重定向到HTTP端口”,端口值填写81。

clip_image063

好了,我们来测试一下发布规则,如下图所示,客户机访问ISA的外网地址,访问到了内网网卡81端口上的网站,发布ISA服务器上的网站成功了!

clip_image065

四 配置HTTP套接字池

端口重定向为我们提供了一种简单的解决方法,但它改变了发布网站的端口,如果某些网站出于某种原因必须在80端口,那我们就必须想想其他办法了。我们能否让IIS监听内网的80端口,Web侦听器监听外网的80端口,这样不就可以和平共处了?有些朋友立刻想到了IIS中可以把网站绑定到一个指定的IP上,他们说干就干,立即动手,如下图所示,在IIS中将网站绑定到了10.1.1.254上,这么做是否能如愿以偿呢?

clip_image067

如下图所示,我们用netstat检查端口监听情况,如下图所示,发现IIS监听的可不止10.1.1.254的81端口,而是在所有IP的81端口都进行监听,这是为什么呢?clip_image069

IIS的这种特性称为Socket Pooling(套接字池)。套接字(Socket )是IP地址和端口的组合,用于进行网络通讯,任何应用程序需要和网络上的其他应用程序进行通许时,必须具有相应的套接字。例如Web站点侦听客 户的HTTP请求,那么它就绑定在相应的套接字(IP地址和端口,例如端口为标准的TCP 80)上。在IIS 4.0中,微软发现当多个Web站点分别通过不同的套接字绑定在不同的IP地址时,会占用较多的系统资源,于是在IIS 5.0中引入了Socket Pool(套接字池)这个概念。它的工作原理是这样的:IIS启动时会将所有Web站点配置的服务端口绑定在计算机的所有IP地址上,而不管这些IP地址是否分配给了这些 Web站点,IIS把绑定的这些套接字称为套接字池;然后IIS再将套接字池中的套接字根据Web站点的配置分配到相应的Web站点,这样 避免了不同Web站点占用不同IP地址的相同Web服务端口时需要不同的套接字,从而减少了系统资源的占用,提高了IIS的性能。

听了上面的介绍,您明白了套接字池是怎么回事,在目前的实验环境中,套接字池显然起了负作用,我们要想办法消除套接字池。Win2003安装光盘的支持工具集中有一个工具httpcfg可以帮我们完成这个任务,我们先安装支持工具,在服务器上放入Win2003的安装光盘,如下图所示,在安装光盘的 \Support\Tools目录下,双击suptools.msi。

clip_image071

启动安装向导。

clip_image073

同意最终用户许可协议。

clip_image075

回答完软件安装路径等问题后开始安装支持工具了。

clip_image077

支持工具很快安装完成。

clip_image079

在服务器上依次点击 开始-程序-Windows Support Tools-Command Prompt,如下图所示,输入httpcfg set iplisten –i 10.1.1.254,这条指令的目的是让IIS只在10.1.1.254上监听端口。

clip_image081

重启服务器让配置生效,然后我们在IIS中将默认网站的端口从81改为80,如下图所示,用netstat查看端口状况,我们发现构想已经实验,ISA监听外网80端口,IIS监听内网80端口。

clip_image083

对发布规则进行修改,如下图所示,将发布网站从81端口改为80端口。

clip_image085

好了,现在测试一下,如下图所示,发布网站工作正常,HTTP套接字池配置成功!

clip_image087

总结:两种方法中端口重定向比较简单,如果网站对端口没有特殊要求,推荐使用这种方法,否则只能借助HTTPCFG配置套接字池了。理论上可以考虑让Web侦听器监听其他端口,但其实缺乏可行性。

发表评论

您的昵称 *

您的邮箱 *

您的网站