Nginx 连接限制和访问控制Nginx 连接限制和访问控制
Nginx 连接限制和访问控制
前言
Nginx
自带的模块支持对并发请求数进行限制, 还有对请求来源进行限制。可以用来防止DDOS
攻击。
阅读本文须知道nginx
的配置文件结构和语法。
连接限制 limit_conn_module
limit_conn_module
: TCP
连接频率限制, 一次TCP
连接可以建立多次HTTP
请求。
配置语法:
limit_conn_module 语法 |
范围 | 说明 |
---|---|---|
limit_conn_zone 标识 zone=空间名:空间大小; |
http |
用于声明一个存储空间 |
limit_conn 空间名 并发限制数; |
http 、server 或location |
用于限制某个存储空间的并发数量 |
limit_conn_log_level 日志等级; |
http 、server 或location |
当达到最大限制连接数后, 记录日志的等级 |
limit_conn_status 状态码; |
http 、server 或location |
当超过限制后,返回的响应状态码,默认是503 |
limit_conn_zone
会声明一个zone
空间来记录连接状态, 才能限制数量。zone
是存储连接状态的空间, 以键值对存储, 通常以客户端地址$binary_remote_addr
作为key
来标识每一个连接。
当zone
空间被耗尽,服务器将会对后续所有的请求返回503(Service Temporarily Unavailable)
错误。
请求限制 limit_req_mudule
limit_req_mudule
: HTTP
请求频率限制, 一次TCP
连接可以建立多次HTTP
请求。
配置语法:
limit_req_mudule 语法 |
范围 | 说明 |
---|---|---|
limit_req_zone key zone=空间名:空间大小 rate=每秒请求数; |
http |
用于声明一个存储空间 |
limit_req zone=空间名 [burst=队列数] [nodelay]; |
http 、server 或location |
用于限制某个存储空间的并发数量 |
这里的zone
也是用来存储连接的一个空间。
burst 和 nodelay
burst
和nodelay
对并发请求设置了一个缓冲区和是否延迟处理的策略。
先假设有如下zone
配置。
1 |
http { |
情况 1: limit_req zone=req_zone;
- 第
1
秒发送10
个请求, 正常响应。 - 第
1
秒发送13
个请求, 前10
个请求正常响应, 后3
个请求返回503(Service Temporarily Unavailable)
。
不加brust
和nodelay
的情况下, rate=10r/s
每秒只能执行10
次请求, 多的直接返回503
错误。
情况 2: limit_req zone=req_zone brust=5;
- 第
1
秒发送10
个请求, 正常响应。 - 第
1
秒发送13
个请求, 前10
个请求正常响应, 后3
个请求放入brust
等待响应。 - 第
1
秒发送20
个请求, 前10
个请求正常响应, 后5
个请求放入brust
等待响应, 最后5
个请求返回503(Service Temporarily Unavailable)
, 第2
秒执行brust
中的5
个请求。 - 第
1
秒发送20
个请求, 前10
个请求正常响应, 后5
个请求放入brust
等待响应, 最后5
个请求返回503(Service Temporarily Unavailable)
, 第2
秒发送6
个请求, 执行brust
中的5
个请求, 将5
个请求放入brust
等待响应, 剩下的1
个请求返回503(Service Temporarily Unavailable)
。
加brust=5
不加nodelay
的情况下, 有一个容量为5
的缓冲区, rate=10r/s
每秒只能执行10
次请求, 多的放到缓冲区中, 如果缓冲区满了, 就直接返回503
错误。而缓冲区在下一个时间段会取出请求进行响应, 如果还有请求进来, 则继续放缓冲区, 多的就返回503
错误。
情况 3: limit_req zone=req_zone brust=5 nodelay;
- 第
1
秒发送10
个请求, 正常响应。 - 第
1
秒发送13
个请求,13
个请求正常响应。 - 第
1
秒发送20
个请求, 前15
个请求正常响应, 后5
个请求返回503(Service Temporarily Unavailable)
。 - 第
1
秒发送20
个请求, 前15
个请求正常响应, 后5
个请求返回503(Service Temporarily Unavailable)
, 第2
秒发送6
个请求, 正常响应。
加brust=5
和nodelay
的情况下, 有一个容量为5
的缓冲区, rate=10r/s
每秒能执行15
次请求, 15=10+5
。多的直接返回503
错误。
基于 IP 的访问控制
http_access_module
: 基于IP
的访问控制, 通过代理可以绕过限制, 防君子不防小人。
http_access_module 语法 |
范围 | 说明 |
---|---|---|
allow IP地址 | CIDR网段 | unix: | all; |
http 、server 、location 和limit_except |
允许IP地址 、CIDR 格式的网段、unix 套接字或所有来源访问 |
deny IP地址 | CIDR网段 | unix: | all; |
http 、server 、location 和limit_except |
禁止IP地址 、CIDR 格式的网段、unix 套接字或所有来源访问 |
allow
和deny
会按照顺序, 从上往下, 找到第一个匹配规则, 判断是否允许访问, 所以一般把all
放最后。
1 |
location / { |
基于用户密码的访问控制
http_auth_basic_module
: 基于文件匹配用户密码的登录
http_auth_basic_module 语法 |
范围 | 说明 |
---|---|---|
auth_basic 请输入你的帐号密码 | off; |
http 、server 、location 和limit_except |
显示用户登录提示 (有些浏览器不显示提示) |
auth_basic_user_file 存储帐号密码的文件路径; |
http 、server 、location 和limit_except |
从文件中匹配帐号密码 |
密码文件可以通过htpasswd
生成, htpasswd
需要安装yum install -y httpd-tools
。
1 |
# -c 创建新文件, -b在参数中直接输入密码 |
参考资料
Nginx 连接限制和访问控制Nginx 连接限制和访问控制的更多相关文章
- 基于Nginx实现访问控制、连接限制
0 前言 Nginx自带的模块支持对并发请求数进行限制, 还有对请求来源进行限制.可以用来防止DDOS攻击.阅读本文须知道nginx的配置文件结构和语法. 1. 默认配置语法 nginx.conf作为 ...
- NGINX轻松管理10万长连接 --- 基于2GB内存的CentOS 6.5 x86-64
http://blog.chinaunix.net/xmlrpc.php?r=blog/article&uid=190176&id=4234854 一 前言 当管理大量连接时,特别 ...
- NGINX轻松管理10万长连接
先说说服务为什么使用HTTPs长连接技术?有如下几个原因:对响应时间要求较高:服务走的是公网,客户端与服务端的TCP建立的三次握手和断开的四次握手都需要40ms左右(真实数据包计算出来的),共需要80 ...
- nginx和apache最核心的区别在于apache是同步多进程模型,一个连接对应一个进程;nginx是异步的,多个连接(万级别)可以对应一个进程
nginx和apache的一些优缺点比较,摘自网络,加自己的一些整理. nginx相对于apache的优点: 1.轻量级,同样是web 服务,比apache 占用更少的内存及资源 2.抗并发,ngin ...
- nginx与apache 对比 apache是同步多进程模型,一个连接对应一个进程;nginx是异步的,多个连接(万级别)可以对应一个进程
nginx与apache详细性能对比 http://m.blog.csdn.net/lengzijian/article/details/7699444 http://www.cnblogs.com/ ...
- nginx反向代理时保持长连接
·[场景描述] HTTP1.1之后,HTTP协议支持持久连接,也就是长连接,优点在于在一个TCP连接上可以传送多个HTTP请求和响应,减少了建立和关闭连接的消耗和延迟. 如果我们使用了nginx去作为 ...
- Nginx实践篇(5)- Nginx代理服务 - 代理缓冲区、代理重新定义请求头、代理连接超时(转)
Nginx实践篇(5)- Nginx代理服务 - 代理缓冲区.代理重新定义请求头.代理连接超时 nginx参数默认值 http://nginx.org/en/docs/http/ngx_http_co ...
- Nginx解析漏洞复现以及哥斯拉连接Webshell实践
Nginx解析漏洞复现以及哥斯拉连接Webshell实践 目录 1. 环境 2. 过程 2.1 vulhub镜像拉取 2.2 漏洞利用 2.3 webshell上传 2.4 哥斯拉Webshell连接 ...
- Nginx详解九:Nginx基础篇之Nginx的访问控制
基于IP的访问控制:http_access_module 不允许指定网段的用户访问:配置语法:deny address | CIDR | unix: | all;默认状态:-配置方法:http.ser ...
随机推荐
- C# Language Specification 5.0 (翻译)第五章 变量
变量(variable)表示存储的位置.每个变量都有类型,类型决定变量保存的值的类型.C# 是一门类型安全的语言,C# 编译器会确保变量中保存一个适合类型的值.变量的值可通过赋值或通过使用 ++ 与 ...
- 6、Docker图形化管理(Portainer)
一.Portainer简介 Portainer是Docker的图形化管理工具,提供状态显示面板.应用模板快速部署.容器镜像网络数据卷的基本操作(包括上传下载镜像,创建容器等操作).事件日志显示.容器控 ...
- Jmeter(十二)_打印时间戳
Jmeter中提供了一种函数,可以打印时间戳,如下图 年: yyyy 月:MM 日:dd 时: HH 分: mm 秒:ss 关于时间戳的格式,可以自由组合定义,这里我写成这样 yyyy-MM-dd H ...
- 阿里云ESC入网和出网指的什么
什么是入网带宽和出网带宽 云服务器 ECS 的入网带宽和出网带宽皆以服务器角度出发.下表给出了入网带宽和出网带宽的具体内容: 带宽类别 (Mbit/s) 描述 入网带宽 流入云服务器 ECS 的带宽从 ...
- pie的绕过方式
目标程序下载 提取码:qk1y 1.检查程序开启了哪些安全保护机制 pie机制简介 PIE(position-independent executable) 是一个针对代码段.text, 数据段.*d ...
- Docker-安装(CentOS7)
1.安装需要的软件包:yum-util提供yum-config-manager功能 yum install -y yum-utils device-mapper-persistent-data lvm ...
- Istio 流量治理功能原理与实战
一.负载均衡算法原理与实战 负载均衡算法(load balancing algorithm),定义了几种基本的流量分发方式,在Istio中共有4种标准负载均衡算法. •Round_Robin: 轮询算 ...
- 谷歌算法研究员:我为什么钟爱PyTorch?
老铁们好!我是一名前谷歌的算法研究员,处理深度学习相关项目已有三年经验,接下来会在平台上给大家分享一些深度学习,计算机视觉和统计机器学习的心得体会,当然了内推简历一定是收的.这篇文章,不想说太多学术的 ...
- CocoaPods 遇到 A host target is a "parent" target which embeds a "child" target 问题解决
正在开发的项目中,集成RN,在使用cocoapods 时候,pod install 遇到如下问题: [!] Unable to find host target(s) for ****Extensio ...
- B. Lost Array
链接 [http://codeforces.com/contest/1043/problem/B] 题意 自己点开链接看 分析 1到n枚举某个值,判断是否满足并统计 判断方法:假设x序列成立,那么后面 ...