2021（第九届）电力企业信息安全研讨会 -654- 基于反向代理网络安全方案的设计与实现 华电国际电力股份有限公司邹县发电厂，晁储琰 摘 要：针对在 2020 年国家网络安全攻防演练期间暴露出的服务器、数据库与中间件漏洞及数据明文传输问题，本 文首创提出采用反向代理 Nginx+SSL 加密+双机热备 Keepalived 的解决方案，即所有 MIS 网服务器依靠本机安全策略仅 允许通过反向代理对外发布服务，杜绝其它主机对服务器的直接访问，同时在反向代理的过程中进行 SSL 加密，为避免 反向代理单点故障而影响全厂业务运行，采用 Keepalived 实现反向代理的双机热备。 关键词：网络安全；反向代理；SSL 加密；双机热备 大部分企业虽然已经部署有防火墙、行为管理、 流控、杀毒、堡垒机、横向隔离等各种网络安全设 施，但其主要用于网络边界防护及运维追溯，无法 对网内各服务器进行精准防护，更对服务器、数据 库、中间件漏洞及明文传输无能为力。关于服务器、 数据库及中间件漏洞， IT 运维人员虽有心对其修复， 但在修复过程中经常出现漏洞补丁与服务器应用的 冲突而失败，甚至引起服务崩溃。关于数据明文传 输， IT 运维人员可要求新建应用系统进行加密传输， 但已建成且运行多年的应用系统难以实现加密传输。 图 1 基于反向代理网络安全解决方案示意图 针对服务器服务器、数据库与中间件漏洞及信 息明文传输问题，本文首创提出基于 Centos 系统采 用反向代理 Nginx+SSL 加密+双机热备 Keepalived 的解决方案如图 1 所示，即所有 MIS 网服务器依靠 本机安全策略仅允许通过反向代理 Nginx 对外发布 服务，杜绝其它主机对服务器的直接访问，同时在 反向代理的过程中进行 SSL 加密，为避免反向代理 单点故障而影响全厂业务运行，采用 Keepalived 实 现了反向代理的双机热备。 基于反向代理网络安全方案的实现包括 Nginx 软件部署、Keepalived 软件部署、双机热备配置、 Nginx 反向代理配置、SSL 加密配置以及被代理服务 器的配置。 3.1 Nginx 软件部署 Nginx 是一款基于 Linux 开源的高性能反向代理 软件，主备服务器部署完全相同，其步骤如下： （1）安装编译工具及库文件； [root@nginx]yum-y install make zlib zlib-devel gcc-c++libtool openssl openssl -devel （2）安装 PCRE，让 Nginx 支持 Rewrite 功能， 为 SSL 加密做准备。 [root@nginx]cd/usr/local/src/ [root@nginx src]wget http://downloads. sourceforge.net/project/pcre/pcre/8.35/pcre-