云主機上部署網站服務器的經驗淺談

阜新市大數據管理中心 劉 沛

隨著計算機行業(yè)的迅速發(fā)展，存儲更大、速度更快、更加節(jié)能的云服務器逐漸取代了傳統(tǒng)的服務器，本文從筆者的經驗出發(fā)，對如何在云服務器上部署一個安全的網站環(huán)境進行了闡述。

1 網站的分類

網站大致分為八類，包括：企業(yè)標準網站、品牌官網、營銷型網站、B2C商城、B2B平臺、O2O平臺、門戶分類信息型網站、微信官網，本文主要圍繞企業(yè)標準網站的構建實例，展開網站服務器部署經驗的探討。

2 網站安全部署

2.1 建站

本文以某門戶網站Y站為例（統(tǒng)稱Y站），簡要概述構建網站的過程。Y站的開發(fā)語言為asp，java等，包括前臺和后臺兩個部分，前臺部分負責信息的顯示以及客戶端訪問的一些功能，后臺部分主要負責數據的管理、審計、統(tǒng)計等、數據庫為sql2008版本，操作系統(tǒng)為windows2003，運行環(huán)境為iis。在云平臺上建立三個虛擬機，分別為虛擬主機A、虛擬主機B、虛擬數據庫服務器C（簡稱虛機A、虛機B、虛機C）。

將Y站的前臺布置在虛機A上（包括網頁、css樣式、jscript腳本等文件）、將網站的前臺和后臺同時部署在虛機B上（包括網頁、css樣式、jscript腳本等文件以及后臺管理系統(tǒng)）、將數據庫布置在虛機C上，將虛機B視為源服務器，虛機A視為開放服務器，每個虛機都有一個固定的IP地址，通過這個IP地址，處在同一個局域網內的用戶可以瀏覽各個主機，同時虛機B與虛機C，外網用戶無瀏覽權限。

2.2 服務器環(huán)境的構建

（1）防篡改系統(tǒng)原理及其選擇

網頁防篡改系統(tǒng)是保護網站免遭黑客篡改的安全防護軟件，是網站安全防護體系中不可或缺的組成部分。網頁防篡改系統(tǒng)通過監(jiān)測網頁完整性的變化，通過對篡改行為的實時攔截或自動恢復被篡改的內容來實現對網頁完整性的保護。因此，也可以稱得上是網站安全防護體系中的最后一道防線。

對待發(fā)布的網頁進行內容審查，禁止發(fā)布包含不當信息的網頁。對每個合法網頁給與一個身份認證標識——數字水印。只有擁有正確的數字水印的網頁才能被正常訪問。

防篡改軟件具備文件鎖、數字水印比對、同步數據、恢復數據、禁止webshell產生（webshell就是以asp、php、jsp或者cgi等網頁文件形式存在的一種代碼執(zhí)行環(huán)境，主要用于網站管理、服務器管理、權限管理等操作。使用方法簡單，只需上傳一個代碼文件，通過網址訪問，便可進行很多日常操作，極大地方便了使用者對網站和服務器的管理。正因如此，也有小部分人將代碼修改后當作后門程序使用，以達到控制網站服務器的目的）的功能。

在實例中，筆者選擇的防篡改軟件為Ilocker（文件鎖系統(tǒng)）與iguard（數字水印比對同步系統(tǒng)），Ilocker主要鎖定虛機B的網站根目錄以及與服務器安全相關的重要目錄和部分軟件，避免來自局域網內的攻擊，igurard同時鎖定虛機A、虛機B的網站根目錄，通過數字水印比對技術與文件同步技術，實時將數據從虛機B恢復至虛機A上。

（2）服務器部署與設置

虛機B設為主服務器，虛機A通過防篡改軟件實時同步虛機B上的數據。如圖1所示。

圖1 網站服務器部署圖

虛機B對數據庫有寫入與讀取的權限，虛機A對數據庫只有讀取權限。虛機A、B、C有一個布置在云服務器上的虛擬路由器連接到主路由器上，通過域名服務器，將虛機A、B、C各自IP統(tǒng)一解析成為一個外網IP地址，經過防火墻設備連接到互聯網上。

在DNS服務器上的設置，通過修改ha.cfg（自建DNS服務器中的操作文件，修改文件可以控制個別IP的訪問規(guī)則，是否可以通過外網訪問唯一指定的虛擬機，并進行相應的操作）文件，將虛機A的IP設置為允許雙向訪問，虛機B與虛機C定義為不允許外網訪問。虛機B與虛機C也可以通過系統(tǒng)自帶防火墻關閉一些操作端口，例如8399端口，遠程桌面控制端口等等，總之充分利用安全軟件，系統(tǒng)自帶防火墻等工具，盡量多的設置一些禁用規(guī)則，最大限度保證源服務器與數據庫服務器的安全性。無論選擇何種操作系統(tǒng)，主要的防御思路是不變的，我們不考慮系統(tǒng)本身的安全性能的優(yōu)劣，因為我們面對的是集約化的管理思路，各種服務器、操作系統(tǒng)等配置要求都是由客戶提出的，我們應該將注意力由系統(tǒng)移至網絡通訊上，保證源服務器安全的同時，最大限度的杜絕一切來自互聯網、局域網內的網絡威脅。

（3）域名解析服務器DNS的部署

網站集約化管理理念的提出，勢必會讓服務器承載更多的網站，每個網站都需要有獨立的域名，將眾多的域名全部托管，顯然是不安全的，域名解析服務器正好解決了這個問題，DNS（Domain Name Server，域名服務器）是進行域名（domain name）和與之相對應的IP地址（IP address）轉換的服務器。DNS中保存了一張域名（domain name）和與之相對應的IP地址（IP address）的表，以解析消息的域名。域名是Internet上某一臺計算機或計算機組的名稱，用于在數據傳輸時標識計算機的電子方位（有時也指地理位置）。域名是由一串用點分隔的名字組成的，通常包含組織名，而且始終包括兩到三個字母的后綴，以指明組織的類型或該域所在的國家或地區(qū)，在局域網內構建一個獨立的域名解析服務器，部署在主路由器與外網防火墻之間，通過內部指派，將域名分別指派給各個服務器，互聯網接口統(tǒng)一一個IP地址，不僅方便管理，還大大增加了虛擬服務器的安全性，解析效率也得到了提升。

3 網站瀏覽過程以及安全原理的解析

一個完整的網站包括靜態(tài)網頁、動態(tài)網頁、jscript文件、css樣式文件等，靜態(tài)網頁的安全性相對于動態(tài)網頁要高一些，有些網站，就利用靜態(tài)網頁安全性優(yōu)與動態(tài)網頁的特點，后臺操作系統(tǒng)錄入信息后，直接利用腳本程序生成靜態(tài)的擴展名為html的網頁文件，而動態(tài)網頁的安全性要大打折扣，網頁的數據是通過asp、java、php等開發(fā)語句，調用數據庫服務器的數據來實時顯示的，而css樣式文件，主要是控制網頁的版式。按照瀏覽器的瀏覽優(yōu)先級別，當用戶在地址欄中輸入域名的時候，客戶端直接將css、jscript文件下載到緩存中，網頁上優(yōu)先顯示實時更新的數據，然后才是加載css與jscript文件，當網速緩慢的時候，打開的網頁版式錯亂，這就是沒有來得及加載css文件的結果。

實例中，當客戶端通過互聯網瀏覽Y站時，通過域名服務器，將這個請求直接指向虛機A上，登錄虛機A，使用前端的一些可視化工具，客戶可以瀏覽網站信息以及使用網站其它的附加功能，通過設置DNS服務器，使互聯網的用戶無法瀏覽虛機B。網站管理人員，可以通過局域網或者在互聯網通過vpn賬號（vpn虛擬專用網絡，其功能是：在公用網絡上建立專用網絡，進行加密通訊。在企業(yè)網絡中有廣泛應用。VPN網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。VPN可通過服務器、硬件、軟件等多種方式實現。）登錄虛機B，通過網站后臺管理系統(tǒng)對網站進行管理。錄入的數據直接寫入虛機C的數據庫。簡單的說，就是虛機A可以被看作是虛機B的一個映射，及時同步虛機B上的數據，但卻不能通過登錄虛機A對數據庫服務器C進行操作。如果入侵者想通過互聯網攻擊Y站，只能直接攻擊虛機A，將服務器上的網頁、css樣式等文件通過滲透手段進行篡改，當篡改成功后，由于虛機A、B上同時安裝了防篡改軟件，虛機B的數據會立即恢復至虛機A上，并且虛機A對數據庫服務器C沒有修改的權限，不僅保證了網站維護人員對網站的正常維護，又保證了互聯網用戶可以隨時瀏覽到Y站正確的網站信息。

結論：隨著互聯網技術已經伴生產業(yè)的飛速發(fā)展、通過傳統(tǒng)的防御手段，例如：在服務器上安裝殺毒軟件、限制服務器的瀏覽權限等已經很難抵御網絡上的暴力攻擊，筆者通過部署主、副兩個服務器，利用防篡改軟件系統(tǒng)，大大提高了網站服務器數據以及網頁的安全性，希望能夠豐富網站服務器部署安全策略的思路。