IPv6環(huán)境下反向代理IPv4網(wǎng)站及安全防護的研究與實現(xiàn)

吳金堂，耿方方

（河南中醫(yī)藥大學 信息化辦公室，鄭州 450046）

1 引言

IPv6作為下一代互聯(lián)網(wǎng)關(guān)鍵技術(shù)，是網(wǎng)絡(luò)信息技術(shù)發(fā)展和互聯(lián)網(wǎng)演化升級的必然趨勢。2018年9月教育部發(fā)布《推進IPv6規(guī)模部署行動計劃》，主要目標是要求到2020年底，教育系統(tǒng)的各類網(wǎng)絡(luò)、門戶網(wǎng)站和重要應(yīng)用系統(tǒng)完成升級改造，支持IPv6訪問。為了降低各類網(wǎng)站及業(yè)務(wù)應(yīng)用向IPv6升級轉(zhuǎn)換的難度，實現(xiàn)現(xiàn)有Web應(yīng)用的IPv6訪問，本文提出基于Nginx的反向代理實現(xiàn)IPv4網(wǎng)站應(yīng)用的轉(zhuǎn)換及網(wǎng)站的安全防御。

2 現(xiàn)有網(wǎng)站應(yīng)用部署現(xiàn)狀

現(xiàn)階段由于網(wǎng)站規(guī)劃、應(yīng)用開發(fā)均基于IPv4網(wǎng)絡(luò)，將業(yè)務(wù)直接由IPv4部署到IPv6中，可能會出現(xiàn)網(wǎng)站、應(yīng)用無法訪問或出現(xiàn)錯誤的情況。IPv4到IPv6環(huán)境的轉(zhuǎn)換，需要經(jīng)歷網(wǎng)絡(luò)改造、軟硬件更新以及對業(yè)務(wù)系統(tǒng)內(nèi)核的重構(gòu)、測試及重新編譯上線。如果想在短時間內(nèi)基于IPv6對網(wǎng)站、應(yīng)用系統(tǒng)進行重新開發(fā)部署，對于普通內(nèi)容類網(wǎng)站較為容易實現(xiàn)，但對于一些業(yè)務(wù)應(yīng)用系統(tǒng)，如財務(wù)、教務(wù)等系統(tǒng)則需要較長的時間。

目前，正處于IPv4向IPv6過渡階段，網(wǎng)站及業(yè)務(wù)應(yīng)用系統(tǒng)需同時滿足IPv4/IPv6用戶訪問IPv4/IPv6網(wǎng)站應(yīng)用服務(wù)的需求，這就需要從應(yīng)用服務(wù)端實現(xiàn)IPv4和IPv6用戶的訪問。現(xiàn)在已經(jīng)實現(xiàn)IPv6部署的網(wǎng)站應(yīng)用，其服務(wù)器通常是基于原生IPv4/IPv6雙棧提供Web服務(wù)，它可避免因轉(zhuǎn)換導(dǎo)致的復(fù)雜性。但是，基于IPv6的應(yīng)用安全防御設(shè)備不夠成熟，這就增加了IPv6環(huán)境下的網(wǎng)站應(yīng)用服務(wù)的安全風險。

3 反向代理技術(shù)

反向代理是指某臺服務(wù)器用來接受網(wǎng)絡(luò)上用戶的連接請求，然后將請求轉(zhuǎn)發(fā)給網(wǎng)絡(luò)上對應(yīng)的應(yīng)用服務(wù)，并將從應(yīng)用服務(wù)上得到的結(jié)果返回給網(wǎng)絡(luò)上請求的用戶客戶端，此時這臺服務(wù)器對外表現(xiàn)即為一個反向代理服務(wù)器[1]。用戶通過代理服務(wù)器訪問網(wǎng)站應(yīng)用時，并不需要更改任何配置，正常訪問網(wǎng)站即可。常見的反向代理工具有HAProxy、Fikker、Squid、Nginx等。

本文主要以Nginx為反向代理工具進行研究，實現(xiàn)在不更改原有網(wǎng)站應(yīng)用系統(tǒng)的前提下，網(wǎng)站應(yīng)用能夠在IPv6下的訪問。

4 反向代理配置

4.1 反向代理服務(wù)器的網(wǎng)絡(luò)配置

反向代理服務(wù)器需要支持用戶能夠同時訪問IPv4地址與IPv6地址，因此，在反向代理服務(wù)器上需配置IPv4地址與IPv6地址。IPv4地址除了為用戶提供IPv4的服務(wù)外，主要是讓代理服務(wù)器將請求的IPv4應(yīng)用系統(tǒng)轉(zhuǎn)換為IPv6服務(wù)。反向代理服務(wù)可以同時為多個應(yīng)用系統(tǒng)提供代理服務(wù)，因此，可以在代理服務(wù)器上配置多個IPv4或IPv6地址，方便不同業(yè)務(wù)使用不同的IP地址進行訪問。

反向代理服務(wù)器只需部署在用戶可以訪問到的網(wǎng)絡(luò)下即可，不需要改造網(wǎng)絡(luò)結(jié)構(gòu)。如果內(nèi)部網(wǎng)絡(luò)暫時沒有IPv6網(wǎng)絡(luò)，可以把代理服務(wù)器部署在其他支持IPv4與IPv6的網(wǎng)絡(luò)機房，從而實現(xiàn)IPv4與IPv6的同時訪問。

4.2 反向代理Web應(yīng)用域名解析配置

Web應(yīng)用支持IPv6網(wǎng)絡(luò)訪問時，需要網(wǎng)站具有相對應(yīng)的DNS解析，即AAAA記錄。當網(wǎng)站支持IPv4與IPv6同時訪問時，需要有對應(yīng)的A記錄和AAAA記錄。域名的解析地址為反向代理服務(wù)器上配置的IPv4與IPv6地址。當IPv4用戶訪問域名時，用戶自動解析并訪問反向代理服務(wù)器的IPv4地址；當IPv6用戶訪問域名時，用戶自動解析并訪問反向代理服務(wù)器的IPv6地址。

4.3 反向代理文件配置

基于Nginx反向代理技術(shù)的服務(wù)器配置較為簡單靈活，可以同時代理多個后端Web應(yīng)用。例如，反向代理后端IPv4網(wǎng)站應(yīng)用，在代理服務(wù)器中配置對應(yīng)的IPv4請求源地址，并配置監(jiān)聽對應(yīng)Web應(yīng)用的IPv6地址端口即可。

Nginx反向代理配置如下：

以上示例配置中，同時配置了兩個反向代理域名，分別對應(yīng)后端IPv4應(yīng)用地址，當IPv6用戶訪問www域名時，通過DNS解析出域名IPv6地址為反向代理服務(wù)器地址，用戶請求到反向代理服務(wù)器，服務(wù)器會根據(jù)用戶請求的域名自動轉(zhuǎn)發(fā)請求到其對應(yīng)的211.66.66.66（www網(wǎng)站）服務(wù)器，并將請求結(jié)果返回給用戶。

4.4 反向代理注意事項

針對一些特殊應(yīng)用，使用非80端口，如8080等，只需要在反向代理服務(wù)中配置對應(yīng)回源端口，并在服務(wù)器中監(jiān)聽相應(yīng)端口即可實現(xiàn)端口轉(zhuǎn)發(fā)功能。當某業(yè)務(wù)需要使用HTTPS安全連接，且源Web應(yīng)用不支持修改啟用HTTPS時，同樣可以通過反向代理服務(wù)器把對應(yīng)服務(wù)轉(zhuǎn)換為HTTPS安全連接，在反向代理服務(wù)器中配置安全證書，并監(jiān)聽443端口，用戶可以直接訪問HTTPS的安全連接，回源請求還是Web應(yīng)用80端口，不需要源服務(wù)做任何改變。

在使用反向代理服務(wù)器轉(zhuǎn)換IPv6時需要注意，代理內(nèi)容中有跨協(xié)議資源時，非對應(yīng)協(xié)議用戶會出現(xiàn)無法訪問的情況。例如，只有IPv6網(wǎng)絡(luò)的用戶訪問轉(zhuǎn)換后的網(wǎng)站時，網(wǎng)站內(nèi)容包含有鏈接為IPv4的資源，此時IPv6訪問用戶就不能加載相應(yīng)資源，這就需要在做轉(zhuǎn)換時一定要進行嚴格的訪問測試，保證數(shù)據(jù)調(diào)用協(xié)議一致性。我們可以利用Nginx中的subs_filter內(nèi)容過濾模塊，把單協(xié)議資源轉(zhuǎn)換為雙協(xié)議資源或替換為本地資源[2]。

當用戶訪問代理服務(wù)時，代理服務(wù)器就必須開啟兩個連接，一個為訪問用戶的連接，一個為對后端Web應(yīng)用的連接，因此，對于連接請求數(shù)量非常大的時候，代理服務(wù)器的負載也就非常高。在實際應(yīng)用中，如果代理業(yè)務(wù)過多，可以部署多臺反向代理服務(wù)器，配合DNS服務(wù)，把需要做代理轉(zhuǎn)換的服務(wù)域名同時解析到多臺代理服務(wù)器IP，實現(xiàn)反向代理前端負載均衡，分散多個業(yè)務(wù)的請求，這個過程其實已經(jīng)實現(xiàn)了內(nèi)容分發(fā)網(wǎng)絡(luò)功能（CDN）。我們可以把代理服務(wù)器部署在不同運營商的線路中，并結(jié)合反向代理的內(nèi)容緩存功能，配合智能DNS服務(wù)，以實現(xiàn)網(wǎng)站業(yè)務(wù)的IPv6轉(zhuǎn)換、內(nèi)容分發(fā)與快速訪問。

4.5 IPv6反向代理環(huán)境中的網(wǎng)站安全防御

現(xiàn)階段針對IPv6業(yè)務(wù)應(yīng)用層的安全設(shè)備相對不完善，業(yè)務(wù)系統(tǒng)接入IPv6后的安全風險增加，而通過反向代理服務(wù)后，所有的用戶請求都必須通過代理服務(wù)器訪問后端服務(wù)，因此，可在代理服務(wù)器上設(shè)置相關(guān)安全配置，過濾某些不安全信息，攔截惡意請求。

在搭建IPv6反向代理服務(wù)器時，可以使用OpenResty做為反向代理服務(wù)工具，OpenResty是一個基于Nginx與Lua的高性能Web平臺，可以方便地搭建能夠處理超高并發(fā)、擴展性極高的動態(tài)Web應(yīng)用、Web服務(wù)和動態(tài)網(wǎng)關(guān)。

網(wǎng)站應(yīng)用層的安全防御主要依靠Web應(yīng)用防火墻（Web Application Firewall，WAF）來檢測攔截，通過開源框架OpenResty和相應(yīng)Lua程序語言可以輕松構(gòu)建Web應(yīng)用防火墻，實現(xiàn)通過對HTTP(S)請求進行檢測，識別并阻斷SQL注入、跨站腳本攻擊（Cross Site Scripting xss）、網(wǎng)頁木馬上傳、命令/代碼注入、文件包含、敏感文件訪問、第三方應(yīng)用漏洞攻擊、CC(挑戰(zhàn)黑洞)攻擊、惡意爬蟲掃描、跨站請求偽造等攻擊，保護后端Web應(yīng)用安全穩(wěn)定。

相對于在原有IPv4/IPv6網(wǎng)站應(yīng)用系統(tǒng)中部署應(yīng)用防御，在中間代理轉(zhuǎn)換層做應(yīng)用安全防御更簡單便捷，不用對原有系統(tǒng)做任何改變，也不會對原有業(yè)務(wù)系統(tǒng)產(chǎn)生影響。各業(yè)務(wù)系統(tǒng)的訪問日志格式不統(tǒng)一，收集整理分析難度大，但通過中間的反向代理服務(wù)后，可以統(tǒng)一規(guī)范訪問日志格式，做集中式日志管理系統(tǒng)，以便對日志進行分析，例如，結(jié)合ELK（Elasticsearch、Logstash、Kibana）日志系統(tǒng)可以對日志統(tǒng)一標準化收集傳輸、日志查詢分析并到最后實現(xiàn)日志的實時可視化。

5 反向代理案例

結(jié)合以上的理論知識，在實際環(huán)境中構(gòu)建了一臺反向代理服務(wù)器，具體配置信息如下。

5.1 反向代理服務(wù)器

在VM虛擬化中開設(shè)一臺服務(wù)器，4核，8G內(nèi)存。安裝Centos6操作系統(tǒng)，使用OpenResty作為反向代理服務(wù)工具，使用Iptables和Ip6tables防火墻軟件。配置千兆網(wǎng)卡，設(shè)置IPv4與IPv6雙棧網(wǎng)絡(luò)。

OpenResty服務(wù)配置成反向代理模式，在配置中監(jiān)聽指定業(yè)務(wù)域名并設(shè)置對應(yīng)業(yè)務(wù)回源請求地址，結(jié)合基于Lua語言的開源OpenWAF模塊，實現(xiàn)Web應(yīng)用防火墻功能。

服務(wù)器配置syslog-ng日志收集傳輸工具，Nginx和OpenWAF模塊在產(chǎn)生日志的同時對日志進行遠程傳輸。

5.2 日志收集整理服務(wù)器

VM中開設(shè)虛擬服務(wù)器，配置8核，16G內(nèi)存。安裝Centos6操作系統(tǒng)，配置ELK日志服務(wù)，通過收集反向代理服務(wù)器傳輸過來的日志，進行分類整理分析，并最終實現(xiàn)日志實時可視化。

5.3 原有后端IPv4網(wǎng)站應(yīng)用

本實例未對原有Web應(yīng)用做任何改動，實際應(yīng)用中，可以把后端業(yè)務(wù)放入內(nèi)部網(wǎng)絡(luò)，并設(shè)置只允許反向代理服務(wù)器的請求通過，以增加原應(yīng)用服務(wù)的安全性。

該系統(tǒng)部署在IPv4/IPv6雙棧環(huán)境下，反向代理并轉(zhuǎn)換原IPv4網(wǎng)絡(luò)下的學校門戶網(wǎng)站為IPv6服務(wù)，已經(jīng)正常連續(xù)運行一個月，通過日志分析系統(tǒng)可以看出IPv6用戶已經(jīng)增長很快，每天有1千余用戶通過IPv6網(wǎng)絡(luò)訪問網(wǎng)站，訪客來源于全國不同地方，如圖1所示。另外，根據(jù)Web防火墻日志可以看出，IPv6下的攻擊類型多種多樣，惡意請求數(shù)量也在遞增，如圖2和圖3所示。

圖1 訪問用戶

圖2 攻擊類型

6 結(jié)論

反向代理技術(shù)可以實現(xiàn)IPv4到IPv6的Web應(yīng)用轉(zhuǎn)換，是IPv6過渡階段最方便快捷的業(yè)務(wù)向IPv6轉(zhuǎn)換的方法。同時，通過反向代理服務(wù)后，用戶與應(yīng)用系統(tǒng)中間增加了一層防護，提高了內(nèi)部系統(tǒng)的安全性。該方法的使用為IPv6在業(yè)務(wù)系統(tǒng)方面的推廣提供了解決方案，同時也為業(yè)務(wù)系統(tǒng)的信息安全提供了保障。

圖3 IPv6下的日志分析