Cara menggunakan Nginx untuk melindungi daripada serangan pengimbasan port

Dalam persekitaran Internet semasa, keselamatan sentiasa menjadi salah satu isu yang paling membimbangkan bagi pentadbir rangkaian dan pembangun tapak web. Antaranya, serangan pengimbasan port adalah kelemahan keselamatan biasa Penyerang mengimbas port terbuka pada tapak web untuk mengenal pasti kelemahan yang berpotensi. Untuk mengelakkan ancaman keselamatan yang disebabkan oleh serangan pengimbasan port, semakin banyak syarikat dan tapak web memilih untuk menggunakan Nginx sebagai pelayan web mereka. Artikel ini akan memperkenalkan cara menggunakan Nginx untuk mencegah serangan pengimbasan port.

1. Apakah serangan pengimbasan port?

Pengimbasan port bermaksud penyerang menggunakan protokol TCP atau UDP untuk mengimbas semua port pelayan sasaran untuk mencari kemungkinan kelemahan atau perkhidmatan. Maklumat yang diperolehi oleh penyerang melalui pengimbasan port boleh digunakan untuk serangan selanjutnya, seperti serangan banjir (DDoS) atau pencerobohan ke dalam pelayan. Memandangkan pengimbasan port biasanya diautomasikan oleh program, penyerang boleh mengimbas dengan mudah semua alamat IP merentas Internet untuk mencari lubang keselamatan yang menimbulkan ancaman yang ketara.

2. Bagaimanakah Nginx menghalang pengimbasan port?

1. Konfigurasikan akses terhad

Dalam fail konfigurasi Nginx, anda boleh menyediakan untuk membenarkan atau melarang alamat IP tertentu atau julat alamat IP daripada mengakses pelayan. Dengan cara ini, apabila membuka port, hanya alamat IP tertentu atau julat alamat IP dibenarkan untuk mengakses, yang boleh mengehadkan penyerang secara berkesan daripada mengimbas pelayan.

Sebagai contoh, konfigurasi berikut hanya membenarkan klien dengan alamat IP 192.168.0.1 dan 192.168.0.2 dan segmen alamat IP 192.168.1.0/24 untuk mengakses pelayan Nginx:

location / {
    allow 192.168.0.1;
    allow 192.168.0.2;
    allow 192.168.1.0/24;
    deny all;
}

2. Firewall Konfigurasi

Proksi terbalik Nginx dan fungsi imbangan beban boleh digunakan bersama-sama dengan tembok api untuk meningkatkan keselamatan pelayan. Melalui peraturan penapisan tembok api, adalah mungkin untuk mengehadkan trafik dan menentukan peraturan seperti menyekat alamat IP untuk pengimbasan port. Pada masa yang sama, proksi terbalik Nginx juga boleh mengubah hala lalu lintas daripada pelanggan ke pelayan web bahagian belakang, dengan itu menyembunyikan alamat IP pelayan web sebenar dan meningkatkan keselamatan.

3. Dayakan pilihan SO_REUSEPORT

SO_REUSEPORT ialah pilihan yang disediakan oleh kernel Linux, yang membolehkan soket berkongsi port yang sama untuk mengurangkan risiko keletihan port dan meningkatkan pengimbangan beban kebolehan. Dengan menghidupkan pilihan SO_REUSEPORT, berbilang proses Nginx boleh dibenarkan mendengar port yang sama pada masa yang sama, mengukuhkan fungsi pengimbangan beban dan meningkatkan keselamatan pelayan.

Sebagai contoh, tambahkan kandungan berikut dalam fail konfigurasi untuk menghidupkan pilihan SO_REUSEPORT:

worker_processes auto;
worker_cpu_affinity auto;
worker_rlimit_nofile 10000;
reuseport on;

3. Ringkasan

Untuk mengelakkan ancaman keselamatan yang disebabkan oleh port mengimbas serangan ke pelayan, Nginx Ia telah menjadi pelayan web pilihan untuk lebih banyak perusahaan dan laman web. Melalui kaedah di atas, keselamatan pelayan boleh diperkukuh dengan berkesan dan penyerang boleh disekat daripada mengimbas pelayan, dengan itu meningkatkan keselamatan data dan maklumat. Pada masa yang sama, ia juga perlu untuk mengukuhkan pengurusan keselamatan sistem dan pemantauan rangkaian untuk mengesan dan menangani isu keselamatan tepat pada masanya.

Atas ialah kandungan terperinci Cara menggunakan Nginx untuk melindungi daripada serangan pengimbasan port. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!