NGINX发布新版本，旨在解决应用程序安全性

nginx plus最近发布了新版本r10，新发布的版本提高了应用程序安全性并改善了网络集成。

nginx公司技术产品市场部门的faisal memon称首次发布的modsecurity web application firewall (waf)受到了客户的长久期待。 r10通过验证json web tokens（jwt）支持api验证，并通过elliptic curve crypto (ecc)证书提升了ssl/tls在产品中的性能。

nginx的产品总监owen garrett阐述了waf的技术方面问题：

运行在数据库上的waf的“规则”可以识别恶意行为被堵塞或/以及被日志记录。owasp modsecurity core rule set(crs)是modsecurity最广泛使用的规则集之一。nginx plus的modsecurity waf使用owasp crs来识别并阻塞相当范围的应用程序攻击。

这些攻击包括http攻击、sql语句注入、xss、rfi和lfi攻击，但不仅限于这些攻击。nginx的waf还能处理ddos攻击缓解，符合pci-dss 6.6标准并保护敏感数据。

memon称nginx对于安全的改善是基于原有的简朴安全环境之上的，他告诉infoq的记者，在过去的一年中应用程序攻击增长了50%，ddos攻击增加了一倍。

memon说：“每个应用程序都可能面临被攻击的风险”。

要使用nginx plus的modsecurity waf，开发者必须将modsecurity指令和modsecurity_rules_file指令指定命令集：

nginx plus r10中重要的一点是其对json web token (jwt) 验证标准的本地支持。

mermon对infoq说：

在这个版本中，nginx plus可以通过客户提供的json web tokens(jwt)进行身份验证。这个方式比其他的方式更安全、体系结构更综合，比如说它可以让每个api端点自己处理身份验证。

nginx plus r10允许开发者使用rsa和ecc的证书发布ssl/tls服务，比使用同等强度的rsa证书快三倍，因此每台服务器可以进行更多ssl/tls连接，并提供更快的ssl/tls握手过程。ecc证书可以允许开发者向后兼容只接受rsa证书的旧设备。

r10预览中有最新的nginscript配置语言，让开发者可以使用javascrript实现更复杂的路由和缓存的配置，并创建不需要服务器的功能，可以直接运行在nginx plus上。

nginscript预览在nginx动态模块库中可用。

nginx plus r10弃用nginx plus extras包。建议开发者修改安装和配置程序，使用nginx-plus包，并动态加载nginx plus extras包。从nginx plus r10开始，这将是使用未封装到nginx plus包的模块的唯一途径。

本文转自d1net（转载）