如何配置Web服务器实现负载均衡

这篇实用文章介绍如何将pfSense 20配置成你那些Web服务器的负载均衡器。这篇实用文章假设你已经安装了一个pfSense设备和至少两台Apache服务器，并且运行在你的网络上；还假设你具备了pfSense方面的一些知识。

要求

一台设备用于安装pfSense 20（如果这是你的边缘防火墙，我会建议物理机器）。

至少两台Apache2服务器（这些可以是虚拟服务器）。

对Apache服务器进行了配置，以便以某种方式同步Web文件（rsync/corosync或通过Web服务器维持文件版本最新的另一个选项）。

配置pfSense

pfSense使用负载均衡器，将某些类型的流量带来的负载分摊到多台服务器上；如果你有多台服务器用于托管运行应用程序，这很好；你可以将负载分摊到所有服务器上，而不是把负载全扔给一台服务器、导致不堪重负。

可以入手了，先点击“Services”（服务），然后点击“Load Balancers”（负载均衡器），然后点击“Monitor”（监视器）选项卡。

要添加一个新条目，点击“Plus”（添加）按钮，指定“Name”（名称）和“Description”（描述，在这个示例中，我会使用ApacheClusterMon作为名称和描述），将类型设成“HTTP”，然后为“Host”（主机）设置一个未使用的IP地址（我们随后会创建虚拟服务器的IP，以便分配给故障切换服务器组），任由“HTTP Code”（HTTP代码）设成“200 OK”。需要的话，然后点击“Save”（保存），使更改生效。

现在我们要创建服务器池。点击“Pools”（服务器池）选项卡，点击“Plus”（添加）按钮，即可添加新的服务器池。

指定一个名称（ApacheSrvPool将用在我的示例中）。将“Mode”（模式）设成“Load Balance”（负载均衡），然后将“Port”（端口）设成“80”（你可以让pfSense对其他端口上的其他应用程序实现负载均衡），将“Monitor”（监视器）设成你之前创建的监视器配置，并且指定你希望在服务器池中的所有Web服务器的IP地址，需要的话，点击“Save”（保存），使更改生效。

接下来点击“Virtual Servers”（虚拟服务器）选项卡，点击“Plus”（添加）按钮，添加一个新条目。指定“Name”（名称）和“Description”（描述），然后用你之前选择的未使用IP地址来设置“IP Address”（IP地址），将“Port”（端口）设成“80”，然后将“Virtual Server Pool”（虚拟服务器池）设成你之前创建的服务器池，点击“Submit”（提交），使更改生效。

就这样，你刚配置好了pfSense，对你的Web服务器之间的网络流量实现负载均衡。

顺便提一下，如果任何一台服务器没有给出200 OK状态这样的回应（pfSense定期向你的Web服务器发送请求，以确定它们是否正常运行），服务器池就会处于离线停运状态。要避免出现停运，最好的办法就是配置故障切换系统（下一篇文章会有介绍）。

　Windows 2000 Server、Freebsd是两种常见的服务器。第一种是微软的产品，方便好用，但是，你必须要不断的patch它。Freebsd是一种优雅的操作系统，它简洁的内核和优异的性能让人感动。关于这几种操作系统的安全，每种都可以写一本书。我不会在这里对它们进行详细描述，只讲一些系统初始化安全配置。

　 Windows2000 Server的初始安全配置

　Windows的服务器在运行时，都会打开一些端口，如135、139、445等。这些端口用于Windows本身的功能需要，冒失的关闭它们会影响到Windows的功能。然而，正是因为这些端口的存在，给Windows服务器带来诸多的安全风险。远程攻击者可以利用这些开放端口来广泛的收集目标主机信息，包括操作系统版本、域SID、域用户名、主机SID、主机用户名、帐号信息、网络共享信息、网络时间信息、Netbios名字、网络接口信息等，并可用来枚举帐号和口令。今年8月份和9月份，微软先后发布了两个基于135端口的RPCDCOM漏洞的安全公告，分别是MS03-026和 MS03-039，该漏洞风险级别高，攻击者可以利用它来获取系统权限。而类似于这样的漏洞在微软的操作系统中经常存在。

　解决这类问题的通用方法是打补丁，微软有保持用户补丁更新的良好习惯，并且它的Windows2000SP4安装后可通过WindowsUpdate来自动升级系统补丁。另外，在防火墙上明确屏蔽来自因特网的对135-139和445、593端口的访问也是明智之举。

　Microsoft的SQLServer数据库服务也容易被攻击，今年3月份盛行的SQL蠕虫即使得多家公司损失惨重，因此，如果安装了微软的'SQLServer，有必要做这些事：1）更新数据库补丁；2）更改数据库的默认服务端口（1433）；3）在防火墙上屏蔽数据库服务端口；4）保证 sa口令非空。

　另外，在Windows服务器上安装杀毒软件是绝对必须的，并且要经常更新病毒库，定期运行杀毒软件查杀病毒。

　不要运行不必要的服务，尤其是IIS，如果不需要它，就根本不要安装。IIS历来存在众多问题，有几点在配置时值得注意：1）操作系统补丁版本不得低于SP3;2）不要在默认路径运行WEB（默认是c:inetpubwwwroot）；3）以下ISAPI应用程序扩展可被删掉：。 idaidqidc shtm shtml printer。

　 Freebsd的初始安全配置

　Freebsd在设计之初就考虑了安全问题，在初次安装完成后，它基本只打开了22（SSH）和25（Sendmail）端口，然而，即使是 Sendmail也应该把它关闭（因为历史上Sendmail存在诸多安全问题）。方式是编辑/etc/rcconf文件，改动和增加如下四句：

　sendmail_enable="NO"

　sendmail_submit_enable="NO"

　sendmail_outbound_enable="NO"

　sendmail_msp_queue_enable="NO"

　这样就禁止了Sendmail的功能，除非你的服务器处于一个安全的内网（例如在防火墙之后并且网段中无其他公司主机），否则不要打开Sendmail。

　禁止网络日志：在/etc/rcconf中保证有如下行：

　syslogd_flags="-ss"

　这样做禁止了来自远程主机的日志记录并关闭514端口，但仍允许记录本机日志。

　禁止NFS服务：在/etc/rcconf中有如下几行：

　nfs_server_enable="NO"

　nfs_client_enable="NO"

　portmap_enable="NO"

　有些情况下很需要NFS服务，例如用户上传的目录通常需要共享出来供几台WEB服务器使用，就要用到NFS。同理，要打开NFS，必须保证你的服务器处于安全的内网，如果NFS服务器可以被其他人访问到，那么系统存在较大风险。保证/etc/inetdconf文件中所有服务都被注销，跟其他系统不同，不要由inetd运行任何服务。将如下语句加进/etc/rcconf：

　 inetd_enable="NO"

　所有对/etc/rcconf文件的修改执行完后都应重启系统。

　如果要运行Apache，请编辑httpdconf文件，修改如下选项以增进安全或性能：

　1） Timeout 300>Timeout 120

　2） MaxKeepAliveRequests 256

　3） ServerSignature on>ServerSignature off

　4） Options IndexesFollowSymLinks行把indexes删掉（目录的Options不要带index选项）

　5） 将Apache运行的用户和组改为nobody

　6） MaxClients 150——>MaxClients 1500

　（如果要使用Apache，内核一定要重新编译，否则通不过Apache的压力测试，关于如何配置和管理WEB服务器请见我的另一篇文章）

　如果要运行FTP服务，请安装proftpd，它比较安全。在任何服务器上，都不要打开匿名FTP。

　Windows 2000 Server和Freebsd两种服务器的安全配置就向大家介绍完了，希望大家已经掌握。