让你的Web服务器不再裸奔：ISA2006系列之十二

核心提示：很多小型企业限于资金紧缺，无法让Web服务器得到很好的安全防护，让你的Web服务器不再裸奔：ISA2006系列之十二，往往就把一台Web服务器孤零零地扔在IDC机房里，这么处理的结果可想而知，包括创建虚拟网卡，安装ISA2006等，Web服务器要么被黑客们当成了练兵场，要么沦为肉鸡

很多小型企业限于资金紧缺，无法让Web服务器得到很好的安全防护，往往就把一台Web服务器孤零零地扔在IDC机房里。这么处理的结果可想而知，Web服务器要么被黑客们当成了练兵场，要么沦为肉鸡，成为下一次网络攻击的踏板，能够毫发无伤全身而退的基本是凤毛麟角。其实，只要在Web服务器上用防火墙保护一下，效果就要好上很多，一般普通的攻击都可以挡住。提到这里，有些老板又要邹眉头了，“防火墙好是好，就是这个成本，太，太高了一些…..”。错！今天我们提供的这种保护Web服务器的方案并不需要额外的硬件投入，只要在Web服务器上安装上软件防火墙ISA2006，利用ISA的Web服务器发布功能就能享受到低投入高安全的乐趣。

我们准备了一台Web服务器SERVER1进行测试，如下图所示，SERVER1有个测试用的网站，我们来看看如何利用ISA2006保护这个可怜的Web服务器。

大致思路是这样的，在Web服务器上安装一块虚拟网卡，将Web站点建在虚拟网卡上，在ISA上用Web发布规则把虚拟网卡上的Web站点发布到物理网卡上。这个过程听起来平淡无奇，为什么还值得大书特书一番呢？关键就是要避免IIS和Web侦听器的冲突。两者都要监听８０端口，前面安装ISA时，我们提到过ISA服务器上不应该有进程守护80端口，就是为了避免和Web侦听器冲突。但现在我们不得不考虑如何解决80端口的冲突问题，这篇文章关键之处就在这里。

解决冲突有两种方法，端口重定向和取消HTTP套接字池，具体容我一一道来。但之前先将实验环境搭好，包括创建虚拟网卡，安装ISA2006等。搭好后的实验拓扑如下图所示。