Nginx实现动态封禁IP的步骤指南

2025-02-25 11:11:42 作者：拾荒的小海螺

在日常的生产环境中,网站可能会遭遇恶意请求、DDoS 攻击或其他有害的访问行为,为了应对这些情况,动态封禁 IP 是一项十分重要的安全策略,本篇博客将介绍如何通过 NGINX 实现动态封禁 IP,从配置到自动化的实现步骤,需要的朋友可以参考下

1、简述

在日常的生产环境中，网站可能会遭遇恶意请求、DDoS 攻击或其他有害的访问行为。为了应对这些情况，动态封禁 IP 是一项十分重要的安全策略。本篇博客将介绍如何通过 NGINX 实现动态封禁 IP，从配置到自动化的实现步骤。

2、实现方式

NGINX 本身支持简单的基于 IP 的访问控制（如 deny 和 allow 指令），但要实现动态封禁，通常结合以下几种方案：

fail2ban：一个常用的自动封禁工具，通过监控日志发现恶意行为并自动修改 NGINX 配置文件。
nginx 动态模块：如 ngx_http_limit_req_module 和 ngx_http_limit_conn_module，用于限制请求频率和并发数，结合脚本实现 IP 封禁。
基于 Redis 或数据库的方案：可以通过 Lua 脚本或第三方模块，从 Redis 或 MySQL 等存储中动态加载封禁的 IP 列表。

3、使用 fail2ban 动态封禁

fail2ban 是一种常见的动态封禁工具，通过监控日志文件中的恶意行为自动更新 NGINX 配置。下面是通过 fail2ban 实现动态封禁的步骤。

3.1 安装 fail2ban

sudo apt-get update
sudo apt-get install fail2ban

3.2 配置 NGINX 日志

确保 NGINX 配置中的日志能记录恶意请求。以下是一个简单的日志配置：

http {
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  /var/log/nginx/access.log  main;
}

3.3 配置 fail2ban 规则

创建 NGINX 的过滤规则，编辑 /etc/fail2ban/filter.d/nginx-http-auth.conf，加入以下规则来匹配日志中的恶意行为：

[Definition]
failregex = ^<HOST> -.*"(GET|POST).*HTTP/.*".* 403
ignoreregex =

3.4 设置 fail2ban 的 jail 配置

在 /etc/fail2ban/jail.local 文件中，增加对 NGINX 的监控配置：

[nginx-http-auth]
enabled  = true
port     = http,https
filter   = nginx-http-auth
logpath  = /var/log/nginx/access.log
maxretry = 5

logpath：指向 NGINX 的日志文件。
maxretry：设置多少次失败后封禁 IP。

3.5 启动 fail2ban

sudo service fail2ban restart

这样，当某个 IP 连续访问 5 次 403 页面时，它将被自动封禁。

4、使用 NGINX 的 limit 模块动态限制

NGINX 自带的 ngx_http_limit_req_module 和 ngx_http_limit_conn_module 可以用于动态限制请求。通过设置请求频率和并发连接数，可以有效抵御恶意爬虫和 DDoS 攻击。

4.1 配置请求频率限制

在 NGINX 配置中加入以下代码来限制每个 IP 的请求频率：

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

    server {
        location / {
            limit_req zone=one burst=5;
        }
    }
}

limit_req_zone：定义一个共享内存区域，用于记录请求速率。
rate=1r/s：每个 IP 限制为每秒最多 1 次请求。

4.2 动态调整限制

要用 Redis 和 Lua 实现动态封禁恶意 IP 的功能，可以借助 Redis 的计数和过期特性。在 Redis 中，可以用 Lua 脚本来动态检测某个 IP 的请求频率，一旦超过设定的阈值，就对该 IP 进行封禁。

以下是一个 Lua 脚本的样例，用于封禁恶意 IP。假设我们会在 Redis 中记录每个 IP 的请求次数，并在达到限制后进行封禁。以下 Lua 脚本实现了上述逻辑，设定了一个限制：IP 在 60 秒内请求 10 次以上会触发封禁，封禁持续 3600 秒（1 小时）：

-- Lua 脚本实现动态封禁恶意IP
local ip = KEYS[1]                -- 传入的 IP 地址
local max_requests = tonumber(ARGV[1]) -- 最大请求次数
local ban_time = tonumber(ARGV[2])     -- 封禁持续时间
local expire_time = tonumber(ARGV[3])  -- IP 计数的过期时间

-- 构建 Redis 键
local ip_key = "ip:" .. ip
local ban_key = "ban:" .. ip

-- 检查 IP 是否已封禁
if redis.call("EXISTS", ban_key) == 1 then
    return {false, "IP 已封禁"}
end

-- 增加 IP 请求计数
local count = redis.call("INCR", ip_key)

-- 如果是首次请求，设置请求计数的过期时间
if count == 1 then
    redis.call("EXPIRE", ip_key, expire_time)
end

-- 检查请求次数是否超过最大请求限制
if count > max_requests then
    -- 达到限制，封禁 IP 并设置封禁时间
    redis.call("SET", ban_key, "1")
    redis.call("EXPIRE", ban_key, ban_time)
    return {false, "已达请求限制，IP 已封禁"}
end

-- 如果请求未超限，返回当前请求计数
return {true, count}

要在 Redis 中执行这个 Lua 脚本，你可以通过 Redis 客户端执行 EVAL 命令。假设 IP 地址是 192.168.0.1，请求限制为 10 次，封禁时间为 3600 秒，计数过期时间为 60 秒：

EVAL "<LUA_SCRIPT>" 2 192.168.0.1 10 3600 60

5、总结

通过以上方法，可以实现 NGINX 下的动态封禁 IP，从而有效保护网站免受恶意攻击。在实际应用中，可以根据需求选择 fail2ban 或 NGINX 自带的模块，甚至结合数据库方案实现更复杂的动态封禁机制。

这篇博客为初学者提供了 NGINX 实现动态封禁 IP 的思路和具体配置示例。你可以根据业务场景灵活调整参数，提升系统安全性。

到此这篇关于Nginx实现动态封禁IP的步骤指南的文章就介绍到这了,更多相关Nginx动态封禁IP内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！