代理服務器的安全性能 代理服務器技術優(yōu)點

安全開發(fā)運維必備的Nginx代理Web服務器性能優(yōu)化與安全加固配置

為了更好的指導部署與測試藝術升系統(tǒng)nginx網(wǎng)站服務器高性能同時下安全穩(wěn)定運行,需要對nginx服務進行調優(yōu)與加固;

我們提供的服務有：做網(wǎng)站、網(wǎng)站設計、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認證、澗西ssl等。為成百上千家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務，是有科學管理、有技術的澗西網(wǎng)站制作公司

本次進行Nginx服務調優(yōu)加固主要從以下幾個部分：

本文檔僅供內部使用，禁止外傳，幫助研發(fā)人員，運維人員對系統(tǒng)長期穩(wěn)定的運行提供技術文檔參考。

Nginx是一個高性能的HTTP和反向代理服務器，也是一個IMAP/POP3/SMTP服務器。Nginx作為負載均衡服務器, Nginx 既可以在內部直接支持 Rails 和 PHP 程序對外進行服務，也可以支持作為 HTTP代理服務器對外進行服務。

Nginx版本選擇:

項目結構:

Nginx文檔幫助:

Nginx首頁地址目錄: /usr/share/nginx/html

Nginx配置文件:

localtion 請求匹配的url實是一個正則表達式:

Nginx 匹配判斷表達式:

例如,匹配末尾為如下后綴的靜態(tài)并判斷是否存在該文件, 如不存在則404。

查看可用模塊編譯參數(shù)：

http_gzip模塊

開啟gzip壓縮輸出(常常是大于1kb的靜態(tài)文件)，減少網(wǎng)絡傳輸;

http_fastcgi_module模塊

nginx可以用來請求路由到FastCGI服務器運行應用程序由各種框架和PHP編程語言等。可以開啟FastCGI的緩存功能以及將靜態(tài)資源進行剝離，從而提高性能。

keepalive模塊

長連接對性能有很大的影響，通過減少CPU和網(wǎng)絡開銷需要開啟或關閉連接;

http_ssl_module模塊

Nginx開啟支持Https協(xié)議的SSL模塊

Linux內核參數(shù)部分默認值不適合高并發(fā),Linux內核調優(yōu)，主要涉及到網(wǎng)絡和文件系統(tǒng)、內存等的優(yōu)化，

下面是我常用的內核調優(yōu)配置：

文件描述符

文件描述符是操作系統(tǒng)資源，用于表示連接、打開的文件，以及其他信息。NGINX 每個連接可以使用兩個文件描述符。

例如如果NGINX充當代理時，通常一個文件描述符表示客戶端連接，另一個連接到代理服務器，如果開啟了HTTP 保持連接，這個比例會更低（譯注：為什么更低呢）。

對于有大量連接服務的系統(tǒng)，下面的設置可能需要調整一下：

精簡模塊:Nginx由于不斷添加新的功能，附帶的模塊也越來越多,建議一般常用的服務器軟件使用源碼編譯安裝管理;

(1) 減小Nginx編譯后的文件大小

(2) 指定GCC編譯參數(shù)

修改GCC編譯參數(shù)提高編譯優(yōu)化級別穩(wěn)妥起見采用 -O2 這也是大多數(shù)軟件編譯推薦的優(yōu)化級別。

GCC編譯參數(shù)優(yōu)化 [可選項] 總共提供了5級編譯優(yōu)化級別：

常用編譯參數(shù):

緩存和壓縮與限制可以提高性能

NGINX的一些額外功能可用于提高Web應用的性能，調優(yōu)的時候web應用不需要關掉但值得一提，因為它們的影響可能很重要。

簡單示例:

1) 永久重定向

例如，配置 http 向 https 跳轉 (永久)

nginx配置文件指令優(yōu)化一覽表

描述:Nginx因為安全配置不合適導致的安全問題,Nginx的默認配置中存在一些安全問題,例如版本號信息泄露、未配置使用SSL協(xié)議等。

對Nginx進行安全配置可以有效的防范一些常見安全問題，按照基線標準做好安全配置能夠減少安全事件的發(fā)生,保證采用Nginx服務器系統(tǒng)應用安全運行;

Nginx安全配置項：

溫馨提示: 在修改相應的源代碼文件后需重新編譯。

設置成功后驗證:

應配置非root低權限用戶來運行nginx服務,設置如下建立Nginx用戶組和用戶，采用user指令指運行用戶

加固方法:

我們應該為提供的站點配置Secure Sockets Layer Protocol (SSL協(xié)議)，配置其是為了數(shù)據(jù)傳輸?shù)陌踩?，SSL依靠證書來驗證服務器的身份，并為瀏覽器和服務器之間的通信加密。

不應使用不安全SSLv2、SSLv3協(xié)議即以下和存在脆弱性的加密套件(ciphers), 我們應該使用較新的TLS協(xié)議也應該優(yōu)于舊的,并使用安全的加密套件。

HTTP Referrer Spam是垃圾信息發(fā)送者用來提高他們正在嘗試推廣的網(wǎng)站的互聯(lián)網(wǎng)搜索引擎排名一種技術，如果他們的垃圾信息鏈接顯示在訪問日志中，并且這些日志被搜索引擎掃描，則會對網(wǎng)站排名產生不利影響

加固方法:

當惡意攻擊者采用掃描器進行掃描時候利用use-agent判斷是否是常用的工具掃描以及特定的版本,是則返回錯誤或者重定向;

Nginx支持webdav，雖然默認情況下不會編譯。如果使用webdav，則應該在Nginx策略中禁用此規(guī)則。

加固方法: dav_methods 應設置為off

當訪問一個特制的URL時，如"../nginx.status"，stub_status模塊提供一個簡短的Nginx服務器狀態(tài)摘要,大多數(shù)情況下不應啟用此模塊。

加固方法：nginx.conf文件中stub_status不應設置為：on

如果在瀏覽器中出現(xiàn)Nginx自動生成的錯誤消息，默認情況下會包含Nginx的版本號,這些信息可以被攻擊者用來幫助他們發(fā)現(xiàn)服務器的潛在漏洞

加固方法: 關閉"Server"響應頭中輸出的Nginx版本號將server_tokens應設置為：off

client_body_timeout設置請求體（request body）的讀超時時間。僅當在一次readstep中，沒有得到請求體，就會設為超時。超時后Nginx返回HTTP狀態(tài)碼408(Request timed out)。

加固方法：nginx.conf文件中client_body_timeout應設置為：10

client_header_timeout設置等待client發(fā)送一個請求頭的超時時間（例如：GET / HTTP/1.1）。僅當在一次read中沒有收到請求頭，才會設為超時。超時后Nginx返回HTTP狀態(tài)碼408(Request timed out)。

加固方法：nginx.conf文件中client_header_timeout應設置為：10

keepalive_timeout設置與client的keep-alive連接超時時間。服務器將會在這個時間后關閉連接。

加固方法：nginx.conf文件中keepalive_timeout應設置為：55

send_timeout設置客戶端的響應超時時間。這個設置不會用于整個轉發(fā)器，而是在兩次客戶端讀取操作之間。如果在這段時間內，客戶端沒有讀取任何數(shù)據(jù)，Nginx就會關閉連接。

加固方法：nginx.conf文件中send_timeout應設置為：10

GET和POST是Internet上最常用的方法。Web服務器方法在RFC 2616中定義禁用不需要實現(xiàn)的可用方法。

加固方法:

limit_zone 配置項限制來自客戶端的同時連接數(shù)。通過此模塊可以從一個地址限制分配會話的同時連接數(shù)量或特殊情況。

加固方法：nginx.conf文件中l(wèi)imit_zone應設置為：slimits $binary_remote_addr 5m

該配置項控制一個會話同時連接的最大數(shù)量，即限制來自單個IP地址的連接數(shù)量。

加固方法：nginx.conf 文件中 limit_conn 應設置為: slimits 5

加固方法：

加固方法:

解決辦法:

描述后端獲取Proxy后的真實Client的IP獲取需要安裝--with-http_realip_module，然后后端程序采用JAVA(request.getAttribute("X-Real-IP"))進行獲取;

描述: 如果要使用geoip地區(qū)選擇,我們需要再nginx編譯時加入 --with-http_geoip_module 編譯參數(shù)。

描述: 為了防止外部站點引用我們的靜態(tài)資源，我們需要設置那些域名可以訪問我們的靜態(tài)資源。

描述: 下面收集了Web服務中常規(guī)的安全響應頭, 它可以保證不受到某些攻擊,建議在指定的 server{} 代碼塊進行配置。

描述: 為了防止某些未備案的域名或者惡意鏡像站域名綁定到我們服務器上, 導致服務器被警告關停，將會對業(yè)務或者SEO排名以及企業(yè)形象造成影響，我們可以通過如下方式進行防范。

執(zhí)行結果:

描述: 有時你的網(wǎng)站可能只需要被某一IP或者IP段的地址請求訪問，那么非白名單中的地址訪問將被阻止訪問, 我們可以如下配置;

常用nginx配置文件解釋：

(1) 阿里巴巴提供的Concat或者Google的PageSpeed模塊實現(xiàn)這個合并文件的功能。

(2) PHP-FPM的優(yōu)化

如果您高負載網(wǎng)站使用PHP-FPM管理FastCGI對于PHP-FPM的優(yōu)化非常重要

(3) 配置Resin on Linux或者Windows為我們可以打開 resin-3.1.9/bin/httpd.sh 在不影響其他代碼的地方加入:-Dhttps.protocols=TLSv1.2, 例如

原文地址:

使用代理服務器是使用了哪些性能策略

使用代理服務器是使用了緩存、過濾性能策略。代理服務器是一種位于客戶端和服務器之間的中介服務器，它可以提高網(wǎng)絡性能、安全性和隱私性。使用代理服務器有以下幾個性能策略：

1、緩存：代理服務器可以緩存常用的網(wǎng)頁，以便下次訪問時更快地加載。

2、過濾：代理服務器可以過濾掉不需要的內容，例如廣告、惡意軟件等。

3、記錄：代理服務器可以記錄用戶的訪問歷史、流量等信息。

代理服務器的主要功能有哪些

在不使用代理服務器的情況下，用戶使用網(wǎng)絡瀏覽器直接連接其他Internet站點取得網(wǎng)絡信息時，須發(fā)出請求信號來得到回答，然后對方再把信息以數(shù)據(jù)流方式傳送回來。

有了代理服務器之后，瀏覽器向代理服務器發(fā)出請求，當代理服務器接收請求信息號，再由代理服務器來取回瀏覽器所需要的信息并傳送給終端用戶的瀏覽器。代理服務器的作用如下。

1、共享網(wǎng)絡

如通過Squid、sygate、wingate、isa、ccproxy以及NT系統(tǒng)自帶的網(wǎng)絡共享等代理服務器訪問外部站點的信息。這些代理服務器也都能提供企業(yè)級的文件緩存、復制和地址過來等服務。

充分利用局域網(wǎng)出口的有限帶寬，加快內網(wǎng)用戶的訪問速度，能解決僅僅有一條線路一個公有IP，在這種公有IP資源嚴重不足的情況下，滿足局域網(wǎng)眾多用戶同時共享上網(wǎng)的需求。

2、訪問代理

現(xiàn)在的網(wǎng)絡環(huán)境中常常會出現(xiàn)網(wǎng)絡擁擠或網(wǎng)絡故障。用戶通常都會通過代理服務器繞道訪問目的站點；另外，代理服務器中通常會備份有相當數(shù)量的緩存文件。

如果當前所訪問的數(shù)據(jù)在代理服務器的緩存文件中，則可直接讀取，而無需再連接到遠端Web服務器。這樣可以達到加快訪問網(wǎng)站速度，節(jié)約通信帶寬的目的。

3、提高速度

提高下載速度，突破一個IP、一個下載線程的限制以及電信和聯(lián)通的用戶互上對方的電影網(wǎng)站下載的限制。

4、突破限制

互聯(lián)網(wǎng)上有許多開放的代理服務器，客戶在訪問權限受到限制時，而這些代理服務器的訪問權限是不受限制的，剛好代理服務器在客戶的訪問范圍之內。

那么客戶通過代理服務器訪問目標網(wǎng)站就成為可能。通過代理服務器，國內高校使用教育網(wǎng)就能實現(xiàn)訪問因特網(wǎng)，這就是高校內代理服務器流向的原因所在。

5、防止攻擊

通過代理服務器完成內部主機的訪問使主機地址等信息不會發(fā)送到外部，隱藏了自己的真實地址信息，還可隱藏自己的IP。更有效地保護了內部主機。

6、充當防火墻

因為所有使用代理服務器的用戶都必須通過代理服務器訪問遠程站點，因此在代理服務器上就可以設置相應的限制，以過濾或屏蔽某些信息。

7、方便對用戶管理

通過代理服務器，管理員可以設置用戶驗證和記賬功能，對用戶進行登記，并對用戶的訪問時間、訪問地點、信息瀏覽進行統(tǒng)計。沒有登記的用戶無權通過代理服務器訪問Internet

8、隱藏身份

代理服務器使用內部用戶訪問Interner時受到保護，內部網(wǎng)的用戶要對外發(fā)布信息就需要使用代理服務器的反向代理功能。這樣就不會影響到內部網(wǎng)絡的安全性能，起到隱藏身份的目的。

擴展資料：

代理服務器使用特點：

代理服務器是介于瀏覽器和Web服務器之間的一臺服務器，有了它之后，瀏覽器不是直接到Web服務器去取回網(wǎng)頁而是向代理服務器發(fā)出請求，Request信號會先送到代理服務器，由代理服務器來取回瀏覽器所需要的信息并傳送給瀏覽器。

而且，大部分代理服務器都具有緩沖的功能，就好像一個大的Cache，它有很大的存儲空間，它不斷將新取得數(shù)據(jù)儲存到它本機的存儲器上，如果瀏覽器所請求的數(shù)據(jù)在它本機的存儲器上已經存在而且是最新的，那么它就不重新從Web服務器取數(shù)據(jù)。

而直接將存儲器上的數(shù)據(jù)傳送給用戶的瀏覽器，這樣就能顯著提高瀏覽速度和效率（速度會隨著代理服務器地理位置的不同以及網(wǎng)絡傳輸情況而改變），而且國外的網(wǎng)絡大部分都是沒有限制訪問網(wǎng)站或者所限制的不同，所以我們有很大的機會通過代理服務器去訪問那些原本不能夠去的網(wǎng)站。

更重要的是：Proxy Server （代理服務器）是Internet鏈路級網(wǎng)關所提供的一種重要的安全功能，它的工作主要在開放系統(tǒng)互聯(lián)(OSI) 模型的對話層。

參考資料來源：百度百科-代理服務器

當前名稱：代理服務器的安全性能 代理服務器技術優(yōu)點
轉載源于：http://bm7419.com/article16/ddejjgg.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供全網(wǎng)營銷推廣、品牌網(wǎng)站制作、手機網(wǎng)站建設、網(wǎng)頁設計公司、品牌網(wǎng)站設計、移動網(wǎng)站建設

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)