Nginx负载均衡的一些安全配置说明
ztj100 2025-03-26 19:21 33 浏览 0 评论
在之前的几篇文章里,我们都说到了负载均衡,而负载均衡的转发服务器使用了Nginx,但是我们没有详细的对Nginx的安全配置做一个分析,如果对负载均衡的知识比较有兴趣,欢迎订阅我的头条号:一点热,然后再阅读我之前的文章。
快速入口
关于Nginx的一些安全设置,我在这里做个分析。
1、限制IP访问
有时,我们需要对网站的IP进行过滤,禁止其他外部的IP访问到我们的数据,只允许我们特定的IP访问,那么我们需要对服务器进行白名单配置。
我们如果对某个IP允许的话输入allow ip,如果是禁止的话deny ip;如果是禁止所以的就deny all;
location / {
allow 192.168.1.101;
deny 192.168.1.101;
deny all;
}
2、文件目录禁止访问限制。
有些文件或者目录,我们仅仅用于内部读取等用途,我们不希望被其它人访问到,那么我们需要对Nginx添加相应的限制,以防止用户访问到我们的网站。特别是我们tomcat的项目,我们如果使用Nginx进行转发的时候,我们需要对tomcat项目的配置文件进行禁止访问,否则,数据库的密码很容易泄露出去。
比、如我们要保护config目录下的所有文件,那么我们可以这样配置:
location ^~ /config/ {
deny all;
}
当然我们还可以限制IP访问到该目录
location ^~ /config/ {
allow 192.168.1.0/24;
deny all;
}
3、需要防止DOS攻击
在互联网中,我们经常会遇到不明的IP进行DOS攻击,那么我们需要对DOS攻击进行防护,对于怎么防止DOS攻击,我们可以从IP的请求数,在日常中,我们经常会遇到大量的攻击IP攻击我们的服务器,如果我们不加以对这些恶意的IP限制,那么我们的机器很容易会崩溃,同样我们也可以对我们的客户端的连接数进行限制,在实际操作,我们的开放平台,会经常遇到同一个客户端,每秒的请求数可能是1000,其实就是与我们的防止DOS攻击设计的原来一样。值得,我们注意的是,我们虽然做到了这个防止DOS攻击,但是同时,我们也大大限制了爬虫的访问,别的爬虫就无法多次连接我们的网站进行采集,那么可能出现的后果就是,如果百度谷歌的搜索引擎,要收集你的页面,那么会出现采集不到,同时也有可能降低你的网站的权重。所有这个要衡量一下,取一个适中的值。
在Nginx里面我们可以使用两个参数来设置IP请求数和连接数,它们分别是limit_zone和limit_conn
使用方法
limit_zone
限制某一段时间内同一ip访问数实例
用法:limit_zone zone_name $variable memory_max_size
limit_conn
说明:连接数限制
用法:limit_conn zone_name max_clients_per_ip
http{
#定义一个名为ming 的limit_req_zone用来存储session,大小是10M内存,
limit_zone ming $binary_remote_addr 10m;
#另外的设法如下:
#limit_req_zone $binary_remote_addr zone=ming2:10m rate=20r/s;
#以$binary_remote_addr 为key,限制平均每秒的请求为20个,rete的值必须为整数,
server {
location /yeehot/ {
limit_conn ming 3;#这将指定一个地址只能同时存在3个连接。
}
}
4、请求方法的限制
有时,我们可能有些请求方法我们是不需要用到的,而且不希望客户端通过碰撞的方式来攻击我们的网站,那么我们需要对某些方法禁止使用。
对于我们常用三种方法get \post这个我们是一般是开启的,而其他的我们可以把它不开启。在Nginx我们可以这样设计
location ~* /yeehot{
if ($request_method = PUT ) {
return 403;
}
if ($request_method = DELETE ) {
return 403;
}
}
5、限制文件上传的大小。
对于为什么需要我们文件上传大小进行限制,那是因为在互联网中,每个用户是无意识的上传文件的,那么对于他们来说,不知道存储设备的可贵,类似恶意的上传大文件攻击服务器,同时如果批量的上传一些木马上去的话,便导致我们的服务器安全性形成一个攻击的工具。就是我们经常听到的挂马。这个我们可以在后端服务器进行过滤。
location / {
proxy_pass http://loginserver;
client_max_body_size 20m;
}
今天的课程就讲到这里,下一节我们继续把Nginx的一些安全知识为大家讲一讲,欢迎订阅我的头条号,一点热,如果有问题欢迎留言咨询,欢迎转发与收藏,如果转载到其他地方,请与我联系。
相关推荐
- 其实TensorFlow真的很水无非就这30篇熬夜练
-
好的!以下是TensorFlow需要掌握的核心内容,用列表形式呈现,简洁清晰(含表情符号,<300字):1.基础概念与环境TensorFlow架构(计算图、会话->EagerE...
- 交叉验证和超参数调整:如何优化你的机器学习模型
-
准确预测Fitbit的睡眠得分在本文的前两部分中,我获取了Fitbit的睡眠数据并对其进行预处理,将这些数据分为训练集、验证集和测试集,除此之外,我还训练了三种不同的机器学习模型并比较了它们的性能。在...
- 机器学习交叉验证全指南:原理、类型与实战技巧
-
机器学习模型常常需要大量数据,但它们如何与实时新数据协同工作也同样关键。交叉验证是一种通过将数据集分成若干部分、在部分数据上训练模型、在其余数据上测试模型的方法,用来检验模型的表现。这有助于发现过拟合...
- 深度学习中的类别激活热图可视化
-
作者:ValentinaAlto编译:ronghuaiyang导读使用Keras实现图像分类中的激活热图的可视化,帮助更有针对性...
- 超强,必会的机器学习评估指标
-
大侠幸会,在下全网同名[算法金]0基础转AI上岸,多个算法赛Top[日更万日,让更多人享受智能乐趣]构建机器学习模型的关键步骤是检查其性能,这是通过使用验证指标来完成的。选择正确的验证指...
- 机器学习入门教程-第六课:监督学习与非监督学习
-
1.回顾与引入上节课我们谈到了机器学习的一些实战技巧,比如如何处理数据、选择模型以及调整参数。今天,我们将更深入地探讨机器学习的两大类:监督学习和非监督学习。2.监督学习监督学习就像是有老师的教学...
- Python 模型部署不用愁!容器化实战,5 分钟搞定环境配置
-
你是不是也遇到过这种糟心事:花了好几天训练出的Python模型,在自己电脑上跑得顺顺当当,一放到服务器就各种报错。要么是Python版本不对,要么是依赖库冲突,折腾半天还是用不了。别再喊“我...
- 神经网络与传统统计方法的简单对比
-
传统的统计方法如...
- 自回归滞后模型进行多变量时间序列预测
-
下图显示了关于不同类型葡萄酒销量的月度多元时间序列。每种葡萄酒类型都是时间序列中的一个变量。假设要预测其中一个变量。比如,sparklingwine。如何建立一个模型来进行预测呢?一种常见的方...
- 苹果AI策略:慢哲学——科技行业的“长期主义”试金石
-
苹果AI策略的深度原创分析,结合技术伦理、商业逻辑与行业博弈,揭示其“慢哲学”背后的战略智慧:一、反常之举:AI狂潮中的“逆行者”当科技巨头深陷AI军备竞赛,苹果的克制显得格格不入:功能延期:App...
- 时间序列预测全攻略,6大模型代码实操
-
如果你对数据分析感兴趣,希望学习更多的方法论,希望听听经验分享,欢迎移步宝藏公众号...
欢迎 你 发表评论:
- 一周热门
- 最近发表
- 标签列表
-
- idea eval reset (50)
- vue dispatch (70)
- update canceled (42)
- order by asc (53)
- spring gateway (67)
- 简单代码编程 贪吃蛇 (40)
- transforms.resize (33)
- redisson trylock (35)
- 卸载node (35)
- np.reshape (33)
- torch.arange (34)
- npm 源 (35)
- vue3 deep (35)
- win10 ssh (35)
- vue foreach (34)
- idea设置编码为utf8 (35)
- vue 数组添加元素 (34)
- std find (34)
- tablefield注解用途 (35)
- python str转json (34)
- java websocket客户端 (34)
- tensor.view (34)
- java jackson (34)
- vmware17pro最新密钥 (34)
- mysql单表最大数据量 (35)