nginx 关于防护,安全,限流,动态黑名单的一些配置

已于 2024-03-30 21:39:25 修改
阅读量5.2k 收藏 5
点赞数 1
分类专栏: linux运维-nginx 文章标签: nginx 网络安全
于 2021-08-13 23:13:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lmq1993/article/details/119685055
版权

1.关于动态黑名单

主要是定时查询访问日志,查询出访问频率较高的ip,加入黑名单
详情见我的上一篇文章nginx动态黑名单功能

2.避免网页被盗链

在http模块配置add_header X-Frame-Options SAMEORIGIN; 只允许相同域名iframe引入网页

X-Frame-Options 有三个值:
DENY
表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN
表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM uri
表示该页面可以在指定来源的 frame 中展示。

3.referer设置

通过配置实现通过Http请求包头中的Referer实现防盗链。在http请求的跳转过程中,Http包头中会加入Referer参数,指明跳转的来源。通过这个可以实现简单的防盗链功能。

location / {
            valid_referers none blocked domain.com *.domain.com ;
            if ($invalid_referer) {
               return 403;
            }
            proxy_pass https://192.168.1.1/;
        }

4.限流配置

首先,在nginx.conf文件中的http模块下配置

limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
limit_req_zone $uri zone=one:10m rate=1r/s;

说明:区域名称为one(自定义),占用空间大小为10m,平均处理的请求频率不能超过每秒一次。如果是1分钟一次则为1r/m
$binary_remote_addr 如果来源IP不固定,则无法达到限流目的,建议使用$uri对请求url进行限流

第二,在http模块的子模块server下面配置

location ~* .htm$ {
	limit_req zone=one burst=5  nodelay;
	proxy_pass http://192.168.1.1;
}

我这里是对uri后缀为htm的请求限流,注意limit_req zone=one burst=5 nodelay;

其中zone=one和前面的定义对应。

burst这个网上都说峰值之类的,通过亲自试验发现这么说并不准确,应该叫缓冲队列的长度比较合适。

nodelay字面的意思是不延迟,具体说是对用户发起的请求不做延迟处理,而是立即处理。比如我上面定义的rate=1r/s,即每秒钟只处理1个请求。如果同一时刻有两个后缀为htm的请求过来了,若设置了nodelay,则会立刻处理这两个请求。若没设置nodelay,则会严格执行rate=1r/s的配置,即只处理一个请求,然后下一秒钟再处理另外一个请求。直观的看就是页面数据卡了,过了一秒后才加载出来。

此部分来源博客地址Nginx使用limit_req_zone对同一IP访问进行限流

5.配置http_user_agent

通过nginx日志分析各种爬虫,ddos和正常请求的差异,阻止爬虫和ddos
比如观察某爬虫请求客户端代理为

Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36

可以在location模块添加

if ($http_user_agent ~* "Mozilla/5.0\ \(X11;\ Linux\ x86_64\)") { return 403; }

6.CSP相关

Content Security Policy,网页安全政策 ,简称CSP,实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。

add_header Content-Security-Policy "default-src 'self' www.abc.com(可以通配* 多个域名空格隔开) 'unsafe-inline' 'unsafe-eval' blob: data: ;";
add_header X-Xss-Protection "1;mode=block";
add_header X-Content-Type-Options nosniff;

表示只有www.abc.com域名下的资源能被加载和执行

7.其他配置

只允许GET,POST请求

if ($request_method !~ ^(GET|POST)$) {
  return 403;
}

屏蔽所有xml请求

location ~ .*\.(xml)$ { return 403;}
lmq1993
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
nginx ip黑名单动态封禁的例子
09-29
今天小编就为大家分享一篇nginx ip黑名单动态封禁的例子,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Nginx服务器配置黑名单或白名单功能的防火墙
01-10
功能描述: 处在黑名单中的ip与网络,将无法访问web服务。 处在白名单中的ip,访问web服务时,将不受nginx所有安全模块的限制。 支持动态黑名单(需要与ngx_http_limit_req 配合) 具体详见下面的说明 文件配置方法说明 一、定义黑名单或白名单方法: 1. 配置格式 配置关键字 黑名单或白名单文件 存储空间 white_black_list_conf conf/white.list zone=white:2m;   | | | |   | | | ————————————–存储空间大小 这里是2m. 空间大小决定黑白名单的容量   | | ————————————————
Nginx】实现负载均衡、限流、缓存、黑白名单和灰度发布,这是最全的一篇了!(建议收藏
2301_79054557的博客
04-05 859
作为一名即将求职的程序员,面对一个可能跟近些年非常不同的 2019 年,你的就业机会和风口会出现在哪里?在这种新环境下,工作应该选择大厂还是小公司?已有几年工作经验的老兵,又应该如何保持和提升自身竞争力,转被动为主动?就目前大环境来看,跳槽成功的难度比往年高很多。一个明显的感受:今年的面试,无论一面还是二面,都很考验Java程序员的技术功底。最近我整理了一份复习用的面试题及面试高频的考点题及技术点梳理成一份“Java经典面试问题(含答案解析).pdf和一份网上搜集的“Java程序员面试笔试真题库.pdf。
使用Nginx OpenResty与Redis实现高效IP黑白名单管理
最新发布
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
07-15 1209
OpenResty是一个基于Nginx的全功能Web平台,它集成了一系列精心设计的Lua库、第三方模块和一个基于LuaJIT的轻量级Web框架。OpenResty的核心是Nginx,但它通过Lua语言扩展了Nginx的功能,使其能够构建能够处理超高并发的动态Web应用。白名单是一种安全策略,用于定义一组被信任的IP地址或实体,它们被允许访问特定的资源或服务。安全性增强:限制访问权限,仅允许特定的IP地址访问敏感资源。防止滥用:减少恶意用户或爬虫对服务的滥用。流量管理。
Nginx配置IP地址的动态黑名单
YunWisdom
11-22 2257
Nginx配置IP地址的动态黑名单 本节介绍如何创建特定客户端IP地址的黑名单或白名单,拒绝或允许它们访问您的站点以及如何动态维护地址列表。 总览 先决条件 设定 管理键值数据库 完整的例子 也可以看看 总览 在NGINX Plus版本13(R13)和更高版本中,您可以将某些IP地址列入黑名单,以及创建和维护列入黑名单的IP地址的数据库。您还可以将其他IP地址明确...
设置 Nginx 的请求黑名单
不靠谱助手的博客
04-04 711
设置 Nginx 的请求黑名单
nginx动态黑名单功能
lmq1993的博客
05-19 1922
nginx.conf里的http模块引入黑名单配置文件 黑名单文件格式如下 deny 192.168.1.1; 新建定时脚本blackip.sh #!/bin/sh # 日志文件路径 logfile=/data/nginx_logs # 1分钟 last_minutes=1 # conf路径 blockfile=/usr/local/nginx/nginx/conf/conf.d # 开始时间1分钟之前(这里可以修改,如果要几分钟之内攻击次数多少次,这里可以自定义) start_time=`date -
Nginx限流黑名单配置
赵广陆
05-17 2740
目录1 背景介绍2 Nginx限流策略2.1 limit_req_zone限制访问频率2.2 limit_conn_zone限制最大连接数3 黑名单设置 1 背景介绍 为了防止一些抢票助手所发起的一些无用请求,我们可以使用 nginx 中的限流策略进行限流操作。 常见的限流算法:计数器、漏桶算法、令牌桶算法 Java高并发系统限流算法的应用 从作用上来说,漏桶和令牌桶算法最明显的区别就是是否允许突发流量(burst)的处理,漏桶算法能够强行限制数据的实时传输(处理)速率,对突发流量不做额外处理;而令
nginx 动态黑名单
weixin_30823001的博客
04-17 265
原理: 根据nginx 访问日志记录发现可疑的或者不正常的访问记录记录然后自动添加到nginx黑名单 起到阻止的作用 可以作为防范少量的ddos攻击 1.首先要格式化nginx的日志(相关内容可以在网上搜或者看我的nginx配置) 2.编写脚本blockip.sh #!/bin/bashtail -n50000 /usr/local/nginx/logs/access.lo...
详解Nginx限流配置
09-29
然而,这样简单的限流配置会带来一个问题。当大量请求同时到达时,按照每100毫秒处理一个请求的速率,前面的请求会被处理,但后续的请求将会被拒绝。这显然对用户体验不利。 因此,Nginx引入了“burst”参数,这个...
Nginx抢购限流配置实现解析
09-29
以上就是本文介绍的关于Nginx抢购限流配置的主要内容。通过这些知识,可以帮助我们更好地管理高并发流量,确保网站服务的稳定性和公平性。希望这些内容能够对正在学习和工作的你有所启发和帮助。
Linux nginx 黑名单配置
test
08-03 1608
进入nginx配置文件夹下,创建blacklist.conf黑名单配置文件,编辑blacklist.conf cd /usr/local/nginx/conf/ touch blacklist.conf vi blacklist.conf 写入要拦截的ip地址,保存并退出 deny 60.xxx.xx.47; 编辑当前目录下nginx.conf文件,引入刚才新...
nginx动态黑名单配置2
lmq1993的博客
01-22 3214
之前写过关于nginx配置动态黑名单功能 原理是查询日志,统计某段时间内访问次数很频繁的ip,对ip进行封禁 如果在nginx之前有WAF,F5设备,remote_addr 的地址是WAF、F5的地址, 客户端真实的IP地址是在 http_x_forwarded_for中的, 这样这样 nginx 默认的 deny 和 allow 就不能用了。 我们定义一个 map 拒绝的 IP 地址列表。cat x_forwarded_for_deny.conf map $http_x_forwarded_for $
Nginx安全防范配置
linus.lin的博客
06-09 4298
隐藏版本号 http { server_tokens off; } 经常会有针对某个版本的nginx安全漏洞出现,隐藏nginx版本号就成了主要的安全优化手段之一,当然最重要的是及时升级修复漏洞 开启HTTPS server { listen 443; server_name ops-coffee.cn; ssl on; ssl_certificate ...
Nginx、Ingress-Nginx、istio黑白名单设置
m0_37642477的博客
04-03 1424
nginx黑白名单
Nginx安全防范从配置做起
Listen2You的博客
09-03 538
导读 经常会有针对某个版本的nginx安全漏洞出现,隐藏nginx版本号就成了主要的安全优化手段之一,当然最重要的是及时升级修复漏洞。 隐藏版本号 http{ server_tokensoff; } 经常会有针对某个版本的nginx安全漏洞出现,隐藏nginx版本号就成了主要的安全优化手段之一,当然最重要的是及时升级修复漏洞。 开启HTTPS ser...
通过nginx配置文件抵御***,防御CC***的经典思路!
weixin_34362991的博客
12-29 138
0x00 前言大家好,我们是OpenCDN团队的Twwy。这次我们来讲讲如何通过简单的配置文件来实现nginx防御***的效果。其实很多时候,各种防***的思路我们都明白,比如限制IP啊,过滤***字符串啊,识别***指纹啦。可是要如何去实现它呢?用守护脚本吗?用PHP在外面包一层过滤?还是直接加防火墙吗?这些都是防御手段。不过本文将要介绍的是直接通过nginx的普通模块和配...
Nginx 动态添加IP黑名单
kevin
10-09 5836
防止程序调用,原理:查看日志5W条记录,对单个IP访问量进行统计并记数超过1000视为黑名单IP,每半小时检查执行一次脚本 一、黑名单配置 在http模块最后加上配置 #黑名单设置 include /usr/local/nginx/conf/blockip.conf; 二、创建脚本 #!/bin/bash #取最近5w条数据 tail -n50000 /usr/local/nginx/logs/access.log \ #过滤需要的信息行ip等 |awk '{print $......
nginx动态配置黑名单
09-01
动态配置黑名单,你可以使用 Nginx 的模块 ngx_http_geo_module。这个模块提供了一种有效的方式来基于 IP 地址或其他地理位置信息进行访问控制。 以下是一个简单的示例,展示如何在 Nginx动态配置黑名单: 1. 创建一个名为 blacklist.conf 的文件,用于存储黑名单 IP 地址列表。该文件的格式如下: ``` # blacklist.conf deny 192.168.0.1; deny 10.0.0.0/24; ``` 2. 在 Nginx配置文件中引入 blacklist.conf 文件。找到你的 server 配置块,添加以下指令: ``` include /path/to/blacklist.conf; ``` 确保将 "/path/to/blacklist.conf" 替换为实际的 blacklist.conf 文件的路径。 3. 在 server 配置块中使用 `geo` 指令,定义一个名为 `$blacklist` 的变量,并将其与 blacklist.conf 文件中的黑名单地址相关联。例如: ``` geo $blacklist { default 0; include /path/to/blacklist.conf; } ``` 4. 在 server 配置块中使用 `map` 指令,将 `$blacklist` 变量映射到一个新的变量 `$is_blacklisted`。例如: ``` map $blacklist $is_blacklisted { 0 0; 1 1; } ``` 5. 在 server 配置块中使用 `if` 指令,根据 `$is_blacklisted` 变量的值来拒绝访问。例如: ``` server { ... if ($is_blacklisted) { return 403; } ... } ``` 这样,当请求的 IP 地址在黑名单中时,Nginx 将返回 HTTP 状态码 403 Forbidden。 请注意,这只是一个简单的示例。你可以根据自己的需求扩展和调整这个配置。确保在更新 blacklist.conf 文件后重新加载 Nginx 配置,以使更改生效。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值