Nginx 和 Lua 设计黑白名单

已于 2024-10-10 23:17:19 修改
阅读量1k 收藏 20
点赞数 13
分类专栏: nginx 性能优化 文章标签: nginx lua
于 2024-10-10 23:15:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42269288/article/details/142834475
版权

使用 Nginx 和 Lua 设计黑白名单机制,借助 Redis 存储

在现代网络应用中,安全性是一个不可忽视的关键因素。应用程序需要能够有效地管理访问权限,以保护其资源不被恶意用户攻击。黑白名单机制是实现访问控制的一种有效方式。本文将详细介绍如何使用 Nginx、Lua 和 Redis 来实现一个黑白名单系统。

一、引言

黑白名单机制是一种简单而有效的访问控制策略。通过将 IP 地址分为允许(白名单)和拒绝(黑名单)访问两类,系统能够对外部请求进行有效管理。使用 Nginx 作为反向代理服务器,结合 Lua 脚本和 Redis 数据库,可以灵活且高效地实现这一机制。

二、系统架构

在我们的设计中,系统架构主要包括三部分:

  1. Nginx:作为反向代理服务器,用于处理用户请求。
  2. Lua:在 Nginx 中运行的脚本语言,用于动态处理请求逻辑。
  3. Redis:高性能的键值存储,用于存储和查询黑白名单数据。

系统流程

  1. 用户发送请求到 Nginx。
  2. Nginx 通过 Lua 脚本获取用户的 IP 地址。
  3. Lua 脚本连接 Redis,检查用户 IP 是否在黑名单或白名单中。
  4. 根据检查结果,决定是否允许访问。

三、环境准备

在开始编码之前,需要准备以下环境:

  1. 安装 Nginx:确保您已经安装了 Nginx,并启用了 Lua 模块(ngx_http_lua_module)。
  2. 安装 Lua:确保系统支持 Lua。
  3. 安装 Redis:用于存储黑白名单数据。

四、Redis 数据结构

在 Redis 中,我们将使用集合(SET)来存储黑白名单的数据。以下是初始化数据的示例命令:

# 添加 IP 到白名单
SADD whitelist "192.168.1.1"
SADD whitelist "192.168.1.2"

# 添加 IP 到黑名单
SADD blacklist "192.168.1.100"
SADD blacklist "192.168.1.101"

五、Nginx 配置示例

以下是 Nginx 的配置示例,在 nginx.conf 中添加黑白名单逻辑:

http {
    lua_shared_dict my_cache 10m;  # Lua共享内存

    server {
        listen 80;
        server_name your_domain.com;

        location / {
            # 设置 Lua 处理
            access_by_lua_block {
                local redis = require "resty.redis"
                local red = redis:new()

                -- 设置 Redis 连接超时
                red:set_timeout(1000)  -- 1秒超时
                local ok, err = red:connect("127.0.0.1", 6379)

                if not ok then
                    ngx.log(ngx.ERR, "failed to connect to Redis: ", err)
                    return ngx.exit(500)
                end

                local client_ip = ngx.var.remote_addr
                -- 检查黑名单
                local is_blacklisted, err = red:sismember("blacklist", client_ip)
                if is_blacklisted == 1 then
                    return ngx.exit(403)  -- 禁止访问
                end

                -- 检查白名单
                local is_whitelisted, err = red:sismember("whitelist", client_ip)
                if is_whitelisted == 1 then
                    return  -- 允许访问
                end

                -- 如果不在白名单中,默认拒绝访问
                return ngx.exit(403)
            }

            # 其他处理逻辑
            proxy_pass http://your_backend;
        }
    }
}
也可以直接写一个代码块,直接加载,再nginx -s reload

六、Lua 脚本逻辑分析

在上述配置中,使用的 Lua 脚本主要完成几个关键任务:

  1. 连接 Redis:通过 resty.redis 模块连接 Redis 数据库,确保 Nginx 可以访问存储的黑白名单数据。

  2. 获取客户端 IP:通过 ngx.var.remote_addr 获取请求的客户端 IP 地址。

  3. 检查黑名单

    • 使用 sismember 方法检查 IP 是否在黑名单中。
    • 如果在黑名单中,返回 HTTP 403 状态,禁止访问。

  4. 检查白名单

    • 同样使用 sismember 检查 IP 是否在白名单中。
    • 如果在白名单中,允许请求继续处理。

  5. 默认拒绝:如果未在任何列表中找到,默认拒绝访问。

七、性能考虑

1. Redis 访问优化

虽然 Redis 性能极高,但频繁的访问可能会对性能产生影响。以下是一些优化建议:

  • 连接池:使用连接池可以减少每次请求建立连接的开销。
  • 缓存机制:在 Lua 中使用共享内存缓存常用结果,以减少对 Redis 的访问。例如,可以将最近检查过的 IP 地址结果存储在 lua_shared_dict 中。

2. 日志记录

记录请求和访问控制决策可以帮助后续分析和调试。Nginx 和 Lua 提供了日志记录的机制,可以记录每个请求的状态、IP 地址和处理结果。

ngx.log(ngx.INFO, "Client IP: ", client_ip, " - Status: ", status)

八、安全性考虑

在实现黑白名单机制时,安全性是一个重要因素。确保以下几点可以增强系统的安全性:

  1. 保护 Redis:设置密码和访问控制,以防止未经授权的访问。
  2. 监控日志:定期检查 Nginx 和 Redis 的日志,及时发现异常请求和访问行为。
  3. 定期更新名单:确保黑白名单是最新的,定期审查和更新列表。

九、测试与验证

在生产环境部署之前,确保经过充分的测试。可以使用以下方法进行验证:

  1. 功能测试:检查不同 IP 是否能够正确地被允许或拒绝访问。
  2. 压力测试:在高并发情况下测试系统的稳定性和性能。
  3. 安全测试:模拟攻击请求,检查黑名单是否能够有效阻止恶意访问。

十、总结

通过结合 Nginx、Lua 和 Redis,我们可以实现一个灵活且高效的黑白名单机制。该机制不仅能够有效管理访问权限,还能提供良好的性能和安全性。

CodingBrother
关注
专栏目录
nginx 集成lua操作mysql
congge
05-15 1万+
nginx 集成lua操作mysql
基于openresty实现IP白名单+时间段访问控制
weixin_45745503的博客
08-22 648
这个配置主要实现的功能就是,拦截非白名单用户访问服务,并且除健康检查外,拒绝11:00~19:00以外的所有请求进来。代码里面还有一些小遐思,比如IPv4和v6地址的检测,如有好办法大家可以讨论讨论,如果有什么问题大家也可以帮忙指出,一起学习。
动态ip白名单ngx_white_black_listnginx.zip
07-19
功能描述: 处在名单中的ip与网络,将无法访问web服务。 处在白名单中的ip,访问web服务时,将不受nginx所有安全模块的限制。 支持动态名单(需要与ngx_http_limit_req 配合)
nginx白名单设置
chouyi5916的博客
07-15 871
只允许192.168.1.0/24、10.1.1.0/16网段的主机访问,拒绝其他所有: 白名单配置 location /admin/ { allow 192.168.1.0/24; allow 10.1.1.0/16; deny all; } 也可以名单的方式禁止1...
nginx系列(二) 配置之白名单
wuwei的博客
11-23 769
直接上栗子: 所有网站屏蔽IP的方法: 在nginx的配置文件夹中/etc/nginx/conf.d新建一个白名单的配置,如栗子中的两个ip就被禁止访问网站 #deny 名单 allow白名单白名单名单之前才会起效 deny 223.104.213.82; deny 223.104.210.111; 单独网站屏蔽IP的方法: 放到某一个网站http{}的语句块中 其它配置可参考如下: 屏蔽ip的配置文件既可以屏蔽单个ip,也可以屏蔽ip段,或者只允许某个ip.
nginx 白名单配置实践
xyobd
07-11 213
准备工作 版本:nginx 1.12.2 已经有一个通过nginx代理可以正常访问的链接 配置文件(nginx.conf) 浏览器测试 完成 过程比较简单,大家参考! ...
Nginx 动态名单
java_w的专栏
12-13 710
定时任务执行,对指定url请求的来源IP进行分组和排序,请求次数大于100的输出到名单中ip.black中,nginx.conf中默认引入了名单文件。 #nginx.conf #include ip.black ; mkdir -p /opt/scripts/ touch /opt/scripts/nginx_deny_ip.sh chmod +x /opt/scri...
Nginx利用Lua+Redis实现动态封禁IP的方法
01-10
一、背景 我们在日常维护网站中,经常会遇到这样一个需求,为了...2、在 Web Server 层面,通过 Nginx 自身的 deny 选项 或者 lua 插件 配置 IP 名单; 3、在应用层面,在请求服务之前检查一遍客户端 IP 是否在名单
nginx+lua+redis名单加载
07-25
综上所述,"nginx+lua+redis名单加载"是一种有效的网络安全策略,通过利用`nginx`的高性能和`lua`的灵活性,结合`redis`的快速存取能力,能够实时阻止名单中的IP进行访问,保护服务器资源和用户数据的安全。...
waf:使用Nginx+Lua实现的WAF(版本v1.0)
05-08
支持IP白名单名单功能,直接将名单的IP访问拒绝。 支持URL白名单,将不需要过滤的URL进行定义。 支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403)。 支持CC攻击防护,单个URL指定时间...
nginx实战-基于lua语言
02-08
3. **安全防护**:Lua可以用来实现防火墙规则,如IP白名单、限速策略等,提高系统安全性。 4. **缓存管理**:利用Lua进行缓存操作,如动态计算缓存键、缓存失效策略等。 5. **日志处理**:通过Lua对请求日志进行...
Nginx配置IP地址的动态名单
YunWisdom
11-22 2346
Nginx配置IP地址的动态名单 本节介绍如何创建特定客户端IP地址的名单或白名单,拒绝或允许它们访问您的站点以及如何动态维护地址列表。 总览 先决条件 设定 管理键值数据库 完整的例子 也可以看看 总览 在NGINX Plus版本13(R13)和更高版本中,您可以将某些IP地址列入名单,以及创建和维护列入名单的IP地址的数据库。您还可以将其他IP地址明确...
使用Nginx OpenResty与Redis实现高效IP白名单管理
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
07-15 1853
OpenResty是一个基于Nginx的全功能Web平台,它集成了一系列精心设计Lua库、第三方模块和一个基于LuaJIT的轻量级Web框架。OpenResty的核心是Nginx,但它通过Lua语言扩展了Nginx的功能,使其能够构建能够处理超高并发的动态Web应用。白名单是一种安全策略,用于定义一组被信任的IP地址或实体,它们被允许访问特定的资源或服务。安全性增强:限制访问权限,仅允许特定的IP地址访问敏感资源。防止滥用:减少恶意用户或爬虫对服务的滥用。流量管理。
收录拒绝指定ip请求名单lua脚本、拒绝ip频次请求的lua脚本
Eamon_Jun的博客
11-26 2695
前言 最近对自己的博客EAMON (eamonjun.cn)加了个功能,基于OpenResty + Redis 动态封禁ip. 关于OpenResty了解一下,OpenResty(又称:ngx_openresty) 是一个基于 NGINX 的可伸缩的 Web 平台,由中国人章亦春发起,提供了很多高质量的第三方模块。 说实话对于lua脚本看是能看的懂的或者在一个成熟的脚本上做一些小的修改,但是全程下来就有点费劲了,所以需要收集一些常用的脚本,以备不时之需。 lua脚本 拒绝指定ip请求名单lua
nginx动态添加访问白名单的方法
09-30
本篇文章主要介绍了nginx动态添加访问白名单的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
nginx反向代理+nginx白名单+nginx负载均衡+平滑升级+配置jdk环境-7.30
最新发布
qq_70752758的博客
07-30 1371
一个资源多次请求,可能会到达不同的服务器上,导致不必要的多次下载,缓存命中率不高,以及一些资源时间的浪费。但是,有些请求占用的时间很长,会导致其所在的后端负载较高。⾸先安装 pcre。注意: 使用ip_hash指令无法保证后端服务器的负载均衡,可能导致有些后端服务器接收到的请求多,有些后端服务器接受的请求少,而且设置后端服务器权重等方法将不起作用。当没有使⽤ ssl 证书对服务器数据进⾏加密认证时,⽤户的数据将会以明⽂的形式进⾏传输,⽽此时,⽤户的数据可以被⼀些抓包⼯具获取,就容易造成⽤户的信息泄露。
Nginx结合Lua——Nginx通过Lua+Redis实现自动封禁访问频率高的IP
CapejasmineY的博客
10-12 1451
文章目录实验背景实验一、安装使用 OpenResty二、安装Redis三、在Nginx中使用Lua脚本访问Redis四、Nginx+Lua+Redis 实验背景 为了防止某恶意用户多次对服务器端口进行攻击,我们需要建立一个动态的 IP 名单。对于名单之内的 IP ,拒绝提供服务。 实现 IP 名单的功能有很多途径: 在操作系统层面,配置 iptables,拒绝指定 IP 的网络请求; 在 Web Server 层面,通过 Nginx 自身的 deny 选项 或者 lua 插件 配置 IP 名单;
Nginx + Lua + API:实现精准城市级别的访问控制
漠效的博客
04-03 1559
在实际的 Web 项目中,有时需要根据客户端位置信息进行访问控制。例如,某些网站可能只允许特定省份或城市的用户访问,而其他地区的用户则无法访问。通常如果要限制地区,通常有如下几种限制方式:在代码层面进行处理,即通过代码判断客户端 IP 所在的省份或城市,然后根据判断结果进行访问控制访问控制逻辑需要集成到应用程序中,难以实现全局有效的访问控制每次请求都需要进行 IP 地址查询和解析,会增加服务器负担攻击者可以伪造 IP 地址等信息来规避访问控制。
开源星球:Utopia框架例子,百行Lua代码实现NGINX IP名单
2301_79346275的博客
08-28 81
nginx-http-lua-module和utopia框架的核心目标是解决nginx reload问题,本文以IP名单为例,演示如何从零实现这一功能。然后定时将这个JSON配置同步到各个进程的Lua模块,让Lua代码可以快速的访问。要实现任何的热加载功能,需要两部分,一部分是配置的管理,一部分是配置的使用。为了让每个进程快速访问到配置,需要将配置定时同步到Lua模块里。接着是配置的使用,每个http请求都有可能用到Lua里的配置。lua对象:ngx和r​​​​​​​。nginx指令:​​​​​​​。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值