05.Nginx访问限制和访问控制

Nginx访问限制

连接频率限制 limit_conn_module
请求频率限制 limit_req_module

http协议的连接与请求

HTTP是建⽴在TCP, 在完成HTTP请求需要先建⽴TCP三次握⼿（称为TCP连接）,在连接的基础上在HTTP请求。

image.png

HTTP 协议的连接与请求

HTTP 请求建⽴在⼀次 TCP 连接基础上
⼀次 TCP 请求⾄少产⽣⼀次 HTTP 请求

Nginx连接限制配置

//Nginx连接限制语法
Syntax: limit_conn_zone key zone=name:size;
Default:    —
Context:    http
Syntax: limit_conn zone number;
Default:    —
Context:    http,server,location
//具体配置如下:
http    {
//http段配置连接限制,  同⼀时刻只允许⼀个客户端IP连接
limit_conn_zone $binary_remote_addr zone=conn_zone:10m;
    ...
    server  {
    ...     
         location   /   {
         //同⼀时刻只允许⼀个客户端IP连接
            limit_conn  conn_zone   1;
        }
//压⼒测试
yum install -y httpd-tools
ab -n 50 -c 20 http://127.0.0.1/index.html

Nginx 请求限制配置

//Nginx请求限制语法
Syntax: limit_req_zone  key zone=name:size  rate=rate;
Default:    —
Context:    http
Syntax: limit_conn  zone    number  [burst=number]  [nodelay];
Default:    —
Context:    http,   server, location
//具体配置如下:
http    {
//http段配置请求限制,rate限制速率,限制⼀秒钟最多⼀个IP请求
limit_req_zone  $binary_remote_addr zone=req_zone:10m   rate=1r/s;
    ...
    server  {
    ...     
        location    /   {
            //1r/s只接收⼀个请求,其余请求拒绝处理并返回错误码给客户端
            limit_req   zone=req_zone;
            //请求超过1r/s,剩下的将被延迟处理,请求数超过burst定义的数量,多余的请求返回503
            #limit_req  zone=req_zone   burst=3 nodelay;
        }
//压⼒测试
yum install -y httpd-tools
ab -n 50 -c 20 http://127.0.0.1/index.html

连接限制没有请求限制有效?

前⾯说过, 多个请求可以建⽴在⼀次的TCP连接之上, 那么我们对请求的精度限制，当然⽐对⼀个连接的限制会更加的有效。
因为同⼀时刻只允许⼀个连接请求进⼊。
但是同⼀时刻多个请求可以通过⼀个连接进⼊。
所以请求限制才是⽐较优的解决⽅案。

Nginx访问控制

基于IP的访问控制 http_access_module
基于⽤户登陆认证 http_auth_basic_module

基于IP的访问控制

//允许配置语法
Syntax: allow   address |   CIDR    |   unix:   |   all;
Default:    —
Context:    http,   server, location,   limit_except
//拒绝配置语法
Syntax: deny    address |   CIDR    |   unix:   |   all;
Nginx访问控制
Default:    —
Context:    http,   server, location,   limit_except
//配置拒绝某⼀个IP,其他全部允许
location    ~   ^/1.html    {
    root    /usr/share/nginx/html;
    index   index.html;
    deny    192.168.56.1;
    allow   all;
}
//只允许某⼀个⽹段访问,其它全部拒绝
location    /   {
    root    html;
    index   index.php   index.html  index.htm;
    allow   192.168.56.0/24;
    deny    all;
}

http_access_module局限性

image.png

下图是使⽤ http_x_forwarded_for 记录真实客户端IP地址以及代理服务器IP

image.png

解决⽅式

1.采⽤HTTP头信息控制访问, 代理以及web服务开启 http_x_forwarded_for
2.结合geo模块作
3.通过HTTP⾃动以变量传递

基于⽤户登陆认证

//配置语法
Syntax: auth_basic  string| off;
Default:    auth_basic  off;
Context:    http,server,location,limit_except
//⽤户密码记录配置⽂件
Syntax: auth_basic_user_file    file;
Default:    -
Context:    http,server,location,limit_except
//需要安装依赖组件
[root@xuliangwei    ~]# yum install httpd-tools
[root@xuliangwei    ~]# htpasswd    -c /etc/nginx/auth_conf qienda
//可在http,server,location下添加如下信息
auth_basic  "Auth   access  Blog    Input   your    Passwd!";
auth_basic_user_file    /etc/nginx/auth_conf;

⽤户认证局限性

1.⽤户信息依赖⽂件⽅式
2.⽤户管理⽂件过多, ⽆法联动
3.操作管理机械，效率低下.

解决办法

1. Nginx 结合 LUA 实现⾼效验证
2. Nginx 结合 LDAP 利⽤ nginx-auth-ldap 模块