使用ISA Server保护内部的web服务器

河北  王春海
现在许多网站经常遭受***:有的主页被改,有的网站所在的服务器被***:被添加管理员帐户、系统被植入***或***程序等。造成网站以及网站所有服务器被***的主要原因有:
操作系统有漏洞、网站代码有漏洞、网站所使用的数据库有漏洞、存在弱密码等、服务器上运行的某个服务软件(例如有的版本的Serv-U软件)有漏洞。
上面的任何一个漏洞,都可能被***者探测到并利用一些“现成”的针对某个漏洞的程序对服务器***或者达到修改主页的目的。
一些网络管理员,非常头疼这个问题:自己管理的服务器,已经及时的打了补丁,并且更新了杀毒软件病毒库,也设置了非常“强”的密码,但对网页代码不熟悉,网站或服务器被***后,只是被动的恢复网站,不能从根本上解决问题。解决问题的根本方法需要检查网站的代码,修补有漏洞的代码,但在很多情况下,网站的代码是很不容易被修改的。这时候,可以采用一个“折衷”的办法,就是用ISA Server中的“HHTP筛选器”功能,保护Web网站及网站所在的服务器。为了叙述方便,我们以下页的图1为例进行说明。一般情况下,web服务器直接连接到Internet(或者采用路由器进行端口转发或重定向到Internet),假设此web服务器的公网地址是202.206.197.224,则改进后,在web服务器与Internet之间增加一个有双网卡的服务器,这台服务器一块网卡设置为原来Web服务器的IP地址(202.206.197.224)连接到Internet,另一块网卡设置一个内网地址(假设为192.168.10.20/24)与web服务器相连,并将web服务器的地址改为192.168.10.10/24,设置网关为192.168.10.20。然后在双网卡的服务器上安装ISA Server并创建一条Web服务器发布规则,发布192.168.10.10的web网站到Internet。有关ISA Server的安装、使用可以参看其他资料,本文主要介绍发布web服务器之后的规则设置。
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /><?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
图1  web服务器改造前后
创建web服务器发布规则后,用鼠标右键单击该策略,从弹出的快捷菜单中选择“配置HTTP(如图2所示)”
图2 配置HTTP过滤
在“方法”选项卡中,在“指定HTTP方法要执行的操作”下拉列表中选择“只允许指定的方法” ,单击“添加”按钮,添加GET和POST方法(注意,都为大写)。如果该Web服务器只允许Internet上的用户浏览,而网站的更新都是在内网或者通过FTP上传的方式更新,则只添加GET方法即可,如图3所示。
图3 允许指定的方法
在“签名”选项卡中,单击“添加”按钮,在“查找范围”下拉列表中选择“请求URL”,在“签名”中添加要过滤的字符,例如cmd.exe,然后在“名称”文本框中指定一个与此对应的名称,如图4所示。
图4  添加过滤的签名
然后参照图4的方法,添加如下的URL签名:
exec、eval、truacate、dir、and、insert、1=1、1=2等签名,另外,你也可以在网上查找一些相关的资料,就是一些漏洞扫描工具、***工具很容易使用的一些***关键字。设置之后如图5所示。
图5  配置签名
设置之后,单击ISA Server控制台上的“应用”按钮,让设置生效。
采用此种方法后,可以在很大一部分上,防止网站被***,但事物是相对的,没有任何一个防火墙能百分百的保护网络。这需要我们要查看相关的一些资料,及时更新防火墙的设置进行应对。另外,在采用签名后,要测试被ISA Server保护的网站,查看一下所有的网页通否被打开,如果ISA Server过滤的太严格,可以在图5的“签名”中删除相关的签名。在采用图3的方法后,如果只使用GET方法(注意大小写),则外网中任何尝试更新网站的数据(不管是正常还是不正常的)都会被中止,这时候一些网站中的留言板、论坛将不能使用。对于这种情况,可以把论坛、留言板与网站分开,用ISA Server另外发布一个留言板或论坛网站,对这个新发布的网站采取“宽容”的策略,把严格的策略应用于需要“重点保护”的网站上。
 
只允许GET方法后,网站的数据更新,可以在内网直接更新。这在一些政府网站,或者网站就使用自己单位的服务器而需要将网站发布到Internet上的用户,尤其适合。

使用ISA Server保护内部的web服务器相关推荐

  1. 在ISA2006以SSL-TO-HTTP方式发布内部的WEB服务器(二)

    接上一篇在ISA2006以SSL-TO-HTTP方式发布内部的WEB服务器(一) 在此(二)部分,主要分为三大部分,一是建立ISA主机与内部WEB服务器HTTP连接:二是建立ISA主机与WEB客户端之 ...

  2. 利用LVS(Linux Virtual Server)系统实现Web服务器集群的负载均衡

    利用LVS(Linux Virtual Server)系统实现Web服务器集群的负载均衡 LVS系统结构与特点: 1. Linux Virtual Server:简称LVS.是基于Linux服务器集群 ...

  3. 在ISA2006以SSL-TO-HTTP方式发布内部的WEB服务器(一)

    一.为何做此实验,写此文      公司有一台OA服务器,使用的是厂商集成安装模式(windows+php+apache+mysql),并对外开放WEB访问.此种情况下,面临几个问题:      一是 ...

  4. lotus domino_保护Lotus Domino Web服务器

    lotus domino 许多客户将Lotus Domino用于其Intranet或Internet站点. 在这些环境中保护Domino服务器对于确保数据的完整性和网站(尤其是Internet)的可用 ...

  5. Win2003 Server 安全的个人Web服务器

    Win2003 Server的安全性较之Win2K确实有了很大的提高,但是用Win2003 Server作为服务器是否就真的安全了?如何才能打造一个安全的个人Web服务器. 如何才能打造一个安全的个人 ...

  6. 保护你的Web服务器 iptables防火墙脚本全解读

    本文假设你已经对iptables有基本的了解,否则请先阅读iptables入门. 在我们的Web服务器上,系统的默认策略是INPUT为DROP,OUTPUT:FORWARD链为ACCEPT,DROP则 ...

  7. Windows Server 2012 服务器之Web服务器

    今天给大家介绍一下Web服务器,Web服务器,也可以说是IIS服务,是发布网站所必不可少的服务.今天就给大家详细说一说这两个服务. 在介绍之前,先说一下今天的实验环境,本次实验一共需要两台服务器,第一 ...

  8. 服务器_Windows Server 2012 服务器之Web服务器

    今天给大家介绍一下Web服务器,Web服务器,也可以说是IIS服务,是发布网站所必不可少的服务.今天就给大家详细说一说这两个服务. 在介绍之前,先说一下今天的实验环境,本次实验一共需要两台服务器,第一 ...

  9. windows服务器署站点,Windows Server配置学习心得-web服务器的搭建和部署,配置一个BLOG站点...

    上星期我们讲了关于windows服务器上常用服务的配置. 为了巩固大家的学习成果,制定了以下一个练习. 要求如下: 1.在虚拟机上,安装一台windows的服务器 4.客户机使用域账号登录 5.svn ...

最新文章

  1. Linux下du加强版,灵活快速定位硬盘使用情况,无需安装
  2. linux redis release.c:37:10: fatal error: release.h: No such file or directory
  3. C语言字符像素,返回字符串宽度 (以像素为单位)
  4. VS生成Cordova for Android应用之Gradle
  5. javascript中的call()和apply()方法 - 原创实例
  6. 信息学奥赛一本通(1218:取石子游戏)
  7. qmake:未找到命令
  8. 顶级赛事,大神现身,速来观战
  9. 《C专家编程》学习笔记(对链接的思考)
  10. Google图片url搜索测试
  11. Anaconda多环境python管理(创建、删除、复制环境)
  12. 用java完成身高预测
  13. !include: could not find: “nsProcessW.nsh“
  14. 后端返回的类型都有哪些 如何处理这些数据类型?
  15. 硬中断、软中断、中断上半部、中断下半部
  16. js:contains函数
  17. 非常好用的友链查询工具
  18. 【ShapeWorks】2. 工作流的三板斧 - How to Groom Your Dataset?
  19. 如何把图片批量转为jpg格式?
  20. 手把手教你让台式机通过笔记本连手机的热点或者是WiFi上网的方法

热门文章

  1. ios7以后隐藏状态栏
  2. Android——DDMS简单介绍
  3. DKIM标准:对付网络钓鱼的新武器
  4. Spring事务—方法调用事务回滚
  5. 我是如何开发一个项目的
  6. 程序员听歌该有的样子
  7. 领域驱动设计(DDD)相关架构介绍与演变过程分析(图文详解)
  8. Linux struct itimerval用法
  9. 在Golang中使用Protobuf
  10. Laravel测试驱动开发--反向单元测试