Nginx HTTP缓存与安全性能优化指南

HTTP缓存优化

1. 基础缓存配置

http {
    proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=my_cache:10m inactive=60m use_temp_path=off;

    server {
        location / {
            proxy_cache my_cache;
            proxy_pass http://backend;
            proxy_cache_valid 200 304 12h;
            proxy_cache_valid any 5m;
            proxy_cache_use_stale error timeout updating http_500 http_502 http_503 http_504;
        }
    }
}

2. 缓存键优化

proxy_cache_key "$scheme$request_method$host$request_uri$http_x_custom_header";

3. 缓存控制头处理

proxy_ignore_headers Cache-Control;
proxy_ignore_headers Set-Cookie;
proxy_hide_header Cache-Control;
proxy_hide_header Set-Cookie;

4. 微缓存配置（适用于高流量动态内容）

proxy_cache_lock on;
proxy_cache_lock_age 5s;
proxy_cache_lock_timeout 5s;
proxy_cache_min_uses 3;

安全性能优化

1. SSL/TLS优化

server {
    listen 443 ssl http2;
    ssl_certificate /path/to/cert.pem;
    ssl_certificate_key /path/to/key.pem;

    # 现代加密套件
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
    ssl_prefer_server_ciphers on;

    # 会话复用
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    ssl_session_tickets off;

    # OCSP Stapling
    ssl_stapling on;
    ssl_stapling_verify on;
}

2. 请求限制与防护

# 限制请求速率
limit_req_zone $binary_remote_addr zone=req_limit:10m rate=10r/s;

# 限制连接数
limit_conn_zone $binary_remote_addr zone=conn_limit:10m;

server {
    location / {
        limit_req zone=req_limit burst=20 nodelay;
        limit_conn conn_limit 10;
    }
}

3. 安全头部设置

add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options "nosniff";
add_header X-XSS-Protection "1; mode=block";
add_header Content-Security-Policy "default-src 'self'";
add_header Referrer-Policy "strict-origin-when-cross-origin";
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

4. 文件访问控制

# 禁止访问敏感文件
location ~* \.(htaccess|htpasswd|ini|log|sh|sql)$ {
    deny all;
    return 404;
}

# 禁止目录列表
location / {
    autoindex off;
}

性能优化

1. 连接优化

# 全局配置
http {
    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    keepalive_timeout 65;
    keepalive_requests 1000;
    reset_timedout_connection on;
    client_body_timeout 12;
    client_header_timeout 12;
    send_timeout 10;
}

2. Gzip压缩

gzip on;
gzip_vary on;
gzip_proxied any;
gzip_comp_level 6;
gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
gzip_min_length 1000;
gzip_buffers 16 8k;

3. 静态资源缓存

location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ {
    expires 365d;
    add_header Cache-Control "public, no-transform";
    access_log off;
}

4. 反向代理优化

proxy_buffer_size 16k;
proxy_buffers 4 64k;
proxy_busy_buffers_size 128k;
proxy_temp_file_write_size 128k;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_http_version 1.1;
proxy_set_header Connection "";

监控与日志

1. 访问日志优化

log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                '$status $body_bytes_sent "$http_referer" '
                '"$http_user_agent" "$http_x_forwarded_for" '
                'rt=$request_time uct="$upstream_connect_time" uht="$upstream_header_time" urt="$upstream_response_time"';

access_log /var/log/nginx/access.log main buffer=32k flush=5m;

2. 状态监控

location /nginx_status {
    stub_status on;
    access_log off;
    allow 127.0.0.1;
    allow 192.168.1.0/24;
    deny all;
}

最佳实践建议

1. 分层缓存策略：

   • 浏览器缓存（Cache-Control头）
   • Nginx代理缓存
   • 应用层缓存（如Redis）

2. 安全与性能平衡：

   • 在安全头部和性能之间找到平衡点
   • 使用CSP但不要过度限制
   • 合理设置HSTS max-age

3. 定期维护：

   • 监控缓存命中率
   • 定期清理旧缓存
   • 更新SSL证书和加密套件

4. 测试验证：

   • 使用工具测试SSL配置（如SSL Labs）
   • 验证缓存行为
   • 压力测试限流配置

通过实施这些优化措施，您可以显著提高Nginx服务器的性能同时确保安全性。根据您的具体应用场景和流量模式，可能需要调整某些参数以获得最佳效果。