教你如何利用反向代理技术保护web服务器网络技术
欢迎来到,本文为大家讲解网络通信指挥Daquan,欢迎阅读。为了提高网络的安全性和保护内部网络的重要数据,我们需要隔离的内部网络,现在我们主要采用防火墙技术来达到这个目标。但是,为了保护内部主机,防火墙软件必须限制主机在外部网络的内部网络的访问因此,在普通的防火墙软件设置,外部网络不能访问内部主机。然而,为了发布自己的信息,有必要让外部网络访问自己的Web服务器,最简单的方法是把Web服务器在防火墙之外,将Web服务器内部网络。如果Web服务器暴露于网络之外,将有可能遭到攻击,导致诸如服务器故障或网页变化的潜在问题。目前,Web服务器上的信息越来越丰富和重要,和Web服务器的重要性是很明显的。所以你需要使用防火墙来保护它,如果你想把Web服务器的防火墙,你需要对防火墙的支持。
目前,主要有两种一是防火墙,包过滤防火墙,确定是否每个防火墙设置的每个IP包过滤规则一致的管理员,并正确地转发到符合一定的要求。过滤规则,可用于包括名称、源和目的主机的IP地址,端口地址,使用的网络接口和IP包的类型。一般的包过滤防火墙软件屏蔽所有外部发起的以保护内部网络的IP数据包类型的连接请求。如果你想在防火墙使用的Web服务器,它需要允许Web服务器它使用TCP端口的访问。
另一种类型的防火墙是应用程序代理防火墙,它为每个应用程序协议提供相应的代理服务。代理服务器访问网络,并将结果返回给客户机。标准HTTP协议的代理服务,客户端的浏览器必须配置代理服务器的IP地址。要访问内部网络上的主机设置代理服务器地址的其他外部主机是不可能的。代理服务器不区分外部网络和内部网络之间,但代理服务器名称解析互联网上确定一个Web服务器的位置,通常使用内部地址在防火墙内部,这也决定了共同代理防火墙不支持内部Web服务器的HTTP请求访问外部网络。因此,一般的代理服务器只是屏蔽外部地址的访问,以便保护Web服务器发布信息的最简单的方法是使用包过滤防火墙。
一旦外部网络上的主机可以启动到内部网络的连接请求,攻击者可以尝试连接外网,这增加了攻击者的攻击内部网络,降低了整个网络的安全系数。如果不允许外部主机发起连接请求的内部网络,攻击者必须使用外部攻击、特洛伊木马或欺骗的IP技术,这些方法与主动连接发起的攻击,也没有使用现成的工具,从而大大增加攻击的复杂性,所以网络攻击的可能性大大降低。那几乎是不可能的。一旦攻击者进入内部网络中的Web服务器,整个内部网络将暴露给攻击者,和防火墙将无法发挥其应有的作用。因此,通过重新定义包过滤防火墙和Web服务器放在内部网络中的过滤规则,这是一个简单的方法保护Web服务器,但它不利于保护整个内部网络的安全性。
因此,为了保护web服务器和内部网络的安全,目前比较安全的方法是实现一个双层防火墙,外部防火墙实现包过滤功能,但它允许外部网络访问Web服务器。内部防火墙允许中间网络访问外部网络,外部防火墙和内部防火墙之间称为停火区。服务器提供外部网络访问位于该地区,这表明即使攻击者通过外部防火墙进入该地区,无法进入内部网络。双层防火墙已经设置了两层防火墙,使内部网络更安全。然而,它在保护Web服务器角色类似的一个单一层防火墙,因为Web服务器仍然是受防火墙保护的,也不能隐藏所有种类的防火墙内的主机的信息,如IP的服务器。这绝对是无知的协议层防火墙包过滤防火墙的应用,应用协议不承认包过滤,通常为HTTP协议,你将N不能够正确识别外部连接请求是正常连接,通常无法与详细的记录。为了更好地保护Web服务器免受外部攻击者破坏,我们应该保护的内部服务器的IP地址信息,和防火墙可以识别连接协议,这是显然,代理防火墙的任务。