IIS中使用的ISAPI_Rewrite Full版本做反向代理詳解

2024-08-29 03:15:32

字體：大中小

來源：轉載

供稿：網友

反向代理是什么？
大家去過落伍者吧？大家可以通過IP查看落伍的IP是在韓國，大家可知道，其實落伍的數據還是在國內。如何做到這樣的呢，這就叫反向代理，在韓國的服務器將http請求發送到國內服務器的某個http端口，再將回傳的數據返回到韓國，發送至客戶，這樣就完成了網站實體在國內，看起來網站在國外。
這里說一下IIS做反向代理，實現這個功能ISAPI_Rewrite Full版本可以實現。下載ISAPI_Rewrite Full，安裝。
在創建一個網站，這個網站可以用你想要的域名進行訪問到，或者最直接的方法就是空主機頭的網站，再在網站下面創建一個httpd.ini文件，內容：

復制代碼代碼如下:

[ISAPI_Rewrite]
RewriteCond Host: www/.my/.me
RewriteProxy (.*) :81$1 [I,F,U]

其意思是將映射到:81，這里可以自由映射到別的端口。

反向代理（Reverse Proxy）方式是指以代理服務器來接受internet上的連接請求，然后將請求轉發給內部網絡上的服務器，并將從服務器上得到的結果返回給internet上請求連接的客戶端，此時代理服務器對外就表現為一個服務器。
　　通常的代理服務器，只用于代理內部網絡對Internet的連接請求，客戶機必須指定代理服務器,并將本來要直接發送到Web服務器上的http請求發送到代理服務器中。由于外部網絡上的主機并不會配置并使用這個代理服務器，普通代理服務器也被設計為在Internet上搜尋多個不確定的服務器,而不是針對Internet上多個客戶機的請求訪問某一個固定的服務器，因此普通的Web代理服務器不支持外部對內部網絡的訪問請求。當一個代理服務器能夠代理外部網絡上的主機，訪問內部網絡時，這種代理服務的方式稱為反向代理服務。此時代理服務器對外就表現為一個Web服務器，外部網絡就可以簡單把它當作一個標準的Web服務器而不需要特定的配置。不同之處在于，這個服務器沒有保存任何網頁的真實數據，所有的靜態網頁或者CGI程序，都保存在內部的Web服務器上。因此對反向代理服務器的攻擊并不會使得網頁信息遭到破壞，這樣就增強了Web服務器的安全性。
　　反向代理方式和包過濾方式或普通代理方式并無沖突，因此可以在防火墻設備中同時使用這兩種方式，其中反向代理用于外部網絡訪問內部網絡時使用，正向代理或包過濾方式用于拒絕其他外部訪問方式并提供內部網絡對外部網絡的訪問能力。因此可以結合這些方式提供最佳的安全訪問方式。
　　代理服務器充當服務器的替身如果您的內容服務器具有必須保持安全的敏感信息，如信用卡號數據庫，可在防火墻外部設置一個代理服務器作為內容服務器的替身。當外部客戶機嘗試訪問內容服務器時，會將其送到代理服務器。實際內容位于內容服務器上，在防火墻內部受到安全保護。代理服務器位于防火墻外部，在客戶機看來就像是內容服務器。
　　當客戶機向站點提出請求時，請求將轉到代理服務器。然后，代理服務器通過防火墻中的特定通路，將客戶機的請求發送到內容服務器。內容服務器再通過該通道將結果回傳給代理服務器。代理服務器將檢索到的信息發送給客戶機，好像代理服務器就是實際的內容服務器（參見圖 14-1）。如果內容服務器返回錯誤消息，代理服務器會先行截取該消息并更改標頭中列出的任何 URL，然后再將消息發送給客戶機。如此可防止外部客戶機獲取內部內容服務器的重定向 URL。
　　這樣，代理服務器就在安全數據庫和可能的惡意攻擊之間提供了又一道屏障。與有權訪問整個數據庫的情況相對比，就算是僥幸攻擊成功，作惡者充其量也僅限于訪問單個事務中所涉及的信息。未經授權的用戶無法訪問到真正的內容服務器，因為防火墻通路只允許代理服務器有權進行訪問。
　　圖 14-1 反向代理服務器就像是真正的內容服務器
　　可以配置防火墻路由器，使其只允許特定端口上的特定服務器（在本例中為其所分配端口上的代理服務器）有權通過防火墻進行訪問，而不允許其他任何機器進出。
　　安全反向代理當代理服務器與其他機器之間有一個或多個連接使用安全套接字層 (SSL) 協議加密數據時，即會進行安全反向代理。
　　安全反向代理有許多用途：
　　可以提供從防火墻外部代理服務器到防火墻內部安全內容服務器的加密連接。
　　可以允許客戶機安全地連接到代理服務器，從而有利于安全地傳輸信息（如信用卡號）。
　　安全反向代理會造成各安全連接因加密數據所涉及的系統開銷而變慢。但是，由于 SSL 提供了高速緩存機制，所以連接雙方可以重復使用先前協商的安全參數，從而大大降低后續連接的系統開銷。
　　配置安全反向代理服務器的方法有三種：
　　Secure client to proxy。如果未經授權的用戶很少或根本沒有機會訪問代理服務器與內容服務器之間交換的信息，則此方案很有效（參見圖 14-2）。
　　圖 14-2 客戶機安全連接到代理服務器
　　Secure proxy to content server。如果客戶機在防火墻內部而內容服務器在防火墻外部，則此方案很有效。在此方案中，代理服務器可以充當站點之間的安全通道（參見圖 14-3）
　　圖 14-3 代理服務器安全連接到內容服務器
　　Secure client to proxy and secure proxy to content server。如果需要保護服務器、代理服務器和客戶機三者間所交換信息的安全，則此方案很有效。在此方案中，代理服務器既可起到站點間安全通道的作用，又可增加客戶機驗證的安全性（參見圖 14-4）。
　　圖 14-4 客戶機安全連接到代理服務器并且代理服務器安全連接到內容服務器
　　有關如何設置上述每種配置的信息，參見設置反向代理服務器。
　　除了 SSL 之外，代理服務器還可以使用客戶機驗證，這種方法要求向代理服務器提出請求的計算機提供證書（或標識表單）以核實其身份。

上一篇：IIS下ASP目錄漏洞和IIS分號漏洞(;)的臨時解決方法

下一篇：配置IIS7顯示詳細錯誤信息