1.构建反向代理机制
大家熟知的IIS Unicode攻击,以及此次攻击中使用的注入技术,因为这种攻击是选择了防火墙所允许的80端口,而包过滤的防火墙无法对数据包内容进行核查,此时防火墙等同于虚设,即使在防火墙的屏障之后,也会被攻击者轻松拿下超级用户的管理权限。
另外一种做法就是使用反向代理技术,反向代理服务器可以避免有效的减少上述攻击。它对外就表现为一个Web服务器,不同之处在于的这个服务器没有保存任何网页的真实数据,所有的静态网页或者CGI程序,都保存在内部的Web服务器上。因此对反向代理服务器的攻击并不会使得网页信息遭到破坏,这样就增强了Web服务器的安全性。
图2反向代理访问模式
反向代理能以软件方式来实现,如Apache mod_proxy、ISA proxy等;也可以在高速缓存器、负载均衡器等硬件设备上实现。基于软件技术的反向代理负载均衡可以将优化的负载均衡策略和代理服务器的高速缓存技术结合在一起,提升静态网页的访问速度。
