内核模式Web服务器：明智的优化还是安全的噩梦？

我正在阅读一个黑客新闻主题，其中一个用户发布了2011年的链接，解释说IIS比大多数其他（* nix）Web服务器要快得多。另一位用户回答，解释说IIS通过拥有名为HTTP.sys的内核模块而获得了这一优势。据我所知，2015年大多数其他流行的Web服务器都没有这样做。

我永远都不想写一个内核模式的Web服务器，因为我永远不相信自己让它摆脱安全漏洞（在较低防护等级下运行不会那么严重）。

从软件工程师（相对于Web服务器的客户）的角度来看，以内核模式运行是否是明智的性能决策？是否可以在应用程序开发中减轻安全隐患，以使内核模式服务器成为消费者的纯利？

Http.sys并不是Web服务器，而是代理转发器。它的设计允许Windows箱上共存许多Web服务器，因此您可以让IIS运行一个网站，但也可以在标准端口80上运行多个以http / REST或SOAP接口运行的WCF服务。不能在Windows上运行Apache而不会有任何麻烦，Apache尚未进行修改以与该注册系统一起使用，可惜它没有对应用程序变得更加透明，并且需要进行一些相当复杂的修改才能加入）。

它的工作方式是在URL和相应的应用程序上注册URL，然后在端口80上发出http请求时，http.sys接受它，然后将请求传递给注册的任何应用程序以处理该URL目标。

我怀疑内核模式的网络服务器是否有意义-即使可以通过这种方式提高套接字性能，为了执行任何有用的工作，应用程序逻辑仍将在用户空间中执行，因此总会有过渡-您ve只是沿着调用栈移动了一点。

Http.sys不是唯一可用的内核模式Web服务器：在Linux下也有tux。正如您已经正确地确定的那样，安全性是这类服务器的关注点，这导致Tux不包含在主线linux内核中（而且我相信对于最新的内核版本不会进行更新）。

更好的解决方案是使用不依赖硬件保护来强制执行过程安全性的操作系统，例如Microsoft的奇异之处：这样的系统可以在不增加安全性风险的情况下提高内核模式服务器的效率。不幸的是，截止到2015年，没有基于此原理的可用于生产的操作系统，并且AFAIK都没有认真地开发一个操作系统（Singularity项目已取消）。

Http.sys的风险低，因为它无法运行第三方提供的任何应对措施。

Http.sys完成一些任务。

• 它充当代理转发器，因此允许多个进程响应对HTTP名称空间不同部分的请求。gbjbaanb的答案很好。

• 它直接从Windows文件缓存中提供静态文件。由于没有上下文切换，因此可以大大提高小型文件静态文件的速度。

• 它将缓存将HTTP请求转发到的任何应用程序的输出，并返回兑现的结果。该应用程序可以完全控制缓存的持续时间（如果有）。

Http.sys旨在非常快速地完成简单任务，同时将其他所有内容传递给用户空间中的进程。

回应评论

“低风险，因为它无法运行第三者提供的任何代码” –这就是他们总是说的，而且几乎从来都不是真的。

问题是您必须信任Microsoft编写复杂的内核代码来询问此问题，否则您决定根本不使用Windows进行虚拟主机。不管内核多么复杂，Http.sys几乎不会增加内核错误的风险。

如果Http.sys降低了风险，则因为“低级” Web服务和应用程序代码之间存在明显的分隔。

在设计良好的设置中，运行Web服务器的计算机（或虚拟服务器）对网络其余部分的访问非常有限，因为它是高风险目标。如果内核或用户模式的Web服务器被黑客入侵，则几乎没有什么不同，因为服务器不应在网络上拥有更多的“权利”，因此Web服务器用户模式进程需要完成其工作。