教你如何運用反向代理技術保護Web服務器

　　歡迎來到學習啦，本文為大家講解網絡通信命令大全，歡迎大家閱讀。

　　為了增加網絡的安全和保護內部網絡上的重要數據，需要將內部網與Internet相隔離，當前主要通過防火牆技術來完成這個目的。然而為了保護內部主機，防火牆軟件就必須限制外部網絡中的主機對內部網絡的訪問。因此普通防火牆軟件的設置中，外部網絡無法訪問內部主機。然而，為了向外發布自己的信息，就需要允許外部網絡訪問自己的Web服務器。最簡單的處理方法是將Web服務器放在防火牆之外，這樣就將Web服務器和內部網絡區分開，Web服務器暴露在網絡外部，就有可能招受攻擊而導致服務器癱瘓或網頁被更改等潛在的問題。而當前，Web服務器上面的信息越來越豐富和重要，Web服務器的重要性也非常明顯。因此就需要使用防火牆來保護它，如果要將Web服務器放在防火牆之內，則需要防火牆的支持。

　　當前防火牆主要有兩種類型，一種為包過濾型防火牆，這種防火牆針對每個IP包識別它是否符合管理員設定的過濾規則，符合一定要求的才被正確轉發。可以使用的過濾規則包括源和目的主機的名字和IP地址，端口地址，使用的網絡界面，以及IP包的類型。通常包過濾型的防火牆軟件根據IP包的類型屏蔽所有的由外部發起的連接請求，從而保護內部網絡。如果要將Web服務器放在放火牆之內，就需要允許對這個Web服務器和它使用的TCP端口的訪問。

　　另一種類型的防火牆為應用代理型的防火牆，這種防火牆針對每種應用協議提供相應的代理服務，由代理服務器訪問網絡，並將結果返回給客戶機。標准的http協議的代理服務，客戶端的浏覽器必須配置代理服務器的IP地址，不可能要求其他外部主機為訪問這個內部網絡上的主機而重新設置代理服務器的地址。代理服務器並不區分外部網絡和內部網絡，但是代理服務器使用Internet上的名字解析來確定Web服務器的位置，而通常防火牆內使用內部地址，這也決定了普通代理型防火牆不支持外部網絡對內部Web服務器的http訪問請求。因此普通代理服務器簡單的屏蔽外部地址的訪問，因此最簡單的保護對外發布信息的Web服務器的方式是使用包過濾型的防火牆。

　　一旦允許外部網絡中的主機可以向內部網絡發起連接請求，攻擊者就可以在網絡外部嘗試進行連接，這增加了攻擊者攻擊內部網絡的方式，降低了整個網絡的安全系數。如果不允許外部主機向內部網絡發起連接請求，攻擊者就只好在外部發起攻擊，使用特洛伊木馬或者IP spoof等技術，這些方式與發起主動連接的攻擊方式相比，沒有現成的工具供利用，因此使得攻擊的復雜性大大增加，因此網絡被攻擊的可能性大為減少，幾乎成為不可能。一旦攻擊者進入內部網絡中的Web服務器，整個內部網絡就暴露在攻擊者的面前，防火牆就不能起到應有的作用了。因此通過重新定義包過濾型防火牆的過濾規則，並將Web服務器放在內部網絡內，只是一種簡單的保護Web服務器的方法，然而不利於保護整個內部網絡的安全。

　　因此，為了在保護Web服務器和內部網絡的安全，當前使用的更安全的做法是實現雙層防火牆。外層防火牆實現包過濾功能，然而卻允許外部網絡訪問其中的Web服務器，內部防火牆允許最中間的內部網絡可以訪問外部網絡。在外部防火牆和內部防火牆之間稱為停火區，提供外部網絡訪問的服務器就位於這個區域，表明即使攻擊者通過外部防火牆進入這個區域，也無法攻入內部網絡。雙層防火牆通過設置了兩層防火牆，使得內部網絡更為安全。然而，它在保護Web服務器方面的作用，與單層防火牆相似。因為此時Web服務器仍然只受到一層防火牆的保護，同樣也無法對外部隱藏防火牆內主機的各種信息，例如服務器的ip等。而且這層防火牆是對應用協議一無所知的包過濾防火牆，由於包過濾的方式不識別應用協議，通常為http協議，那麼就無法正確識別外部的連接請求是否屬於正常連接，通常也無法進行詳盡的連接記錄。為了更好的保護Web服務器不被外部攻擊者破壞，就應該屏蔽內部服務器的IP地址等信息，並且防火牆能夠識別連接協議，顯然這是代理型防火牆的任務。