安全开发运维必备的Nginx代理Web服务器性能优化与安全加固配置

为了更好的指导部署与测试艺术升系统nginx网站服务器高性能同时下安全稳定运行,需要对nginx服务进行调优与加固

本次进行Nginx服务调优加固主要从以下几个部分：

本文档仅供内部使用，禁止外传，帮助研发人员，运维人员对系统长期稳定的运行提供技术文档参考。

Nginx是一个高性能的HTTP和反向代理服务器，也是一个IMAP/POP3/SMTP服务器。Nginx作为负载均衡服务器, Nginx 既可以在内部直接支持 Rails 和 PHP 程序对外进行服务，也可以支持作为 HTTP代理服务器对外进行服务。

Nginx版本选择:

项目结构:

Nginx文档帮助: http://nginx.org/en/docs/

Nginx首页地址目录: /usr/share/nginx/html

Nginx配置文件:

localtion 请求匹配的url实是一个正则表达式:

Nginx 匹配判断表达式:

例如,匹配末尾为如下后缀的静态并判断是否存在该文件, 如不存在则404。

查看可用模块编译参数：http://nginx.org/en/docs/configure.html

http_gzip模块

开启gzip压缩输出(常常是大于1kb的静态文件)，减少网络传输

http_fastcgi_module模块

nginx可以用来请求路由到FastCGI服务器运行应用程序由各种框架和PHP编程语言等。可以开启FastCGI的缓存功能以及将静态资源进行剥离，从而提高性能。

keepalive模块

长连接对性能有很大的影响，通过减少CPU和网络开销需要开启或关闭连接

http_ssl_module模块

Nginx开启支持Https协议的SSL模块

Linux内核参数部分默认值不适合高并发,Linux内核调优，主要涉及到网络和文件系统、内存等的优化，

下面是我常用的内核调优配置：

文件描述符

文件描述符是操作系统资源，用于表示连接、打开的文件，以及其他信息。NGINX 每个连接可以使用两个文件描述符。

例如如果NGINX充当代理时，通常一个文件描述符表示客户端连接，另一个连接到代理服务器，如果开启了HTTP 保持连接，这个比例会更低（译注：为什么更低呢）。

对于有大量连接服务的系统，下面的设置可能需要调整一下：

精简模块:Nginx由于不断添加新的功能，附带的模块也越来越多,建议一般常用的服务器软件使用源码编译安装管理

(1) 减小Nginx编译后的文件大小

(2) 指定GCC编译参数

修改GCC编译参数提高编译优化级别稳妥起见采用 -O2 这也是大多数软件编译推荐的优化级别。

GCC编译参数优化 [可选项] 总共提供了5级编译优化级别：

常用编译参数:

缓存和压缩与限制可以提高性能

NGINX的一些额外功能可用于提高Web应用的性能，调优的时候web应用不需要关掉但值得一提，因为它们的影响可能很重要。

简单示例:

1) 永久重定向

例如，配置 http 向 https 跳转 (永久)

nginx配置文件指令优化一览表

描述:Nginx因为安全配置不合适导致的安全问题,Nginx的默认配置中存在一些安全问题,例如版本号信息泄露、未配置使用SSL协议等。

对Nginx进行安全配置可以有效的防范一些常见安全问题，按照基线标准做好安全配置能够减少安全事件的发生,保证采用Nginx服务器系统应用安全运行

Nginx安全配置项：

温馨提示: 在修改相应的源代码文件后需重新编译。

设置成功后验证:

应配置非root低权限用户来运行nginx服务,设置如下建立Nginx用户组和用户，采用user指令指运行用户

加固方法:

我们应该为提供的站点配置Secure Sockets Layer Protocol (SSL协议)，配置其是为了数据传输的安全，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

不应使用不安全SSLv2、SSLv3协议即以下和存在脆弱性的加密套件(ciphers), 我们应该使用较新的TLS协议也应该优于旧的,并使用安全的加密套件。

HTTP Referrer Spam是垃圾信息发送者用来提高他们正在尝试推广的网站的互联网搜索引擎排名一种技术，如果他们的垃圾信息链接显示在访问日志中，并且这些日志被搜索引擎扫描，则会对网站排名产生不利影响

加固方法:

当恶意攻击者采用扫描器进行扫描时候利用use-agent判断是否是常用的工具扫描以及特定的版本,是则返回错误或者重定向

Nginx支持webdav，虽然默认情况下不会编译。如果使用webdav，则应该在Nginx策略中禁用此规则。

加固方法: dav_methods 应设置为off

当访问一个特制的URL时，如"../nginx.status"，stub_status模块提供一个简短的Nginx服务器状态摘要,大多数情况下不应启用此模块。

加固方法：nginx.conf文件中stub_status不应设置为：on

如果在浏览器中出现Nginx自动生成的错误消息，默认情况下会包含Nginx的版本号,这些信息可以被攻击者用来帮助他们发现服务器的潜在漏洞

加固方法: 关闭"Server"响应头中输出的Nginx版本号将server_tokens应设置为：off

client_body_timeout设置请求体（request body）的读超时时间。仅当在一次readstep中，没有得到请求体，就会设为超时。超时后Nginx返回HTTP状态码408(Request timed out)。

加固方法：nginx.conf文件中client_body_timeout应设置为：10

client_header_timeout设置等待client发送一个请求头的超时时间（例如：GET / HTTP/1.1）。仅当在一次read中没有收到请求头，才会设为超时。超时后Nginx返回HTTP状态码408(Request timed out)。

加固方法：nginx.conf文件中client_header_timeout应设置为：10

keepalive_timeout设置与client的keep-alive连接超时时间。服务器将会在这个时间后关闭连接。

加固方法：nginx.conf文件中keepalive_timeout应设置为：55

send_timeout设置客户端的响应超时时间。这个设置不会用于整个转发器，而是在两次客户端读取操作之间。如果在这段时间内，客户端没有读取任何数据，Nginx就会关闭连接。

加固方法：nginx.conf文件中send_timeout应设置为：10

GET和POST是Internet上最常用的方法。Web服务器方法在RFC 2616中定义禁用不需要实现的可用方法。

加固方法:

limit_zone 配置项限制来自客户端的同时连接数。通过此模块可以从一个地址限制分配会话的同时连接数量或特殊情况。

加固方法：nginx.conf文件中limit_zone应设置为：slimits $binary_remote_addr 5m

该配置项控制一个会话同时连接的最大数量，即限制来自单个IP地址的连接数量。

加固方法：nginx.conf 文件中 limit_conn 应设置为: slimits 5

加固方法：

加固方法:

解决办法:

描述后端获取Proxy后的真实Client的IP获取需要安装--with-http_realip_module，然后后端程序采用JAVA(request.getAttribute("X-Real-IP"))进行获取

描述: 如果要使用geoip地区选择,我们需要再nginx编译时加入 --with-http_geoip_module 编译参数。

描述: 为了防止外部站点引用我们的静态资源，我们需要设置那些域名可以访问我们的静态资源。

描述: 下面收集了Web服务中常规的安全响应头, 它可以保证不受到某些攻击,建议在指定的 server{} 代码块进行配置。

描述: 为了防止某些未备案的域名或者恶意镜像站域名绑定到我们服务器上, 导致服务器被警告关停，将会对业务或者SEO排名以及企业形象造成影响，我们可以通过如下方式进行防范。

执行结果:

描述: 有时你的网站可能只需要被某一IP或者IP段的地址请求访问，那么非白名单中的地址访问将被阻止访问, 我们可以如下配置

常用nginx配置文件解释：

(1) 阿里巴巴提供的Concat或者Google的PageSpeed模块实现这个合并文件的功能。

(2) PHP-FPM的优化

如果您高负载网站使用PHP-FPM管理FastCGI对于PHP-FPM的优化非常重要

(3) 配置Resin on Linux或者Windows为我们可以打开 resin-3.1.9/bin/httpd.sh 在不影响其他代码的地方加入:-Dhttps.protocols=TLSv1.2, 例如

原文地址: https://blog.weiyigeek.top/2019/9-2-122.html

我个人认为，台湾和大陆的服务器都是一样的，只是域名有些差异，网速问题主要还是取决于代理商

就像在大陆网通用户用电信服务器，电信用户使用网通服务器，一样会卡

而代理服务器的功能呢（我只说主要的） 举个例子 在网络出现拥挤或故障时，可通过代理服务器访问目的网站。比如A要访问C网站，但A到C网络出现问题，可以通过绕道，假设B是代理服务器，A可通过B， 再由B到C。

笼统一点说吧，电信网通好比三张平行的蜘蛛网 电信的蜘蛛可以在电信的网上面自由爬行 但是要到网通的网上面去就要狠麻烦的 绕道过去 而台湾网络则在大陆以外 跟他们更么有什么交集

代理服务器的则很巧妙的在他们直线用自己的线把他们联系到一起 这样 各个来自不同网络的“蜘蛛”就可以很方便的到另外一张网上去 比喻不太恰当 希望你会明白 - -！

结论！ 代理服务器真的可以提高网速。。。。。

一、提高服务器并发处理能力

我们总是希望一台服务器在单位时间内能处理的请求越多越好，这也成了web服务器的能力高低的关键所在。服务器之所以可以同时处理多个请求，在于操作系统通过多执行流体系设计，使得多个任务可以轮流使用系统资源，这些资源包括CPU、内存以及I/O等。这就需要选择一个合适的并发策略来合理利用这些资源，从而提高服务器的并发处理能力。这些并发策略更多的应用在apache、nginx、lighttpd等底层web server软件中。

二、Web组件分离

这里所说的web组件是指web服务器提供的所有基于URL访问的资源，包括动态内容，静态网页，图片，样式表，脚本，视频等等。这些资源在文件大小，文件数量，内容更新频率，预计并发用户数，是否需要脚本解释器等方面有着很大的差异，对不同特性资源采用能充分发挥其潜力的优化策略，能极大的提高web站点的性能。例如：将图片部署在独立的服务器上并为其分配独立的新域名，对静态网页使用epoll模型可以在大并发数情况下吞吐率保持稳定。

三、数据库性能优化和扩展。

Web服务器软件在数据库方面做的优化主要是减少访问数据库的次数，具体做法就是使用各种缓存方法。也可以从数据库本身入手提高其查询性能，这涉及到数据库性能优化方面的知识本文不作讨论。另外也可以通过主从复制，读写分离，使用反向代理，写操作分离等方式来扩展数据库规模，提升数据库服务能力。

四、Web负载均衡及相关技术

负载均衡是web站点规模水平扩展的一种手段，实现负载均衡的方法有好几种包括基于HTTP重定向的负载均衡，DNS负载均衡，反向代理负载均衡，四层负载均衡等等。

对这些负载均衡方法做简单的介绍：基于HTTP重定向的负载均衡利用了HTTP重定向的请求转移和自动跳转功能来实现负载均衡，我们熟悉的镜像下载就使用这种负载均衡。DNS负载均衡是指在一个DNS服务器中为同一个主机名配置多个IP地址，在应答DNS查询时返回不同的解析结果将客户端的访问引到不同的机器上，使得不同的客户端访问不同的服务器，从而达到负载均衡的目的。反向代理负载均衡也叫七层负载均衡，这是因为反向代理服务器工作在TCP七层结构的第七层(应用层)，它通过检查流经的HTTP报头，根据报头内的信息来执行负载均衡任务。四层负载均衡是基于NAT技术的负载均衡，它将一个Internet上合法注册的IP地址映射为多个内部服务器的IP地址，对每次TCP连接请求动态使用其中一个内部IP地址，达到负载均衡的目的。此外，还有工作在数据链路层(第二层)的直接路由方式下的负载均衡，它通过修改数据包目标MAC地址来实现。以及，基于IP隧道的负载均衡，在这种方式下可以将实际服务器根据需要部署在不同的地域，并根据就近访问的原则来转移请求，CDN服务便是基于IP隧道技术来实现的。

Web负载均衡在扩展web服务器规模的同时也给web站点性能优化提供了一个更大更复杂也更灵活自由的平台，基于该平台性能优化的策略包括共享文件系统，内容分发与同步，分布式文件系统，分布式计算，分布式缓存等等。

五、web缓存技术

web缓存技术被认为是减轻服务器负载、降低网络拥塞、增强万维网可扩展性的有效途径，其基本思想是利用客户访问的时间局部性(Temporal Locality)原理，将客户访问过的内容在Cache中存放一个副本，当该内容下次被访问时，不必连接到驻留网站或重新计算生成，而是由Cache中保留的副本提供。Web缓存可以带来如下的好处：

(1) 减少网络流量，从而减轻网络拥塞这是因为缓存避免了一部分HTTP请求。

(2) 降低客户访问延迟，其主要原因有：①已缓存的内容，客户可以缓存获取而不是从服务器获取或重新计算生成，从而减小了传输延迟缩短了响应时间②没有被缓存的内容由于网络拥塞及服务器负载的减轻而可以较快地被客户获取

(3) 由于客户的部分或者全部请求内容可以从通过缓存获取，从而减轻了远程服务器负载。

(4) 如果由于服务器故障或网络故障造成服务器无法响应客户请求，客户可以从缓存中获取缓存的内容副本，使得web站点服务的鲁棒性(Robustness)得到了加强。

可以看出web缓存能给web站点带可观的性能提升。其实在用户发出请求到一幅完整的网页呈现在用户面前这一过程中缓存无处不在，下面是web性能优化时常用的缓存技术，你会发现缓存被广泛应用在各个环节。

浏览器缓存：浏览器一般会在用户文件系统中创建一个目录，用于存放缓存文件，并给每个缓存文件打上必要的标记，比如过期时间等。这些标记主要用于浏览器和服务器之间的缓存协商。

Web服务器缓存：一个URL在一段较长时间内对应一个唯一的响应内容，比如静态内容或者更新不太频繁的动态内容，web服务器可将响应内容缓存起来，下次web服务器便可以在收到请求后立即拿出事先缓存好的响应内容并返回给浏览器。

代理服务器缓存：暴露在互联网中与后端的web服务器通过内部网络相连的前端服务器称为反向代理服务器，建立在反向代理服务器上的缓存称为反向代理缓存。暴露在互联网中与后端的web客户端通过内部网络相连的前端服务器称为正向代理服务器，建立在正向代理服务器上的缓存称为正向代理缓存。代理服务器缓存位于客户端和web服务器之间，可以将它看做二者之间的一个中继站。它的存在可以改善客户端的访问速度、提升web server的服务能力、安全性等等。

总共分析总结了五种技术，主要希望能够对web server性能优化这块提供一个整体的认识。后续会专门就web缓存技术发表一些自己的看法。

---