用反向代理技术保护Web服务器(2)_Windows教程

　一旦允许外部网络中的主机可以向内部网络发起连接请求，攻击者就可以在网络外部尝试进行连接，这增加了攻击者攻击内部网络的方式，降低了整个网络的安全系数。如果不允许外部主机向内部网络发起连接请求，攻击者就只好在外部发起攻击，使用特洛伊木马或者IP spoof等技术，这些方式与发起主动连接的攻击方式相比，没有现成的工具供利用，因此使得攻击的复杂性大大增加，因此网络被攻击的可能性大为减少，几乎成为不可能。一旦攻击者进入内部网络中的Web服务器，整个内部网络就暴露在攻击者的面前，防火墙就不能起到应有的作用了。因此通过重新定义包过滤型防火墙的过滤规则，并将Web服务器放在内部网络内，只是一种简单的保护Web服务器的方法，然而不利于保护整个内部网络的安全。

　　因此，为了在保护Web服务器和内部网络的安全，当前使用的更安全的做法是实现双层防火墙。外层防火墙实现包过滤功能，然而却允许外部网络访问其中的Web服务器，内部防火墙允许最中间的内部网络可以访问外部网络。在外部防火墙和内部防火墙之间称为停火区，提供外部网络访问的服务器就位于这个区域，表明即使攻击者通过外部防火墙进入这个区域，也无法攻入内部网络。双层防火墙通过设置了两层防火墙，使得内部网络更为安全。然而，它在保护Web服务器方面的作用，与单层防火墙相似。因为此时Web服务器仍然只受到一层防火墙的保护，同样也无法对外部隐藏防火墙内主机的各种信息，例如服务器的ip等。而且这层防火墙是对应用协议一无所知的包过滤防火墙，由于包过滤的方式不识别应用协议，通常为http协议，那么就无法正确识别外部的连接请求是否属于正常连接，通常也无法进行详尽的连接记录。为了更好的保护Web服务器不被外部攻击者破坏，就应该屏蔽内部服务器的IP地址等信息，并且防火墙能够识别连接协议，显然这是代理型防火墙的任务。

　　二、反向代理方式

　　通常的代理服务器，只用于代理内部网络对Internet的连接请求，客户机必须指定代理服务器,并将本来要直接发送到Web服务器上的http请求发送到代理服务器中。由于外部网络上的主机并不会配置并使用这个代理服务器，普通代理服务器也被设计为在Internet上搜寻多个不确定的服务器,而不是针对Internet上多个客户机的请求访问某一个固定的服务器，因此普通的Web代理服务器不支持外部对内部网络的访问请求。当一个代理服务器能够代理外部网络上的主机，访问内部网络时，这种代理服务的方式称为反向代理服务。此时代理服务器对外就表现为一个Web服务器，外部网络就可以简单把它当作一个标准的Web服务器而不需要特定的配置。不同之处在于，这个服务器没有保存任何网页的真实数据，所有的静态网页或者CGI程序，都保存在内部的Web服务器上。因此对反向代理服务器的攻击并不会使得网页信息遭到破坏，这样就增强了Web服务器的安全性。

　　反向代理方式和包过滤方式或普通代理方式并无冲突，因此可以在防火墙设备中同时使用这两种方式，其中反向代理用于外部网络访问内部网络时使用，正向代理或包过滤方式用于拒绝其他外部访问方式并提供内部网络对外部网络的访问能力。因此可以结合这些方式提供最佳的安全访问方式。