陈奇网络工作室

基于虚拟主机的Web网站安全管理

廖常武(南京工业职业技术大学,南京210023)

【摘要】在服务器上安装ftp服务器,应用虚拟主机技术在一台物理服务器上创建多个Web网站,网站的主目录 和ftp用户的主目录设置为同一个目录,仅指定一个ftp帐户对网站的主目录拥有ftp写入权限和ntfs完全控制权限, 其他ftp帐户的ntfs权限为拒绝;结合Windows Server 2016的磁盘配额功能,实现了对Web网站网页的自动更新,保证 了网站的安全运行。

【关键词】虚拟主机;Web网站;ftp服务器;ntfs权限

中图分类号:TP393.08 文献标识码:A DOI:10.19694/j.cnki.issn2095-2457.2021 .02.46

引言

使用Windows Server 2016 IIS提供的虚拟主机[1] 功能,可以在一台服务器创建多个Web网站'虚拟 主机有主机名、IP地址和TCP端口号三种方式。网站 的识别信息有主机名、IP地址与TCP端口号三个参 数,当这三个参数有一个不同时,即可创建一个Web 网站。每个网站分别拥有各自独立的主机名、IP地址 与TCP端口号[3]。当用户在访问这些网站时,就如同 访问不同的服务器,不会影响网站的功能。

1使用IIS创建虚拟主机

(1)使用主机名创建多个网站。使用主机名创建 虚拟网站是常见的创建虚拟网站的方法。如果服务器 只有一个IP地址,但申请了 DNS域名[4],使用DNS服 务器对主机名进行域名解析,在DNS服务器中设置主 机A记录,一个IP地址对应多个主机名,就可以添加 多个不同主机名的网站,用户访问时仍使用域名。

可以使用2台DNS服务器维持一个域名的域名 解析,一台为主DNS服务器、一台为辅助DNS服务 器,申请域名时需要确定2台DNS服务器的主机名和 IP地址。首先安装主DNS服务器,配置主DNS服务器 的正向查找区域和反向查找区域,添加相应的主机记 录,一个IP地址可以对应多个主机名A记录。然后安 装辅助DNS服务器,辅助DNS服务器自动从主DNS 读取数据,2台DNS服务器可以起到冗余的作用。

使用 Windows Server 2016 的 IIS 创建 Web 网 站。定义网站名称和应用程序池,每个应用程序池都 是一个独立的运行环境,系统会为每个新建网站自动 创建一个应用程序池,应用程序池的名称与网站名相 同,然后让此新网站在这个拥有独立环境的新应用程 序池内运行,网站运行不受其他应用程序池内的网站的影响,使得网站更加稳定。确定网站的主目录、默认 文档和主机名,主目录是指保存网站所有网页的文件 夹,默认文档是访问网站的首页文件名,网站的主机 名是在浏览器地址栏输入的域名。在客户端浏览器输 入主机名即可正常访问所创建的网站。

例如,设服务器的IP地址是210.28.96.66,DNS 域名为niit.edu.cn。在DNS服务器中添加2条主机A 记录,IP地址为210.28.96.66,主机名分别为mail和 jwxx。在IIS中使用创建jwxx和mail网站,主机名分 别是 mail.niit.edu.cn 和 jwxx.niit.edu.cn,设置每个网站 的主目录和默认文档,则在客户端使用http://mail.niit.edu.cn 和 http://jwxx.niit.edu.cn 可以访问网站。

(2)使用多个IP地址创建多个网站。如果服务器 拥有多个IP地址,服务器的一块网卡绑定多个IP地 址,就可以为每个IP地址创建一个虚拟网站,为每个 网站设置主目录和默认文档,在客户端浏览器输入IP 地址来访问相应的网站。

例如,设服务器有2个IP地址210.28.96.76和 210.28.96.86,网卡添加这2个IP地址,在IIS中创建 info和auto网站,TCP端口均为80,设置每个网站的 主目录和默认文档,则在客户端使用http:// 210.28.96.76和http://210.28.96.86 可以访问网站。

(3)使用TCP端口号创建多个网站。使用TCP端 口号创建虚拟网站,如果服务器只有一个IP地址,可 以使用同一个IP地址、不同的TCP端口号来创建虚 拟网站,为每个端口号创建一个虚拟网站,Web服务 器利用端口号来区别每一个网站,但用户访问网站时 必须加上相应的TCP端口号。

例如,设服务器IP地址是210.28.96.10,在IIS中 创建port1t和port2网站,TCP端口分别是8000和 8080,设置每个网站的主目录和默认文档,则在客户端使用 http://210.28.96.10:8000 和 http://210.28.96.10: 8080可以访问网站。使用Windows Server 2016的IIS 设置的虚拟主机,如图1所示。

虚拟主机安装结果

2使用FTP服务器管理Web服务器

在Web服务器中安装ftpftp的帐户使用 Windows Server的用户帐户,将每个Web网站的主目 录与ftp的主目录设置为同一个目录,每个ftp帐户映 射一个ftp主目录,如图2所示。

磁盘的文件系统设置为ntfs,主目录的ntfs权限 设置规则:映射的管理帐户的权限为完全控制,其他 帐户的权限为拒绝。当管理帐户登录ftp服务器时,对 主目录具有完全控制权限,可以删除、复制主目录的 文件,实现对网站网页的动态管理,但该ftp帐户不能 访问其他网站的主目录,通过这种方式实现每个帐户 只能对自己的网站网页进行管理。

FTP账户和主目录映射关系

例如,设 Windows Server 2016 有 n 个帐户 User1、 User2,…,Usern,在ftp服务器中User1的ftp主目录 是 E:\ftproot\LocalUser\User1,其 ftp 权限为“读取”和 “写入”,设置ntfs权限为完全控制,其他用户的ntfs权 限为拒绝,这样可以禁止其他用户访问该文件夹。

常见的ftp服务器有Windows Server 2016自带 的ftp和Serv-U ftp服务器软件。

使用Windows Server 2016 ftp服务器的用户隔离 技术,每个帐户只对自己管理的主目录具有完全控制 权限,但对其他目录的权限均为拒绝,这样可以确保 每个帐户的主目录只能是由一个帐户管理,保证文件 的安全性。Serv-U是在Windows平台和Linux平台广 泛使用的ftp服务器软件,提供安全的文件管理、文件 传输和文件共享的解决方案。使用Serv-U软件的 SU-ftp-Server-Windows-v15.1.7 版本,可以管理 Web 网站的网页文件。

如,将Serv-U服务器的域设置为niit.edu.cn,群 组选择配置Windows群组,用户帐户即为Windows Server的用户帐户。将Serv-U的ftp根目录设置为与 Web网站的主目录为同一目录。Serv-U的目录访问 权限设置为列表、创建、重命名、删除,文件权限设置 为读、写、追加、重命名、删除、执行。在ntfs中设置其 他用户对该主目录没有访问权限,以其他帐户登录 Serv-U,进入文件夹则会弹出错误信息。

默认情况下,ftp服务器并未限制用户上传文件 的容量。因此,当ftp用户一旦拥有写入权限时,就可 以向ftp服务器上传任意大小的文件,从而导致服务 器的硬盘空间可能迅速被占用。为了保护硬盘空间, 确保磁盘空间不被用户上传的文件存储满,可以启用 磁盘配额功能来限制每个用户使用磁盘空间的大小。 为用户设置了磁盘配额以后,当用户上传的文件超出 空间限制或者到警告等级时,系统将自动发警告,提 示用户超出空间配额,上传操作不能完成等信息,并 弹出错误信息。

3结语

使用Windows Server 2016网络操作系统,应用 虚拟主机技术在一台物理计算机上建立多个Web服 务器,使用Serv-U或IIS创建一个ftp服务器,把Web 服务器和ftp服务器的主目录设置为同一个目录,设 置Windows Server帐户管理的ftp服务器的主目录有 写入权限,同时设置该帐户对主目录的ntfs权限为完 全控制,在客户端以Windows帐户登录ftp服务器,允 许删除、修改网站网页文件,通过Windows的磁盘配 额功能,对上传的文件容量进行限制。通过这种方式, 实现了将一台计算机虚拟为多台Web服务器,并由 客户端的ftp进行管理。

【参考文献】

[1]徐川,王娟,赵国锋.基于网络用户行为的网站发展研究[J].计算机应 用研究,2014(4): 1154-1157.

[2]陈学平.煤炭交易平台虚拟服务器实现研究[J].煤炭技术,2012(9): 277-278.

[3]陈文文,吴开超.海量域名日志数据分析与可视化研究及应用[J].计 算机应用研究,2016(2):335-338.

[4]Bill Karakostas. A DNS Architecture for the Internet of Things: A Case Study in Transport Logistics [J]. Procedia Computer Science,2013 (19): 594-601.

编辑:陈奇,本文转载自期刊杂志:作者:廖常武  刊名:科技视界  出版日期:2021  期号:第2期  ISSN:2095-2457  作者单位:南京工业职业技术大学  

声明:版权归原作者所有,本站仅用于个人学习搜藏,如需用于商业用途请联系原作者授权,侵删微信:354638784

相关推荐

后台-系统设置-扩展变量-手机广告位-内容页底部广告位3