Web服务器是企业的对外窗口，一经发布它直接面向Internet接受用户正常的访问浏览，同时也必须经受恶意用户的攻击的考验。它是企业受到攻击最多的服务器，加固Web提升其安全指数是管理员必须要做的工作。当前针对Web最大的威胁是嗅探和DDOS攻击，利用SSL加密及负载平衡技术将极大地增强Web的抗攻击能力，显著提升其安全指数。

　　一、SSL加密防Web嗅探

　　在一般情况下Web数据不加密的是以明文形式传输的，攻击者利用sniffer工具嗅探客户端(浏览器)与服务器端(Web站点)之间的流通信息，然后通过分析获取敏感信息实施对Web的渗透入侵，防范这类工具最佳的措施是数据加密。SSL在浏览器和服务器之间建立SSL安全隧道，从而有效地杜绝攻击者嗅探到明文信息。

　　1、生成证书申请

　　运行IIS管理器，展开Web服务器名选择要安装证书的Web站点，右键单击该Web站点，选择“属性”点击“目录安全性”选项卡，单击“安全通信”中的“服务器证书”按钮，启动 Web 服务器证书向导。单击“下一步”跳过欢迎对话框，点选“创建一个新证书”，单击“下一步”出现一个对话框，选择“现在准备申请，但稍后发送”，然后根据向导输入实际情况输入“单位”、“部门”、“国家”等信息。在“证书请求文件名”窗口选择证书文件保存的位置，最后一路完成证书的申请。(图1)

　　2、提交证书申请

　　用“记事本”打开在前面的过程中生成的证书文件，将它的整个内容复制到剪贴板。启动Internet Explorer浏览器，正在地址栏中输入http://hostname/CertSrv格式的URL地址，其中hostname是运行Microsoft 证书服务的计算机的名称。 单击“申请一个证书”，在“选择一个证书类型”下单击“高级证书申请”，在打开的页面中选择点击“使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请。”，在“提交一个保存的申请”页中，将刚才复制的内容粘贴到“Base64 编码的证书申请(PKCS #10 或 #7)”右侧的文本框中在“证书模板”组合框中，最后单击“提交”按钮即可。(图2)

　　3、颁发证书

　　从“开始→管理工具”程序组中启动“证书颁发机构”工具，展开的“证书颁发机构”，然后选择“挂起的申请”文件夹。选择刚才提交的证书申请，在“操作”菜单中，指向“所有任务”，然后单击“颁发”，确认该证书显示在“颁发的证书”文件夹中，然后双击查看它。在“详细信息”选项卡中，单击“复制到文件”，在文件格式中选择“Base-64编码的 X.509”，最后根据向导完成证书的颁发和导出。见图3。

　　4、在 Web 服务器上安装证书

　　启动IIS管理器，展开服务器名称，选择要安装证书的Web站点右键单击该Web站点，选择“属性”单击“目录安全性”选项卡。点击“服务器证书”启动 Web 服务器证书向导。单击“处理挂起的申请并安装证书”，然后单击“下一步”在“路径和文件名”下的文本框中输入刚才导出的证书文件名，也可以点击“浏览”按钮定位到该证书文件，单击“下一步”可以看到网站默认使用的SSL端口是443，我们保存默认一路“下一步”完成证书的安装。(图4)

　　返回“目录安全性”选项卡，单击“安全通信”下的“编辑”按钮勾选其中的“要求安全通道(SSL)”，根据安全需要可以勾选“要求128位加密”。至此我们就完成了SSL加密站点的配置工作，客户端访问服务器的IIS网站时所浏览的信息是通过加密的，就是被恶意嗅探看到的也只是加密信息。(图5)

　　在访问通过SSL加密的站点时所输入的地址应该以https://开头，例如本文中应该使用https://192.168.1.10。如果仍然那使用http://192.168.1.10则会出现“该网页必须通过安全频道查看，您要查看的网页要求在地址中使用"https"。禁止访问：要求SSL”的提示。服务器上设置完SSL加密站点功能后我们在客户机上通过浏览器访问该站点时就会弹出一个“安全警报”窗口。只有信任该证书后才能够正常浏览网站信息。这样在客户端嗅探与Web服务器之间的通信都是经过加密的，这样有效杜绝了从嗅探开始的渗透入侵。 (图6)

　　二、负载平衡防针对Web的DDOS攻击

　　DDOS攻击是Web服务器的大敌，大量的垃圾信息拥塞的通道，同时耗尽了Web资源导致Web性能极具下降甚至宕机。部署多台web服务器建立群集，实施负载平衡是个不错的选择。Web的负载平衡可以通过两个方面入手，DNS负载平衡和Web负载平衡来实现。

　　1、DNS实现Wev负载均衡

　　对于规模较大的企业网，某些网站的访问量较大，一台服务器难以满足用户的访问需求。为了解决这个问题，通常是在企业网中部署多台内容相同的服务器，通过DNS服务器来实现网络负载均衡。

　　下面就以“www.test.net”网站为例，在网络中部署了三台内容相同的Web服务器，来提供对外的Web访问服务。但每台服务器的IP地址都不一样，这就需要在DNS服务器进行设置，才能实现网络负载均衡。

　　(1)启用循环

　　在Windows2003系统的DNS管理控制台窗口中，鼠标右键单击DNS服务器图标，在弹出的菜单中选择“属性”，接着切换到“高级”标签页，确保 “服务器选项”列表框中“启用循环”处于选中状态，最后点击“确定”按钮。(图7)

　　(2)添加主机记录

　　然后在“lw.com”区域中创建主机记录。在DNS管理控制台窗口中，右键点击“lw.com”项，选择“新建主机”，弹出“新建主机”对话框，在“名称”栏中输入“www”，IP地址栏中输入其中一台Web服务器的IP地址，如192.168.1.10，最后点击“添加主机”按钮。(图8)

　　但企业网中还有两台内容相同的Web服务器，并且它们的IP地址都不同，因此还需要新建两条主机名为“www”主机记录，方法同上，只是IP地址栏的内容不同，分别为各自服务器的IP地址。完成了三条主机记录的创建后，就能将用户对www.test.net的访问分担到三台Web服务器中，实现了网络负载均衡。

　　(3)负载均衡优化

　　通常企业网由很多子网构成，为降低网络中的数据流量，最好客户机能访问处于同一子网内的Web服务器。这时还需要启用DNS的“启用网络掩码排序”功能，就能实现以上操作。

　　在DNS管理控制台窗口中，右键点击DNS服务器，选择“属性”，然后切换到“高级”标签页，确保 “服务器选项”列表框中“启用网络掩码排序”处于选中状态，最后点击“确定”按钮。这样客户机每次都能访问到本子网内的Web服务器了。(图9)

　　完成以上设置后，就实现了网络负载均衡，把用户的访问分摊到本网段的Web服务器中，减少了跨子网的数据流量，降低整个网络的通信负担。

　　2、IP群集实现Web负载均衡

　　部署多台Web服务器通过群集实现负载平衡，当某台服务器出现故障时，负载均衡服务会自动进行检测并停止将服务请求分发至该服务器，而由其他工作正常的服务器继续提供服务，从而保证了服务的可靠性。

　　下面笔者演示通过一个集群IP实现随机访问2台服务器上的Web站点，以达到“网络负载平衡”，减轻Web的负担。我们部署两台内容完全一样的Web服务器，利用群集实现对外服务，这对于客户端是不透明的，不会改变浏览者的用户体验。

　　实验环境

　　集群IP为：192.168.1.110

　　两台Web服务器：A(192.168.1.105) B(192.168.1.103)

　　在实际应用中两个Web站点的内容是完全一样的，笔者为了演示效果192.168.1.105站点为测试页1，192.168.1.103站点为测试页2。

　　1、安装IIS部署web站点。部署两台内容完全一样的Web站点，除了IP之外站点内容完全一样。这部分内容非常简单笔者就省略了，直接进行负载均衡配置。

　　2、网络设置

　　下面以A(192.168.1.105)Web服务器的网络设置为例，B(192.168.1.103)的设置除了本机IP外其他设置完全相同。

　　第一步：在该服务器的桌面上右键点击“网上邻居”，选择“属性”进入网络连接窗口，右键点击“本地连接”选择“属性”在“常规”选项卡下勾选“网络负载平衡”选项，然后点击“属性”进入“网络负载平衡 属性窗口”。点击“群集参数”选项卡，在IP地址栏输入集群IP：192.168.1.110，子网掩码默认为：255.255.255.0，群集操作模式选择“多播”。(图10)

　　第二步：在“主机参数”选项卡下，IP地址设为本机的IP，即192.168.1.105，子网掩码默认为55.255.255.0。在“端口规则”选项卡下点击“编辑”按钮，在“筛选模式”下点选“无”其它设置保持默认。最后一路“确定”退出设置窗口。(图11)

　　第三步：在“本地连接 属性”窗口中选择“Internet协议(TCP/IP)”选项，点击“属性”按钮，设置本机的IP地址为192.168.1.105，子网掩码默认为255.255.255.0 。点击“高级”进入“高级TCP/IP设置”窗口，添加新的IP，IP地址就是群集IP:192.168.1.110，子网掩码默认255.255.255.0，设置完成后退出完成一台Web的设置。另外一台Web的设置类似，只是将上述IP为192.168.1.105的地方设置为192.168.1.103就可以了。(图12)

　　3、IIS设置

　　设置完成后，重启两台web服务器，重启后两台站点的IP都指向我们的集群192.168.1.110。然后进行IIS设置。以192.168.1.105 设置为例。打开IIS管理器，定位到相应站点，右键点击选择“属性”，在“网站”选项卡下，点击“IP 地址”栏旁边的下拉列表，将IP地址由192.168.1.105改为192.168.1.110.

　　192.168.1.103服务器的设置类似，完成两台web服务器的设置。至此我们的Web服务器的网络负载平衡设置完成。 (图13)

　　4、效果测试

　　下面，我们测试效果。在浏览器地址栏中输入192.168.1.110通过IP群集随机打开了A或者B服务器上的站点。笔者测试了10此，调用A、B打开站点的次数大概持平见图14。这样通过两台服务器负担Web任务，稳定性、安全性和性能将得到极大的提升。在实际应用过程中，根据Web服务器的流量大小，可以利用多台Web服务器进行负载平衡。当然，Web负载设置完成，发布web站点就以群集IP发布。(图14)

　　总结：利用SSL对Web访问的加密以及实施负载平衡，Web服务器的安全性、稳定性将会得到极大提升，就能够抵御最常见的Web攻击。当然，在应用中大家可以根据实际情况进行安全评估，进行取舍或者加强。