用varnish加强网站安全性

minuteman

varnish邮件列表里偶然看到有人递交了一个工具，实际上是个比较庞大的VCL，类似于URLSCAN的作用，但比URLSCAN强大一些，varnish几乎可以对所有的HTTP头部信息进行过滤。我以前也试过用varnish对URL进行过滤，主要是针对SQL注入的URL特征进行过滤（select和drop等语句）。而这个工具，更完整更强大更规范。

接着发现在trunk版本里已经包含了，作者是Kristian Lyngstol。

下载了trunk版本，解压后，在varnish-tools里有个security.vcl。在根据README操作之前，先将tools目录下的check_variables 和generate_variables给上执行权限，貌似linux下ZIP解压出来的文件属性都丢了。然后make，把vcl目录下的东西复制到/etc/varnish/security下（当然也可以是别的目录，但需要根据实际情况自己改一下main.vcl里的include路径），然后在自己原来的VCL里include "/etc/varnish/security/main.vcl";，重启varnish即可。

但是，我还是要但是，这个工具也许还不完善。我也没仔细看VCL代码，只是试用的时候发现一些问题，貌似并不能象README里说的那样直接拿来用，貌似里面的逻辑判断并不是很正确，所以我只是偷懒地注释掉了breach目录下文件里的一些if()，让它能跑起来，也许只是大小写的问题，也许还有别的什么说法，懒得求证了。

好玩的是，这个main.vcl里，醒目的一个重定向：http://images.google.com/images?q=llama，赫然就是草泥马。

一刀砍死

如果varnish不做缓存  仅仅是过滤url等HTTP报头的话，不知和nginx比有何优势呢？

diepics

能和nginx比？

minuteman

性能相差不好说，咱没测试过。
但是有两点nginx是比不上的
1、inline c，想象一下配置文件里可以用C语言来做一些自己想做的事情。
2、对于连续的请求，vranish向后端发起的TCP请求压力明显小于nginx，有几个月没关心nginx了，反正老版本一直跑着没啥问题，起码那时候nginx向后端是一个请求一次连接的。这是nginx做反向代理的一大弱点，大并发时，理论上对后端的并发连接只多不少。
另外，不做缓存的话，也许haproxy也是个很好的选择。

[ 本帖最后由 minuteman 于 2009-8-26 16:10 编辑 ]

xooass

新版本向后端还是http 1.0