2024年5月16日发(作者：win7怎么关闭防火墙设置)

中小企业管理与科技

Management&TechnologyofSME

IPv6环境下反向代理IPv4网站及安全防护的研究与实现

ResearchandImplementationofthe

ReverseProxyIPv4WebsiteandSecurityProtectioninIPv6Environment

吴金堂，耿方方

（河南中医药大学信息化办公室，

郑州

450046）

WUJin-tang,GENGFang-fang

(InformationOfficeofHenanUniversityofChineseMedicine,Zhengzhou450046,China)

揖摘要铱

如何把基于IPv4的Web应用切换到IPv6环境下，

实现

IPv4与IPv6的Web应用共享互通，

并实现

Web应用的安全防

御，

是当前网站管理人员急需解决的问题。论文提出一种基于

Nginx的双栈反向代理技术，

总结出

Ipv4应用向IPv6转换的方法以及

网站安全防护的实施方案。该方案为未来IPv6在Web应用方面的推广提供了部署依据。

揖Abstract铱

HowtoswitchtheWebapplicationbasedontheIPv4totheIPv6environment,realizethesharingandinterworkingbetweentheWeb

applicationofIPv4andIPv6,andrealizethesecuritydefenseoftheWebapplication,istheurgentproblemthatthewebsiteadministratorneedsto

perpresentsadual-stackreverseproxytechnologybasedonNginx,summarizesthemethodofconvertingIpv4application

hemeprovidesthebasisforthefuturepromotionofIPv6inWeb

application.

揖关键词铱

IPv6反向代理；Web应用；安全防护

揖Keywords铱

IPv6reverseproxy;Webapplication;securityprotection

【中图分类号

】

TP393.04【文献标志码】A【文章编号

】

1673-1069（2019）01-0108-04

1引言

统需同时满足IPv4/IPv6用户访问IPv4/IPv6网站应用服务的

IPv6用户的访问。

现在已经实现IPv6部署的网站应用，其服务器通常是基于原

和互联网演化升级的必然趋势。

IPv6作为下一代互联网关键技术，是网络信息技术发展

需求，这就需要从应用服务端实现IPv4和

2018年9月教育部发布

《推进

IPv6规模部署行动计划》，

主要目标是要求到

2020年底，

教育

生IPv4/IPv6双栈提供Web服务，它可避免因转换导致的复杂

性。但是，

基于

IPv6的应用安全防御设备不够成熟，

这就增加

系统的各类网络、门户网站和重要应用系统完成升级改造，

支

了IPv6环境下的网站应用服务的安全风险。

持IPv6访问。为了降低各类网站及业务应用向IPv6升级转换

的难度，实现现有Web应用的IPv6访问，本文提出基于Nginx

3反向代理技术

的反向代理实现IPv4网站应用的转换及网站的安全防御。反向代理是指某台服务器用来接受网络上用户的连接请

2现有网站应用部署现状

求，然后将请求转发给网络上对应的应用服务，并将从应用服

务上得到的结果返回给网络上请求的用户客户端，此时这台

现阶段由于网站规划、

应用开发均基于

IPv4网络，

将业

服务器对外表现即为一个反向代理服务器

[1]

。用户通过代理服

务直接由IPv4部署到IPv6中，可能会出现网站、

应用无法访

务器访问网站应用时，并不需要更改任何配置，

正常访问网站

问或出现错误的情况。IPv4到IPv6环境的转换，需要经历网

即可。常见的反向代理工具有HAProxy、Fikker、Squid、Nginx

络改造、软硬件更新以及对业务系统内核的重构、

测试及重新

等。

编译上线。如果想在短时间内基于IPv6对网站、应用系统进

本文主要以Nginx为反向代理工具进行研究，实现在不

行重新开发部署，对于普通内容类网站较为容易实现，

但对于

更改原有网站应用系统的前提下，

网站应用能够在

IPv6下的

一些业务应用系统，如财务、教务等系统则需要较长的时间。

访问。

目前，正处于IPv4向IPv6过渡阶段，网站及业务应用系

4反向代理配置

吴金堂

（1982-），男，河南社旗人，

助理实验师，

从事计

4.1反向代理服务器的网络配置

算机网络、网络信息安全研究。

反向代理服务器需要支持用户能够同时访问IPv4地址与

108

.. All Rights Reserved.

【作者简介】

IPv6

IPv6

地址，因此，在反向代理服务器上需配置

让代理服务器将请求的

地址。IPv4地址除了为用户提供

IPv4应用系统转换为

IPv4的服务外，

IPv4地址与

IPv6服务。

主要是

反向

代理服务可以同时为多个应用系统提供代理服务，因此，可以

在代理服务器上配置多个IPv4或IPv6地址，方便不同业务使

用不同的IP地址进行访问。

反向代理服务器只需部署在用户可以访问到的网络下即

可，不需要改造网络结构。如果内部网络暂时没有IPv6网络，

可以把代理服务器部署在其他支持IPv4与IPv6的网络机房，

从而实现IPv4与IPv6的同时访问。

4.2反向代理Web应用域名解析配置

DNS

Web应用支持IPv6网络访问时，需要网站具有相对应的

时，需要有对应的

解析，

即

AAAA

A

记录。当网站支持

记录和AAAA记录。域名的解析地址为

IPv4与IPv6同时访问

反向代理服务器上配置的IPv4与IPv6地址。当IPv4用户访

问域名时，用户自动解析并访问反向代理服务器的IPv4地

址；当IPv6用户访问域名时，用户自动解析并访问反向代理

服务器的IPv6地址。

4.3反向代理文件配置

基于Nginx反向代理技术的服务器配置较为简单灵活，

可以同时代理多个后端Web应用。例如，反向代理后端IPv4

网站应用，在代理服务器中配置对应的IPv4请求源地址，

并

配置监听对应Web应用的IPv6地址端口即可。

Nginx

upstream

反向代理配置如下：

server

ipv4_www_web{

keepalive

211.66.66.66:80;

#请求原

8;

}

www网站域名IPv4地址

upstream

server

ipv4_my_web{

#请求原

211.88.88.88:80;

keepalive8;

my网站域名IPv4地址

}

server

listen

{

listen

80;

#监听本地所有

[::]:80;

server_;

IPv6地址的80端口

#

access_log

指定ipv4下的服务域名

location=/

/home/logs/ipv6_www_web_

{

access;

服务体系

ServiceSystem

proxy_set_header

proxy_set_header

Host

X-Real-IP

$host;

$proxy_add_x_forwarded_for;

proxy_set_headerX

$remote_addr;

-Forwarded-For

ipv4_web;

}

}

proxy_pass

server

listen

{

listen

80;

#

[2001:250:400:100::80]:80;

server_name

监听本地指定IPv6地址的80端口

#指定ipv6

;

access_log

下的服务域名

access;

/home/logs/ipv6_my_web_com_

location

proxy_set_header

=/{

Host$host;

$proxy_add_x_forwarded_for;

proxy_set_header

proxy_set_headerX-Real-IP

X

$remote_addr;

-Forwarded-For

}

proxy_passipv4_my_web;

}

以上示例配置中，同时配置了两个反向代理域名，

分别对

应后端IPv4应用地址，当IPv6用户访问www域名时，通过

DNS

到反向代理服务器，服务器会根据用户请求的域名自动转发

解析出域名IPv6地址为反向代理服务器地址，

用户请求

请求到其对应的211.66.66.66（www网站）服务器，

并将请求结

果返回给用户。

4.4反向代理注意事项

针对一些特殊应用，

使用非

80端口，

如

8080等，只需要

在反向代理服务中配置对应回源端口，并在服务器中监听相

应端口即可实现端口转发功能。当某业务需要使用HTTPS安

全连接，

且源

Web应用不支持修改启用HTTPS时，同样可以

通过反向代理服务器把对应服务转换为HTTPS安全连接，

在

反向代理服务器中配置安全证书，

并监听

443端口，用户可以

直接访问HTTPS的安全连接，回源请求还是Web应用80端

口，不需要源服务做任何改变。

在使用反向代理服务器转换IPv6时需要注意，代理内容

中有跨协议资源时，非对应协议用户会出现无法访问的情况。

例如，

只有

IPv6网络的用户访问转换后的网站时，

网站内容包

含有链接为IPv4的资源，

此时

IPv6访问用户就不能加载相应

109

.. All Rights Reserved.

中小企业管理与科技

Management&TechnologyofSME

资源，这就需要在做转换时一定要进行严格的访问测试，

保证

数据调用协议一致性。

我们可以利用

Nginx中的subs_filter内

容过滤模块，把单协议资源转换为双协议资源或替换为本地

资源

[2]

。

当用户访问代理服务时，代理服务器就必须开启两个连

接，一个为访问用户的连接，一个为对后端Web应用的连接，

因此，对于连接请求数量非常大的时候，

代理服务器的负载也

就非常高。在实际应用中，如果代理业务过多，

可以部署多台

反向代理服务器，

配合

DNS服务，把需要做代理转换的服务

域名同时解析到多台代理服务器IP，实现反向代理前端负载

均衡，分散多个业务的请求，这个过程其实已经实现了内容分

发网络功能

（

CDN）。我们可以把代理服务器部署在不同运营

商的线路中，并结合反向代理的内容缓存功能，配合智能DNS

服务，以实现网站业务的IPv6转换、内容分发与快速访问。

4.5IPv6反向代理环境中的网站安全防御

现阶段针对IPv6业务应用层的安全设备相对不完善，

业

务系统接入IPv6后的安全风险增加，而通过反向代理服务

后，所有的用户请求都必须通过代理服务器访问后端服务，

因

此，可在代理服务器上设置相关安全配置，

过滤某些不安全信

息，拦截恶意请求。

在搭建IPv6反向代理服务器时，可以使用OpenResty做

为反向代理服务工具，OpenResty是一个基于Nginx与Lua的

高性能Web平台，可以方便地搭建能够处理超高并发、

扩展

性极高的动态Web应用、Web服务和动态网关。

网站应用层的安全防御主要依靠Web应用防火墙

（

Web

Application

OpenResty和相应

Firewall

Lua

，WAF

程序语言可以轻松构建

）来检测拦截，

通

Web

过开

应用防火

源框架

墙，实现通过对HTTP(S)请求进行检测，

识别并阻断

SQL注

入、跨站脚本攻击

（

CrossSiteScriptingxss）、网页木马上传、

命

令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、

CC(挑战黑洞)攻击、恶意爬虫扫描、跨站请求伪造等攻击，

保护

后端Web应用安全稳定。

相对于在原有IPv4/IPv6网站应用系统中部署应用防御，

在中间代理转换层做应用安全防御更简单便捷，不用对原有

系统做任何改变，也不会对原有业务系统产生影响。

各业务系

统的访问日志格式不统一，收集整理分析难度大，

但通过中间

的反向代理服务后，可以统一规范访问日志格式，做集中式日

志管理系统，以便对日志进行分析

，例如，结合

ELK

Elasticsearch、Logstash、Kibana）日志系统可以对日志统一标

准化收集传输、日志查询分析并到最后实现日志的实时可视

化。

110

5反向代理案例

结合以上的理论知识，在实际环境中构建了一台反向代

理服务器，具体配置信息如下。

5.1反向代理服务器

在VM虚拟化中开设一台服务器，4核，8G内存。安装

Centos6操作系统，使用OpenResty作为反向代理服务工具，使

用Iptables和Ip6tables防火墙软件。配置千兆网卡，

设置

IPv4

与IPv6双栈网络。

OpenResty服务配置成反向代理模式，

在配置中监听指定

业务域名并设置对应业务回源请求地址，结合基于Lua语言

的开源OpenWAF模块，

实现

Web应用防火墙功能。

服务器配置syslog-ng日志收集传输工具

，

Nginx和

OpenWAF

5.2日志收集整理服务器

模块在产生日志的同时对日志进行远程传输。

Centos6

VM

操作系统，

中开设虚拟服务器，配置

配置

ELK日志服务，

8

通过收集反向代理服

核，16G内存。安

装

务器传输过来的日志，进行分类整理分析，

并最终实现日志实

时可视化。

5.3原有后端IPv4网站应用

本实例未对原有Web应用做任何改动，实际应用中，可

以把后端业务放入内部网络，并设置只允许反向代理服务器

的请求通过，以增加原应用服务的安全性。

该系统部署在IPv4/IPv6双栈环境下，反向代理并转换原

IPv4网络下的学校门户网站为IPv6服务，已经正常连续运行

一个月，通过日志分析系统可以看出IPv6用户已经增长很快，

每天有1千余用户通过IPv6网络访问网站，访客来源于全国

不同地方，如图1所示。另外，根据Web防火墙日志可以看

出，IPv6下的攻击类型多种多样，恶意请求数量也在递增，

如

图2和图3所示。

图1访问用户

.. All Rights Reserved.

（

服务体系

ServiceSystem

www_IPV6攻击类型统计

CC攻击第11次（7.37%）

参数非法（17.56%）

POST非法数

据（47.31%）

非法URL（24.36%）

图2攻击类型

图3IPv6下的日志分析

安全提供了保障。

【参考文献

】

【1】邓庚盛,鄢志辉,邹伟平,等.IPv6过渡阶段基于双栈反向代理技术

的应用研究[J].中国教育网络，2018(1)：33.

【2】冯贵兰,李正楠.Nginx反向代理在高校网站系统中的应用研究[J].

网络安全技术与应用，2017(6)：22-26.

6结论

反向代理技术可以实现IPv4到IPv6的Web应用转换，

是IPv6过渡阶段最方便快捷的业务向IPv6转换的方法。同

时，通过反向代理服务后，用户与应用系统中间增加了一层防

护，提高了内部系统的安全性。该方法的使用为IPv6在业务

系统方面的推广提供了解决方案，同时也为业务系统的信息

（上接第65页）

以通过聘请企业的内部审计职员，定期为教师和学生进行内

.. All Rights Reserved.

也可以

部审计实务方面的讲解，这样既可以拓宽学生的视野，

弥补教师在实践经验方面的欠缺

[4]

。另一方面，作为内部审计

始终做

学科的授课教师，也应当时时刻刻注重提高个人能力，

到站在专业发展的最前沿，不断学习内部审计研究新成果和

新应用。

5.5加强学校之间教师的沟通与交流

更不

个人的力量永远是有限的，要进行科学的教学改革，

能仅仅依靠几名教师的力量，应当借助高校之间的学术交流

和讨论，给教师提供一个能够交换授课心得的平台。如此一

共同助力教学改革。

来，各高校的教师能够群策群力，

5.4改良内部审计课程的成绩评价方式

现阶段，高校内部审计课程的成绩评定方式与其他科目

课

没有本质上的区别，仍然是采用期末考试分数占主要部分，

在具体的教学过程中，课堂

堂表现占次要部分的方式。然而，

表现的评价方式由于极大的主观性，可能出现不够严谨甚至

“考什么”，而不是

流于形式的现象，带来学生只关心期末考试

在课堂上“学什么”的后果。由于内部审计课程的综合性和复

杂性，传统的以考察理论掌握程度和简单的案例分析的期末

考试形式往往不能真正检验学生对内部审计学和内部审计职

或是课下

业的理解程度

[5]

。因此，可以将课堂案例的讨论情况，

同

案例作业分析成果的质量作为判断平时成绩的主要依据，

时科学调整总成绩中考试成绩与平时成绩所占的百分比。这

调动学生参与课堂案例

样一来，既可以通过成绩激励的方式，

讨论的积极性，使内部审计课程的教学真正做到以学生为主

导，从而达到教学的目标，又可以为学生平时成绩的评价增加

更加具体的标准，使学生的成绩更能代表对内部审计学科的

掌握程度。

6结语

内部审计学科的不断发展变化，要求专业教师的授课要

做到因时而进，从而使内部审计学科的教学能够满足新经济

形势下企业对于内部审计人才的需求。教师有责任通过改革

内部审计课程目前的案例教学模式，通过丰富的案例和模拟

实验，为学生呈现完整的内部审计流程与程序，帮助学生进

步，培养更多综合型、应用型人才。

【参考文献

】

【1】王晓萍.大数据背景下内部审计案例实践教学改革及发展探析[J].

当代经济,2017(1):89.

【2】石利芳,孙晓红.产学研视角下高校审计人才培养模式改革与实践

研究[J].科教导刊,2016(5):35-36,91.

【3】孙丽华《内部审计学》.教学改革与实践探讨[J].财会通讯,2014(11):

48-50.

【4】刘世全.基于实践核心的审计学教学模式研究[J].财会通讯,2013(7):

39-41.

【5】李慧.审计案例教学模式改革思考与探索[J].财会通讯,2012(24):36-38.

111