随着Internet的发展,很多机构都将自己内部的网络连接到Internet上,因而网络安全问题越来越重要。
一、现有防火墙技术及其局限性
为了增加网络的安全和保护内部网络上的重要数据,需要将内部网与Internet相隔离,当前主要通过防火墙技术来完成这个目的。然而为了保护内部主机,防火墙软件就必须限制外部网络中的主机对内部网络的访问。因此普通防火墙软件的设置中,外部网络无法访问内部主机。然而,为了向外发布自己的信息,就需要允许外部网络访问自己的Web服务器。最简单的处理方法是将Web服务器放在防火墙之外,这样就将Web服务器和内部网络区分开,Web服务器暴露在网络外部,就有可能招受攻击而导致服务器瘫痪或网页被更改等潜在的问题。而当前,Web服务器上面的信息越来越丰富和重要,Web服务器的重要性也非常明显。因此就需要使用防火墙来保护它,如果要将Web服务器放在防火墙之内,则需要防火墙的支持。
当前防火墙主要有两种类型,一种为包过滤型防火墙,这种防火墙针对每个IP包识别它是否符合管理员设定的过滤规则,符合一定要求的才被正确转发。可以使用的过滤规则包括源和目的主机的名字和IP地址,端口地址,使用的网络界面,以及IP包的类型。通常包过滤型的防火墙软件根据IP包的类型屏蔽所有的由外部发起的连接请求,从而保护内部网络。如果要将Web服务器放在放火墙之内,就需要允许对这个Web服务器和它使用的TCP端口的访问。
另一种类型的防火墙为应用代理型的防火墙,这种防火墙针对每种应用协议提供相应的代理服务,由代理服务器访问网络,并将结果返回给客户机。标准的http协议的代理服务,客户端的浏览器必须配置代理服务器的IP地址,不可能要求其他外部主机为访问这个内部网络上的主机而重新设置代理服务器的地址。代理服务器并不区分外部网络和内部网络,但是代理服务器使用Internet上的名字解析来确定Web服务器的位置,而通常防火墙内使用内部地址,这也决定了普通代理型防火墙不支持外部网络对内部Web服务器的http访问请求。因此普通代理服务器简单的屏蔽外部地址的访问,因此最简单的保护对外发布信息的Web服务器的方式是使用包过滤型的防火墙。
