江苏龙网

  1. 主页 > 生活百科 > >

后台服务器老是被勒索多半是没有使用Nginx代理

nginx代理

1. 前言我们真实的服务器不应该直接暴露到公网上去,否则更加容易泄露服务器的信息,也更加容易受到攻击 。一个比较“平民化”的方案是使用Nginx反向代理它 。今天就来聊一聊使用Nginx反向代理的一些能力,Nginx代理能帮助我们实现很多非常有效的API控制功能 。这也解释了我为什么一直推荐使用Nginx来代理我们的Spring Boot应用 。
2. Nginx可以提供哪些能力Nginx已经不用太多的赞美了,它已经得到了业界的广泛认可 。我们就聊聊它具体能够实现什么功能 。
2.1 代理能力这是针对服务器端我们最常用的功能,一台具有公网的Nginx服务器可以代理和它能进行内网通信的真实的服务器 。让我们的服务器不直接对外暴露,增加其抗风险能力 。

后台服务器老是被勒索多半是没有使用Nginx代理

文章插图
【后台服务器老是被勒索多半是没有使用Nginx代理】 
假如Nginx服务器192.168.1.8可以和同一内网网段的192.168.1.9的应用服务器进行通信,同时Nginx服务器具有公网能力并将公网绑定到域名felord.cn上 。那么我们Nginx代理的对应的配置(nginx.conf)是这样的:
   server {        listen       80;        server_namefelord.cn;    #   ^~ 表示uri以某个常规字符串开头,如果匹配到,则不继续往下匹配 。不是正则匹配        location ^~/api/v1 {            proxy_set_header Host $host;            proxy_pass http://192.168.1.9:8080/;      }  }经过以上配置后我们服务器真实的接口地址是http://192.168.1.9:8080/foo/get就可以通过http://felord.cn/api/v1/foo/get访问 。
proxy_pass如果以/结尾,就相当于是绝对根路径,那么Nginx不会把location中匹配的路径部分代理走;如果不以/结尾,也会代理匹配的路径部分 。
2.2 Rewrite功能Nginx还提供了一个rewrite功能让我们在请求到达服务器时重写URI,有点类似Servlet Filter的意味,对请求进行一些预处理 。
后台服务器老是被勒索多半是没有使用Nginx代理

文章插图
 
在2.1的例子中如果我们要实现如果判断请求为POST的话返回405,只需要更改配置为:
location ^~/api/v1 {    proxy_set_header Host $host;    if ($request_method = POST){      return 405;  }    proxy_pass http://192.168.1.9:8080/;}你可以使用Nginx提供的全局变量(如上面配置中的$request_method)或自己设置的变量作为条件,结合正则表达式和标志位(last、break、redirect、permanent)实现URI重写以及重定向 。
2.3 配置HTTPS之前很多同学在群里问如何在Spring Boot项目中配置HTTPS,我都推荐使用Nginx来做这个事情 。 Nginx比Spring Boot中配置SSL要方便的多,而且不影响我们本地开发 。Nginx中HTTPS的相关配置根据下面的改一改就能用:
http{    #http节点中可以添加多个server节点    server{        #ssl 需要监听443端口        listen 443;        # CA证书对应的域名        server_name felord.cn;        # 开启ssl        ssl on;        # 服务器证书绝对路径        ssl_certificate /etc/ssl/cert_felord.cn.crt;        # 服务器端证书key绝对路径       ssl_certificate_key /etc/ssl/cert_felord.cn.key;        ssl_session_timeout 5m;        # 协议类型        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;        # ssl算法列表       ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;        #是否 服务器决定使用哪种算法on/off   TLSv1.1 的话需要开启        ssl_prefer_server_ciphers on;                location ^~/api/v1 {            proxy_set_header Host $host;            proxy_pass http://192.168.1.9:8080/;      }  }    # 如果用户通过 http 访问 直接重写 跳转到 https 这个是一个很有必要的操作    server{        listen 80;        server_name felord.cn;        rewrite ^/(.*)$ https://felord.cn:443/$1 permanent;  }}
这里就用到了rewrite来提高用户体验 。
2.4 负载均衡一般项目都是从小做到大起来的,起步的时候部署一个服务器就够用了,如果你的项目用户多了起来,首先恭喜你,说明你的项目方向很对 。但是伴随而来还有服务器压力,你一定不想服务器宕机带来的各种损失,你需要快速提高服务器的抗压能力,或者你想不停机维护避免业务中断,这些都可以通过Nginx的负载均衡来实现,而且非常简单 。假如felord.cn我们部署了三个节点:


推荐阅读


上一篇:开源免费WinSCP搭建共享平台

下一篇:企业遭到黑客攻击怎么处理,应急响应的整体思路和基本流程