構建安全可靠的Web服務器

余波

摘 要：最近，針對Web服務器的攻擊相對比較集中和頻繁，國內一些企事業單位主網站都遭受到了主頁被篡改的網絡攻擊。本文提出了一種軟硬件結合的防護模式，即在網絡出口和Web服務出口位置分別放置防火墻和Web專用防火墻來在硬件方面做足做夠工作，另外，在軟件配置方面也進行了安全防護。

關鍵詞：網絡安全 Nginx 負載均衡

中圖分類號：TP39 文獻標識碼：A 文章編號：1003-9082（2018）09-00-01

當前，網絡攻擊日益頻繁，2017年，全球經歷了勒索病毒、釣魚郵件APT攻擊、域名劫持攻擊等網絡攻擊，可以說，網絡安全局勢日益嚴峻。2018年1月份，全內安全技術廠商研究院發布了《新時代下的網絡安全新常態：2018中國網絡安全十大趨勢預測》。該趨勢預測報告中指出，2018年將會面臨對關鍵基礎設施具有針對性的網絡攻擊。最近，針對Web服務器的攻擊相對比較集中和頻繁，國內一些企事業單位主網站都遭受到了主頁被篡改的網絡攻擊。因此，Web服務器的安全性直接反映了企事業單位網絡安全的整體情況，更說明了單一網絡安全防護或者是無安全防護的Web服務器暴露在互聯網中將會成為下一個被攻擊的潛在對象。目前，從國家層面對網絡安全的重視程度來看，通過《網絡安全法》和處于征求意見的《關鍵信息基礎設施保護條例》等法律法規的實施，未來將會從國家戰略層面進一步提升對關鍵信息基礎設施的保護，將會在資金投入、技術人員投入、創新技術等方面對關鍵信息基礎設施進行更高級別的保護。

一、網絡結構

在構建安全可靠的Web服務器時，既要有硬件安全防護產品的防護又要有軟件及配置方面的安全防護。在網絡結構方面，在網絡出口位置放置一臺RG-WALL 1600全新下一代防火墻，在Web服務器區域放置一臺RG-WG系列WebGuard應用保護系統。RG-WALL 1600全新下一代防火墻采用先進的CPU+ASIC硬件芯片融合技術，突破X86架構對應用層數據檢測的性能瓶頸。在安全防護能力方面，不僅支持網絡地址轉換、訪問控制列表以及DDOS防御等傳統安全功能。RG-WG系列WebGuard應用保護系統，通過對進出Web服務器的HTTP/HTTPS流量相關內容的實時分析檢測、過濾，來精確判定并阻止各種Web應用入侵行為。

二、Nginx服務安裝和配置

在Web服務的建設中，在Windows平臺下可以選擇IIS，在Linux平臺下可以Aapche、Nginx等。由于采用的服務器為centos7，所以在構建Web服務器時采用Nginx作為服務軟件。

1.Nginx服務器軟件

在使用Nginx提供網絡服務方面，主要有負載均衡和反向代理服務器方面。在負載均衡應用方面，Nginx服務器軟件通常可以將多臺Nginx服務器虛擬化為一臺服務器，虛擬出的這臺服務器在外網暴露其訪問地址從而提供Web服務。當大量的并發訪問到來時，該虛擬服務器會根據負載均衡算法的配置將并發請求分散到多臺服務器上，從而實現對高并發訪問的支持，既提升了Web服務器的可用性又為用戶提供了較好的用戶體驗。在反向代理的應用方面，Nginx服務器通過使用緩存機制將靜態文件如樣式表CSS、圖片文件Jpg等緩存下來，當相同的請求到來時，不再訪問數據庫直接將用戶請求的頁面返回給用戶，從而為用戶提供了較好的用戶體驗。

2.Nginx服務器的規劃

為了應對高并發請求，在規劃Web服務器時往往以服務器集群的方式進行規劃和建設。通常情況下，2臺Nginx服務器作為負載均衡設備，既實現了負載均衡又提供了雙機熱備，從而實現了Nginx反向代理服務器的高可用性。另外，在2臺Nginx負載均衡服務器后面放置3臺Nginx服務器作為Web服務器。反向代理服務器沒有部署真實的Web服務，僅僅負責負載均衡工作。而Web服務器則部署了真實的Web服務，通過反向代理將用戶的請求發送給用戶。

3.Nginx的安裝

在兩臺負載均衡服務器上啟動命令窗口，在命令窗口中使用命令將最新的穩定版下載下來，具體的操作語句為WGet http：//nginx.org/download/nginx-1.12.2.tar.gz。目前，最新的穩定版本為1.12.2，Mainline版本為1.13.9，Legacy版本為1.10.3。然后將下載后的Nginx壓縮包使用tar命令解壓，使用./configure命令進行配置檢查，使用make install進行軟件的安裝。

4.Nginx的配置

Nginx服務的安裝完成后，就需要進行根據角色的定義進行配置。在反向代理服務器1中的/usr/local/nginx/conf目錄之下找到配置文件nginx.conf，在該配置文件中設置服務器軟件的地址、負載均衡名稱等。

三、防護策略

1.將不需要的Nginx模塊刪除

由于Nginx中攜帶了大量編譯好的功能模塊，而在實際的使用過程中并不是所有的模塊都是必須的，因此，可以將需要的模塊保留并刪除掉大量不需要的功能模塊。通過刪除不必要的功能模塊將網絡安全的風險降到最低，為了刪除掉不必要的功能模塊需要重新編譯Nginx源碼。

2.強化Nginx Web服務器

在centos7操作系統中，本身的Selinux在安全策略方面并沒有對Nginx Web服務器有任何的安全防護，因此，需要在操作系統中安裝和編譯相應的防護軟件。使用yum命令編譯并安裝Selinux所必須的的環境軟件，具體的語句如下。

使用WGet命令將Selinux強化Nginx Web服務器的策略下載下來，解壓并編譯。具體的語句如下。

3.DDos攻擊

攻擊者通過高并發的請求Web服務器，從而使被請求的Web服務器耗盡CPU資源，從而無法提供正常的請求，雖然有硬件防火墻阻斷了來自于外網的DDos攻擊，為了使安全工作做得更為細致，因此，在Web服務器上也需要進行防DDos攻擊的配置，具體的配置如下。

4.黑白名單機制

在對網絡攻擊的防護方面，黑白名單機制往往也會有很好的效果。通過記錄有惡意攻擊行為的IP地址，并將其加入黑名單，禁止其訪問Web服務器，從而保證Web服務器正常業務的開展，具體的配置語句如下。

結語

本文詳細分析了目前網絡安全所面臨的威脅，從國家層面剖析了網絡安全的態勢。提出了Web服務作為關鍵信息基礎設施的構成部分，是最容易受到網絡安全攻擊的威脅。本文提出了一種軟硬件結合的防護模式，即在網絡出口和Web服務出口位置分別放置防火墻和Web專用防火墻來在硬件方面做足做夠工作，另外，在軟件配置方面也進行了安全防護。該方案的提出，為Web服務安全提供了一個可以參考的案例。