用IP阻塞保護Web服務的安全

申請免費試用、咨詢電話：400-8352-114

用IP阻塞保護Web服務的安全

怎樣才能確實把新技術推到商務應用的前沿？首要的條件是新技術能產生額外的利潤。Web服務可以讓你通過因特網連接把自己所擁有的功能當作服務出售給其他人。現在的問題是，一旦你把功能作為Web服務發(fā)布在因特網上，那么任何人顯然都能使用它，反過來，如果要阻止某些人使用你的Web服務又該怎么辦呢？那就是說，你該采取什么手段才能保證只有付費顧客能使用你的Web服務？這就是本系列文章要解決的技術問題。本系列文章分成三個部分，主要討論保證Web服務安全的若干技術，本文即是開篇。

保護Web服務

在這篇文章里，我將用一家名為因特網字典公司（TIDC，Internet Dictionary Company的縮寫）的虛構公司作為基本示例。該虛擬公司維護著一個開辦多年的網站，用戶可以通過該網站免費地檢索單詞的含義。此外，該公司還提供具有附加信息的付費服務，比如詞源和同義詞等等。隨著Web服務時代的到來，TIDC意識到發(fā)大財的機會來了，這就是為其他網站提供定制的Web字典服務，從中獲取豐厚的利潤。該服務允許客戶網站訪問有關特定單詞的TIDC信息而且在他們自己的網站上使用單詞的定義。

另外還有家虛構的公司：Regal Research公司，該公司向全球提供有關皇室的在線信息，內容涉及到皇室的歷史和現在。Regal Research公司過去通過鏈接TIDC網站某單詞定義的方式采用TIDC提供的信息。然而，該解決方案對用戶不是很友好，因為用戶很容易就被帶到了連接到TIDC網站的一個新瀏覽器窗口里去。使用TIDC所具有的集成價值也就隨之喪失了，原因在于，從TIDC獲得的詞語定義并沒有同Regal Research網站真正的融合在一起。

然而，在采用最新的TIDC Web服務的情況下，Regal Research公司現在就能完全地直接把詞語定義乃至其他信息集成到它自己的站點（圖A）中來。現在，當一位Regal Research的用戶想知道某一個詞的定義時，其定義就會顯示在Regal Research的網站內，而根本看不出是由某一種單獨的Web服務所提供的定義。這一過程給Regal Research的用戶帶來了更好的功能性而且，在幾乎完全采用現有功能的前提下也為TIDC產生了額外的收入。

圖A

TIDC Web服務架構

既然TIDC創(chuàng)造了一種Web服務而Regal Research又正在使用它，那么TIDC就必須保證除Regal Research之外的其他網站不能免費地訪問其服務。要實現這個目標可以采用的方法眾多。選擇正確措施取決于所需要的安全程度和應用程序的目的。下面我們就來討論一種名為IP阻塞（IP blocking）的安全技術。

IP阻塞

我們首先闡述的Web服務安全類型就是IP阻塞。IP阻塞是一種在幾乎所有常用Web服務器（Apache和IIS）上普遍使用安全技術。

簡單地說，IP阻塞就是識別某些特定IP地址的過程——來自這些IP地址的Web請求都是可接受的。這項技術通常由指定可接受的IP地址的列表來實現。每當一個Web請求被服務器收到，服務器就會把請求的來源IP地址同可接受IP地址表的條目進行比較。如果請求的來源IP地址正好列在表中年請求的認證即完成可進行下一步的處理。如果源IP地址不在表內，服務器就返回一個HTTP 403.6錯誤“Forbidden: IP address rejected.”，中文意思是該IP地址被拒絕。注意，在大多數Web服務器還可能是設置阻塞的IP地址而非許可的IP地址表。

由于Web服務通常采用簡單的HTTP請求以供用戶使用，所以，Web服務所采用的IP阻塞技術原理同標準的網站請求處理是完全相同的。在可接受IP地址列表上注冊的客戶就可以調用Web服務，而且可以查看網站上的WSDL文件了解所提供的Web服務內容。

面臨的問題

在采用IP阻塞技術時你得考慮涉及到的一些問題。因為所有的請求都被Web服務器阻塞，所以客戶只有在你把他們的IP地址加到可接受IP地址表之后才能訪問網站。這一行為就令那些潛在客戶無法查閱網站的WSDL文件來了解你推出的Web服務。此外，IP地址無效的用戶還無法訪問站點內的網頁，這一點必須高度關注。因為開發(fā)人員通常把Web服務和網頁放在同一網站內從而把可重用性最大化。因此，如果你對自己的Web服務采用了IP阻塞，那么你要不對自己的網頁也采取同樣的安全策略要不就為你的網站和服務在服務器上創(chuàng)建不同的虛擬目錄。

在上述的因特網字典公司的例子中，IP阻塞是一項有效的安全措施。如圖B所顯示的那樣，運行TIDC Web服務的Web服務器自動地接受Regal Research公司的Web請求，同時堵塞其他方發(fā)出的請求。這樣做就使得只有付費的顧客才能訪問TIDC Web服務。

圖B

IP阻塞允許付費顧客采用TIDC Web服務同時拒絕其他方的請求

實現IP阻塞并不難，但是其實現過程因Web服務器的不同而不同。使用 IIS v5的用戶只需選擇網站屬性對話框內的Directory Security標簽，然后輸入可接受的IP地址即可。而對Apache來說，你得修改.htaccess文件設置允許訪問的IP地址。

采用IP阻塞還必須考慮這一點：管理員為了設置可接受的IP地址通常要訪問Web服務器。這種訪問在遠程開發(fā)的情況之下是完全可能而且從成本上來說也更為節(jié)約。例如，如果TIDC 的開發(fā)人員在紐約而物理的Web服務器卻在加利福尼亞，那么每當他們增加或刪除一個客戶的時候，開發(fā)者就不得不在加利福尼亞找人來幫助他們編輯IP地址列表，這簡直太可笑了。

繼續(xù)……

在這一系列的第二部分，我們將討論保護Web服務的兩項技術：用戶認證和數字證書。