apup.com 第4章服器护739 示更易理解。 4)通信从外部 且= 207.110.67.50 处的防火墙发往 Internet ternet 1)使用专用IP19216807的 3)防火墙使用NAT将源主机IP192168.07 网络上的Web服务器 转换为全球IP207.110.67.51 图24-6网络地址翻译示意图 使用NAT,能使内部服务器有一个全球的公共地址,这个地址在其他地方可以访问。理 解这个问题最简单的方法就是认为服务器有两个IP地址,实际上,并不是这样。防火墙翻译 了所有通过防火墙的进站或出站数据包 可设定数据包过滤规则来确定允许什么数据包经过防火墙进入内部服务器,我们最感兴 趣的是接受80端口和443端口(如果使用SSL)的TCP数据包,拒绝其他所有的数据包。甚至可 以禁止ICMP数据包通过防火墙。ICMP数据包可用来检查一台机器是否响应网络的请求。如 果允许ICMP,机器可能在无意中成为攻击其他网络的帮凶 IS和NAT的问题 即使防火墙提供了一个IP的别名地址做为源主机,IIS自身发出的请求(或响应)中的 Content- Location引用仍包含内部的IP地址。显然,这不是我们想要的,但这个问题很容易解 ·打开ⅡS并启动站点的 Properties对话框 切换到HttpHeaders选项卡,在Customhttpheaders区域点击Add 把 Custom header name设成实际的位置(内部IP) 把Customheadervalue设成实际的全球的服务器域(htp/ww.example.com) 用这种方法,将显示真实的全球的IP地址,而不是内部的IP地址。 24.3‖S50的防护 最后,讨论应在本章开头讨论的问题:怎样安全地配置IS。在这一部分,将讨论怎样保 护IS50的安全和建立安全的 Internet网站的有关问题 243.1s的安全配置 尽可能少地安装组件 安装 Windows2000时,将自动地为IS5.0安装一些缺省的项目。从安全的观点考虑, 般不会全部安装它们。在保证满足网站需要的同时尽可能少地安装IS组件。例如,如果不用 FrontPage做网页,就不必安装 Front Page Server Extensions。除非在ASP应用程序中使用CDO 或 CDONT发邮件,否则也不必安装SMTP功能(缺省安装)。 如果已经安装了IS也不要紧。卸载也很容易,打开Add/ Remove program控制面板,选择 Add/ Remove windows Components,然后,卸载不需要的IS组件。示更易理解。 图24-6 网络地址翻译示意图 使用N AT，能使内部服务器有一个全球的公共地址，这个地址在其他地方可以访问。理 解这个问题最简单的方法就是认为服务器有两个 I P地址，实际上，并不是这样。防火墙翻译 了所有通过防火墙的进站或出站数据包。 可设定数据包过滤规则来确定允许什么数据包经过防火墙进入内部服务器，我们最感兴 趣的是接受8 0端口和4 4 3端口(如果使用S S L )的T C P数据包，拒绝其他所有的数据包。甚至可 以禁止I C M P数据包通过防火墙。 I C M P数据包可用来检查一台机器是否响应网络的请求。如 果允许I C M P，机器可能在无意中成为攻击其他网络的帮凶。 I I S和N AT的问题 即使防火墙提供了一个 I P的别名地址做为源主机， I I S自身发出的请求 (或响应 )中的 C o n t e n t - L o c a t i o n引用仍包含内部的 I P地址。显然，这不是我们想要的，但这个问题很容易解 决。 • 打开I I S并启动站点的P r o p e r t i e s对话框。 • 切换到HTTP Headers选项卡，在Custom HTTP Headers区域点击A d d。 • 把Custom Header Name设成实际的位置(内部I P )。 • 把Custom Header Va l u e设成实际的全球的服务器域 ( h t t p : / / w w w. e x a m p l e . c o m )。 用这种方法，将显示真实的全球的 I P地址，而不是内部的I P地址。 24.3 IIS 5.0的防护 最后，讨论应在本章开头讨论的问题：怎样安全地配置 I I S。在这一部分，将讨论怎样保 护IIS 5.0的安全和建立安全的I n t e r n e t网站的有关问题。 24.3.1 IIS 的安全配置 1. 尽可能少地安装组件 安装Windows 2000时，将自动地为 IIS 5.0安装一些缺省的项目。从安全的观点考虑，一 般不会全部安装它们。在保证满足网站需要的同时尽可能少地安装 I I S组件。例如，如果不用 F r o n t P a g e做网页，就不必安装 FrontPage Server Extensions。除非在A S P应用程序中使用C D O 或C D O N T发邮件，否则也不必安装S M T P功能(缺省安装)。 如果已经安装了I I S也不要紧。卸载也很容易，打开 Add/Remove Program控制面板，选择 Add/Remove Windows Components，然后，卸载不需要的I I S组件。 第2 4章 服务器防护计计739 下载 3) 防火墙使用NAT 将源主机IP 192.168. 0.7 转换为全球IP 207.110.67.51 1) 使用专用IP 192.168.0.7 的 网络上的Web 服务器 2) 所有外部通过内部 IP 192.168. 0.254 处的网关 4) 通信从外部 IP 207.110. 67.50 处的防火墙发往Internet