2021(第九届)电力企业信息安全研讨会
-654-
基于反向代理网络安全方案的设计与实现
华电国际电力股份有限公司邹县发电厂,晁储琰
摘 要:针对在 2020 年国家网络安全攻防演练期间暴露出的服务器、数据库与中间件漏洞及数据明文传输问题,本
文首创提出采用反向代理 Nginx+SSL 加密+双机热备 Keepalived 的解决方案,即所有 MIS 网服务器依靠本机安全策略仅
允许通过反向代理对外发布服务,杜绝其它主机对服务器的直接访问,同时在反向代理的过程中进行 SSL 加密,为避免
反向代理单点故障而影响全厂业务运行,采用 Keepalived 实现反向代理的双机热备。
关键词:网络安全;反向代理;SSL 加密;双机热备
大部分企业虽然已经部署有防火墙、行为管理、
流控、杀毒、堡垒机、横向隔离等各种网络安全设
施,但其主要用于网络边界防护及运维追溯,无法
对网内各服务器进行精准防护,更对服务器、数据
库、中间件漏洞及明文传输无能为力。关于服务器、
数据库及中间件漏洞,
IT 运维人员虽有心对其修复,
但在修复过程中经常出现漏洞补丁与服务器应用的
冲突而失败,甚至引起服务崩溃。关于数据明文传
输,
IT 运维人员可要求新建应用系统进行加密传输,
但已建成且运行多年的应用系统难以实现加密传输。
图 1 基于反向代理网络安全解决方案示意图
针对服务器服务器、数据库与中间件漏洞及信
息明文传输问题,本文首创提出基于 Centos 系统采
用反向代理 Nginx+SSL 加密+双机热备 Keepalived
的解决方案如图 1 所示,即所有 MIS 网服务器依靠
本机安全策略仅允许通过反向代理 Nginx 对外发布
服务,杜绝其它主机对服务器的直接访问,同时在
反向代理的过程中进行 SSL 加密,为避免反向代理
单点故障而影响全厂业务运行,采用 Keepalived 实
现了反向代理的双机热备。
基于反向代理网络安全方案的实现包括 Nginx
软件部署、Keepalived 软件部署、双机热备配置、
Nginx 反向代理配置、SSL 加密配置以及被代理服务
器的配置。
3.1 Nginx 软件部署
Nginx 是一款基于 Linux 开源的高性能反向代理
软件,主备服务器部署完全相同,其步骤如下:
(1)安装编译工具及库文件;
[root@nginx]yum-y install make zlib
zlib-devel gcc-c++libtool openssl openssl
-devel
(2)安装 PCRE,让 Nginx 支持 Rewrite 功能,
为 SSL 加密做准备。
[root@nginx]cd/usr/local/src/
[root@nginx src]wget http://downloads.
sourceforge.net/project/pcre/pcre/8.35/pcre-
打分:
0 星