我想在我们的 LAN 上工作的旧 XP 机器上设置 IIS,这样我就可以在上面托管一些我正在使用的 Silverlight 东西,以便我在互联网上向其他人展示它。我已经设置了一个公共 IP,它直接穿过我的防火墙并直接到达那台机器,我有时在家时使用远程桌面登录那台机器并做一些杂项工作。它的驱动器号映射到服务器上的数据文件夹,但没有数据直接在该机器上。我不想让我的整个网络面临我不了解的风险。那么,如果我让人们上网到公共 IP 地址并使用他们的网络浏览器访问那台机器会安全吗?
MattSlay
问问题
1470 次
5 回答
5
那么,如果我让人们上网到公共 IP 地址并使用他们的网络浏览器访问那台机器会安全吗?
您总是通过允许访问受信任的资源来提高风险级别,因此“安全”是一个相对术语。在这种情况下,通过将其托管在您希望进行安全交易的同一位置(例如登录您的银行帐户) ,您可能会承担危险的风险。
也就是说,您可以采取一些高价值、低成本的保护措施:
- 由于您位于路由器后面,因此您的路由器可以执行双重任务并充当防火墙。确保仅打开相应的端口。
- 确保您运行的应用程序以最低权限执行此操作。如果可能,请在虚拟机内运行这些应用程序,并将其用作 Web 服务器。
- 安全访问您服务的应用程序;只允许受信任的用户。
- 使站点的面向公众的区域最小化。
- 将应用程序保存在与其他所有文件完全不同的文件根目录中。
于 2009-03-09T02:38:58.083 回答
1
不,如果那台机器被入侵,他们就拥有了王国的钥匙,可以这么说。您应该在它与网络的其余部分之间设置一个 DMZ。您应该有一台可通过 VPN 用于 RDC 的单独机器。
于 2009-03-09T02:36:28.870 回答
1
我不会这样做有三个原因:
- 正如杰夫所说,你可能会分发王国的钥匙
- 除非您有能力减轻相当规模的 DoS 攻击,否则您不希望将注意力吸引到您的网络上。您永远不知道您托管的内容何时会引起其他人的注意,从而导致这种情况。这意味着,您的整个网络(理论上)可能与外界隔绝。
- 即使 DMZ 包含妥协,您也冒着让该服务器向世界各地发送垃圾邮件的风险。您不希望在传出的公司邮件进入黑洞时从 DNSBL 中获取该 IP 的痛苦。
支付在其他地方托管或托管小型服务器的费用太便宜了。
编辑:
添加原因#3
于 2009-03-09T02:40:02.433 回答
1
IIS 5.1 限制为同时连接 10 个,并且大多数浏览器打开 2 个或更多连接以下载图像和其他页面元素。
IIS 5.1 和 XP 默认打开了很多东西。检查并关闭 IIS 中所有不必要的功能以及 XP 中所有不必要的面向网络的服务。
于 2009-03-09T06:56:48.337 回答
0
只要您牢记您正在让外部人员访问连接到您的内部网络的机器,并让机器保持最新状态,您将是“安全的”。
就我个人而言,我建议进行外部托管,从而使您自己的网络更安全,并让托管服务提供商担心更新软件、阻止攻击者和维护网络。它不会花费太多,并且可以减轻您不得不处理的大部分头痛。
于 2009-03-09T03:20:35.627 回答