IIS中使用的ISAPI

2019-11-02 16:22:34

字體：大中小

供稿：網(wǎng)友

反向代理是什么？

大家去過落伍者吧？大家可以通過IP查看落伍的IP是在韓國，大家可知道，其實(shí)落伍的數(shù)據(jù)還是在國內(nèi)。如何做到這樣的呢，這就叫反向代理，在韓國的服務(wù)器將http請求發(fā)送到國內(nèi)服務(wù)器的某個http端口，再將回傳的數(shù)據(jù)返回到韓國，發(fā)送至客戶，這樣就完成了網(wǎng)站實(shí)體在國內(nèi)，看起來網(wǎng)站在國外。

這里說一下IIS做反向代理，實(shí)現(xiàn)這個功能ISAPI_Rewrite Full版本可以實(shí)現(xiàn)。下載ISAPI_Rewrite Full，安裝。

在創(chuàng)建一個網(wǎng)站，這個網(wǎng)站可以用你想要的域名進(jìn)行訪問到，或者最直接的方法就是空主機(jī)頭的網(wǎng)站，再在網(wǎng)站下面創(chuàng)建一個httpd.ini文件，內(nèi)容：

復(fù)制代碼代碼如下:

[ISAPI_Rewrite]

RewriteCond Host: www/.my/.me

RewriteProxy (.*) http://my.xxxx.net:81$1 [I,F,U]

其意思是將www.my.me映射到http://my.xxx.net:81，這里可以自由映射到別的端口。

反向代理（Reverse Proxy）方式是指以代理服務(wù)器來接受internet上的連接請求，然后將請求轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)上的服務(wù)器，并將從服務(wù)器上得到的結(jié)果返回給internet上請求連接的客戶端，此時代理服務(wù)器對外就表現(xiàn)為一個服務(wù)器。

　　通常的代理服務(wù)器，只用于代理內(nèi)部網(wǎng)絡(luò)對Internet的連接請求，客戶機(jī)必須指定代理服務(wù)器,并將本來要直接發(fā)送到Web服務(wù)器上的http請求發(fā)送到代理服務(wù)器中。由于外部網(wǎng)絡(luò)上的主機(jī)并不會配置并使用這個代理服務(wù)器，普通代理服務(wù)器也被設(shè)計(jì)為在Internet上搜尋多個不確定的服務(wù)器,而不是針對Internet上多個客戶機(jī)的請求訪問某一個固定的服務(wù)器，因此普通的Web代理服務(wù)器不支持外部對內(nèi)部網(wǎng)絡(luò)的訪問請求。當(dāng)一個代理服務(wù)器能夠代理外部網(wǎng)絡(luò)上的主機(jī)，訪問內(nèi)部網(wǎng)絡(luò)時，這種代理服務(wù)的方式稱為反向代理服務(wù)。此時代理服務(wù)器對外就表現(xiàn)為一個Web服務(wù)器，外部網(wǎng)絡(luò)就可以簡單把它當(dāng)作一個標(biāo)準(zhǔn)的Web服務(wù)器而不需要特定的配置。不同之處在于，這個服務(wù)器沒有保存任何網(wǎng)頁的真實(shí)數(shù)據(jù)，所有的靜態(tài)網(wǎng)頁或者CGI程序，都保存在內(nèi)部的Web服務(wù)器上。因此對反向代理服務(wù)器的攻擊并不會使得網(wǎng)頁信息遭到破壞，這樣就增強(qiáng)了Web服務(wù)器的安全性。

　　反向代理方式和包過濾方式或普通代理方式并無沖突，因此可以在防火墻設(shè)備中同時使用這兩種方式，其中反向代理用于外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)時使用，正向代理或包過濾方式用于拒絕其他外部訪問方式并提供內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問能力。因此可以結(jié)合這些方式提供最佳的安全訪問方式。

　　代理服務(wù)器充當(dāng)服務(wù)器的替身如果您的內(nèi)容服務(wù)器具有必須保持安全的敏感信息，如信用卡號數(shù)據(jù)庫，可在防火墻外部設(shè)置一個代理服務(wù)器作為內(nèi)容服務(wù)器的替身。當(dāng)外部客戶機(jī)嘗試訪問內(nèi)容服務(wù)器時，會將其送到代理服務(wù)器。實(shí)際內(nèi)容位于內(nèi)容服務(wù)器上，在防火墻內(nèi)部受到安全保護(hù)。代理服務(wù)器位于防火墻外部，在客戶機(jī)看來就像是內(nèi)容服務(wù)器。

　　當(dāng)客戶機(jī)向站點(diǎn)提出請求時，請求將轉(zhuǎn)到代理服務(wù)器。然后，代理服務(wù)器通過防火墻中的特定通路，將客戶機(jī)的請求發(fā)送到內(nèi)容服務(wù)器。內(nèi)容服務(wù)器再通過該通道將結(jié)果回傳給代理服務(wù)器。代理服務(wù)器將檢索到的信息發(fā)送給客戶機(jī)，好像代理服務(wù)器就是實(shí)際的內(nèi)容服務(wù)器（參見圖 14-1）。如果內(nèi)容服務(wù)器返回錯誤消息，代理服務(wù)器會先行截取該消息并更改標(biāo)頭中列出的任何 URL，然后再將消息發(fā)送給客戶機(jī)。如此可防止外部客戶機(jī)獲取內(nèi)部內(nèi)容服務(wù)器的重定向 URL。

　　這樣，代理服務(wù)器就在安全數(shù)據(jù)庫和可能的惡意攻擊之間提供了又一道屏障。與有權(quán)訪問整個數(shù)據(jù)庫的情況相對比，就算是僥幸攻擊成功，作惡者充其量也僅限于訪問單個事務(wù)中所涉及的信息。未經(jīng)授權(quán)的用戶無法訪問到真正的內(nèi)容服務(wù)器，因?yàn)榉阑饓ν分辉试S代理服務(wù)器有權(quán)進(jìn)行訪問。

上一篇：IIS下ASP目錄漏洞和IIS分號漏洞(;)的臨時解決方法

下一篇：serv-u FTP 安全設(shè)置簡單版圖文教程