應用層防火墻中的地址空間映射技術研究和實現.pdf

1、Web服務是當前最為廣泛和重要的Internet應用，針對web服務的攻擊方法和手段層出不窮。目前大量的攻擊集中在更高的應用層，以繞過網絡層檢測設備。檢測和阻止來自應用層的攻擊具有非常重要的實際意義和使用價值。 應用級Web安全的內容涉及Web應用程序代碼本身固有的缺陷。一種解決方案是在現有的企業(yè)內部網前放置一個應用層防火墻。 目前大部分應用層防火墻方案都是基于反向代理的，它是應用層防火墻的實現框架和基礎。反向代理提供企

2、業(yè)內部網的單一訪問點，客戶請求必須使用全球范圍有效的URL地址才能到達反向代理。企業(yè)內部網的結構非常復雜，其網頁或服務之間通常使用內嵌的URL來建立相互的聯系。這些鏈接一般是相對的。目前的反向代理技術并沒有考慮內嵌的URL問題。但是現在很多內嵌URL使用了絕對地址，它們基于內部服務器的地址空間，無法直接訪問。 地址空間映射技術是一項在反向代理中的新技術，它位于反向代理的前端，在網頁被轉發(fā)給客戶之前，獨立而集中地使用一定的策略（規(guī)

3、則）來轉換網頁中內嵌的URL，將其映射到反向代理的地址空間，客戶請求才能通過反向代理到達內部服務器，同時避免攻擊者繞過應用層防火墻的檢測。 基于Apache平臺的反向代理配置，以Apache的模塊形式實現了應用層防火墻中的地址空間映射方案，其中涉及到幾個關鍵技術：利用有限狀態(tài)機原理實現HTML解析技術，檢測內嵌的URL以進行必要的修改；針對動態(tài)網頁中復雜的腳本代碼提出了“異地代理”的解決辦法；配置了VPN訪問方式解決URL和CO