Nginx(17)-安全管控之防暴露、限制访问、防DDos攻击、防爬虫、防非法引用

已于 2023-12-27 18:24:03 修改
阅读量1.6k 收藏 15
点赞数 17
分类专栏: 精通Nginx 文章标签: nginx 安全 前端
于 2023-11-22 08:49:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/davidwkx/article/details/134192283
版权

        安全是每个系统都需要考虑的关键因素,Nginx在这方面提供了丰富的功能,使我们可以就实际情形做很精细调整。这些功能包括防信息暴露、客户端访问限制、通讯加密、防DDos攻击、防爬虫、防非法引用及防非法域名请求等。

目录

防信息暴露

关闭版本号

关闭目录列表

客户端访问限制

限制客户端地址访问

国家或城市位置限制访

禁止不安全的HTTP方法

HTTPS加密

防DDos攻击

防非法域名指向

防爬虫

利用请求头变量防爬虫

使用Robots.txt文件防爬虫

最佳实践

限制系统访问权限

定期巡检

备份数据

检查日志文件

问题排查

安装最新版本

防信息暴露

关闭版本号

        Nginx默认会在HTTP的响应头中包含服务器版本号信息,攻击者可以利用此信息进行攻击和细节披露。可关闭版本号的显示,指令如下:

server_tokens off;

关闭目录列表

        如果Nginx的目录没有默认的index文件,会自动展示目录下的文件列表,这可能会暴露敏感信息。可以通过禁止自动目录列表的方式来阻止此行为。
示例代码:

location / {
    autoindex off ;
}

客户端访问限制

        Nginx可以对客户端进行访问限制。

限制客户端地址访问

直接通过allow或deny限制某些客户端地址的访问。指令如下:

allow address | CIDR | unix: | all;  

deny address | CIDR | unix: | all;

允许或不允许客户端访问。

参数:address:直接IP地址形式;CIDR:无类别域间路由;unix: unix套接字;all-所有

示例:

location / {
    # 将按顺序检查规则,直到找到第一个匹配项
    # 单独ip 192.168.1.1可访问
    deny  192.168.1.1;
    # CIDR: 192.168.1.1-192.168.1.255(掩码:255.255.255.0)可访问
    allow 192.168.1.0/24;
    # CIDR: 10.1.1.1-10.1.255.255(掩码:255.255.0.0)可访问 (注意不包括10.1.0.x)
    allow 10.1.1.0/16;
    # IPv6网络2001:0db8::/32进行访问
    allow 2001:0db8::/32;
    # 符合上述之外的不可访问
    deny  all;
}

国家或城市位置限制访

        可以通过国家或城市位置限制访问,详见精通Nginx(12)-流量管控

禁止不安全的HTTP方法

默认情况下,Nginx支持多种HTTP方法,包括GETHEADPOSTPUTDELETEMKCOLCOPYMOVEOPTIONSPRO

最低0.47元/天 解锁文章
乐享技术
关注
  • 17
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
nginx安全nginx虚拟主机webshell跨目录
红尘道,红尘练心
06-02 465
1.在nginx.conf里把每个虚拟主机站点请求端口给区别开   server { listen 80;server_name www.key0.cn;index index.html index.htm index.php;root /var/www/test; #limit_conn crawler 20; location ~ ...
Nginx 精通 - 安全管控之防暴露限制访问DDos攻击爬虫非法引用
qq_33240556的博客
03-22 433
Nginx,可以通过一系列配置实现安全管控,包括止信息暴露限制访问DDoS攻击爬虫抓取以及非法引用。以上仅为基本示例,实际部署时需根据具体情况调整和完善配置。同时,全面的安全防护还需要结合火墙、入侵检测系统等其他安全措施共同实现。:Nginx在无默认文档时列出目录内容。:止泄露Nginx版本等信息。
NISP一级练习题1-10
weixin_43263566的博客
08-16 7426
A. 在一定程度上,人类社会的发展速度取决于人们感知信息、利用信息的广度和深度B. 信息无时不在,无处不在,信息是我们行动决策的重要依据C. 电视机、电话机、声波、光波是信息D. 人类可以借助信息资源对自然界的物质资源和能量资源进行有效地获取和利用解析:电视机、电话机、声波、光波不属于信息A. 维持与改进B.维持与报告C.报告与监督D.监督与报告。
云架构师学习------腾讯云通识-网络与安全
Avery123123的博客
01-23 1217
私有网络(Virtual Private Cloud,VPC)是一块您在腾讯云上自定义的逻辑隔离网络空间,您可以为 云服务器、云数据库 等资源构建逻辑隔离的、用户自定义配置的网络空间,以提升用户云上资源的安全性,并满足不同的应用场景需求。弹性网卡(Elastic Network Interface,ENI)是绑定私有网络(Virtual Private Cloud,VPC)内云服务器的一种弹性网络接口,可在多个云服务器间自由迁移。弹性网卡对配置管理网络与搭建高可靠网络方案有较大帮助。
【读书笔记】《大型互联网企业安全架构(石祖文)》
热门推荐
weixin_44211968的博客
11-11 1万+
本文对《大型互联网企业安全架构》里的核心内容做了梳理,并加入了深层解释。很适合安全小白入门企业安全
【NISP一级】考前必刷九套卷(九)
qq_40785722的博客
03-08 7549
VPN 具有在公用网络上建立专用网络,进行加密通讯的功能。下列关于 VPN 的选项,不正确的是________ A. VPN 具有专用和虚拟两个特征 B. 根据 VPN 应用平台可分为软件 VPN 和硬件 VPN 平台 C. 按实现层次划分,VPN 技术包括基于数据链路层的 VPN、基于网络层的 VPN 技术、基于应用层的 VPN 技术等 D. 企业内部虚拟专网指的是企业员工或企业的小分支机构通过公共网络远程拨号的方式构建的虚拟专用网,可以随时随地访问 VPN 指依靠 I...
【NISP一级】考前必刷九套卷(五)
qq_40785722的博客
03-07 4455
HTTP 请求是指从客户端到服务器端的请求消息。下列选项不是 HTTP 请求方法的是_________ A.BODY B.POST C.HEAD D.GET HTTP 消息(HTTP HEADER)又称 HTTP 头,包括请求头等四部分。请求头只出现在 HTTP 请求,请求头允许客户端向服务器端传递请求的附加信息以及客户端自身的信息,常用的 HTTP 请求报头不包括_________ A.Line B.Cookie C.Accept D.Host ...
详解云WAF:免费GOODWAF归来
Jeromeyoung
11-30 980
云WAF(Cloud Web Application Firewall)是一种部署在云端的专业网络安全解决方案。它为Web应用程序提供强力的保护,通过检测和阻止恶意流量、攻击和漏洞,确保Web应用程序的安全性和可用性。云WAF利用先进的安全策略和实时威胁情报,能够识别和过滤各种常见的攻击形式,例如SQL注入、跨站点脚本(XSS)和跨站请求伪造(CSRF)等。
NISP题库(八套模拟题)
Love&Share
09-25 1万+
模拟1 1、 通信保密阶段所面临的主要安全威胁是搭线窃听和密码分析,其主要保护措施是数据加密。由于当时计算机速度和性能比较落后,使用范围有限,因此通信保密阶段重点是通过密码技术保证数据的机密性和完整性,解决通信保密问题。该阶段开始的标志是( )的发表: A. 《保密系统的信息理论》 B. 《国家数据加密标准》 C. 《可信计算机系统评估准则》 D. 《通信保密技术理论》 回答正确(得分: 1分) 正确答案 A 解析 通信保密阶段开始于20世纪40年代,其时代标志是1949年香农发表的《保密系统的信息理论》,
NginxDDOS攻击的配置方法教程
09-30
通过以上配置,Nginx可以在一定程度上缓解DDoS攻击限制异常IP的并发连接和请求数,同时保护合法用户的访问不受影响。然而,需要注意的是,完整的DDoS御策略通常还需要结合火墙、CDN服务、流量清洗设备等多层...
配置Nginx实现简单御cc攻击
09-30
本文主要介绍lua+Nginx下如何快速有效得御CC攻击。至于如何安装Nginx就不详细介绍了,闲话少说,大家请看示例
nginx并发限制ip连接数等配置.zip
06-11
这两个模块可以帮助我们有效地控制服务器的访问流量,避免DDoS攻击和其他滥用行为。 **2. limit_conn模块** `limit_conn`模块用于限制每个客户端(基于IP地址)的并发连接数。以下是一个基本配置示例: ```nginx ...
apache-tomcat-7.0.100攻击版.zip
05-27
攻击版可能已经禁用了不常用且可能存在风险的请求方法,仅保留了基本的GET和POST方法,以降低服务器暴露安全风险。 4. 字符过滤:字符过滤是为了止SQL注入、跨站脚本(XSS)等攻击。服务器可能会对输入数据...
nginx修改配置限制恶意爬虫频率
09-30
主要介绍在nginx怎样修改相关配置,以限制恶意爬虫频率的方法,有需要的朋友参考下。
Evil-WinRM一键测试主机安全情况(KALI工具系列四十四)
LNN0212的博客
07-17 839
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。注意,一定只能用于自己设备的连通性测试哦!
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
Thewei666的博客
07-17 1094
区分不同的签名。
Vue的安全性:范XSS攻击与安全最佳实践
最新发布
哎 你看的博客
07-19 591
随着Web应用的普及,前端安全问题日益受到重视。Vue作为当下流行的前端框架,其安全性也成为开发者关注的焦点。跨站脚本攻击(XSS)是常见的Web安全漏洞之一,本文将讨论如何在使用Vue时范XSS攻击,并分享其他Vue安全最佳实践。
洪墙的安全内容检测+http请求头
代码其实很简单
07-17 671
--1、深度检测技术(DPI和DPF是所有内容检测都必须要用到的技术);DPI--深度包检测,针对完整的数据包,进行内容的识别和检测;---2、DFI ---深度流检测 ,---看名字都知道肯定是对数据流进行检测的技术;--2、IPS ---入侵御--3、IDS---入侵检测,AV(反病毒) http请求头,http状态码

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乐享技术

每一个打赏,都是对我最大的鼓励

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值