基于Web 三層架構方式所面臨的威脅研究

楊玉新

云南省德宏師專現代教育技術中心，副教授。

三層架構是在客戶與服務器之間加入了一個業務邏輯層，將復雜的商業邏輯從傳統的雙層結構應用模式中分離出來。利用一些防護手段來進行安全防護，但是入侵或攻擊者可以通過一些公共端口或是內網來入侵內部PC 或者其他安全性很低的終端，并使其成為入侵一個企業web 站點的橋梁，因此為了保障企業或機構的web 服務安全，不僅要考慮web站點本身編程應注意避免的漏洞；還要注意網絡服務設備軟件、硬件的必要安全設置；以及對于內部網絡的安全管理。

在不同web 形式的構建中，常用的是web 標準的三層構建模型。如圖1 所示的web 情況下的三層模型。

這是最常構建的模型，首層是客戶端；而動態web 服務器和應用服務器屬于中間層；這里的數據庫屬于第三層。客戶以web 瀏覽器的形式發送請求（Request）給中間層，再經中間層把用戶的請求轉換為到后臺數據的查詢或者是更新，同時將最后的結果在瀏覽器上顯示給用戶。

Web 安全的重要性突出的表現在網站的構建中人們都都有這樣的認識在web 應用的各方面，可能使用到各種各樣的技術來保證網站的安全。為確保客戶端機器的安全，用戶們通常會安裝殺毒軟件。為了保證客戶數據傳輸到企業web 服務器的傳輸安全，通信層常常使用SSL（安全套接字層）方法來加密數據。使用防火墻與IDS 或者是IPS（入侵防護系統）來確保允許特定的訪問。大可不必暴露的端口，而不合法訪問經IDS 或IPS 的系統檢測與防護都會被阻止。就即便宜是使有防火墻，企業仍會使用認證的方法來授權用戶防問相應的web 應用。一些專業的公司為提高安全系數，增加了Honeypot（密罐技術系統），主動故意暴露虛設的陷阱給入侵者，以達到記錄入侵。這樣做的好處是可以盡早的查明和預警入侵者在網絡上曾做過的操作。

只要網絡連通就會有不安全的因素存在，就是有防毒軟件的保護、防火墻IDS 或者是IPS 的防護，企事業單位仍需允許一部分通信進入防火墻。而web 應用的最終目的是為了用戶提供安全服務，安全措施之一可以關閉不必要的端口，而應用服務必需的80 及443 等端口是不得不要開放的。能順利通過防火墻的部分通信信號，可能是好的，也可能是不懷好意的，分辨有難度。值得注意的是，web應用是由軟件組成的，這樣它一定會含有Bug 及出現漏洞，象這些Bug、漏洞可能被惡意的用戶（為攻擊或入侵者）利用，他們執行各種非法操作，或竊取重要信息，操控使其成為橋梁或者有成為有針對性的破壞web 應用的重要信息。

除了來自外部的web 安全隱患，還有來自內部的安全威脅，然而往往很多網管不重視網絡內部的web 安全防范。如圖2 所示，服務器區與內網沒有訪問控制，內網可以隨意訪問服務器。

圖1 web 環境三層模型

圖2 不重視內部網絡的服務器安全

很多攻擊或入侵者通過入侵內部PC 或者其他安全性很低的終端，雖然這些PC、終端可能沒有存儲很多有價值的信息和數據，但是這些機器往往會成為攻擊或入侵者成功入侵一個企業web 站點的橋梁（跳板），致使web服務內部網絡遭受破壞。為攻擊或入侵者甚至可以得到web 服務器及其他服務器的管理控制權。從而巧妙地繞過IDS/IPS 和防火墻的檢測與防護，最終達到入侵web 站點的目的。

所以對于一個網絡管理員來說，為了保障企業或機構的web 服務安全，保護重要數據不被盜取和破壞，不僅要考慮web 站點本身編程應注意避免的漏洞；還要注意網絡服務設備軟件、硬件的必要安全設置；以及對于內部網絡的安全管理。