使用反向代理技术保护Web服务器

核心提示： 一旦允许外部网络中的主机可以向内部网络发起连接请求，攻击者就可以在网络外部尝试进行连接，使用反向代理技术保护Web服务器(2)，这增加了攻击者攻击内部网络的方式，降低了整个网络的安全系数，就应该屏蔽内部服务器的IP地址等信息，并且防火墙能够识别连接协议，如果不允许外部主机向内部网络发起连接

一旦允许外部网络中的主机可以向内部网络发起连接请求，攻击者就可以在网络外部尝试进行连接，这增加了攻击者攻击内部网络的方式，降低了整个网络的安全系数。如果不允许外部主机向内部网络发起连接请求，攻击者就只好在外部发起攻击，使用特洛伊木马或者IPspoof等技术，这些方式与发起主动连接的攻击方式相比，没有现成的工具供利用，因此使得攻击的复杂性大大增加，因此网络被攻击的可能性大为减少，几乎成为不可能。一旦攻击者进入内部网络中的Web服务器，整个内部网络就暴露在攻击者的面前，防火墙就不能起到应有的作用了。因此通过重新定义包过滤型防火墙的过滤规则，并将Web服务器放在内部网络内，只是一种简单的保护Web服务器的方法，然而不利于保护整个内部网络的安全。

因此，为了在保护Web服务器和内部网络的安全，当前使用的更安全的做法是实现双层防火墙。外层防火墙实现包过滤功能，然而却允许外部网络访问其中的Web服务器，内部防火墙允许最中间的内部网络可以访问外部网络。在外部防火墙和内部防火墙之间称为停火区，提供外部网络访问的服务器就位于这个区域，表明即使攻击者通过外部防火墙进入这个区域，也无法攻入内部网络。双层防火墙通过设置了两层防火墙，使得内部网络更为安全。然而，它在保护Web服务器方面的作用，与单层防火墙相似。因为此时Web服务器仍然只受到一层防火墙的保护，同样也无法对外部隐藏防火墙内主机的各种信息，例如服务器的ip等。而且这层防火墙是对应用协议一无所知的包过滤防火墙，由于包过滤的方式不识别应用协议，通常为http协议，那么就无法正确识别外部的连接请求是否属于正常连接，通常也无法进行详尽的连接记录。为了更好的保护Web服务器不被外部攻击者破坏，就应该屏蔽内部服务器的IP地址等信息，并且防火墙能够识别连接协议，显然这是代理型防火墙的任务。