基于Web 三層架構(gòu)方式所面臨的威脅研究

楊玉新

云南省德宏師專現(xiàn)代教育技術(shù)中心，副教授。

三層架構(gòu)是在客戶與服務(wù)器之間加入了一個(gè)業(yè)務(wù)邏輯層，將復(fù)雜的商業(yè)邏輯從傳統(tǒng)的雙層結(jié)構(gòu)應(yīng)用模式中分離出來。利用一些防護(hù)手段來進(jìn)行安全防護(hù)，但是入侵或攻擊者可以通過一些公共端口或是內(nèi)網(wǎng)來入侵內(nèi)部PC 或者其他安全性很低的終端，并使其成為入侵一個(gè)企業(yè)web 站點(diǎn)的橋梁，因此為了保障企業(yè)或機(jī)構(gòu)的web 服務(wù)安全，不僅要考慮web站點(diǎn)本身編程應(yīng)注意避免的漏洞；還要注意網(wǎng)絡(luò)服務(wù)設(shè)備軟件、硬件的必要安全設(shè)置；以及對(duì)于內(nèi)部網(wǎng)絡(luò)的安全管理。

在不同web 形式的構(gòu)建中，常用的是web 標(biāo)準(zhǔn)的三層構(gòu)建模型。如圖1 所示的web 情況下的三層模型。

這是最常構(gòu)建的模型，首層是客戶端；而動(dòng)態(tài)web 服務(wù)器和應(yīng)用服務(wù)器屬于中間層；這里的數(shù)據(jù)庫(kù)屬于第三層。客戶以web 瀏覽器的形式發(fā)送請(qǐng)求（Request）給中間層，再經(jīng)中間層把用戶的請(qǐng)求轉(zhuǎn)換為到后臺(tái)數(shù)據(jù)的查詢或者是更新，同時(shí)將最后的結(jié)果在瀏覽器上顯示給用戶。

Web 安全的重要性突出的表現(xiàn)在網(wǎng)站的構(gòu)建中人們都都有這樣的認(rèn)識(shí)在web 應(yīng)用的各方面，可能使用到各種各樣的技術(shù)來保證網(wǎng)站的安全。為確保客戶端機(jī)器的安全，用戶們通常會(huì)安裝殺毒軟件。為了保證客戶數(shù)據(jù)傳輸?shù)狡髽I(yè)web 服務(wù)器的傳輸安全，通信層常常使用SSL（安全套接字層）方法來加密數(shù)據(jù)。使用防火墻與IDS 或者是IPS（入侵防護(hù)系統(tǒng)）來確保允許特定的訪問。大可不必暴露的端口，而不合法訪問經(jīng)IDS 或IPS 的系統(tǒng)檢測(cè)與防護(hù)都會(huì)被阻止。就即便宜是使有防火墻，企業(yè)仍會(huì)使用認(rèn)證的方法來授權(quán)用戶防問相應(yīng)的web 應(yīng)用。一些專業(yè)的公司為提高安全系數(shù)，增加了Honeypot（密罐技術(shù)系統(tǒng)），主動(dòng)故意暴露虛設(shè)的陷阱給入侵者，以達(dá)到記錄入侵。這樣做的好處是可以盡早的查明和預(yù)警入侵者在網(wǎng)絡(luò)上曾做過的操作。

只要網(wǎng)絡(luò)連通就會(huì)有不安全的因素存在，就是有防毒軟件的保護(hù)、防火墻IDS 或者是IPS 的防護(hù)，企事業(yè)單位仍需允許一部分通信進(jìn)入防火墻。而web 應(yīng)用的最終目的是為了用戶提供安全服務(wù)，安全措施之一可以關(guān)閉不必要的端口，而應(yīng)用服務(wù)必需的80 及443 等端口是不得不要開放的。能順利通過防火墻的部分通信信號(hào)，可能是好的，也可能是不懷好意的，分辨有難度。值得注意的是，web應(yīng)用是由軟件組成的，這樣它一定會(huì)含有Bug 及出現(xiàn)漏洞，象這些Bug、漏洞可能被惡意的用戶（為攻擊或入侵者）利用，他們執(zhí)行各種非法操作，或竊取重要信息，操控使其成為橋梁或者有成為有針對(duì)性的破壞web 應(yīng)用的重要信息。

除了來自外部的web 安全隱患，還有來自內(nèi)部的安全威脅，然而往往很多網(wǎng)管不重視網(wǎng)絡(luò)內(nèi)部的web 安全防范。如圖2 所示，服務(wù)器區(qū)與內(nèi)網(wǎng)沒有訪問控制，內(nèi)網(wǎng)可以隨意訪問服務(wù)器。

圖1 web 環(huán)境三層模型

圖2 不重視內(nèi)部網(wǎng)絡(luò)的服務(wù)器安全

很多攻擊或入侵者通過入侵內(nèi)部PC 或者其他安全性很低的終端，雖然這些PC、終端可能沒有存儲(chǔ)很多有價(jià)值的信息和數(shù)據(jù)，但是這些機(jī)器往往會(huì)成為攻擊或入侵者成功入侵一個(gè)企業(yè)web 站點(diǎn)的橋梁（跳板），致使web服務(wù)內(nèi)部網(wǎng)絡(luò)遭受破壞。為攻擊或入侵者甚至可以得到web 服務(wù)器及其他服務(wù)器的管理控制權(quán)。從而巧妙地繞過IDS/IPS 和防火墻的檢測(cè)與防護(hù)，最終達(dá)到入侵web 站點(diǎn)的目的。

所以對(duì)于一個(gè)網(wǎng)絡(luò)管理員來說，為了保障企業(yè)或機(jī)構(gòu)的web 服務(wù)安全，保護(hù)重要數(shù)據(jù)不被盜取和破壞，不僅要考慮web 站點(diǎn)本身編程應(yīng)注意避免的漏洞；還要注意網(wǎng)絡(luò)服務(wù)設(shè)備軟件、硬件的必要安全設(shè)置；以及對(duì)于內(nèi)部網(wǎng)絡(luò)的安全管理。