1 限制通路内容
為了進一步保護GIS資源,需要對通路内容進行限制:
1) 使用者隻需要知道自己要通路的服務位址,而不應該知道GIS伺服器到底有哪些GIS服務;
2) 嚴格保護GIS伺服器賬戶資訊和配置資訊,警惕非法使用者破壞系統;
3) 保護服務緩存切片,防止使用者偷偷下載下傳;
4) 對外隐藏真實的服務URL,防止惡意攻擊;
通過這樣的限制,能夠使得使用者隻能通路到自己關注的内容,而無法知道的太多,進而形成對GIS伺服器和GIS資源的保護。
在ArcGIS 10.1 for Server中,提供了如下解決方案來實作對通路内容的限制:
1) 禁用服務目錄:防止使用者打探服務資訊;
2) 賬戶和目錄保護:防止使用者篡改GIS伺服器配置;
3) 禁用緩存虛拟目錄:防止使用者偷偷下載下傳緩存圖檔;
4) 反向代理:對外隐藏真實的服務位址。
2 禁用服務目錄
ArcGIS Server 服務目錄是用于檢視GIS服務資訊的快捷方式,通過浏覽器輸入http://myserver:6080/arcgis/rest/services即可檢視。如下圖:
但是為了保護服務資訊,不應該讓更多使用者知道GIS伺服器上有什麼服務,是以需要禁用該服務目錄。
禁用服務目錄需要通過ArcGIS Server Administrator Directory設定,路徑為:system—handlers—rest—servicesdirectory—edit,取消Services Directory Enabled選項,如下圖:
禁用之後再通路,服務目錄就不能通路了。
這樣使用者就不能通過浏覽器來通路服務目錄,是以就無法輕易擷取到服務資源清單。
3 賬戶和目錄保護
賬戶保護主要是嚴格防止Administrator、Publisher賬戶洩露,以免非法使用者登入ArcGIS Server Manager和ArcGIS Server Administrator Directory。
此外為了更好地保護系統安全,推薦禁用主站點管理,以確定使用者隻能通過User角色通路服務資源,避免毀滅性的誤操作。如下圖:
目錄保護主要是指對ArcGIS Server安裝目錄(如:C:\ArcGIS\Server)、配置存儲目錄(如:C:\arcgisserver\config-store)和伺服器目錄(如:C:\arcgisserver\directories)。對于這些目錄,需要賦予ArcGIS Server賬戶足夠的通路權限,但對于其他作業系統賬戶,則應該嚴格限制,以免其他使用者誤删或修改了配置檔案。
4 禁用緩存虛拟目錄
ArcGIS 10.1 for Server内置Web伺服器,在建立站點的過程中,将為緩存目錄等Server目錄自動啟用虛拟目錄。是以可能導緻其他使用者通過URL,直接下載下傳緩存檔案,為了保護緩存檔案不被偷偷下載下傳,需要使用本地緩存目錄來替代。
在未使用本地緩存目錄時,可以通過URL直接通路緩存檔案并下載下傳:
位址欄中輸入的URL為(其中紅色部分就是緩存虛拟目錄關鍵):http://esri-huangd/arcgis/rest/directories/arcgiscache/SampleWorldCities/World%20Cities%20Population/_alllayers/L03/R0000C0000.bundle
為了防止這樣的直接通路,需要添加本地緩存目錄(如:D:\LocalCache):
然後停止服務,編輯服務緩存屬性,啟用本地緩存目錄:
修改完成後,可以重新建立緩存,也可以将之前目錄中的緩存遷移到本地緩存目錄中(原緩存目錄中的緩存,最好清空)。然後再通過剛才的URL通路,就會得到找不到資源之類的提示。
5 反向代理
通過反向代理可以隐藏服務的真實URL,進而防止惡意攻擊。在ArcGIS 10.1 for Server中,推薦如下的結構:
通過反向代理主機,形成安全區域(DMZ),在安全區域和内網、外網之間,分布搭建防火牆,進而對内網形成多層保護。
而對于内網的機器之間,例如GIS伺服器和資料伺服器之間,GIS伺服器之間,都建議不要使用防火牆。
反向代理搭建方法就不在這裡贅述了,感興趣的朋友可以自行搜尋。
綜上各種方法,可以保護ArcGIS Server相關目錄安全,防止非法使用者破壞系統安全,也可以防止使用者了解過多的服務資訊,并且能夠隐藏真實的服務位址。進而使被通路的内容最小化,隐蔽化,達到保護資源的目的。