反向代理技術(shù)在Web服務(wù)器保護中的有效應(yīng)用

周武陽

課題：本論文為湖南科技職業(yè)學院科研基金資助課題（編號：kj14202）研究成果

摘要：隨著互聯(lián)網(wǎng)的快速發(fā)展，多數(shù)機構(gòu)將自己內(nèi)部網(wǎng)絡(luò)連接至Interner上，網(wǎng)絡(luò)安全成為重點關(guān)注的問題。文中從反向代理技術(shù)的原理入手，介紹了使用反向代理技術(shù)保護Web服務(wù)器的具體措施。

關(guān)鍵詞：反向代理技術(shù);Web服務(wù)器;應(yīng)用

現(xiàn)階段，我國存在較多的互聯(lián)網(wǎng)服務(wù)提供商，多數(shù)高校采用中國教育與科研計算機網(wǎng)（CERNET）作為接入網(wǎng)絡(luò)。各個主要運營商骨干網(wǎng)絡(luò)均設(shè)置高速寬帶，不同運營商互聯(lián)網(wǎng)寬帶過小存在明顯的通信瓶頸。部分高校使用多出口簡圖方式解決上述問題，因此，通過建立反向代理服務(wù)器進行管理，合理控制用戶、避免發(fā)生資源濫用的情況，提升高校網(wǎng)絡(luò)用戶訪問速度。文中以某大學校園網(wǎng)背景為研究依據(jù)，研究如何借助反向代理技術(shù)解決用戶訪問校園網(wǎng)過程中存在的問題。

一、簡述反向代理技術(shù)的原理

隨著網(wǎng)絡(luò)技術(shù)與計算機的普及與發(fā)展，代理服務(wù)成為網(wǎng)上應(yīng)用較多的形式。代理服務(wù)是指內(nèi)部網(wǎng)絡(luò)對Internert發(fā)出連接請求，需要制定代理服務(wù)將原本直接傳輸至Web服務(wù)器的HTTP發(fā)送至代理服務(wù)器中。換句話來說，代理服務(wù)就是網(wǎng)絡(luò)信息的中轉(zhuǎn)站。代理服務(wù)器作為瀏覽器與Web服務(wù)器之間的另一類服務(wù)器，配備代理服務(wù)器，瀏覽器無需直接至Web服務(wù)器獲取網(wǎng)頁，只需向代理服務(wù)器發(fā)出所需的請求，由代理服務(wù)器傳送給訪問者所需的瀏覽器。普通的Web代理服務(wù)器僅支持對內(nèi)部網(wǎng)絡(luò)的訪問請求，反向代理服務(wù)與普通的代理方法并不存在明顯沖突。如果一個代理服務(wù)器可以代理外部網(wǎng)絡(luò)主機訪問內(nèi)部網(wǎng)絡(luò)，這類代理服務(wù)模式稱之為反向代理服務(wù)。因此，系統(tǒng)的防火墻中可以同時配備兩種方式，反向代理用來服務(wù)外部網(wǎng)絡(luò)訪問，從而提供內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的能力。將反向代理功能與拒絕外部訪問防火墻軟件合理結(jié)合，從而構(gòu)建一種既包含內(nèi)部網(wǎng)絡(luò)、也能向外部發(fā)布Web信息防火墻系統(tǒng)。反向代理功能可以提供全面的連接記錄，從而提供預(yù)防、捕獲信息的能力。

二、運用反向代理服務(wù)技術(shù)保護Web資源措施

為了解決日益嚴重的網(wǎng)絡(luò)安全威脅，必須提升Web服務(wù)的安全保護性能，從而防止各種形式的惡意攻擊。實際應(yīng)用反向代理時，一般校內(nèi)多臺服務(wù)器需要供外界進行訪問，設(shè)置反向代理服務(wù)器來控制多臺Web服務(wù)器，從而實現(xiàn)限制用戶惡意下載、警報檢查、訪問控制等功能。

（一）反向代理服務(wù)器

反向代理服務(wù)器對外的表現(xiàn)是Web服務(wù)器，，其主要的技術(shù)就是地址轉(zhuǎn)換。通過反向代理，客戶端計算機無需任何設(shè)置就可以使用數(shù)字資源。反向代理技術(shù)中每個Web服務(wù)器現(xiàn)代感與反向代理服務(wù)器的某個目錄。反向代理可以把服務(wù)器的目錄映射在需要進行代理的服務(wù)器上。但是，這種設(shè)置只能解決用戶一次訪問出現(xiàn)的問題，無法讓用戶借助反向代理連續(xù)訪問。因此。必須借助正規(guī)表達式檢測、替換所用的鏈接，達到借助反向代理實現(xiàn)連續(xù)訪問的效果。

（二）訪問控制

借助反向代理技術(shù)構(gòu)建Web緩存，從而提升Web站點自身的安全性及訪問速度。采用反向代理設(shè)置在原服務(wù)器前端，配備較大容量的內(nèi)存及高速磁帶，緩存用戶的請求。反向代理服務(wù)器可以訪問用戶的源地址，從而拒絕非法用戶惡意騷擾和訪問。依據(jù)實現(xiàn)設(shè)置的控制策略及用戶表或IP地址控制參數(shù)達到合理控制的目的。訪問控制模式可根據(jù)服務(wù)器控制策略、IP地址等參數(shù)掌控代理服務(wù)器和Web資源控制系統(tǒng)的記錄。用戶源地址信息可采用accept函數(shù)獲取，可以借助getpeername函數(shù)獲得。進行配置文件時，把拒絕IP地址全部羅列出來，在啟動反向代理服務(wù)器時讀入其中，隨之把用戶源IP地址與列表內(nèi)的地址進行比較，如果相同則拒絕該用戶訪問。為了節(jié)約內(nèi)存并提升網(wǎng)速，對于IP地址列表使用子網(wǎng)/子網(wǎng)掩碼的結(jié)構(gòu)，從而使用子網(wǎng)/子網(wǎng)掩碼對源IP地址進行連續(xù)性描述。因部分服務(wù)器無法合理管理用戶控制和訪問數(shù)，極易出現(xiàn)盜用信息資源的情況。因此，必須在代理服務(wù)器內(nèi)增設(shè)SSL加密認證服務(wù)，科學合理的控制用戶。SSL是Netscape公司研究開發(fā)對于TCP/TP數(shù)據(jù)流實施加密協(xié)議，SSL由握手開始，握手協(xié)議實現(xiàn)身份認證和交換密鑰操作。例如：若系統(tǒng)需要用戶進行身份認證，代理會向客戶端發(fā)出以下響應(yīng)：

HTTP/1.1407proxy Authentication Rcquircd;Proxy-Authcnticate：Basic realm-http proxy http.上述狀態(tài)碼告知客戶端必須向大力提供用戶所需的認證信息。

（三）流量計算

反向代理服務(wù)器及時統(tǒng)計流量的功能，因內(nèi)部用戶可以免費運用反向代理服務(wù)器，因此，反向大力服務(wù)器可以判定訪問者是否為內(nèi)部用戶。如果是內(nèi)部用戶，則無需統(tǒng)計其所用流量。如果并非內(nèi)部用戶，及時讀取客戶端所發(fā)出的請求信息，統(tǒng)計其流量作為輸入量。向客戶端返回結(jié)果后，累計流量看做流出量。如果一次TCP之間的連接結(jié)束，把所累積的流量量或流出量進行存盤。因CERNET可以對國內(nèi)、國外流入量實施相應(yīng)的計費價格，因此，反向代理服務(wù)器可以區(qū)別所用國內(nèi)流量或國際流量。服務(wù)器統(tǒng)計的流量數(shù)據(jù)采用二進制文件進行存盤，由專門的程序觀看其數(shù)據(jù)信息。

（四）設(shè)置域名解析

校園Web服務(wù)器應(yīng)用反向代理技術(shù)時，必須設(shè)置合理的域名解析，對于外界的網(wǎng)站域名服務(wù)器均解析為同一個IP地址，這些地址都指向代理服務(wù)的IP地址。溶蝕，必須設(shè)置內(nèi)部的DNS，通過Web服務(wù)器區(qū)分各種服務(wù)器，設(shè)置的方法有以下兩種：創(chuàng)建內(nèi)部DNS互評使用hosts文件。采用/etc/hosts文件實現(xiàn)網(wǎng)絡(luò)內(nèi)部的DNS，編輯文件時必須添加下列條目：

1993.168.0.2 ***1.yyy.edu.cn

1993.168.0.3 ***2.yyy.edu.cn

1993.168.0.4 ***3.yyy.edu.cn

如果采用內(nèi)部DNS服務(wù)器將資源記錄為：

***1.yyy.edu.cn IN A 1993.168.0.2

***2.yyy.edu.cn IN A 1993.168.0.3

***3.yyy.edu.cn IN A 1993.168.0.4

三、結(jié)語

總之，反向代理服務(wù)器具有透明性、屏蔽性等特征，其可以作為內(nèi)部服務(wù)器對外防火墻設(shè)置。在Web資源訪問控制系統(tǒng)中應(yīng)用反向代理技術(shù)，能有效解決內(nèi)部網(wǎng)絡(luò)泄露的問題，。實用價值較高。

【參考文獻】

[1]黃志和.Web服務(wù)器安全防護技術(shù)應(yīng)用分析[J].計算機光盤軟件與應(yīng)用，2013，33（24）：144-145

[2]趙凡，施韶亭.基于反向代理技術(shù)的文獻資源網(wǎng)關(guān)研究與實現(xiàn)[J].甘肅科技，2012，28（21）：18-20

[3]姚琳琳，何倩，王勇等.基于分布式對等架構(gòu)的Web應(yīng)用防火墻[J].計算機工程，2012，38（22）：114-118

[4]黃璟，肖夢雄，魏亮等.基于squid的反向代理運維系統(tǒng)設(shè)計[J].軟件導刊，2012，11（5）：13-15.