建立基于反向代理WEB安全体系.docVIP

建立基于反向代理WEB安全体系 　　中图分类号：TP3文献标识码：A文章编号：1671－7597（2010）1120176－03 　　 　　1 总述 　　信息科技的迅速发展，Internet已成为全球重要的信息传播工具。据不完全统计，Internet现在遍及200多个国家，容纳近80万个网络，提供了包括1000多个大型联网图书馆，800个联网的学术文献库，20000种网上杂志，9000种网上新闻报纸，5000多万个Web网站在内的多种服务，总共近1000万个信息源为世界各地的网民提供大量信息资源交流和共享的空间。安全是当今IT相关头条新闻的一个重要话题。在计算机网络日益普及的今天，计算机安全不但要求防治计算机病毒，提高抵抗黑客非法入侵的能力，还要提高对远程数据传输的保密性，避免在传输途中遭受非法窃取。因此确保Web服务器的安全，对于减少入侵破坏而引起的数据窃取或丢失而言是至关重要的。 　　Web赖以生成的环境包括计算机硬件、操作系统、计算机网络、许多的网络服务和应用，所有这些都存在着安全隐患，最终威胁到Web的安全。Web的安全体系结构非常复杂主要包括以下几个方面： 　　1）客户端软件的安全运行浏览器的计算机设备及其操作系统的安全（主机系统安全） 　　2）客户端的局域网（LAN） 　　3）服务器端的局域网（LAN） 　　4）运行服务器的计算机设备及操作系统的安全（主机系统的安全） 　　5）服务器的运行环境 　　6）服务器硬件设备的安全 　　7）服务器上的Web服务器软件 　　在分析Web服务器的安全性时，一定要考虑到所有这些方面，因为它们是相互联系的，每个方面都会影响到Web服务器的安全性，它们中安全性最差的决定了服务器的安全级别。由于篇幅的限制不能够详细地讨论所有影响Web安全的因素。考虑到影响Web安全的最直接的因素，下面主要讨论Web服务器软件及支撑服务器运行的操作系统的安全。 　　2 代理服务器和反向代理技术 　　2.1 代理服务器 　　代理服务器英文全称是Proxy Server，其功能就是代理网络用户去取得网络信息。形象的说：它是网络信息的中转站。在一般情况下，我们使用网络浏览器直接去连接其他Internet站点取得网络信息时，是直接联系到目的站点服务器，然后由目的站点服务器把信息传送回来。代理服务器是介于浏览器和Web服务器之间的另一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，信号会先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。 　　代理服务器是Internet链路级网关所提供的一种重要的安全功能，它的工作主要在开放系统互联（OSI）模型的对话层，从而起到防火墙的作用。鉴于上述原因，代理服务器大多被用来连接INTERNET（国际互联网）和INTRANET（局域网）。在国内，所谓中国多媒体公众信息网和教育网都是独立的大型国家级局域网，是与国际互联网隔绝的。出于各种需要，某些集团或个人在两网之间开设了代理服务器，如果我们知道这些代理服务器的地址，就可以利用它到达国外网站。 　　2.2 反向代理技术 　　代理服务器是使用非常普遍的一种将局域网主机联入互联网的一种方式，使用代理上网可以节约紧缺的IP地址资源而且可以阻断外部主机对内部主机的访问，使内部网主机免受外部网主机的攻击。但是如果想让互联网上的主机访问内部网的主机资源（例如Web站点），又想使内部网主机免受外部网主机攻击，一般的代理服务是不能实现的，这就需要使用反向代理来实现。如图表1所示，反向代理也就是通常所说的Web服务器加速，它是一种通过在繁忙的Web服务器和Internet之间增加一个高速的Web缓中服务器（即Web反向代理服务器）来降低实际的Web服务器的负载。 　　2.3 反向代理的应用 　　反向代理的方式主要是为了缓解繁忙服务器的负担，将Cache部署在服务器前面，将自己的内容与服务器保持同步，当收到用户的请求时，直接用Cache中的内容进行回复，从而减轻网络服务器的负担。 　　反向代理设备提高了前端Web服务器处理客户连接的能力，为电子商务、后台生成的HTML新闻公布、软件下载等提供了快速的服务。这种部署方式经常用于静态Web内容占很大比例的环境中。大型ISP为了加速网络的响应都会架设大量的前置高速缓冲服务器（forward proxy cache server），但是，对于无法识别内容的缓存集群来说，所有的缓存服务器节点都必须保存整个被访网络的全部内容（理论上，所有的网络中的站点都被缓存过）。 　　反向代理负载均衡能以软件方式来实现，如Apache mod_proxy、ISA proxy等，也可以在高速缓存器、负载均衡器等硬件设备上