用IP阻塞保護(hù)Web服務(wù)的安全

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

用IP阻塞保護(hù)Web服務(wù)的安全

怎樣才能確實(shí)把新技術(shù)推到商務(wù)應(yīng)用的前沿？首要的條件是新技術(shù)能產(chǎn)生額外的利潤(rùn)。Web服務(wù)可以讓你通過(guò)因特網(wǎng)連接把自己所擁有的功能當(dāng)作服務(wù)出售給其他人?，F(xiàn)在的問(wèn)題是，一旦你把功能作為Web服務(wù)發(fā)布在因特網(wǎng)上，那么任何人顯然都能使用它，反過(guò)來(lái)，如果要阻止某些人使用你的Web服務(wù)又該怎么辦呢？那就是說(shuō)，你該采取什么手段才能保證只有付費(fèi)顧客能使用你的Web服務(wù)？這就是本系列文章要解決的技術(shù)問(wèn)題。本系列文章分成三個(gè)部分，主要討論保證Web服務(wù)安全的若干技術(shù)，本文即是開(kāi)篇。

保護(hù)Web服務(wù)

在這篇文章里，我將用一家名為因特網(wǎng)字典公司（TIDC，Internet Dictionary Company的縮寫(xiě)）的虛構(gòu)公司作為基本示例。該虛擬公司維護(hù)著一個(gè)開(kāi)辦多年的網(wǎng)站，用戶(hù)可以通過(guò)該網(wǎng)站免費(fèi)地檢索單詞的含義。此外，該公司還提供具有附加信息的付費(fèi)服務(wù)，比如詞源和同義詞等等。隨著Web服務(wù)時(shí)代的到來(lái)，TIDC意識(shí)到發(fā)大財(cái)?shù)臋C(jī)會(huì)來(lái)了，這就是為其他網(wǎng)站提供定制的Web字典服務(wù)，從中獲取豐厚的利潤(rùn)。該服務(wù)允許客戶(hù)網(wǎng)站訪問(wèn)有關(guān)特定單詞的TIDC信息而且在他們自己的網(wǎng)站上使用單詞的定義。

另外還有家虛構(gòu)的公司：Regal Research公司，該公司向全球提供有關(guān)皇室的在線信息，內(nèi)容涉及到皇室的歷史和現(xiàn)在。Regal Research公司過(guò)去通過(guò)鏈接TIDC網(wǎng)站某單詞定義的方式采用TIDC提供的信息。然而，該解決方案對(duì)用戶(hù)不是很友好，因?yàn)橛脩?hù)很容易就被帶到了連接到TIDC網(wǎng)站的一個(gè)新瀏覽器窗口里去。使用TIDC所具有的集成價(jià)值也就隨之喪失了，原因在于，從TIDC獲得的詞語(yǔ)定義并沒(méi)有同Regal Research網(wǎng)站真正的融合在一起。

然而，在采用最新的TIDC Web服務(wù)的情況下，Regal Research公司現(xiàn)在就能完全地直接把詞語(yǔ)定義乃至其他信息集成到它自己的站點(diǎn)（圖A）中來(lái)?，F(xiàn)在，當(dāng)一位Regal Research的用戶(hù)想知道某一個(gè)詞的定義時(shí)，其定義就會(huì)顯示在Regal Research的網(wǎng)站內(nèi)，而根本看不出是由某一種單獨(dú)的Web服務(wù)所提供的定義。這一過(guò)程給Regal Research的用戶(hù)帶來(lái)了更好的功能性而且，在幾乎完全采用現(xiàn)有功能的前提下也為T(mén)IDC產(chǎn)生了額外的收入。

圖A

TIDC Web服務(wù)架構(gòu)

既然TIDC創(chuàng)造了一種Web服務(wù)而Regal Research又正在使用它，那么TIDC就必須保證除Regal Research之外的其他網(wǎng)站不能免費(fèi)地訪問(wèn)其服務(wù)。要實(shí)現(xiàn)這個(gè)目標(biāo)可以采用的方法眾多。選擇正確措施取決于所需要的安全程度和應(yīng)用程序的目的。下面我們就來(lái)討論一種名為IP阻塞（IP blocking）的安全技術(shù)。

IP阻塞

我們首先闡述的Web服務(wù)安全類(lèi)型就是IP阻塞。IP阻塞是一種在幾乎所有常用Web服務(wù)器（Apache和IIS）上普遍使用安全技術(shù)。

簡(jiǎn)單地說(shuō)，IP阻塞就是識(shí)別某些特定IP地址的過(guò)程——來(lái)自這些IP地址的Web請(qǐng)求都是可接受的。這項(xiàng)技術(shù)通常由指定可接受的IP地址的列表來(lái)實(shí)現(xiàn)。每當(dāng)一個(gè)Web請(qǐng)求被服務(wù)器收到，服務(wù)器就會(huì)把請(qǐng)求的來(lái)源IP地址同可接受IP地址表的條目進(jìn)行比較。如果請(qǐng)求的來(lái)源IP地址正好列在表中年請(qǐng)求的認(rèn)證即完成可進(jìn)行下一步的處理。如果源IP地址不在表內(nèi)，服務(wù)器就返回一個(gè)HTTP 403.6錯(cuò)誤“Forbidden: IP address rejected.”，中文意思是該IP地址被拒絕。注意，在大多數(shù)Web服務(wù)器還可能是設(shè)置阻塞的IP地址而非許可的IP地址表。

由于Web服務(wù)通常采用簡(jiǎn)單的HTTP請(qǐng)求以供用戶(hù)使用，所以，Web服務(wù)所采用的IP阻塞技術(shù)原理同標(biāo)準(zhǔn)的網(wǎng)站請(qǐng)求處理是完全相同的。在可接受IP地址列表上注冊(cè)的客戶(hù)就可以調(diào)用Web服務(wù)，而且可以查看網(wǎng)站上的WSDL文件了解所提供的Web服務(wù)內(nèi)容。

面臨的問(wèn)題

在采用IP阻塞技術(shù)時(shí)你得考慮涉及到的一些問(wèn)題。因?yàn)樗械恼?qǐng)求都被Web服務(wù)器阻塞，所以客戶(hù)只有在你把他們的IP地址加到可接受IP地址表之后才能訪問(wèn)網(wǎng)站。這一行為就令那些潛在客戶(hù)無(wú)法查閱網(wǎng)站的WSDL文件來(lái)了解你推出的Web服務(wù)。此外，IP地址無(wú)效的用戶(hù)還無(wú)法訪問(wèn)站點(diǎn)內(nèi)的網(wǎng)頁(yè)，這一點(diǎn)必須高度關(guān)注。因?yàn)殚_(kāi)發(fā)人員通常把Web服務(wù)和網(wǎng)頁(yè)放在同一網(wǎng)站內(nèi)從而把可重用性最大化。因此，如果你對(duì)自己的Web服務(wù)采用了IP阻塞，那么你要不對(duì)自己的網(wǎng)頁(yè)也采取同樣的安全策略要不就為你的網(wǎng)站和服務(wù)在服務(wù)器上創(chuàng)建不同的虛擬目錄。

在上述的因特網(wǎng)字典公司的例子中，IP阻塞是一項(xiàng)有效的安全措施。如圖B所顯示的那樣，運(yùn)行TIDC Web服務(wù)的Web服務(wù)器自動(dòng)地接受Regal Research公司的Web請(qǐng)求，同時(shí)堵塞其他方發(fā)出的請(qǐng)求。這樣做就使得只有付費(fèi)的顧客才能訪問(wèn)TIDC Web服務(wù)。

圖B

IP阻塞允許付費(fèi)顧客采用TIDC Web服務(wù)同時(shí)拒絕其他方的請(qǐng)求

實(shí)現(xiàn)IP阻塞并不難，但是其實(shí)現(xiàn)過(guò)程因Web服務(wù)器的不同而不同。使用 IIS v5的用戶(hù)只需選擇網(wǎng)站屬性對(duì)話(huà)框內(nèi)的Directory Security標(biāo)簽，然后輸入可接受的IP地址即可。而對(duì)Apache來(lái)說(shuō)，你得修改.htaccess文件設(shè)置允許訪問(wèn)的IP地址。

采用IP阻塞還必須考慮這一點(diǎn)：管理員為了設(shè)置可接受的IP地址通常要訪問(wèn)Web服務(wù)器。這種訪問(wèn)在遠(yuǎn)程開(kāi)發(fā)的情況之下是完全可能而且從成本上來(lái)說(shuō)也更為節(jié)約。例如，如果TIDC 的開(kāi)發(fā)人員在紐約而物理的Web服務(wù)器卻在加利福尼亞，那么每當(dāng)他們?cè)黾踊騽h除一個(gè)客戶(hù)的時(shí)候，開(kāi)發(fā)者就不得不在加利福尼亞找人來(lái)幫助他們編輯IP地址列表，這簡(jiǎn)直太可笑了。

繼續(xù)……

在這一系列的第二部分，我們將討論保護(hù)Web服務(wù)的兩項(xiàng)技術(shù)：用戶(hù)認(rèn)證和數(shù)字證書(shū)。