◆冯贵兰 李正楠



Nginx反向代理在高校网站系统中的应用研究

◆冯贵兰1李正楠2

（1.中国民航飞行学院（广汉）现代教育技术中心 四川 618307； 2.中国民航飞行学院（广汉）航空工程学院 四川 618307）

随着教育信息化在高校的不断深化发展，高校各院系、部门建立的各类网站、应用系统越来越多。如何在公网IP地址有限的情况下，将校园网web应用安全地对外发布是当前网络管理员面临的最大问题。针对这个问题，本文提出了利用Nginx实现校园网环境下的web反向代理的方案，应用此项技术该方案能把校园内诸多Web应用提供给互联网用户使用，不仅节约了IP地址，加快了网站访问速度，而且为校园网内部网站提供了一道安全防线。

网络安全；web应用；反向代理

0 引言

随着教育信息化、数字化校园建设地不断推进，各个高校都建设了自己的校园网，目前校园网提供的主要服务有：web服务、Email服务、数字图书馆等。而随着教育信息化的发展，教师和学生都希望在互联网上查询到校园内网信息，但是学校的公网IP地址却有限。另外，高校网站和应用系统是教学、管理和科研的重要平台，在给师生带来便利的同时也面临着严重的安全问题。Nginx反向代理技术的出现很好地处理了这种情况，通过配置web反向代理就可以使互联网用户使用到校园网内的web应用。本文将着重讨论如何利用Nginx实现校园网环境下的web反向代理。

1 反向代理技术

反向代理是指由代理服务器来接收来自互联网的访问请求，再把访问请求转发到内网对应的网站服务器[1]，并从对应网站服务器获取结果返回给访问用户，代理服务器就是进入这些内网网站服务器的入口。反向代理服务器会强制互联网访问内部网站的流量经过它，对用户而言，它就是目的服务器，用户向它发起访问请求，它根据配置文件决定把收到的请求转发到具体的内部Web服务器上，并向用户发送访问结果。用户正常访问网页即可，不需要做任何改变或配置。

使用反向代理技术，有以下优点：

（1）节约了有限的IP资源

每个高校的公网IP地址有限，但学校内部又有许多需要对外提供服务的web应用。通过反向代理服务器可以使多个web应用共享相同的公网地址[2][3]，这些web服务器只需分配私网IP地址，较好的缓解了公网IP地址短缺问题。

（2）保护了校园网内部web服务器

互联网用户只能通过反向代理服务器访问校园网内的网站，他们只能看到代理服务器的公网IP，无法获知校园网内web服务器的真实IP地址，这样就很好地保护了后台网站的资源安全。除此之外，反向代理服务器在黑客和网站服务器之间增加了一道屏障，减小了入侵的可能性。

（3）加快了web网站的访问速度

反向代理服务器可以缓存网页。在用户向内部Web应用发起访问请求时，代理服务器得先看缓存里有没有用户所需内容[4]，若是存在最新的内容，则将该内容直接返回给用户，而不必再从内部web服务器取得网页内容，一方面缓解了网站本身的负载，另一方面加快了网站访问速度，提高了用户体验。

Nginx是一款由俄罗斯程序员开发的网页和反向代理服务器，可在Linux、Windows等多个操作系统中运行。它以高可靠性、配置简单、低资源消耗等特点，深受国内外网站的喜爱，目前淘宝、京东、中央政采网都选择了它作为网页服务器或反向代理服务器。为了稳定可靠的向师生员工提供web服务，本文也选择了Nginx来部署高校网站系统的web反向代理。

2 Nginx反向代理配置

由于学校内网有多台服务器（如公安局、招生处、人事处）的web服务要映射到学校公网IP地址，因此需要搭建Nginx反向代理服务器。例如，在浏览器中输入police.cafuc.edu.cn就能访问内网机器172.16.28.11的80端口。配置的Nginx反向代理服务器位于学校机房，统一代理学校要对外开放的web应用，为缓解代理的负载压力，不让其成为用户访问校内网站的瓶颈，专门配置了两台Nginx代理服务器。打开 Nginx 的官方网站 http://nginx.org/，从中可以下载到所需的安装文件。Nginx编译安装之前，需要安装gcc.i386， pcre-devel.i386， openssl-devel.i386。配置Nginx反向代理服务器的步骤如下：

（1）下载Nginx

wget http://nginx.org/download/nginx-1.11.8.tar.gz

（2）解压压缩包

tar zxvf nginx-1.11.8.tar.gz

cd nginx-1.11.8/

./configure --user=www --group=www --prefix=/usr/local/webserver/nginx --with-http_stub_status_module --with-http_ssl_module --with-cc-opt='-O2' --with-cpu-opt=opteron

（3）开始编译安装

make &make install

（4）新建站点配置文件police.conf

server

{

listen 80;

server_name police.cafuc.edu.cn;

location / {

root /usr/share/nginx/html;

index index.html index.htm index.asp;

proxy_pass http:// 172.16.28.11;

proxy_redirect default;

}

}

（5）修改配置文件

修改配置文件nginx.conf，添加include police..conf 到http{}段。

重新加载Nginx配置文件，使之修改生效，再把公安局域名police.cafuc.edu.cn指向学校内网静态IP，这样就成功的做到了在浏览器中输入police.cafuc.edu.cn的时候访问的内网服务器172.16.28.11的80端口，实现了校园网内的网站让互联网用户浏览。

3 结束语

本文分析了反向代理技术的工作原理、使用优势，着重讲解了利用Nginx技术将学校内网web服务器映射到学校公网IP地址的配置过程。使用反向代理技术不仅节约了IP地址，加快了网站访问速度，而且为校园网内部网站提供了一道安全防线，因此公网IP地址有限、网站众多、安全要求高的高校非常适合部署它。

[1]徐华宇.APACHE反向代理在校园网络中的应用[J].通讯世界，2015.

[2]雷明彬.反向代理技术在数字化校园中的应用[J].电脑与电信，2009.

[3]曲波，吴兆芝.校园网反向代理服务器的应用与开发[J].计算机系统应用，2002.

[4]章伟辉，卫伟，周狄挺.反向代理技术在校园网中的应用[J].福建电脑，2006.

[5]车树炎，黄银瑞.反向代理技术在高校网站系统中的应用研究[J].电脑编程技巧与维护，2013.

[6]刘万顺.试析反向代理服务器在高校校园网络中的应用[J].湖北警官学院学报，2005.

[7]宿大东.采用Nginx远程访问图书馆内网数字资源[J]. 内蒙古科技与经济，2013.

[8]袁修春.运用反向代理保护校园网网站安全的研究与实现[J].中国教育信息化，2006.