网站首页 公文大全 个人文档 实用范文 讲话致辞 实用工具 心得体会 哲学范文 总结范文 范文大全 报告 合同 文书 信函 实用
  • 汇报体会
  • 节日庆典
  • 礼仪
  • 毕业论文
  • 评语寄语
  • 导游词
  • 口号大全
  • 其他范文
    • 百花范文网 > 实用范文 > 其他范文 > 反向代理技术在高校网络中的应用

    反向代理技术在高校网络中的应用

    时间:2023-01-22 18:50:55来源:百花范文网本文已影响

    韩红宇,樊蒙蒙

    (河南工业大学 漯河工学院,河南 漯河 462000)

    高校作为先进思想传播和高精尖科技研发的前沿阵地,正不可避免地面临着来自网络空间的安全威胁。对此国家下发了一系列政策措施,要求各高校加强网络空间防护能力。随着高校师生日常工作和学习的信息化程度越来越高,网络系统的访问量与日俱增,加大了服务器的压力。反向代理机制的引入能很好地解决内部服务器的安全、负载均衡、IPv6地址转换等问题。

    高校校园网及其应用系统承担着学校招生、科研、日常管理和宣传等任务,网站及其应用系统繁多,管理难度较大。学生、科研、财务等信息安全等级要求很高,信息泄露造成的影响很大,需要针对各应用系统分别制订安全策略,而各个部门安全防护技术能力参差不齐,甚至有很多安全死角,风险隐患较大。校园网络所面临的网络攻击隐患已经引起了社会各界的高度重视。

    目前高校网站在招生、就业等特殊时期的访问量剧增,服务器负载过大,业务难以正常进行。全面升级到下一代互联网教育系统现已成为国家战略的一部分,而高校网站及其应用系统建设较早,基本上都是基于IPv4的技术,全面更新至IPv6难度较大。因此,选择一种适合于向IPv6网络过渡的方案成为各高校亟待解决的问题[1]。

    反向代理相对于正向代理而言,是指以服务器接受互联网上的外部连接请求,然后将该请求转发至网络内部的服务器;
    同时把服务器响应的结果返回给互联网上请求连接的客户端,所以代理服务器就表现为一个从外向内的流程。

    而平时所说的代理服务器为正向代理,仅用于代理Intranet(内网)到Internet(外网)的连接请求。客户端必须指定代理服务器,并向正向代理服务器发送HTTP/HTTPS请求。不支持从外部网络到内部网络的连接请求,因为内部网络对外部网络不可见。而反向代理服务器刚好相反,代理服务器代表外网上的客户端访问内网上的服务器。这种情况下,Server对外表示为一个Web服务器,外网访问者只需将其视为一个普通Web Server,略过流程的下一步且不用具体配置。不同的是,真实Web页面的任何实际数据并不会存储在反向代理服务器上。而内网的真实服务器上则留存着一切的网页内容和网站程序信息,外网用户并不知道真实服务器的存在。所以,一切对反代服务器的网络攻击都到此为止,真实的网站信息并未遭受破坏,由此加固了内网网站服务器的整体安全性[2]。

    反向代理可以用作服务器加速器,其技术原理是:在业务负载较大的网站服务器和外网之间架设高速高性能的Web缓存服务器,以降低真实服务器负载压力。反向代理作为高速代理缓存,它为外网的访问者提供服务,而指向一个或多个内部的Web Server。反向代理提供代理外网到内网访问请求,大大提高了Server的被访问速度。

    外网的访问者访问网站时首先经过反向代理服务器把从真实服务器上获取的网页内容回馈给访问者,并把取得的信息内容另存一份到反向代理服务器,而下次如再次得到相同请求时,就会把服务器里的缓存网页内容直接响应给访问者,这样就降低了内部网站服务器的工作压力,提高了访问响应速度。

    2.1 内网服务器的镜像

    内网服务器的信息具有专网属性,一般进行专网物理隔离或使用网闸进行逻辑隔离,保证敏感信息的访问区域权限,如财务专网和一卡通专网等。服务器信息只能被专网内部的用户访问和使用,而在一些特殊时期和场景下,这些服务又需要在专网以外使用,如在疫情期间我们需要在家中处理专网应用。常用的方法是使用VPN(Virtual Private Network)在公用网络上搭建服务专用网络,为了保证安全性,需要加密通讯。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问[3]。VPN的优点是安全可靠,但在访问量较大时VPN设备将成为一个瓶颈,如疫情期间大量学生需要访问教学资源。此时,可以在出口设备和防火墙之间搭建一个反向代理当作应用系统的替身,当学生在校外请求访问校内资源时,将其请求送至反向代理服务器。

    学生通过用户端向学校网站发出访问请求,该请求被发送至反向代理,再通过防火墙制订的策略路径将学生的请求发送至应用服务器;
    应用服务器通过此通道将响应结果发回反向代理;
    反向代理把获取的内容发送给学生,整个过程对学生而言是透明的。应用服务器如果返回了一个错误消息,反向代理将拦截消息头中列出的所有URL(Uniform Re⁃source Locator,统一资源定位符),有效防止外网客户端获得内网应用服务器URL重定向。这样,通过反向代理系统发布资源,对外隐藏真实的IP地址,反向代理充当第一道防护,使系统更加安全稳定。

    2.2 负载均衡模型

    我们可以通过多个反向代理来平衡各应用服务器之间的负载,充分发挥反向代理高速缓存的优势,搭建一个负载平衡服务器池。反向代理会把用户请求的Web信息存到高速缓存。如果存在多个反向代理服务器,智能DNS配合行使“循环复用法”定位IP地址,自动选择最优路由。

    反向代理还支持用户单独设置每个网站缓冲区数量和容量、存放位置、保留时间等缓存策略,设置访问请求次数等清除缓存的触发条件,并针对网站状态码设置缓存时间。

    支持通过PageSpeed技术优化网页代码,采用CoreFiters过滤器,通过启用禁用压缩空白过滤器、CSS优化等方式减少单次传输流量,降低服务器压力,提升浏览器渲染效率。

    系统支持负载均衡调度方式,可基于会话和负载进行调度,能够通过基于最少连接数或哈希IP算法的调度方式进行负载均衡,还能够通过检测最大失败次数和超时时间判断后端服务器的状态,从而进行负载均衡[4]。

    3.1 Nginx系统

    目前国际上常见的反向代理系统有Varnish、Squid Cache、HAProxy、Nginx等。

    Nginx是一个高性能的HTTP和反向代理Web服务器,由伊戈尔·赛索耶夫开发,第一个公开版本发布于2004年10月4日。Nginx采用事件驱动的多进程架构、异步网络输入输出机制和极少的进程间切换设计,能够同时支持百万级别的网络连接[5]。该系统在Linux系统下运行,配合apache服务器使用。系统开源完全免费,可以为单位节约成本;
    工作在七层,可以针对HTTP做分流策略;
    安装、配置在几个开源系统中相对简单,可以通过日志解决多数问题。

    3.2 第三方反向代理系统

    目前国内已经有了很多成熟的反向代理系统,有强大的服务技术支持。技术内核其实是对Nginx等开源软件的二次开发,界面符合中国人的使用习惯。这里以“网瑞达反向代理系统”为例简单介绍。

    反向代理系统的核心功能有:Web类资源的统一发布与管理;
    用户通过网页免安装、免插件直接访问;
    匹配移动终端不同的操作系统;
    支持用户登录后可视化自定义导航页面。

    当用户访问公共资源或内部资源时,可以通过工作节点服务器代理并需要开启认证访问策略。只有通过认证许可的用户,才能接入访问内部资源。

    作为对外发布网站的业务系统,其稳定运行尤为重要。如无必要,系统不可关机。当出现电路检修需要断电的情况,需要关机重启系统。系统重新启动时需要关注系统的NTP是否正常、管理端与反代服务器联通是否正常、各代理网站是否正常等,如有必要去后台使用nginx-t命令检查系统功能是否正常运行。

    3.3 作为IPv6的技术过渡

    2018年8月21日,教育部办公厅发布“关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》的通知”,主要目标:到2020年底,教育系统的各类网络、门户网站和重要应用系统完成升级改造,支持IPv6访问;
    基于IPv6的安全保障体系基本形成[6]。各高校积极推进主要应用系统和门户网站的IPv6升级改造工作,大部分院校都完成了2020年阶段性目标行动。但距离应用系统全面支持IPv6还有很大的差距,呈现“门户先行、其他滞后”的状态,需要设计一个不改变原有网络架构、不淘汰原有IPv4应用系统、用户“零感知”的转换策略,将众多业务系统从v4网络转换到v6网络[7]。

    使用反向代理技术可以在保持原有IPv4网络拓扑结构不变的前提下,在旁路部署一台IPv6/IPv4转换设备,只需在反向代理设备上配置IPv6地址,来自外部的IPv6流量访问该地址,经过反向代理设备转换后,通过IPv4路由指向目的网站和应用系统服务器。节约成本、用户“零感知”,是老系统升级换代前支持IPv6访问的最优方案[8]。

    Nginx常用的应用有Web服务、负载均衡(反向代理Proxy)、Web Cache(缓存机制)等[9],能很好地满足上文中提到的各项功能需求。下面重点讨论通过反向代理实现IPv4网络到IPv6网络过渡方案的Nginx系统参考配置方法。

    Nginx反向代理服务器除了通过高性能的HTTP代理功能,解决地址隐藏、负载均衡、安全统一配置外,用其来解决IPv4/IPv6互访,在IPv4时代向纯IPv6时代过渡初期是非常行之有效的解决方案。IPv4地址网络向IPv6地址网络过渡解决方案如图1所示。

    图1 IPv4/IPv6过渡图

    在IPv4地址网络和IPv6地址网络边界上部署Nginx反向代理服务器(Linux操作系统),为了确保IPv4/IPv6地址的网络连通性,要求对外开放22(SSH协议)、80(WEB访问)、443(主要用于HTTPS服务)等端口。

    目前全国绝大部分高校都已开通基于教育科研网的IPv6网络。只要根据分配的地址段正确配置,即可正常使用IPv6资源。

    用户通过IPv6域名或IPv6地址发出访问请求,直接通过Nginx代理软件转发给proxy_pass参数指定的不支持IPv6地址的服务器,网站对Nginx发过来的HTTP请求做出回应,回应数据到达Nginx代理服务器后,经过Nginx软件转换并进行IPv6请求回复就实现了代理功能,同时解决了IPv6网络用户访问IPv4业务系统的需求,实现了两者的无感链接[10]。

    3.4 引入反向代理的优点

    引入反向代理具有以下4个方面的优点:

    (1)解决了内部应用服务器对外服务的需求,安全可靠,同时也能减少VPN的工作压力[11];

    (2)校内对内应用则分配私有地址,对外发布的网站只需通过共享一个ISP分配公网IP地址,运用虚拟主机的模式对外提供访问业务,降低了校内有限的IPv4公网地址资源[12];

    (3)真实服务器地址对外不可见,而反向代理上并没有真正的原始数据,对内部真实的应用服务器增加保护,保证了内网的资源安全;

    (4)反问代理具备高速缓存网页信息的功能,若是缓存池中已存在客户所需访问的内容,可直接在反向代理中获取,极大程度减少了应用服务器的负载,降低网页的加载速度。

    目前反向代理系统已在漯河职业技术职业学院部署实施,校方通过反向代理技术,实现了对外发布的网站统一管理,不受真实地址数量的限制(只使用一个外网IP地址),可自由发布网络资源,满足老师的资源发布需求。通过反向代理系统发布的资源,不对外暴露真实服务器IP地址,使系统更加安全。现已统一发布管理学校二级网站49个,大大提高了信息系统的管理效率。用户可以灵活地管理各类资源的访问控制策略,可通过本系统来管理资源安全策略并进行相关的审计。此外,系统还支持实时监控资源状态并及时告警,发现异常可在远程一键断网。可基于全量日志进行多维度的统计分析,同时支持IPV6发布,满足了国家相关要求。

    通过引入反向代理技术,节省真实IPv4地址数量,发布网络资源时更不受拘束,满足学校各业务领域资源发布要求。与此同时,运用反向代理技术发布资源时,对外隐藏真实IPv4地址,使系统更加安全;
    还可通过反向代理实现负载均衡,提高访问效率;
    支持一键断网;
    支持IPv6发布、5G技术应用,满足下一代互联网技术的要求。跟当下常见的API网关对比,该技术具有开源、跨平台、易管理、高可靠性等优点,非常适合在高校当前网络环境下推广。

    猜你喜欢 代理服务器代理服务器 PowerTCP Server Tool网络安全和信息化(2019年8期)2019-08-28BlackJumboDog网络安全和信息化(2019年7期)2019-07-102018年全球服务器市场将保持温和增长中国计算机报(2018年12期)2018-10-08基于防火墙技术的网络安全机制电脑知识与技术(2016年15期)2016-07-04复仇代理乌龟君学生天地·小学中高年级(2016年8期)2016-05-14防火墙技术与校园网络安全的研究无线互联科技(2015年7期)2016-03-07108名特困生有了“代理妈妈”中国火炬(2014年8期)2014-07-24胜似妈妈的代理家长中国火炬(2014年1期)2014-07-24一个村有二十六位代理家长中国火炬(2012年2期)2012-07-24一种容侵系统的设计新媒体研究(2009年13期)2009-10-26

    相关热词搜索:高校 代理 技术

    • 范文大全
    • 说说大全
    • 学习资料
    • 语录
    • 生肖
    • 解梦
    • 十二星座
    最新文章

    推荐访问

    代理 代理ip软件 代理vivo手机利润多少 代理业务协议 代理产品协议书范本 代理产品协议合同参考 代理产品合同范本 代理产品总代理合同怎么签 代理人 代理人合同 代理人委托书什么时候提交 代理人委托书范本 代理什么商品 代理出口协议范本 代理出口合同范本 代理制 代理制作标书协议 代理加工合同 代理加工合同协议书 代理加盟合同书 代理加盟合同范本 代理协方总书doc 代理协议书模版 代理协议书范文 代理协议书范本 代理协议合同 代理协议合同范本 代理协议怎么写范文 代理协议简易范本 代理县长任职表态发言 代理合作协议 代理合作协议合同范本 代理合作协议范本 代理合同 代理合同协议 代理合同受劳动法保护吗 代理合同可以单方面解除吗 代理合同和劳务合同一样吗 代理合同和劳动合同的区别 代理合同和合同的区别 代理合同和经销商合同 代理合同属于什么合同 代理合同是劳动合同吗 代理合同模板 代理合同的法律规定 代理合同简单范本大全 代理合同纠纷最有效的处理 代理合同范本 代理合同范本大全 代理商 代理商代表发言

    本文反向代理技术在高校网络中的应用由百花范文网整理提供,版权归原作者、原出处所有。

    Copyright © 百花范文网 All Rights Reserved.