Nginx 和 Lua 设计黑白名单
使用 Nginx 和 Lua 设计黑白名单机制,借助 Redis 存储
在现代网络应用中,安全性是一个不可忽视的关键因素。应用程序需要能够有效地管理访问权限,以保护其资源不被恶意用户攻击。黑白名单机制是实现访问控制的一种有效方式。本文将详细介绍如何使用 Nginx、Lua 和 Redis 来实现一个黑白名单系统。
一、引言
黑白名单机制是一种简单而有效的访问控制策略。通过将 IP 地址分为允许(白名单)和拒绝(黑名单)访问两类,系统能够对外部请求进行有效管理。使用 Nginx 作为反向代理服务器,结合 Lua 脚本和 Redis 数据库,可以灵活且高效地实现这一机制。
二、系统架构
在我们的设计中,系统架构主要包括三部分:
- Nginx:作为反向代理服务器,用于处理用户请求。
- Lua:在 Nginx 中运行的脚本语言,用于动态处理请求逻辑。
- Redis:高性能的键值存储,用于存储和查询黑白名单数据。
系统流程
- 用户发送请求到 Nginx。
- Nginx 通过 Lua 脚本获取用户的 IP 地址。
- Lua 脚本连接 Redis,检查用户 IP 是否在黑名单或白名单中。
- 根据检查结果,决定是否允许访问。
三、环境准备
在开始编码之前,需要准备以下环境:
- 安装 Nginx:确保您已经安装了 Nginx,并启用了 Lua 模块(ngx_http_lua_module)。
- 安装 Lua:确保系统支持 Lua。
- 安装 Redis:用于存储黑白名单数据。
四、Redis 数据结构
在 Redis 中,我们将使用集合(SET)来存储黑白名单的数据。以下是初始化数据的示例命令:
# 添加 IP 到白名单
SADD whitelist "192.168.1.1"
SADD whitelist "192.168.1.2"
# 添加 IP 到黑名单
SADD blacklist "192.168.1.100"
SADD blacklist "192.168.1.101"
五、Nginx 配置示例
以下是 Nginx 的配置示例,在 nginx.conf 中添加黑白名单逻辑:
http {
lua_shared_dict my_cache 10m; # Lua共享内存
server {
listen 80;
server_name your_domain.com;
location / {
# 设置 Lua 处理
access_by_lua_block {
local redis = require "resty.redis"
local red = redis:new()
-- 设置 Redis 连接超时
red:set_timeout(1000) -- 1秒超时
local ok, err = red:connect("127.0.0.1", 6379)
if not ok then
ngx.log(ngx.ERR, "failed to connect to Redis: ", err)
return ngx.exit(500)
end
local client_ip = ngx.var.remote_addr
-- 检查黑名单
local is_blacklisted, err = red:sismember("blacklist", client_ip)
if is_blacklisted == 1 then
return ngx.exit(403) -- 禁止访问
end
-- 检查白名单
local is_whitelisted, err = red:sismember("whitelist", client_ip)
if is_whitelisted == 1 then
return -- 允许访问
end
-- 如果不在白名单中,默认拒绝访问
return ngx.exit(403)
}
# 其他处理逻辑
proxy_pass http://your_backend;
}
}
}
也可以直接写一个代码块,直接加载,再nginx -s reload
六、Lua 脚本逻辑分析
在上述配置中,使用的 Lua 脚本主要完成几个关键任务:
-
连接 Redis:通过
resty.redis模块连接 Redis 数据库,确保 Nginx 可以访问存储的黑白名单数据。 -
获取客户端 IP:通过
ngx.var.remote_addr获取请求的客户端 IP 地址。 -
检查黑名单:
- 使用
sismember方法检查 IP 是否在黑名单中。 - 如果在黑名单中,返回 HTTP 403 状态,禁止访问。
- 使用
-
检查白名单:
- 同样使用
sismember检查 IP 是否在白名单中。 - 如果在白名单中,允许请求继续处理。
- 同样使用
-
默认拒绝:如果未在任何列表中找到,默认拒绝访问。
七、性能考虑
1. Redis 访问优化
虽然 Redis 性能极高,但频繁的访问可能会对性能产生影响。以下是一些优化建议:
- 连接池:使用连接池可以减少每次请求建立连接的开销。
- 缓存机制:在 Lua 中使用共享内存缓存常用结果,以减少对 Redis 的访问。例如,可以将最近检查过的 IP 地址结果存储在
lua_shared_dict中。
2. 日志记录
记录请求和访问控制决策可以帮助后续分析和调试。Nginx 和 Lua 提供了日志记录的机制,可以记录每个请求的状态、IP 地址和处理结果。
ngx.log(ngx.INFO, "Client IP: ", client_ip, " - Status: ", status)
八、安全性考虑
在实现黑白名单机制时,安全性是一个重要因素。确保以下几点可以增强系统的安全性:
- 保护 Redis:设置密码和访问控制,以防止未经授权的访问。
- 监控日志:定期检查 Nginx 和 Redis 的日志,及时发现异常请求和访问行为。
- 定期更新名单:确保黑白名单是最新的,定期审查和更新列表。
九、测试与验证
在生产环境部署之前,确保经过充分的测试。可以使用以下方法进行验证:
- 功能测试:检查不同 IP 是否能够正确地被允许或拒绝访问。
- 压力测试:在高并发情况下测试系统的稳定性和性能。
- 安全测试:模拟攻击请求,检查黑名单是否能够有效阻止恶意访问。
十、总结
通过结合 Nginx、Lua 和 Redis,我们可以实现一个灵活且高效的黑白名单机制。该机制不仅能够有效管理访问权限,还能提供良好的性能和安全性。