Configuration ACL basée sur des mots-clés et une liste noire dans le proxy inverse Nginx

Avec les progrès rapides du développement des réseaux, le nombre d'applications et de services déployés augmente. Dans certains scénarios, les requêtes doivent être acheminées vers des serveurs ou des applications spécifiques. Nginx est un serveur Web hautes performances et une méthode de proxy inverse couramment utilisée qui peut résoudre ces problèmes. Basé sur le module ACL fourni par le proxy inverse Nginx, les administrateurs peuvent contrôler et gérer de manière flexible le routage des demandes, le contrôle d'accès et d'autres problèmes de sécurité réseau.

Dans un proxy inverse, la requête est envoyée du client au serveur proxy inverse, et le serveur proxy envoie la requête au serveur backend au nom du client et fournit le résultat de retour au client . Par exemple, dans les applications Web modernes comportant plusieurs langages et piles technologiques, le proxy inverse Nginx peut être utilisé pour acheminer différentes requêtes vers différents services back-end via le même nom de domaine.

Dans cet article, nous apprendrons comment configurer l'ACL en fonction de mots-clés et de listes noires pour mettre en œuvre des politiques de routage et des contrôles de sécurité plus granulaires pour le proxy inverse Nginx.

Keyword ACL

Keyword ACL est un moyen d'implémenter le routage des requêtes en faisant correspondre les mots-clés dans l'URL de la requête. Par exemple, dans l'application actuelle, lorsque l'URL demandée contient "/app1/", nous souhaitons que le proxy inverse Nginx achemine la requête vers l'application backend 1. Si l'URL contient "/app2/", la requête est acheminée vers l'application backend 2.

Pour implémenter cette fonction, vous devez configurer un mot-clé ACL dans le fichier de configuration Nginx. Voici comment le configurer :

http {
    ...
    # 关键词acl
    map $request_uri $app_name {
        ~* "/app1/" app1;
        ~* "/app2/" app2;
        default "";
    }
}

Dans cette configuration, $request_uri est une variable intégrée de Nginx, représentant l'URL demandée. La valeur de cette variable est transmise à la directive map, qui correspond à l'expression régulière du mot-clé prédéfini. Si la correspondance réussit, le nom de l'application est stocké dans la variable $app_name, sinon la valeur par défaut est utilisée.

Ensuite, vous pouvez passer la variable $app_name définie ci-dessus comme cible du proxy à l'option URL du proxy dans la directive proxy :

server {
    ...
    location / {
        ...
        # 配置关键词代理
        proxy_pass http://$app_name.backend.com;
    }
}

Dans cette configuration, le mot-clé ACL Le nom de l'application demandée correspond à l'URL demandée et la demande du client est acheminée vers l'application backend correspondante via des instructions proxy.

ACL basée sur une liste noire

Liste noire L'ACL est une méthode utilisée pour bloquer l'accès à certaines adresses IP ou demander des URL. Cette approche est très utile dans certaines situations. Par exemple, en cas d'attaque malveillante, l'administrateur peut configurer une liste noire ACL dans le proxy inverse Nginx pour refuser l'accès à un groupe d'adresses IP. Vous pouvez également utiliser les ACL de liste noire pour refuser certaines URL d'attaque courantes.

Voici comment configurer une ACL basée sur une liste noire :

http {
    ...
    # 黑名单acl
    geo $blocked_ip {
        default 0;
        include /path/to/blacklists/ip.txt;
    }
}

Dans cette configuration, la directive geo définit une variable de mémoire nommée $blocked_ip, qui est utilisée pour stocker les Liste des adresses IP. Dans cet exemple, un fichier de liste noire d'adresses IP externes est utilisé. Le format du fichier est le suivant :

10.2.1.10 1;
192.168.0.0/24 1;
202.102.85.154 1;

Chaque ligne du fichier contient une adresse IP ou un segment de réseau au format CIDR, suivi du chiffre 1 pour indiquer que cette adresse IP ou ce segment de réseau CIDR est bloqué.

Ensuite, vous pouvez utiliser cette liste noire ACL dans la configuration Nginx :

server {
    ...
    location / {
        ...
        # 配置黑名单ACL
        if ($blocked_ip) {
            return 403;
        }
        proxy_pass http://backend.com;
    }
}

Dans cette configuration, la directive if est utilisée pour déterminer si l'adresse IP demandée est dans la liste noire Si tel est le cas, une réponse 403 Forbidden sera renvoyée directement. Sinon, la demande sera acheminée vers le serveur proxy backend.

Pour résumer, le proxy inverse Nginx fournit un bon module ACL, qui peut être utilisé avec d'autres modules fonctionnels pour obtenir un routage des requêtes et un contrôle d'accès très flexibles. Dans l'utilisation du proxy inverse, la compréhension et la maîtrise de ces méthodes peuvent permettre de mieux s'adapter aux diverses situations et d'améliorer la qualité et la sécurité des services réseau.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!