教你如何運(yùn)用反向代理技術(shù)保護(hù)Web服務(wù)器

　　歡迎來(lái)到學(xué)習(xí)啦，本文為大家講解網(wǎng)絡(luò)通信命令大全，歡迎大家閱讀。

　　為了增加網(wǎng)絡(luò)的安全和保護(hù)內(nèi)部網(wǎng)絡(luò)上的重要數(shù)據(jù)，需要將內(nèi)部網(wǎng)與Internet相隔離，當(dāng)前主要通過(guò)防火墻技術(shù)來(lái)完成這個(gè)目的。然而為了保護(hù)內(nèi)部主機(jī)，防火墻軟件就必須限制外部網(wǎng)絡(luò)中的主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。因此普通防火墻軟件的設(shè)置中，外部網(wǎng)絡(luò)無(wú)法訪問(wèn)內(nèi)部主機(jī)。然而，為了向外發(fā)布自己的信息，就需要允許外部網(wǎng)絡(luò)訪問(wèn)自己的Web服務(wù)器。最簡(jiǎn)單的處理方法是將Web服務(wù)器放在防火墻之外，這樣就將Web服務(wù)器和內(nèi)部網(wǎng)絡(luò)區(qū)分開(kāi)，Web服務(wù)器暴露在網(wǎng)絡(luò)外部，就有可能招受攻擊而導(dǎo)致服務(wù)器癱瘓或網(wǎng)頁(yè)被更改等潛在的問(wèn)題。而當(dāng)前，Web服務(wù)器上面的信息越來(lái)越豐富和重要，Web服務(wù)器的重要性也非常明顯。因此就需要使用防火墻來(lái)保護(hù)它，如果要將Web服務(wù)器放在防火墻之內(nèi)，則需要防火墻的支持。

　　當(dāng)前防火墻主要有兩種類型，一種為包過(guò)濾型防火墻，這種防火墻針對(duì)每個(gè)IP包識(shí)別它是否符合管理員設(shè)定的過(guò)濾規(guī)則，符合一定要求的才被正確轉(zhuǎn)發(fā)?？梢允褂玫倪^(guò)濾規(guī)則包括源和目的主機(jī)的名字和IP地址，端口地址，使用的網(wǎng)絡(luò)界面，以及IP包的類型。通常包過(guò)濾型的防火墻軟件根據(jù)IP包的類型屏蔽所有的由外部發(fā)起的連接請(qǐng)求，從而保護(hù)內(nèi)部網(wǎng)絡(luò)。如果要將Web服務(wù)器放在放火墻之內(nèi)，就需要允許對(duì)這個(gè)Web服務(wù)器和它使用的TCP端口的訪問(wèn)。

　　另一種類型的防火墻為應(yīng)用代理型的防火墻，這種防火墻針對(duì)每種應(yīng)用協(xié)議提供相應(yīng)的代理服務(wù)，由代理服務(wù)器訪問(wèn)網(wǎng)絡(luò)，并將結(jié)果返回給客戶機(jī)。標(biāo)準(zhǔn)的http協(xié)議的代理服務(wù)，客戶端的瀏覽器必須配置代理服務(wù)器的IP地址，不可能要求其他外部主機(jī)為訪問(wèn)這個(gè)內(nèi)部網(wǎng)絡(luò)上的主機(jī)而重新設(shè)置代理服務(wù)器的地址。代理服務(wù)器并不區(qū)分外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，但是代理服務(wù)器使用Internet上的名字解析來(lái)確定Web服務(wù)器的位置，而通常防火墻內(nèi)使用內(nèi)部地址，這也決定了普通代理型防火墻不支持外部網(wǎng)絡(luò)對(duì)內(nèi)部Web服務(wù)器的http訪問(wèn)請(qǐng)求。因此普通代理服務(wù)器簡(jiǎn)單的屏蔽外部地址的訪問(wèn)，因此最簡(jiǎn)單的保護(hù)對(duì)外發(fā)布信息的Web服務(wù)器的方式是使用包過(guò)濾型的防火墻。

　　一旦允許外部網(wǎng)絡(luò)中的主機(jī)可以向內(nèi)部網(wǎng)絡(luò)發(fā)起連接請(qǐng)求，攻擊者就可以在網(wǎng)絡(luò)外部嘗試進(jìn)行連接，這增加了攻擊者攻擊內(nèi)部網(wǎng)絡(luò)的方式，降低了整個(gè)網(wǎng)絡(luò)的安全系數(shù)。如果不允許外部主機(jī)向內(nèi)部網(wǎng)絡(luò)發(fā)起連接請(qǐng)求，攻擊者就只好在外部發(fā)起攻擊，使用特洛伊木馬或者IP spoof等技術(shù)，這些方式與發(fā)起主動(dòng)連接的攻擊方式相比，沒(méi)有現(xiàn)成的工具供利用，因此使得攻擊的復(fù)雜性大大增加，因此網(wǎng)絡(luò)被攻擊的可能性大為減少，幾乎成為不可能。一旦攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)中的Web服務(wù)器，整個(gè)內(nèi)部網(wǎng)絡(luò)就暴露在攻擊者的面前，防火墻就不能起到應(yīng)有的作用了。因此通過(guò)重新定義包過(guò)濾型防火墻的過(guò)濾規(guī)則，并將Web服務(wù)器放在內(nèi)部網(wǎng)絡(luò)內(nèi)，只是一種簡(jiǎn)單的保護(hù)Web服務(wù)器的方法，然而不利于保護(hù)整個(gè)內(nèi)部網(wǎng)絡(luò)的安全。

　　因此，為了在保護(hù)Web服務(wù)器和內(nèi)部網(wǎng)絡(luò)的安全，當(dāng)前使用的更安全的做法是實(shí)現(xiàn)雙層防火墻。外層防火墻實(shí)現(xiàn)包過(guò)濾功能，然而卻允許外部網(wǎng)絡(luò)訪問(wèn)其中的Web服務(wù)器，內(nèi)部防火墻允許最中間的內(nèi)部網(wǎng)絡(luò)可以訪問(wèn)外部網(wǎng)絡(luò)。在外部防火墻和內(nèi)部防火墻之間稱為?；饏^(qū)，提供外部網(wǎng)絡(luò)訪問(wèn)的服務(wù)器就位于這個(gè)區(qū)域，表明即使攻擊者通過(guò)外部防火墻進(jìn)入這個(gè)區(qū)域，也無(wú)法攻入內(nèi)部網(wǎng)絡(luò)。雙層防火墻通過(guò)設(shè)置了兩層防火墻，使得內(nèi)部網(wǎng)絡(luò)更為安全。然而，它在保護(hù)Web服務(wù)器方面的作用，與單層防火墻相似。因?yàn)榇藭r(shí)Web服務(wù)器仍然只受到一層防火墻的保護(hù)，同樣也無(wú)法對(duì)外部隱藏防火墻內(nèi)主機(jī)的各種信息，例如服務(wù)器的ip等。而且這層防火墻是對(duì)應(yīng)用協(xié)議一無(wú)所知的包過(guò)濾防火墻，由于包過(guò)濾的方式不識(shí)別應(yīng)用協(xié)議，通常為http協(xié)議，那么就無(wú)法正確識(shí)別外部的連接請(qǐng)求是否屬于正常連接，通常也無(wú)法進(jìn)行詳盡的連接記錄。為了更好的保護(hù)Web服務(wù)器不被外部攻擊者破壞，就應(yīng)該屏蔽內(nèi)部服務(wù)器的IP地址等信息，并且防火墻能夠識(shí)別連接協(xié)議，顯然這是代理型防火墻的任務(wù)。