我们在使用Nginx与Cloudflare代理服务的环境中,保障服务器的安全性是至关重要的。通过合适的访问控制配置,您可以有效地阻止未经授权的访问,同时确保合法流量的顺利通过。本文将介绍如何通过主机头验证和IP限制等策略,保护您的Nginx服务器免受潜在的攻击。
1. 主机头验证配置
为了防止恶意访问(如机器人或扫描器),首先要确保只有正确的主机头请求才能访问您的服务器。配置一个默认的server块来处理无效的主机头,阻止非法请求:
#用于捕获无效主机的默认服务器块
server {
listen 80 default_server;
listen [::]:80 default_server;
server_name _;
return 444; # 返回444状态码,断开连接
}
server {
listen 443 ssl default_server;
listen [::]:443 ssl default_server;
server_name _;
ssl_reject_handshake on; # 拒绝SSL握手
return 444;
}
这种配置确保了任何带有不正确主机头的请求都会被拒绝,从而避免了潜在的安全漏洞。
2. Cloudflare IP自动化管理
要确保只有Cloudflare的边缘服务器能够访问您的源服务器,需要定期更新Cloudflare的IP范围。使用Shell脚本可以自动化这一过程,确保Nginx始终能够识别最新的Cloudflare IP:
#!/bin/bash
# File: update_cloudflare_ips.sh
echo "# Cloudflare IP ranges - generated on $(date)" | tee /etc/nginx/cloudflare.inc > /etc/nginx/real_ip.inc
# Fetch and format IPv4 ranges
curl -s https://www.cloudflare.com/ips-v4/ | \
tee >(sed 's/$/ 0;/' >> /etc/nginx/cloudflare.inc) | \
sed 's/^/set_real_ip_from /; s/$/;/' >> /etc/nginx/real_ip.inc
# Fetch and format IPv6 ranges
curl -s https://www.cloudflare.com/ips-v6/ | \
tee >(sed 's/$/ 0;/' >> /etc/nginx/cloudflare.inc) | \
sed 's/^/set_real_ip_from /; s/$/;/' >> /etc/nginx/real_ip.inc
这段脚本从Cloudflare获取最新的IP地址并将其自动添加到Nginx配置文件中,从而确保只允许Cloudflare的IP访问您的服务器。
3. 实施IP限制
利用Nginx的`geo`模块,可以配置服务器只允许来自Cloudflare的IP访问:
#使用GEO模块定义允许的IP
geo $denied {
default 1;
include /etc/nginx/cloudflare.inc;
}
server {
server_name example.com;
listen 443 ssl http2;
# Deny non-Cloudflare access
if ($denied) {
return 444;
}
# SSL configuration
ssl_certificate /etc/ssl/certs/example.com.crt;
ssl_certificate_key /etc/ssl/private/example.com.key;
}
在这个配置中,`geo`模块根据IP地址判断是否允许访问,任何非Cloudflare的IP都将被拒绝访问。
4. 配置真实IP头部
为了正确识别客户端的真实IP,需要处理Cloudflare传递的`CF-Connecting-IP`头部。Nginx配置可以通过以下方式确保正确地处理真实IP:
server {
server_name example.com;
listen 443 ssl http2;
# Include real IP configuration
include /etc/nginx/real_ip.inc;
real_ip_header CF-Connecting-IP; # 使用Cloudflare的真实IP头部
# Use realip_remote_addr for geo matching
geo $realip_remote_addr $denied {
default 1;
include /etc/nginx/cloudflare.inc;
}
}
通过此配置,Nginx能够获取正确的客户端IP并应用之前设置的IP限制规则。
5. 强化安全性:高级HTTP头部配置
为了进一步增强服务器的安全性,可以添加多个HTTP安全头部,防止常见的攻击:
server {
#安全标头
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "no-referrer-when-downgrade" always;
add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;
}
这些头部有助于防止点击劫持、跨站脚本攻击(XSS)、内容类型嗅探等常见的网络攻击。
6. 维护与监控
实施定期的维护和监控程序,确保配置始终保持安全和高效:
自动更新Cloudflare IP范围:每日运行脚本自动更新IP范围。
监控访问日志:定期检查访问日志,查找任何异常的访问尝试。
验证SSL证书有效性:确保SSL证书始终有效,防止中间人攻击。
检查安全头部:定期审查并更新安全头部配置。
7. 日志配置
设置全面的日志记录以帮助您追踪安全事件并进行故障排除:
server {
#访问和错误日志
access_log /var/log/nginx/example.com.access.log combined buffer=512k flush=1m;
error_log /var/log/nginx/example.com.error.log warn;
# Custom logging format for security monitoring
log_format security '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
}
通过分析日志,您可以快速发现并响应潜在的安全威胁。
8. 常见问题故障排除
Cloudflare IP范围更新问题:确保自动更新脚本正确执行,且Cloudflare的IP列表无误。
SSL证书链问题:检查证书链的完整性,确保没有中间证书丢失。
真实IP头部处理问题:验证Cloudflare的`CF-Connecting-IP`头部是否正确传递。
主机头配置问题:确保所有无效主机头请求都被正确处理,防止恶意访问。
9. 性能优化
通过以下配置,优化Nginx的性能,确保高效处理大量请求:
server {
#缓冲区大小优化
client_body_buffer_size 10K;
client_header_buffer_size 1k;
client_max_body_size 8m;
large_client_header_buffers 4 4k;
# Connection timeouts
client_body_timeout 12;
client_header_timeout 12;
keepalive_timeout 15;
send_timeout 10;
}
通过调整这些设置,您可以提高Nginx的响应速度并减少服务器的负载。
通过实施Cloudflare访问控制和Nginx的安全配置,您可以显著增强服务器的安全性。配置适当的主机头验证、IP限制、真实IP处理以及安全头部等措施,不仅能有效抵御恶意攻击,还能为用户提供稳定和安全的访问体验。定期的维护和监控也是确保服务器长期安全的重要保障。
