Nginx访问控制策略分析与实施

Nginx提供了多种访问控制机制，可以通过日志分析来优化这些策略。以下是关于Nginx访问控制策略的详细指南：

1. 基于IP的访问控制

1.1 allow/deny指令

location /admin/ {
    deny 192.168.1.100;  # 拒绝特定IP
    allow 192.168.1.0/24; # 允许整个子网
    deny all;            # 拒绝其他所有
}

1.2 日志分析

检查$remote_addr字段识别频繁访问的IP：

awk '{print $1}' access.log | sort | uniq -c | sort -nr | head -20

2. 基于用户认证的控制

location /secure/ {
    auth_basic "Restricted Area";
    auth_basic_user_file /etc/nginx/.htpasswd;
}

3. 基于请求频率的限制

3.1 limit_req模块

limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;

server {
    location /api/ {
        limit_req zone=one burst=20;
    }
}

3.2 日志分析异常请求

# 查找高频率请求IP
awk '{print $1}' access.log | sort | uniq -c | sort -nr

4. 基于地理位置的限制

使用GeoIP模块：

geo $blocked_country {
    default 0;
    CN 1;
    RU 1;
}

server {
    if ($blocked_country) {
        return 403;
    }
}

5. 基于User-Agent的限制

map $http_user_agent $bad_agent {
    default 0;
    ~*(wget|curl|nikto) 1;
}

server {
    if ($bad_agent) {
        return 403;
    }
}

6. 日志分析与策略优化

6.1 常用日志分析命令

# 统计HTTP状态码
awk '{print $9}' access.log | sort | uniq -c | sort -rn

# 查找404请求
awk '($9 ~ /404/)' access.log | awk '{print $7}' | sort | uniq -c | sort -rn

# 查找耗时长的请求
awk '($NF > 1){print $1, $7, $NF}' access.log | sort -k3 -rn | head -20

6.2 使用GoAccess进行可视化分析

goaccess access.log -a -o report.html

7. 动态黑名单管理

结合fail2ban：

# /etc/fail2ban/jail.d/nginx.conf
[nginx-http-auth]
enabled = true
filter = nginx-http-auth
port    = http,https
logpath = /var/log/nginx/error.log

最佳实践建议

1. 定期分析日志并调整访问控制策略
2. 对敏感区域实施多重认证
3. 限制API端点的访问频率
4. 对可疑IP实施临时封禁
5. 记录所有403/401访问尝试
6. 使用CDN和WAF增强防护

通过合理配置这些访问控制策略，可以有效保护您的Nginx服务器免受恶意访问和滥用。