Whitelist-basierte Zugriffskontrollkonfiguration im Nginx-Reverse-Proxy

Nginx ist ein leistungsstarker HTTP-Server und Reverse-Proxy-Server mit den Vorteilen Stabilität und Skalierbarkeit. Um Webserver vor böswilligen Benutzern und Schadprogrammen zu schützen, implementieren viele Unternehmen und Organisationen Zugriffskontrollmaßnahmen. In diesem Artikel wird erläutert, wie Sie den Reverse-Proxy-Zugriff durch Whitelisting in Nginx steuern.

1. Was ist ein Reverse-Proxy?

Reverse-Proxy bezieht sich auf eine Webserver-Konfigurationsmethode, die den Webserver hinter einer Gruppe von Proxy-Servern verbirgt. Die Adresse des Reverse-Proxy-Servers ist für den Client sichtbar. Der Reverse-Proxy-Server ist dafür verantwortlich, die Anfrage des Clients an den echten Webserver weiterzuleiten und die Antwort des Webservers an den Client zurückzusenden. Ein Reverse-Proxy kann den Durchsatz Ihres Webservers erhöhen und Angriffe verhindern.

2. Warum ist eine Zugangskontrolle erforderlich?

Auf Webserver wird in der Regel von überall auf der Welt zugegriffen, und einige der Anfragen können von böswilligen Benutzern oder Schadprogrammen stammen. Diese böswilligen Anfragen können zu Sicherheitsproblemen wie der Lähmung des Webservers, Datenverlust, Manipulation und Diebstahl vertraulicher Informationen führen. Um diese Probleme zu verhindern, ist es in der Regel erforderlich, einen Zugriffskontrollmechanismus zu implementieren, der nur bestimmte IP-Adressen, Domänennamen oder Benutzer vom Zugriff auf den Webserver abhält.

3. Wie implementiert Nginx eine Zugriffskontrolle basierend auf einer Whitelist?

1. Definieren Sie die IP-Adressen, denen der Zugriff gestattet ist

In der Konfigurationsdatei nginx.conf können Sie die Allow-Direktive verwenden, um die IP-Adressen anzugeben, denen der Zugriff gestattet ist, zum Beispiel:

http {
    #定义白名单
    geo $whitelist {
        default 0;
        10.0.0.0/8 1;
        192.168.0.0/16 1;
    }

    server {
        listen 80;
        server_name example.com;
        location / {
            #指定允许访问的IP地址
            allow $whitelist;
            #禁止其他IP地址的访问
            deny all;
            #...
        }
    }
}

In der obigen Konfiguration Datei verwenden Sie die Geo-Direktive, um die Whitelist zu definieren. Unter diesen ist $whitelist eine Variable, die die IP-Adressen angibt, auf die zugegriffen werden darf. Standardmäßig ist der Wert von $whitelist 0, was bedeutet, dass der Zugriff nicht erlaubt ist. Wenn die IP-Adresse, auf die zugegriffen wird, innerhalb des Netzwerksegments 10.0.0.0/8 oder 192.168.0.0/16 liegt, ist der Wert von $whitelist 1 und der Zugriff ist zulässig. Verwenden Sie am Standort die Anweisung „allow“, um anzugeben, dass der Zugriff auf die IP-Adressen in der Variablen „$whitelist“ zulässig ist, und verwenden Sie die Anweisung „deny“, um den Zugriff auf andere IP-Adressen zu verbieten.

2. Definieren Sie die Domänennamen, auf die zugegriffen werden darf

In der Konfigurationsdatei nginx.conf können Sie die server_name-Direktive verwenden, um die Domänennamen anzugeben, auf die zugegriffen werden darf, zum Beispiel:

http {
    #定义白名单
    server {
        listen       80;
        server_name  example.com;

        #允许访问的域名
        if ($host !~* ^(example.com)$ ) {
            return 403;
        }
        
        location / {
            #...
        }
    }
}

In der Verwenden Sie in der obigen Konfigurationsdatei die Direktive server_name, um anzugeben, dass nur der Domänenname example.com besucht werden darf. Wenn der angeforderte Domänenname nicht example.com lautet, wird direkt ein 403-Fehler zurückgegeben.

3. Benutzern den Zugriff erlauben

In der Nginx-Konfigurationsdatei können Sie die HTTP-Basisauthentifizierung oder andere Authentifizierungsmechanismen verwenden, um nur authentifizierten Benutzern den Zugriff auf den Webserver zu verweigern. Mithilfe der HTTP-Basisauthentifizierung können beispielsweise der Benutzername und das Kennwort verschlüsselt und im HTTP-Header platziert werden. Nginx authentifiziert die Anfrage und nur authentifizierte Benutzer können auf den Nginx-Server zugreifen. In der Konfigurationsdatei nginx.conf können Sie die Direktiven auth_basic und auth_basic_user_file verwenden, um die HTTP-Basisauthentifizierung zu implementieren, zum Beispiel:

http {
    #定义白名单
    server {
        listen       80;
        server_name  example.com;

        #Nginx对请求进行认证
        auth_basic           "Restricted Area";
        auth_basic_user_file conf.d/.htpasswd;
        
        location / {
            #...
        }
    }
}

Geben Sie in der obigen Konfigurationsdatei die Direktive auth_basic im Server an, um die Bereichsinformationen zu beschreiben, die eine Authentifizierung erfordern. Verwenden Sie die Direktive auth_basic_user_file, um den Pfad zur Passwortdatei anzugeben. Nur authentifizierte Benutzer können auf den Webserver zugreifen.

4. Zusammenfassung

Reverse-Proxy kann den Durchsatz des Webservers verbessern und Angriffe verhindern. Der Zugriffskontrollmechanismus kann den Webserver vor Angriffen durch böswillige Benutzer und Schadprogramme schützen. In Nginx kann die Whitelist-basierte Zugriffskontrolle verwendet werden, um den Reverse-Proxy-Zugriff zu steuern und die Sicherheit des Webservers zu schützen. Bei Bedarf können Sie die IP-Adressen, Domänennamen oder Benutzer definieren, denen der Zugriff gestattet ist, um die Sicherheit des Reverse-Proxys zu verbessern.

Das obige ist der detaillierte Inhalt vonWhitelist-basierte Zugriffskontrollkonfiguration im Nginx-Reverse-Proxy. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!