Nginx 리버스 프록시의 보안 성능 최적화

현대 네트워크 애플리케이션에서 널리 사용되는 웹 서버 및 역방향 프록시 서버인 Nginx는 많은 기업과 웹사이트에서 첫 번째 선택이 되었습니다. Nginx는 고성능, 높은 신뢰성, 확장성의 장점을 가지고 있으며, 보안 성능 최적화가 용이합니다. 이 글에서는 Nginx 리버스 프록시의 보안 성능 최적화를 통해 웹 애플리케이션의 보안을 향상시키는 방법을 소개하겠습니다.

1. HTTPS 사용

HTTPS는 HTTP 프로토콜에 SSL 또는 TLS 암호화 레이어를 추가하는 보안 프로토콜로, 데이터의 개인정보 보호와 보안을 효과적으로 보호할 수 있습니다. HTTPS를 사용하면 중간자 공격, 데이터 도용, 변조 등의 공격을 방지할 수 있으므로 Nginx 리버스 프록시 구성에서 HTTPS를 활성화하는 것이 좋습니다.

HTTPS를 활성화하려면 Nginx 서버에 SSL 인증서를 설치하고 HTTPS를 지원하도록 Nginx 구성 파일을 수정해야 합니다. 자체 CA 인증서를 사용하거나 타사 조직에서 SSL 인증서를 구입할 수 있습니다.

예를 들어 다음은 간단한 Nginx HTTPS 구성 예입니다.

server {
  listen 443 ssl;
  server_name example.com;

  ssl_certificate /path/to/ssl/cert.pem;
  ssl_certificate_key /path/to/ssl/key.pem;

  location / {
    proxy_pass http://backend;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  }
}

2. 보안 헤더 구성

HTTP 보안 헤더는 브라우저 동작을 제어하고 웹 애플리케이션의 보안을 향상시키는 데 사용할 수 있는 HTTP 응답에 포함된 헤더입니다. Nginx 역방향 프록시 구성에 해당 헤더를 추가하여 웹 애플리케이션의 보안을 향상시킬 수 있습니다.

예를 들어 다음 보안 헤더를 추가할 수 있습니다.

• X-XSS-Protection

이 헤더는 내장된 XSS(교차 사이트 스크립팅) 필터를 활성화하도록 브라우저에 지시합니다. XSS 공격.

add_header X-XSS-Protection "1; mode=block";

• X-Frame-Options

이 헤더는 웹 애플리케이션을 다른 사이트에 포함할 수 있는지 여부를 브라우저에 알려줍니다. 이 헤더를 구성하면 클릭재킹 공격을 방지할 수 있습니다.

add_header X-Frame-Options "SAMEORIGIN";

• X-Content-Type-Options

이 헤더는 브라우저에 MIME 유형 스니핑을 허용할지 여부를 알려줍니다. 이 헤더를 구성하면 MIME 유형 스니핑 공격과 XSS 공격을 방지할 수 있습니다.

add_header X-Content-Type-Options "nosniff";

3. gzip 압축 켜기

Gzip 압축은 데이터 전송 크기를 줄여 웹 애플리케이션의 성능을 향상시킬 수 있는 일반적으로 사용되는 압축 방법입니다. gzip 압축을 켜면 페이지 로드 시간을 크게 줄이고 네트워크 대역폭 사용량을 줄일 수 있습니다.

다음 구성을 사용하여 Nginx 역방향 프록시에서 gzip 압축을 활성화할 수 있습니다:

gzip on;
gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
gzip_min_length 1000;
gzip_disable "MSIE [1-6].";

4. 액세스 제한 구성

웹 애플리케이션의 보안을 보호하려면 웹 애플리케이션에 액세스하는 IP 주소를 제한해야 합니다. 특정 IP 주소 또는 IP 주소 범위를 제한하거나 화이트리스트 또는 블랙리스트를 통해 액세스를 제어할 수 있습니다.

예를 들어 Nginx 역방향 프록시에 대한 IP 액세스 제한 구성의 예는 다음과 같습니다.

location / {
  allow 192.168.1.0/24;
  deny all;

  proxy_pass http://backend;
  proxy_set_header Host $host;
}

5. DDoS 보호 구성

분산 서비스 거부 공격(DDoS 공격)은 네트워크를 점유하려는 일반적인 네트워크 공격입니다. 서버의 네트워크 대역폭이나 시스템 리소스를 사용하여 대상 서비스를 일시 중단합니다.

DDoS 공격을 방지하려면 Nginx 역방향 프록시에서 속도 제한 모듈과 연결 제한 모듈을 사용할 수 있습니다.

속도 제한 모듈은 클라이언트의 액세스 속도를 제한하여 서버의 부하를 줄일 수 있습니다.

연결 제한 모듈은 클라이언트의 동시 연결 수를 제한하여 너무 많은 연결이 서버 리소스를 차지하는 것을 방지할 수 있습니다.

예를 들어, 속도 제한 및 연결 제한을 지원하는 Nginx 역방향 프록시 구성의 예는 다음과 같습니다.

limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
limit_conn_zone $binary_remote_addr zone=addr:10m;

server {
  listen 80;

  limit_req zone=one burst=5;
  limit_conn addr 50;

  location / {
    proxy_pass http://backend;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  }
}

요약

Nginx 역방향 프록시는 고성능, 높은 신뢰성 및 확장성의 이점을 제공하는 널리 사용되는 웹 서버 및 역방향 프록시 서버입니다. HTTPS, 보안 헤더, gzip 압축, 액세스 제한, DDoS 보호 등의 조치를 구성하여 웹 애플리케이션의 보안 및 성능을 향상시킬 수 있습니다.

위 내용은 Nginx 리버스 프록시의 보안 성능 최적화의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!