Nginx服务器安全配置与防护策略详解

作为一款高性能的Web服务器，Nginx的安全性配置至关重要。以下是全面的Nginx安全配置和防护策略：

一、基础安全配置

1. 隐藏Nginx版本信息

server_tokens off;

2. 限制HTTP请求方法

if ($request_method !~ ^(GET|HEAD|POST)$ ) {
    return 405;
}

3. 禁用不需要的HTTP头

more_clear_headers 'Server';
more_clear_headers 'X-Powered-By';

二、SSL/TLS安全配置

1. 强制HTTPS

server {
    listen 80;
    server_name example.com;
    return 301 https://$host$request_uri;
}

2. 安全SSL配置

ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305';
ssl_ecdh_curve secp384r1;
ssl_session_timeout 10m;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;

3. HSTS头部

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

三、访问控制

1. IP访问限制

location /admin {
    allow 192.168.1.0/24;
    allow 10.0.0.1;
    deny all;
}

2. 速率限制

limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;

server {
    location / {
        limit_req zone=one burst=5 nodelay;
    }
}

3. 文件访问限制

location ~* \.(env|log|htaccess)$ {
    deny all;
}

四、Web应用防护

1. 防止目录遍历

location ~* \.(?:php|pl|py|jsp|asp|sh|cgi)$ {
    deny all;
}

2. SQL注入防护

set $block_sql_injections 0;
if ($query_string ~ "union.*select.*\(") {
    set $block_sql_injections 1;
}
if ($block_sql_injections = 1) {
    return 403;
}

3. XSS防护

add_header X-XSS-Protection "1; mode=block";

4. 内容安全策略(CSP)

add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://cdn.example.com; img-src 'self' https://*.example.com data:; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; font-src 'self' https://fonts.gstatic.com; frame-src 'none'; object-src 'none'";

五、高级防护策略

1. ModSecurity集成

load_module modules/ngx_http_modsecurity_module.so;

http {
    modsecurity on;
    modsecurity_rules_file /etc/nginx/modsec/main.conf;
}

2. 防止点击劫持

add_header X-Frame-Options "SAMEORIGIN";

3. MIME类型安全

add_header X-Content-Type-Options "nosniff";

4. Referrer策略

add_header Referrer-Policy "strict-origin-when-cross-origin";

六、日志与监控

1. 详细日志记录

log_format security '$remote_addr - $remote_user [$time_local] '
                   '"$request" $status $body_bytes_sent '
                   '"$http_referer" "$http_user_agent" "$http_x_forwarded_for" '
                   '$request_time $upstream_response_time $pipe';

access_log /var/log/nginx/security.log security;

2. 错误日志级别

error_log /var/log/nginx/error.log warn;

七、性能与安全平衡

1. 缓冲区限制

client_body_buffer_size 16k;
client_header_buffer_size 1k;
client_max_body_size 8m;
large_client_header_buffers 4 8k;

2. 连接限制

limit_conn_zone $binary_remote_addr zone=addr:10m;
limit_conn addr 100;

八、定期维护策略

1. 保持Nginx更新：定期升级到最新稳定版本
2. 审计配置：每月检查配置文件的变更
3. 证书轮换：设置自动化的SSL证书更新机制
4. 安全扫描：定期使用工具如Nessus、OpenVAS扫描漏洞
5. 备份策略：配置文件、证书和日志的自动化备份

九、应急响应

1. 快速禁用站点：准备紧急维护页面配置
2. IP封禁脚本：自动化封禁恶意IP
3. 日志分析工具：如GoAccess、ELK Stack实时监控

通过以上全面的安全配置，可以显著提高Nginx服务器的安全性，防范大多数常见攻击。建议根据实际业务需求调整配置，并定期进行安全审计和测试。