用IP阻塞保護Web服務(wù)的安全

申請免費試用、咨詢電話：400-8352-114

用IP阻塞保護Web服務(wù)的安全

怎樣才能確實把新技術(shù)推到商務(wù)應(yīng)用的前沿？首要的條件是新技術(shù)能產(chǎn)生額外的利潤。Web服務(wù)可以讓你通過因特網(wǎng)連接把自己所擁有的功能當(dāng)作服務(wù)出售給其他人?，F(xiàn)在的問題是，一旦你把功能作為Web服務(wù)發(fā)布在因特網(wǎng)上，那么任何人顯然都能使用它，反過來，如果要阻止某些人使用你的Web服務(wù)又該怎么辦呢？那就是說，你該采取什么手段才能保證只有付費顧客能使用你的Web服務(wù)？這就是本系列文章要解決的技術(shù)問題。本系列文章分成三個部分，主要討論保證Web服務(wù)安全的若干技術(shù)，本文即是開篇。

保護Web服務(wù)

在這篇文章里，我將用一家名為因特網(wǎng)字典公司（TIDC，Internet Dictionary Company的縮寫）的虛構(gòu)公司作為基本示例。該虛擬公司維護著一個開辦多年的網(wǎng)站，用戶可以通過該網(wǎng)站免費地檢索單詞的含義。此外，該公司還提供具有附加信息的付費服務(wù)，比如詞源和同義詞等等。隨著Web服務(wù)時代的到來，TIDC意識到發(fā)大財?shù)臋C會來了，這就是為其他網(wǎng)站提供定制的Web字典服務(wù)，從中獲取豐厚的利潤。該服務(wù)允許客戶網(wǎng)站訪問有關(guān)特定單詞的TIDC信息而且在他們自己的網(wǎng)站上使用單詞的定義。

另外還有家虛構(gòu)的公司：Regal Research公司，該公司向全球提供有關(guān)皇室的在線信息，內(nèi)容涉及到皇室的歷史和現(xiàn)在。Regal Research公司過去通過鏈接TIDC網(wǎng)站某單詞定義的方式采用TIDC提供的信息。然而，該解決方案對用戶不是很友好，因為用戶很容易就被帶到了連接到TIDC網(wǎng)站的一個新瀏覽器窗口里去。使用TIDC所具有的集成價值也就隨之喪失了，原因在于，從TIDC獲得的詞語定義并沒有同Regal Research網(wǎng)站真正的融合在一起。

然而，在采用最新的TIDC Web服務(wù)的情況下，Regal Research公司現(xiàn)在就能完全地直接把詞語定義乃至其他信息集成到它自己的站點（圖A）中來?，F(xiàn)在，當(dāng)一位Regal Research的用戶想知道某一個詞的定義時，其定義就會顯示在Regal Research的網(wǎng)站內(nèi)，而根本看不出是由某一種單獨的Web服務(wù)所提供的定義。這一過程給Regal Research的用戶帶來了更好的功能性而且，在幾乎完全采用現(xiàn)有功能的前提下也為TIDC產(chǎn)生了額外的收入。

圖A

TIDC Web服務(wù)架構(gòu)

既然TIDC創(chuàng)造了一種Web服務(wù)而Regal Research又正在使用它，那么TIDC就必須保證除Regal Research之外的其他網(wǎng)站不能免費地訪問其服務(wù)。要實現(xiàn)這個目標(biāo)可以采用的方法眾多。選擇正確措施取決于所需要的安全程度和應(yīng)用程序的目的。下面我們就來討論一種名為IP阻塞（IP blocking）的安全技術(shù)。

IP阻塞

我們首先闡述的Web服務(wù)安全類型就是IP阻塞。IP阻塞是一種在幾乎所有常用Web服務(wù)器（Apache和IIS）上普遍使用安全技術(shù)。

簡單地說，IP阻塞就是識別某些特定IP地址的過程——來自這些IP地址的Web請求都是可接受的。這項技術(shù)通常由指定可接受的IP地址的列表來實現(xiàn)。每當(dāng)一個Web請求被服務(wù)器收到，服務(wù)器就會把請求的來源IP地址同可接受IP地址表的條目進行比較。如果請求的來源IP地址正好列在表中年請求的認證即完成可進行下一步的處理。如果源IP地址不在表內(nèi)，服務(wù)器就返回一個HTTP 403.6錯誤“Forbidden: IP address rejected.”，中文意思是該IP地址被拒絕。注意，在大多數(shù)Web服務(wù)器還可能是設(shè)置阻塞的IP地址而非許可的IP地址表。

由于Web服務(wù)通常采用簡單的HTTP請求以供用戶使用，所以，Web服務(wù)所采用的IP阻塞技術(shù)原理同標(biāo)準的網(wǎng)站請求處理是完全相同的。在可接受IP地址列表上注冊的客戶就可以調(diào)用Web服務(wù)，而且可以查看網(wǎng)站上的WSDL文件了解所提供的Web服務(wù)內(nèi)容。

面臨的問題

在采用IP阻塞技術(shù)時你得考慮涉及到的一些問題。因為所有的請求都被Web服務(wù)器阻塞，所以客戶只有在你把他們的IP地址加到可接受IP地址表之后才能訪問網(wǎng)站。這一行為就令那些潛在客戶無法查閱網(wǎng)站的WSDL文件來了解你推出的Web服務(wù)。此外，IP地址無效的用戶還無法訪問站點內(nèi)的網(wǎng)頁，這一點必須高度關(guān)注。因為開發(fā)人員通常把Web服務(wù)和網(wǎng)頁放在同一網(wǎng)站內(nèi)從而把可重用性最大化。因此，如果你對自己的Web服務(wù)采用了IP阻塞，那么你要不對自己的網(wǎng)頁也采取同樣的安全策略要不就為你的網(wǎng)站和服務(wù)在服務(wù)器上創(chuàng)建不同的虛擬目錄。

在上述的因特網(wǎng)字典公司的例子中，IP阻塞是一項有效的安全措施。如圖B所顯示的那樣，運行TIDC Web服務(wù)的Web服務(wù)器自動地接受Regal Research公司的Web請求，同時堵塞其他方發(fā)出的請求。這樣做就使得只有付費的顧客才能訪問TIDC Web服務(wù)。

圖B

IP阻塞允許付費顧客采用TIDC Web服務(wù)同時拒絕其他方的請求

實現(xiàn)IP阻塞并不難，但是其實現(xiàn)過程因Web服務(wù)器的不同而不同。使用 IIS v5的用戶只需選擇網(wǎng)站屬性對話框內(nèi)的Directory Security標(biāo)簽，然后輸入可接受的IP地址即可。而對Apache來說，你得修改.htaccess文件設(shè)置允許訪問的IP地址。

采用IP阻塞還必須考慮這一點：管理員為了設(shè)置可接受的IP地址通常要訪問Web服務(wù)器。這種訪問在遠程開發(fā)的情況之下是完全可能而且從成本上來說也更為節(jié)約。例如，如果TIDC 的開發(fā)人員在紐約而物理的Web服務(wù)器卻在加利福尼亞，那么每當(dāng)他們增加或刪除一個客戶的時候，開發(fā)者就不得不在加利福尼亞找人來幫助他們編輯IP地址列表，這簡直太可笑了。

繼續(xù)……

在這一系列的第二部分，我們將討論保護Web服務(wù)的兩項技術(shù)：用戶認證和數(shù)字證書。