基于双IIS主机的在线发布策略研究与应用

宋强　臧琳

摘要：随着网络的飞速发展及对信息获取的迫切需求，越来越多的信息资源需要通过网络进行发布。但发布方出于某种考虑，往往不希望发布的信息资源在网络上被原文复制或源文件被直接下载。通过传统的单IIS主机在线发布信息资源，无法实现对服务器IP地址的有效保护，攻击者可以轻易获取到资源的存放位置，并下载获取到资源文件。为了实现信息资源的安全发布，同时兼顾信息源的便捷维护，提出了基于双IIS主机架构的在线发布策略。介绍了该策略的网络架构、抽象模型及具体实现方法，并将其应用于实践。

关键词：IIS 在线发布 IP屏蔽 信息安全

中图分类号： TP393.18 文献标识码：A 文章编号：1007-9416（2016）06-0000-00

1 引言

企业在进行内部信息资源的对外发布时，由于某些特殊需求，既要将信息（主要是文档类）发布，又不希望相应资源被任意复制或下载。通过传统的单IIS主机构建的服务器，由于其无法对服务器的IP地址实现有效保护，所以无法满足上述需求。若强行将信息资源转换为图片或流媒体等特殊形式，又不利于资源的后期变更与维护。最理想的方式，是能够通过网络将信息资源以常用的、可编辑的形式发布，同时又能实现对资源下载的有效禁止。本文基于上述考虑，构建了基于双IIS主机的在线发布策略，并将其应用到企业信息资源发布的实践当中。

2 基于双IIS主机架构的在线发布策略

通过传统的单IIS主机发布文档类信息资源[1]，在文档加载过程中，IIS服务器的IP地址就被浏览器自动解析并显示出来。即使对服务器IP地址做必要的隐藏处理，通过网络上易得的网页源码嗅探工具，还是可以获取到访问内部资源的网页源码，通过对源码的解析，依然可以获取到内部资源在网络上的存放地址，然后通过常用的下载工具，就可以将内部资源下载到本地计算机。

为了既不影响信息资源的在线发布，又能够有效地隐藏内部资源所在的网络位置（即内部资源服务器的IP地址），本文提出了基于双IIS主机架构的在线发布策略，其基本网络结构如图1所示。

一台IIS服务器（图中地址*.*.*.XXX的服务器，简称X服务器）直接连接到企业的办公网络中，另一台IIS服务器（图中地址*.*.*.YYY的服务器，简称Y服务器）连接到X服务器上。需要发布的内部资源统一集中在Y服务器中，该服务器充当资源的提供方，它的IP地址是不对外公开的。X服务器处于办公网络和Y服务器中间，为Y服务器提供必要的网络引导服务，它的IP地址是对外公开的。

网络上的终端，可以通过办公网络，访问到X服务器，X服务器再引导相关访问请求给Y服务器，然后由Y服务器经由X服务器对外提供内部资源的信息发布服务。

上述基本网络结构可以抽象为如图2所示的网络模型：

X服务器相当于一个应用级防火墙[2]，将企业网络和提供内部资源服务的Y服务器完全隔离开来，在X服务器自身，构建了一个非军事区（DMZ）[3]，使得用户通过企业网络无法直接访问Y服务器，即Y服务器并未真正意义上对企业网络中的用户提供信息服务。Y服务器处在内部资源区，它为X服务器提供“一对一”的资源服务。

实际的工作过程是：用户通过网络通道，向IP地址及服务全公开的X服务器提交资源访问请求。当X服务器接到资源请求后，通过内部的转译（此功能需编写必要的程序代码实现），生成一个新的资源访问请求，然后将该请求提交给Y服务器。Y服务器接到X服务器提出的资源请求后，将内部的信息资源以特定的展现形式（可以是PDF形式）生成发布页面，然后将结果反馈给X服务器。X服务器接到Y服务器的反馈结果后，将结果通过网络通道反馈给提交资源请求的用户。

与传统的单IIS服务器发布信息时的情况不同的是，用户在自己的浏览器端看到的资源提供方地址为*.*.*.X，即X服务器通过一次自动化的服务请求转译，有效地“误导”了企业网络中的用户，让他们误认为资源是由X服务器自身提供的。此时，如果有攻击者尝试通过资源下载工具来下载X服务器提供的信息资源的源文件，结果只能是链接无效，并下载失败。

上述双IIS主机架构，只是从网络拓扑结构上提供了一种对内部信息资源保护的可能，任何一个信息安全策略的成功实施，都是软、硬件相互配合的结果，该策略也不例外，如果要想完全实现内部信息资源对外提供发布服务，同时源文件对外“透明”，即攻击者无法通过IP地址直接获取到源文件，还需要在两台IIS服务器上分别编写一些必要的程序代码。该策略的内部文件架构如图3所示。

在X服务器上，需要部署图3中编号为①、②、③的三组文件，并且这三组文件要通过网页开发编码中的“框架技术”来组合。其中，用户层的User.htm文件直接接收用户请求，它是用户唯一可见的文件；屏蔽层的Frame.htm文件以零框架层构建屏蔽，设置“陷阱”，“误导”网页源码嗅探工具，导向无效的资源文件；引导层的Guide.html文件内部采用“重定向”技术，为避免网页源码嗅探工具攻破“屏蔽层”，直接操作引导层，而将直接指向引导层的访问请求重新“定向”回用户层。由于框架的存在，嗅探工具对引导层的源代码是不可见的。

在Y服务器上，需要部署的编号为④的文件全部与满足信息资源访问请求相关。除了需要发布的内部资源文件外，其核心的一组文件就是服务层的Service.html文件（该文件名需对外保密，以确保内部资源的安全），它真正对用户层提交的访问请求做出反应，并直接操作内部资源文件，将其以特定的形式（可以装载到网页内嵌的CA8A9780-280D-11CF-A24D-444553540000控件中发布[4]）反馈给X服务器的用户层。值得一提的是，该文件中的直接访问内部资源文件的代码是被有效加密的，通过代码中自动解析的解密代码段来实现对内部资源的强化保护。

为了使内部资源的保护更加严密，使网页的关键性源代码不被攻击者获取，还可以在网页源文件中增加必要的脚本代码，从而实现一系列扩展功能，如：屏蔽鼠标右键、屏蔽键盘上的特殊功能键、禁止网页上的选择复制、禁止截屏（控制剪贴板）等；通过网页内嵌的控件来发布信息资源，可以禁止对文档的保存、复制、打印等。即使攻击者通过浏览器自带的打印功能妄图将文档内容输出到打印机，结果也只能是输出空白的控件框架而已。通过一些简单易行的反黑客技术，还可以屏蔽IE8（及其以上版本）内置的Developer Tool，从而增强了网页源代码的安全性。

简而言之，用户唯一可见的是用户层，常规性的网络工具可以看到屏蔽层，IE8内置的Developer Tool可以通过解析获取到引导层的部分代码，因此，引导层中访问Y服务器的代码段以及服务层中访问内部信息资源的代码段都是被有效加密的，采用加密强度较高的非对称加密算法以加强保护。

通过上述一系列屏蔽手段，用户实际提交请求并访问内部资源时，体会到的资源获取过程，即用户将访问请求通过企业网络提交，然后直接由X服务器（伪文件服务器）充当资源提供方来操作内部资源，并响应用户请求。此时，妄图获取内部信息资源的攻击者如果按照表面上得到的X服务器的相关信息，来攫取内部资源，结果只能是徒劳无功。因为表面上存放于X服务器的内部资源文件，实际并未存放于此，理论上讲，这些文件可能存放于企业网络中的任何一台IIS服务器上。

3 策略的应用

一套策略，只有应用于实践才能实现其价值。将上述策略应用于实践，以企业某大型管理类系统User Guide的在线发布为例。该系统用于管理企业内部研发费用相关数据，包含大量的工作流程，这些流程对应于企业的完整组织结构及核心管理模式，同时系统中还包含了大量的人事及财务信息。该文档的特点是内容量较大（36万余字，合千余页），无法通过观看完成内容记忆。因此，出于对企业内部信息安全的考虑，提出“在线阅读、禁止下载”的总体发布需求。由于该文档会伴随系统功能的调整而不定期改版，因此不能将内容完全图片化或信息流化，要考虑使其便于发布及发布后的更新维护。

应用本文提出的策略，搭建安全可靠的双IIS服务器[5，6]。然后，针对防火墙服务器及文件服务器分别开发并部署相关内部文件。从而使攻击者无法通过常规性嗅探工具获取文档源文件存放的实际网络位置。辅以必要的代码脚本，最终实现上述企业需求。

4 结语

本文提出的基于双IIS主机架构的在线发布策略，适用于企业敏感信息资源的在线发布。如果基于本策略扩展IIS架构，集群式部署多IIS主机（或分支），可以有效提高信息安全等级。

该策略尚有待完善之处。从网络安全角度分析，实施该策略，需重点加强对充当非军事区的X服务器节点的安全防护，及对Y服务器的有效屏蔽。

参考文献

[1]张波，王秀梅.Web安全设置和对策[J].电脑知识与技术，2012，8（12）：2711-2712.

[2]刘辉.我国计算机网络保密技术发展综述[J].保密科学技术，2011（5）：11-13.

[3]娄凯.关于防火墙技术浅析[J].科技信息，2011（18）：236.

[4]康亮.HTTP Streaming 技术发展趋势[J].电信网技术，2011（6）：36-41.

[5]王盛明，张莉.安全WEB服务器的设计与实现[J].科技资讯，2011（3）：15.

[6]裴衣非.构架安全网络服务器的研究[J].价值工程，2011（33）：164-165.