基于虚拟主机的Web 网站安全管理

廖常武

（南京工业职业技术大学，南京 210023）

0 引言

使用Windows Server 2016 IIS 提供的虚拟主机[1]功能，可以在一台服务器创建多个Web 网站[2]，虚拟主机有主机名、IP 地址和TCP 端口号三种方式。 网站的识别信息有主机名、IP 地址与TCP 端口号三个参数，当这三个参数有一个不同时，即可创建一个Web网站。 每个网站分别拥有各自独立的主机名、IP 地址与TCP 端口号[3]。 当用户在访问这些网站时，就如同访问不同的服务器，不会影响网站的功能。

1 使用IIS 创建虚拟主机

（1）使用主机名创建多个网站。 使用主机名创建虚拟网站是常见的创建虚拟网站的方法。 如果服务器只有一个IP 地址，但申请了DNS 域名[4]，使用DNS 服务器对主机名进行域名解析，在DNS 服务器中设置主机A 记录，一个IP 地址对应多个主机名，就可以添加多个不同主机名的网站，用户访问时仍使用域名。

可以使用2 台DNS 服务器维持一个域名的域名解析， 一台为主DNS 服务器、 一台为辅助DNS 服务器，申请域名时需要确定2 台DNS 服务器的主机名和IP 地址。首先安装主DNS 服务器，配置主DNS 服务器的正向查找区域和反向查找区域，添加相应的主机记录，一个IP 地址可以对应多个主机名A 记录。 然后安装辅助DNS 服务器， 辅助DNS 服务器自动从主DNS读取数据，2 台DNS 服务器可以起到冗余的作用。

使用Windows Server 2016 的IIS 创建Web 网站。 定义网站名称和应用程序池，每个应用程序池都是一个独立的运行环境，系统会为每个新建网站自动创建一个应用程序池，应用程序池的名称与网站名相同，然后让此新网站在这个拥有独立环境的新应用程序池内运行，网站运行不受其他应用程序池内的网站的影响，使得网站更加稳定。确定网站的主目录、默认文档和主机名，主目录是指保存网站所有网页的文件夹，默认文档是访问网站的首页文件名，网站的主机名是在浏览器地址栏输入的域名。在客户端浏览器输入主机名即可正常访问所创建的网站。

例如， 设服务器的IP 地址是210.28.96.66，DNS域名为niit.edu.cn。 在DNS 服务器中添加2 条主机A记录，IP 地址为210.28.96.66， 主机名分别为mail 和jwxx。 在IIS 中使用创建jwxx 和mail 网站，主机名分别是mail.niit.edu.cn 和jwxx.niit.edu.cn，设置每个网站的主目录和默认文档，则在客户端使用http://mail.niit.edu.cn 和http://jwxx.niit.edu.cn 可以访问网站。

（2）使用多个IP 地址创建多个网站。 如果服务器拥有多个IP 地址，服务器的一块网卡绑定多个IP 地址，就可以为每个IP 地址创建一个虚拟网站，为每个网站设置主目录和默认文档，在客户端浏览器输入IP地址来访问相应的网站。

例如， 设服务器有2 个IP 地址210.28.96.76 和210.28.96.86，网卡添加这2 个IP 地址，在IIS 中创建info 和auto 网站，TCP 端口均为80， 设置每个网站的主目录和默认文档， 则在客户端使用http://210.28.96.76 和http://210.28.96.86 可以访问网站。

（3）使用TCP 端口号创建多个网站。 使用TCP 端口号创建虚拟网站，如果服务器只有一个IP 地址，可以使用同一个IP 地址、 不同的TCP 端口号来创建虚拟网站， 为每个端口号创建一个虚拟网站，Web 服务器利用端口号来区别每一个网站，但用户访问网站时必须加上相应的TCP 端口号。

例如，设服务器IP 地址是210.28.96.10，在IIS 中创建port1t 和port2 网站，TCP 端口分别是8000 和8080，设置每个网站的主目录和默认文档，则在客户端使用http://210.28.96.10:8000 和http://210.28.96.10:8080 可以访问网站。 使用Windows Server 2016 的IIS设置的虚拟主机，如图1 所示。

图1 虚拟主机安装结果

2 使用FTP 服务器管理Web 服务器

在Web 服务器中安装ftp，ftp 的帐户使用Windows Server 的用户帐户，将每个Web 网站的主目录与ftp 的主目录设置为同一个目录，每个ftp 帐户映射一个ftp 主目录，如图2 所示。

磁盘的文件系统设置为ntfs， 主目录的ntfs 权限设置规则：映射的管理帐户的权限为完全控制，其他帐户的权限为拒绝。当管理帐户登录ftp 服务器时，对主目录具有完全控制权限，可以删除、复制主目录的文件，实现对网站网页的动态管理，但该ftp 帐户不能访问其他网站的主目录，通过这种方式实现每个帐户只能对自己的网站网页进行管理。

图2 ftp 帐户和主目录的映射关系

例如，设Windows Server 2016 有n个帐户User1、User2，…，Usern，在ftp 服务器中User1 的ftp 主目录是E:ftprootLocalUserUser1，其ftp 权限为“读取”和“写入”，设置ntfs 权限为完全控制，其他用户的ntfs 权限为拒绝，这样可以禁止其他用户访问该文件夹。

常见的ftp 服务器有Windows Server 2016 自带的ftp 和Serv-U ftp 服务器软件。

使用Windows Server 2016 ftp 服务器的用户隔离技术，每个帐户只对自己管理的主目录具有完全控制权限，但对其他目录的权限均为拒绝，这样可以确保每个帐户的主目录只能是由一个帐户管理，保证文件的安全性。Serv-U 是在Windows 平台和Linux 平台广泛使用的ftp 服务器软件，提供安全的文件管理、文件传输和文件共享的解决方案。 使用Serv-U 软件的SU-ftp-Server-Windows-v15.1.7 版本，可以管理Web网站的网页文件。

如， 将Serv-U 服务器的域设置为niit.edu.cn，群组选择配置Windows 群组， 用户帐户即为Windows Server 的用户帐户。 将Serv-U 的ftp 根目录设置为与Web 网站的主目录为同一目录。 Serv-U 的目录访问权限设置为列表、创建、重命名、删除，文件权限设置为读、写、追加、重命名、删除、执行。 在ntfs 中设置其他用户对该主目录没有访问权限， 以其他帐户登录Serv-U，进入文件夹则会弹出错误信息。

默认情况下，ftp 服务器并未限制用户上传文件的容量。 因此，当ftp 用户一旦拥有写入权限时，就可以向ftp 服务器上传任意大小的文件， 从而导致服务器的硬盘空间可能迅速被占用。 为了保护硬盘空间，确保磁盘空间不被用户上传的文件存储满，可以启用磁盘配额功能来限制每个用户使用磁盘空间的大小。为用户设置了磁盘配额以后，当用户上传的文件超出空间限制或者到警告等级时， 系统将自动发警告，提示用户超出空间配额， 上传操作不能完成等信息，并弹出错误信息。

3 结语

使用Windows Server 2016 网络操作系统， 应用虚拟主机技术在一台物理计算机上建立多个Web 服务器，使用Serv-U 或IIS 创建一个ftp 服务器，把Web服务器和ftp 服务器的主目录设置为同一个目录，设置Windows Server 帐户管理的ftp 服务器的主目录有写入权限，同时设置该帐户对主目录的ntfs 权限为完全控制，在客户端以Windows 帐户登录ftp 服务器，允许删除、修改网站网页文件，通过Windows 的磁盘配额功能，对上传的文件容量进行限制。通过这种方式，实现了将一台计算机虚拟为多台Web 服务器， 并由客户端的ftp 进行管理。