防火墙技术指南04.pdfVIP

下载 第4章 防火墙面临的挑战：基础Web 本章根据超文本传输协议（ H T T P ，H y p e r Text Transmission Protocal ）讨论防火墙实现所 面临的挑战及一些安全问题。同时讨论了 H T T P 的代理特性及其安全性。探索了安全 H T T P （S - H T T P ）以及使用 S S L 以增强安全性，回顾了通用网关接口（ C G I ，Common Gateway I n t e r f a c e ）隐含的安全含义。 4.1 HTTP H T T P作为一个为分布、协作、超媒体信息系统而开发的应用层协议，是一个通用、无状 态协议，由它建立的系统与传输的数据无关。它还是一个面向对象的协议，能用于各种任务， 包括但不局限于名服务器、分布式对象管理系统及它的请求方法或命令的扩展。 H T T P 的一个主要特征是数据描述的键入和协商。这个协议从 1 9 9 0年开始使用，具有 W 3 全球信息主动权。 目前最新的H T T P版本为 1 . 0，市场上所有的We b服务器均支持该版本。该协议还有下一代， H T T P - N G ，它许诺将更有效地使用可利用的带宽并将增强 H T T P协议。 H T T P协议一般用于用户代理和其他因特网协议代理或网关之间的通信，如S M T P、N N T P 、 F T P 、G o p h e r和WA I S 。 尽管如此，H T T P提供广泛的适应性是有代价的：它使得保障 We b服务器和客户的安全非 常困难。由于 We b 的开放性和无状态特性使得 We b迅速取得成功，但这使得它难以控制和保 护。 在因特网上，H T T P通信一般发生在 T C P ／I P连接。它默认使用 8 0端口，也可以使用其他 端口，即H T T P可以在任何其他协议上实现。事实上， H T T P 能使用任何可靠的传输。 当一个浏览器接收到一个不能识别的数据类型时，它依靠一些辅助应用程序将其转变为 它能识别的形式。这些应用程序通常称为浏览程序（ v i e w e r ），是为维持安全特性应该首先关 注的事项之一。当安装这些程序时，必须小心，因为运行在服务器上的基本 H T T P协议不会制 止浏览程序执行危险命令。 应该特别小心地使用代理和网关应用程序。当转发的请求 H T T P不能理解时，就必须警惕 了。必须考虑其所使用的H T T P版本，因为该协议版本标明了发送者的协议能力。一个代理或 网关是不能发送比其自身版本指示符更高的报文；否则，如果收到高于其版本的请求，代理 或网关必须要么降低请求的版本，发出错误响应，要么转变成隧道方式。 注意 如果你需要更多的关于HTTP 的信息，请访问站点 /hypertext/WWW/protocols/。 网站：f t p : / / s r c . b r u n e l . a c . u k / W W W / m a n a g e r s /提供了许多针对We b服务器管理员的实 用程序。 H T T P客户端，如P u r v e y o r ( h t t p : / / w w w. p r o c e s s . c o m )和Netscape Navigator 支持多种代理策 略、S O C K S和透明代理。 9 2 第一部分 TCP/IP 及其安全需求：防火墙 下载 例如P u r v e y o r ，通过限制L A N用户的因特网行为的方式建立一个安全 L A N环境，不但提 供H T T P代理，而且支持F T P和G O P H E R协议代理。代理服务器通过允许内部代理缓存的方式 改进其性能。P u r v e y o r也为有多个代理服务器的公司提供代理到代理之间的支持。 如果你的We b服务器运行在 Windows NT 、Wi n d o w s 9 5或N e t Wa r e 的环境下，你能使用 Purveyor We b s e r v e r 的代理特性来增强安全性。另外，还能提高服务器性能，因为 P u r v e y o r 能 在当地缓存从因特网获取的 We b 网页。 在你的站点上必须安装防火墙。无论如何，如果你的服务器放在保