面面俱到点评Web安全原理与技术分析
一、Web安全不仅仅是互联网才需要Web服务是指采用B/S架构、通过Http协议提供服务的统称,这种结构也称为Web架构,随着Web2.0的发展,出现了数据与服务处理分离、 服务与数据分布式等变化,其交互性能也大大增强,也有人叫B/S/D三层结构。互联网能够快速流行得益于Web部署上的简单,开发上简便,Web网页的开 发大军迅速超过了以往任何计算机语言的爱好者,普及带来了应用上繁荣。J2EE与.NET的殊途同归,为Web流行扫清了厂家与标准的差异;众望所 归,SOA选中Web2.0作为其实现的基本工具之一(使用最广的),Web架构从互联网走进了企业内部网络,新业务系统的开发,越来越多的系统架构师选 择了Web架构,与熟悉它的人如此广泛是分不开的。事实再一次证明了那个经典的理论:简洁的最容易流行。
简单与安全好象总有些“矛盾”,浏览器可以直接看到页面的Html代码,早期的Web服务设计没有过多的安全考虑,人性本善,技术人员总是相信人都 是善良的!但随着Web2.0的广泛使用,Web服务不再只是信息发布,游戏中的装备交易、日常生活中网上购物、GOV行政审批、企业资源管理…信息价值的 诱惑,人的贪婪开始显现,不是所有的人都有Web设计者的“大同”思想,安全问题日显突出了。
2008年网络安全事件统计最多是:SQL注入与“网页挂马(木马)”。因为这是“僵尸”网络发展新“会员”的基本工具,而僵尸网络的经济与政治 “价值”,这里就不用说了。SQL注入与“网页挂马”主要就是针对Web服务的,传统的安全产品(UTM/IPS)都有些力不从心。
互联网是个人思想展现的乐园,也是世界级的、虚拟的“另一个”社会,既然大家都是虚拟的、带着面具的,要变成现实社会中的真实利益,还需要一些转换 才可以兑现,但SOA把Web架构带入企业内部网络,这里的网络世界是“真实的”,利益是可以直接兑现的,Web安全问题变得刻不容缓。
二、Web架构原理
要保护Web服务,先要了解Web系统架构,下图是Web服务的一般性结构图,适用于互联网上的网站,也适用于企业内网上的Web应用架构:
图
用户使用通用的Web浏览器,通过接入网络(网站的接入则是互联网)连接到Web服务器上。用户发出请求,服务器根据请求的URL的地址连接,找到 对应的网页文件,发送给用户,两者对话的“官方语言”是Http。网页文件是用文本描述的,HTML/Xml格式,在用户浏览器中有个解释器,把这些文本 描述的页面恢复成图文并茂、有声有影的可视页面。
通常情况下,用户要访问的页面都存在Web服务器的某个固定目录下,是一些.html或.xml文件,用户通过页面上的“超连接”(其实就是URL 地址)可以在网站页面之间“跳跃”,这就是静态的网页。后来人们觉得这种方式只能单向地给用户展示信息,信息发布还可以,但让用户做一些比如身份认证、投 票选举之类的事情就比较麻烦,由此产生了动态网页的概念;所谓动态就是利用flash、Php、asp、Java等技术在网页中嵌入一些可运行的“小程 序”,用户浏览器在解释页面时,看到这些小程序就启动运行它。小程序的用法很灵活,可以展示一段动画(如Flash),也可以在你的PC上生成一个文件, 或者接收你输入的一段信息,这样就可以根据你的“想法”,对页面进行定制处理,让你每次来到时,看到的是你上次设计好的特有风格,“贵宾的感觉”是每个人 都喜欢的,更何况虚拟的网络世界中,你不认识的人还对你如此“敬仰”,服务得如此体贴…
“小程序”的使用让Web服务模式有了“双向交流”的能力,Web服务模式也可以象传统软件一样进行各种事务处理,如编辑文件、利息计算、提交表格等,Web架构的适用面大大扩展,Web2.0可以成为SOA架构的实现技术之一,这个“小程序”是功不可没的。
页:
[1]