在我的网络上托管公共网站的风险？

Question

我想在我工作的局域网上的旧盒子上安装IIS，以便我可以在其上托管一些我正在使用的Silverlight内容，以便在互联网上向其他人展示。我已经设置了一个公共IP，直接通过我的防火墙直接射到那台机器，我有时会使用远程桌面登录到那台机器，当我在家时做一些错误的工作。它有驱动器号映射到服务器上的数据文件夹，但没有数据直接在该机器上。我不想让我的整个网络暴露在我不理解的风险之中。那么，如果我让人们浏览公共IP地址以使用他们的网络浏览器访问该计算机，这样会安全吗？

Answer 1

  

那么，如果我让人们使用他们的网络浏览器浏览公共IP地址来访问该计算机，会不会安全？

您始终通过允许访问受信任的资源来提高风险级别，因此“安全”是一个相对术语。在这种情况下，您通过在您希望进行安全交易的同一位置（例如登录您的银行帐户）托管可能存在危险等级的风险。

尽管如此，你可以采取一些高价值，低成本的保护措施：

1. 由于您在路由器后面，您的路由器可以执行双重任务并充当防火墙。确保只打开相应的端口。
2. 确保您运行的应用程序以最少的权限执行此操作。如果可能的话，在虚拟机中运行这些应用程序，并使用 作为Web服务器。
3. 安全访问您提供的应用程序;仅允许受信任的用户。
4. 使网站面向公众的区域最小化。
5. 将应用程序保存在完全不同的文件根目录中。

Answer 2

没有。如果那台机器受到损害，可以说它们拥有王国的钥匙。您应该在它与网络的其余部分之间设置DMZ。您应该有一台可通过VPN用于RDC的单独机器。

Answer 3

我不会这样做有三个原因：

1. 正如杰夫所说，你可能会将钥匙分发给王国
2. 您不希望将注意力吸引到您的网络，除非您能够减轻体面的DoS攻击。你永远不知道你主持的内容何时会勾选其他人而导致这一点。这意味着，你的整个网络（理论上）可以与外界隔绝。
3. 即使DMZ中包含折衷方案，您也有可能让该服务器在全球范围内发送垃圾邮件。你不希望在传出的公司邮件陷入黑洞时，从DNSBL中获取IP的痛苦。

它太便宜了，无法支付其他地方托管或小型服务器的位置。

修改：

添加了理由＃3

Answer 4

IIS 5.1仅限于10个并发连接，并且大多数浏览器打开2个或更多连接以下载图像和其他页面元素。

IIS 5.1和XP默认会打开很多东西。通过并关闭IIS中的所有不必要的功能以及XP中所有不必要的面向网络的服务。

Answer 5

只要您记住，您允许外人访问连接到内部网络的计算机，并使计算机保持最新状态，您将“安全”。

就我个人而言，我建议您从外部托管，从而保持您自己的网络更安全，并让托管服务提供商担心更新软件，阻止攻击者和维护网络。它不会花费太多，并且可以减轻您在其他方面需要处理的大部分问题。