全国电力技术协作网首页
CopyRight 2012-2014 DS文库版权所有
基于反向代理网络安全方案的设计与实现
(0 次评价)334 人阅读0 次下载
2021(第九届)电力企业信息安全研讨会 -654- 基于反向代理网络安全方案的设计与实现 华电国际电力股份有限公司邹县发电厂,晁储琰 摘 要:针对在 2020 年国家网络安全攻防演练期间暴露出的服务器、数据库与中间件漏洞及数据明文传输问题,本 文首创提出采用反向代理 Nginx+SSL 加密+双机热备 Keepalived 的解决方案,即所有 MIS 网服务器依靠本机安全策略仅 允许通过反向代理对外发布服务,杜绝其它主机对服务器的直接访问,同时在反向代理的过程中进行 SSL 加密,为避免 反向代理单点故障而影响全厂业务运行,采用 Keepalived 实现反向代理的双机热备。 关键词:网络安全;反向代理;SSL 加密;双机热备 大部分企业虽然已经部署有防火墙、行为管理、 流控、杀毒、堡垒机、横向隔离等各种网络安全设 施,但其主要用于网络边界防护及运维追溯,无法 对网内各服务器进行精准防护,更对服务器、数据 库、中间件漏洞及明文传输无能为力。关于服务器、 数据库及中间件漏洞, IT 运维人员虽有心对其修复, 但在修复过程中经常出现漏洞补丁与服务器应用的 冲突而失败,甚至引起服务崩溃。关于数据明文传 输, IT 运维人员可要求新建应用系统进行加密传输, 但已建成且运行多年的应用系统难以实现加密传输。 图 1 基于反向代理网络安全解决方案示意图 针对服务器服务器、数据库与中间件漏洞及信 息明文传输问题,本文首创提出基于 Centos 系统采 用反向代理 Nginx+SSL 加密+双机热备 Keepalived 的解决方案如图 1 所示,即所有 MIS 网服务器依靠 本机安全策略仅允许通过反向代理 Nginx 对外发布 服务,杜绝其它主机对服务器的直接访问,同时在 反向代理的过程中进行 SSL 加密,为避免反向代理 单点故障而影响全厂业务运行,采用 Keepalived 实 现了反向代理的双机热备。 基于反向代理网络安全方案的实现包括 Nginx 软件部署、Keepalived 软件部署、双机热备配置、 Nginx 反向代理配置、SSL 加密配置以及被代理服务 器的配置。 3.1 Nginx 软件部署 Nginx 是一款基于 Linux 开源的高性能反向代理 软件,主备服务器部署完全相同,其步骤如下: (1)安装编译工具及库文件; [root@nginx]yum-y install make zlib zlib-devel gcc-c++libtool openssl openssl -devel (2)安装 PCRE,让 Nginx 支持 Rewrite 功能, 为 SSL 加密做准备。 [root@nginx]cd/usr/local/src/ [root@nginx src]wget http://downloads. sourceforge.net/project/pcre/pcre/8.35/pcre-

打分:

0 星

用户评论:

关于我们 | 联系我们 | 版权声明 | 企业服务 | 媒体合作
备案号:京ICP备13025456号-2 | 客服电话:010-88892009 | 反馈建议:1565227076@qq.com