清漆作为一个简单的WAF以提高安全性
除了它的效用缓存和负载平衡,光油可以用来对原始服务器隐藏的信息,从而防止攻击者使用有针对性的攻击。更具体地说,光油可以隐藏或覆盖从源服务器的任何标题。例如,在默认情况下PHP公开了一种在报头的语句,如它的版本X-已启动方式:PHP / 5.4.4-10。要隐藏这个头,编辑文件/etc/varnish/default.vcl,取消了部分配置vcl_deliver,并使它看起来像:
子vcl_deliver {除去resp.http.X供电-通过;返回(提供);}您还可以更改标题,例如Web服务器名称和版本。默认情况下,Apache的向服务器发送邮件头,如服务器:Apache / 2.2.15(CentOS的)。像服务器,你可以将其更改为外观nginx的如果你是通过编辑配置调皮的感觉vcl_fetch并补充说:
子vcl_fetch {取消设置beresp.http.Server;集beresp.http.Server = “nginx的”;返回(提供);}随着VCL可以过滤客户端的请求和服务器的响应的任何部分,把清漆注入了强大的Web应用防火墙。例如,如果你想过滤的GET请求包含PHP的中继起到阻挡某些攻击,编辑vcl_recv并添加以下条件:
子vcl_recv {如果(req.url〜 “中继\(”){错误404 “没有这样的文件”;}回报(查找);}一旦这实际上光油将发送404错误任何客户端试图指定的GET请求的中继功能。
光油可以做更多的还是为了保护您的网站。事实上,整个项目已经致力于此,如安全VCL。
不过,上光油不是用来工作的Web应用防火墙,这就是为什么它缺乏重要的功能,比如POST请求检查。如果你正在寻找一个完整的解决方案WAF,阅读保护和审计Web服务器与ModSecurity的。
我希望你能明白为什么光油是如此受欢迎。它被广泛认为是目前最好的网络缓存代理。现在你应该可以自己部署,提高了性能,安全性,以及网站的可用性。
