封禁特定 IP:筑牢安全防线
- 基于配置文件的 IP 封禁:在 Nginx 主配置文件(通常是
/etc/nginx/nginx.conf)或特定虚拟主机配置文件(如/etc/nginx/sites-enabled/default)里,利用deny指令可直接拒绝指定 IP 访问。例如,检测到某恶意 IP 持续发起攻击,要封禁192.168.1.10,在server块或http块内添加deny 192.168.1.10;,重启 Nginx 服务(service nginx restart)后,该 IP 请求将被拒之门外,返回 403 Forbidden 状态码。若要封禁一批连续 IP 段(如192.168.1.0/24子网),则用deny 192.168.1.0/24;,简洁高效,适合应对来自特定区域网络的恶意扫描等场景。 - 结合动态模块封禁:利用
ngx_http_access_module配合geo模块能实现更灵活封禁。在配置中定义geo块识别恶意 IP 集,像geo $bad_ips { default 0; 192.168.2.5 1; 10.0.0.0/8 1; },将可疑 IP 标记为1(0代表正常),随后在server段用deny结合geo变量,if ($bad_ips) { return 403; },如此一来,后续若有新恶意 IP,只需更新geo块配置,无需重启 Nginx,保障业务连续性同时强化防护。
解封 IP:恢复合法访问
误封或恶意行为停止后,解封势在必行。同样在配置文件操作,将
deny对应 IP 语句注释掉,便能恢复其访问权限。例如之前封禁的192.168.1.10解封,把deny 192.168.1.10;前加#变为注释行,再service nginx reload(平滑重载配置,避免重启服务中断业务),流量即可正常流入。进阶:基于访问频率封禁
仅静态 IP 封禁有局限,高频恶意请求伪装多变。借助
ngx_http_limit_req_module按访问频率管控,在http块设limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s;,针对每个 IP($binary_remote_addr)划分 10MB 内存空间(zone),每秒限 10 次请求(rate)。在server块对关键路径(如登录接口/login)应用规则location /login { limit_req zone=mylimit burst=20 nodelay; },超burst(20 次突发请求)后延迟响应,持续违规则封禁,综合脚本监控请求频率、结合deny指令灵活处置,强化纵深防御。日志联动与自动化运维
Nginx 的
access.log记录访问详情,结合脚本(如 Python 的pandas、re模块处理日志)定期分析,提取高频异常 IP,自动更新封禁配置。以 Shell 脚本为例,解析日志抓频繁 404、500 错误 IP,依策略添进deny列表,再nginx -s reload,从被动防御迈向主动智能运维,保障 Web 系统在复杂网络环境下稳健、安全运行,让 Nginx 封解禁机制成为守护数字资产的坚固盾牌。
