如何在单个 IP 和端口后面隐藏 http 服务器、restful http 服务和 websocket 服务器

Question

现状

服务器开放了三个端口：

1. 用于交付 HTML5 内容的网络服务器（使用来自 System.Net 的 HttpListener）
2. 用于提供请求/响应接口的 RESTful 服务（使用来自 WCF 的 wsHttpBinding）
3. 一个WebSocket服务器（使用AlchemyWebSocket Server）提供发布/订阅接口

由于服务器将托管在 Windows 7/10 操作系统上，来自 .NET 4.5 的 WebSocket 不会有太大帮助，因为完整的框架并未针对 Windows 7/10 实现。我可能错了。

预期情况

应该只公开一个端口，即 SSL/TLS 上的 Web 服务器端口。

我们可以将 Web 服务器和 RESTful 接口合二为一，不使用WCF，而是通过实现嵌入在 Web 服务器中的 RESTful 接口。但这将需要进行重大的代码更改（在服务器端和客户端）。我们希望通过一种涉及最少代码更改的方法来解决这种情况。

问题

如何安全地将这三台服务器隐藏在一个暴露的网络服务器端口后面？ 从安全角度来看，实现这种情况的一般最佳实践是什么？

Answer 1

通过 HTTP/S 请求使用 RESTful 应用程序。您的网络服务器可能会侦听标准端口 80 或 8080 之一以服务处理请求。

如果“隐藏”是指限制/阻止与这些端口的连接，您可以：

1) 通过防火墙规则将此端口的连接限制为已知 IP 地址列表。在 Linux 上，使用 iptables 实用程序是标准的。

2) 要使用上述方法，连接客户端需要固定 IP 地址才能工作。如果您的 ISP 没有分配静态 IP 地址，或者您的客户端需要从其他网络连接，则此方法将无法始终如一地工作。

3) 为了解决上述问题，您可以要求客户端在使用您的 API 之前先通过 VPN 隧道进行身份验证。

不过，老实说，我不推荐上述方法，除非您试图隐藏（比如说）僵尸网络 API。比隐藏服务器端口更重要的是保护业务资源，方法是编写自定义身份验证层逻辑来授予客户端访问您的 API 的权限。 auth 层可以使用基于令牌的方法（例如OAuth）、公钥-私钥或基于会话的登录来实现。与防火墙规则和服务器配置相比，这为您提供了更大的灵活性，并且是 RESTful 应用程序设计中的“一般最佳实践”。

正如您所提到的，您必须强制使用 HTTPS 来加密客户端-服务器数据。

编辑： 由于您使用的是单个服务器，因此您的端口 (80/8080) 将绑定到单个静态 IP 地址。 p>