NGINX 保护 Web 应用安全之基于 IP 地址的访问

根据客户端的 IP 地址控制访问

使用 HTTP 或 stream 访问模块控制对受保护资源的访问： location /admin/ { deny 10.0.0.1; allow 10.0.0.0/20; allow 2001:0db8::/32; deny all; } }

给定的 location 代码块允许来自 10.0.0.0/20 中的任何 IPv4 地址访问（10.0.0.1 除 外），允许来自 2001:0db8::/32 子网中的 IPv6 地址访问，并在收到来自其他任何地址 的请求后返回 403。 allow 和 deny 指令在 http、server 和 location 上下文以及 TCP/ UDP 的 stream、server 上下文中有效。 按顺序检查规则，直到找到与远程地址的匹配的规则为止。

互联网上的宝贵资源和服务必须要进行多层保护，NGINX 就是其中一层的安全卫士。

deny 指令可阻止对给定上下文的访问，而 allow 指令可用来允许访问被阻止地址的子 集。

可以使用 IP 地址、IPv4 或 IPv6、无类别域间路由（CIDR）块范围，关键字 all 和 Unix 套接字。

在保护资源时，通常会允许一个内部 IP 地址块，并拒绝所有访问请求。

传统的nginx安装配置比较复杂，这里推荐一个款产品WAF，雷池社区版 一件部署，简单上手，功能强大，免费使用 Web 应用防火墙(WAF)，可以保护 Web 服务不受黑客攻击。

省去复杂的配置流程，只需简单操作，轻松完成安装，快速投入使用

雷池社区版拥有强大的攻击检测和防御能力，雷池通过过滤和监控 Web 应用与互联网之间的 HTTP 流量来保护 Web 服务。可以保护 Web 服务免受 SQL 注入、XSS、 代码注入、命令注入、CRLF 注入、ldap 注入、xpath 注入、RCE、XXE、SSRF、路径遍历、后门、暴力破解、CC、爬虫 等攻击。

通过实时日志分析，雷池能为您提供及时的安全告警，助您第一时间发现潜在的威胁

无需担心费用，雷池社区版对所有用户完全免费开放，适合中小企业及个人开发者