構(gòu)建安全可靠的Web服務(wù)器

余波

摘 要：最近，針對(duì)Web服務(wù)器的攻擊相對(duì)比較集中和頻繁，國(guó)內(nèi)一些企事業(yè)單位主網(wǎng)站都遭受到了主頁(yè)被篡改的網(wǎng)絡(luò)攻擊。本文提出了一種軟硬件結(jié)合的防護(hù)模式，即在網(wǎng)絡(luò)出口和Web服務(wù)出口位置分別放置防火墻和Web專用防火墻來(lái)在硬件方面做足做夠工作，另外，在軟件配置方面也進(jìn)行了安全防護(hù)。

關(guān)鍵詞：網(wǎng)絡(luò)安全 Nginx 負(fù)載均衡

中圖分類號(hào)：TP39 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-9082（2018）09-00-01

當(dāng)前，網(wǎng)絡(luò)攻擊日益頻繁，2017年，全球經(jīng)歷了勒索病毒、釣魚(yú)郵件APT攻擊、域名劫持攻擊等網(wǎng)絡(luò)攻擊，可以說(shuō)，網(wǎng)絡(luò)安全局勢(shì)日益嚴(yán)峻。2018年1月份，全內(nèi)安全技術(shù)廠商研究院發(fā)布了《新時(shí)代下的網(wǎng)絡(luò)安全新常態(tài)：2018中國(guó)網(wǎng)絡(luò)安全十大趨勢(shì)預(yù)測(cè)》。該趨勢(shì)預(yù)測(cè)報(bào)告中指出，2018年將會(huì)面臨對(duì)關(guān)鍵基礎(chǔ)設(shè)施具有針對(duì)性的網(wǎng)絡(luò)攻擊。最近，針對(duì)Web服務(wù)器的攻擊相對(duì)比較集中和頻繁，國(guó)內(nèi)一些企事業(yè)單位主網(wǎng)站都遭受到了主頁(yè)被篡改的網(wǎng)絡(luò)攻擊。因此，Web服務(wù)器的安全性直接反映了企事業(yè)單位網(wǎng)絡(luò)安全的整體情況，更說(shuō)明了單一網(wǎng)絡(luò)安全防護(hù)或者是無(wú)安全防護(hù)的Web服務(wù)器暴露在互聯(lián)網(wǎng)中將會(huì)成為下一個(gè)被攻擊的潛在對(duì)象。目前，從國(guó)家層面對(duì)網(wǎng)絡(luò)安全的重視程度來(lái)看，通過(guò)《網(wǎng)絡(luò)安全法》和處于征求意見(jiàn)的《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》等法律法規(guī)的實(shí)施，未來(lái)將會(huì)從國(guó)家戰(zhàn)略層面進(jìn)一步提升對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)，將會(huì)在資金投入、技術(shù)人員投入、創(chuàng)新技術(shù)等方面對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行更高級(jí)別的保護(hù)。

一、網(wǎng)絡(luò)結(jié)構(gòu)

在構(gòu)建安全可靠的Web服務(wù)器時(shí)，既要有硬件安全防護(hù)產(chǎn)品的防護(hù)又要有軟件及配置方面的安全防護(hù)。在網(wǎng)絡(luò)結(jié)構(gòu)方面，在網(wǎng)絡(luò)出口位置放置一臺(tái)RG-WALL 1600全新下一代防火墻，在Web服務(wù)器區(qū)域放置一臺(tái)RG-WG系列WebGuard應(yīng)用保護(hù)系統(tǒng)。RG-WALL 1600全新下一代防火墻采用先進(jìn)的CPU+ASIC硬件芯片融合技術(shù)，突破X86架構(gòu)對(duì)應(yīng)用層數(shù)據(jù)檢測(cè)的性能瓶頸。在安全防護(hù)能力方面，不僅支持網(wǎng)絡(luò)地址轉(zhuǎn)換、訪問(wèn)控制列表以及DDOS防御等傳統(tǒng)安全功能。RG-WG系列WebGuard應(yīng)用保護(hù)系統(tǒng)，通過(guò)對(duì)進(jìn)出Web服務(wù)器的HTTP/HTTPS流量相關(guān)內(nèi)容的實(shí)時(shí)分析檢測(cè)、過(guò)濾，來(lái)精確判定并阻止各種Web應(yīng)用入侵行為。

二、Nginx服務(wù)安裝和配置

在Web服務(wù)的建設(shè)中，在Windows平臺(tái)下可以選擇IIS，在Linux平臺(tái)下可以Aapche、Nginx等。由于采用的服務(wù)器為centos7，所以在構(gòu)建Web服務(wù)器時(shí)采用Nginx作為服務(wù)軟件。

1.Nginx服務(wù)器軟件

在使用Nginx提供網(wǎng)絡(luò)服務(wù)方面，主要有負(fù)載均衡和反向代理服務(wù)器方面。在負(fù)載均衡應(yīng)用方面，Nginx服務(wù)器軟件通?？梢詫⒍嗯_(tái)Nginx服務(wù)器虛擬化為一臺(tái)服務(wù)器，虛擬出的這臺(tái)服務(wù)器在外網(wǎng)暴露其訪問(wèn)地址從而提供Web服務(wù)。當(dāng)大量的并發(fā)訪問(wèn)到來(lái)時(shí)，該虛擬服務(wù)器會(huì)根據(jù)負(fù)載均衡算法的配置將并發(fā)請(qǐng)求分散到多臺(tái)服務(wù)器上，從而實(shí)現(xiàn)對(duì)高并發(fā)訪問(wèn)的支持，既提升了Web服務(wù)器的可用性又為用戶提供了較好的用戶體驗(yàn)。在反向代理的應(yīng)用方面，Nginx服務(wù)器通過(guò)使用緩存機(jī)制將靜態(tài)文件如樣式表CSS、圖片文件Jpg等緩存下來(lái)，當(dāng)相同的請(qǐng)求到來(lái)時(shí)，不再訪問(wèn)數(shù)據(jù)庫(kù)直接將用戶請(qǐng)求的頁(yè)面返回給用戶，從而為用戶提供了較好的用戶體驗(yàn)。

2.Nginx服務(wù)器的規(guī)劃

為了應(yīng)對(duì)高并發(fā)請(qǐng)求，在規(guī)劃Web服務(wù)器時(shí)往往以服務(wù)器集群的方式進(jìn)行規(guī)劃和建設(shè)。通常情況下，2臺(tái)Nginx服務(wù)器作為負(fù)載均衡設(shè)備，既實(shí)現(xiàn)了負(fù)載均衡又提供了雙機(jī)熱備，從而實(shí)現(xiàn)了Nginx反向代理服務(wù)器的高可用性。另外，在2臺(tái)Nginx負(fù)載均衡服務(wù)器后面放置3臺(tái)Nginx服務(wù)器作為Web服務(wù)器。反向代理服務(wù)器沒(méi)有部署真實(shí)的Web服務(wù)，僅僅負(fù)責(zé)負(fù)載均衡工作。而Web服務(wù)器則部署了真實(shí)的Web服務(wù)，通過(guò)反向代理將用戶的請(qǐng)求發(fā)送給用戶。

3.Nginx的安裝

在兩臺(tái)負(fù)載均衡服務(wù)器上啟動(dòng)命令窗口，在命令窗口中使用命令將最新的穩(wěn)定版下載下來(lái)，具體的操作語(yǔ)句為WGet http：//nginx.org/download/nginx-1.12.2.tar.gz。目前，最新的穩(wěn)定版本為1.12.2，Mainline版本為1.13.9，Legacy版本為1.10.3。然后將下載后的Nginx壓縮包使用tar命令解壓，使用./configure命令進(jìn)行配置檢查，使用make install進(jìn)行軟件的安裝。

4.Nginx的配置

Nginx服務(wù)的安裝完成后，就需要進(jìn)行根據(jù)角色的定義進(jìn)行配置。在反向代理服務(wù)器1中的/usr/local/nginx/conf目錄之下找到配置文件nginx.conf，在該配置文件中設(shè)置服務(wù)器軟件的地址、負(fù)載均衡名稱等。

三、防護(hù)策略

1.將不需要的Nginx模塊刪除

由于Nginx中攜帶了大量編譯好的功能模塊，而在實(shí)際的使用過(guò)程中并不是所有的模塊都是必須的，因此，可以將需要的模塊保留并刪除掉大量不需要的功能模塊。通過(guò)刪除不必要的功能模塊將網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)降到最低，為了刪除掉不必要的功能模塊需要重新編譯Nginx源碼。

2.強(qiáng)化Nginx Web服務(wù)器

在centos7操作系統(tǒng)中，本身的Selinux在安全策略方面并沒(méi)有對(duì)Nginx Web服務(wù)器有任何的安全防護(hù)，因此，需要在操作系統(tǒng)中安裝和編譯相應(yīng)的防護(hù)軟件。使用yum命令編譯并安裝Selinux所必須的的環(huán)境軟件，具體的語(yǔ)句如下。

使用WGet命令將Selinux強(qiáng)化Nginx Web服務(wù)器的策略下載下來(lái)，解壓并編譯。具體的語(yǔ)句如下。

3.DDos攻擊

攻擊者通過(guò)高并發(fā)的請(qǐng)求Web服務(wù)器，從而使被請(qǐng)求的Web服務(wù)器耗盡CPU資源，從而無(wú)法提供正常的請(qǐng)求，雖然有硬件防火墻阻斷了來(lái)自于外網(wǎng)的DDos攻擊，為了使安全工作做得更為細(xì)致，因此，在Web服務(wù)器上也需要進(jìn)行防DDos攻擊的配置，具體的配置如下。

4.黑白名單機(jī)制

在對(duì)網(wǎng)絡(luò)攻擊的防護(hù)方面，黑白名單機(jī)制往往也會(huì)有很好的效果。通過(guò)記錄有惡意攻擊行為的IP地址，并將其加入黑名單，禁止其訪問(wèn)Web服務(wù)器，從而保證Web服務(wù)器正常業(yè)務(wù)的開(kāi)展，具體的配置語(yǔ)句如下。

結(jié)語(yǔ)

本文詳細(xì)分析了目前網(wǎng)絡(luò)安全所面臨的威脅，從國(guó)家層面剖析了網(wǎng)絡(luò)安全的態(tài)勢(shì)。提出了Web服務(wù)作為關(guān)鍵信息基礎(chǔ)設(shè)施的構(gòu)成部分，是最容易受到網(wǎng)絡(luò)安全攻擊的威脅。本文提出了一種軟硬件結(jié)合的防護(hù)模式，即在網(wǎng)絡(luò)出口和Web服務(wù)出口位置分別放置防火墻和Web專用防火墻來(lái)在硬件方面做足做夠工作，另外，在軟件配置方面也進(jìn)行了安全防護(hù)。該方案的提出，為Web服務(wù)安全提供了一個(gè)可以參考的案例。