Nginx如何进行基于客户端IP的访问限制和防盗链配置？

原创

ithorizon 11个月前 (06-03) 阅读数 120 #Nginx

Nginx 基于客户端 IP 的访问约束和防盗链配置详解

在当今互联网时代，网站可靠显得尤为重要。为了保护网站不受恶意攻击或滥用，我们可以利用 Nginx 提供的强盛功能来实施基于客户端 IP 的访问约束和防盗链策略。下面将详细介绍怎样配置这些可靠措施。

一、基于客户端 IP 的访问约束

基于客户端 IP 的访问约束是一种常见的可靠措施，可以防止单个 IP 地址在短时间内发送过多请求，从而保护服务器不被恶意用户或自动化脚本过度访问。

1. 配置访问频率约束

首先，需要在 Nginx 配置文件中添加以下指令，以约束来自同一 IP 地址的访问频率：


limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

这里，`$binary_remote_addr` 是客户端 IP 地址的二进制描述，`zone=one:10m` 定义了一个名为 `one` 的共享内存区域，大小为 10MB，用于存储访问状态信息，`rate=1r/s` 指定了每秒允许的请求数为 1。

2. 应用访问频率约束

接下来，在需要约束访问的 location 块中添加以下指令：


location / {
    limit_req zone=one burst=5;
}

这描述对 `/` 路径下的资源应用访问频率约束，`burst=5` 描述允许有 5 个请求积压，超过约束的请求将被拒绝。

二、防盗链配置

防盗链是指防止其他网站直接链接到您的资源（如图片、视频等），从而消耗您的带宽和服务器资源。通过配置 Nginx 的 `valid_referers` 指令，可以实现防盗链功能。

1. 配置 `valid_referers`

在需要防盗链的 location 块中添加以下指令：


location ~* \.(jpg|jpeg|gif|png|bmp|swf)$ {
    valid_referers none blocked www.yourdomain.com;
    if ($invalid_referer) {
        return 403;
    }
}

这里，`~* \.(jpg|jpeg|gif|png|bmp|swf)$` 是一个正则表达式，匹配图片和视频等资源文件，`valid_referers` 指令定义了合法的引用来源，`none` 描述没有 referer 的情况，`blocked` 描述 referer 被浏览器或代理服务器隐藏的情况，`www.yourdomain.com` 是您自己的域名。如果请求的 referer 不合法，`$invalid_referer` 变量将为真，此时返回 403 谬误。

2. 测试防盗链配置

配置完成后，可以通过访问包含被盗链资源的页面，查看是否正确地返回了 403 谬误。同时，也可以使用第三方工具（如 curl）模拟不同的 referer 进行测试。