防火墙和 ArcGIS Server
防火墙有何功能?
每个计算机都有数千个端口,其他计算机可通过这些端口发送信息。防火墙是一种安全机制,用于限制其他计算机与您的计算机通信时所使用的端口数。使用防火墙限制通过少量端口进行的通信时,可以紧密监视这些端口从而防止遭到攻击。此外,也可以将防火墙配置为对于通过只有您知道的端口所进行的通信实施限制。
可以通过硬件、软件或者硬件和软件的结合使用来实现防火墙的功能。防火墙最适合用于检测通过开放端口出入系统的攻击,如蠕虫和一些特洛伊木马。防火墙无法阻挡附加在电子邮件中的病毒或网络内部的威胁。因此,尽管防火墙非常重要,但也不应成为整个安全策略的唯一组成部分。除防火墙外,还应一同部署其他安全策略,如防病毒软件、安全可靠的身份验证和授权技术等等。
使用防火墙保护 GIS 服务器
ESRI 不会建议或支持在 ArcGIS Server 组件之间使用防火墙。这包括在 Web ADF 和 GIS 服务器之间使用防火墙以及在服务器对象管理器 (SOM) 和服务器对象容器 (SOC) 之间使用防火墙。我们建议使用的通过防火墙保护 ArcGIS Server 系统的技术是在外围网络(也称为隔离区 [DMZ] 或屏蔽子网)中配置反向代理 Web 服务器。在此方案中,反向代理 Web 服务器通过限制已知端口(通常为端口 80)通信流量的防火墙,来接收传入的 HTTP 请求。然后,通过另一个防火墙(使用最终用户不知道的端口)将请求发送到位于安全的内部网络中的 ADF Web 服务器。接着,ADF Web 服务器便能够与其他 ArcGIS Server 组件自由建立不受限制的 DCOM 通信。这样,整个 GIS 服务器即可在安全的内部网络中运行,且组件之间不需要防火墙。
以下详细介绍此方案中的各个组成部分:
- 外围网络包括 Internet 用户可通过防火墙访问但不属于安全内部网络的计算机。外围网络将阻止 Internet 客户端直接访问 ArcGIS Server 系统的所有组件(包括 ADF、SOM 和 SOC)。
- 位于外围网络中的反向代理 Web 服务器通过公用端口(如端口 80)接收 Internet 请求。防火墙用于防止通过任何其他端口进行的访问。然后,反向代理服务器通过另一个防火墙将请求发送到安全内部网络,从而通过原始客户端不知道的端口重定向请求。
- 装有 ADF、SOM 和 SOC 的 Web 服务器和数据服务器一起构成安全内部网络的一部分。进入安全网络的请求必须来自反向代理服务器并通过防火墙。离开安全网络的响应返回到客户端的方式与请求到达的方式相同。响应首先通过防火墙返回到反向代理服务器。然后,反向代理服务器通过另一个防火墙将响应发送到客户端。
ESRI 知识库文章 32634 介绍将 ArcGIS Server for the Microsoft .NET Framework 配置为使用反向代理 Web 服务器的过程。