NGINX 保护 Web 应用安全之基于 IP 地址的访问
根据客户端的 IP 地址控制访问
使用 HTTP 或 stream 访问模块控制对受保护资源的访问: location /admin/ { deny 10.0.0.1; allow 10.0.0.0/20; allow 2001:0db8::/32; deny all; } }
给定的 location 代码块允许来自 10.0.0.0/20 中的任何 IPv4 地址访问(10.0.0.1 除 外),允许来自 2001:0db8::/32 子网中的 IPv6 地址访问,并在收到来自其他任何地址 的请求后返回 403。 allow 和 deny 指令在 http、server 和 location 上下文以及 TCP/ UDP 的 stream、server 上下文中有效。 按顺序检查规则,直到找到与远程地址的匹配的规则为止。
互联网上的宝贵资源和服务必须要进行多层保护,NGINX 就是其中一层的安全卫士。
deny 指令可阻止对给定上下文的访问,而 allow 指令可用来允许访问被阻止地址的子 集。
可以使用 IP 地址、IPv4 或 IPv6、无类别域间路由(CIDR)块范围,关键字 all 和 Unix 套接字。
在保护资源时,通常会允许一个内部 IP 地址块,并拒绝所有访问请求。
传统的nginx安装配置比较复杂,这里推荐一个款产品WAF,雷池社区版 一件部署,简单上手,功能强大,免费使用 Web 应用防火墙(WAF),可以保护 Web 服务不受黑客攻击。
省去复杂的配置流程,只需简单操作,轻松完成安装,快速投入使用
雷池社区版拥有强大的攻击检测和防御能力,雷池通过过滤和监控 Web 应用与互联网之间的 HTTP 流量来保护 Web 服务。可以保护 Web 服务免受 SQL 注入、XSS、 代码注入、命令注入、CRLF 注入、ldap 注入、xpath 注入、RCE、XXE、SSRF、路径遍历、后门、暴力破解、CC、爬虫 等攻击。
通过实时日志分析,雷池能为您提供及时的安全告警,助您第一时间发现潜在的威胁
无需担心费用,雷池社区版对所有用户完全免费开放,适合中小企业及个人开发者