一、Apache网页优化
●Apache网页优化概述
在企业中,部署Apache后只采用默认的配置参数,会引发网站很多问题,换言之默认配置是针对以前较低的服务器配置的,以前的配置已经不适用当今互联网时代
为了适应企业需求,就需要考虑如何提升Apache的性能与稳定性,这就是Apache优化的内容
●优化内容
配置网页压缩功能
配置网页缓存
工作模式的选择与参数优化
配置隐藏版本号
配置防盗链
…
1.1网页压缩
●gzip介绍
配置Apache的网页压缩功能,是使用gzip压缩算法来对网页内容进行压缩后再传输到客户端浏览器
●作用
降低了网络传输的字节数,加快网页加载的速度
节省流量,改善用户的浏览体验
gzip与搜索引擎的抓取工具有着更好的关系
●Apache实现网页压缩的功能模块包括
mod_gzip模块
mod deflate模块
Apache 1.x
没有内建网页压缩技术,但可使用第三方mod_gzip模块执行压缩
Apache 2.x
在开发的时候,内建了mod_deflate这个模块,取代mod_gzip
●mod_gzip模块与mod_deflate模块
两者均使用gzip压缩算法,运作原理类似
mod_deflate压缩速度略快,而mod_gzip的压缩比略高
mod_gzip对服务器CPU的占用要高一些
高流量的服务器,使用mod_deflate可能会比mod_gzip加载速度更快
1.2配置网页压缩功能并进行验证
1.前面就是正常编译安装apache的步骤,但是yum多安装zlib-devel(压缩功能);configure配置中多开启一个deflate模块
tar zxf apr-1.6.2.tar.gz
tar zxf apr-util-1.6.0.tar.gz
tar jxf httpd-2.4.29.tar.bz2
mv apr-1.6.2 httpd-2.4.29/srclib/apr
mv apr-util-1.6.0 httpd-2.4.29/srclib/apr-util
yum -y install gcc gcc-c++ make pcre-devel expat-devel perl zlib-devel
cd httpd-2.4.29/
./configure --prefix=/usr/local/httpd --enable-so --enable-rewrite --enable-charset-lite --enable-cgi --enable-deflate
make&&make install
2.打开apache主配置文件中相关功能
[root@localhost conf]# vim /usr/local/httpd/conf/httpd.conf
...省略内容
#LoadModule deflate_module modules/mod_deflate.so ##将前面的#去掉
LoadModule headers_module modules/mod_headers.so
LoadModule filter_module modules/mod_filter.so
3.在apache主配置文件末尾添加参数(放一张jpg图片在网页中做测试查看gzip)
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/css text/xml text/javascript text/jpg
DeflateCompressionLevel 9
SetOutputFilter DEFLATE
</IfModule>
4.验证脚本在/usr/local/httpd/bin中
[root@localhost bin]# ./apachectl -t ##验证配置文件语法是否有误
Syntax OK
[root@localhost bin]# ./apachectl -t -D DUMP_MODULES | grep "deflate"
deflate_module (shared)
##验证deflate模块是否成功开启
5.在网页中添加一张图片准备进行网页压缩功能的验证
在/usr/local/httpd/htdocs目录中添加一张图片,名称为image.jpg。
[root@localhost htdocs]# vim index.html
<html><body><h1>It works!</h1></body></html>
<img src="image.jpg"/> ##指定刚才添加的图片
6.启动服务后到客户端用浏览器访问网页
[root@localhost bin]# cd /usr/local/httpd/bin
[root@localhost bin]# ./apachectl start
7.使用fiddler软件进行抓包验证
1.3配置网页的缓存时间并进行验证
●通过mod_expires模块配置Apache,使网页能在客户端浏览器缓存一段时间,以避免重复请求
●启用mod_expires模块后,会自动生成页面头部信息中的Expires标签和Cache-Control标签,从而降低客户端的访问频率和次数,达到减少不必要的流量和增加访问速度的目的
1.前面就是正常编译安装apache的步骤,但是yum多安装zlib-devel;configure配置中多开启一个expires模块
tar zxf apr-1.6.2.tar.gz
tar zxf apr-util-1.6.0.tar.gz
tar jxf httpd-2.4.29.tar.bz2
mv apr-1.6.2 httpd-2.4.29/srclib/apr
mv apr-util-1.6.0 httpd-2.4.29/srclib/apr-util
yum -y install gcc gcc-c++ make pcre-devel expat-devel perl zlib-devel
cd httpd-2.4.29/
./configure --prefix=/usr/local/httpd --enable-so --enable-rewrite --enable-charset-lite --enable-cgi --enable-deflate --enable-expires
make&&make install
2.Apache主配置文件中开启expires模块
[root@localhost opt]# vim /usr/local/httpd/conf/httpd.conf
...省略内容
#LoadModule expires_module modules/mod_expires.so ##前面的注释去掉
3.Apache主配置文件末尾添加模块网页数据在浏览器缓存区停留50s
<IfModule mod_expires.c>
ExpiresActive On
ExpiresDefault "access plus 50 seconds"
</IfModule>
4.测试配置文件语法和expires模块是否开启
[root@localhost bin]# ./apachectl -t
Syntax OK
[root@localhost bin]# ./apachectl -t -D DUMP_MODULES | grep "expires"
expires_module (shared)
5.在浏览器中登录网页,并且使用fiddler软件抓包分析
二、Apache安全优化
2.1配置防盗链
●配置防盗链的目的
防盗链是防止别人的网站代码里面盗用我们自己服务器上的图片、文件、视频等相关资源
如果别人盗用网站的这些静态资源,明显的是会增大服务器的带宽压力
作为网站的维护人员,要杜绝服务器的静态资源被其他网站盗用
●配置规则变量说明
%{HTTP REFERER}:浏览header中的链接字段,存放一个链接的URL,代表是从哪个链接访问所需的网页
!^:不以后面的字符串开头
.*$:以任意字符结尾
NC:不区分大写
R:强制跳转
●规则匹配说明
RewriteEngine On:打开网页重写功能
RewriteCond:设置匹配规则
RewriteRule:设置跳转动作
(先匹配规则,再进行相关跳转操作)
●规则匹配
如果相应变量的值匹配所设置的规则,则逐条往下处理;如果不匹配,则往后的规则不再匹配
●使用三台主机模拟盗链
1.源主机使用源码编译安装apache,并在站点中存放一张名为image.jpg的图片
前面步骤和源码安装apache一样,主要是注意:需要在configure配置时开启
–enable-rewrite模块
…省略步骤
./configure --prefix=/usr/local/httpd --enable-so --enable-rewrite --enable-charset-lite --enable-cgi --enable-deflate
[root@localhost htdocs]# ls ##给网站首页中添加一张图片
image.jpg index.html
[root@localhost htdocs]# vim index.html
<html><body><h1>It works!</h1></body></html>
<img src="image.jpg"/>
[root@localhost named]# cd /usr/local/httpd/bin
[root@localhost bin]# ./apachectl start ##使用服务脚本开启服务
2.给14.0.0.40配置域名为www.test.com,访问源主机网站验证
3.盗链网站使用yum一键式安装apache,并且在盗链网站的测试网页,盗用源主机网站目录下的一个image.jpg文件
[root@localhost ~]# yum -y install httpd
....配置监听地址和域名部分省略
[root@localhost ~]# vim /var/www/html/index.html
<html><body><h1>copy !</h1></body></html>
<img src="http://www.test.com/image.jpg"/>##在主页中盗用源主机网站的图片
4.修改源主机apache的主配置文件启用防盗链功能并设置规则
LoadModule rewrite_module modules/mod_rewrite.so ##开启
注意:规则需要添加在<Directory “/usr/local/httpd/htdocs”>中
规则解释:如果访问的域名不是从官网(以www.test.com或者test.com开头的),而是从链接访问的,就会跳转到URL地址http://www.test.com/error.png(error.png自行添加到站点)
<Directory "/usr/local/httpd/htdocs">
...省略内容
Require all granted
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://test.com/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://test.com$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.test.com/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.test.com/$ [NC]
RewriteRule .*\.(gif|jpg|swf)$ http://www.test.com/error.png
</Directory>
5.这时再访问盗链网站时,会提示跳转的URL网页内容
2.2隐藏版本信息
●隐藏版本信息的原因
Apache的版本信息,透露了一定的漏洞信息,从而给网站带来安全隐患
生产环境中要配置Apache隐藏版本信息
●配置Apache隐藏版本信息
将主配置文件httpd.conf以下行注释去掉
#lnclude conf/extra/httpd-default.conf
修改httpd-default.conf文件
ServerTokens Full修改为ServerTokens Prod
重启httpd服务,访问验证
1.未隐藏版本信息时,访问网站,并使用fiddler软件抓包查看版本信息
2.将主配置文件httpd.conf以下行注释去掉
[root@localhost ~]# vim /usr/local/httpd/conf/httpd.conf
...省略内容
Include conf/extra/httpd-default.conf ##前面的注释去掉
...省略内容
3.修改/usr/local/httpd/conf/extra/httpd-default.conf文件
[root@localhost ~]# vim /usr/local/httpd/conf/extra/httpd-default.conf
...省略内容
#Set to one of: Full | OS | Minor | Minimal | Major | Prod
#where Full conveys the most information, and Prod the least.
#
ServerTokens Prod ##Full改为Prod,禁止显示Apache版本号
4.这时再访问网站,apache版本信息成功隐藏
