Rumah >Operasi dan penyelenggaraan >Nginx >Cara menggunakan Nginx untuk mengelakkan serangan suntikan bendera Apache
Dalam bidang keselamatan rangkaian, serangan suntikan bendera Apache ialah kaedah serangan yang agak biasa Penyerang menggunakan kelemahan tertentu atau parameter permintaan HTTP tertentu untuk memalsukan pengepala permintaan, dengan itu memperdaya pelayan untuk melakukan operasi yang tidak dijangka atau melaksanakan kod Hasad. Untuk mengelakkan serangan ini, kami boleh menggunakan Nginx sebagai pelayan proksi terbalik untuk mengendalikan permintaan. Berikut menerangkan cara menggunakan Nginx untuk menghalang serangan suntikan bendera Apache.
Apabila Nginx memproses permintaan, ia boleh memajukan permintaan ke pelayan bahagian belakang dan menapis pengepala permintaan tertentu untuk mengelakkan permintaan yang dipalsukan. sekali gus meningkatkan keselamatan sistem. Apabila mengkonfigurasi proksi terbalik Nginx, anda perlu menggunakan Apache sebagai pelayan bahagian belakang dan menapis data tertentu dalam pengepala permintaan.
Konfigurasi adalah seperti berikut:
server { listen 80; server_name example.com; location / { proxy_pass http://apache_server; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-Nginx-Proxy true; proxy_set_header Connection ""; if ( $http_user_agent ~* (libwww-perl|wget) ) { return 403; } if ( $http_host ~* "^[0-9]+.[0-9]+.[0-9]+.[0-9]+$" ) { return 403; } if ( $http_referer ~* "(babes|forsale|girl|jewelry| love|nudit|organic|poker|porn|sex|teen)" ) { return 403; } } }
Dalam konfigurasi ini, kami menggunakan arahan proxy_set_header, yang boleh menambah data secara dinamik dalam pengepala permintaan kepada setiap permintaan proksi terbalik. Sebagai contoh, kita boleh menambah X-Real-IP pada pelayan Apache. Arahan ini juga boleh menapis beberapa permintaan yang tidak selamat, seperti permintaan yang menunjukkan serangan automatik seperti libwww-perl atau wget dalam ejen pengguna, atau permintaan yang medan perujuk dalam permintaan mengandungi perkataan sensitif seperti lucah.
Untuk memastikan keselamatan sistem, kami juga perlu mengkonfigurasi tembok api pada pelayan Peraturannya adalah seperti berikut:
iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string "apache" -j DROP
Konfigurasi ini boleh dilakukan dalam iptables Tambah peraturan penapisan untuk menapis semua permintaan yang mengandungi rentetan "apache". Peraturan ini boleh menapis dengan berkesan beberapa permintaan berniat jahat, sekali gus meningkatkan kestabilan dan keselamatan sistem.
Untuk meningkatkan lagi keselamatan pelayan, kami juga boleh memasang modul mod_security, yang boleh melakukan semakan keselamatan yang mendalam pada permintaan pada pelayan Apache Contohnya, semak sama ada permintaan itu mengandungi satu siri serangan lanjutan seperti serangan suntikan SQL Dengan mereka bentuk peraturan yang fleksibel, anda boleh mencegah serangan dan penyalahgunaan yang berniat jahat dan memastikan keselamatan dan kebolehpercayaan pelayan.
Jika anda perlu mengendalikan maklumat sensitif atau tapak web yang serupa dengan e-dagang, kami juga perlu menggunakan sijil SSL untuk memastikan penyulitan dan penghantaran data yang selamat. Dengan menggunakan sijil SSL, anda boleh menghalang data daripada dicuri atau diganggu semasa penghantaran, memastikan privasi dan keselamatan pengguna.
Ringkasan
Dengan menggunakan Nginx sebagai pelayan proksi terbalik, anda boleh menapis beberapa risiko keselamatan dan permintaan hasad, meningkatkan keselamatan dan kebolehpercayaan pelayan. Keselamatan pelayan dipertingkatkan lagi dengan langkah-langkah seperti firewall dan memasang mod_security. Dalam aplikasi seperti memproses maklumat sensitif dan e-dagang, kami mengesyorkan menggunakan sijil SSL untuk memastikan penghantaran data yang selamat dan meningkatkan keselamatan dan kestabilan pelayan secara menyeluruh.
Atas ialah kandungan terperinci Cara menggunakan Nginx untuk mengelakkan serangan suntikan bendera Apache. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!