我们在虚拟的、面向公众的环境中运行 Windows Server 2008 R2。服务器配置了一个 IP 地址,我(开发人员)将其用作 IIS 网站的默认 IP 地址。
这是最佳做法吗?服务器的 IP 和网站的 IP 应该不同吗?
我打算在 IIS 和用户主机头中仅使用一个 IP 地址来路由传入流量。
答案1
这取决于哪些端口是开放的以及哪些端口没有被防火墙关闭。
我确信周围有很多机器都像这样设置,但您问的是最佳实践,当然我认为大多数系统管理员更乐意看到 NIC 上有两个 IP,一个用于外部流量,一个用于内部管理流量 - 或者两个不同的物理或虚拟 NIC。这并不能消除使用单个 IP 所固有的任何安全风险,但它确实有助于降低风险,这是我对您的建议。
答案2
一个 Web 服务器只有一个 IP 地址的情况很常见。IPv4 地址越来越少,人们不想使用超过需要的地址。
从安全角度来看,这会让攻击者更容易找到该机器上的其他服务,但这并没有什么区别。在不同网络上使用单独的网卡进行管理可能是一种安全措施,但在同一网络和接口上仅使用第二个 IP 地址则不是。
无论如何,您要确保已正确配置防火墙以及远程桌面等安全服务 - 如果远程桌面向整个互联网开放,它将受到攻击,有些攻击最终可能会成功。
您可能需要拥有多个 IP 地址的一个原因是您正在运行多个 HTTPS 站点,因为如果它们使用单独的 IP 地址而不是基于名称的托管,则设置起来会更容易,并且能得到更好的支持。