Nginx ialah pelayan web berprestasi tinggi yang digunakan secara meluas dalam aplikasi Internet dan peringkat perusahaan. Selain memberikan prestasi dan kebolehpercayaan yang cemerlang, Nginx juga mempunyai beberapa ciri keselamatan yang berkuasa. Dalam artikel ini, kami akan menyelidiki serangan dan pertahanan keselamatan web praktikal Nginx, dan memperkenalkan cara melindungi aplikasi web daripada pelbagai serangan.
SSL/TLS ialah protokol komunikasi yang disulitkan yang penting untuk melindungi aplikasi web. Dengan menggunakan SSL/TLS, anda boleh menyulitkan semua komunikasi web, dengan itu melindungi data sensitif daripada penggodam kecurian dan gangguan. Untuk mendayakan SSL/TLS dalam Nginx, anda perlu memasang sijil SSL/TLS, yang perlu ditandatangani oleh Pihak Berkuasa Sijil (CA) yang dipercayai. Berikut ialah konfigurasi Nginx mudah untuk mendayakan SSL/TLS:
server { listen 443 ssl; server_name mywebsite.com; ssl_certificate /path/to/cert.crt; ssl_certificate_key /path/to/cert.key; location / { # Your web application logic... } }
Dalam konfigurasi di atas, arahan listen 443 ssl;
memberitahu Nginx untuk menggunakan port 443 standard dan mendayakan SSL/TLS. Arahan ssl_certificate
dan ssl_certificate_key
menentukan laluan fail sijil SSL/TLS dan kunci peribadi.
HTTP2 ialah protokol rangkaian baharu yang boleh memberikan kelajuan pemuatan halaman web yang lebih pantas dan prestasi yang lebih baik daripada HTTP 1.1 tradisional. Apabila anda menggunakan HTTP2, anda boleh mendapatkan berbilang fail atau sumber daripada pelayan pada masa yang sama, dan mereka boleh menggunakan binari dan bukannya format teks, menjadikan komunikasi lebih pantas. Pada masa yang sama, HTTP2 juga menyediakan keselamatan yang lebih baik, seperti tolakan pelayan, yang boleh memindahkan berbilang fail kepada klien sekaligus, sekali gus mengurangkan masa pergi balik. Untuk mendayakan HTTP2 dalam Nginx, anda boleh menggunakan konfigurasi berikut:
server { listen 443 ssl http2; server_name mywebsite.com; ssl_certificate /path/to/cert.crt; ssl_certificate_key /path/to/cert.key; location / { # Your web application logic... } }
Dalam konfigurasi di atas, kami menambah pilihan listen
selepas pilihan http2
dalam arahan ssl
untuk mendayakan HTTP2.
SQL injection ialah kaedah serangan yang sangat popular, penggodam boleh mengakses pangkalan data dengan menyuntik kod hasad, mencuri maklumat sensitif atau memusnahkan integriti data. Dalam Nginx, anda boleh menghalang serangan suntikan SQL dengan menggunakan konfigurasi berikut:
location / { # Your web application logic... # Block SQL injection attacks if ($args ~ "(<|%3C).*script.*(>|%3E)" ) { return 403; } }
Dalam konfigurasi di atas, kami telah menggunakan ungkapan biasa untuk menyemak sama ada skrip disertakan dalam parameter permintaan. Jika ia disebabkan skrip, ralat 403 akan dikembalikan dan permintaan akan ditolak.
Pemalsuan permintaan merentas tapak (CSRF) ialah kaedah serangan yang sangat biasa yang boleh digunakan oleh penggodam untuk menipu pengguna supaya melakukan perkara yang mereka tidak tahu mereka lakukan melakukan tindakan berniat jahat dalam keadaan tertentu. Untuk mengelakkan serangan CSRF, anda boleh menambah kod berikut pada konfigurasi Nginx anda:
location / { # Your web application logic... # Block CSRF attacks if ($http_referer !~ "^https?://mywebsite.com") { return 403; } }
Dalam konfigurasi di atas, kami telah menggunakan ungkapan biasa untuk menyemak sama ada pengepala Referer
permintaan sepadan dengan padanan nama domain tapak web kami sendiri . Jika tiada padanan, ralat 403 akan dikembalikan dan permintaan akan ditolak.
Serangan penolakan perkhidmatan (DDoS) teragih ialah kaedah serangan yang sangat popular Penggodam menggunakan sejumlah besar sumber pengkomputeran untuk mensimulasikan sejumlah besar rangkaian, dengan itu menurunkan pelayan web sasaran. Dalam Nginx, anda boleh menghalang serangan DDoS dengan konfigurasi berikut:
http { # Define blacklist zone geo $blacklist { default 0; # Add IP address to blacklist if over 100 connections per IP # in the last 10 seconds limit_conn_zone $binary_remote_addr zone=blacklist:10m; limit_conn blacklist 100; } server { listen 80 default_server; server_name mywebsite.com; # Add IP addresses to whitelist allow 192.168.1.1/24; deny all; # Block blacklisted IP addresses if ($blacklist = 1) { return 403; } location / { # Your web application logic... } } }
Dalam konfigurasi di atas, kami telah menggunakan modul limit_conn_zone
dan limit_conn
Nginx untuk mengehadkan bilangan sambungan serentak bagi setiap alamat IP. Kami juga telah menambah senarai putih yang membenarkan julat alamat IP tertentu dan hanya menyekat akses jika alamat IP tiada dalam senarai putih dan melebihi had sambungan.
Ringkasan
Nginx mempunyai banyak ciri keselamatan web yang berkuasa yang boleh anda gunakan untuk melindungi aplikasi web anda daripada pelbagai serangan. Dalam artikel ini, kami memperkenalkan langkah keselamatan penting berikut:
Referer
dalam permintaan untuk menolak permintaan yang tidak sah. limit_conn_zone
dan limit_conn
untuk mengehadkan bilangan sambungan serentak bagi setiap alamat IP dan gunakan senarai putih untuk membenarkan akses kepada alamat IP tertentu. Dengan menggunakan langkah keselamatan yang diterangkan di atas, anda boleh melindungi keselamatan aplikasi web anda dan melindunginya daripada pelbagai serangan.
Atas ialah kandungan terperinci Serangan keselamatan Web Nginx dan amalan pertahanan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!