當前位置:工程項目OA系統(tǒng) > 泛普各地 > 上海OA系統(tǒng) > 上海OA快博
用IP阻塞保護Web服務的安全
用IP阻塞保護Web服務的安全
怎樣才能確實把新技術推到商務應用的前沿?首要的條件是新技術能產(chǎn)生額外的利潤。Web服務可以讓你通過因特網(wǎng)連接把自己所擁有的功能當作服務出售給其他人?,F(xiàn)在的問題是,一旦你把功能作為Web服務發(fā)布在因特網(wǎng)上,那么任何人顯然都能使用它,反過來,如果要阻止某些人使用你的Web服務又該怎么辦呢?那就是說,你該采取什么手段才能保證只有付費顧客能使用你的Web服務?這就是本系列文章要解決的技術問題。本系列文章分成三個部分,主要討論保證Web服務安全的若干技術,本文即是開篇。
保護Web服務
在這篇文章里,我將用一家名為因特網(wǎng)字典公司(TIDC,Internet Dictionary Company的縮寫)的虛構公司作為基本示例。該虛擬公司維護著一個開辦多年的網(wǎng)站,用戶可以通過該網(wǎng)站免費地檢索單詞的含義。此外,該公司還提供具有附加信息的付費服務,比如詞源和同義詞等等。隨著Web服務時代的到來,TIDC意識到發(fā)大財?shù)臋C會來了,這就是為其他網(wǎng)站提供定制的Web字典服務,從中獲取豐厚的利潤。該服務允許客戶網(wǎng)站訪問有關特定單詞的TIDC信息而且在他們自己的網(wǎng)站上使用單詞的定義。
另外還有家虛構的公司:Regal Research公司,該公司向全球提供有關皇室的在線信息,內(nèi)容涉及到皇室的歷史和現(xiàn)在。Regal Research公司過去通過鏈接TIDC網(wǎng)站某單詞定義的方式采用TIDC提供的信息。然而,該解決方案對用戶不是很友好,因為用戶很容易就被帶到了連接到TIDC網(wǎng)站的一個新瀏覽器窗口里去。使用TIDC所具有的集成價值也就隨之喪失了,原因在于,從TIDC獲得的詞語定義并沒有同Regal Research網(wǎng)站真正的融合在一起。
然而,在采用最新的TIDC Web服務的情況下,Regal Research公司現(xiàn)在就能完全地直接把詞語定義乃至其他信息集成到它自己的站點(圖A)中來。現(xiàn)在,當一位Regal Research的用戶想知道某一個詞的定義時,其定義就會顯示在Regal Research的網(wǎng)站內(nèi),而根本看不出是由某一種單獨的Web服務所提供的定義。這一過程給Regal Research的用戶帶來了更好的功能性而且,在幾乎完全采用現(xiàn)有功能的前提下也為TIDC產(chǎn)生了額外的收入。
圖A
TIDC Web服務架構
既然TIDC創(chuàng)造了一種Web服務而Regal Research又正在使用它,那么TIDC就必須保證除Regal Research之外的其他網(wǎng)站不能免費地訪問其服務。要實現(xiàn)這個目標可以采用的方法眾多。選擇正確措施取決于所需要的安全程度和應用程序的目的。下面我們就來討論一種名為IP阻塞(IP blocking)的安全技術。
IP阻塞
我們首先闡述的Web服務安全類型就是IP阻塞。IP阻塞是一種在幾乎所有常用Web服務器(Apache和IIS)上普遍使用安全技術。
簡單地說,IP阻塞就是識別某些特定IP地址的過程——來自這些IP地址的Web請求都是可接受的。這項技術通常由指定可接受的IP地址的列表來實現(xiàn)。每當一個Web請求被服務器收到,服務器就會把請求的來源IP地址同可接受IP地址表的條目進行比較。如果請求的來源IP地址正好列在表中年請求的認證即完成可進行下一步的處理。如果源IP地址不在表內(nèi),服務器就返回一個HTTP 403.6錯誤“Forbidden: IP address rejected.”,中文意思是該IP地址被拒絕。注意,在大多數(shù)Web服務器還可能是設置阻塞的IP地址而非許可的IP地址表。
由于Web服務通常采用簡單的HTTP請求以供用戶使用,所以,Web服務所采用的IP阻塞技術原理同標準的網(wǎng)站請求處理是完全相同的。在可接受IP地址列表上注冊的客戶就可以調用Web服務,而且可以查看網(wǎng)站上的WSDL文件了解所提供的Web服務內(nèi)容。
面臨的問題
在采用IP阻塞技術時你得考慮涉及到的一些問題。因為所有的請求都被Web服務器阻塞,所以客戶只有在你把他們的IP地址加到可接受IP地址表之后才能訪問網(wǎng)站。這一行為就令那些潛在客戶無法查閱網(wǎng)站的WSDL文件來了解你推出的Web服務。此外,IP地址無效的用戶還無法訪問站點內(nèi)的網(wǎng)頁,這一點必須高度關注。因為開發(fā)人員通常把Web服務和網(wǎng)頁放在同一網(wǎng)站內(nèi)從而把可重用性最大化。因此,如果你對自己的Web服務采用了IP阻塞,那么你要不對自己的網(wǎng)頁也采取同樣的安全策略要不就為你的網(wǎng)站和服務在服務器上創(chuàng)建不同的虛擬目錄。
在上述的因特網(wǎng)字典公司的例子中,IP阻塞是一項有效的安全措施。如圖B所顯示的那樣,運行TIDC Web服務的Web服務器自動地接受Regal Research公司的Web請求,同時堵塞其他方發(fā)出的請求。這樣做就使得只有付費的顧客才能訪問TIDC Web服務。
圖B
IP阻塞允許付費顧客采用TIDC Web服務同時拒絕其他方的請求
實現(xiàn)IP阻塞并不難,但是其實現(xiàn)過程因Web服務器的不同而不同。使用 IIS v5的用戶只需選擇網(wǎng)站屬性對話框內(nèi)的Directory Security標簽,然后輸入可接受的IP地址即可。而對Apache來說,你得修改.htaccess文件設置允許訪問的IP地址。
采用IP阻塞還必須考慮這一點:管理員為了設置可接受的IP地址通常要訪問Web服務器。這種訪問在遠程開發(fā)的情況之下是完全可能而且從成本上來說也更為節(jié)約。例如,如果TIDC 的開發(fā)人員在紐約而物理的Web服務器卻在加利福尼亞,那么每當他們增加或刪除一個客戶的時候,開發(fā)者就不得不在加利福尼亞找人來幫助他們編輯IP地址列表,這簡直太可笑了。
繼續(xù)……
在這一系列的第二部分,我們將討論保護Web服務的兩項技術:用戶認證和數(shù)字證書。
- 1淺議Web service
- 2設立宗教場所申請流程及所需要提供材料
- 3協(xié)同OA辦公軟件項目實施過程中交付物的質量控制
- 4書評:Java Web Service
- 5上海OA戰(zhàn)略
- 6六獎項入袋 IBM獲Web服務雜志讀者選擇獎
- 7網(wǎng)絡服務新戰(zhàn)場:IT巨頭爭搶認證服務
- 8Perspective:關于網(wǎng)絡服務的5大謊言
- 9個人上海OA(PKM)如何實施?(田志剛)
- 10評論:企業(yè)的“網(wǎng)絡服務”時代到來了?
- 11關于安全的建議:對投入使用的XML Web Services禁用HTTP-GET和HTTP-POST協(xié)議
- 12Amazon和Google開辟Web service新紀元
- 13IBM和Sun公司都推出新版Web服務工具
- 14上海OA和信息技術有什么關系?(by AMT 仲英豪編譯)
- 15IBM發(fā)布新軟件,強化Web服務安全性
- 16欲與IBM試比高--訪微軟全球大客戶部副總裁喬納森·默
- 17機構上海OA的實務指引
- 18泛普軟件-協(xié)同OA辦公系統(tǒng)官方網(wǎng)站分析
- 19K-Logging:使用網(wǎng)絡日志(Web Logs)來進行上海OA
- 20避免上海OA項目失敗的十大要項
- 21上海OA與實踐性社團(by AMT 仲英豪 編譯)
- 22個人上海OA實務
- 23實施上海OA:把經(jīng)驗和信息轉化為生產(chǎn)力(by AMT 仲英豪編譯)
- 24Web服務防黑談(一)
- 25微軟為推XML搞結盟
- 26企業(yè)進行上海OA項目如何作好從知到行(by AMT 夏敬華 徐家?。?
- 27知識型企業(yè)的上海OA策略(By AMT 宋亮)
- 28鋼鐵行業(yè)電子商務各具特色
- 29綜述:Google唱生日歌 重裝上陣為生存而戰(zhàn)
- 30PKM:個人上海OA
成都公司:成都市成華區(qū)建設南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓