基于Web 三層架構方式所面臨的威脅研究

楊玉新

云南省德宏師專現(xiàn)代教育技術中心，副教授。

三層架構是在客戶與服務器之間加入了一個業(yè)務邏輯層，將復雜的商業(yè)邏輯從傳統(tǒng)的雙層結構應用模式中分離出來。利用一些防護手段來進行安全防護，但是入侵或攻擊者可以通過一些公共端口或是內(nèi)網(wǎng)來入侵內(nèi)部PC 或者其他安全性很低的終端，并使其成為入侵一個企業(yè)web 站點的橋梁，因此為了保障企業(yè)或機構的web 服務安全，不僅要考慮web站點本身編程應注意避免的漏洞；還要注意網(wǎng)絡服務設備軟件、硬件的必要安全設置；以及對于內(nèi)部網(wǎng)絡的安全管理。

在不同web 形式的構建中，常用的是web 標準的三層構建模型。如圖1 所示的web 情況下的三層模型。

這是最常構建的模型，首層是客戶端；而動態(tài)web 服務器和應用服務器屬于中間層；這里的數(shù)據(jù)庫屬于第三層。客戶以web 瀏覽器的形式發(fā)送請求（Request）給中間層，再經(jīng)中間層把用戶的請求轉(zhuǎn)換為到后臺數(shù)據(jù)的查詢或者是更新，同時將最后的結果在瀏覽器上顯示給用戶。

Web 安全的重要性突出的表現(xiàn)在網(wǎng)站的構建中人們都都有這樣的認識在web 應用的各方面，可能使用到各種各樣的技術來保證網(wǎng)站的安全。為確?？蛻舳藱C器的安全，用戶們通常會安裝殺毒軟件。為了保證客戶數(shù)據(jù)傳輸?shù)狡髽I(yè)web 服務器的傳輸安全，通信層常常使用SSL（安全套接字層）方法來加密數(shù)據(jù)。使用防火墻與IDS 或者是IPS（入侵防護系統(tǒng)）來確保允許特定的訪問。大可不必暴露的端口，而不合法訪問經(jīng)IDS 或IPS 的系統(tǒng)檢測與防護都會被阻止。就即便宜是使有防火墻，企業(yè)仍會使用認證的方法來授權用戶防問相應的web 應用。一些專業(yè)的公司為提高安全系數(shù)，增加了Honeypot（密罐技術系統(tǒng)），主動故意暴露虛設的陷阱給入侵者，以達到記錄入侵。這樣做的好處是可以盡早的查明和預警入侵者在網(wǎng)絡上曾做過的操作。

只要網(wǎng)絡連通就會有不安全的因素存在，就是有防毒軟件的保護、防火墻IDS 或者是IPS 的防護，企事業(yè)單位仍需允許一部分通信進入防火墻。而web 應用的最終目的是為了用戶提供安全服務，安全措施之一可以關閉不必要的端口，而應用服務必需的80 及443 等端口是不得不要開放的。能順利通過防火墻的部分通信信號，可能是好的，也可能是不懷好意的，分辨有難度。值得注意的是，web應用是由軟件組成的，這樣它一定會含有Bug 及出現(xiàn)漏洞，象這些Bug、漏洞可能被惡意的用戶（為攻擊或入侵者）利用，他們執(zhí)行各種非法操作，或竊取重要信息，操控使其成為橋梁或者有成為有針對性的破壞web 應用的重要信息。

除了來自外部的web 安全隱患，還有來自內(nèi)部的安全威脅，然而往往很多網(wǎng)管不重視網(wǎng)絡內(nèi)部的web 安全防范。如圖2 所示，服務器區(qū)與內(nèi)網(wǎng)沒有訪問控制，內(nèi)網(wǎng)可以隨意訪問服務器。

圖1 web 環(huán)境三層模型

圖2 不重視內(nèi)部網(wǎng)絡的服務器安全

很多攻擊或入侵者通過入侵內(nèi)部PC 或者其他安全性很低的終端，雖然這些PC、終端可能沒有存儲很多有價值的信息和數(shù)據(jù)，但是這些機器往往會成為攻擊或入侵者成功入侵一個企業(yè)web 站點的橋梁（跳板），致使web服務內(nèi)部網(wǎng)絡遭受破壞。為攻擊或入侵者甚至可以得到web 服務器及其他服務器的管理控制權。從而巧妙地繞過IDS/IPS 和防火墻的檢測與防護，最終達到入侵web 站點的目的。

所以對于一個網(wǎng)絡管理員來說，為了保障企業(yè)或機構的web 服務安全，保護重要數(shù)據(jù)不被盜取和破壞，不僅要考慮web 站點本身編程應注意避免的漏洞；還要注意網(wǎng)絡服務設備軟件、硬件的必要安全設置；以及對于內(nèi)部網(wǎng)絡的安全管理。