Nginx优化与防盗链

于 2024-06-04 09:31:34 发布
阅读量1k 收藏 15
点赞数 38
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aran2002/article/details/139382469
版权

目录

一、Nginx性能优化 

1、开启网页压缩

2、页面缓存

3、设置连接超时

4、设置工作进程数 

5、设置工作进程连接数 

6、工作进程静态绑核

7、开启高效文件传输模式

8、IO多路复用

9、连接优化

二、Nginx安全优化

1、配置Nginx隐藏版本号

方法一、修改配置文件

方法二、修改源码文件,重新编译安装

2、防盗链

3、访问控制

4、设置运行用户/组

5、限制请求数

6、限制连接数

 7、日志分割

三、系统内核优化

1、用于解决系统存在大量TIME WAIT状态连接的问题

2、如果连接数本身就很多,可再优化TCP的可用端口范围,进一步提升服务器的并发能力

3、如果需要IP路由转发

4、内核资源限制文件

四、Nginx模块

一、Nginx性能优化 

实验前老样子先关防火墙

[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl disable firewalld
[root@localhost ~]# setenforce 0

查看Nginx的版本号 

1、开启网页压缩

  • Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能
  • 允许Nginx服务器将输出内容在发送客户端之前进行压缩,以节约网站带宽,提升用户的访问体验,默认已经安装
  • 可在配置文件中加入相应的压缩功能参数对压缩性能进行优化
vim /usr/local/nginx/conf/nginx.conf
http {
...... 
    gzip on;						#取消注释,开启gzip压缩功能
    gzip_min_length 1k;      		#最小压缩文件大小,小于设置值的文件将不会压缩
    gzip_buffers 4 16k;      		#压缩缓冲区,这里设置以16k为单位,按照原始数据大小以16k为单 
                                    位的4倍申请内存
    gzip_http_version 1.1;   		#用于识别HTTP协议版本
    gzip_comp_level 5;       		#压缩比率,压缩比例由低到高从1到9,默认为1,在生产环境中一般 
                                    设置该参数的值在3~5之间,最好不要超过5
    gzip_vary on;					#支持前端缓存服务器存储压缩页面
    gzip_disable "MSIE [1-6]\.";	#配置禁用gzip条件,支持正则。此处表示ie6及以下不启用gzip 
                                   (因为ie低版本不支持)
    gzip_types text/plain text/javascript text/css text/xml application/x-javascript application/xml application/x-httpd-php application/javascript application/json;	
                                    #压缩类型,表示哪些网页文档启用压缩功能
...... 
}

2、页面缓存

  • 当Nginx将网页数据返回给客户端后,可设置缓存的时间,以方便在日后进行相同内容的请求时直接返回,避免重复请求,加快了访问速度
  • 一般针对静态网页设置,对动态网页不设置缓存时间

设置方法

expires 缓存时间

location ~\.(gif|jpg|jepg|png|bmp|ico)$ {
     root html;
     expires 1d;
}

3、设置连接超时

  • keepalive_timeout

  指定KeepAlive的超时时间(timeout)。指定一个长连接最多可以保持多长时间,服务器将会在这

个时间后关闭连接。 Nginx的默认值是65秒,有些浏览器最多只保持 60 秒,所以可以设定为 60

秒。若将它设置为0,就禁止了keepalive 连接

第二个参数(可选的)指定了在响应头Keep-Alive:timeout=time中的time值。这个头能够让一些浏

览器主动关闭连接,这样服务器就不必去关闭连接了。没有这个参数,Nginx 不会发送 Keep-Alive

响应头

  • client_header_timeout

  客户端向服务端发送一个完整的 request header 的超时时间。如果客户端在指定时间内没有发送

一个完整的 request header,Nginx 返回 HTTP 408(Request Timed Out)。

  • client_body_timeout

  指定客户端与服务端建立连接后发送 request body 的超时时间。如果客户端在指定时间内没有发

送任何内容,Nginx 返回 HTTP 408(Request Timed Out)。

4、设置工作进程数 

5、设置工作进程连接数 

 作进程的连接数是由 worker_connections 指令来控制的。这个指令用于设置每个工作进程所能处理的最大连接数。

events {
    worker_connections 1024; # 设置每个工作进程的最大连接数
    # worker_rlimit_nofile
}

6、工作进程静态绑核

worker_cpu_affinity 指令可以将工作进程静态绑定到特定的 CPU 核心上,以提高性能和优化资源使用

假设服务器有 4 个 CPU 核心,并且将 4 个工作进程分别绑定到这 4 个核心上

worker_processes 4;  # 设置工作进程数量为 4

# 将工作进程静态绑定到特定的 CPU 核心
worker_cpu_affinity 0001 0010 0100 1000;  # 将每个工作进程绑定到不同的 CPU 核心

7、开启高效文件传输模式

在 Nginx 中,开启高效文件传输模式可以显著提升服务器的性能和效率。你提到的三个指令 sendfile on;、tcp_nopush on; 和 tcp_nodelay on; 都是用于优化文件传输和网络性能的。

  1. sendfile on; sendfile 是一个系统调用,允许直接在内核空间和用户空间之间传输数据,而不需要将数据从内核缓冲区复制到用户缓冲区再发送。通过开启 sendfile 功能,Nginx 可以直接在磁盘和网络之间传输文件,提高文件传输效率,减少 CPU 和内存的消耗。
  2. tcp_nopush on; tcp_nopush 指令用于控制数据包的发送时机。当 tcp_nopush 设置为 on 时,Nginx 会尽可能地在发送 TCP 数据包之前将数据累积到一个完整的数据包中,从而减少 TCP 消息的数量,提高传输效率。这对于发送大文件或大量静态内容的情况特别有效。
  3. tcp_nodelay on; tcp_nodelay 指令用于控制是否启用 Nagle 算法。Nagle 算法的目的是将多个较小的数据包合并成一个较大的数据包,以提高网络的利用率。但是,在某些情况下,这种合并会导致延迟增加,例如对于实时性要求较高的应用。通过开启 tcp_nodelay,Nginx 可以禁用 Nagle 算法,减少延迟,提高网络传输速度。

sendfile on;   tcp_nopush on;    tcp_nodelay on;

8、IO多路复用

在 Nginx 中,多路复用是一种提高性能的关键技术,其中 epoll 是 Linux 下的一种高效的多路复用机制。通过使用 epoll,Nginx 能够更有效地管理大量的并发连接,从而提高服务器的吞吐量和性能。 

use epoll;

9、连接优化

  • multi_accept on; 当 multi_accept 设置为 on 时,Nginx 的监听进程可以同时接受多个网络连接。这意味着在有新连接到达时,监听进程可以立即接受多个连接,而不是一次只处理一个连接。这样可以加快连接的接受速度,尤其是在高并发的情况下,可以减少连接等待时间,提高服务器的响应速度。
  • accept_mutex on; accept_mutex 用于控制新连接的串行处理,以防止多个工作进程同时处理新连接,从而避免所谓的“惊群现象”(thundering herd)。惊群现象指的是在某些条件下,多个进程竞争同一个资源或锁时,会导致大量进程被唤醒,但最终只有一个进程能够获得资源,其他进程都会进行无用的竞争和等待。通过开启 accept_mutex,Nginx 可以以串行方式接入新连接,避免这种不必要的竞争和资源浪费。

二、Nginx安全优化

1、配置Nginx隐藏版本号

  • 隐藏Nginx版本号,避免安全漏洞泄漏
方法一、修改配置文件

方法二、修改源码文件,重新编译安装

vim /usr/local/nginx/conf/nginx.conf

2、防盗链

在企业网站服务中,一般都要配置防盗链功能,以避免网站内容被非法盗用,造成经济损失

Nginx防盗链功能也非常强大。默认情况下,只需要进行简单的配置,即可实现防盗链处理

valid_referers   if ($invalid_referer) {rewrite ....}  rewrite地址重写

3、访问控制

deny/allow

4、设置运行用户/组

  • Nginx运行时进程需要有用户与组的支持,以实现对网站文件读取时进行访问控制
  • Nginx默认使用nobody用户账号与组账号
  • 修改的方法
    • 编译安装时指定用户与组

    • 修改配置文件指定用户与组

5、限制请求数

limit_req_zone   limit_req

6、限制连接数

limit_conn_zone  limit_conn

 7、日志分割

·

1、系统内核优化
/etc/sysctl.conf   内核参数配置文件
#用于解决系统存在大量TIME WAIT状态连接的问题
net.ipv4.tcp_syncookies=1        表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击
net.ipv4.tcp_tw_reuse=1          表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接
net.ipv4.tcp_tw_recycle=1        表示开启TCP连接中TIME-WAIT sockets的快速回收
net.ipv4.tcp_fin_timeout=30      修改MSL值,系统默认的TIMEOUT时间

三、系统内核优化

1、用于解决系统存在大量TIME WAIT状态连接的问题

/etc/sysctl.conf   内核参数配置文件
#用于解决系统存在大量TIME WAIT状态连接的问题
net.ipv4.tcp_syncookies=1        表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击
net.ipv4.tcp_tw_reuse=1          表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接
net.ipv4.tcp_tw_recycle=1        表示开启TCP连接中TIME-WAIT sockets的快速回收
net.ipv4.tcp_fin_timeout=30      修改MSL值,系统默认的TIMEOUT时间

2、如果连接数本身就很多,可再优化TCP的可用端口范围,进一步提升服务器的并发能力

#如果连接数本身就很多,可再优化TCP的可用端口范围,进一步提升服务器的并发能力
net.ipv4.tcp_keepalive_time=1200           #当keepalive启用时,TCP发送keepalive探测消息的频率,确认客户端是否断网
net.ipv4.ip_local_port_range=1024 65535    #用于向外连接的端口范围。缺省情况下很小,为32768 60999
net.ipv4.tcp_max_syn_backlog=8192          #SYN队列长度,默认为1024,加大队列长度为8192,可容纳更多等待连接的网络连接数
net.ipv4.tcp_max_tw_buckets=5000           #表示系统同时保持TIME WAIT的最大数量
net.core.somaxconn=65535                   #一个端口能够监听的最大连接数

3、如果需要IP路由转发

#如果需要IP路由转发
net.ipv4.ip_forward=1

4、内核资源限制文件

/etc/security/limits.conf   内核资源限制文件
* 	soft 	noproc			65535         打开系统进程数
* 	hard 	noproc			65535
* 	soft 	nofile			65535         进程打开文件数
* 	hard 	nofile			65535

四、Nginx模块

  1. http_stub_status_module       访问状态统计模块
  2. http_gzip_module              网页压缩模块
  3. http_rewrite_module           URL地址重写模块
  4. http_ssl_module               https安全加密模块
  5. http_auth_basic_module        网页用户认证模块
  6. http_fastcgi_module           fastcgi转发模块
  7. http_image_filter_module      图片处理模块
  8. http_mp4/flv_module           mp4/flv视频格式模块
  9. http_limit_req_module         限制请求数模块
  10. http_limit_conn_module        限制连接数模块
  11. http_proxy_module             代理转发模块
  12. http_upstream_*_module        负载均衡模块
  13. stream                        四层代理转发模块
早点睡吧zzz
关注
  • 38
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SYN攻击的基本原理、工具及检测方法以及防范技术
12-23 3050
作者:宋振锋 发布时间:2004-02-03 --------------------------------------------------------------------- http://www.ntnet110.gov.cn/netsecs/viewNecs.jsp?necsid=76据统计,在所有黑客攻击事件中,SYN攻击是最常见又最容易被利用的一种攻击手法。相信很多人还记得200
nginx 防ddos
lyj1101066558的博客
01-11 636
1.限制每秒请求数 Ngx_http_limit_req_module 模块通过漏桶原理来限制单位时间内的请求数,一旦单位时间内请求数超过限制,就会返回503错误。 配置: 1)nginx.conf 的 http 段内定义触发条件,可以有多个条件 2)在 location 内定义达到触发条件时 nginx所要执行的动作 例如: http {     limit_req_zon
Linux安全之三大攻击(SYN,DDOS,CC)原理及处理
三口酥屋
04-11 4287
Linux安全之SYN攻击原理及处理TCP自从1974年被发明出来之后,历经30多年发展,目前成为最重要的互联网基础协议,但TCP协议中也存在一些缺陷。SYN攻击就是利用TCP协议的缺陷,来导致系统服务停止正常的响应。SYN攻击原理TCP在传递数据前需要经过三次握手,SYN攻击的原理就是向服务器发送SYN数据包,并伪造源IP地址。服务器在收到SYN数据包时,会将连接加入backlog队列,并向源I...
SYN攻击手段hping及防护手段
Linux_Enjoyer的博客
04-12 1231
https://blog.csdn.net/apple_llb/article/details/50396744https://blog.csdn.net/aspirationflow/article/details/8008855http://www.jb51.net/hack/390485.htmlhttp://netsecurity.51cto.com/art/201508/489303.h...
Nginx优化防盗链实践教程
02-25
Nginx是俄罗斯人编写的十分轻量级的HTTP服务器,Nginx,它的发音为“engineX”,是一个高性能的HTTP和反向代理服务器,同时也是一个IMAP/POP3/SMTP代理服务器.Nginx是由俄罗斯人IgorSysoev为俄罗斯访问量第二的...
nginx优化防盗链☆☆☆
最新发布
06-10
【标题】:“Nginx优化防盗链”涵盖了Nginx服务器在性能调优和防止非法访问方面的核心知识点。Nginx作为一个高性能的HTTP和反向代理服务器,其高效的处理能力、轻量级的特性以及丰富的模块化设计,使其成为众多...
Nginx防盗链的配置方法
09-30
**四、防盗链的局限性与优化** 虽然Nginx防盗链配置可以有效地阻止大部分非法引用,但有些情况可能无法覆盖,例如: - 通过直接输入URL访问资源,`Referer`字段为空,此时需结合其他手段(如IP白名单)进行防护。...
服务器SYN洪水攻击原理和防御办法-SynAttackProtect保护机制
驰网飞飞的博客
02-20 2552
服务器SYN洪水攻击原理和防御办法-SynAttackProtect保护机制一、设置SynAttackProtect键值步骤二、防止SYN洪水攻击修改项说明三、特别注意 SYN洪水攻击是利用客户端和服务端建立TCP连接,服务器必须收到客户端返回的一个ACK包才完成建立连接,否则一直处于等待的缺陷,连续发送SYN报文给服务器端请求建立TCP连接,却不回应(这种情况称为半开连接),当半开连接数达到系统允许的最大值时,系统不再接受建立连接请求,即后面的用户无法访问到服务器。 拿网站服务器来说就是无法打开网页,
简单防范SYN_RECV攻击
热门推荐
怪手大分的专栏
08-13 1万+
SYN攻击是最常见又最容易被利用的一种攻击手法。相信很多人还记得2000年YAHOO网站遭受的攻击事例,当时黑客利用的就是简单而有效的SYN攻击,有些网络蠕虫病毒配合SYN攻击造成更大的破坏。本文介绍SYN攻击的基本原理、工具及检测方法,并全面探讨SYN攻击防范技术。一、TCP握手协议 在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。 第一次握手:建立连接时,客户端发
nginx防止DDOS攻击配置(2)
fhuan123的专栏
05-21 722
我们用的高防服务器只防流量攻击不防CC,现在的攻击多数都是混合型的,而且CC攻击很多,防CC只能自己搞了,按照第一篇的配置,在实际的使用中效果并不理想。限制每秒钟的请求数和ip连接数,属于杀敌一千自损八百的做法。是可以防小规模的cc攻击,但是不够灵活,限制严了,误杀率很大;限制少了,当攻击的ip量达到一定规模的时候,传递到后端的请求还是非常多,导致php撑不住挂掉。这里在上一篇的基础上详细介绍...
如何防御 SYN 攻击
weixin_45880055的博客
09-22 1013
描述 前言 网上许多博客针对增大 TCP 半连接队列和全连接队列的方式如下: 增大 TCP 半连接队列方式是增大 tcp_max_syn_backlog; 增大 TCP 全连接队列方式是增大 listen() 函数中的 backlog; 这里先跟大家说下,上面的方式都是不准确的。 “你怎么知道不准确?” 很简单呀,因为我做了实验和看了 TCP 协议栈的内核源码,发现要增大这两个队列长度,不是简简单单增大某一个参数就可以的。 接下来,就会以实战 + 源码分析,带大家解密 TCP 半连接队列和全连接队列。 “源
看我linux如何防SYN攻击,挺实用的
数据库天地
08-17 235
今天早上一到公司登录公司官网的时候感觉挺慢,登录服务器查看官网访问情况:[root@web ~]# netstat -anp |awk '{print $6}'|sort|uniq -c |sort -rn 172 ESTABLISHED 59 CONNECTED 589 SYN_RECV 15 STREAMSYN居然这么高,继续追查是那些ip发出的SYN:[root@twe...
看我linux如何防SYN攻击
大道至简,持之以恒!
04-29 5569
今天早上一到公司登录公司官网的时候感觉挺慢,登录服务器查看官网访问情况: [root@web ~]# netstat -anp |awk '{print $6}'|sort|uniq -c |sort -rn      172 ESTABLISHED      59 CONNECTED     589 SYN_RECV      15 STREAM SYN居然这
syn攻击
lp525110627的博客
10-09 880
1、syn攻击原理 在TCP连接的三次握手中第二次握手时,服务器端发送SYN+ACK报文之后,若在规定的超时间之内未收到客户端响应的ACK报文,则服务器端启用重传机制,向客户端重传SYN+ACK报文,直到收到客户端的响应报文或达到服务器端设置的重传次数为止。syn攻击就是利用这种机制,恶意攻击者向被攻击服务器端在短时间内发送大量仅含有SYN标志的TCP半连接请求报文。一方面,大量的请求报文会使
Nginx优化实战:高效配置与防盗链策略
Nginx优化防盗链实践教程是一篇详尽的指南,介绍如何利用Nginx这一高性能的HTTP和反向代理服务器进行优化以及实现防盗链功能。Nginx由俄罗斯开发者Igor Sysoev为Rambler.ru创建,其设计注重轻量级、高效性和稳定性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值