Maison Opération et maintenance Nginx Meilleures pratiques pour la défense de la sécurité de la couche réseau à l'aide de Nginx

Meilleures pratiques pour la défense de la sécurité de la couche réseau à l'aide de Nginx

Jun 10, 2023 am 10:33 AM
nginx 网络安全 实践

Avec la mise à niveau continue des méthodes modernes d'attaque des réseaux, les méthodes de défense de sécurité traditionnelles ne peuvent plus répondre aux besoins de sécurité des entreprises. De plus en plus d'entreprises commencent à se transformer vers la technologie de défense de sécurité de la couche réseau. En tant que serveur Web hautes performances et serveur proxy inverse, Nginx dispose également de certaines capacités de défense de la couche réseau. Cet article présentera les meilleures pratiques d'utilisation de Nginx pour la défense de la sécurité de la couche réseau.

  1. Protection de base

Tout d'abord, nous devons configurer la protection de base pour Nginx.

1.1 Limiter la vitesse de connexion

Nginx peut limiter la vitesse de connexion du client et le taux de requêtes via le module limit_conn_module et le module limit_req_module. Ceci est particulièrement important pour se défendre contre certaines attaques DoS. Par exemple, vous pouvez limiter le client à n'envoyer que 10 requêtes HTTP par seconde via la configuration suivante :

http {
    limit_req_zone $binary_remote_addr zone=req_limit_per_ip:10m rate=10r/s;

    server {
        location / {
            limit_req zone=req_limit_per_ip burst=20 nodelay;
        }
    }
}
Copier après la connexion

1.2 Rejeter les requêtes invalides

Dans Nginx, vous pouvez rejeter les requêtes invalides en vérifiant les demandes d'accès, ce qui permet d'éviter certaines attaques contre serveurs Web. Par exemple, ce qui suit est une configuration qui rejette les requêtes qui ne contiennent pas d'informations d'en-tête User-Agent :

http {
    server {
        if ($http_user_agent ~ "") {
            return 444;
        }
    }
}
Copier après la connexion
  1. Protection avancée

Sur la base de la protection de base, nous devons configurer Nginx pour une protection avancée.

2.1 Défense contre les attaques DDoS

Nginx peut se défendre contre les attaques DDoS via les modules tiers ngx_http_limit_conn_module et ngx_http_limit_req_module. Ces modules peuvent limiter le nombre de connexions et de requêtes par seconde pour une seule adresse IP. Par exemple, voici une configuration qui limite le nombre de connexions à une seule adresse IP à 20 au maximum :

http {
    limit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:10m;

    server {
        location / {
            limit_conn conn_limit_per_ip 20;
        }
    }
}
Copier après la connexion

2.2 Se défendre contre les attaques par injection SQL

Les attaques par injection SQL sont l'une des attaques les plus courantes contre les applications Web. Nginx peut se défendre contre les attaques par injection SQL en configurant un serveur proxy inverse et en utilisant des modules tiers. Par exemple, voici la configuration de l'utilisation du module ngx_http_auth_request_module pour se défendre contre les attaques par injection SQL :

http {
    server {
        location / {
            proxy_pass http://app_server;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

            auth_request /auth;

            error_page 403 = @forbidden;
        }

        location /auth {
            internal;
            proxy_pass http://auth_server;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }

        location @forbidden {
            return 403;
        }
    }
}
Copier après la connexion
  1. Summary

Nginx, en tant que serveur Web hautes performances et serveur proxy inverse, possède certaines capacités de défense de la couche réseau. Grâce à une configuration raisonnable et à l'utilisation de modules tiers, Nginx peut devenir la meilleure pratique pour la défense de la sécurité de la couche réseau. Dans le même temps, nous devons également continuer à apprendre et à explorer des méthodes et technologies de défense de sécurité plus avancées pour garantir la sécurité des réseaux des entreprises.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn

Outils d'IA chauds

Undresser.AI Undress

Undresser.AI Undress

Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover

AI Clothes Remover

Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool

Undress AI Tool

Images de déshabillage gratuites

Clothoff.io

Clothoff.io

Dissolvant de vêtements AI

AI Hentai Generator

AI Hentai Generator

Générez AI Hentai gratuitement.

Article chaud

R.E.P.O. Crystals d'énergie expliqués et ce qu'ils font (cristal jaune)
3 Il y a quelques semaines By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. Meilleurs paramètres graphiques
3 Il y a quelques semaines By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. Comment réparer l'audio si vous n'entendez personne
3 Il y a quelques semaines By 尊渡假赌尊渡假赌尊渡假赌
WWE 2K25: Comment déverrouiller tout dans Myrise
4 Il y a quelques semaines By 尊渡假赌尊渡假赌尊渡假赌

Outils chauds

Bloc-notes++7.3.1

Bloc-notes++7.3.1

Éditeur de code facile à utiliser et gratuit

SublimeText3 version chinoise

SublimeText3 version chinoise

Version chinoise, très simple à utiliser

Envoyer Studio 13.0.1

Envoyer Studio 13.0.1

Puissant environnement de développement intégré PHP

Dreamweaver CS6

Dreamweaver CS6

Outils de développement Web visuel

SublimeText3 version Mac

SublimeText3 version Mac

Logiciel d'édition de code au niveau de Dieu (SublimeText3)

Comment autoriser l'accès au réseau externe au serveur Tomcat Comment autoriser l'accès au réseau externe au serveur Tomcat Apr 21, 2024 am 07:22 AM

Pour permettre au serveur Tomcat d'accéder au réseau externe, vous devez : modifier le fichier de configuration Tomcat pour autoriser les connexions externes. Ajoutez une règle de pare-feu pour autoriser l'accès au port du serveur Tomcat. Créez un enregistrement DNS pointant le nom de domaine vers l'adresse IP publique du serveur Tomcat. Facultatif : utilisez un proxy inverse pour améliorer la sécurité et les performances. Facultatif : configurez HTTPS pour une sécurité accrue.

Comment générer une URL à partir d'un fichier HTML Comment générer une URL à partir d'un fichier HTML Apr 21, 2024 pm 12:57 PM

La conversion d'un fichier HTML en URL nécessite un serveur Web, ce qui implique les étapes suivantes : Obtenir un serveur Web. Configurez un serveur Web. Téléchargez le fichier HTML. Créez un nom de domaine. Acheminez la demande.

Comment les fonctions C++ implémentent-elles la sécurité réseau dans la programmation réseau ? Comment les fonctions C++ implémentent-elles la sécurité réseau dans la programmation réseau ? Apr 28, 2024 am 09:06 AM

Les fonctions C++ peuvent assurer la sécurité du réseau dans la programmation réseau. Les méthodes incluent : 1. L'utilisation d'algorithmes de cryptage (openssl) pour crypter la communication ; 2. L'utilisation de signatures numériques (cryptopp) pour vérifier l'intégrité des données et l'identité de l'expéditeur ; 3. La défense contre les attaques de scripts inter-sites ; ( htmlcxx) pour filtrer et nettoyer les entrées de l'utilisateur.

Dix méthodes de découverte des risques liés à l'IA Dix méthodes de découverte des risques liés à l'IA Apr 26, 2024 pm 05:25 PM

Au-delà des chatbots ou des recommandations personnalisées, la puissante capacité de l’IA à prédire et éliminer les risques prend de l’ampleur dans les organisations. Alors que les quantités massives de données prolifèrent et que les réglementations se durcissent, les outils traditionnels d’évaluation des risques peinent sous la pression. La technologie de l’intelligence artificielle peut analyser et superviser rapidement la collecte de grandes quantités de données, permettant ainsi d’améliorer les outils d’évaluation des risques sous compression. En utilisant des technologies telles que l’apprentissage automatique et l’apprentissage profond, l’IA peut identifier et prédire les risques potentiels et fournir des recommandations en temps opportun. Dans ce contexte, tirer parti des capacités de gestion des risques de l’IA peut garantir la conformité aux réglementations changeantes et répondre de manière proactive aux menaces imprévues. Tirer parti de l’IA pour s’attaquer aux complexités de la gestion des risques peut sembler alarmant, mais pour ceux qui souhaitent rester au top de la course au numérique

Comment déployer et maintenir un site Web en utilisant PHP Comment déployer et maintenir un site Web en utilisant PHP May 03, 2024 am 08:54 AM

Pour déployer et maintenir avec succès un site Web PHP, vous devez effectuer les étapes suivantes : Sélectionnez un serveur Web (tel qu'Apache ou Nginx) Installez PHP Créez une base de données et connectez PHP Téléchargez le code sur le serveur Configurez le nom de domaine et la maintenance du site Web de surveillance DNS les étapes comprennent la mise à jour de PHP et des serveurs Web, la sauvegarde du site Web, la surveillance des journaux d'erreurs et la mise à jour du contenu.

Comment utiliser Fail2Ban pour protéger votre serveur contre les attaques par force brute Comment utiliser Fail2Ban pour protéger votre serveur contre les attaques par force brute Apr 27, 2024 am 08:34 AM

Une tâche importante pour les administrateurs Linux est de protéger le serveur contre les attaques ou les accès illégaux. Par défaut, les systèmes Linux sont livrés avec des pare-feu bien configurés, tels que iptables, Uncomplicated Firewall (UFW), ConfigServerSecurityFirewall (CSF), etc., qui peuvent empêcher diverses attaques. Toute machine connectée à Internet est une cible potentielle d'attaques malveillantes. Il existe un outil appelé Fail2Ban qui peut être utilisé pour atténuer les accès illégaux sur le serveur. Qu’est-ce que Fail2Ban ? Fail2Ban[1] est un logiciel de prévention des intrusions qui protège les serveurs des attaques par force brute. Il est écrit en langage de programmation Python

Venez avec moi apprendre Linux et installer Nginx Venez avec moi apprendre Linux et installer Nginx Apr 28, 2024 pm 03:10 PM

Aujourd'hui, je vais vous amener à installer Nginx dans l'environnement Linux. Le système Linux utilisé ici est CentOS7.2 Préparez les outils d'installation 1. Téléchargez Nginx depuis le site officiel de Nginx. La version utilisée ici est : 1.13.6.2 Téléchargez le Nginx téléchargé sur Linux Ici, le répertoire /opt/nginx est utilisé comme exemple. Exécutez "tar-zxvfnginx-1.13.6.tar.gz" pour décompresser. 3. Basculez vers le répertoire /opt/nginx/nginx-1.13.6 et exécutez ./configure pour la configuration initiale. Si l'invite suivante apparaît, cela signifie que PCRE n'est pas installé sur la machine et que Nginx doit

Plusieurs points à noter lors de la création d'une haute disponibilité avec keepalived+nginx Plusieurs points à noter lors de la création d'une haute disponibilité avec keepalived+nginx Apr 23, 2024 pm 05:50 PM

Après que yum ait installé keepalived, configurez le fichier de configuration keepalived. Notez que dans les fichiers de configuration keepalived du maître et de la sauvegarde, le nom de la carte réseau est le nom de la carte réseau de la machine actuelle qui est sélectionnée comme adresse IP disponible. Environnement LAN Il y en a d'autres, donc ce VIP est une IP intranet dans le même segment réseau que les deux machines. S'il est utilisé dans un environnement réseau externe, peu importe qu'il se trouve sur le même segment de réseau, du moment que le client peut y accéder. Arrêtez le service nginx et démarrez le service keepalived. Vous verrez que keepalived démarre le service nginx s'il ne peut pas démarrer et échoue, il s'agit essentiellement d'un problème avec les fichiers de configuration et les scripts, ou d'un problème de prévention.

See all articles