◆馮貴蘭 李正楠

?

Nginx反向代理在高校網(wǎng)站系統(tǒng)中的應(yīng)用研究

◆馮貴蘭1李正楠2

（1.中國(guó)民航飛行學(xué)院（廣漢）現(xiàn)代教育技術(shù)中心 四川 618307； 2.中國(guó)民航飛行學(xué)院（廣漢）航空工程學(xué)院 四川 618307）

隨著教育信息化在高校的不斷深化發(fā)展，高校各院系、部門建立的各類網(wǎng)站、應(yīng)用系統(tǒng)越來越多。如何在公網(wǎng)IP地址有限的情況下，將校園網(wǎng)web應(yīng)用安全地對(duì)外發(fā)布是當(dāng)前網(wǎng)絡(luò)管理員面臨的最大問題。針對(duì)這個(gè)問題，本文提出了利用Nginx實(shí)現(xiàn)校園網(wǎng)環(huán)境下的web反向代理的方案，應(yīng)用此項(xiàng)技術(shù)該方案能把校園內(nèi)諸多Web應(yīng)用提供給互聯(lián)網(wǎng)用戶使用，不僅節(jié)約了IP地址，加快了網(wǎng)站訪問速度，而且為校園網(wǎng)內(nèi)部網(wǎng)站提供了一道安全防線。

網(wǎng)絡(luò)安全；web應(yīng)用；反向代理

0 引言

隨著教育信息化、數(shù)字化校園建設(shè)地不斷推進(jìn)，各個(gè)高校都建設(shè)了自己的校園網(wǎng)，目前校園網(wǎng)提供的主要服務(wù)有：web服務(wù)、Email服務(wù)、數(shù)字圖書館等。而隨著教育信息化的發(fā)展，教師和學(xué)生都希望在互聯(lián)網(wǎng)上查詢到校園內(nèi)網(wǎng)信息，但是學(xué)校的公網(wǎng)IP地址卻有限。另外，高校網(wǎng)站和應(yīng)用系統(tǒng)是教學(xué)、管理和科研的重要平臺(tái)，在給師生帶來便利的同時(shí)也面臨著嚴(yán)重的安全問題。Nginx反向代理技術(shù)的出現(xiàn)很好地處理了這種情況，通過配置web反向代理就可以使互聯(lián)網(wǎng)用戶使用到校園網(wǎng)內(nèi)的web應(yīng)用。本文將著重討論如何利用Nginx實(shí)現(xiàn)校園網(wǎng)環(huán)境下的web反向代理。

1 反向代理技術(shù)

反向代理是指由代理服務(wù)器來接收來自互聯(lián)網(wǎng)的訪問請(qǐng)求，再把訪問請(qǐng)求轉(zhuǎn)發(fā)到內(nèi)網(wǎng)對(duì)應(yīng)的網(wǎng)站服務(wù)器[1]，并從對(duì)應(yīng)網(wǎng)站服務(wù)器獲取結(jié)果返回給訪問用戶，代理服務(wù)器就是進(jìn)入這些內(nèi)網(wǎng)網(wǎng)站服務(wù)器的入口。反向代理服務(wù)器會(huì)強(qiáng)制互聯(lián)網(wǎng)訪問內(nèi)部網(wǎng)站的流量經(jīng)過它，對(duì)用戶而言，它就是目的服務(wù)器，用戶向它發(fā)起訪問請(qǐng)求，它根據(jù)配置文件決定把收到的請(qǐng)求轉(zhuǎn)發(fā)到具體的內(nèi)部Web服務(wù)器上，并向用戶發(fā)送訪問結(jié)果。用戶正常訪問網(wǎng)頁(yè)即可，不需要做任何改變或配置。

使用反向代理技術(shù)，有以下優(yōu)點(diǎn)：

（1）節(jié)約了有限的IP資源

每個(gè)高校的公網(wǎng)IP地址有限，但學(xué)校內(nèi)部又有許多需要對(duì)外提供服務(wù)的web應(yīng)用。通過反向代理服務(wù)器可以使多個(gè)web應(yīng)用共享相同的公網(wǎng)地址[2][3]，這些web服務(wù)器只需分配私網(wǎng)IP地址，較好的緩解了公網(wǎng)IP地址短缺問題。

（2）保護(hù)了校園網(wǎng)內(nèi)部web服務(wù)器

互聯(lián)網(wǎng)用戶只能通過反向代理服務(wù)器訪問校園網(wǎng)內(nèi)的網(wǎng)站，他們只能看到代理服務(wù)器的公網(wǎng)IP，無法獲知校園網(wǎng)內(nèi)web服務(wù)器的真實(shí)IP地址，這樣就很好地保護(hù)了后臺(tái)網(wǎng)站的資源安全。除此之外，反向代理服務(wù)器在黑客和網(wǎng)站服務(wù)器之間增加了一道屏障，減小了入侵的可能性。

（3）加快了web網(wǎng)站的訪問速度

反向代理服務(wù)器可以緩存網(wǎng)頁(yè)。在用戶向內(nèi)部Web應(yīng)用發(fā)起訪問請(qǐng)求時(shí)，代理服務(wù)器得先看緩存里有沒有用戶所需內(nèi)容[4]，若是存在最新的內(nèi)容，則將該內(nèi)容直接返回給用戶，而不必再?gòu)膬?nèi)部web服務(wù)器取得網(wǎng)頁(yè)內(nèi)容，一方面緩解了網(wǎng)站本身的負(fù)載，另一方面加快了網(wǎng)站訪問速度，提高了用戶體驗(yàn)。

Nginx是一款由俄羅斯程序員開發(fā)的網(wǎng)頁(yè)和反向代理服務(wù)器，可在Linux、Windows等多個(gè)操作系統(tǒng)中運(yùn)行。它以高可靠性、配置簡(jiǎn)單、低資源消耗等特點(diǎn)，深受國(guó)內(nèi)外網(wǎng)站的喜愛，目前淘寶、京東、中央政采網(wǎng)都選擇了它作為網(wǎng)頁(yè)服務(wù)器或反向代理服務(wù)器。為了穩(wěn)定可靠的向師生員工提供web服務(wù)，本文也選擇了Nginx來部署高校網(wǎng)站系統(tǒng)的web反向代理。

2 Nginx反向代理配置

由于學(xué)校內(nèi)網(wǎng)有多臺(tái)服務(wù)器（如公安局、招生處、人事處）的web服務(wù)要映射到學(xué)校公網(wǎng)IP地址，因此需要搭建Nginx反向代理服務(wù)器。例如，在瀏覽器中輸入police.cafuc.edu.cn就能訪問內(nèi)網(wǎng)機(jī)器172.16.28.11的80端口。配置的Nginx反向代理服務(wù)器位于學(xué)校機(jī)房，統(tǒng)一代理學(xué)校要對(duì)外開放的web應(yīng)用，為緩解代理的負(fù)載壓力，不讓其成為用戶訪問校內(nèi)網(wǎng)站的瓶頸，專門配置了兩臺(tái)Nginx代理服務(wù)器。打開 Nginx 的官方網(wǎng)站 http://nginx.org/，從中可以下載到所需的安裝文件。Nginx編譯安裝之前，需要安裝gcc.i386， pcre-devel.i386， openssl-devel.i386。配置Nginx反向代理服務(wù)器的步驟如下：

（1）下載Nginx

wget http://nginx.org/download/nginx-1.11.8.tar.gz

（2）解壓壓縮包

tar zxvf nginx-1.11.8.tar.gz

cd nginx-1.11.8/

./configure --user=www --group=www --prefix=/usr/local/webserver/nginx --with-http_stub_status_module --with-http_ssl_module --with-cc-opt='-O2' --with-cpu-opt=opteron

（3）開始編譯安裝

make &make install

（4）新建站點(diǎn)配置文件police.conf

server

{

listen 80;

server_name police.cafuc.edu.cn;

location / {

root /usr/share/nginx/html;

index index.html index.htm index.asp;

proxy_pass http:// 172.16.28.11;

proxy_redirect default;

}

}

（5）修改配置文件

修改配置文件nginx.conf，添加include police..conf 到http{}段。

重新加載Nginx配置文件，使之修改生效，再把公安局域名police.cafuc.edu.cn指向?qū)W校內(nèi)網(wǎng)靜態(tài)IP，這樣就成功的做到了在瀏覽器中輸入police.cafuc.edu.cn的時(shí)候訪問的內(nèi)網(wǎng)服務(wù)器172.16.28.11的80端口，實(shí)現(xiàn)了校園網(wǎng)內(nèi)的網(wǎng)站讓互聯(lián)網(wǎng)用戶瀏覽。

3 結(jié)束語(yǔ)

本文分析了反向代理技術(shù)的工作原理、使用優(yōu)勢(shì)，著重講解了利用Nginx技術(shù)將學(xué)校內(nèi)網(wǎng)web服務(wù)器映射到學(xué)校公網(wǎng)IP地址的配置過程。使用反向代理技術(shù)不僅節(jié)約了IP地址，加快了網(wǎng)站訪問速度，而且為校園網(wǎng)內(nèi)部網(wǎng)站提供了一道安全防線，因此公網(wǎng)IP地址有限、網(wǎng)站眾多、安全要求高的高校非常適合部署它。

[1]徐華宇.APACHE反向代理在校園網(wǎng)絡(luò)中的應(yīng)用[J].通訊世界，2015.

[2]雷明彬.反向代理技術(shù)在數(shù)字化校園中的應(yīng)用[J].電腦與電信，2009.

[3]曲波，吳兆芝.校園網(wǎng)反向代理服務(wù)器的應(yīng)用與開發(fā)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2002.

[4]章偉輝，衛(wèi)偉，周狄挺.反向代理技術(shù)在校園網(wǎng)中的應(yīng)用[J].福建電腦，2006.

[5]車樹炎，黃銀瑞.反向代理技術(shù)在高校網(wǎng)站系統(tǒng)中的應(yīng)用研究[J].電腦編程技巧與維護(hù)，2013.

[6]劉萬順.試析反向代理服務(wù)器在高校校園網(wǎng)絡(luò)中的應(yīng)用[J].湖北警官學(xué)院學(xué)報(bào)，2005.

[7]宿大東.采用Nginx遠(yuǎn)程訪問圖書館內(nèi)網(wǎng)數(shù)字資源[J]. 內(nèi)蒙古科技與經(jīng)濟(jì)，2013.

[8]袁修春.運(yùn)用反向代理保護(hù)校園網(wǎng)網(wǎng)站安全的研究與實(shí)現(xiàn)[J].中國(guó)教育信息化，2006.