Nginx 訪問限制相關配置

在nginx中統計各個ip訪問次數

awk '' nginx_site_log.access.log | sort | uniq -c | sort -n

1.訪問限制過濾

# 連線限制

limit_conn_zone $binary_remote_addr zone=conn_addr:32m;

# 請求併發限制

limit_req_zone $binary_remote_addr zone=req1_addr:32m rate=1r/s;

server

}此時，limit_conn_zone和limit_req_zone的可選key為$session_id，$binary_remote_addr

2.訪問檔案過濾

location ~* ^/(views|upload|static)/.*\.(php|php5)$

3.訪問遮蔽

# 簡單遮蔽 deny 1.2.3.4; deny 91.212.45.0/24; deny 91.212.65.0/24; # 只供在ip段192.168.1.0/24內除192.168.1.1的主機訪問

location /

# 遮蔽單個ip訪問 # deny ip; # 允許單個ip訪問 # allow ip; # 遮蔽所有ip訪問 # deny all; # 允許所有ip訪問 # allow all; #遮蔽整個段即從192.0.0.1到192.255.255.254訪問的命令 # deny 192.0.0.0/8 #遮蔽ip段即從192.168.0.1到192.168.255.254訪問的命令 # deny 192.168.0.0/16 #遮蔽ip段即從192.168.6.1到192.168.6.254訪問的命令

# deny 192.168.6.0/24

4.請求謂詞

http方法

評估結果

建議說明

解決方案

head安全無

除了伺服器不能在響應中返回訊息體，head 方法與 get 相同。head 請求的響應中的 http 頭部中包含的元資訊應該與 get 請求傳送的響應中的資訊相同。該方法可用來獲取請求暗示實體的元資訊，而不需要傳輸實體本身。該方法常用來測試超文字鏈結的有效性、可用性和最近的修改。

trace

危險建議關閉

trace 方法用於引起遠端的，該請求訊息的應用層回射。請求的最終接收者應該反射200（ok）響應，並以該訊息作為客戶端**訊息的實體。

將應用伺服器中的trace謂詞拒絕

get安全

無get 方法即獲取由 request-uri 標識的任何資訊（以實體的形式）。如果 request-uri 引用某個資料處理過程，則應該以它產生的資料作為在響應中的實體，而不是該過程的源**文字，除非該過程碰巧輸出該文字。

put危險

建議關閉

put 方法請求將封裝的實體儲存在指定的 request-uri 下。如果 request-uri 引用已存在的資源，該封裝實體應該被認作最初伺服器儲存的修改版本。如果 request-uri 沒有指向已存在的資源，且該 uri 可以被請求的使用者**定義為新的資源，則最初伺服器可以用該uri建立資源。

將應用伺服器中的put謂詞拒絕

post安全無

post 方法用來請求最初伺服器接受請求中封裝的實體作為從屬於請求行中的 request-uri 標識的附屬。

options

安全（已關閉）

無options 方法表示在由 request-uri 標識的請求/響應鏈上關於有效通訊選項資訊的請求。該方法允許客戶端判斷與某個資源相關的選項和/或需求或者伺服器的能力，而不需要採用資源行為或發起資源獲取。

delete

危險建議關閉

delete 方法請求最初伺服器刪除 request-uri 標識的資源。最初伺服器可在人為干涉下（或其它意思）遮蔽該方法。客戶端不能確保該操作已提交，即使最初伺服器發出的狀態碼表明動作已成功完成也如此。然而，在給出響應的時候，伺服器不應該表示成功，除非它試圖刪除該資源或將它移動到不可訪問的位置。

將應用伺服器中的delete謂詞拒絕

limit_except get post patch

官方文件(limit_except)

Nginx 訪問限制相關配置

Nginx訪問限制配置

Nginx配置限制IP訪問

Nginx訪問限制配置詳解

Nginx 訪問限制相關配置

Nginx訪問限制配置

Nginx配置限制IP訪問

Nginx訪問限制配置詳解

相關推薦