NGINX 保护 Web 应用安全之基于 IP 地址的访问

时间:2024-10-23 08:23:50

根据客户端的 IP 地址控制访问

使用 HTTP 或 stream 访问模块控制对受保护资源的访问: location /admin/ { deny 10.0.0.1; allow 10.0.0.0/20; allow 2001:0db8::/32; deny all; } }

给定的 location 代码块允许来自 10.0.0.0/20 中的任何 IPv4 地址访问(10.0.0.1 除 外),允许来自 2001:0db8::/32 子网中的 IPv6 地址访问,并在收到来自其他任何地址 的请求后返回 403。 allow 和 deny 指令在 http、server 和 location 上下文以及 TCP/ UDP 的 stream、server 上下文中有效。 按顺序检查规则,直到找到与远程地址的匹配的规则为止。

互联网上的宝贵资源和服务必须要进行多层保护,NGINX 就是其中一层的安全卫士。

deny 指令可阻止对给定上下文的访问,而 allow 指令可用来允许访问被阻止地址的子 集。

可以使用 IP 地址、IPv4 或 IPv6、无类别域间路由(CIDR)块范围,关键字 all 和 Unix 套接字。

在保护资源时,通常会允许一个内部 IP 地址块,并拒绝所有访问请求。

传统的nginx安装配置比较复杂,这里推荐一个款产品WAF,雷池社区版 一件部署,简单上手,功能强大,免费使用 Web 应用防火墙(WAF),可以保护 Web 服务不受黑客攻击。

省去复杂的配置流程,只需简单操作,轻松完成安装,快速投入使用

image.png

雷池社区版拥有强大的攻击检测和防御能力,雷池通过过滤和监控 Web 应用与互联网之间的 HTTP 流量来保护 Web 服务。可以保护 Web 服务免受 SQL 注入、XSS、 代码注入、命令注入、CRLF 注入、ldap 注入、xpath 注入、RCE、XXE、SSRF、路径遍历、后门、暴力破解、CC、爬虫 等攻击。

通过实时日志分析,雷池能为您提供及时的安全告警,助您第一时间发现潜在的威胁

无需担心费用,雷池社区版对所有用户完全免费开放,适合中小企业及个人开发者