Nginx 역방향 프록시의 사용자 행동을 기반으로 한 ACL 구성

Nginx는 고성능 웹 서버 및 역방향 프록시 서버 소프트웨어입니다. Linux, Windows, FreeBSD 등 다양한 운영 체제에서 실행될 수 있는 오픈 소스 소프트웨어입니다. Nginx는 역방향 프록시, 로드 밸런싱, HTTP 캐싱, 보안 인증 및 기타 시나리오에서 일반적으로 사용됩니다. 역방향 프록시 시나리오에서 Nginx는 사용자 요청을 여러 백엔드 서버로 전달하여 시스템 성능과 안정성을 향상시킬 수 있습니다. 이 문서에서는 Nginx 역방향 프록시에서 사용자 동작을 기반으로 ACL을 구성하는 방법을 소개합니다.

ACL은 Access Control List의 약어로, 접근 제어에 사용되는 기술입니다. 네트워크에서 ACL 기술은 방화벽, 라우터, 프록시 서버 및 기타 장비에 널리 사용됩니다. ACL은 IP 주소, 포트 번호, 프로토콜 유형 등과 같은 다양한 조건을 기반으로 사용자 액세스를 제한하거나 허용할 수 있습니다. Nginx 역방향 프록시에서 ACL은 사용자의 요청 특성에 따라 요청 전달을 제한하거나 허용할 수 있습니다.

Nginx의 ACL 구성 구문은 다음과 같습니다.

location / {
    # allow或deny用于定义访问控制规则，如：
    allow ip; # 允许IP地址访问
    deny ip; # 禁止IP地址访问
    allow all; # 允许所有访问
    deny all; # 禁止所有访问
}

여기서 ip는 단일 IP 주소, IP 주소 세그먼트 또는 CIDR 형식의 IP 주소일 수 있습니다.

allow 192.168.1.1; # 允许单个IP地址访问
allow 192.168.0.0/16; # 允许IP地址段访问
allow 192.168.1.0/24; # 允许CIDR格式的IP地址访问

IP 주소 외에도 ACL은 다른 IP 주소도 지원합니다. HTTP 요청 헤더, 요청 방법, 요청 경로 등과 같은 조건 Nginx 역방향 프록시에서 HTTP 요청 헤더는 사용자의 행동 특성을 나타낼 수 있기 때문에 특히 중요합니다.

현대 웹 애플리케이션에서 사용자 행동 특성은 점점 더 복잡해지고 있으며, 액세스 제어를 위해 더욱 유연하고 지능적인 ACL 구성이 필요합니다. 예를 들어, 사용자의 로그인 상태, 요청 빈도, 요청 소스 등과 같은 요소를 기반으로 요청 전달을 제한하거나 허용해야 할 수도 있습니다. Nginx에서는 다음과 같은 방법으로 사용자 행동을 기반으로 ACL 구성을 구현할 수 있습니다.

1. 요청 헤더 기반

Nginx에서는 if 문을 사용하여 HTTP 요청 헤더를 확인하고 필요에 따라 허용 또는 거부 명령을 실행할 수 있습니다. 예를 들어 요청 헤더의 User-Agent 필드를 확인하여 특정 브라우저나 운영 체제에 대한 액세스를 제한할 수 있습니다. 샘플 구성은 다음과 같습니다.

location / {
    if ($http_user_agent ~* MSIE) {
        deny all;
    }
    allow all;
}

위 구성은 User-Agent에 "MSIE"가 포함된 모든 사용자는 액세스가 금지되고 다른 사용자는 액세스가 허용됨을 의미합니다.

2. 쿠키 기반

최신 웹 애플리케이션에서 사용자는 일반적으로 특정 리소스에 액세스하려면 로그인해야 합니다. 로그인하지 않은 사용자의 액세스를 제한하려면 요청의 쿠키 필드를 확인하고 필요에 따라 허용 또는 거부 지시문을 실행해야 합니다. 예를 들어 요청 헤더의 쿠키 필드를 확인하여 로그인하지 않은 사용자의 액세스를 제한할 수 있습니다. 샘플 구성은 다음과 같습니다.

location /protected {
    if ($http_cookie !~* "access_token=.*") {
        return 401; # 请求未携带access_token
    }
    allow all;
}

위 구성은 요청에 "access_token" 필드가 없으면 401 오류가 반환되고 그렇지 않으면 모든 사용자가 액세스할 수 있음을 의미합니다.

3. 액세스 빈도에 따라

일부 시나리오에서는 사용자의 액세스 빈도에 따라 사용자 액세스를 제한하거나 허용해야 합니다. 예를 들어 API 인터페이스 시나리오에서는 요청 빈도를 확인하여 DDoS 공격을 피할 수 있습니다. Nginx에서는 Limit_req 지시문을 사용하여 액세스 빈도에 따라 ACL 구성을 구현할 수 있습니다. 샘플 구성은 다음과 같습니다.

http {
    # 定义限制访问频率的配置
    limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;
    # 定义反向代理配置
    server {
        location /api/ {
            limit_req zone=api burst=20 nodelay;
            proxy_pass http://api.example.com/;
        }
    }
}

위 구성은 각 IP 주소가 초당 최대 10회 /api/ 경로에 액세스할 수 있으며 20번의 버스트 액세스가 허용됨을 나타냅니다. 사용자의 액세스 빈도가 제한을 초과하면 503 오류가 반환됩니다.

4. 요청 소스 기반

일부 시나리오에서는 요청의 소스 IP 주소 또는 도메인 이름을 기반으로 사용자 액세스를 제한하거나 허용해야 합니다. 예를 들어 일부 보안 인증 시나리오에서는 요청 소스 IP 또는 도메인 이름을 확인하여 액세스 제어를 구현할 수 있습니다. Nginx에서는 geo 지시문을 사용하여 요청 소스를 기반으로 ACL 구성을 구현할 수 있습니다. 샘플 구성은 다음과 같습니다.

http {
    # 定义IP地址库文件
    geoip_country /usr/share/GeoIP/GeoIP.dat;
    # 定义反向代理配置
    server {
        location / {
            # 根据请求IP的国家代码进行访问控制
            if ($geoip_country_code != CN) {
                deny all;
            }
            proxy_pass http://proxy.example.com/;
        }
    }
}

위 구성은 요청한 IP가 위치한 국가가 중국이 아닌 경우 접속이 금지된다는 의미입니다. 도메인 이름을 기반으로 액세스를 제어해야 하는 경우 geoip_host 지시어를 사용할 수 있습니다.

간단히 말하면 Nginx의 ACL 구성은 매우 유연하고 강력하며 다양한 요구에 따라 사용자 행동을 기반으로 액세스 제어를 구현할 수 있습니다. ACL을 사용할 때 if 문을 남용하지 않도록 주의해야 합니다. if 문은 Nginx의 성능과 안정성에 영향을 미치기 때문입니다. ACL 구성을 구현하려면 Nginx에 내장된 명령어와 변수를 최대한 사용하는 것이 좋습니다. 동시에 ACL 구성이 시스템 성능에 미치는 영향을 최대한 최소화하기 위해 실제 조건을 기반으로 성능 테스트 및 최적화도 수행되어야 합니다.

위 내용은 Nginx 역방향 프록시의 사용자 행동을 기반으로 한 ACL 구성의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!