應用層防火牆中的地址空間映射技術研究和實現

【摘要】： Web服務是當前最為廣泛和重要的Internet應用,針對web服務的攻擊方法和手段層出不窮。目前大量的攻擊集中在更高的應用層,以繞過網絡層檢測設備。檢測和阻止來自應用層的攻擊具有非常重要的實際意義和使用價值。應用級Web安全的內容涉及Web應用程序代碼本身固有的缺陷。一種解決方案是在現有的企業內部網前放置一個應用層防火牆。 目前大部分應用層防火牆方案都是基於反向代理的,它是應用層防火牆的實現框架和基礎。反向代理提供企業內部網的單一訪問點,客戶請求必須使用全球范圍有效的URL地址才能到達反向代理。企業內部網的結構非常復雜,其網頁或服務之間通常使用內嵌的URL來建立相互的聯系。這些鏈接一般是相對的。目前的反向代理技術並沒有考慮內嵌的URL問題。但是現在很多內嵌URL使用了絕對地址,它們基於內部服務器的地址空間,無法直接訪問。 地址空間映射技術是一項在反向代理中的新技術,它位於反向代理的前端,在網頁被轉發給客戶之前,獨立而集中地使用一定的策略(規則)來轉換網頁中內嵌的URL,將其映射到反向代理的地址空間,客戶請求才能通過反向代理到達內部服務器,同時避免攻擊者繞過應用層防火牆的檢測。 基於Apache平台的反向代理配置,以Apache的模塊形式實現了應用層防火牆中的地址空間映射方案,其中涉及到幾個關鍵技術:利用有限狀態機原理實現HTML解析技術,檢測內嵌的URL以進行必要的修改;針對動態網頁中復雜的腳本代碼提出了“異地代理”的解決辦法;配置了VPN訪問方式解決URL和COOKIE的修改問題。 對模塊的功能和性能的相關測試表明:該模塊能高效的完成預期目標。 .