NGINX Plus最近发布了新版本R10，新发布的版本提高了应用程序安全性并改善了网络集成。

NGINX公司技术产品市场部门的Faisal Memon称首次发布的ModSecurity web application firewall (WAF)受到了客户的长久期待。 R10通过验证JSON web tokens（JWT）支持API验证，并通过elliptic curve crypto (ECC)证书提升了SSL/TLS在产品中的性能。

NGINX的产品总监Owen Garrett阐述了WAF的技术方面问题：

运行在数据库上的WAF的“规则”可以识别恶意行为被堵塞或/以及被日志记录。OWASP ModSecurity core rule set(CRS)是ModSecurity最广泛使用的规则集之一。NGINX Plus的ModSecurity WAF使用OWASP CRS来识别并阻塞相当范围的应用程序攻击。

这些攻击包括HTTP攻击、SQL语句注入、XSS、RFI和LFI攻击，但不仅限于这些攻击。NGINX的WAF还能处理DDoS攻击缓解，符合PCI-DSS 6.6标准并保护敏感数据。

Memon称NGINX对于安全的改善是基于原有的简朴安全环境之上的，他告诉InfoQ的记者，在过去的一年中应用程序攻击增长了50%，DDoS攻击增加了一倍。

Memon说：“每个应用程序都可能面临被攻击的风险”。

要使用NGINX Plus的ModSecurity WAF，开发者必须将modsecurity指令和modsecurity_rules_file指令指定命令集：

upstream backend { server server-hostname;}server { listen 80; status_zone backend; modsecurity on; location / { proxy_pass modsecurity_rules_file rule-set-file; }}

Mermon对InfoQ说：

在这个版本中，NGINX Plus可以通过客户提供的JSON Web Tokens(JWT)进行身份验证。这个方式比其他的方式更安全、体系结构更综合，比如说它可以让每个API端点自己处理身份验证。

NGINX Plus R10允许开发者使用RSA和ECC的证书发布SSL/TLS服务，比使用同等强度的RSA证书快三倍，因此每台服务器可以进行更多SSL/TLS连接，并提供更快的SSL/TLS握手过程。ECC证书可以允许开发者向后兼容只接受RSA证书的旧设备。

R10预览中有最新的nginScript配置语言，让开发者可以使用JavaScrript实现更复杂的路由和缓存的配置，并创建不需要服务器的功能，可以直接运行在NGINX Plus上。

nginScript预览在NGINX动态模块库中可用。

NGINX Plus R10弃用NGINX Plus Extras包。建议开发者修改安装和配置程序，使用nginx-plus包，并动态加载nginx plus extras包。从NGINX Plus R10开始，这将是使用未封装到nginx plus包的模块的唯一途径。

本文转自d1net（转载）