Nginx负载均衡的一些安全配置说明

在之前的几篇文章里，我们都说到了负载均衡，而负载均衡的转发服务器使用了Nginx，但是我们没有详细的对Nginx的安全配置做一个分析，如果对负载均衡的知识比较有兴趣，欢迎订阅我的头条号：一点热，然后再阅读我之前的文章。

快速入口

java项目如何实现单一的nginx负载均衡

关于Nginx的一些安全设置，我在这里做个分析。

1、限制IP访问

有时，我们需要对网站的IP进行过滤，禁止其他外部的IP访问到我们的数据，只允许我们特定的IP访问，那么我们需要对服务器进行白名单配置。

我们如果对某个IP允许的话输入allow ip,如果是禁止的话deny ip;如果是禁止所以的就deny all;

location / {

allow 192.168.1.101;

deny 192.168.1.101;

deny all;

}

2、文件目录禁止访问限制。

有些文件或者目录，我们仅仅用于内部读取等用途，我们不希望被其它人访问到，那么我们需要对Nginx添加相应的限制，以防止用户访问到我们的网站。特别是我们tomcat的项目，我们如果使用Nginx进行转发的时候，我们需要对tomcat项目的配置文件进行禁止访问，否则，数据库的密码很容易泄露出去。

比、如我们要保护config目录下的所有文件，那么我们可以这样配置：

location ^~ /config/ {

deny all;

}

当然我们还可以限制IP访问到该目录

location ^~ /config/ {

allow 192.168.1.0/24;

deny all;

}

3、需要防止DOS攻击

在互联网中，我们经常会遇到不明的IP进行DOS攻击，那么我们需要对DOS攻击进行防护，对于怎么防止DOS攻击，我们可以从IP的请求数,在日常中，我们经常会遇到大量的攻击IP攻击我们的服务器，如果我们不加以对这些恶意的IP限制，那么我们的机器很容易会崩溃，同样我们也可以对我们的客户端的连接数进行限制，在实际操作，我们的开放平台，会经常遇到同一个客户端，每秒的请求数可能是1000，其实就是与我们的防止DOS攻击设计的原来一样。值得，我们注意的是，我们虽然做到了这个防止DOS攻击，但是同时，我们也大大限制了爬虫的访问，别的爬虫就无法多次连接我们的网站进行采集，那么可能出现的后果就是，如果百度谷歌的搜索引擎，要收集你的页面，那么会出现采集不到，同时也有可能降低你的网站的权重。所有这个要衡量一下，取一个适中的值。

在Nginx里面我们可以使用两个参数来设置IP请求数和连接数，它们分别是limit_zone和limit_conn

使用方法

limit_zone

限制某一段时间内同一ip访问数实例

用法：limit_zone zone_name $variable memory_max_size

limit_conn

说明：连接数限制

用法：limit_conn zone_name max_clients_per_ip

http{

#定义一个名为ming 的limit_req_zone用来存储session，大小是10M内存，

limit_zone ming $binary_remote_addr 10m;

#另外的设法如下：

#limit_req_zone $binary_remote_addr zone=ming2:10m rate=20r/s;

#以$binary_remote_addr 为key,限制平均每秒的请求为20个，rete的值必须为整数，

server {

location /yeehot/ {

limit_conn ming 3;#这将指定一个地址只能同时存在3个连接。

}

}

4、请求方法的限制

有时，我们可能有些请求方法我们是不需要用到的，而且不希望客户端通过碰撞的方式来攻击我们的网站，那么我们需要对某些方法禁止使用。

对于我们常用三种方法get \post这个我们是一般是开启的，而其他的我们可以把它不开启。在Nginx我们可以这样设计

location ~* /yeehot{

if ($request_method = PUT ) {

return 403;

}

if ($request_method = DELETE ) {

return 403;

}

}

5、限制文件上传的大小。

对于为什么需要我们文件上传大小进行限制，那是因为在互联网中，每个用户是无意识的上传文件的，那么对于他们来说，不知道存储设备的可贵,类似恶意的上传大文件攻击服务器，同时如果批量的上传一些木马上去的话，便导致我们的服务器安全性形成一个攻击的工具。就是我们经常听到的挂马。这个我们可以在后端服务器进行过滤。

location / {

proxy_pass http://loginserver;

client_max_body_size 20m;

}

今天的课程就讲到这里，下一节我们继续把Nginx的一些安全知识为大家讲一讲，欢迎订阅我的头条号，一点热，如果有问题欢迎留言咨询，欢迎转发与收藏，如果转载到其他地方，请与我联系。