Rumah > Artikel > Operasi dan penyelenggaraan > Pemahaman mendalam tentang strategi perlindungan keselamatan Nginx untuk mengehadkan kadar permintaan dan mencegah permintaan berniat jahat
Pemahaman mendalam tentang strategi perlindungan keselamatan Nginx untuk mengehadkan kadar permintaan dan mencegah permintaan berniat jahat
Nginx ialah pelayan web sumber terbuka berprestasi tinggi Ia bukan sahaja boleh digunakan untuk menggunakan tapak web statik, proksi terbalik dan pengimbangan beban, tetapi juga melalui satu siri strategi perlindungan keselamatan untuk melindungi pelayan kami daripada permintaan berniat jahat. Artikel ini akan menumpukan pada strategi perlindungan keselamatan Nginx untuk mengehadkan kadar permintaan dan mencegah permintaan berniat jahat, dan menyediakan contoh kod yang berkaitan.
limit_req_zone
untuk mencipta kawasan memori kongsi dengan had kadar permintaan, contohnya: http { limit_req_zone $binary_remote_addr zone=limit:10m rate=1r/s; }Konfigurasi di atas mencipta kawasan memori 10MB, terhad sesaat Bilangan permintaan yang dimulakan daripada alamat IP klien yang sama tidak boleh melebihi 1. Seterusnya, kita boleh menggunakan arahan
limit_req
dalam blok pemprosesan permintaan khusus untuk menggunakan had ini, contohnya: server { location /api/ { limit_req zone=limit burst=5; proxy_pass http://backend; } }
limit_req_zone
指令来创建一个请求速率限制的共享内存区域,例如:location /admin/ { allow 192.168.1.0/24; deny all; }
以上配置创建了一个10MB大小的内存区域,限制每秒钟从同一个客户端IP地址发起的请求数不超过1个。接下来,我们可以在具体的请求处理块中使用limit_req
指令来应用这个限制,例如:
location / { if ($uri ~* "/wp-admin" ) { return 403; } }
以上配置表示在/api/
路径下限制请求速率,并设置了一个突发限制值为5。这样一来,如果有大量的请求超过了限制速率,Nginx将返回503错误给客户端,并抛弃这些请求。
除了限制请求速率,我们还可以通过其他策略来防止恶意请求,例如:
allow
和deny
指令来设置IP的访问控制,只允许白名单中的IP访问,或者拦截黑名单中的IP。例如:server { location / { if ($http_referer !~* "^https?://example.com") { return 403; } } }
以上配置表示只允许IP在192.168.1.0/24网段内的访问/admin/
路径。
if
指令和正则表达式来拦截恶意请求的URI。例如:以上配置表示如果请求的URI中包含/wp-admin
,则返回403错误。
以上配置表示如果Referer字段不是以http://example.com
或https://example.com
Konfigurasi di atas menunjukkan bahawa permintaan adalah terhad di bawah /api/ kod> kadar laluan dan tetapkan nilai had pecah 5. Dengan cara ini, jika sebilangan besar permintaan melebihi kadar had, Nginx akan mengembalikan ralat 503 kepada pelanggan dan meninggalkan permintaan ini.
Cegah permintaan berniat jahat
Selain mengehadkan kadar permintaan, kami juga boleh menghalang permintaan jahat melalui strategi lain, seperti:benarkan
dan nafi
digunakan untuk menetapkan kawalan akses IP, membenarkan hanya akses IP dalam senarai putih atau menyekat IP dalam senarai hitam. Contohnya: 🎜/admin/
. 🎜if
dan ungkapan biasa. Contohnya: 🎜/wp-admin
, ralat 403 akan dikembalikan. 🎜http://example.com
atau https://example.com code>, ia akan dikembalikan ralat 403. 🎜🎜Ringkasnya, Nginx menyediakan pelbagai strategi perlindungan keselamatan untuk mengehadkan kadar permintaan dan mencegah permintaan berniat jahat. Dengan mengkonfigurasi Nginx dengan betul, kami boleh melindungi pelayan daripada permintaan jahat dan meningkatkan kestabilan dan keselamatan pelayan. 🎜🎜Di atas adalah pengenalan kepada pemahaman mendalam tentang strategi perlindungan keselamatan Nginx untuk mengehadkan kadar permintaan dan mencegah permintaan yang berniat jahat, saya harap ia akan membantu pembaca. 🎜🎜 (Nota: Di atas hanyalah contoh kod dan mungkin tidak boleh digunakan sepenuhnya untuk persekitaran pengeluaran. Sila konfigurasikan mengikut situasi sebenar dan dokumentasi rasmi Nginx.) 🎜
Atas ialah kandungan terperinci Pemahaman mendalam tentang strategi perlindungan keselamatan Nginx untuk mengehadkan kadar permintaan dan mencegah permintaan berniat jahat. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!