反向连接后门和普通后门的区别

连接控制端不一样，防火墙连接不一样。根据查询道客巴巴网得知。

1、连接控制端不一样，反向连接后门是客户端打开服务器端口，由服务器主动连接客户端，普通后门是从目标主机到攻击机的网络连接。

2、防火墙连接不一样，反向连接后门是绕过防火墙和路由器安全限制，普通后门是连接内外网的接口。

当需要对内部网络提供更进一步的保护时，仍然可以使用双层防火墙模式，这样兼具反向代理对Web服务器的保护能力，和双层防火墙对内部数据的更大的保护能力。

当组织向外提供信息发布的时候，并不仅仅要提供一些静态的网页，更大的可能是要根据实际的数据动态发布信息。因此发布的网页便需要通过访问数据库动态生成，通常使用的动态生成技术有CGI或服务器端文档解析等方式生成的。然而无论那种方式，都需要使得Web服务器能够和数据库服务器进行连接、通信。然而系统数据库应该是内部网络中应该首要保护的系统，因此要求安全性要求不高的对外发布信息的Web服务器和内部数据库服务器放置在同一个网段，就会造成相应的安全问题。

为了提高访问数据库服务器的安全性，就需要对能够访问数据库的CGI程序进行限制，这就要求对启动CGI的URL请求比对普通url进行更严格的限制。与普通包过滤型防火墙不同，反向代理能够理解http协议，能区分出不同的url请求，从而能够实现对cgi请求比普通http请求更严格的控制，甚至可以将cgi请求发送到一台专用的CGI服务器进行处理，从而分别处理普通url请求和cgi请求。这台cgi服务器可以具有访问数据库的能力，保证数据库的安全。

总结本文中的论述，可以看出，反向代理方式是一种对外提供Web发布时使用的有效的防火墙技术，使用它和传统防火墙技术相结合，就能实现简单有效的防火墙系统。

你可以租用一台国外的可以转发的虚拟主机,100M以内就可以的,然后将你域名的DNS指向那台虚拟主机,然后在那台虚拟主机上设置转发到你真正的主机上,这样应该可以的吧!

Exchange Server 2003

在公司环境中放置 RPC 代理服务器和防火墙

在公司环境中部署 RPC over HTTP 时，有几种用于放置 RPC 代理服务器和防火墙的部署策略可供选择。建议用于邮件环境的部署策略是在外围网络中部署高级防火墙服务器，如具有 Service Pack 1 和 Feature Pack 1 或更高版本的 Microsoft® Internet Security and Acceleration (ISA) Server 2000。然后在公司网络中放置 RPC 代理服务器，并使用 Exchange 前端和后端服务器体系结构。

Note:

当您使用 ISA Server 作为高级防火墙服务器时，有几个部署方案可供选择。这些方案将在下列各节中说明。有关如何安装 ISA Server 作为高级防火墙服务器的信息，请参阅 Using ISA Server 2004 with Exchange Server 2003（英文）()。

方案 1：将 ISA Server 部署在外围网络中的前端和后端服务器体系结构

通过使用外围网络中的 ISA Server 来路由 RPC over HTTP 请求，并将 Exchange 前端服务器放置在公司网络中，只需打开内部防火墙上的端口 443 供 Microsoft Office Outlook® 2003 客户端与 Exchange 通信使用。下图显示此部署方案。

通过将 ISA Server 用作外围网络中的反向代理服务器来部署 RPC over HTTP

当 ISA Server 位于外围网络中时，它会将 RPC over HTTP 请求路由到充当 RPC 代理服务器的 Exchange 前端服务器。然后 RPC 代理服务器通过特定端口与使用 RPC over HTTP 的其他服务器通信。

Note:

如果您的防火墙配置为仅允许访问特定虚拟目录，则必须明确允许访问安装 Microsoft Windows® RPC 网络组件时创建的 /rpc 虚拟目录。

方案 2：在外围网络中放置 RPC 代理服务器

虽然不推荐这样做，但可以将充当 RPC 代理服务器的 Exchange Server 2003 前端服务器放置在外围网络内。有关将 Exchange 前端服务器放置在外围网络中的详细信息，请参阅 Exchange Server 2003 and Exchange 2000 Server Front-End and Back-End Topology（英文）() 中的主题“Scenarios for Deploying Front-End and Back-End Topology”。

在此方案中，配置 Exchange 服务器的方式与方案 1 中一样。但是，除那些已经要求用于 Exchange 前端服务器的端口外，您还将需要确保打开内部防火墙上 RPC over HTTP 所需的端口。下列端口是 RPC over HTTP 所需的端口：

TCP 6001（Microsoft Exchange Information Store 服务）

TCP 6002（目录服务代理组件的引用服务）

TCP 6004（目录服务代理组件的代理服务）

Note:

运行 Exchange Server 2003 安装程序时，Exchange 会自动配置为使用端口 6001（它是存储所需的端口）和 6004（它是目录服务代理组件 (DSProxy) 所需的端口）。

有关 Exchange 前端和后端服务器上所需的其他端口的完整列表，请参阅 Exchange Server 2003 and Exchange 2000 Server Front-End and Back-End Topology（英文）() 中的“部署前端/后端拓扑时的注意事项”。下图显示此部署方案。

在外围网络中的 Exchange 前端服务器上部署 RPC over HTTP

方案 3：使用 Exchange 单服务器安装

如果打算使用单个服务器作为 Exchange 邮箱服务器和 RPC 代理服务器，或打算使用单个服务器作为 Exchange 邮箱服务器、RPC 代理服务器和全局编录服务器，并且没有单独的 Exchange 前端服务器，请参阅下列主题之一：

如何在无前端服务器的情况下首次在 Exchange Server 2003 SP1上部署 RPC over HTTP

如何在无前端服务器的情况下首次在 Exchange Server 2003 上部署 RPC over HTTP

如何在无前端服务器后端位于全局编录服务器上的情况下首次在 Exchange Server 2003 上部署 RPC over HTTP

下图显示此部署方案。

在此方案中，您还将需要配置服务器以便将指定的端口用于 RPC over HTTP。下列端口是 RPC over HTTP 所需的端口：

TCP 6001（Microsoft Exchange Information Store 服务）

TCP 6002（DSProxy 的引用服务）

TCP 6004（DSProxy 的代理服务）

Note:

运行 Exchange Server 2003 安装程序时，Exchange 会自动配置为使用端口 6001（它是 Microsoft Exchange Information Store 服务所需的端口）和 6004（它是 DSProxy 的代理服务所需的端口）。

方案 4：安全套接字层减负

您可以使用 Exchange 前端服务器以外的服务器来处理客户端连接的安全套接字层 (SSL) 解密。在此方案中，您将需要设置特殊注册表设置以允许 SSL 解密发生在前端服务器以外的计算机上。有关详细信息，请参阅如何配置 RPC 代理服务器以允许在单独服务器上使用 SSL 减负功能。下图显示此部署方案。

将 ISA Server 用作带 SSL 减负功能的外围网络中的反向代理服务器，来部署 RPC over HTTP

单个 Exchange 服务器部署

内网机器：A

公网机器：B

1、内网机器（A）安装autossh

配置免密登录

启动端口(A)

参数解释：

注意：autossh只有三个命令，其他命令都是通过调用ssh提供的，autossh在这里只是起到了监听ssh是否断开并将其自动拉起的作用。执行完这条命令，将会在外网机器(B)123123123123上启动并监听8888端口，如下（外网机器查看)

可知，该端口是默认绑定在lo地址上的，所以在外网机器上反向登陆服务器时，可用localhost或者127001，但是不能使用真实网卡的地址去连接。

2、外网机器连接内网服务器

3、添加到系统服务，方便管理

cd /etc/systemd/system/ && vim autosshservice

启停autossh

　　反向绑定域名最初应该是应用在站点负载均衡和域名内网转发上，利用反向绑定域名的 方法 可以将用户的不同请求分发到不同的服务器上，下面是我给大家整理的一些有关反向绑定域名的方法，希望对大家有帮助!

反向绑定域名的方法

　一、利用虚拟主机空间作反向绑定域名

　1、先找到一个支持自定义htaccess，apache服务器，允许有反向代(^_^)理的权限的免费空间或者虚拟主机，将空间的htaccess文件下载到本地，用记事本打开，将下列代码添加进去，再上传，如下:RewriteEngine On RewriteBase / RewriteRule ^()$ hp://域名/$1 [P]

　2、注意把代码中的网址替换成你想要反向绑定域名的域名，这里是强制将域名绑定到SAE空间上，用了SAE的二级域名地址

　3、如果你找不到支持htaccess的URL地址重写的虚拟主机或者空间，可以直接使用7ghost这个PHP程序，只要空间支持allow_furl_open和curl、容量至少要有500K即可。如果启用缓存的话需要 写权限和空间足够大。

　4这是7ghost程序设置界面(点击放大)，利用它你可以反向Dai理任何网站，详细的操作方法

　二、利用Nginx反向绑定域名

　1如果你有VPS主机，那么可以用Nginx的反向配置来搭建一个反向绑定域名的平台了，Nginx强大之处还在于还可以变成一个缓存平台，大大加快你反向Dai理的网站的访问速度。

　2因为国内的空间不让绑定没有BA的域名，部落之前利用Nginx反向绑定域名到国内的空间上

　三、利用kangle web搭建反向绑定域名服务器

　1kangle web服务器是一款跨平台、功能强大、安全稳定、易操作的高性能web服务器和反向Dai理服务器软件，能实现强大的访问请求控制(url,ip地址,连接数/网速限制,hp头,时间控制,多种hp认证,#服务器负载,url重定向,url重写,内容过滤等等)。

　2与上面的采用Nginx反向配置来搭建反向绑定域名不同的是，kangle web有良好的Web操作界面，通过搭建不同的配置可以实现复杂的反向域名

　四、利用AMH和upupw来反向绑定域名

　1AMH是国内一个开源的主机面板，可以创建 LNMP、LAMP、LNMH 等不同WEB应用环境，新版本的AMH还支持apache24和HHVM。AMH相应的功能模块也非常地多，其中AMProxy就是一个反向绑定域名模块。

　AMProxy的20版本支持缓存管理功能，支持在线关键字添加、替换，支持设置不同类型文件替换、与支持添加自定义首尾html代码块等。利用CDN智能解析功能，将不同路线、地理位置的用户解析到相应服务器，对用户访问进行缓存加速，同时减轻源站的服务器压力

　利用AMH反向绑定域名并成功绕过白名单的方法，首先是要求：一个有BA号的域名、一个没有BA号的域名、一台可以访问的境外主机，美国的VPS主机就可以。

　使用 root 账号登录 Linux 服务器。执行 amh 安装脚本：wget hp://amhsh/amhsh && bash amhsh 2>&1 | tee amhlog，根据提示输入选择1~3选项。输入1回车，进入安装

　极速安装方式大约只需要1至3分钟(以服务器性能为准)，成功安装后系统会提示AMH与MySQL默认账号密码。可使用普通连接访问面板，ip:8888，或加密的连接访问面板，ip:9999

　登陆后台找到 模块扩展 > 下载模块，大约在第3页找到 AMProxy-20 下载并安装。在管理模块中找到并进入设置界面，可以看到新增AMProxy反向代理网站一栏。绑定域名：输入没有BA号的域名(IP)，反代域名：输入有BA号的域名(IP)

　用上面的方法，默认是反代到国内主机的80端口上，可是有些主机反代到80端口后还是无法访问，下面说一下如何使用其他端口建站。这里以没有BA号的域名 buketsnet和有BA号的域名 demovsenme来作演示，环境是upupw+amh。

　先在国内的云主机上安装upupw，然后新建虚拟主机域名输入为 demovsenme，目录自设。打开upupw目录进入 Apache2\conf，找到hpd-vhostsconf并打开(注意不要使用系统的 笔记本 或文本文档打开，我用的是Notepad++)

　找到刚刚新建的虚拟主机规则，并将 servername demovsenme:80 改为 servername demovsenme:8000，保存并关闭。继续打开目录下的hpconf文件，在最下方 # upupw apache conf end 前增加如下代码，保存并关闭。

　# 新增监听端口Include conf/hpd-listenconf

　在 Apache2\conf 目录下新建 hpd-listenconf 文件，在里面写入 Listen 8000，保存并关闭。打开系统防火墙(控制面板中)，选择 例外 选项卡，点击下方的 添加端口 按钮，名称自起，端 口号 写入8000，确定。回到upupw面板，重启

　没有意外的话，访问buketsnet就可以成功打开网站了。上面只做了一个网站的例子，如果以后有多个网站，那就需要重复以上步骤了

　END

但是，如果想让互联网上的主机访问内部网的主机资源（例如：Web站点），又想使内部网主机免受外部网主机攻击，一般的代理服务是不能实现的，需要使用反向代理来实现。

一．反向代理的概念

Web服务器加速（反向代理）是针对Web服务器提供加速功能的。它作为代理Cache，但并不针对浏览器用户，而针对一台或多台特定Web服务器（这也是反向代理名称的由来）。实施反向代理（如上图所示），只要将Reverse Proxy Cache设备放置在一台或多台Web服务器前端即可。当互联网用户访问某个WEB服务器时，通过DNS服务器解析后的IP地址是Reverse Proxy Server的IP地址,而非原始Web服务器的IP地址,这时Reverse Proxy Server设备充当Web服务器，浏览器可以与它连接，无需再直接与Web服务器相连。因此，大量Web服务工作量被卸载到反向代理服务上。不但能够防止外部网主机直接和web服务器直接通信带来的安全隐患，而且能够很大程度上减轻web服务器的负担，提高访问速度。

二．反向代理和其它代理的比较

下面将对几种典型的代理服务作一个简单的比较。在网络上常见的代理服务器有三种：

1． 标准的代理缓冲服务器

一个标准的代理缓冲服务被用于缓存静态的网页（例如：html文件和文件等）到本地网络上的一台主机上（即代理服务器）。当被缓存的页面被第二次访问的时候，浏览器将直接从本地代理服务器那里获取请求数据而不再向原web站点请求数据。这样就节省了宝贵的网络带宽，而且提高了访问速度。但是，要想实现这种方式，必须在每一个内部主机的浏览器上明确指明代理服务器的IP地址和端口号。客户端上网时，每次都把请求送给代理服务器处理，代理服务器根据请求确定是否连接到远程web服务器获取数据。如果在本地缓冲区有目标文件，则直接将文件传给用户即可。如果没有的话则先取回文件，先在本地保存一份缓冲，然后将文件发给客户端浏览器。

2． 透明代理缓冲服务器

透明代理缓冲服务和标准代理服务器的功能完全相同。但是，代理操作对客户端的浏览器是透明的（即不需指明代理服务器的IP和端口）。透明代理服务器阻断网络通信，并且过滤出访问外部的HTTP（80端口）流量。如果客户端的请求在本地有缓冲则将缓冲的数据直接发给用户，如果在本地没有缓冲则向远程web服务器发出请求，其余操作和标准的代理服务器完全相同。对于Linux操作系统来说，透明代理使用Iptables或者Ipchains实现。因为不需要对浏览器作任何设置，所以，透明代理对于ISP（Internet服务器提供商）特别有用。

3． 反向代理缓冲服务器

反向代理是和前两种代理完全不同的一种代理服务。使用它可以降低原始WEB服务器的负载。反向代理服务器承担了对原始WEB服务器的静态页面的请求，防止原始服务器过载。它位于本地WEB服务器和Internet之间，处理所有对WEB服务器的请求，组织了WEB服务器和Internet的直接通信。如果互联网用户请求的页面在代理服务器上有缓冲的话，代理服务器直接将缓冲内容发送给用户。如果没有缓冲则先向WEB服务器发出请求，取回数据，本地缓存后再发送给用户。这种方式通过降低了向WEB服务器的请求数从而降低了WEB服务器的负载。

三．反向代理工作原理