周武陽(yáng)

課題：本論文為湖南科技職業(yè)學(xué)院科研基金資助課題（編號(hào)：kj14202）研究成果

摘要：隨著互聯(lián)網(wǎng)的快速發(fā)展，多數(shù)機(jī)構(gòu)將自己內(nèi)部網(wǎng)絡(luò)連接至Interner上，網(wǎng)絡(luò)安全成為重點(diǎn)關(guān)注的問(wèn)題。文中從反向代理技術(shù)的原理入手，介紹了使用反向代理技術(shù)保護(hù)Web服務(wù)器的具體措施。

關(guān)鍵詞：反向代理技術(shù);Web服務(wù)器;應(yīng)用

現(xiàn)階段，我國(guó)存在較多的互聯(lián)網(wǎng)服務(wù)提供商，多數(shù)高校采用中國(guó)教育與科研計(jì)算機(jī)網(wǎng)（CERNET）作為接入網(wǎng)絡(luò)。各個(gè)主要運(yùn)營(yíng)商骨干網(wǎng)絡(luò)均設(shè)置高速寬帶，不同運(yùn)營(yíng)商互聯(lián)網(wǎng)寬帶過(guò)小存在明顯的通信瓶頸。部分高校使用多出口簡(jiǎn)圖方式解決上述問(wèn)題，因此，通過(guò)建立反向代理服務(wù)器進(jìn)行管理，合理控制用戶、避免發(fā)生資源濫用的情況，提升高校網(wǎng)絡(luò)用戶訪問(wèn)速度。文中以某大學(xué)校園網(wǎng)背景為研究依據(jù)，研究如何借助反向代理技術(shù)解決用戶訪問(wèn)校園網(wǎng)過(guò)程中存在的問(wèn)題。

一、簡(jiǎn)述反向代理技術(shù)的原理

隨著網(wǎng)絡(luò)技術(shù)與計(jì)算機(jī)的普及與發(fā)展，代理服務(wù)成為網(wǎng)上應(yīng)用較多的形式。代理服務(wù)是指內(nèi)部網(wǎng)絡(luò)對(duì)Internert發(fā)出連接請(qǐng)求，需要制定代理服務(wù)將原本直接傳輸至Web服務(wù)器的HTTP發(fā)送至代理服務(wù)器中。換句話來(lái)說(shuō)，代理服務(wù)就是網(wǎng)絡(luò)信息的中轉(zhuǎn)站。代理服務(wù)器作為瀏覽器與Web服務(wù)器之間的另一類服務(wù)器，配備代理服務(wù)器，瀏覽器無(wú)需直接至Web服務(wù)器獲取網(wǎng)頁(yè)，只需向代理服務(wù)器發(fā)出所需的請(qǐng)求，由代理服務(wù)器傳送給訪問(wèn)者所需的瀏覽器。普通的Web代理服務(wù)器僅支持對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)請(qǐng)求，反向代理服務(wù)與普通的代理方法并不存在明顯沖突。如果一個(gè)代理服務(wù)器可以代理外部網(wǎng)絡(luò)主機(jī)訪問(wèn)內(nèi)部網(wǎng)絡(luò)，這類代理服務(wù)模式稱之為反向代理服務(wù)。因此，系統(tǒng)的防火墻中可以同時(shí)配備兩種方式，反向代理用來(lái)服務(wù)外部網(wǎng)絡(luò)訪問(wèn)，從而提供內(nèi)部網(wǎng)絡(luò)訪問(wèn)外部網(wǎng)絡(luò)的能力。將反向代理功能與拒絕外部訪問(wèn)防火墻軟件合理結(jié)合，從而構(gòu)建一種既包含內(nèi)部網(wǎng)絡(luò)、也能向外部發(fā)布Web信息防火墻系統(tǒng)。反向代理功能可以提供全面的連接記錄，從而提供預(yù)防、捕獲信息的能力。

二、運(yùn)用反向代理服務(wù)技術(shù)保護(hù)Web資源措施

為了解決日益嚴(yán)重的網(wǎng)絡(luò)安全威脅，必須提升Web服務(wù)的安全保護(hù)性能，從而防止各種形式的惡意攻擊。實(shí)際應(yīng)用反向代理時(shí)，一般校內(nèi)多臺(tái)服務(wù)器需要供外界進(jìn)行訪問(wèn)，設(shè)置反向代理服務(wù)器來(lái)控制多臺(tái)Web服務(wù)器，從而實(shí)現(xiàn)限制用戶惡意下載、警報(bào)檢查、訪問(wèn)控制等功能。

（一）反向代理服務(wù)器

反向代理服務(wù)器對(duì)外的表現(xiàn)是Web服務(wù)器，，其主要的技術(shù)就是地址轉(zhuǎn)換。通過(guò)反向代理，客戶端計(jì)算機(jī)無(wú)需任何設(shè)置就可以使用數(shù)字資源。反向代理技術(shù)中每個(gè)Web服務(wù)器現(xiàn)代感與反向代理服務(wù)器的某個(gè)目錄。反向代理可以把服務(wù)器的目錄映射在需要進(jìn)行代理的服務(wù)器上。但是，這種設(shè)置只能解決用戶一次訪問(wèn)出現(xiàn)的問(wèn)題，無(wú)法讓用戶借助反向代理連續(xù)訪問(wèn)。因此。必須借助正規(guī)表達(dá)式檢測(cè)、替換所用的鏈接，達(dá)到借助反向代理實(shí)現(xiàn)連續(xù)訪問(wèn)的效果。

（二）訪問(wèn)控制

借助反向代理技術(shù)構(gòu)建Web緩存，從而提升Web站點(diǎn)自身的安全性及訪問(wèn)速度。采用反向代理設(shè)置在原服務(wù)器前端，配備較大容量的內(nèi)存及高速磁帶，緩存用戶的請(qǐng)求。反向代理服務(wù)器可以訪問(wèn)用戶的源地址，從而拒絕非法用戶惡意騷擾和訪問(wèn)。依據(jù)實(shí)現(xiàn)設(shè)置的控制策略及用戶表或IP地址控制參數(shù)達(dá)到合理控制的目的。訪問(wèn)控制模式可根據(jù)服務(wù)器控制策略、IP地址等參數(shù)掌控代理服務(wù)器和Web資源控制系統(tǒng)的記錄。用戶源地址信息可采用accept函數(shù)獲取，可以借助getpeername函數(shù)獲得。進(jìn)行配置文件時(shí)，把拒絕IP地址全部羅列出來(lái)，在啟動(dòng)反向代理服務(wù)器時(shí)讀入其中，隨之把用戶源IP地址與列表內(nèi)的地址進(jìn)行比較，如果相同則拒絕該用戶訪問(wèn)。為了節(jié)約內(nèi)存并提升網(wǎng)速，對(duì)于IP地址列表使用子網(wǎng)/子網(wǎng)掩碼的結(jié)構(gòu)，從而使用子網(wǎng)/子網(wǎng)掩碼對(duì)源IP地址進(jìn)行連續(xù)性描述。因部分服務(wù)器無(wú)法合理管理用戶控制和訪問(wèn)數(shù)，極易出現(xiàn)盜用信息資源的情況。因此，必須在代理服務(wù)器內(nèi)增設(shè)SSL加密認(rèn)證服務(wù)，科學(xué)合理的控制用戶。SSL是Netscape公司研究開(kāi)發(fā)對(duì)于TCP/TP數(shù)據(jù)流實(shí)施加密協(xié)議，SSL由握手開(kāi)始，握手協(xié)議實(shí)現(xiàn)身份認(rèn)證和交換密鑰操作。例如：若系統(tǒng)需要用戶進(jìn)行身份認(rèn)證，代理會(huì)向客戶端發(fā)出以下響應(yīng)：

HTTP/1.1407proxy Authentication Rcquircd;Proxy-Authcnticate：Basic realm-http proxy http.上述狀態(tài)碼告知客戶端必須向大力提供用戶所需的認(rèn)證信息。

（三）流量計(jì)算

反向代理服務(wù)器及時(shí)統(tǒng)計(jì)流量的功能，因內(nèi)部用戶可以免費(fèi)運(yùn)用反向代理服務(wù)器，因此，反向大力服務(wù)器可以判定訪問(wèn)者是否為內(nèi)部用戶。如果是內(nèi)部用戶，則無(wú)需統(tǒng)計(jì)其所用流量。如果并非內(nèi)部用戶，及時(shí)讀取客戶端所發(fā)出的請(qǐng)求信息，統(tǒng)計(jì)其流量作為輸入量。向客戶端返回結(jié)果后，累計(jì)流量看做流出量。如果一次TCP之間的連接結(jié)束，把所累積的流量量或流出量進(jìn)行存盤。因CERNET可以對(duì)國(guó)內(nèi)、國(guó)外流入量實(shí)施相應(yīng)的計(jì)費(fèi)價(jià)格，因此，反向代理服務(wù)器可以區(qū)別所用國(guó)內(nèi)流量或國(guó)際流量。服務(wù)器統(tǒng)計(jì)的流量數(shù)據(jù)采用二進(jìn)制文件進(jìn)行存盤，由專門的程序觀看其數(shù)據(jù)信息。

（四）設(shè)置域名解析

校園Web服務(wù)器應(yīng)用反向代理技術(shù)時(shí)，必須設(shè)置合理的域名解析，對(duì)于外界的網(wǎng)站域名服務(wù)器均解析為同一個(gè)IP地址，這些地址都指向代理服務(wù)的IP地址。溶蝕，必須設(shè)置內(nèi)部的DNS，通過(guò)Web服務(wù)器區(qū)分各種服務(wù)器，設(shè)置的方法有以下兩種：創(chuàng)建內(nèi)部DNS互評(píng)使用hosts文件。采用/etc/hosts文件實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)部的DNS，編輯文件時(shí)必須添加下列條目：

1993.168.0.2 ***1.yyy.edu.cn

1993.168.0.3 ***2.yyy.edu.cn

1993.168.0.4 ***3.yyy.edu.cn

如果采用內(nèi)部DNS服務(wù)器將資源記錄為：

***1.yyy.edu.cn IN A 1993.168.0.2

***2.yyy.edu.cn IN A 1993.168.0.3

***3.yyy.edu.cn IN A 1993.168.0.4

三、結(jié)語(yǔ)

總之，反向代理服務(wù)器具有透明性、屏蔽性等特征，其可以作為內(nèi)部服務(wù)器對(duì)外防火墻設(shè)置。在Web資源訪問(wèn)控制系統(tǒng)中應(yīng)用反向代理技術(shù)，能有效解決內(nèi)部網(wǎng)絡(luò)泄露的問(wèn)題，。實(shí)用價(jià)值較高。

【參考文獻(xiàn)】

[1]黃志和.Web服務(wù)器安全防護(hù)技術(shù)應(yīng)用分析[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013，33（24）：144-145

[2]趙凡，施韶亭.基于反向代理技術(shù)的文獻(xiàn)資源網(wǎng)關(guān)研究與實(shí)現(xiàn)[J].甘肅科技，2012，28（21）：18-20

[3]姚琳琳，何倩，王勇等.基于分布式對(duì)等架構(gòu)的Web應(yīng)用防火墻[J].計(jì)算機(jī)工程，2012，38（22）：114-118

[4]黃璟，肖夢(mèng)雄，魏亮等.基于squid的反向代理運(yùn)維系統(tǒng)設(shè)計(jì)[J].軟件導(dǎo)刊，2012，11（5）：13-15.