1、簡(jiǎn)述

在日常的生產(chǎn)環(huán)境中，網(wǎng)站可能會(huì)遭遇惡意請(qǐng)求、DDoS 攻擊或其他有害的訪問(wèn)行為。為了應(yīng)對(duì)這些情況，動(dòng)態(tài)封禁 IP 是一項(xiàng)十分重要的安全策略。本篇博客將介紹如何通過(guò) NGINX 實(shí)現(xiàn)動(dòng)態(tài)封禁 IP，從配置到自動(dòng)化的實(shí)現(xiàn)步驟。

2、實(shí)現(xiàn)方式

NGINX 本身支持簡(jiǎn)單的基于 IP 的訪問(wèn)控制（如 deny 和 allow 指令），但要實(shí)現(xiàn)動(dòng)態(tài)封禁，通常結(jié)合以下幾種方案：

• fail2ban：一個(gè)常用的自動(dòng)封禁工具，通過(guò)監(jiān)控日志發(fā)現(xiàn)惡意行為并自動(dòng)修改 NGINX 配置文件。
• nginx 動(dòng)態(tài)模塊：如 ngx_http_limit_req_module 和 ngx_http_limit_conn_module，用于限制請(qǐng)求頻率和并發(fā)數(shù)，結(jié)合腳本實(shí)現(xiàn) IP 封禁。
• 基于 Redis 或數(shù)據(jù)庫(kù)的方案：可以通過(guò) Lua 腳本或第三方模塊，從 Redis 或 MySQL 等存儲(chǔ)中動(dòng)態(tài)加載封禁的 IP 列表。

3、使用 fail2ban 動(dòng)態(tài)封禁

fail2ban 是一種常見的動(dòng)態(tài)封禁工具，通過(guò)監(jiān)控日志文件中的惡意行為自動(dòng)更新 NGINX 配置。下面是通過(guò) fail2ban 實(shí)現(xiàn)動(dòng)態(tài)封禁的步驟。

3.1 安裝 fail2ban

sudo apt-get update
sudo apt-get install fail2ban

3.2 配置 NGINX 日志

確保 NGINX 配置中的日志能記錄惡意請(qǐng)求。以下是一個(gè)簡(jiǎn)單的日志配置：

http {
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  /var/log/nginx/access.log  main;
}

3.3 配置 fail2ban 規(guī)則

創(chuàng)建 NGINX 的過(guò)濾規(guī)則，編輯 /etc/fail2ban/filter.d/nginx-http-auth.conf，加入以下規(guī)則來(lái)匹配日志中的惡意行為：

[Definition]
failregex = ^<HOST> -.*"(GET|POST).*HTTP/.*".* 403
ignoreregex =

3.4 設(shè)置 fail2ban 的 jail 配置

在 /etc/fail2ban/jail.local 文件中，增加對(duì) NGINX 的監(jiān)控配置：

[nginx-http-auth]
enabled  = true
port     = http,https
filter   = nginx-http-auth
logpath  = /var/log/nginx/access.log
maxretry = 5

• logpath：指向 NGINX 的日志文件。
• maxretry：設(shè)置多少次失敗后封禁 IP。

3.5 啟動(dòng) fail2ban

sudo service fail2ban restart

這樣，當(dāng)某個(gè) IP 連續(xù)訪問(wèn) 5 次 403 頁(yè)面時(shí)，它將被自動(dòng)封禁。

4、使用 NGINX 的 limit 模塊動(dòng)態(tài)限制

NGINX 自帶的 ngx_http_limit_req_module 和 ngx_http_limit_conn_module 可以用于動(dòng)態(tài)限制請(qǐng)求。通過(guò)設(shè)置請(qǐng)求頻率和并發(fā)連接數(shù)，可以有效抵御惡意爬蟲和 DDoS 攻擊。

4.1 配置請(qǐng)求頻率限制

在 NGINX 配置中加入以下代碼來(lái)限制每個(gè) IP 的請(qǐng)求頻率：

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

    server {
        location / {
            limit_req zone=one burst=5;
        }
    }
}

• limit_req_zone：定義一個(gè)共享內(nèi)存區(qū)域，用于記錄請(qǐng)求速率。
• rate=1r/s：每個(gè) IP 限制為每秒最多 1 次請(qǐng)求。

4.2 動(dòng)態(tài)調(diào)整限制

要用 Redis 和 Lua 實(shí)現(xiàn)動(dòng)態(tài)封禁惡意 IP 的功能，可以借助 Redis 的計(jì)數(shù)和過(guò)期特性。在 Redis 中，可以用 Lua 腳本來(lái)動(dòng)態(tài)檢測(cè)某個(gè) IP 的請(qǐng)求頻率，一旦超過(guò)設(shè)定的閾值，就對(duì)該 IP 進(jìn)行封禁。

以下是一個(gè) Lua 腳本的樣例，用于封禁惡意 IP。假設(shè)我們會(huì)在 Redis 中記錄每個(gè) IP 的請(qǐng)求次數(shù)，并在達(dá)到限制后進(jìn)行封禁。以下 Lua 腳本實(shí)現(xiàn)了上述邏輯，設(shè)定了一個(gè)限制：IP 在 60 秒內(nèi)請(qǐng)求 10 次以上會(huì)觸發(fā)封禁，封禁持續(xù) 3600 秒（1 小時(shí)）：

-- Lua 腳本實(shí)現(xiàn)動(dòng)態(tài)封禁惡意IP
local ip = KEYS[1]                -- 傳入的 IP 地址
local max_requests = tonumber(ARGV[1]) -- 最大請(qǐng)求次數(shù)
local ban_time = tonumber(ARGV[2])     -- 封禁持續(xù)時(shí)間
local expire_time = tonumber(ARGV[3])  -- IP 計(jì)數(shù)的過(guò)期時(shí)間

-- 構(gòu)建 Redis 鍵
local ip_key = "ip:" .. ip
local ban_key = "ban:" .. ip

-- 檢查 IP 是否已封禁
if redis.call("EXISTS", ban_key) == 1 then
    return {false, "IP 已封禁"}
end

-- 增加 IP 請(qǐng)求計(jì)數(shù)
local count = redis.call("INCR", ip_key)

-- 如果是首次請(qǐng)求，設(shè)置請(qǐng)求計(jì)數(shù)的過(guò)期時(shí)間
if count == 1 then
    redis.call("EXPIRE", ip_key, expire_time)
end

-- 檢查請(qǐng)求次數(shù)是否超過(guò)最大請(qǐng)求限制
if count > max_requests then
    -- 達(dá)到限制，封禁 IP 并設(shè)置封禁時(shí)間
    redis.call("SET", ban_key, "1")
    redis.call("EXPIRE", ban_key, ban_time)
    return {false, "已達(dá)請(qǐng)求限制，IP 已封禁"}
end

-- 如果請(qǐng)求未超限，返回當(dāng)前請(qǐng)求計(jì)數(shù)
return {true, count}

要在 Redis 中執(zhí)行這個(gè) Lua 腳本，你可以通過(guò) Redis 客戶端執(zhí)行 EVAL 命令。假設(shè) IP 地址是 192.168.0.1，請(qǐng)求限制為 10 次，封禁時(shí)間為 3600 秒，計(jì)數(shù)過(guò)期時(shí)間為 60 秒：

EVAL "<LUA_SCRIPT>" 2 192.168.0.1 10 3600 60

5、總結(jié)

通過(guò)以上方法，可以實(shí)現(xiàn) NGINX 下的動(dòng)態(tài)封禁 IP，從而有效保護(hù)網(wǎng)站免受惡意攻擊。在實(shí)際應(yīng)用中，可以根據(jù)需求選擇 fail2ban 或 NGINX 自帶的模塊，甚至結(jié)合數(shù)據(jù)庫(kù)方案實(shí)現(xiàn)更復(fù)雜的動(dòng)態(tài)封禁機(jī)制。

這篇博客為初學(xué)者提供了 NGINX 實(shí)現(xiàn)動(dòng)態(tài)封禁 IP 的思路和具體配置示例。你可以根據(jù)業(yè)務(wù)場(chǎng)景靈活調(diào)整參數(shù)，提升系統(tǒng)安全性。

到此這篇關(guān)于Nginx實(shí)現(xiàn)動(dòng)態(tài)封禁IP的步驟指南的文章就介紹到這了,更多相關(guān)Nginx動(dòng)態(tài)封禁IP內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論