使用反向代理技术保护Web服务器.pdfVIP

第14次全国计算机安全学术交流会 第5煎安仝技不 1999．7 使用反向代理技术保护Web服务器 河南省多媒体信息局 王波 i百青省套安厅计算机管理监察处郭亚楠 摘要：由于代理型防火墙能谚对访问提供曼欠的限 l 制，适用于对安全性要求较高的InfIa¨c、l系统中，普通代 理服务器不能提供外部网络对内部网络中Web服务器 由 的访问，要对Web服务器提供保护，必烦采用反向代理 l 技术。本文介绍了反向代理技术，以及它在B剐)操作系 统上的一种实现方法。 f i 1 wrb服务器Il I，c I 随着Internet的发展，很多机构都将自己内部的网 图1手通防火墙设置 络连接到Internet上，因而网络安全问题越来越重要。尤“1『)Ⅱ防火墙主要有两种类型，一种为包过滤型防火 其是1999年为政府上网年，国家60％的政府主管部f1 墙，这种防火墙丰|刘每个【P包识刖它是百符合管理员设 都将建立自己的Web站点，到那喇中文信息将九人丰定的过滤规则，符合一定要求的才被正确转发．如图2。 富，必将刺激我们的国家大踏步向信息社会迈进。然而 n丁以使用的过滤规刚包括源和目的}机的名字和IP地 随着政府部门的上网，如何保护政府站点的wt-l，服务器 址，端口地址，慷ILfj的网络界面，以及IP包的类型。通常 免受恶意攻击或主页不受网络黑客的更改，是摆在我们 也过滤型的防火墙软件根据IP包的类型群蔽所有的由 每个计算机一[作者面前现实的问题在此，笔者发表一 外部发起的连接请求．从而保护内部网络、如果要将 F自己的见解，以抛砖引玉。 web服务器放在放火墙之内，就需要允许埘这个Web服 一、现有防火墙技术及其局限性 务器郅它使用的’FCP端口的访问 为了增加刚络的安全和保护内部踟络上的重要数 外前请求，被屏蔽 据，需要将内部刚与lmernet相隔离，当前主要通过防火 内部请求，符合 墙技术来完成这个Ej的．然而为了保护内鄙主机。防火 过滤规则．通 墙软件就必须限制外部网络中的主机对内部I删络的访 外部服务器还回请求 问。因此普通防火墙软件的设置中，外部网络无法’方问 内部主机，妻¨图1。然而，为厂向外发布月己的点息，就需 要允许外翻；网络访问自己的w曲服务器。最简单的处理 方法是将Web服务器放在防火墙之外，这样就将Web 囤2包过滤型防火墙过程 服务器和内部网络区分开，Web服务器暴露住刚络外 另一种类型的防火墙为应川代理型的防火墙，这种 部，就有可能招受攻击而导致服务器瘫痪或刚顷被更改 防火墙针刘每种应刖哳议提供相廊的代理服务，由代理 等潜在的问题。而当前，Web服务器巳阿的信息越来越服务器访问M络，许将结果返回给客户机，如图3。标准 丰富和重要，Web服务器的重要性也非常明显+因此就 的blip协议的代理服务，客户端的浏览器!必须配置代理 服务器的IP地址．不可能要求其他外部主机为}方问这个 需要使用防火墙来保护芭，如果要将Wr}}服务器放在防 火墙之内．