防火墙保护 |
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间构建的保护屏障,可以保护内部网免受非法外部用户的侵入。防火墙通过限制其外部网络与内部网路通信时所使用的端口,实现内外网的隔离。同时,通过防火墙可以监视这些通信端口,拦截恶意的访问,从而防止外部攻击。
由此可见,使用防火墙技术将内外网络分隔,可以较好地保护 GIS 服务系统免受外部网络的恶意攻击。而在具 体实施时,可以通过以下两种方式设置防火墙:
GIS 服务器系统(包括数据、Web 应用等)设置在内网中,使用一道防火墙将内网和外网分隔,内外网之间仅通过固定端口进行通信。
对服务器系统的保护还可以通过设置多道防火墙来实现,多道防火墙之间会形成隔离区(相对于内网,可以称为外围网络),在此区域可以设置反向代理服务器,从而使 GIS 服务器更加安全。反向代理(Reverse Proxy)方式是指以代理服务器来接受 internet 上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给 internet 上请求连接的客户端,此时代理服务器对外就表现为一个服务器。
以两道防火墙为例,反向代理的过程是:在连接外部的防火墙上打开一个对外的固定端口(SuperMap iServer 默认使用8090),反向代理服务器通过此端口接收外网客户端传递的请求,再以另一个外界未知的端口通过第二道防火墙,将请求转发到位于内网的 GIS 服务器,而内网服务器返回的结果也是以同样的方式通过代理服务器返回到客户端。因此,客户端使用公开端口传递的请求只能通过第一道防火墙,而不能直接到达内网服务器,客户端与服务端的所有通信都经由代理服务器来完成,这样使得内网的 GIS 服务器系统更加安全。
关于 SuperMap iServer 使用的端口的介绍,请参考端口介绍。