Nginx配置防火墙规则有哪些技巧

Nginx 配置防火墙规则实用技巧

为Web服务构建坚固的防御体系，从来不是单一工具或规则能一劳永逸的。它更像是一场精心设计的纵深防御战役，需要从网络边界到应用逻辑层层设防。今天，我们就来聊聊如何围绕Nginx，打造一套既实用又高效的防火墙策略。

一 分层设计与最小暴露

安全的第一要义是减少攻击面。一个稳健的架构，必然遵循“最小权限”原则，并在不同层级部署控制点。

• 系统层：只开必要的门。 优先仅放行TCP 80/443端口（HTTP/HTTPS）。对于SSH（22）或RDP（3389）这类管理端口，务必限制来源IP，或者干脆通过跳板机访问。在云环境里，利用安全组实现同样的逻辑，这是第一道屏障。
• 主机层：默认拒绝，按需放行。 在Linux上，使用iptables、firewalld或UFW设置默认拒绝策略；在Windows上，则利用Windows Defender防火墙，精细地只允许nginx.exe进程监听80和443端口。这构成了第二道防线。
• 应用层：Nginx的细粒度控制。 这才是发挥Nginx威力的地方。利用allow/deny指令、limit_req（请求速率限制）和limit_conn（连接数限制）等功能，实现IP、请求频率和并发层面的管控。至此，“系统防火墙 + 主机防火墙 + Nginx应用层”的三层纵深防御已然成型。
• 隐藏与转移：善用外部服务。 对外务必隐藏源站的真实IP地址。将服务前置到CDN、WAF或云清洗平台后面，让它们替你抵挡第一波流量和扫描，能极大降低直接暴露的风险。

二 关键规则清单与示例

理论说完了，来看点实实在在能抄作业的配置。下面这份清单覆盖了从系统到应用的关键步骤。

• 系统层端口与进程放行（示例）
  • Linux（firewalld）： 核心是只放行必要端口，比如80、443和22（SSH）。对于管理端口，强烈建议限制来源IP。甚至可以对HTTP服务设置全局速率限制，例如每秒最多处理10个新连接，提前扼制洪水攻击的苗头。
  • Windows（PowerShell）： 思路一致，只为Nginx开绿灯。创建防火墙规则，仅允许nginx.exe程序监听80和443端口。如果存在管理后台（如8080端口），则需要基于IP或时间段进行更精细化的放行控制。
• Nginx应用层访问控制
  • IP白名单/黑名单： 对/admin/这类敏感路径，严格限制仅允许内网IP段访问；对于已知的恶意IP，直接全局deny。
  • 请求方法限制： 通常Web服务只用到GET、POST、HEAD方法。可以配置规则，拦截其他非常用方法（如PUT、DELETE），直接返回405状态码或使用444直接关闭连接。
  • 速率与并发： 这是应对爬虫和暴力破解的利器。限制单个IP的每秒请求数（QPS）和并发连接数，能有效防止资源被耗尽。
  • 协议与加密： 强制全站使用HTTPS，并禁用老旧不安全的TLS协议（如TLS 1.0/1.1），只启用TLS 1.2/1.3并配置强密码套件。别忘了加上HSTS响应头，让浏览器强制使用HTTPS。
• 示例（可直接复用）
  • firewalld最小放行与限速
    • 放行端口：firewall-cmd --permanent --add-service=http --add-service=https --add-service=ssh && firewall-cmd --reload
    • 限速示例：firewall-cmd --permanent --add-rich-rule=‘rule family=“ipv4” service name=“http” limit value=“10/s” accept’ && firewall-cmd --reload
  • Windows防火墙仅放行Nginx
    • New-NetFirewallRule -DisplayName “Nginx HTTP” -Direction Inbound -LocalPort 80 -Protocol TCP -Action Allow
    • New-NetFirewallRule -DisplayName “Nginx HTTPS” -Direction Inbound -LocalPort 443 -Protocol TCP -Action Allow
  • Nginx应用层关键片段
    • IP白名单与黑名单

      location /admin/ {
          allow 192.168.1.0/24;
          deny all;
      }
      deny 203.0.113.5;
      allow all;

    • 方法限制

      if ($request_method !~ ^(GET|POST|HEAD)$) {
          return 405;
      }

    • 速率与并发

      http {
          limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
          limit_conn_zone $binary_remote_addr zone=ops:10m;
      }
      server {
          limit_req zone=one burst=20 nodelay;
          limit_conn ops 10;
      }

    • 安全响应头与跳转

      add_header X-Frame-Options DENY;
      add_header X-Content-Type-Options nosniff;
      server {
          listen 80;
          return 301 https://$host$request_uri;
      }
      ssl_protocols TLSv1.2 TLSv1.3;
      add_header Strict-Transport-Security “max-age=31536000; includeSubDomains” always;

三 缓解 DDoS 与恶意流量

当面对更具攻击性的DDoS或恶意爬虫时，我们需要更立体的应对策略。

• 速率与连接控制：多层设限。 在Nginx层，用limit_req和limit_conn控制单个IP的行为。在系统防火墙层（如iptables/firewalld），可以对新建连接（NEW状态）设置速率阈值，作为Nginx之前的另一道闸门，优先丢弃异常突发流量。
• 协议与ICMP治理： 适当限制ICMP（ping）请求的速率，防止“ping洪水”。同时，彻底关闭服务器上所有非必要的协议和端口。
• 边界与上游协同： 再次强调，将CDN、WAF或云清洗服务作为流量入口。它们能吸收和过滤掉大部分攻击流量。对于管理后台、API调试端口等敏感接口，务必设置严格的IP白名单，甚至可以限定只在工作时间段开放。
• 监控与处置： 建立监控基线。实时分析Nginx的访问日志、错误日志以及防火墙日志，设置告警。一旦发现异常，可以快速联动防火墙进行临时封禁。对于新上线的严格规则，不妨先设置为检测模式，观察误报情况，确认无误后再全量启用。

四 进阶与维护

基础稳固之后，我们可以追求更高级的安全和更可持续的运营。

• 部署WAF（如ModSecurity）： 为Nginx集成ModSecurity这样的Web应用防火墙模块，并加载OWASP核心规则集。它能有效拦截SQL注入、XSS跨站脚本、目录遍历等常见Web攻击。上线初期，可以先用DetectionOnly模式观察，并通过排除规则调整误报，逐步平滑地推向生产环境。
• 地理与内容治理： 利用GeoIP模块，根据国家或地区来允许或拒绝访问。同时，可以对异常的User-Agent、Referer以及包含可疑参数的请求进行拦截或挑战（如返回验证码）。
• 版本隐藏与超时加固： 关闭server_tokens来隐藏Nginx版本信息。合理设置各类超时参数（如client_body_timeout, keepalive_timeout），以防御慢速攻击。同时，通过client_max_body_size限制客户端请求体大小，防止大文件上传滥用。
• 持续运营： 安全是一个持续的过程。定期更新Nginx及其安全模块的版本，更新WAF规则库。每季度进行渗透测试和全面的日志审计，验证现有安全规则的有效性和覆盖率，并根据威胁态势的变化不断调整策略。