La optimización del rendimiento y la configuración de refuerzo de seguridad del servidor web proxy Nginx son necesarios para un desarrollo y operación seguros
Esta optimización y refuerzo del servicio Nginx incluye principalmente las siguientes partes:
Este documento es solo para uso interno y está prohibida su difusión. Ayudará al personal de RD y a la operación y mantenimiento. personal para proporcionar referencia de documentación técnica para el funcionamiento estable a largo plazo del sistema.
Nginx es un servidor HTTP y proxy inverso de alto rendimiento, así como un servidor IMAP/POP3/SMTP. Nginx es un servidor de equilibrio de carga. Nginx puede admitir directamente programas Rails y PHP internamente para servicios externos y también puede servir como un servidor proxy HTTP para admitir servicios externos.
Selección de versión de Nginx:
Estructura del proyecto:
Ayuda de documentación de Nginx: el método más utilizado en el mundo. Los métodos del servidor web se definen en RFC 2616 para deshabilitar los métodos disponibles que no necesitan implementarse.
Método de refuerzo:
El elemento de configuración limit_zone limita el número de conexiones simultáneas desde el cliente. Este módulo permite limitar el número de conexiones simultáneas o casos especiales asignados a una sesión desde una dirección.
Método de refuerzo: limit_zone en el archivo nginx.conf debe establecerse en: slimits $binary_remote_addr 5m.
Este elemento de configuración controla el número máximo de conexiones simultáneas en una sesión, es decir, limita el número de conexiones desde una única dirección IP.
Método de refuerzo: limit_conn en el archivo nginx.conf debe establecerse en: slimits 5.
Método de refuerzo:
Método de refuerzo:
Solución:
Describe la necesidad de instalar -with-http después de que el backend obtenga el módulo proxy _ realip _ para obtener la IP del cliente real, y luego el programa back-end usa Java (solicitud. get atributo (" x-real-IP ")) para obtenerla.
Descripción: si desea utilizar la selección de configuración regional geoip, debe agregar el parámetro de compilación -with-http_GeoIP_module al compilar nginx.
Descripción: Para evitar que sitios externos hagan referencia a nuestros recursos estáticos, necesitamos configurar nombres de dominio que puedan acceder a nuestros recursos estáticos.
Descripción: La siguiente es una colección de encabezados de respuesta de seguridad generales en servicios web, que pueden garantizar la protección contra algunos ataques. Se recomienda configurarlos en un bloque de servidor designado {}.
Nota: Para evitar que algunos nombres de dominio no registrados o sitios espejo maliciosos lleguen a nuestro servidor, provocando que el servidor se cierre con una advertencia, afectando así el ranking empresarial o SEO y la imagen corporativa, podemos tome precauciones de las siguientes maneras.
Resultados de la implementación:
Descripción: A veces, es posible que su sitio web solo requiera acceso desde una determinada IP o rango de IP, y luego se bloqueará el acceso desde direcciones que no están en la lista blanca que podemos configurar. es así;
Descripción del archivo de configuración común de nginx:
El (1) módulo Concat o PageSpeed de Google proporcionado por Alibaba implementa esta función de fusionar archivos.
(2) Optimización de PHP-FPM
Si su sitio web de alta carga utiliza PHP-FPM para administrar FastCGI, esta optimización de PHP-FPM es muy importante.
(3) Configurar Resin en Linux o Windows para que podamos abrir resin-3.1.9/bin/httpd.sh y agregar: -d https.
Por ejemplo, protocolo = tlsv1.2 donde el resto del código no se ve afectado.
Dirección original: https://blog.weiyigeek.top/2019/9-2-122.html