監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設計管理系統(tǒng) | 甲方項目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關閉

用IP阻塞保護Web服務的安全

申請免費試用、咨詢電話:400-8352-114

AMTeam.org

用IP阻塞保護Web服務的安全

怎樣才能確實把新技術推到商務應用的前沿?首要的條件是新技術能產(chǎn)生額外的利潤。Web服務可以讓你通過因特網(wǎng)連接把自己所擁有的功能當作服務出售給其他人?,F(xiàn)在的問題是,一旦你把功能作為Web服務發(fā)布在因特網(wǎng)上,那么任何人顯然都能使用它,反過來,如果要阻止某些人使用你的Web服務又該怎么辦呢?那就是說,你該采取什么手段才能保證只有付費顧客能使用你的Web服務?這就是本系列文章要解決的技術問題。本系列文章分成三個部分,主要討論保證Web服務安全的若干技術,本文即是開篇。

保護Web服務

在這篇文章里,我將用一家名為因特網(wǎng)字典公司(TIDC,Internet Dictionary Company的縮寫)的虛構公司作為基本示例。該虛擬公司維護著一個開辦多年的網(wǎng)站,用戶可以通過該網(wǎng)站免費地檢索單詞的含義。此外,該公司還提供具有附加信息的付費服務,比如詞源和同義詞等等。隨著Web服務時代的到來,TIDC意識到發(fā)大財?shù)臋C會來了,這就是為其他網(wǎng)站提供定制的Web字典服務,從中獲取豐厚的利潤。該服務允許客戶網(wǎng)站訪問有關特定單詞的TIDC信息而且在他們自己的網(wǎng)站上使用單詞的定義。

另外還有家虛構的公司:Regal Research公司,該公司向全球提供有關皇室的在線信息,內(nèi)容涉及到皇室的歷史和現(xiàn)在。Regal Research公司過去通過鏈接TIDC網(wǎng)站某單詞定義的方式采用TIDC提供的信息。然而,該解決方案對用戶不是很友好,因為用戶很容易就被帶到了連接到TIDC網(wǎng)站的一個新瀏覽器窗口里去。使用TIDC所具有的集成價值也就隨之喪失了,原因在于,從TIDC獲得的詞語定義并沒有同Regal Research網(wǎng)站真正的融合在一起。

然而,在采用最新的TIDC Web服務的情況下,Regal Research公司現(xiàn)在就能完全地直接把詞語定義乃至其他信息集成到它自己的站點(圖A)中來。現(xiàn)在,當一位Regal Research的用戶想知道某一個詞的定義時,其定義就會顯示在Regal Research的網(wǎng)站內(nèi),而根本看不出是由某一種單獨的Web服務所提供的定義。這一過程給Regal Research的用戶帶來了更好的功能性而且,在幾乎完全采用現(xiàn)有功能的前提下也為TIDC產(chǎn)生了額外的收入。

圖A

 

TIDC Web服務架構

既然TIDC創(chuàng)造了一種Web服務而Regal Research又正在使用它,那么TIDC就必須保證除Regal Research之外的其他網(wǎng)站不能免費地訪問其服務。要實現(xiàn)這個目標可以采用的方法眾多。選擇正確措施取決于所需要的安全程度和應用程序的目的。下面我們就來討論一種名為IP阻塞(IP blocking)的安全技術。

IP阻塞

我們首先闡述的Web服務安全類型就是IP阻塞。IP阻塞是一種在幾乎所有常用Web服務器(Apache和IIS)上普遍使用安全技術。

簡單地說,IP阻塞就是識別某些特定IP地址的過程——來自這些IP地址的Web請求都是可接受的。這項技術通常由指定可接受的IP地址的列表來實現(xiàn)。每當一個Web請求被服務器收到,服務器就會把請求的來源IP地址同可接受IP地址表的條目進行比較。如果請求的來源IP地址正好列在表中年請求的認證即完成可進行下一步的處理。如果源IP地址不在表內(nèi),服務器就返回一個HTTP 403.6錯誤“Forbidden: IP address rejected.”,中文意思是該IP地址被拒絕。注意,在大多數(shù)Web服務器還可能是設置阻塞的IP地址而非許可的IP地址表。

由于Web服務通常采用簡單的HTTP請求以供用戶使用,所以,Web服務所采用的IP阻塞技術原理同標準的網(wǎng)站請求處理是完全相同的。在可接受IP地址列表上注冊的客戶就可以調用Web服務,而且可以查看網(wǎng)站上的WSDL文件了解所提供的Web服務內(nèi)容。

面臨的問題

在采用IP阻塞技術時你得考慮涉及到的一些問題。因為所有的請求都被Web服務器阻塞,所以客戶只有在你把他們的IP地址加到可接受IP地址表之后才能訪問網(wǎng)站。這一行為就令那些潛在客戶無法查閱網(wǎng)站的WSDL文件來了解你推出的Web服務。此外,IP地址無效的用戶還無法訪問站點內(nèi)的網(wǎng)頁,這一點必須高度關注。因為開發(fā)人員通常把Web服務和網(wǎng)頁放在同一網(wǎng)站內(nèi)從而把可重用性最大化。因此,如果你對自己的Web服務采用了IP阻塞,那么你要不對自己的網(wǎng)頁也采取同樣的安全策略要不就為你的網(wǎng)站和服務在服務器上創(chuàng)建不同的虛擬目錄。

在上述的因特網(wǎng)字典公司的例子中,IP阻塞是一項有效的安全措施。如圖B所顯示的那樣,運行TIDC Web服務的Web服務器自動地接受Regal Research公司的Web請求,同時堵塞其他方發(fā)出的請求。這樣做就使得只有付費的顧客才能訪問TIDC Web服務。

圖B

 

IP阻塞允許付費顧客采用TIDC Web服務同時拒絕其他方的請求

實現(xiàn)IP阻塞并不難,但是其實現(xiàn)過程因Web服務器的不同而不同。使用 IIS v5的用戶只需選擇網(wǎng)站屬性對話框內(nèi)的Directory Security標簽,然后輸入可接受的IP地址即可。而對Apache來說,你得修改.htaccess文件設置允許訪問的IP地址。

采用IP阻塞還必須考慮這一點:管理員為了設置可接受的IP地址通常要訪問Web服務器。這種訪問在遠程開發(fā)的情況之下是完全可能而且從成本上來說也更為節(jié)約。例如,如果TIDC 的開發(fā)人員在紐約而物理的Web服務器卻在加利福尼亞,那么每當他們增加或刪除一個客戶的時候,開發(fā)者就不得不在加利福尼亞找人來幫助他們編輯IP地址列表,這簡直太可笑了。

繼續(xù)……

在這一系列的第二部分,我們將討論保護Web服務的兩項技術:用戶認證和數(shù)字證書。

發(fā)布:2007-03-25 10:34    編輯:泛普軟件 · xiaona    [打印此頁]    [關閉]
相關文章:
上海OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢