現代のネットワーク アプリケーションでは、人気のある Web サーバーおよびリバース プロキシ サーバーとして、Nginx が多くの企業や Web サイトの最初の選択肢となっています。 Nginx は、高性能、高信頼性、拡張性があり、セキュリティ性能の最適化が容易という利点を持っており、本記事では、Nginx リバースプロキシのセキュリティ性能最適化を通じて Web アプリケーションのセキュリティを向上させる方法を紹介します。
HTTPS は、HTTP プロトコルに SSL または TLS 暗号化層を追加する安全なプロトコルであり、データのプライバシーとプライバシーを効果的に保護できます。 。 HTTPS を使用すると、中間者攻撃、データ盗難、改ざんなどの攻撃を防ぐことができるため、Nginx リバース プロキシの構成で HTTPS を有効にすることをお勧めします。
HTTPS を有効にするには、Nginx サーバーに SSL 証明書をインストールし、HTTPS をサポートするように Nginx 構成ファイルを変更する必要があります。独自の CA 証明書を使用することも、サードパーティ組織から SSL 証明書を購入することもできます。
たとえば、簡単な Nginx HTTPS 構成の例を次に示します。
server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/ssl/cert.pem; ssl_certificate_key /path/to/ssl/key.pem; location / { proxy_pass http://backend; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } }
HTTP セキュリティ ヘッダーは、HTTP 応答に含まれるヘッダーです。を使用すると、ブラウザーの動作を制御し、Web アプリケーションのセキュリティを向上させることができます。 Nginx リバース プロキシの構成に対応するヘッダーを追加することで、Web アプリケーションのセキュリティを向上させることができます。
たとえば、次のセキュリティ ヘッダーを追加できます:
このヘッダーは、ブラウザーに組み込みのセキュリティ ヘッダーを有効にするよう指示します。 Web アプリケーションを XSS 攻撃から保護するのに役立つクロスサイト スクリプティング (XSS) フィルター。
add_header X-XSS-Protection "1; mode=block";
このヘッダーは、Web アプリケーションを別のサイトに埋め込むことを許可するかどうかをブラウザーに伝えます。このヘッダーを構成することで、クリックジャッキング攻撃を防ぐことができます。
add_header X-Frame-Options "SAMEORIGIN";
このヘッダーは、MIME タイプ スニッフィングを許可するかどうかをブラウザーに指示します。このヘッダーを設定することで、MIME タイプ スニッフィング攻撃や XSS 攻撃を防ぐことができます。
add_header X-Content-Type-Options "nosniff";
Gzip 圧縮は、データ転送のサイズを削減して Web アプリケーションのパフォーマンスを向上させる、一般的に使用される圧縮方法です。 gzip 圧縮をオンにすると、ページの読み込み時間が大幅に短縮され、ネットワーク帯域幅の使用量が削減されます。
次の構成を通じて、Nginx リバース プロキシで gzip 圧縮を有効にすることができます:
gzip on; gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript; gzip_min_length 1000; gzip_disable "MSIE [1-6].";
Web のセキュリティを保護するためアプリケーションの場合、Web アプリケーションにアクセスする IP アドレスを制限する必要があります。特定の IP アドレスまたは IP アドレス範囲を制限したり、ホワイトリストやブラックリストを通じてアクセスを制御したりできます。
たとえば、次は Nginx リバース プロキシの IP アクセス制限構成の例です。
location / { allow 192.168.1.0/24; deny all; proxy_pass http://backend; proxy_set_header Host $host; }
分散型攻撃拒否サービス攻撃 (DDoS 攻撃) は、ターゲット サーバーのネットワーク帯域幅またはシステム リソースを占有することによって、ターゲット サービスを一時停止しようとする一般的なネットワーク攻撃です。
DDoS 攻撃を防ぐには、Nginx リバース プロキシのレート制限モジュールと接続制限モジュールを使用できます。
速度制限モジュールはクライアントのアクセス速度を制限し、サーバーの負荷を軽減します。
接続制限モジュールは、クライアントの同時接続数を制限できるため、過剰な接続がサーバー リソースを占有することを防ぎます。
たとえば、以下はレート制限と接続制限をサポートする Nginx リバース プロキシ構成の例です。
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; limit_conn_zone $binary_remote_addr zone=addr:10m; server { listen 80; limit_req zone=one burst=5; limit_conn addr 50; location / { proxy_pass http://backend; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } }
概要
Nginx リバース プロキシは人気のある Web サーバーであり、リバースです。プロキシ サーバーには、高性能、高信頼性、拡張性という利点があります。 Web アプリケーションのセキュリティとパフォーマンスは、HTTPS、セキュリティ ヘッダー、gzip 圧縮、アクセス制限、DDoS 保護などの対策を構成することで向上できます。
以上がNginxリバースプロキシのセキュリティパフォーマンスの最適化の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。