防火墙面临的b挑战b高级Web.pdfVIP

下载 第5章 防火墙面临的挑战：高级Web 通常，因特网管理员认为：代理服务器（一种典型的运行于防火墙机器上的专门的 H T T P 服务器）将足以提供因特网经过防火墙对受保护网的安全访问。 当然，运行代理服务器是保护网站的最值得推荐的方法之一。但是仅仅设置代理服务器 是远远不够的，这经常会违反安全需求。因此， S O C K S开始出现了。作为一种能够使因特网 用户访问受保护网而不违反安全需求的软件包， S O C K S也是对防火墙挑战的一个外加的特性。 但是别着急！据N E C 公司的Ying-Da Lee(ylee@) 说，在使用Mosaic X 2.0 的修正 版时，可能会碰上一些问题，这个版本不是它的开发者国际计算机安全协会（ I C S A ）所支持 的。 因此，实现We b环境下的安全实际上并不等于建立一个因特网防火墙。为了更好地理解 在We b环境中建立防火墙所面临的挑战，你必须了解面对的威胁和危险，以及集成各种技术 的含义，这些技术包括协议、设备和服务，但不是仅限于这些。 本章讨论了和基于We b 的连接有关的主要安全缺陷及风险，以及与 We b相互作用的主要技 术，如介质类型、编程语言和其他一些涉及安全的技术，这样就能更好地选择和实现正确的 防火墙解决方案。 5.1 扩展Web服务器：危险不断增加 随着信息技术成为整个电脑领域的商品，每个人都想访问它、使用它，甚至是滥用它。 它已成为一种价值手段，和其他商品一样。因此，它必须受到保护，不被偷窃。 不幸的是，总有一小撮技术高超的黑客和解密高手、计算机朋客和幻想狂潜伏在四周， 伺机攻入安全系统，不管它是 We b 网站还是公司的内部网。他们企图挖掘任何东西，从高层 应用程序编程接口（A P I ）到低层的服务，从恶意的a p p l e t到复杂的客户招揽及服务推进方案。 他们在寻求什么？你可以料想他们寻求任何东西！他们中的一些人耍着和几年前 U N I X解 密高手同样的伎俩，只是为了取乐。他们将你的客户单公开张贴在因特网上。或是突然间你 在自己的主页上发现了除你们公司标志以外的那些无聊的色彩符号。更糟的是，你刚刚被黑 了甚至没有察觉。但有一件事可以肯定，那就是不久以后他们将敲响你的门；这只是统计的 结果。 最低限度是总有一些 We b安全方面的问题你应该关心一下，其中有很多是在 h t t p : / / w w w - g e n o m e . w i . m i t . e d u / W W W / f a q s / w w w - s e c u r i t y - f a q . h t m l 的文档中，至少为U N I X包可用。因此， 让我们来看看网络服务器能够被攻击的一些方法以及我们能做些什么来加以预防。 5.1.1 ISAPI 当进行系统之间的集成时，需要决定将要采用的方法，以建立应用系统与网络服务之间 的交互。如果还没有合适的内部网，不用担心，你会有的！但是在考虑它之前，首先需要考 虑的是用户如何与你的系统进行交互，并且决定他们与你的 We b应用系统进行交互的级别。 1 1 4 第一部分 TCP/IP 及其安全需求：防火墙 下载 你的选择大部分依赖于希望将什么样的用户交互活动建立到系统中去。这个交互活动的 某些方面是新的，某些已经是局域网连接的一部分且已存在一段时间了。理想的状况是，当 你的应用与We b服务器连接上时，用户将能够以 We b上独特的方式使用你的应用系统，不管是 内部网还是因特网本身。 然而，在选择We b服务器的时候要谨慎。我推荐你选择 Purveyor We b S e r v e r （h t t p : / / w w w. p r o c e s s . c o m ) ，它有很多内容可以提供给你现有的应用和用户库。例如， P u r v e y o r允许你使用 现有的用户认证和授权系统，或者通过 P u r v e y o r 来利用用户认证和授权。如果想要的话，基 于局域网的应用系统也可使用 P u r v e y o r 的加密服务。而且，由于P u r v e y o r 能够配置成代理服务 器，所以它也能允许局域网用户安全访问因特网。也许你也想考虑在 We b技术下唯一地增加 用户交