Apache 网页与安全优化（网页压缩--缓存--防盗链等）

前言

我们在使用Apache作为Web服务器的过程中，只有对Apache服务器进行适当的优化配置，才能让Apache发挥出更好的性能；反之，如果Apache的配置非常糟糕，Apache可能无法为我们正常服务。因此，针对我们的应用需求对Apache服务器的配置进行一定分优化是必不可少的。

一、Apache 网页优化

1.1、网页压缩

在企业中，部署Apache后会有默认的配置参数，如果不及时进行优化配置，在当今互联网时代，会引发网站很多问题，换言之默认位置是针对以前较低的服务器配置的，以前的配置已经不适用当今互联网时代

为了适应企业需求，就需要考虑如何提升Apache的性能与稳定性，这就是Apache的优化内容

优化内容：
配置网页压缩功能

工作模式的选择与参数优化

配置防盗链

配置隐藏版本号
…

1.1.1、gzip 介绍

配置Apache的网页压缩功能，是使用gzip压缩算法来对网页内容进行压缩后在传输到客户端浏览器

作用：
降低了网络传输的字节数，加快网页加载的速度

扫描二维码关注公众号，回复： 11672296 查看本文章

节省流量，改善用户的浏览体验

gzip与搜索引擎的抓取工作有着更好的关系

1.1.2、Apache 的压缩模块

Apache实现网页压缩的功能模块包括
mod_gzip模块
mod_deflate模块

Apache 1.x
没有内建网页压缩技术，但是可以使用第三方mod_gzip模块执行压缩

Apache 2.x
在开发的时候，内建了mod_deflate这个模块，取代mod_gzip

mod_gzip模块与mod_deflate模块
两者均使用gzip压缩算法，运作原理类似
mod_deflate压缩速度略快，而mod_gzip的压缩比略高
mod_gzip对服务器CPU占用要高一些
高流量的服务器，使用mod_deflate可能会比mod_gzip加载速度更快

1.1.3、mod_deflate 模块

（1）检查是否安装了mod_deflate模块

[root@localhost conf]# apachectl -t -D DUMP_MODULES | grep "deflate"

如果输出中没有deflate_module，说明编译时没有安装mod_deflate模块
（2）安装mod_deflate模块
没有安装则需要停止Apache服务，重新编译安装Apache

[root@localhost conf]# systemctl stop httpd
[root@localhost conf]# yum -y install zlib-devel
[root@localhost httpd-2.4.29]# ./configure --prefix=/usr/local/httpd --enable-so --enable-rewrite --enable-charset-lite --enable-cgi --enable-deflate --enable-expires
[root@localhost httpd-2.4.29]# make && make install

（3）配置mod_deflate模块启用
编译安装后，mod_deflate模块需要在httpd.conf文件中启用才能生效

[root@localhost httpd-2.4.29]# vi /usr/local/httpd/conf/httpd.conf
.......             省略内容，文件末尾加入以下内容
LoadModule deflate_module modules/mod_deflate.so
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/css text/xml text/javascript image/png image/jpg
DeflateCompressionLevel 9
SetOutputFilter DEFLATE
</IfModule>           

第一行代表对什么样的内容启用gzip压缩，第二行代表压缩级别，第三行代表启用deflate模块对本站点的输出进行gzip压缩。
（4）检测http.conf语法

[root@localhost httpd-2.4.29]# apachectl -t
Syntax OK

（5）检测模块是否安装

[root@localhost httpd-2.4.29]# apachectl -t -D DUMP_MODULES | grep "deflate"
 deflate_module (shared)

然后重新启动Apache服务

[root@localhost httpd-2.4.29]# systemctl restart httpd.service

（6）测试mod_deflate压缩是否生效
先做一个测试网页
将b照片传入/usr/local/htttpd/htdocs/目录下

[root@localhost httpd-2.4.29]# cd /usr/local/httpd/htdocs/
[root@localhost htdocs]# ll
total 400
-rw-r--r-- 1 root root 405431 Sep  2 03:29 b.jpg
-rw-r--r-- 1 root root     45 Jun 11  2007 index.html
[root@localhost htdocs]# vi index.html
<html>
<head>
<title>--压缩测试页--</title>
</head>
<body><h1>这是一个测试网页内容压缩的页面！This is test Page!</h1>
<img src=b.jpg / >
</body>
</html>
~          

出现乱码时在下图处添加

[root@localhost htdocs]# vi /usr/local/httpd/conf/httpd.conf 

[root@localhost htdocs]# systemctl restart httpd.service

然后浏览器输入20.0.0.25 测试，并进行抓包，可以看到响应包头含有Content-Encoding:gzp,则表示压缩生效

1.2、网页缓存

通过mod_expire模块配置Apache，使网页能在客户端浏览器缓存一段时间，以避免重复请求
启用mod_expire模块后，会自动生成页面头部信息中的Expires标签和Cache-Control标签，从而降低客户端的访问频率和次数，达到减少不必要的流量和增加访问速度的目的
（1）检查是否安装了mod_expires模块

[root@localhost conf]# apachectl -t -D DUMP_MODULES | grep "expires"

如果输出中没有expires_module，说明编译时没有安装mod_expires模块
（2）安装mod_expires模块
没有安装则需要停止Apache服务，重新编译安装Apache

[root@localhost conf]# systemctl stop httpd
[root@localhost conf]# yum -y install zlib-devel
[root@localhost httpd-2.4.29]# ./configure --prefix=/usr/local/httpd --enable-so --enable-rewrite --enable-charset-lite --enable-cgi --enable-deflate --enable-expires
[root@localhost httpd-2.4.29]# make && make install

（3）配置mod_expires模块启用
编译安装后，mod_expires模块需要在httpd.conf文件中启用才能生效

[root@localhost httpd-2.4.29]# vi /usr/local/httpd/conf/httpd.conf
.......  
    LoadModule expires_module modules/mod_expires.so  #号去掉 并在下面加入
    
<IfModule mod_expires.c>
  ExpiresActive On
  ExpiresDefault "access plus 60 seconds"
</IfModule>
          

（4）检测http.conf语法

[root@localhost httpd-2.4.29]# apachectl -t
Syntax OK

（5）检测模块是否安装

[root@localhost httpd-2.4.29]# apachectl -t -D DUMP_MODULES | grep "expires"
  expires_module (shared)

然后重新启动Apache服务

[root@localhost httpd-2.4.29]# systemctl restart httpd.service

（6）测试缓存是否生效
引用之前测试页 ，浏览器输入20.0.0.25，并进行抓包，可以看到响应包头含有Expirse则表示缓存生效

二、Apache 安全优化

Apache的默认配置除了性能可以优化外，还需要对安全性进行相应的配置。默认配置能保证服务器正常提供服务，但Apache作为一个软件，必然也会存在一些漏洞，尽可能地降低潜在的风险，是管理员必须掌握的内容。

2.1、防盗链

防盗链就是防止别人的网站代码里面盗用服务器的图片，文件，视频等相关资源

如果别人盗用网站的这些静态资源，明显的是会增大服务器的带宽压力

作为网站的维护人员，要杜绝我们服务器的静态资源被其他网站盗用

2.1.1、准备环境

两台主机配置测试页面
盗链网站的测试网页可在网上找一张图片链接
在Windows中访问测试网页，

并且在Windows和CentOS的host文件中加入IP地址与域名的映射关系

2.1.2、准备图片测试页

引用压缩准备的测试页

2.1.3、模拟盗取图片链接

打开网站，正常访问，图片的地址是www.51xit.top/b.jpg

在20.0.0.22 仿站用到www.51xit.top/b.jpg 这个图片，20.0.0.22也已经安装过Apache服务

[root@localhost var]# vi /etc/hosts
20.0.0.25   www.51xit.top
~
[root@localhost ~]# vi /usr/local/httpd/htdocs/index.html
<html>
<head>
<title>--压缩测试页--</title>
</head>
<body><h1>这是一个测试网页内容压缩的页面！This is test Page!</h1>
<img src="http://51xit.top/b.jpg" / >
</body>
</html>

在浏览器中访问20.0.0.22 能正常访问图片出来

2.1.4、Apache 防盗链配置

Apache 防盗链需要安装mod_rewrite模块
（1）检查是否安装了mod_rewrite模块

[root@localhost conf]# apachectl -t -D DUMP_MODULES | grep "expires"

如果输出中没有rewrite_module，说明编译时没有安装mod_rewrite模块
（2）安装mod_rewrite模块
没有安装则需要停止Apache服务，重新编译安装Apache

[root@localhost conf]# systemctl stop httpd
[root@localhost conf]# yum -y install zlib-devel
[root@localhost httpd-2.4.29]# ./configure --prefix=/usr/local/httpd --enable-so --enable-rewrite --enable-charset-lite --enable-cgi --enable-deflate --enable-expires
[root@localhost httpd-2.4.29]# make && make install

（3）配置mod_rewrite模块启用
编译安装后，mod_rewrite模块需要在httpd.conf文件中启用才能生效

[root@localhost httpd-2.4.29]# vi /usr/local/httpd/conf/httpd.conf
....
LoadModule rewrite_module modules/mod_rewrite.so   #去掉
.....                                    在htdocs目录属性后新增
<Directory "/usr/local/httpd/htdocs">
...
Require all granted
RewriteEngine On
    RewriteCond %{
    
    HTTP_REFERER} !^http://20.0.0.25/*
    RewriteCond %{
    
    HTTP_REFERER} !^http://51xit.top/.*$ [NC]
    RewriteCond %{
    
    HTTP_REFERER} !^http://51xit.top$ [NC]
    RewriteCond %{
    
    HTTP_REFERER} !^http://www.51xit.top/.*$ [NC]
    RewriteCond %{
    
    HTTP_REFERER} !^http://www.51xit.top$ [NC]
    RewriteRule  .*\.(gif|jpg|swf|png)$ https://www.xiaohui.com/about/nolink.png [R,NC]
</Directory>

（4）检测http.conf语法

[root@localhost httpd-2.4.29]# apachectl -t
Syntax OK

（5）检测模块是否安装

[root@localhost ~]# apachectl -t -D DUMP_MODULES | grep "rewrite"
 rewrite_module (shared)

然后重新启动Apache 服务器
（6）测试
在浏览器输入20.0.0.22

会发现图片是之前我在网上找的https://www.xiaohui.com/about/nolink.png这个图片链接，而不是之前的b.jpg。测试成功

2.2、隐藏版本信息

2.2.1、隐藏版本信息的必要性

Apache的版本信息，透露了一定的漏洞信息，从而给网站带来安全隐患
生产环境中要配置Apache隐藏版本信息

2.2.2、配置详解

将主配置文件httpd.conf以下行注释去掉
#Include conf/extra/httpd-default.conf
修改httpd-default.conf文件两个地方
ServerTokens Full修改为ServerTokens Prod
将ServersSignature On 修改为ServersSignature Off
重启httpd服务，访问网站，抓包测试

2.2.3、测试

[root@localhost ~]# vi /usr/local/httpd/conf/httpd.conf
Include conf/extra/httpd-default.conf   ##将“#”去掉##
[root@localhost ~]# vi /usr/local/httpd/conf/extra/httpd-default.conf
ServerTokens Prod     ##找到这个。把full改成Prod##
[root@localhost ~]# systemctl restart httpd.service 

浏览器输入20.0.0.25，进行抓包测试