Nginx安全限流配置

一、限制请求处理速率
ngx_http_limit_req_module（NGX HTTP限制请求模块）
方法：
要配置Nginx以限制请求处理速率，你可以使用limit_req指令。这个指令允许你基于定义的区域（zone）和速率限制请求的频率。
操作步骤：

① 定义限速区域：
在http块中，使用limit_req_zone指令来定义限速区域。这个指令通常基于客户端的IP地址进行限速。

http {  
    limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;  
    ...  
}

在上面的配置中：

$binary_remote_addr：用于区分客户端的键，这里使用客户端的IP地址。
zone=mylimit:10m：定义一个名为mylimit的共享内存区域，大小为10MB。
rate=1r/s：设置每秒的请求速率限制为1个请求

② 应用限速规则：
在server或location块中，使用limit_req指令来应用限速规则。

nginx
server {  
    ...  
    location / {  
        limit_req zone=mylimit burst=5;  
        ...  
    }  
    ...  
}

在上面的配置中：

zone=mylimit：指定使用前面定义的mylimit区域。
burst=5：允许在超过速率限制后，突发处理最多5个请求。这些请求将被排队，但不会立即被拒绝。当突发队列满时，额外的请求将返回503错误。
此外，你还可以使用其他指令如limit_rate和limit_rate_after来限制文件下载的速率。这些指令可以在location块中定义，以进一步控制资源的访问速度。

二、限制并发连接数
ngx_http_limit_conn_module（NGX HTTP限制conn模块）
方法：
要限制Nginx的并发连接数，你可以使用Nginx的limit_conn模块。该模块允许你根据特定的条件（如客户端IP地址或URL）来限制并发连接数。
操作步骤：

①定义连接限制区域：
在http块中，使用limit_conn_zone指令来定义连接限制区域。这个指令通常基于客户端的IP地址或会话信息来限制连接数。

nginx
http {  
    limit_conn_zone $binary_remote_addr zone=addr:10m;  
    ...  
}

在上面的配置中：
$binary_remote_addr：用于区分客户端的键，这里使用客户端的IP地址的二进制形式。
zone=addr:10m：定义一个名为addr的共享内存区域，大小为10MB。

②应用连接限制规则：
在server或location块中，使用limit_conn指令来应用连接限制规则。

nginx
server {  
    ...  
    location / {  
        limit_conn addr 10;  
        ...  
    }  
    ...  
}

在上面的配置中：
addr：引用之前定义的limit_conn_zone的名称。
10：最大并发连接数限制。

三、设置黑白名单
ngx_http_geo_module、ngx_http_map_module(NGX HTTP地理模块，NGX HTTP地图模块)
方法：
Nginx可以通过设置黑白名单来控制哪些客户端IP地址可以访问或禁止访问特定的资源或整个服务器。这通常是通过Nginx的deny和allow指令来实现的。

操作步骤：

①黑名单（禁止特定IP访问）
要将特定的IP地址添加到黑名单中，可以在server或location块中使用deny指令。例如，要禁止IP地址为192.168.1.100的客户端访问，你可以这样做：

nginx
server {  
    ...  
    location / {  
        deny 192.168.1.100;  
        ...  
    }  
    ...  
}

如果你要禁止多个IP地址，可以多次使用deny指令：

nginx
server {  
    ...  
    location / {  
        deny 192.168.1.100;  
        deny 192.168.1.101;  
        ...  
    }  
    ...  
}

②白名单（只允许特定IP访问）
要设置白名单，只允许特定的IP地址访问资源，你需要首先使用allow指令指定允许的IP地址，然后使用deny all;来拒绝所有其他IP地址的访问。例如：

nginx
server {  
    ...  
    location / {  
        allow 192.168.1.100;  
        deny all;  
        ...  
    }  
    ...  
}

在上面的配置中，只有IP地址为192.168.1.100的客户端可以访问该location。所有其他IP地址的访问请求都将被拒绝。

复杂规则
对于更复杂的黑白名单规则，你可以结合使用allow和deny指令，并且Nginx会按照它们在配置文件中出现的顺序进行处理。一旦找到匹配的规则，Nginx就会停止进一步的检查并应用该规则。因此，你应该将allow指令放在deny指令之前，以确保白名单规则优先被考虑。

动态黑白名单
对于需要动态管理的黑白名单，你可能需要使用外部脚本或工具来生成Nginx配置文件，并在需要时重新加载配置。此外，还有一些第三方模块（如ngx_http_geoip_module）可以帮助你基于地理位置或其他动态信息来创建黑白名单。

四、限制数据传输速度
ngx_http_core_module（NGX HTTP核心模块)
方法：在Nginx中，限制数据传输速度通常涉及到对客户端请求或响应的带宽进行控制。这可以通过Nginx的配置文件中的特定指令来实现。
操作步骤：
以下是一些常见的方法来限制Nginx的数据传输速度：

① 使用limit_rate和limit_rate_after指令
这两个指令允许你限制对特定位置（location）的响应速度。limit_rate设置了数据传输的速率限制，而limit_rate_after则指定了在传输了多少数据后开始应用这个限制。
例如，下面的配置将限制/download/位置的数据传输速度在传输了500k字节后，速度限制为50k字节/秒：

nginx
location /download/ {  
    limit_rate_after 500k;  
    limit_rate 50k;  
    ...  
}

②使用ngx_http_limit_req_module模块限制请求速率
虽然这个模块主要用于限制请求速率，而不是直接限制数据传输速度，但它可以间接地影响数据传输量，因为更少的请求意味着更少的数据传输。你可以设置单位时间内的请求数限制，超过限制的请求将被拒绝或延迟处理。
例如，下面的配置将限制每个IP地址每秒只能发送6个请求到/api/位置：

nginx
http {  
    limit_req_zone $binary_remote_addr zone=api_limit:10m rate=6r/s;  
    ...  

    server {  
        ...  
      
        location /api/ {  
            limit_req zone=api_limit;  
            ...  
        }  
    }  
}

除了Nginx自带的模块外，还有一些第三方模块可能提供更复杂或更精细的数据传输速度控制功能。你可以查看Nginx的官方文档或社区资源，了解是否有适合你需求的第三方模块。