Nginx(17)-安全管控之防暴露、限制访问、防DDos攻击、防爬虫、防非法引用

原创 已于 2023-12-27 18:24:03 修改 · 2k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #安全 #前端

于 2023-11-22 08:49:53 首次发布
本文介绍了Nginx在安全管控方面的重要功能,包括关闭版本号显示、禁止目录列表、限制客户端访问、启用HTTPS加密、防DDoS攻击、防非法引用和防爬虫策略。通过示例代码详细阐述了如何配置Nginx以增强服务器安全性,同时强调了最佳实践,如限制系统访问权限、定期巡检和备份数据。

        安全是每个系统都需要考虑的关键因素,Nginx在这方面提供了丰富的功能,使我们可以就实际情形做很精细调整。这些功能包括防信息暴露、客户端访问限制、通讯加密、防DDos攻击、防爬虫、防非法引用及防非法域名请求等。

目录

防信息暴露

关闭版本号

关闭目录列表

客户端访问限制

限制客户端地址访问

国家或城市位置限制访

禁止不安全的HTTP方法

HTTPS加密

防DDos攻击

防非法域名指向

防爬虫

利用请求头变量防爬虫

使用Robots.txt文件防爬虫

最佳实践

限制系统访问权限

定期巡检

备份数据

检查日志文件

问题排查

安装最新版本

防信息暴露

关闭版本号

        Nginx默认会在HTTP的响应头中包含服务器版本号信息,攻击者可以利用此信息进行攻击和细节披露。可关闭版本号的显示,指令如下:

server_tokens off;

关闭目录列表

        如果Nginx的目录没有默认的index文件,会自动展示目录下的文件列表,这可能会暴露敏感信息。可以通过禁止自动目录列表的方式来阻止此行为。
示例代码:

location / {
    autoindex off ;
}

客户端访问限制

        Nginx可以对客户端进行访问限制。

限制客户端地址访问

直接通过allow或deny限制某些客户端地址的访问。指令如下:

allow address | CIDR | unix: | all;  

deny address | CIDR | unix: | all;

允许或不允许客户端访问。

参数:address:直接IP地址形式;CIDR:无类别域间路由;unix: unix套接字;all-所有

示例:

location / {
    # 将按顺序检查规则,直到找到第一个匹配项
    # 单独ip 192.168.1.1可访问
    deny  192.168.1.1;
    # CIDR: 192.168.1.1-192.168.1.255(掩码:255.255.255.0)可访问
    allow 192.168.1.0/24;
    # CIDR: 10.1.1.1-10.1.255.255(掩码:255.255.0.0)可访问 (注意不包括10.1.0.x)
    allow 10.1.1.0/16;
    # IPv6网络2001:0db8::/32进行访问
    allow 2001:0db8::/32;
    # 符合上述之外的不可访问
    deny  all;
}

国家或城市位置限制访

        可以通过国家或城市位置限制访问,详见精通Nginx(12)-流量管控

禁止不安全的HTTP方法

默认情况下,Nginx支持多种HTTP方法,包括GETHEADPOSTPUTDELETEMKCOLCOPY

最低0.47元/天 解锁文章
【第14章】亿级电商平台订单系统-安全架构设计
cherry5230的博客
03-21 395
确保外部访问系统的通信协议安全保证数据传输通道安全性图示说明:外部 -> [安全通道] -> 应用系统每个程序/用户仅拥有完成功能必需的最小权限集合课程分为上下两部分重点:从外部访问开始构建安全架构体系学习目标:服务层花式安全架构设计的层次化解析重点范围:服务层整体安全设计(不涉及服务内部功能安全)学习目标:服务内部安全架构设计前置知识:单体服务安全设计服务间交互安全设计聚合层攻击处理安全设计层次:网络层防护服务网关控制服务间通信安全内部实现安全
国家信息安全水平考试(NISP一级)最新题库-第十五章
2401_88014641的博客
10-19 1173
国家信息安全水平考试(NISP一级)最新题库-第十五章
nginx 盗链防爬虫配置详解
01-08
新建配置配置文件 (例如进入到nginx安装目录下的conf目录,创建: agent_deny.conf) 禁止Scrapy等工具的抓取 if ($http_user_agent ~* (Scrapy|Curl|HttpClient)) { return 403; } 禁止指定UA及UA为空的访问 #forbidden Scrapy if ($http_user_agent ~* (Scrapy|Curl|HttpClient)) { return 403; } #forbidden UA if ($http_user_agent ~ Bytespider|FeedDemon|Ji
Nginx反爬虫
09-12 372
原文地址:http://abublog.com/nginx_agent_deny.html 进入到nginx安装目录下的conf目录,将如下代码保存为agent_deny.conf # cd /usr/local/nginx/conf # vi agent_deny.conf #禁止Scrapy等工具的抓取 if ($http_user_agent ~* (...
Nginx限流与防爬虫安全配置方案
qq_31292011的博客
09-09 954
使用二进制格式的客户端IP,节省内存。:定义10MB内存用于存储限流状态。:超出限制立即返回错误,不排队等待。:限制每秒10个请求。
nginx止爬虫
B_H_L的专栏
03-18 4139
修改nginx.conf server {  listen 80;  server_name www.ready.com;  #添加如下内容即可止爬虫 if ($http_user_agent ~* "qihoobot|Baiduspider|Googlebot|Googlebot-Mobile|Googlebot-Image|Mediapartners-Google|Adsbot-G
Nginx防爬虫
05-30 1831
验证User-Agent:通过配置Nginx的规则,检查请求头中的User-Agent字段,拒绝非浏览器类型的User-Agent访问,以阻止爬虫。请注意,在配置Nginx时,要根据自己的网站情况进行适当的调整,避免误判正常用户。限制访问频率:通过配置Nginx访问频率限制模块,可以限制单个IP地址在一段时间内的请求数量,从而止爬虫在短时间内发起大量请求。封禁特定IP地址或IP段:将可疑的爬虫IP地址添加到Nginx的配置文件中,通过配置禁止这些IP地址访问网站。
nginx配置防爬虫
weixin_44313748的博客
08-27 1731
nginx里的conf中新增配置文件 创建: agent_deny.conf #禁止Scrapy等工具的抓取 if ($http_user_agent ~* (Scrapy|Curl|HttpClient)) { return 403; } #禁止指定UA及UA为空的访问 if ($http_user_agent ~ "WinHttp|WebZIP|FetchURL|node-superagent|java/| FeedDemon|Jullo|JikeSpider|Indy Library|A
Nginx利用ngx_http_limit_conn_module限制连接数
在实际应用中,尤其适用于DDoS 攻击、爬虫滥用、接口刷量等场景,保障服务稳定性和资源合理分配。 核心指令之一为 `limit_conn_zone`,其语法格式为:`limit_conn_zone $variable zone=name:size;`,该指令...
有关bitpie安装后创建和导入Nginx示例
最新发布
2509_93966696的博客
11-24 737
摘要:本文深入探讨Nginx限流技术在互联网系统中的应用。文章首先阐述了限流的必要性,包括止恶意流量、保护后端资源、维护系统稳定性等场景。然后详细解析Nginx内置的两套限流机制:基于limit_req的请求速率限流和基于limit_conn的连接数限流。通过多个典型配置示例,展示了Nginx如何实现IP级、接口级和用户级的限流策略。文章还总结了实战经验,包括burst参数设置、nodelay选项等优化建议。最后指出Nginx限流作为系统第一道线的重要价值,其高性能、低成本的特点使其成为流量治理的关键工
nginx 配置防爬虫
qyhua的专栏
01-18 1667
今天早上查看服务器,发现昨天发布的一个在线解析充电桩协议的网页工具有大量的访问记录,应该是爬虫在爬api接口数据。该工具api接口后台用的是python写的,和大多数项目一样也采用nginx反向代理,由于采用nginx,可以利用nginx配置限制小部分小爬虫。
nginx——Nginx 防爬虫优化
pencilseo的博客
09-02 1573
if ($http_user_agent ~* “qihoobot|Baiduspider|Googlebot|Googlebot-Mobile|Googlebot-Image|Mediapartners-Google|Adsbot-Google|Yahoo! Slurp China|YoudaoBot|Sosospider|Sogou spider|Sogou web spider|MSNBot...
NGINX 最基本的防爬虫盗链
1252661442的博客
11-06 739
防爬虫在 [ server内location外 ]配置 if ($http_user_agent ~* (baiduspider|360spider|haosouspider|googlebot|soso|bing|sogou|yahoo|sohu-search|yodao|YoudaoBot|robozilla|msnbot|MJ12bot|NHN|Twiceler)) { ...
Nginx设置防爬虫策略
kun blog
04-24 8033
有助于网站的爬虫可以提升网站排名,比如百度蜘蛛。但有些爬虫对服务器恶意获取网站信息,不遵守robots规则,我们需要进行拦截。可以禁止某些User Agent抓取网站。 新建配置配置文件 (例如进入到nginx安装目录下的conf目录,创建: agent_deny.conf) #禁止Scrapy等工具的抓取 if ($http_user_agent ~* (Scrapy|Curl|Ht...
nginx过滤爬虫访问
qq_27361945的博客
09-09 3311
思路来自ai:Nginx可以通过多种方式来限制爬虫的行为:1. **User-Agent限制**:可以通过检查HTTP请求的User-Agent头部来识别并限制某些爬虫。例如,可以在Nginx配置文件中使用`if`语句来检查User-Agent,并使用`return`指令拒绝特定的User-Agent。
Nginx 反爬虫策略,止 UA 抓取网站
lizhengyu891231的博客
03-27 2151
新增反爬虫策略文件: anti_spider.conf(目录和路径根据自己实际项目为准) /usr/www/server/nginx/conf/anti_spider.conf 内容: #禁止Scrapy等工具的抓取 if ($http_user_agent ~* (Scrapy|Curl|HttpClient)) { return 403; } #禁止指定UA及UA为空的访问 if ($http_user_agent ~ "WinHttp|WebZIP|FetchURL|node-su
Nginx可以通过配置来止爬虫爬取网站内容
05-30 1712
限制请求频率:通过设置Nginx的配置,限制来自单个IP地址的请求频率,以阻止频繁的爬虫请求。可以使用Nginx自带的模块,如limit_req模块来限制请求速率。请注意,以上仅为示例配置,实际使用时需要根据具体情况进行调整和优化。此外,还可以结合其他安全措施,如验证码验证、用户代理检测等来增强网站的爬能力。封禁特定IP地址或IP段:如果知道恶意爬虫的IP地址或IP段,可以直接在Nginx配置中封禁它们。上述配置限制每个IP地址每分钟只能发送一次请求,burst参数允许短暂突破限制,处理突发流量。
Nginx反爬虫攻略:禁止某些User Agent抓取网站
热门推荐
slovyz的专栏
06-14 2万+
我们都知道网络上的爬虫非常多,有对网站收录有益的,比如百度蜘蛛(Baiduspider),也有不但不遵守robots规则对服务器造成压力,还不能为网站带来流量的无用爬虫,比如宜搜蜘蛛(YisouSpider)(最新补充:宜搜蜘蛛已被UC神马搜索收购!所以本文已去掉宜搜蜘蛛的禁封!==>相关文章)。最近发现nginx日志中出现了好多宜搜等垃圾的抓取记录,于是整理收集了网络上各种禁止垃圾蜘蛛爬站的方法
Nginx 精通 - 安全管控暴露限制访问DDos攻击防爬虫非法引用
qq_33240556的博客
03-22 974
Nginx中,可以通过一系列配置实现安全管控,包括止信息暴露限制访问DDoS攻击止爬虫抓取以及非法引用。以上仅为基本示例,实际部署时需根据具体情况调整和完善配置。同时,全面的安全防护还需要结合火墙、入侵检测系统等其他安全措施共同实现。:Nginx在无默认文档时列出目录内容。:止泄露Nginx版本等信息。
nginx配置教程:限制IP连接数并发攻击
nginx的并发处理能力通过其高效的I/O事件处理机制得以实现,但是,为了止服务器因为过高的并发访问而崩溃,或者为了拒绝服务攻击DDoS),管理员可以配置nginx限制IP地址的连接数。 在nginx限制IP的并发连接...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乐享技术

每一个打赏,都是对我最大的鼓励

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值