虛擬服務(wù)器布局及安全措施
IIS服務(wù)器的首要考慮因素是群集�����、IIS和可用的硬件資源�。安全也是最受關(guān)注的問(wèn)題之一�。據(jù)我所知,沒(méi)有人指出如何執(zhí)行監(jiān)管程序逃避攻擊�����,但因?yàn)镮IS是面向網(wǎng)絡(luò)的應(yīng)用����,而您的IIS服務(wù)器又直接接觸互聯(lián)網(wǎng)��,所以最終能開(kāi)發(fā)出此類(lèi)攻擊這種說(shuō)法貌似合理�����。
將IIS服務(wù)器放在虛擬化主機(jī)中可以增加安全性�,但并不能完全防范逃避攻擊�。除了虛擬化主機(jī),還有其他一些安全措施可以采取�����,例如:
1. 配置防火墻和入侵檢測(cè)系統(tǒng)(IDS)來(lái)監(jiān)控網(wǎng)絡(luò)流量和檢測(cè)異?����;顒?dòng)��。
2. 更新和修補(bǔ)操作系統(tǒng)��、應(yīng)用程序和瀏覽器等軟件的漏洞和安全問(wèn)題�����。
3. 加密敏感數(shù)據(jù)和通信,使用SSL / TLS協(xié)議等安全協(xié)議保護(hù)數(shù)據(jù)傳輸����。
4. 實(shí)施訪問(wèn)控制和權(quán)限管理策略,確保只有授權(quán)人員能夠訪問(wèn)敏感信息和資源���。
5. 定期備份數(shù)據(jù)并測(cè)試災(zāi)難恢復(fù)計(jì)劃����,以應(yīng)對(duì)可能的安全事件和故障���。
6. 對(duì)員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)和教育,提高其安全意識(shí)和行為習(xí)慣���。
綜上所述�,將IIS服務(wù)器放在虛擬化主機(jī)中是加強(qiáng)企業(yè)安全的一種有效措施之一�,但需要結(jié)合其他安全措施綜合防范逃避攻擊和其他網(wǎng)絡(luò)安全威脅。
硬件資源消耗
對(duì)虛擬環(huán)境的一個(gè)基本擔(dān)憂(yōu)通常在于硬件資源分配�����。你需要確保你的虛擬化主機(jī)不用失去監(jiān)管程序或其它虛擬服務(wù)器的必要資源就能向IIS服務(wù)器提供足夠的硬件資源�。情況既然是這樣,我建議你從在現(xiàn)有Web服務(wù)器上運(yùn)行性能監(jiān)控器開(kāi)始。以此方式你可以了解到現(xiàn)在正在使用什么硬件資源���,一旦進(jìn)行服務(wù)器虛擬化��,對(duì)于需要分配的資源你的期望也會(huì)比較現(xiàn)實(shí)��。
在任一虛擬服務(wù)器環(huán)境中����,按步驟限制硬件資源消耗都很重要�����。這樣做不僅有助于提高性能��,也實(shí)現(xiàn)了更大的虛擬機(jī)密度��,這為你的主機(jī)服務(wù)器提高了投資回報(bào)率���。用IIS你還可以做些其它事情來(lái)幫助限制資源的消耗��。
其中的一個(gè)選擇是強(qiáng)化你的Web服務(wù)器�����。IIS不需要你為每個(gè)集群的站點(diǎn)運(yùn)用單獨(dú)的服務(wù)器�。每個(gè)網(wǎng)站都需要唯一的URL和唯一的IP地址,但有了IIS所以你可以在一臺(tái)單一服務(wù)器上集群多個(gè)不同的網(wǎng)站���。
總體上說(shuō)����,在單一服務(wù)器上強(qiáng)化網(wǎng)站比對(duì)每個(gè)網(wǎng)站使用單獨(dú)的服務(wù)器要更好一些�。通過(guò)使用單一服務(wù)器,你不會(huì)有運(yùn)行多個(gè)Windows操作系統(tǒng)復(fù)本的相關(guān)開(kāi)支�。
如果你確實(shí)決定強(qiáng)化單一服務(wù)器上的網(wǎng)站,為每個(gè)站點(diǎn)創(chuàng)建單獨(dú)的應(yīng)用池是個(gè)不錯(cuò)的想法�。用此方式,如果一個(gè)網(wǎng)站有了問(wèn)題����,你不用擔(dān)心其引起服務(wù)器上的其它網(wǎng)站失效���。
你可以用來(lái)保存資源的另一個(gè)方法是運(yùn)用該操作系統(tǒng)的服務(wù)器核心裝置�����。相對(duì)于全方位的Windows系統(tǒng)�,由于服務(wù)器核心系統(tǒng)的殘留物要小得多,它可能更安全也更好執(zhí)行�。
由于服務(wù)器核心缺少管理員習(xí)慣使用的GUI和管理工具,很多管理員不愿意把Server Core和Windows Server 2008放在一起使用���。但是如果Server Core一開(kāi)始就已經(jīng)預(yù)安裝�����,你可以用另一臺(tái)服務(wù)器上的圖形工具管理它���。這意味著以與你熟悉方式基本相同的方法管理IIS成為可能。
容錯(cuò)與負(fù)載均衡
當(dāng)你計(jì)劃虛擬化你的IIS服務(wù)器時(shí)�,你有必要將容錯(cuò)和負(fù)載平衡納入考慮。如果你現(xiàn)有一個(gè)集群IIS部署���,那么你仍然可以虛擬化你的IIS網(wǎng)絡(luò)服務(wù)器��,但你必須確定沒(méi)有把每個(gè)虛擬化集群節(jié)點(diǎn)放在同一個(gè)主機(jī)服務(wù)器上�。否則��,結(jié)果會(huì)是主機(jī)服務(wù)器變成一次單點(diǎn)失敗的情況����。
因此����,即使在你在集群環(huán)境中沒(méi)有提前運(yùn)作IIS���,群集你的托管服務(wù)器也是個(gè)好主意��。如果你正運(yùn)行微軟Hyper-V或VMware���,創(chuàng)建一個(gè)主機(jī)服務(wù)器級(jí)別的容錯(cuò)集群也是可能的。這防止了主機(jī)服務(wù)器變成一次單點(diǎn)失敗����,也讓你無(wú)須在進(jìn)程中損失虛擬服務(wù)器就能拆下主機(jī)服務(wù)器進(jìn)行維護(hù)。
網(wǎng)絡(luò)帶寬考慮
你要計(jì)入考慮的最后一點(diǎn)是網(wǎng)絡(luò)帶寬����。有賴(lài)于你主機(jī)服務(wù)器上虛擬機(jī)的數(shù)量,為每個(gè)獨(dú)立虛擬機(jī)分配獨(dú)立網(wǎng)卡不太可能�����。同樣地�����,你必須考慮你現(xiàn)有的網(wǎng)絡(luò)硬件能否充分地處理預(yù)期的流量�。
你還應(yīng)該記住,在虛擬服務(wù)器環(huán)境中��,有時(shí)有必要向虛擬化基礎(chǔ)架構(gòu)分配一些物理網(wǎng)絡(luò)適配器��。例如���,你可能必須向主機(jī)操作系統(tǒng)分配一個(gè)網(wǎng)絡(luò)適配器���。如果你正把主機(jī)服務(wù)器作為集群的一部分運(yùn)行,那么你還必須為服務(wù)集群分配1-2個(gè)網(wǎng)絡(luò)適配器(根據(jù)你的配置)�。
向一臺(tái)單一服務(wù)器分配多個(gè)適配器來(lái)作為提高安全性和性能的方式也是可行的。舉例來(lái)說(shuō)�,你也許希望對(duì)來(lái)自互聯(lián)網(wǎng)的入站要求使用一個(gè)適配器,而連接到私人網(wǎng)絡(luò)上的SQL Server實(shí)例時(shí)又用另一個(gè)適配器��。
正如你所看到的����,考慮了安全性、性能和資源分配����,只要你是以這種方式部署IIS����,IIS可以在虛擬服務(wù)器環(huán)境中良好工作��。
該文章在 2024/1/10 10:49:35 編輯過(guò)
400 186 1886
