Contrôle d'accès basé sur une fenêtre horaire dans le proxy inverse Nginx

Avec le développement d'Internet, de plus en plus d'applications sont déployées dans le cloud. Comment assurer la sécurité et la stabilité des services cloud est devenu un enjeu clé. Parmi eux, Nginx, en tant que serveur Web hautes performances et proxy inverse, est largement utilisé dans le déploiement et la gestion de services cloud. Dans les applications pratiques, l'accès doit être restreint dans certains scénarios, tels que les adresses IP fréquemment consultées, les demandes d'accès malveillantes, les accès à trafic important, etc. Cet article présentera une méthode de contrôle d'accès basée sur des fenêtres horaires pour assurer la sécurité et la stabilité des services cloud en limitant le nombre d'accès sur une certaine période de temps.

1. Qu'est-ce qu'une fenêtre temporelle

La fenêtre temporelle fait référence à une méthode permettant de limiter les événements dans une certaine période de temps. En contrôle d'accès, l'accès peut être restreint en fonction de plages horaires, par exemple : un maximum de 10 visites en 1 minute, un maximum de 100 visites en 5 minutes, un maximum de 1 000 visites en une heure, etc. La fenêtre horaire peut être ajustée en fonction des conditions réelles et est flexible et personnalisable.

2. Contrôle d'accès aux fenêtres temporelles dans le proxy inverse Nginx

1. Installez le module ngx_http_limit_req_module

Lors de l'utilisation de nginx Avant contrôle d'accès à la fenêtre horaire, le module ngx_http_limit_req_module doit être installé. Ce module peut contrôler la fréquence des demandes des clients arrivant dans la même période. Habituellement, lorsque nous installons nginx, nous installerons ce module en même temps. S'il n'est pas installé, vous devez recompiler et installer nginx. La méthode d'installation est la suivante :

$ wget http://nginx.org/download/nginx-1.14.0.tar.gz

$ tar zxvf nginx-1.14.0.tar.gz

$ cd nginx-1.14.0/

$ ./configure --prefix=/usr/local/nginx --add-module=../nginx-limit-req-module-master

$ make

$ sudo make install

2. . Configurer le proxy inverse Nginx
#🎜🎜 #

Ajoutez le contenu suivant au fichier de configuration du proxy inverse Nginx :

limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

server{
    ...
    location /{
        limit_req zone=one burst=5;
        proxy_pass http://backend;
    }
}

Dans cette configuration, limit_req_zone définit la zone limite, où 10 m est la taille de la mémoire, qui peut être ajustée en fonction des besoins réels . rate=1r/s définit une requête par seconde. Limit_req zone=one burst=5 est ajouté à l'emplacement, ce qui signifie que lorsque le nombre de requêtes dépasse 1 seconde, les requêtes excédentaires seront traitées avec une valeur maximale de 5 requêtes dans le temps suivant.

Contrôle d'accès à la fenêtre de temps de vérification

Une fois la configuration terminée, vous pouvez utiliser l'outil ab pour tester, comme suit : #🎜🎜 #

$ ab -n 100 -c 10 http://localhost/

This is ApacheBench, Version 2.3 <$Revision: 1807734 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking localhost (be patient)
Finished 100 requests

#🎜🎜 #Cette commande signifie : envoyer 100 requêtes, et le nombre de requêtes simultanées est de 10. Résultats des tests : Si 10 requêtes sont envoyées en 1 seconde, les requêtes restantes seront limitées et une erreur 429 sera générée, comme suit :

$ ab -n 100 -c 10 http://localhost/

This is ApacheBench, Version 2.3 <$Revision: 1807734 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking localhost (be patient)
Finished 100 requests

Server Software:        nginx/1.14.0
Server Hostname:        localhost
Server Port:            80

Document Path:          /
Document Length:        0 bytes

Concurrency Level:      10
Time taken for tests:   0.062 seconds
Complete requests:      100
Failed requests:        9
   (Connect: 0, Receive: 0, Length: 0, Exceptions: 9)
Non-2xx responses:      9
Requests per second:    1617.28 [#/sec] (mean)
Time per request:       6.173 [ms] (mean)
Time per request:       0.617 [ms] (mean, across all concurrent requests)
Transfer rate:          0.00 [Kbytes/sec] received

Connection Times (ms)
              min  mean[+/-sd] median   max
Connect:        0    1   0.2      1       1
Processing:     1    5   9.8      3      47
Waiting:        1    5   9.8      3      47
Total:          1    6   9.8      4      47

Percentage of the requests served within a certain time (ms)
  50%      4
  66%      5
  75%      5
  80%      6
  90%     15
  95%     47
  98%     47
  99%     47
 100%     47 (longest request)

3. Résumé

Accès le contrôle est crucial dans le déploiement et la gestion des services cloud. Grâce au contrôle d'accès basé sur une fenêtre horaire dans le proxy inverse Nginx, la fréquence d'accès peut être contrôlée efficacement pour garantir la sécurité et la stabilité des services cloud. Cette méthode peut non seulement limiter les requêtes à haute fréquence, mais également limiter les requêtes d'accès malveillantes, améliorant ainsi efficacement la fiabilité et la sécurité des services cloud.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!