Nginx 和 Lua 设计黑白名单

使用 Nginx 和 Lua 设计黑白名单机制，借助 Redis 存储

在现代网络应用中，安全性是一个不可忽视的关键因素。应用程序需要能够有效地管理访问权限，以保护其资源不被恶意用户攻击。黑白名单机制是实现访问控制的一种有效方式。本文将详细介绍如何使用 Nginx、Lua 和 Redis 来实现一个黑白名单系统。

一、引言

黑白名单机制是一种简单而有效的访问控制策略。通过将 IP 地址分为允许（白名单）和拒绝（黑名单）访问两类，系统能够对外部请求进行有效管理。使用 Nginx 作为反向代理服务器，结合 Lua 脚本和 Redis 数据库，可以灵活且高效地实现这一机制。

二、系统架构

在我们的设计中，系统架构主要包括三部分：

1. Nginx：作为反向代理服务器，用于处理用户请求。
2. Lua：在 Nginx 中运行的脚本语言，用于动态处理请求逻辑。
3. Redis：高性能的键值存储，用于存储和查询黑白名单数据。

系统流程

1. 用户发送请求到 Nginx。
2. Nginx 通过 Lua 脚本获取用户的 IP 地址。
3. Lua 脚本连接 Redis，检查用户 IP 是否在黑名单或白名单中。
4. 根据检查结果，决定是否允许访问。

三、环境准备

在开始编码之前，需要准备以下环境：

1. 安装 Nginx：确保您已经安装了 Nginx，并启用了 Lua 模块（ngx_http_lua_module）。
2. 安装 Lua：确保系统支持 Lua。
3. 安装 Redis：用于存储黑白名单数据。

四、Redis 数据结构

在 Redis 中，我们将使用集合（SET）来存储黑白名单的数据。以下是初始化数据的示例命令：

# 添加 IP 到白名单
SADD whitelist "192.168.1.1"
SADD whitelist "192.168.1.2"# 添加 IP 到黑名单
SADD blacklist "192.168.1.100"
SADD blacklist "192.168.1.101"

五、Nginx 配置示例

以下是 Nginx 的配置示例，在 nginx.conf 中添加黑白名单逻辑：

http {lua_shared_dict my_cache 10m;  # Lua共享内存server {listen 80;server_name your_domain.com;location / {# 设置 Lua 处理access_by_lua_block {local redis = require "resty.redis"local red = redis:new()-- 设置 Redis 连接超时red:set_timeout(1000)  -- 1秒超时local ok, err = red:connect("127.0.0.1", 6379)if not ok thenngx.log(ngx.ERR, "failed to connect to Redis: ", err)return ngx.exit(500)endlocal client_ip = ngx.var.remote_addr-- 检查黑名单local is_blacklisted, err = red:sismember("blacklist", client_ip)if is_blacklisted == 1 thenreturn ngx.exit(403)  -- 禁止访问end-- 检查白名单local is_whitelisted, err = red:sismember("whitelist", client_ip)if is_whitelisted == 1 thenreturn  -- 允许访问end-- 如果不在白名单中，默认拒绝访问return ngx.exit(403)}# 其他处理逻辑proxy_pass http://your_backend;}}
}
也可以直接写一个代码块,直接加载,再nginx -s reload 

六、Lua 脚本逻辑分析

在上述配置中，使用的 Lua 脚本主要完成几个关键任务：

1. 连接 Redis：通过 resty.redis 模块连接 Redis 数据库，确保 Nginx 可以访问存储的黑白名单数据。

2. 获取客户端 IP：通过 ngx.var.remote_addr 获取请求的客户端 IP 地址。

3. 检查黑名单：

   • 使用 sismember 方法检查 IP 是否在黑名单中。
   • 如果在黑名单中，返回 HTTP 403 状态，禁止访问。

4. 检查白名单：

   • 同样使用 sismember 检查 IP 是否在白名单中。
   • 如果在白名单中，允许请求继续处理。

5. 默认拒绝：如果未在任何列表中找到，默认拒绝访问。

七、性能考虑

1. Redis 访问优化

虽然 Redis 性能极高，但频繁的访问可能会对性能产生影响。以下是一些优化建议：

• 连接池：使用连接池可以减少每次请求建立连接的开销。
• 缓存机制：在 Lua 中使用共享内存缓存常用结果，以减少对 Redis 的访问。例如，可以将最近检查过的 IP 地址结果存储在 lua_shared_dict 中。

2. 日志记录

记录请求和访问控制决策可以帮助后续分析和调试。Nginx 和 Lua 提供了日志记录的机制，可以记录每个请求的状态、IP 地址和处理结果。

ngx.log(ngx.INFO, "Client IP: ", client_ip, " - Status: ", status)

八、安全性考虑

在实现黑白名单机制时，安全性是一个重要因素。确保以下几点可以增强系统的安全性：

1. 保护 Redis：设置密码和访问控制，以防止未经授权的访问。
2. 监控日志：定期检查 Nginx 和 Redis 的日志，及时发现异常请求和访问行为。
3. 定期更新名单：确保黑白名单是最新的，定期审查和更新列表。

九、测试与验证

在生产环境部署之前，确保经过充分的测试。可以使用以下方法进行验证：

1. 功能测试：检查不同 IP 是否能够正确地被允许或拒绝访问。
2. 压力测试：在高并发情况下测试系统的稳定性和性能。
3. 安全测试：模拟攻击请求，检查黑名单是否能够有效阻止恶意访问。

十、总结

通过结合 Nginx、Lua 和 Redis，我们可以实现一个灵活且高效的黑白名单机制。该机制不仅能够有效管理访问权限，还能提供良好的性能和安全性。