隨著Internet的發(fā)展，很多機構都將自己內(nèi)部的網(wǎng)絡連接到Internet上，因而網(wǎng)絡安全問題越來越重要。

一、現(xiàn)有防火墻技術及其局限性

為了增加網(wǎng)絡的安全和保護內(nèi)部網(wǎng)絡上的重要數(shù)據(jù)，需要將內(nèi)部網(wǎng)與Internet相隔離，當前主要通過防火墻技術來完成這個目的。然而為了保護內(nèi)部主機，防火墻軟件就必須限制外部網(wǎng)絡中的主機對內(nèi)部網(wǎng)絡的訪問。因此普通防火墻軟件的設置中，外部網(wǎng)絡無法訪問內(nèi)部主機。然而，為了向外發(fā)布自己的信息，就需要允許外部網(wǎng)絡訪問自己的Web服務器。最簡單的處理方法是將Web服務器放在防火墻之外，這樣就將Web服務器和內(nèi)部網(wǎng)絡區(qū)分開，Web服務器暴露在網(wǎng)絡外部，就有可能招受攻擊而導致服務器癱瘓或網(wǎng)頁被更改等潛在的問題。而當前，Web服務器上面的信息越來越豐富和重要，Web服務器的重要性也非常明顯。因此就需要使用防火墻來保護它，如果要將Web服務器放在防火墻之內(nèi)，則需要防火墻的支持。

當前防火墻主要有兩種類型，一種為包過濾型防火墻，這種防火墻針對每個IP包識別它是否符合管理員設定的過濾規(guī)則，符合一定要求的才被正確轉(zhuǎn)發(fā)?？梢允褂玫倪^濾規(guī)則包括源和目的主機的名字和IP地址，端口地址，使用的網(wǎng)絡界面，以及IP包的類型。通常包過濾型的防火墻軟件根據(jù)IP包的類型屏蔽所有的由外部發(fā)起的連接請求，從而保護內(nèi)部網(wǎng)絡。如果要將Web服務器放在放火墻之內(nèi)，就需要允許對這個Web服務器和它使用的TCP端口的訪問。

另一種類型的防火墻為應用代理型的防火墻，這種防火墻針對每種應用協(xié)議提供相應的代理服務，由代理服務器訪問網(wǎng)絡，并將結果返回給客戶機。標準的http協(xié)議的代理服務，客戶端的瀏覽器必須配置代理服務器的IP地址，不可能要求其他外部主機為訪問這個內(nèi)部網(wǎng)絡上的主機而重新設置代理服務器的地址。代理服務器并不區(qū)分外部網(wǎng)絡和內(nèi)部網(wǎng)絡，但是代理服務器使用Internet上的名字解析來確定Web服務器的位置，而通常防火墻內(nèi)使用內(nèi)部地址，這也決定了普通代理型防火墻不支持外部網(wǎng)絡對內(nèi)部Web服務器的http訪問請求。因此普通代理服務器簡單的屏蔽外部地址的訪問，因此最簡單的保護對外發(fā)布信息的Web服務器的方式是使用包過濾型的防火墻。

一旦允許外部網(wǎng)絡中的主機可以向內(nèi)部網(wǎng)絡發(fā)起連接請求，攻擊者就可以在網(wǎng)絡外部嘗試進行連接，這增加了攻擊者攻擊內(nèi)部網(wǎng)絡的方式，降低了整個網(wǎng)絡的安全系數(shù)。如果不允許外部主機向內(nèi)部網(wǎng)絡發(fā)起連接請求，攻擊者就只好在外部發(fā)起攻擊，使用特洛伊木馬或者IP spoof等技術，這些方式與發(fā)起主動連接的攻擊方式相比，沒有現(xiàn)成的工具供利用，因此使得攻擊的復雜性大大增加，因此網(wǎng)絡被攻擊的可能性大為減少，幾乎成為不可能。一旦攻擊者進入內(nèi)部網(wǎng)絡中的Web服務器，整個內(nèi)部網(wǎng)絡就暴露在攻擊者的面前，防火墻就不能起到應有的作用了。因此通過重新定義包過濾型防火墻的過濾規(guī)則，并將Web服務器放在內(nèi)部網(wǎng)絡內(nèi)，只是一種簡單的保護Web服務器的方法，然而不利于保護整個內(nèi)部網(wǎng)絡的安全。

因此，為了在保護Web服務器和內(nèi)部網(wǎng)絡的安全，當前使用的更安全的做法是實現(xiàn)雙層防火墻。外層防火墻實現(xiàn)包過濾功能，然而卻允許外部網(wǎng)絡訪問其中的Web服務器，內(nèi)部防火墻允許最中間的內(nèi)部網(wǎng)絡可以訪問外部網(wǎng)絡。在外部防火墻和內(nèi)部防火墻之間稱為?；饏^(qū)，提供外部網(wǎng)絡訪問的服務器就位于這個區(qū)域，表明即使攻擊者通過外部防火墻進入這個區(qū)域，也無法攻入內(nèi)部網(wǎng)絡。雙層防火墻通過設置了兩層防火墻，使得內(nèi)部網(wǎng)絡更為安全。然而，它在保護Web服務器方面的作用，與單層防火墻相似。因為此時Web服務器仍然只受到一層防火墻的保護，同樣也無法對外部隱藏防火墻內(nèi)主機的各種信息，例如服務器的ip等。而且這層防火墻是對應用協(xié)議一無所知的包過濾防火墻，由于包過濾的方式不識別應用協(xié)議，通常為http協(xié)議，那么就無法正確識別外部的連接請求是否屬于正常連接，通常也無法進行詳盡的連接記錄。為了更好的保護Web服務器不被外部攻擊者破壞，就應該屏蔽內(nèi)部服務器的IP地址等信息，并且防火墻能夠識別連接協(xié)議，顯然這是代理型防火墻的任務。

二、反向代理方式

通常的代理服務器，只用于代理內(nèi)部網(wǎng)絡對Internet的連接請求，客戶機必須指定代理服務器,并將本來要直接發(fā)送到Web服務器上的http請求發(fā)送到代理服務器中。由于外部網(wǎng)絡上的主機并不會配置并使用這個代理服務器，普通代理服務器也被設計為在Internet上搜尋多個不確定的服務器,而不是針對Internet上多個客戶機的請求訪問某一個固定的服務器，因此普通的Web代理服務器不支持外部對內(nèi)部網(wǎng)絡的訪問請求。當一個代理服務器能夠代理外部網(wǎng)絡上的主機，訪問內(nèi)部網(wǎng)絡時，這種代理服務的方式稱為反向代理服務。此時代理服務器對外就表現(xiàn)為一個Web服務器，外部網(wǎng)絡就可以簡單把它當作一個標準的Web服務器而不需要特定的配置。不同之處在于，這個服務器沒有保存任何網(wǎng)頁的真實數(shù)據(jù)，所有的靜態(tài)網(wǎng)頁或者CGI程序，都保存在內(nèi)部的Web服務器上。因此對反向代理服務器的攻擊并不會使得網(wǎng)頁信息遭到破壞，這樣就增強了Web服務器的安全性。

反向代理方式和包過濾方式或普通代理方式并無沖突，因此可以在防火墻設備中同時使用這兩種方式，其中反向代理用于外部網(wǎng)絡訪問內(nèi)部網(wǎng)絡時使用，正向代理或包過濾方式用于拒絕其他外部訪問方式并提供內(nèi)部網(wǎng)絡對外部網(wǎng)絡的訪問能力。因此可以結合這些方式提供最佳的安全訪問方式。

綜合反向代理功能和普通拒絕外部訪問的普通防火墻軟件相結合，就能構成一個既具有保護內(nèi)部網(wǎng)絡、又能對外提供Web信息發(fā)布的能力的防火墻系統(tǒng)。由于反向代理能力需要軟件實現(xiàn)，因此不能使用現(xiàn)有的防火墻系統(tǒng)，需要使用相關軟件進行開發(fā)改進。Unix顯然是首選平臺，我們基于FreeBSD系統(tǒng)，提出一種基于ipfw、natd與squid的防火墻設置方式。其中ipfw可以基于ip地址、端口、協(xié)議等對ip包進行過濾，natd提供網(wǎng)絡地址轉(zhuǎn)換功能，這樣就隱藏了內(nèi)部網(wǎng)絡的拓撲等信息，ipfw和natd結合就構成了強大的包過濾網(wǎng)關。而squid是Internet上最流行的Web代理服務器之一，雖然它提供的是普通的正向代理能力，但其為開放源代碼軟件，并且具有強大的可配置性，因此很容易可以將其更改為反向代理服務器。

這種方式對內(nèi)部網(wǎng)絡的保護能力，要小于雙層防火墻軟件，等于普通的單層防火墻軟件，然而其對Web服務器的保護卻大于雙層防火墻系統(tǒng)中對位于對?；饏^(qū)內(nèi)的Web服務器的保護。然而其本身為單層系統(tǒng)，因此比雙層系統(tǒng)配置起來更方便，是一種簡單有效的方案。其中反向代理功能能夠提供豐富的連接記錄，可以用來提供預防和捕獲攻擊的能力，而包過濾和網(wǎng)絡地址翻譯可以讓內(nèi)部網(wǎng)絡的主機可以使用多種協(xié)議訪問外部網(wǎng)絡，不需要考慮防火墻對應用協(xié)議的支持問題。這種方式適用于大多數(shù)Intranet系統(tǒng)。
三、討論

當需要對內(nèi)部網(wǎng)絡提供更進一步的保護時，仍然可以使用雙層防火墻模式，這樣兼具反向代理對Web服務器的保護能力，和雙層防火墻對內(nèi)部數(shù)據(jù)的更大的保護能力。

當組織向外提供信息發(fā)布的時候，并不僅僅要提供一些靜態(tài)的網(wǎng)頁，更大的可能是要根據(jù)實際的數(shù)據(jù)動態(tài)發(fā)布信息。因此發(fā)布的網(wǎng)頁便需要通過訪問數(shù)據(jù)庫動態(tài)生成，通常使用的動態(tài)生成技術有CGI或服務器端文檔解析等方式生成的。然而無論那種方式，都需要使得Web服務器能夠和數(shù)據(jù)庫服務器進行連接、通信。然而系統(tǒng)數(shù)據(jù)庫應該是內(nèi)部網(wǎng)絡中應該首要保護的系統(tǒng)，因此要求安全性要求不高的對外發(fā)布信息的Web服務器和內(nèi)部數(shù)據(jù)庫服務器放置在同一個網(wǎng)段，就會造成相應的安全問題。

為了提高訪問數(shù)據(jù)庫服務器的安全性，就需要對能夠訪問數(shù)據(jù)庫的CGI程序進行限制，這就要求對啟動CGI的URL請求比對普通url進行更嚴格的限制。與普通包過濾型防火墻不同，反向代理能夠理解http協(xié)議，能區(qū)分出不同的url請求，從而能夠?qū)崿F(xiàn)對cgi請求比普通http請求更嚴格的控制，甚至可以將cgi請求發(fā)送到一臺專用的CGI服務器進行處理，從而分別處理普通url請求和cgi請求。這臺cgi服務器可以具有訪問數(shù)據(jù)庫的能力，保證數(shù)據(jù)庫的安全。

總結本文中的論述，可以看出，反向代理方式是一種對外提供Web發(fā)布時使用的有效的防火墻技術，使用它和傳統(tǒng)防火墻技術相結合，就能實現(xiàn)簡單有效的防火墻系統(tǒng)。