Nginx安全防护与HTTPS部署实战

目录

一、基础安全防护配置

二、HTTPS部署实战

三、高级安全与性能优化


一、基础安全防护配置

1. 隐藏 Nginx 版本号

攻击者可能利用特定版本的漏洞发起攻击。通过修改配置文件隐藏版本号:

server {

server_tokens off; # http server 块中添加

}

验证方法:curl -I http://your-domain,响应头中不再显示版本信息1。

2. 限制危险 HTTP 方法

禁用不安全的请求方法(如TRACE、PUT、DELETE):

if (request_method !\~ \^(GET\|POST\|HEAD)) {

return 444; # 非白名单方法直接关闭连接

}

日志验证:检查access.log中是否有被拦截的请求1。

3. 防御 CC 攻击

使用limit_req模块限制请求速率:

http {

limit_req_zone $binary_remote_addr zone=req_limit:10m rate=10r/s;

server {

limit_req zone=req_limit burst=20 nodelay;

}

}

参数说明:

  • rate=10r/s:每秒允许10个请求。
  • burst=20:允许突发20个请求排队,超限返回5031。

4. 防盗链配置

防止其他站点盗用静态资源:

location ~* \.(jpg|gif|png)$ {

valid_referers none blocked your-domain.com *.your-domain.com;

if ($invalid_referer) {

return 403;

}

}

需在服务器上配置域名解析和资源访问权限1。

5. 动态 IP 黑名单

实时封禁恶意IP:

http {

geo $block_ip {

default 0;

include /usr/local/nginx/conf/blockips.conf; # 黑名单文件

}

server {

if ($block_ip) { return 403; }

}

}

黑名单文件示例:

192.168.1.0/24 1; # 封禁整个网段

192.168.10.102 1; # 封禁单个IP

支持按需动态更新黑名单19。


二、 HTTPS 部署实战

1. 获取 SSL 证书

  • 免费证书:推荐使用Let's Encrypt,通过Certbot自动化工具申请:

sudo apt install certbot python3-certbot-nginx

sudo certbot --nginx -d your-domain.com

  • 商业证书 :从阿里云、DigiCert等平台申请37。

2. 基础 HTTPS 配置

server {

listen 443 ssl http2; # 启用 HTTP/2

server_name your-domain.com;

ssl_certificate /etc/nginx/cert/fullchain.pem;

ssl_certificate_key /etc/nginx/cert/privkey.pem;

# 强制 TLS 1.2 及以上,禁用不安全协议

ssl_protocols TLSv1.2 TLSv1.3;

ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH;

ssl_prefer_server_ciphers on;

# 自动重定向 HTTP HTTPS

location / {

proxy_pass http://backend;

}

}

server {

listen 80;

server_name your-domain.com;

return 301 https://hostrequest_uri;

}

关键优化点:

  • HTTP/2 :提升并发性能,减少延迟810。
  • TLS 1.3 :减少握手时间(需OpenSSL 1.1.1+)26。

三、高级安全与性能优化

1. OCSP Stapling

减少证书验证延迟:

ssl_stapling on;

ssl_stapling_verify on;

ssl_trusted_certificate /etc/nginx/cert/chain.pem;

验证命令:openssl s_client -connect your-domain:443 -status810。

2. Brotli 压缩

减少传输体积(需编译Nginx时添加模块):

brotli on;

brotli_comp_level 6;

brotli_types text/plain text/css application/json application/javascript;

压缩效果比Gzip提升15%-25%26。

3. 会话复用与缓存

ssl_session_cache shared:SSL:10m;

ssl_session_timeout 10m;

ssl_buffer_size 4k; # 减少首次响应延迟

调整ssl_buffer_size至4k可优化小文件传输10。

4. HSTS 强制 HTTPS

添加HTTP头强制浏览器使用HTTPS:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

防止SSL剥离攻击39。


四、验证与监控

  1. 证书有效性检查
  2. 日志分析
    • 监控access.log和error.log,识别异常请求。
    • 使用工具如fail2ban自动封禁攻击IP9。
相关推荐
云手机掌柜2 小时前
亚矩阵云手机:亚马逊第三方店铺多账号安全合规运营的核心技术支撑
安全·智能手机·矩阵·手机
往日情怀酿做酒 V17639296383 小时前
信息收集5----(信息收集综合利用工具)
安全
曼岛_6 小时前
[系统架构设计师]安全架构设计理论与实践(十八)
安全·系统架构·安全架构·系统架构设计师
苹果醋36 小时前
Java并发编程-Java内存模型(JMM)
java·运维·spring boot·mysql·nginx
艾小码9 小时前
前端安全防护手册:对抗XSS、CSRF、点击劫持等攻击
前端·安全·xss
网硕互联的小客服11 小时前
如何配置安全的SFTP服务器?
运维·服务器·安全
飞凌嵌入式12 小时前
高性能、高实时、高安全:如何在飞凌嵌入式i.MX95xx核心板上同时实现?
嵌入式硬件·安全·嵌入式·飞凌嵌入式
程序员不迷路12 小时前
Nginx学习
运维·nginx
智驱力人工智能12 小时前
安全帽检测算法如何提升工地安全管理效率
人工智能·算法·安全·边缘计算·安全帽检测·口罩检测·安全鞋检测
派拉软件13 小时前
微软AD国产化替换倒计时——不是选择题,而是生存题
网络·安全·microsoft·目录管理·微软ad替换·身份与访问控制管理iam