服务器和网站 IP 地址应该相同吗?

服务器和网站 IP 地址应该相同吗?

我们在虚拟的、面向公众的环境中运行 Windows Server 2008 R2。服务器配置了一个 IP 地址,我(开发人员)将其用作 IIS 网站的默认 IP 地址。

这是最佳做法吗?服务器的 IP 和网站的 IP 应该不同吗?

我打算在 IIS 和用户主机头中仅使用一个 IP 地址来路由传入流量。

答案1

这取决于哪些端口是开放的以及哪些端口没有被防火墙关闭。

我确信周围有很多机器都像这样设置,但您问的是最佳实践,当然我认为大多数系统管理员更乐意看到 NIC 上有两个 IP,一个用于外部流量,一个用于内部管理流量 - 或者两个不同的物理或虚拟 NIC。这并不能消除使用单个 IP 所固有的任何安全风险,但它确实有助于降低风险,这是我对您的建议。

答案2

一个 Web 服务器只有一个 IP 地址的情况很常见。IPv4 地址越来越少,人们不想使用超过需要的地址。

从安全角度来看,这会让攻击者更容易找到该机器上的其他服务,但这并没有什么区别。在不同网络上使用单独的网卡进行管理可能是一种安全措施,但在同一网络和接口上仅使用第二个 IP 地址则不是。

无论如何,您要确保已正确配置防火墙以及远程桌面等安全服务 - 如果远程桌面向整个互联网开放,它将受到攻击,有些攻击最终可能会成功。

您可能需要拥有多个 IP 地址的一个原因是您正在运行多个 HTTPS 站点,因为如果它们使用单​​独的 IP 地址而不是基于名称的托管,则设置起来会更容易,并且能得到更好的支持。

相关内容