【摘要】： Web服务是当前最为广泛和重要的Internet应用,针对web服务的攻击方法和手段层出不穷。目前大量的攻击集中在更高的应用层,以绕过网络层检测设备。检测和阻止来自应用层的攻击具有非常重要的实际意义和使用价值。应用级Web安全的内容涉及Web应用程序代码本身固有的缺陷。一种解决方案是在现有的企业内部网前放置一个应用层防火墙。 目前大部分应用层防火墙方案都是基于反向代理的,它是应用层防火墙的实现框架和基础。反向代理提供企业内部网的单一访问点,客户请求必须使用全球范围有效的URL地址才能到达反向代理。企业内部网的结构非常复杂,其网页或服务之间通常使用内嵌的URL来建立相互的联系。这些链接一般是相对的。目前的反向代理技术并没有考虑内嵌的URL问题。但是现在很多内嵌URL使用了绝对地址,它们基于内部服务器的地址空间,无法直接访问。 地址空间映射技术是一项在反向代理中的新技术,它位于反向代理的前端,在网页被转发给客户之前,独立而集中地使用一定的策略(规则)来转换网页中内嵌的URL,将其映射到反向代理的地址空间,客户请求才能通过反向代理到达内部服务器,同时避免攻击者绕过应用层防火墙的检测。 基于Apache平台的反向代理配置,以Apache的模块形式实现了应用层防火墙中的地址空间映射方案,其中涉及到几个关键技术:利用有限状态机原理实现HTML解析技术,检测内嵌的URL以进行必要的修改;针对动态网页中复杂的脚本代码提出了“异地代理”的解决办法;配置了VPN访问方式解决URL和COOKIE的修改问题。 对模块的功能和性能的相关测试表明:该模块能高效的完成预期目标。 .