用反向代理技術保護Web服務器(2)_Windows教程

　一旦允許外部網絡中的主機可以向內部網絡發起連接請求，攻擊者就可以在網絡外部嘗試進行連接，這增加了攻擊者攻擊內部網絡的方式，降低了整個網絡的安全系數。如果不允許外部主機向內部網絡發起連接請求，攻擊者就只好在外部發起攻擊，使用特洛伊木馬或者IP spoof等技術，這些方式與發起主動連接的攻擊方式相比，沒有現成的工具供利用，因此使得攻擊的復雜性大大增加，因此網絡被攻擊的可能性大為減少，幾乎成為不可能。一旦攻擊者進入內部網絡中的Web服務器，整個內部網絡就暴露在攻擊者的面前，防火墻就不能起到應有的作用了。因此通過重新定義包過濾型防火墻的過濾規則，并將Web服務器放在內部網絡內，只是一種簡單的保護Web服務器的方法，然而不利于保護整個內部網絡的安全。

　　因此，為了在保護Web服務器和內部網絡的安全，當前使用的更安全的做法是實現雙層防火墻。外層防火墻實現包過濾功能，然而卻允許外部網絡訪問其中的Web服務器，內部防火墻允許最中間的內部網絡可以訪問外部網絡。在外部防火墻和內部防火墻之間稱為停火區，提供外部網絡訪問的服務器就位于這個區域，表明即使攻擊者通過外部防火墻進入這個區域，也無法攻入內部網絡。雙層防火墻通過設置了兩層防火墻，使得內部網絡更為安全。然而，它在保護Web服務器方面的作用，與單層防火墻相似。因為此時Web服務器仍然只受到一層防火墻的保護，同樣也無法對外部隱藏防火墻內主機的各種信息，例如服務器的ip等。而且這層防火墻是對應用協議一無所知的包過濾防火墻，由于包過濾的方式不識別應用協議，通常為http協議，那么就無法正確識別外部的連接請求是否屬于正常連接，通常也無法進行詳盡的連接記錄。為了更好的保護Web服務器不被外部攻擊者破壞，就應該屏蔽內部服務器的IP地址等信息，并且防火墻能夠識別連接協議，顯然這是代理型防火墻的任務。

　　二、反向代理方式

　　通常的代理服務器，只用于代理內部網絡對Internet的連接請求，客戶機必須指定代理服務器,并將本來要直接發送到Web服務器上的http請求發送到代理服務器中。由于外部網絡上的主機并不會配置并使用這個代理服務器，普通代理服務器也被設計為在Internet上搜尋多個不確定的服務器,而不是針對Internet上多個客戶機的請求訪問某一個固定的服務器，因此普通的Web代理服務器不支持外部對內部網絡的訪問請求。當一個代理服務器能夠代理外部網絡上的主機，訪問內部網絡時，這種代理服務的方式稱為反向代理服務。此時代理服務器對外就表現為一個Web服務器，外部網絡就可以簡單把它當作一個標準的Web服務器而不需要特定的配置。不同之處在于，這個服務器沒有保存任何網頁的真實數據，所有的靜態網頁或者CGI程序，都保存在內部的Web服務器上。因此對反向代理服務器的攻擊并不會使得網頁信息遭到破壞，這樣就增強了Web服務器的安全性。

　　反向代理方式和包過濾方式或普通代理方式并無沖突，因此可以在防火墻設備中同時使用這兩種方式，其中反向代理用于外部網絡訪問內部網絡時使用，正向代理或包過濾方式用于拒絕其他外部訪問方式并提供內部網絡對外部網絡的訪問能力。因此可以結合這些方式提供最佳的安全訪問方式。