余波

摘 要：最近，针对Web服务器的攻击相对比较集中和频繁，国内一些企事业单位主网站都遭受到了主页被篡改的网络攻击。本文提出了一种软硬件结合的防护模式，即在网络出口和Web服务出口位置分别放置防火墙和Web专用防火墙来在硬件方面做足做够工作，另外，在软件配置方面也进行了安全防护。

关键词：网络安全 Nginx 负载均衡

中图分类号：TP39 文献标识码：A 文章编号：1003-9082（2018）09-00-01

当前，网络攻击日益频繁，2017年，全球经历了勒索病毒、钓鱼邮件APT攻击、域名劫持攻击等网络攻击，可以说，网络安全局势日益严峻。2018年1月份，全内安全技术厂商研究院发布了《新时代下的网络安全新常态：2018中国网络安全十大趋势预测》。该趋势预测报告中指出，2018年将会面临对关键基础设施具有针对性的网络攻击。最近，针对Web服务器的攻击相对比较集中和频繁，国内一些企事业单位主网站都遭受到了主页被篡改的网络攻击。因此，Web服务器的安全性直接反映了企事业单位网络安全的整体情况，更说明了单一网络安全防护或者是无安全防护的Web服务器暴露在互联网中将会成为下一个被攻击的潜在对象。目前，从国家层面对网络安全的重视程度来看，通过《网络安全法》和处于征求意见的《关键信息基础设施保护条例》等法律法规的实施，未来将会从国家战略层面进一步提升对关键信息基础设施的保护，将会在资金投入、技术人员投入、创新技术等方面对关键信息基础设施进行更高级别的保护。

一、网络结构

在构建安全可靠的Web服务器时，既要有硬件安全防护产品的防护又要有软件及配置方面的安全防护。在网络结构方面，在网络出口位置放置一台RG-WALL 1600全新下一代防火墙，在Web服务器区域放置一台RG-WG系列WebGuard应用保护系统。RG-WALL 1600全新下一代防火墙采用先进的CPU+ASIC硬件芯片融合技术，突破X86架构对应用层数据检测的性能瓶颈。在安全防护能力方面，不仅支持网络地址转换、访问控制列表以及DDOS防御等传统安全功能。RG-WG系列WebGuard应用保护系统，通过对进出Web服务器的HTTP/HTTPS流量相关内容的实时分析检测、过滤，来精确判定并阻止各种Web应用入侵行为。

二、Nginx服务安装和配置

在Web服务的建设中，在Windows平台下可以选择IIS，在Linux平台下可以Aapche、Nginx等。由于采用的服务器为centos7，所以在构建Web服务器时采用Nginx作为服务软件。

1.Nginx服务器软件

在使用Nginx提供网络服务方面，主要有负载均衡和反向代理服务器方面。在负载均衡应用方面，Nginx服务器软件通常可以将多台Nginx服务器虚拟化为一台服务器，虚拟出的这台服务器在外网暴露其访问地址从而提供Web服务。当大量的并发访问到来时，该虚拟服务器会根据负载均衡算法的配置将并发请求分散到多台服务器上，从而实现对高并发访问的支持，既提升了Web服务器的可用性又为用户提供了较好的用户体验。在反向代理的应用方面，Nginx服务器通过使用缓存机制将静态文件如样式表CSS、图片文件Jpg等缓存下来，当相同的请求到来时，不再訪问数据库直接将用户请求的页面返回给用户，从而为用户提供了较好的用户体验。

2.Nginx服务器的规划

为了应对高并发请求，在规划Web服务器时往往以服务器集群的方式进行规划和建设。通常情况下，2台Nginx服务器作为负载均衡设备，既实现了负载均衡又提供了双机热备，从而实现了Nginx反向代理服务器的高可用性。另外，在2台Nginx负载均衡服务器后面放置3台Nginx服务器作为Web服务器。反向代理服务器没有部署真实的Web服务，仅仅负责负载均衡工作。而Web服务器则部署了真实的Web服务，通过反向代理将用户的请求发送给用户。

3.Nginx的安装

在两台负载均衡服务器上启动命令窗口，在命令窗口中使用命令将最新的稳定版下载下来，具体的操作语句为WGet http：//nginx.org/download/nginx-1.12.2.tar.gz。目前，最新的稳定版本为1.12.2，Mainline版本为1.13.9，Legacy版本为1.10.3。然后将下载后的Nginx压缩包使用tar命令解压，使用./configure命令进行配置检查，使用make install进行软件的安装。

4.Nginx的配置

Nginx服务的安装完成后，就需要进行根据角色的定义进行配置。在反向代理服务器1中的/usr/local/nginx/conf目录之下找到配置文件nginx.conf，在该配置文件中设置服务器软件的地址、负载均衡名称等。

三、防护策略

1.将不需要的Nginx模块删除

由于Nginx中携带了大量编译好的功能模块，而在实际的使用过程中并不是所有的模块都是必须的，因此，可以将需要的模块保留并删除掉大量不需要的功能模块。通过删除不必要的功能模块将网络安全的风险降到最低，为了删除掉不必要的功能模块需要重新编译Nginx源码。

2.强化Nginx Web服务器

在centos7操作系统中，本身的Selinux在安全策略方面并没有对Nginx Web服务器有任何的安全防护，因此，需要在操作系统中安装和编译相应的防护软件。使用yum命令编译并安装Selinux所必须的的环境软件，具体的语句如下。

使用WGet命令将Selinux强化Nginx Web服务器的策略下载下来，解压并编译。具体的语句如下。

3.DDos攻击

攻击者通过高并发的请求Web服务器，从而使被请求的Web服务器耗尽CPU资源，从而无法提供正常的请求，虽然有硬件防火墙阻断了来自于外网的DDos攻击，为了使安全工作做得更为细致，因此，在Web服务器上也需要进行防DDos攻击的配置，具体的配置如下。

4.黑白名单机制

在对网络攻击的防护方面，黑白名单机制往往也会有很好的效果。通过记录有恶意攻击行为的IP地址，并将其加入黑名单，禁止其访问Web服务器，从而保证Web服务器正常业务的开展，具体的配置语句如下。

结语

本文详细分析了目前网络安全所面临的威胁，从国家层面剖析了网络安全的态势。提出了Web服务作为关键信息基础设施的构成部分，是最容易受到网络安全攻击的威胁。本文提出了一种软硬件结合的防护模式，即在网络出口和Web服务出口位置分别放置防火墙和Web专用防火墙来在硬件方面做足做够工作，另外，在软件配置方面也进行了安全防护。该方案的提出，为Web服务安全提供了一个可以参考的案例。