Nginx的Web安全攻防實戰

Nginx是一款高效能的Web伺服器，廣泛用於互聯網和企業級應用。除了提供優秀的效能和可靠性，Nginx還具備一些強大的安全特性。在本文中，我們將深入探討Nginx的Web安全攻防實戰，介紹如何保護Web應用程式免受各種攻擊。

1. 設定SSL/TLS

SSL/TLS是保護網路應用程式所不可或缺的加密通訊協定。透過使用SSL/TLS，您可以將所有的Web通訊加密，從而保護敏感資料免受駭客的竊取和篡改。要在Nginx中啟用SSL/TLS，您需要安裝一個SSL/TLS證書，該證書需要由受信任的證書頒發機構（CA）簽署。以下是一個簡單的啟用SSL/TLS的Nginx設定：

server {
    listen 443 ssl;
    server_name mywebsite.com;

    ssl_certificate /path/to/cert.crt;
    ssl_certificate_key /path/to/cert.key;

    location / {
        # Your web application logic...
    }
}

在上述設定中，listen 443 ssl;指令告訴Nginx使用標準的443埠並啟用SSL/TLS。 ssl_certificate和ssl_certificate_key指令指定SSL/TLS憑證和私鑰的檔案路徑。

2. 設定HTTP2

HTTP2是新的網路協議，它可以提供比傳統的HTTP 1.1更快的網頁載入速度和更好的效能。當你使用HTTP2時，你可以同時從伺服器上取得多個檔案或資源，並且可以使用二進位而不是文字格式，這使得通訊更快。同時，HTTP2也提供了更好的安全性，例如伺服器推送，就可以一次將多個檔案傳輸到客戶端，從而減少了往返時間。若要在Nginx中啟用HTTP2，您可以使用下列設定：

server {
    listen 443 ssl http2;
    server_name mywebsite.com;

    ssl_certificate /path/to/cert.crt;
    ssl_certificate_key /path/to/cert.key;

    location / {
        # Your web application logic...
    }
}

在上述設定中，我們在listen指令中將http2選項新增至 ssl選項後面，以啟用HTTP2。

3. 防止SQL注入

SQL注入是一種非常流行的攻擊方式，駭客可以透過注入惡意程式碼來存取資料庫，竊取敏感資訊或破壞資料完整性。在Nginx中，您可以透過使用下列設定來防止SQL注入攻擊：

location / {
    # Your web application logic...

    # Block SQL injection attacks
    if ($args ~ "(<|%3C).*script.*(>|%3E)" ) {
        return 403;
    }
}

在上述設定中，我們使用了一個正規表示式來檢查請求的參數是否包含腳本。如果是因為有了腳本，就會回傳一個403錯誤，從而拒絕請求。

4. 防止跨站點請求偽造（CSRF）

跨站點請求偽造（CSRF）是一種非常常見的攻擊方式，駭客可以透過欺騙用戶在他們不知情的情況下執行惡意操作。為了防止CSRF攻擊，您可以在Nginx配置中新增以下程式碼：

location / {
    # Your web application logic...

    # Block CSRF attacks
    if ($http_referer !~ "^https?://mywebsite.com") {
        return 403;
    }
}

在上述設定中，我們使用了一個正規表示式來檢查請求的Referer標頭是否與我們自己的網站域名匹配。如果不匹配，就會回傳一個403錯誤，從而拒絕請求。

5. 防止DDoS攻擊

分散式拒絕服務（DDoS）攻擊是一種非常流行的攻擊方式，駭客會使用大量的運算資源來模擬大量的網絡流量，從而使目標Web伺服器宕機。在Nginx中，您可以透過以下設定來防止DDoS攻擊：

http {
    # Define blacklist zone
    geo $blacklist {
        default 0;
        # Add IP address to blacklist if over 100 connections per IP
        # in the last 10 seconds
        limit_conn_zone $binary_remote_addr zone=blacklist:10m;
        limit_conn blacklist 100;
    }
 
    server {
        listen 80 default_server;
        server_name mywebsite.com;

        # Add IP addresses to whitelist
        allow 192.168.1.1/24;
        deny all;

        # Block blacklisted IP addresses
        if ($blacklist = 1) {
            return 403;
        }

        location / {
            # Your web application logic...
        }
    }
}

在上述設定中，我們使用了Nginx的limit_conn_zone和limit_conn模組來限制每個IP位址的同時連線數。我們也新增了一個白名單，允許特定的IP位址範圍，只有在IP位址不在白名單中並且超過連線限制時才會禁止存取。

總結

Nginx有很多強大的網路安全特性，您可以使用它們來保護自己的網路應用程式免受各種攻擊。在本文中，我們介紹了以下幾個重要的安全措施：

• 配置SSL/TLS證書，加密通訊資料。
• 設定HTTP2協議，提高網頁載入速度和效能。
• 防止SQL注入，透過偵測請求參數中的腳本來防止攻擊。
• 防止CSRF攻擊，透過檢查請求中的Referer標頭來拒絕非法請求。
• 防止DDoS攻擊，使用limit_conn_zone和limit_conn模組限制每個IP位址的同時連接數，並使用白名單來允許特定的IP位址存取。

透過使用上述所述的安全措施，您可以保護您的網路應用程式的安全性，並避免它們遭受各種攻擊。

以上是Nginx的Web安全攻防實戰的詳細內容。更多資訊請關注PHP中文網其他相關文章！