反向代理技術在Web服務器保護中的有效應用

周武陽

課題：本論文為湖南科技職業學院科研基金資助課題（編號：kj14202）研究成果

摘要：隨著互聯網的快速發展，多數機構將自己內部網絡連接至Interner上，網絡安全成為重點關注的問題。文中從反向代理技術的原理入手，介紹了使用反向代理技術保護Web服務器的具體措施。

關鍵詞：反向代理技術;Web服務器;應用

現階段，我國存在較多的互聯網服務提供商，多數高校采用中國教育與科研計算機網（CERNET）作為接入網絡。各個主要運營商骨干網絡均設置高速寬帶，不同運營商互聯網寬帶過小存在明顯的通信瓶頸。部分高校使用多出口簡圖方式解決上述問題，因此，通過建立反向代理服務器進行管理，合理控制用戶、避免發生資源濫用的情況，提升高校網絡用戶訪問速度。文中以某大學校園網背景為研究依據，研究如何借助反向代理技術解決用戶訪問校園網過程中存在的問題。

一、簡述反向代理技術的原理

隨著網絡技術與計算機的普及與發展，代理服務成為網上應用較多的形式。代理服務是指內部網絡對Internert發出連接請求，需要制定代理服務將原本直接傳輸至Web服務器的HTTP發送至代理服務器中。換句話來說，代理服務就是網絡信息的中轉站。代理服務器作為瀏覽器與Web服務器之間的另一類服務器，配備代理服務器，瀏覽器無需直接至Web服務器獲取網頁，只需向代理服務器發出所需的請求，由代理服務器傳送給訪問者所需的瀏覽器。普通的Web代理服務器僅支持對內部網絡的訪問請求，反向代理服務與普通的代理方法并不存在明顯沖突。如果一個代理服務器可以代理外部網絡主機訪問內部網絡，這類代理服務模式稱之為反向代理服務。因此，系統的防火墻中可以同時配備兩種方式，反向代理用來服務外部網絡訪問，從而提供內部網絡訪問外部網絡的能力。將反向代理功能與拒絕外部訪問防火墻軟件合理結合，從而構建一種既包含內部網絡、也能向外部發布Web信息防火墻系統。反向代理功能可以提供全面的連接記錄，從而提供預防、捕獲信息的能力。

二、運用反向代理服務技術保護Web資源措施

為了解決日益嚴重的網絡安全威脅，必須提升Web服務的安全保護性能，從而防止各種形式的惡意攻擊。實際應用反向代理時，一般校內多臺服務器需要供外界進行訪問，設置反向代理服務器來控制多臺Web服務器，從而實現限制用戶惡意下載、警報檢查、訪問控制等功能。

（一）反向代理服務器

反向代理服務器對外的表現是Web服務器，，其主要的技術就是地址轉換。通過反向代理，客戶端計算機無需任何設置就可以使用數字資源。反向代理技術中每個Web服務器現代感與反向代理服務器的某個目錄。反向代理可以把服務器的目錄映射在需要進行代理的服務器上。但是，這種設置只能解決用戶一次訪問出現的問題，無法讓用戶借助反向代理連續訪問。因此。必須借助正規表達式檢測、替換所用的鏈接，達到借助反向代理實現連續訪問的效果。

（二）訪問控制

借助反向代理技術構建Web緩存，從而提升Web站點自身的安全性及訪問速度。采用反向代理設置在原服務器前端，配備較大容量的內存及高速磁帶，緩存用戶的請求。反向代理服務器可以訪問用戶的源地址，從而拒絕非法用戶惡意騷擾和訪問。依據實現設置的控制策略及用戶表或IP地址控制參數達到合理控制的目的。訪問控制模式可根據服務器控制策略、IP地址等參數掌控代理服務器和Web資源控制系統的記錄。用戶源地址信息可采用accept函數獲取，可以借助getpeername函數獲得。進行配置文件時，把拒絕IP地址全部羅列出來，在啟動反向代理服務器時讀入其中，隨之把用戶源IP地址與列表內的地址進行比較，如果相同則拒絕該用戶訪問。為了節約內存并提升網速，對于IP地址列表使用子網/子網掩碼的結構，從而使用子網/子網掩碼對源IP地址進行連續性描述。因部分服務器無法合理管理用戶控制和訪問數，極易出現盜用信息資源的情況。因此，必須在代理服務器內增設SSL加密認證服務，科學合理的控制用戶。SSL是Netscape公司研究開發對于TCP/TP數據流實施加密協議，SSL由握手開始，握手協議實現身份認證和交換密鑰操作。例如：若系統需要用戶進行身份認證，代理會向客戶端發出以下響應：

HTTP/1.1407proxy Authentication Rcquircd;Proxy-Authcnticate：Basic realm-http proxy http.上述狀態碼告知客戶端必須向大力提供用戶所需的認證信息。

（三）流量計算

反向代理服務器及時統計流量的功能，因內部用戶可以免費運用反向代理服務器，因此，反向大力服務器可以判定訪問者是否為內部用戶。如果是內部用戶，則無需統計其所用流量。如果并非內部用戶，及時讀取客戶端所發出的請求信息，統計其流量作為輸入量。向客戶端返回結果后，累計流量看做流出量。如果一次TCP之間的連接結束，把所累積的流量量或流出量進行存盤。因CERNET可以對國內、國外流入量實施相應的計費價格，因此，反向代理服務器可以區別所用國內流量或國際流量。服務器統計的流量數據采用二進制文件進行存盤，由專門的程序觀看其數據信息。

（四）設置域名解析

校園Web服務器應用反向代理技術時，必須設置合理的域名解析，對于外界的網站域名服務器均解析為同一個IP地址，這些地址都指向代理服務的IP地址。溶蝕，必須設置內部的DNS，通過Web服務器區分各種服務器，設置的方法有以下兩種：創建內部DNS互評使用hosts文件。采用/etc/hosts文件實現網絡內部的DNS，編輯文件時必須添加下列條目：

1993.168.0.2 ***1.yyy.edu.cn

1993.168.0.3 ***2.yyy.edu.cn

1993.168.0.4 ***3.yyy.edu.cn

如果采用內部DNS服務器將資源記錄為：

***1.yyy.edu.cn IN A 1993.168.0.2

***2.yyy.edu.cn IN A 1993.168.0.3

***3.yyy.edu.cn IN A 1993.168.0.4

三、結語

總之，反向代理服務器具有透明性、屏蔽性等特征，其可以作為內部服務器對外防火墻設置。在Web資源訪問控制系統中應用反向代理技術，能有效解決內部網絡泄露的問題，。實用價值較高。

【參考文獻】

[1]黃志和.Web服務器安全防護技術應用分析[J].計算機光盤軟件與應用，2013，33（24）：144-145

[2]趙凡，施韶亭.基于反向代理技術的文獻資源網關研究與實現[J].甘肅科技，2012，28（21）：18-20

[3]姚琳琳，何倩，王勇等.基于分布式對等架構的Web應用防火墻[J].計算機工程，2012，38（22）：114-118

[4]黃璟，肖夢雄，魏亮等.基于squid的反向代理運維系統設計[J].軟件導刊，2012，11（5）：13-15.