NGINX.COM

作为 F5 NGINX Management Suite 的核心模块,Instance Manager 是一项重要工具,可帮助您轻松、高效地定位、管理并监控所有 NGINX 开源版和 NGINX Plus 实例。现在,使用 Instance Manager 即可轻松跟踪 NGINX 实例 — 易于使用的界面支持企业通过单一管理平台便捷地监控所有实例。

Instance Manager 还能够识别受到通用漏洞披露(CVE)影响的实例,以及 SSL 证书可能过期的实例。这种广泛扫描功能对于确保信息技术(IT)资产的安全防护而言至关重要。该模块还会在出现新版本时发送通知,有助于及时修复漏洞,因此对于希望主动管理和保护 NGINX 实例的人员来说必不可少。

借助 Instance Manager,您可以确保精准跟踪资产,从而加强管理并增强整体安全防护。

 

NGINX Management Suite Instance Manager 的工作原理

通过使用互联网控制消息协议(ICMP)识别正在运行的主机,Instance Manager 可轻松扫描环境中的 NGINX 实例。

您可以使用两种主要方法识别正在运行的主机:

  1. 启用 ICMP
  2. 禁用 ICMP

若要扫描实例,请导航至扫描页面并提供 IP 地址和端口号。该流程非常简单,只需按照扫描页面上提供的步骤进行操作即可完成。

图 1. 启用 ICMP 时的 NGINX 扫描概览

若要识别正在运行的主机,首先需要使用 ICMP Hello 数据包验证端口可访问性,然后执行 TCP 握手。若要检测 NGINX,则需分析服务器的 HTTP 请求头。

注:如果在 NGINX Plus 中启用 HTTP,那么扫描可能会发现 CVE 漏洞。在 NGINX Plus 中禁用 HTTP 可能会影响识别的准确性。如果选择禁用,扫描将无法识别任何 CVE。因此,建议在 NGINX Plus 中启用 HTTP,以便在识别正在运行的主机时获得最全面的扫描结果。

图 2. 启用 ICMP 时的 Wireshark 捕捉结果

禁用 ICMP 后,您可以通过 TCP 握手方法对端口进行验证,以确保其正常运行。该方法可评估端口的响应情况,并确认端口是否按预期运行。如果 SYN 请求得到响应,Instance Manager 就能确定端口是否正在运行 NGINX 或证书是否过期。

注:如果 SYN 请求未得到响应,那么进程可能会延迟,并可能导致端口耗尽问题。

图 3. 禁用 ICMP 时的 NGINX 扫描概览

Instance Manager 能够检查任何服务器的 SSL 证书日期,无论它是否属于 NGINX 服务器。该模块可对每台服务器的 SSL 证书日期进行全面评估,以识别任何可能过期的证书。Instance Manager 执行的扫描涵盖所有请求的端口,可提醒您注意任何过期的 SSL 证书,并提供有价值的洞察信息,以帮助确保企业安全。

图 4. 禁用 ICMP 时的 Wireshark 捕捉结果

最后,通过实施基于角色的访问控制(RBAC),您能够全面控制谁可启动扫描以及谁可查看扫描结果。有了这项功能,您的敏感信息将始终严格保密且安全无虞,因为只有授权人员才能访问扫描结果。

 

更多资源

点击此处,查看有关 NGINX Management Suite Instance Manager 的完整文档。

如果您对 Instance Manager 感兴趣,欢迎立即联系我们,针对您的用例进行讨论。

Hero image
《NGINX 完全指南》2024 年最新完整版


高性能负载均衡的进阶使用指南

关于作者

Akash Ananthanarayanan

技术营销经理

关于 F5 NGINX

F5, Inc. 是备受欢迎的开源软件 NGINX 背后的商业公司。我们为现代应用的开发和交付提供一整套技术。我们的联合解决方案弥合了 NetOps 和 DevOps 之间的横沟,提供从代码到用户的多云应用服务。访问 nginx-cn.net 了解更多相关信息。