7.訪問控制及 DDOS 預防

1.訪問控制配置

基於各種原因，我們要進行訪問控制。比如說，一般網站的後臺都不能讓外部訪問，所以要新增 IP 限制，通常只允許公司的 IP 訪問。訪問控制就是指只有符合條件的 IP 才能訪問到這個網站的某個區域。

涉及模組：ngx_http_access_module

模組概述：允許限制某些 IP 地址的客戶端訪問。

對應指令：

• allow

語法: allow address | CIDR | unix: | all;

預設值: —

作用域: http, server, location, limit_except

允許某個 IP 或者某個 IP 段訪問。如果指定 unix，那將允許 socket 的訪問。注意：unix 在 1.5.1 中新加入的功能，如果你的版本比這個低，請不要使用這個方法。

• deny

語法: deny address | CIDR | unix: | all;

預設值: —

作用域: http, server, location, limit_except

禁止某個 IP 或者一個 IP 段訪問。如果指定 unix，那將禁止 socket 的訪問。注意：unix 在 1.5.1 中新加入的功能，如果你的版本比這個低，請不要使用這個方法。

配置範例：

location / {
    deny192.168.1.1;
    allow192.168.1.0/24;
    allow10.1.1.0/16;
    allow2001:0db8::/32;
    deny  all;
}
 

規則按照順序依次檢測，直到匹配到第一條規則。 在這個例子裡，IPv4 的網路中只有 10.1.1.0/16 和 192.168.1.0/24 允許訪問，但 192.168.1.1 除外；對於 IPv6 的網路，只有 2001:0db8::/32 允許訪問。

ngx_http_access_module 配置允許的地址能訪問，禁止的地址被拒絕。這只是很簡單的訪問控制，而在規則很多的情況下，使用 ngx_http_geo_module 模組變數更合適。這個模組大家下來可以瞭解 : ngx_http_geo_module

2.DDOS 預防配置

DDOS 的特點是分散式，針對頻寬和服務攻擊，也就是四層流量攻擊和七層應用攻擊，相應的防禦瓶頸四層在頻寬，七層的多在架構的吞吐量。對於七層的應用攻擊，我們還是可以做一些配置來防禦的，使用 nginx 的 http_limit_conn 和 http_limit_req 模組通過限制連線數和請求數能相對有效的防禦。

ngx_http_limit_conn_module 可以限制單個 IP 的連線數

ngx_http_limit_req_module 可以限制單個 IP 每秒請求數

配置方法：

(1). 限制每秒請求數

涉及模組：ngx_http_limit_req_module

通過漏桶原理來限制單位時間內的請求數，一旦單位時間內請求數超過限制，就會返回 503 錯誤。

配置範例：

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
    ...
    server {
        ...
        location  ~ \.php$ {
            limit_req zone=one burst=5 nodelay;  
               }
           }
     }

必要配置說明（上一部分解釋過的就不再解釋）：

$binary_remote_addr 二進位制遠端地址

rate=10r/s; 限制頻率為每秒 10 個請求

burst=5 允許超過頻率限制的請求數不多於 5 個，假設 1、2、3、4 秒請求為每秒 9 個，那麼第 5 秒內請求 15 個是允許的；反之，如果第一秒內請求 15 個，會將 5 個請求放到第二秒，第二秒內超過 10 的請求直接 503，類似多秒內平均速率限制。

nodelay 超過的請求不被延遲處理，設定後 5（不延時）+10（延時）個請求在 1 秒內處理。（這只是理論資料，最多的情況）

(2).限制 IP 連線數

上一章講過，我們就直接寫出來

http {
    limit_conn_zone $binary_remote_addr zone=addr:10m; //上面講過
    ...
    server {
        ...
        location /操作目錄/ {
            limit_conn addr 1;   
                }
           }
     }

(3).白名單設定

http_limit_conn 和 http_limit_req 模組限制了單 IP 單位時間內的連線和請求數，但是如果 Nginx 前面有 lvs 或者 haproxy 之類的負載均衡或者反向代理，nginx 獲取的都是來自負載均衡的連線或請求，這時不應該限制負載均衡的連線和請求，就需要 geo 和 map 模組設定白名單：

geo $whiteiplist  {
        default 1;
        10.11.15.1610;
    }
map $whiteiplist$limit {
        1$binary_remote_addr;
        0"";
    }
limit_req_zone $limit zone=one:10m rate=10r/s;
limit_conn_zone $limit zone=addr:10m;

geo 模組定義了一個預設值是 1 的變數 whiteiplist，當在 ip 在白名單中，變數 whiteiplist 的值為 0，反之為 1

• 下面是設定的邏輯關係解釋：

如果在白名單中--> whiteiplist=0 --> $limit="" --> 不會儲存到 10m 的會話狀態（one 或者 addr）中 --> 不受限制；

反之，不在白名單中 --> whiteiplist=1 --> $limit=二進位制遠端地址 -->儲存進 10m 的會話狀態中 --> 受到限制。

3.動手測試 DDOS 預防配置

下面我們就來測一下剛剛的配置是否起到了作用。

1.安裝所有測試所需的軟體（原始碼安裝 nginx，apt 安裝 php5-fpm，apt 安裝 apach-u） 為了便於修改配置檔案，這裡選擇原始碼安裝 nginx：

wget http://labfile.oss.aliyuncs.com/nginx-1.7.9.tar.gz

接下來編譯安裝。

sudo apt-get install apache2-utils

sudo apt-get install php5-fpm

安裝好以後 分別啟動 php5 和 nginx。

2.寫一個測試的 php 檔案，修改 nginx 配置檔案，使其能正常訪問。

在/home/shiyanlou 目錄下寫一個 test.php,內容如下：