基于Very Nginx虛擬防火墻的安全可控訪問

張 鑫 王 虎 黃 力 常崢峰 縱宇浩

大唐南京環?？萍加邢挢熑喂?江蘇 南京211111

0 引言

防御、檢測成為當下網絡時代，保證數據安全的手段。在系統多樣化、復雜化的環境中，系統肯定由訪問層、負載分配層、業務層、業務間通信層、數據存儲層。訪問層會有網絡協議，例如：IP、端口、加密協議等；負載分配層會有Apache、Nginx等組件；業務層會有Tomcat、IIS等組件；業務間通信層會有SOA等方式；數據存儲層會有SQL等數據庫。Bug也是在相互開放API接口的同時產生，或者在相互傳輸的過程中產生邏輯Bug。

Very Nginx在Nginx的基礎上提供了WEB界面、增加很多訪問請求限制板塊，根據匹配策略為系統提供訪問控制。例如：在Matcher中設置Client IP，若訪問匹配該策略，則Action中調用該策略，若匹配，則看是否在安全域內。若在安全域內，放行；反之，阻斷其所有訪問行為。

Very Nginx為某企業的信息系統增加邏輯隔離，百分之百的杜絕網絡滲透攻擊是妄想，如何利用前沿技術為運維人員提供故障或者防御的處理時間，從而及時有效的降低損失的最有效辦法。

1 信息系統部署的現狀及存在的問題

圖一 系統部署對比圖(左：前期部署 右：后期部署)

1.1 信息系統部署現狀 某企業信息中心部署N套系統，系統的部署如圖一所示主要用途有電子辦公、電子數據備份等，這些在業務出口未部署防火墻(WAF防火墻)，僅使用了windows server或linux服務器系統本身防火墻，在策略上增加出入策略，進行端口、ip地址的放行。其余系統本身相當于直接裸露在局域網內，僅一臺內網主機被攻陷或者中圖靈、永恒之藍的木馬，信息系統將遭受致命性的攻擊，造成數據丟失，最終影響該企業業務的停滯。

1.2 信息系統部署存在的問題1)信息系統直接裸露在局域網內是最大的漏洞，因為管理員訪問、普通人員訪問都在同一地址很容易從在SQL注入、shell攻擊，或者撞庫攻擊，對與信息系統而言，安全無法保障。

2)使用系統自帶防火墻無法保證信息系統的安全，因為信息系統本身的防火墻僅可以做到端口、IP地址等匹配，無法做到訪問頻率、源地址、目標地址等詳細記錄。這對于信息系統維護人員缺乏了分析被攻擊的主要信息，有防護手段將變成無防護手段。響應時間將變為無窮，恢復時間也變成無窮。盡管已經做了備份，可立即恢復，但無法定位source，在恢復之后立馬被攻擊，相當于恢復時間增大，使用者也會帶來無限的不良情緒。這將對系統本身的用戶體驗度大大降低，也使得領導對運維者能力提出懷疑。

3)系統本身未作IP地址代理，系統隱藏性降低。這對于攻擊者來說，降低了其進行網絡滲透的時間，降低了企業數據和系統運行的安全性對訪問地址進行系統型分類。

2 提高系統安全性的方法

1)訪問控制策略主要以最小化和零信任為基礎原則。在Very Nginx的matcher中制定規則，可以設置usreagent、client IP、host、url、referer、request args等參數。Action中可以設置Scheme Lock Redirect、URI Rewrite、Browser Verify、Frequency Li mit、Filter(waf)等參數。系統上線物理連接邏輯如圖一。

2)按照配置模板對訪問請求進行配置，保證每一個服務器系統訪問客戶為匹配用戶。為防止偽裝客戶對基礎策略進行修改，對該策略配置文件進行了每5秒使用原始文件進行覆蓋的操作。

3 提高系統安全性策略分類

1)訪問策略-端口限制。策略標準化對于該防火墻策略進行目標訪問策略分類，對于不同的業務進行不同的分類。例如：對業務協同訪問需要做到除源、目的IP配置外，對端口的開放、關閉一定要嚴格配置，不允許多余配置出現；業務地址為172.16.11.66：8080為訪問地址，除8080端口，若出現異常端口，鎖定10分鐘再放行，若連續出現，直接鎖定24小時，再放行。

2)訪問策略-協議限制。對業務協同訪問需要做到除源、目的IP配置、端口外，對傳輸協議的開放、關閉一定要嚴格配置，不允許多余配置出現；業務地址為http：//172.16.11.66：8080為訪問地址，使用https協議的訪問全部阻斷，認為其是異常流量。

4 結語

利用開源Very Nginx作為基礎模型，通過在某企業的信息系統前端部署，Very Nginx可以很大程度上提高公司系統的數據和運行環境的安全性。