Rumah >Operasi dan penyelenggaraan >Nginx >Amalan keselamatan Nginx: mencegah serangan DDoS
Dengan perkembangan Internet, kaedah serangan rangkaian menjadi semakin pelbagai, termasuk serangan DDoS Kaedah serangan ini menggunakan pelbagai sumber serangan untuk memulakan sejumlah besar permintaan ke pelayan sasaran pada masa yang sama, menyebabkan pelayan. menjadi terharu, dengan itu Tidak berfungsi dengan baik. Oleh itu, melindungi pelayan adalah sangat penting untuk beberapa laman web penting. Sebagai pelayan web berprestasi tinggi, merentas platform dan pelayan proksi terbalik, Nginx boleh membantu kami menentang serangan DDoS. Yang berikut akan meringkaskan keselamatan sebenar Nginx, mengambil pencegahan serangan DDoS sebagai contoh.
Modul limit_conn_module membolehkan kami menetapkan bilangan sambungan serentak daripada sumber yang sama dalam fail konfigurasi. Ini bermakna bahawa jika alamat IP menghantar sejumlah besar permintaan, ia tidak akan dapat terus mewujudkan sambungan baharu. Pendekatan ini membantu kami menghalang pelanggan tunggal atau program berniat jahat daripada menggunakan sejumlah besar sumber sambungan dan menggunakan lebar jalur pelayan.
Berikut ialah contoh konfigurasi mudah:
http { ... limit_conn_zone $binary_remote_addr zone=one:10m; ... server { ... limit_conn one 10; ... } }
Dalam konfigurasi ini kami mencipta conn_zone untuk menyimpan maklumat sambungan pelanggan, dan menetapkan pengehad bernama satu untuk Hadkan bilangan sambungan serentak daripada alamat IP yang sama kepada tidak lebih daripada 10. Di bawah beban trafik yang padat, pelanggan mungkin dihentikan sementara jika ia menggunakan terlalu banyak sambungan.
Apabila menghadapi serangan DDoS, apabila pelayan kami tidak dapat menangani sejumlah besar permintaan, kami perlu mempertimbangkan untuk meningkatkan lebar jalur pelayan untuk menanggung beban trafik yang lebih tinggi . Pertimbangkan untuk meningkatkan lebar jalur antara muka rangkaian pelayan anda atau menggunakan pengimbangan beban untuk menyebarkan beban trafik.
Proksi terbalik HTTP boleh mengurangkan beban pada pelayan dengan berkesan. Menggunakan ciri proksi terbalik Nginx untuk memajukan permintaan boleh mengehadkan trafik ke lapisan proksi dan bukannya dihantar terus ke pelayan asal. Dengan menyediakan pelayan proksi terbalik sebagai "frontend" kami, kami boleh menyebarkan beban trafik dengan menghalakan trafik ke berbilang pelayan backend.
Konfigurasi cache Nginx boleh mengurangkan beban pada pelayan bahagian belakang dengan berkesan dan memendekkan masa tindak balas. Kandungan cache boleh diletakkan dalam memori pelayan, dan fail cache boleh dibersihkan mengikut keperluan. Sekiranya berlaku serangan DDoS, caching boleh membantu kami mengurangkan beban pelayan, dengan itu menghalang ranap pelayan.
Konfigurasi tembok api Nginx boleh digunakan untuk mengehadkan julat IP, membenarkan atau menafikan alamat IP tertentu untuk mengakses pelayan. Dengan mengkonfigurasi peraturan tembok api, kami hanya boleh membenarkan alamat IP tertentu atau julat alamat IP untuk mengakses pelayan, sambil melarang akses tanpa kebenaran. Ini ialah kaedah berkesan yang boleh membantu kami menghalang serangan DDoS terhadap sasaran tertentu.
Ringkasnya, "keselamatan diutamakan" ialah kepercayaan yang harus dipatuhi oleh setiap daripada kita. Melalui kaedah dan cara praktikal di atas, kami boleh melindungi pelayan kami dengan lebih baik, mencegah serangan DDoS dan memastikan kelancaran operasi perkhidmatan dalam talian.
Atas ialah kandungan terperinci Amalan keselamatan Nginx: mencegah serangan DDoS. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!