Nginx安全性能优化：减少加载时间提高访问速度

核心优化策略

1. 启用Gzip压缩

gzip on;
gzip_vary on;
gzip_proxied any;
gzip_comp_level 6;
gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
gzip_min_length 1024;

2. 优化缓存设置

# 静态资源缓存
location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ {
    expires 365d;
    add_header Cache-Control "public, no-transform";
}

# 禁用某些文件的缓存
location ~* \.(html|htm|php)$ {
    expires -1;
    add_header Cache-Control "no-store, no-cache, must-revalidate";
}

3. 启用HTTP/2

listen 443 ssl http2;

4. 安全头部设置

add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options "nosniff";
add_header X-XSS-Protection "1; mode=block";
add_header Referrer-Policy "strict-origin-when-cross-origin";
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://cdn.example.com; img-src 'self' data: https://*.example.com";

高级性能优化

1. 工作进程优化

worker_processes auto; # 自动匹配CPU核心数
worker_rlimit_nofile 100000; # 提高文件描述符限制
events {
    worker_connections 4096; # 每个worker进程的最大连接数
    multi_accept on; # 同时接受多个连接
    use epoll; # Linux高效事件模型
}

2. TCP优化

sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 30;
keepalive_requests 1000;
reset_timedout_connection on;
client_body_timeout 10;
send_timeout 2;

3. SSL优化

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305';
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 1d;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;

安全加固措施

1. 限制访问

# 限制HTTP方法
limit_except GET POST HEAD {
    deny all;
}

# 防止目录遍历
autoindex off;

# 隐藏Nginx版本信息
server_tokens off;

2. 请求限制

# 限制请求体大小
client_max_body_size 10m;

# 限制请求速率
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;

location / {
    limit_req zone=one burst=20 nodelay;
}

3. 防DDoS配置

# 连接限制
limit_conn_zone $binary_remote_addr zone=addr:10m;

location / {
    limit_conn addr 10;
}

# 屏蔽恶意User-Agent
map $http_user_agent $blocked_agent {
    default 0;
    ~*(wget|curl|nikto|sqlmap) 1;
}

server {
    if ($blocked_agent) {
        return 403;
    }
}

监控与日志优化

1. 访问日志优化

log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                '$status $body_bytes_sent "$http_referer" '
                '"$http_user_agent" "$http_x_forwarded_for" '
                '$request_time $upstream_response_time $pipe';

access_log /var/log/nginx/access.log main buffer=32k flush=5m;

2. 错误日志设置

error_log /var/log/nginx/error.log warn;

实施建议

1. 分阶段实施：先在生产环境的测试服务器上验证配置变更
2. 监控影响：使用工具如New Relic、Datadog或Prometheus监控性能变化
3. A/B测试：对关键配置变更进行A/B测试
4. 定期审计：每季度审查Nginx配置和安全设置
5. 自动化部署：使用配置管理工具(Ansible/Puppet)管理Nginx配置

通过以上优化，可以显著提高网站加载速度，同时增强安全性。根据实际流量和服务器资源，可能需要微调某些参数值。