基于Nginx实现访问控制、连接限制

前言

Nginx自带的模块支持对并发请求数进行限制, 还有对请求来源进行限制。可以用来防止DDOS攻击。
阅读本文须知道nginx的配置文件结构和语法。

1. 默认配置语法

nginx.conf作为主配置文件

include /etc/nginx/conf.d/*.conf读到这会把该目录的.conf也读进来

1.1 全局性的和服务级别的

user 设置使用用户
worker_processes 进行增大并发连接数的处理 跟cpu保持一致 八核设置八个
error_log nginx的错误日志
pid nginx服务启动时候pid

1.2 event对事件的模块

worker_connections一个进程允许处理的最大连接数
use定义使用的内核模型

1.3 server

root 首页的路径
index 首页默认访问哪个页面
error_page 500 502 503 504 /50x.html 错误页面 前面的500是**`http状态码`**
systemctl restart nginx.service 重启nginx
systemctl reload nginx.service 不关闭服务柔和地重启

2. HTTP

curl-v http://www.baidu.com >/dev/null #-v 同时显示状态码等信息
nginx -V #显示nginx版本及配置文件等信息

3. 日志

日志类型:error.log和access.log

error.log(记录处理http请求的错误状态以及nginx本身服务的错误状态)
access.log(每次http请求的访问状态)

log_format:设置了日志的记录格式,定义日志以什么样的样式记录到error.log、access.log中,log_format的配置只能配置在http模块中。

access_log配置在http中。

4. 变量

连接限制 limit_conn_module

limit_conn_module:TCP连接频率限制, 一次TCP连接可以建立多次HTTP请求。
配置语法:

limit_conn_module语法 范围 说明
limit_conn_zone 标识 zone=空间名:空间大小; http 用于声明一个存储空间
limit_conn 空间名 并发限制数; http、server或location 用于限制某个存储空间的并发数量
limit_conn_log_level 日志等级; http、server或location 当达到最大限制连接数后, 记录日志的等级
limit_conn_status 状态码; http、server或location 当超过限制后,返回的响应状态码,默认是503

limit_conn_zone会声明一个zone空间来记录连接状态, 才能限制数量。
zone是存储连接状态的空间, 以键值对存储, 通常以客户端地址$binary_remote_addr作为key来标识每一个连接。
zone空间被耗尽,服务器将会对后续所有的请求返回503(Service Temporarily Unavailable)错误。

请求限制 limit_req_mudule

limit_req_mudule:HTTP请求频率限制, 一次TCP连接可以建立多次HTTP请求。
配置语法:

limit_req_mudule语法 范围 说明
limit_req_zone key zone=空间名:空间大小 rate=每秒请求数; http 用于声明一个存储空间
limit_req zone=空间名 [burst=队列数] [nodelay]; http、server或location 用于限制某个存储空间的并发数量

这里的zone也是用来存储连接的一个空间。

burst 和 nodelay

burstnodelay对并发请求设置了一个缓冲区和是否延迟处理的策略。
先假设有如下zone配置。

http {
 limit_req_zone $binan_remote_addr zone=req_zone:1m rate=10r/s;
}

情况 1:limit_req zone=req_zone;

  • 1秒发送10个请求, 正常响应。
  • 1秒发送13个请求, 前10个请求正常响应, 后3个请求返回503(Service Temporarily Unavailable)

不加brustnodelay的情况下,rate=10r/s每秒只能执行10次请求, 多的直接返回503错误。

情况 2:limit_req zone=req_zone brust=5;

  • 1秒发送10个请求, 正常响应。
  • 1秒发送13个请求, 前10个请求正常响应, 后3个请求放入brust等待响应。
  • 1秒发送20个请求, 前10个请求正常响应, 后5个请求放入brust等待响应, 最后5个请求返回503(Service Temporarily Unavailable), 第2秒执行brust中的5个请求。
  • 1秒发送20个请求, 前10个请求正常响应, 后5个请求放入brust等待响应, 最后5个请求返回503(Service Temporarily Unavailable), 第2秒发送6个请求, 执行brust中的5个请求, 将5个请求放入brust等待响应, 剩下的1个请求返回503(Service Temporarily Unavailable)

brust=5不加nodelay的情况下, 有一个容量为5的缓冲区,rate=10r/s每秒只能执行10次请求, 多的放到缓冲区中, 如果缓冲区满了, 就直接返回503错误。而缓冲区在下一个时间段会取出请求进行响应, 如果还有请求进来, 则继续放缓冲区, 多的就返回503错误。

情况 3:limit_req zone=req_zone brust=5 nodelay;

  • 1秒发送10个请求, 正常响应。
  • 1秒发送13个请求,13个请求正常响应。
  • 1秒发送20个请求, 前15个请求正常响应, 后5个请求返回503(Service Temporarily Unavailable)
  • 1秒发送20个请求, 前15个请求正常响应, 后5个请求返回503(Service Temporarily Unavailable), 第2秒发送6个请求, 正常响应。

brust=5nodelay的情况下, 有一个容量为5的缓冲区,rate=10r/s每秒能执行15次请求,15=10+5。多的直接返回503错误。

基于 IP 的访问控制

http_access_module: 基于IP的访问控制, 通过代理可以绕过限制, 防君子不防小人。

http_access_module语法 范围 说明
allow IP地址 | CIDR网段 | unix: | all; http、server、location和limit_except 允许IP地址、CIDR格式的网段、unix套接字或所有来源访问
deny IP地址 | CIDR网段 | unix: | all; http、server、location和limit_except 禁止IP地址、CIDR格式的网段、unix套接字或所有来源访问

allow和deny会按照顺序, 从上往下, 找到第一个匹配规则, 判断是否允许访问, 所以一般把all放最后

location / {
 deny 192.168.1.1;
 allow 192.168.1.0/24;
 allow 10.1.1.0/16;
 allow 2001:0db8::/32;
 deny all;
}

基于用户密码的访问控制

http_auth_basic_module: 基于文件匹配用户密码的登录

http_auth_basic_module语法 范围 说明
auth_basic 请输入你的帐号密码 | off; http、server、location和limit_except 显示用户登录提示 (有些浏览器不显示提示)
auth_basic_user_file 存储帐号密码的文件路径; http、server、location和limit_except 从文件中匹配帐号密码

密码文件可以通过htpasswd生成,htpasswd需要安装yum install -y httpd-tools

# -c 创建新文件, -b在参数中直接输入密码
$ htpasswd -bc /etc/nginx/conf.d/passwd user1 pw1
Adding password for user user1
$ htpasswd -b /etc/nginx/conf.d/passwd user2 pw2
Adding password for user user2
$ cat /etc/nginx/conf.d/passwd
user1:$apr1$7v/m0.IF$2kpM9NVVxbAv.jSUvUQr01
user2:$apr1$XmoO4Zzy$Df76U0Gzxbd7.5vXE0UsE0

参考资料

limit_conn_module

limit_req_mudule

http_access_module

http_auth_basic_module

总结

以上所述是小编给大家介绍的基于Nginx实现访问控制、连接限制,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对我们网站的支持!
如果你觉得本文对你有帮助,欢迎转载,烦请注明出处,谢谢!

(0)

相关推荐

  • 浅谈Nginx请求限制和访问控制的实现

    一.Nginx的请求限制 1. HTTP协议的连接与请求 HTTP协议版本与连接关系 HTTP协议版本 连接关系 HTTP1.0 TCP不能复用 HTTP1.1 顺序性TCP复用 HTTP2.0 多路复用TCP复用 HTTP请求建立在一次TCP连接的基础上. 一次TCP连接至少可以产生一次HTTP请求,HTTP1.1版本以后,建立一次TCP连接可以发送多次HTTP请求. 1. 连接频率限制 ngx_http_limit_conn_module 语法 Syntax: limit_conn_zone

  • 详解nginx的请求限制(连接限制和请求限制)

    一,背景 我们经常会遇到这种情况,服务器流量异常,负载过大等等.对于大流量恶意的攻击访问,会带来带宽的浪费,服务器压力,影响业务,往往考虑对同一个ip的连接数,并发数进行限制.http_limit_conn_module 模块来实现.该模块可以根据定义的键来限制每个键值的连接数,如同一个IP来源的连接数.并不是所有的连接都会被该模块计数,只有那些正在被处理的请求(这些请求的头信息已被完全读入)所在的连接才会被计数.http_limit_req_module 模块来实现,该模块可以通过定义的 键值

  • Nginx访问控制与参数调优的方法

    Nginx全局变量 Nginx中有很多的全局变量,可以通过$变量名来使用.下面列举一些常用的全局变量: 变量 说明 $args 请求中的参数,如www.123.com/1.php?a=1&b=2的$args就是a=1&b=2 $content_length HTTP请求信息里的"Content-Length" $conten_type HTTP请求信息里的"Content-Type" $document_root nginx虚拟主机配置文件中的roo

  • nginx访问控制的两种方法

    环境 系统环境:CentOS6.7 nginx version: nginx/1.8.1 一.基于Basic Auth认证 Nginx提供HTTP的Basic Auth功能,配置了Basic Auth之后,需要输入正确的用户名和密码之后才能正确的访问网站. 我们使用htpasswd来生成密码信息,首先要安装httpd-tools,在httpd-tools中包含了htpasswd命令. yum install -y httpd-tools 接下来我们就可以创建用户和密码了,例如创建一个loya的用

  • 详解Nginx防盗链和Nginx访问控制与Nginx解析php的配置

    详解Nginx防盗链和Nginx访问控制与Nginx解析php的配置 Nginx防盗链 配置如下,可以和上面的配置结合起来 location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)$ { expires 7d; valid_referers none blocked server_names *.test.com ; if ($invalid_referer) { return 403; } access

  • 基于Nginx实现访问控制、连接限制

    前言 Nginx自带的模块支持对并发请求数进行限制, 还有对请求来源进行限制.可以用来防止DDOS攻击. 阅读本文须知道nginx的配置文件结构和语法. 1. 默认配置语法 nginx.conf作为主配置文件 include /etc/nginx/conf.d/*.conf读到这会把该目录的.conf也读进来 1.1 全局性的和服务级别的 user 设置使用用户 worker_processes 进行增大并发连接数的处理 跟cpu保持一致 八核设置八个 error_log nginx的错误日志

  • Nginx 合并请求连接且加速网站访问实例详解

    前言 作为这个世界上最好的web服务器之一,Nginx的优势不明而喻.下面来讲讲,Nginx是如何合并请求连接的. 小知识 当我们在浏览网页的时候,对浏览速度有一个重要的影响因素,就是浏览器的并发数量.并发数量简单通俗的讲就是,当浏览器网页的时候同时工作的进行数量. 当然浏览器的并发请求数目限制是针对同一域名的,同一时间针对同一域名下的请求有一定数量限制,超过限制数目的请求会被阻塞. 首先我们看下各个浏览器的并发连接数: 罗列一下浏览器这么决定可能有什么考虑 由于TCP 协议的限制,PC 端只有

  • 教你快速构建一个基于nginx的web集群项目

    目录 一 ·项目环境 二· 项目描述 三· 项目步骤 1.安装 2.配置 3.实现负载均衡 4.搭建服务器 5.压力测试 6.监控 7.高可用 8.域名解析 9.提升性能 10.使用ansible编写playbook 四· 项目总结 五·搭建WEB注意 一 ·项目环境 centos7/8服务器8台.nginx 1.21.1.ab.nfs4. zabbix.keepalived 2.1.5 .ansible,bind 二· 项目描述 构建一个基于nginx的4/7层负载均衡的web集群项目 模拟企

  • 永中文档在线转换预览基于nginx配置部署方案

    目录 永中文档在线转换预览双活实现方案 永中文档在线转换预览双活实现方案 永中文档在线转换预览服务 是永中软件股份有限公司基于十多年核心技术积累.面向移动互联领域推出的 一款文档处理软件.永中采用自主可控核心技术,具备快速技术和服务响应能力,把文档原样输出为 HTML,图片等,即点即得.无需下载.保护文档隐私,快速高效,轻松实现文档在线安全阅读.​ 实现目标 通过nginx实现业务fcsserver负载均衡,后端可以动态扩展应用服务器nginx通过keepalived实现高可用,解决单点故障通过

  • PHP基于mssql扩展远程连接MSSQL的简单实现方法

    本文实例讲述了PHP基于mssql扩展远程连接MSSQL的简单实现方法.分享给大家供大家参考,具体如下: 这里给出的是一个简单的示例,没有做安全考虑,自行处理吧: <?php // 连接数据库 $conn = mssql_connect('hostip:1433','user','pass') or die("SQL SERVER 数据库连接失败!"); // 选择数据库 mssql_select_db('UserInfo', $conn); // sql语句 $sql = &q

  • 基于Socket的网络连接 Flex与.NET互操作(一)

    ActionScript 3.0提供了通过Socket连接的方式与服务器端通信.这点是超越传统B/S结构的重要特征.这样使得网络通信可以即时连接,避免了HTTP协议无状态连接的弊病.ActionScript 3.0使用XMLSocket类进行连接.需要注意的是使用XMLSocket类进行Socket连接时,不能自动穿过防火墙.要想穿过防火墙连接,则需要使用基于HTTP协议的RTMP协议. 通过查阅Adobe提供的API文档可以了解到,XMLSocket提供了四个公开方法: .XMLSocket(

  • Python基于Pymssql模块实现连接SQL Server数据库的方法详解

    本文实例讲述了Python基于Pymssql模块实现连接SQL Server数据库的方法.分享给大家供大家参考,具体如下: 数据库版本:SQL Server 2012. 按照Python版本来选择下载pymssql模块,这样才能连接上sql server. 我安装的python版本是3.5 ,64位的,所以下载的pymssql模块是:pymssql-2.1.3-cp35-cp35m-win_amd64.whl 我把文件下载后放到E盘,安装pymssql模块: C:\Users\Administr

  • golang实现基于channel的通用连接池详解

    前言 golang的channel除了goroutine通信之外还有很多其他的功能,本文将实现一种基于channel的通用连接池.下面话不多说了,来一起看看详细的介绍吧. 功能 * 连接池中连接类型为interface{},使得更加通用 * 链接的最大空闲时间,超时的链接将关闭丢弃,可避免空闲时链接自动失效问题 * 使用channel处理池中的链接,高效 何为通用? 连接池的实现不依赖具体的实例,而依赖某个接口,本文的连接池选用的是io.Closer接口,只要是实现了该接口的对象都可以被池管理.

  • CentOS基于nginx反向代理实现负载均衡的方法

    本文实例讲述了CentOS基于nginx反向代理实现负载均衡的方法.分享给大家供大家参考,具体如下: nginx做负载均衡的优点: 1.工作在网络的7层之上,可以针对http应用做一些分流的策略,比如针对域名.目录结构,它的正则规则比HAProxy更为强大和灵活,这也是它目前广泛流行的主要原因之一,nginx单凭这点可利用的场合就远多于LVS了 2.nginx对网络稳定性的依赖非常小,理论上能ping通就就能进行负载功能,这个也是它的优势之一:相反LVS对网络稳定性依赖比较大,这点本人深有体会

  • 基于nginx access日志格式详解

    nginx的nginx.cnf中,使用log_format字段可以指定日志的格式文件. log.fromat: log_format access ' [$time_local] | $host | $remote_addr | $request | $request_time | $body_bytes_sent | $status |' '| $upstream_addr | $upstream_response_time | $upstream_status |' ' "$http_ref

随机推荐