《使用反向代理技术保护Web服务器.docx》由会员分享,可在线阅读,更多相关《使用反向代理技术保护Web服务器.docx(6页珍藏版)》请在课桌文档上搜索。
1、.现仃防火堆技术与其局限性为了增加网络的平安和爱护内部网络上的重要数据,须要将内部网与Internet相隔尚,当前主要通过防火墙技术来完成这个目的C然而为了爱护内部主机,防火墙软件就必需限制外部网络中的主机对内部网络的访问。因此一般防火堵软件的设置中,外部网络无法访问内部主机.然而,为了向外发布自己的信息,就须要允许外部网络访问自己的Web服务器。最简洁的处理方法是将Web服务器放在防火墙之外,这样就将Web服务器和内部网络区分开,Web服务器暴痛在网络外部,就有可能招受攻击而导致服务器瘫痪或网页被更改等潜在的问题。而当前,Web服务器上面的信息越来越丰富和承婴,Web服务器的重要性也特别明显
2、。因此就须要运用防火墙来爱护它,假如要将Web服务器放在防火墙之内,则须要防火墙的支持。当前防火墙主要有两种类型,一种为包过滤型防火墙,这种防火墙针对每个IP包识别它是否符合管理员设定的过滤规则,符合肯定要求的才被正确转发。可以运用的过滤规则包括源和目的主机的名字和IP地址,端口地址,运用的网络界面,以与IP包的类型。通常包过淀型的防火墙软件依据IP包的类型屏蔽全部的由外部发起的连接恳求,从而爱护内部网络C假如要将Web服务器放在放火墙之内,就须要允许对这个Web服务器和它运用的TCP端11的访问。另种类型的防火墙为应用代理型的防火堵,这种防火墙针对每种应用协议供应相应的代理服务,由代理服务器
3、访问网络,并将结果返回给客户和1.标准的协议的代理服务,客户端的阅读器必需配置代理服务器的IP地址,不行能要求其他外部主机为访问这个内部网络上的主机而重新设置代理服务器的地址。代理服务器并不区格外部网络和内部网络,但是代理服务器运用Intemet上的名字解析来确定Web服务器的位置,而通常防火境内运用内部地址,这也确定了般代理型防火墙不支持外部网络对内部Web服务器的访问恳求。因此一般代理服务器简洁的屏蔽外部地址的访问,因此最简洁的爱护对外发布信息的Web服务器的方式是运用包过滤型的防火墙。一旦允许外部网络中的主机可以向内部网络发起连接恳求,攻击者就可以在网络外部尝试进行连接,这增加了攻击者攻
4、击内部网络的方式,降低了整个网络的平安系数。假如不允许外部主机向内部网络发起连接恳求,攻击者就只好在外部发起攻击,运用特洛伊木马或者IPSPOof等技术,这些方式与发起主动连接的攻击方式相比,没有现成的工具供利用,因此使得攻击的困难性大大增加,因此网络被攻击的可能性大为削减,几乎成为不行能,一旦攻击者进入内部网络中的Web服务器,整个内部网络就暴露在攻击者的面前,防火墙就不能起到应力的作用了。因此通过重新定义包过灌型防火墙的过滤规则,并将Web服务器放在内部网络内,只是一种简洁的爱护Web服务器的方法,然而不利于爱护整个内部网络的平安。因此,为了在爱护Web服务器和内部网络的平安,当前运用的更
5、平安的做法是实现双层防火墙,外层防火墙实现包过滤功能,然而却允许外部网络访问其中的WCb服务器,内部防火墙允许最中间的内部网络可以访问外部网络。在外部防火墙和内部防火墙之间称为停火区,供应外部网络访问的服务器就位于这个区域,表明即使攻击者通过外部防火墙进入这个区域,也无法攻入内部网络。双层防火墙通过没置了两层防火墙,使得内部网络更为平安。然而,它在爱护Web服务器方面的作用,与单层防火墙相像。因为此时Web服务器仍旧只受到一层防火墙的爱护,同样也无法对外部隐藏防火墙内主机的各种信息,例如服务器的ip等。而且这层防火墙是对应用协议一窍不通的包过滤防火堵,由于包过潴的方式不识别应用协议,通常为协议
6、,那么就无法正确识别外部的连接恳求是否属于正常连接,通常也无法进行详尽的连接记录。为了更好的爱护Web服务器不被外部攻击者破坏,就应当屏蔽内部服务据的IP地址等信息,并且防火墙能够识别连接协议,明显这是代理型防火墙的任务。二、反向代理方式通常的代理服务器,只用于代理内部网络对Intemet的连接恳求,客户机必需指定代理服务器,并将原来要干脆发送到Web服务器匕的恳求发送到代理服务器中。由于外部网络上的主机并不会配置并运用这个代理服务耀,一般代理服务器也被设计为在IntCmet上搜寻多个不确定的服务器,而不是针对Internet上多个客户机的恳求访问某一个固定的服务器,因此一般的Web代理服务器
7、不支持外部对内部网络的访问恳求。当一个代理服务器能够代理外部网络上的主机,访问内部网络时,这种代理服务的方式称为反向代理服务。此时代理服务器对外就表现为一个Web服务器,外部因络就可以简洁把它当作一个标准的Web服务器而不须要特定的配置。不同之处在于,这个服务器没有保存任何网页的真实数据,全部的隐态网页或者CG1.程序,都保存在内部的Web服务耀匕因此对反向代理服务器的攻击并不会使得网页信息遭到破坏,这样就增加了Web服务器的平安性。内容来自电脑硬件学问网反向代理方式和包过滤方式或一般代理方式并无冲突,因此可以在防火堵设备中同时运用这两种方式,其中反向代理用于外部网络访问内部网络时运用,正向代
8、理或包过滤方式用于拒绝其他外部访问方式并供应内部网络对外部网络的访问实力。因此可以结合这些方式供应最佳的平安访问方式。内容来自电脑硬件学问网综合反向代理功能和一般拒绝外部访问的一般防火墙软件相结合,就能构成一个既具有爱护内部网络、乂能对外供应Web信息发布的实力的防火墙系统。由于反向代理实力须要软件实现,因此不能运用现彳J的防火墙系统,须要运用相关软件进行开发改进。UniX明显是首选平台,我们基于FrecBSD系统,提出一种基于ipfw、natd与squid的防火墙设置方式。其中ipfw可以基于ip地址、端II、协议等对ip包进行过滤,natd供应网络地址转换功能,这样就隐藏了内部网络的拓扑等
9、信息,ipfw和natd结合就构成了强大的包过滤网关。而squid是IntCrnet上最流行的Web代理服务器之一,虽然它供应的是一般的正向代理实力,但其为开放源代码软件,并且具有强大的可配置性,因此很简洁可以将其更改为反向代理服务器。这种方式对内部网络的爱护实力,要小于双层防火墙软件,等于一般的单层防火墙软件,然而其对Web服务器的爱护却大于双层防火堵系统中对位于对停火区内的WCb服务器的爱护。然而其本身为单层系统,因此比双层系统配置起来更便利,是一种简洁有效的方案。其中反向代理功能能够供应丰需的连接记录,可以用来供应预防和捕获攻击的实力,而包过滤和网络地址翻译可以让内部网络的主机可以运用多
10、种协议访问外部网络,不须要考虑防火墙对应用协议的支持问题,这种方式适用于大多数Intranet系统。三、探讨当须要对内部网络供应更进步的爱护时,仍旧可以运用双层防火墙模式,这样兼具反向代理对Web服务器的爱护实力,和双层防火墙对内部数据的更大的受护实力。当组织向外供应信息发布的时候,并不仅仅要供应一些静态的网页,更大的可能是要依据实际的数据动态发布信息。因此发布的网页便须要通过访问数据库动态生成,通常运用的动态生成技术力CGI或服务耀端文档解析等方式生成的。然而无论那种方式,都须要使得Web服务器能够和数据库服务器进行连接、通信。然而系统数据库应当是内部网络中应当首要爱护的系统,因此要求平安性要求不高的对外发布信息的Web服务器和内部数据库服务器放置在同一个网段,就会造成相应的平安问题。为了提高访问数据库服务器的,P安性,就须要对能够访问数据库的CG1.程序进行限制,这就要求对启动CGI的UR1.恳求比对一般ur1.进行更严格的限制。与一般包过滤型防火墙不同,反向代理能够理解协议,能区分出不同的Ur1.恳求,从而能够实现对Cgi恳求比一般恳求更严格的限制,甚至可以将Cgi恳求发送到一台皆用的CG1.服务器进行处理,从而分别处理般Ur1.恳求和Cgi恳求。这台Cgi服务器可以具有访问数据库的实力,保证数据库的平安.