教你如何運用反向代理技術保護Web服務器
教你如何運用反向代理技術保護Web服務器
歡迎來到學習啦,本文為大家講解網(wǎng)絡通信命令大全,歡迎大家閱讀。
為了增加網(wǎng)絡的安全和保護內(nèi)部網(wǎng)絡上的重要數(shù)據(jù),需要將內(nèi)部網(wǎng)與Internet相隔離,當前主要通過防火墻技術來完成這個目的。然而為了保護內(nèi)部主機,防火墻軟件就必須限制外部網(wǎng)絡中的主機對內(nèi)部網(wǎng)絡的訪問。因此普通防火墻軟件的設置中,外部網(wǎng)絡無法訪問內(nèi)部主機。然而,為了向外發(fā)布自己的信息,就需要允許外部網(wǎng)絡訪問自己的Web服務器。最簡單的處理方法是將Web服務器放在防火墻之外,這樣就將Web服務器和內(nèi)部網(wǎng)絡區(qū)分開,Web服務器暴露在網(wǎng)絡外部,就有可能招受攻擊而導致服務器癱瘓或網(wǎng)頁被更改等潛在的問題。而當前,Web服務器上面的信息越來越豐富和重要,Web服務器的重要性也非常明顯。因此就需要使用防火墻來保護它,如果要將Web服務器放在防火墻之內(nèi),則需要防火墻的支持。
當前防火墻主要有兩種類型,一種為包過濾型防火墻,這種防火墻針對每個IP包識別它是否符合管理員設定的過濾規(guī)則,符合一定要求的才被正確轉(zhuǎn)發(fā)??梢允褂玫倪^濾規(guī)則包括源和目的主機的名字和IP地址,端口地址,使用的網(wǎng)絡界面,以及IP包的類型。通常包過濾型的防火墻軟件根據(jù)IP包的類型屏蔽所有的由外部發(fā)起的連接請求,從而保護內(nèi)部網(wǎng)絡。如果要將Web服務器放在放火墻之內(nèi),就需要允許對這個Web服務器和它使用的TCP端口的訪問。
另一種類型的防火墻為應用代理型的防火墻,這種防火墻針對每種應用協(xié)議提供相應的代理服務,由代理服務器訪問網(wǎng)絡,并將結(jié)果返回給客戶機。標準的http協(xié)議的代理服務,客戶端的瀏覽器必須配置代理服務器的IP地址,不可能要求其他外部主機為訪問這個內(nèi)部網(wǎng)絡上的主機而重新設置代理服務器的地址。代理服務器并不區(qū)分外部網(wǎng)絡和內(nèi)部網(wǎng)絡,但是代理服務器使用Internet上的名字解析來確定Web服務器的位置,而通常防火墻內(nèi)使用內(nèi)部地址,這也決定了普通代理型防火墻不支持外部網(wǎng)絡對內(nèi)部Web服務器的http訪問請求。因此普通代理服務器簡單的屏蔽外部地址的訪問,因此最簡單的保護對外發(fā)布信息的Web服務器的方式是使用包過濾型的防火墻。
一旦允許外部網(wǎng)絡中的主機可以向內(nèi)部網(wǎng)絡發(fā)起連接請求,攻擊者就可以在網(wǎng)絡外部嘗試進行連接,這增加了攻擊者攻擊內(nèi)部網(wǎng)絡的方式,降低了整個網(wǎng)絡的安全系數(shù)。如果不允許外部主機向內(nèi)部網(wǎng)絡發(fā)起連接請求,攻擊者就只好在外部發(fā)起攻擊,使用特洛伊木馬或者IP spoof等技術,這些方式與發(fā)起主動連接的攻擊方式相比,沒有現(xiàn)成的工具供利用,因此使得攻擊的復雜性大大增加,因此網(wǎng)絡被攻擊的可能性大為減少,幾乎成為不可能。一旦攻擊者進入內(nèi)部網(wǎng)絡中的Web服務器,整個內(nèi)部網(wǎng)絡就暴露在攻擊者的面前,防火墻就不能起到應有的作用了。因此通過重新定義包過濾型防火墻的過濾規(guī)則,并將Web服務器放在內(nèi)部網(wǎng)絡內(nèi),只是一種簡單的保護Web服務器的方法,然而不利于保護整個內(nèi)部網(wǎng)絡的安全。
因此,為了在保護Web服務器和內(nèi)部網(wǎng)絡的安全,當前使用的更安全的做法是實現(xiàn)雙層防火墻。外層防火墻實現(xiàn)包過濾功能,然而卻允許外部網(wǎng)絡訪問其中的Web服務器,內(nèi)部防火墻允許最中間的內(nèi)部網(wǎng)絡可以訪問外部網(wǎng)絡。在外部防火墻和內(nèi)部防火墻之間稱為停火區(qū),提供外部網(wǎng)絡訪問的服務器就位于這個區(qū)域,表明即使攻擊者通過外部防火墻進入這個區(qū)域,也無法攻入內(nèi)部網(wǎng)絡。雙層防火墻通過設置了兩層防火墻,使得內(nèi)部網(wǎng)絡更為安全。然而,它在保護Web服務器方面的作用,與單層防火墻相似。因為此時Web服務器仍然只受到一層防火墻的保護,同樣也無法對外部隱藏防火墻內(nèi)主機的各種信息,例如服務器的ip等。而且這層防火墻是對應用協(xié)議一無所知的包過濾防火墻,由于包過濾的方式不識別應用協(xié)議,通常為http協(xié)議,那么就無法正確識別外部的連接請求是否屬于正常連接,通常也無法進行詳盡的連接記錄。為了更好的保護Web服務器不被外部攻擊者破壞,就應該屏蔽內(nèi)部服務器的IP地址等信息,并且防火墻能夠識別連接協(xié)議,顯然這是代理型防火墻的任務。