本节书摘来异步社区《Cisco安全防火墙服务模块(FWSM)解决方案》一书中的第1章,第1.3节,作者:【美】Ray Blair ,Arvind Durai,更多章节内容可以访问云栖社区“异步社区”公众号查看
1.3 理解逆向代理防火墙
Cisco安全防火墙服务模块(FWSM)解决方案
逆向代理防火墙的功能与代理防火墙相同,所不同的是逆向代理防火墙用来保护服务器而不是客户端。连接到Web服务器的客户端可能会不知不觉地将请求发送到代理服务器上,然后由代理服务器作为客户端的代理来处理该请求。代理服务器还能够采用负载均衡的方式把请求发往多台服务器,以分担工作量。
1.3.1 优势
为了发挥其效用,逆向代理必须理解应用程序的运行机制。例如,假定你的Web应用程序需要输入邮件地址,尤其是地区编码时,则应用防火墙必须足够智能,以便拒绝那些可能会导致远端服务器发生问题的信息,比如缓冲区溢出。
注意:
当分配的内容空间超出既定的限制时,会发生缓冲区溢出,这会导致相邻的内存空间被覆盖掉。如果内存空间被恶意代码覆盖,则恶意代码将来执行时,可能会损害设备。
如果一名骇客试图在ZIP代码字段输入字母或者一长串字符时,可能会导致引用程序崩溃。众所周知,优秀的应用程序“应该不会”允许这类行为的发生(除非内存发生物理错误),并且其具有的深度防御功能有助于将人为因素降至最低。如果让代理自己去识别应用程序并获悉其允许的行为,会比较繁琐冗长。而且每当应用程序发生变化时,代理也需要随之改变。大多数公司部署的逆向代理防火墙通常不会将它们的代理和应用程序紧密地结合在一起(它们本应该紧密结合在一起),以便能充分利用代理和应用程序的性能。
逆向代理防火墙的另一个优势是终结安全套接字层(SSL)。它的两个显著好处是SSL不会增加应用服务器的负担,原因是逆向代理防火墙是处理器密集型,并且在单独的设备上解密时,可以检测到明文的流量。许多逆向代理防火墙使用额外的硬件模块执行SSL终结,因此减轻了主处理器的负担。图1-3所示为位于外部(例如Internet)的客户端向Web服务器请求信息的示例。
步骤1 客户端打开浏览器并输入URL,以将其定位到相关联的代理Web服
务器,从而请求信息。
步骤2和步骤3 代理服务器可从多个位置收集信息,在本例中,代理服务器向应用服
务器1请求图形,向应用服务器2请求实时数据。
步骤4和步骤5 代理服务器从应用服务器1和应用服务器2接收内容,以准备向请求
客户端进行发送。
步骤6 代理服务器将获得的信息发送给客户端。
从上面的例子可以看到,逆向代理服务器能够将进程功能分布到多台设备上执行,而且在请求信息的客户端和持有“真实”数据的设备之间增加了一个额外的安全层。
1.3.2 告诫
应用于代理防火墙的告诫同样也适用于逆向代理防火墙,但是逆向代理防火墙的可见度要高很多。因为逆向代理防火墙通常是对位于机构外部的用户提供服务的,当对这些服务的访问中断时,通过访问重要信息(例如病例数据或产品信息)所带来的收入也就中断。出于这些考虑,就更有必要保持这些服务连续运行。
逆向代理防火墙有助于保护服务器并实现负载均衡;还可以通过代理服务在客户端与关键应用之间提供屏障。设计周全的代理服务器能够有效地减少安全漏洞带来的威胁。
扫一扫
389
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
