阻止直接 Web 访问并仅允许 RDP

Prevent direct web access and only allow RDP

我们在 Windows Server 2012 R2 上有一个计费服务器,运行正在使用一个 coldfusion 计费应用程序 (CF11 Enterprise),它有一个供管理员使用的网址 (http://billing.blah.com)登录和管理帐户、运行 报告等

我们想要 "lock down" 这个网站,以便您可以通过远程桌面查看它的唯一方式(IP 地址必须列入白名单,这可以通过服务器处理)。我们不再希望在开放的互联网上访问该站点。

请注意,当我们通过 RDP 连接到服务器时,我们通过 http://127.0.0.1/blah 访问该站点。

我问过我们的服务器人员这是否可以通过服务器 rule/routine 或其他方式完成。但我只是想知道 ColdFusion 是否真的可以做类似的事情。

连接器XML节点

<!-- internal webserver start -->
    <Connector packetSize="65535" port="8500" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8447" />

<!-- Define an AJP 1.3 Connector on port 8009 -->
<!-- begin connector -->
    <Connector packetSize="65535" port="8014" protocol="AJP/1.3" redirectPort="8447" tomcatAuthentication="false" />

要让 Tomcat(ColdFusion 的底层 webserver/-container)仅侦听本地 IP 地址,请转到 /ColdFusion/cfusion/runtime/conf/server.xml,搜索:

<Connector executor="tomcatThreadPool" maxThreads="50"
           port="8500" protocol="org.apache.coyote.http11.Http11Protocol"
           connectionTimeout="20000"
           redirectPort="8445" />

并向其添加 address="127.0.0.1",如下所示:

<Connector executor="tomcatThreadPool" maxThreads="50"
           address="127.0.0.1" port="8500" protocol="org.apache.coyote.http11.Http11Protocol"
           connectionTimeout="20000"
           redirectPort="8445" />

这告诉 Tomcat 只听那个特定地址而不是 OS 上的任何地址。重启 ColdFusion 服务器,大功告成。

注意:根据 ColdFusion 版本,<Connector> 标签可能具有不同的属性。通常会查找 port 属性值与您在安装时设置的值匹配的标签,通常是 8500.