为了防止网站被恶意攻击，总是需要做一些防护措施

最外层的 web 服务器是 Nginx，于是寻找 nginx 的一些关于防护措施的配置，记录在此

一些变量

首先列举出会使用到的一些变量

限制请求数

首先需要定义限制区域，在 http 加入以下配置

limit_req_zone $binary_remote_addr zone=testip:10m rate=5r/s;

其中 testip 为区域名字，后面的 10m 代表记录的缓存最大内存

rate 代表访问频率限制，binary_remote_addr 代表限制相同 ip，相同 ip 每秒限制访问为五次 ，时间单位也可以为 m(分钟)

然后在需要限制的 server 内加入以下配置来使用

limit_req zone=testip burst=10 nodelay;

其中 testip 为之前取的限制区域名称，可以随便起

burst 设置缓存区大小，当超过了访问频率时请求放置在此缓存区

nodelay 代表超过限制并且缓存区也满了就直接响应 503，如果不加，请求会继续排队

限制相同 ip，每秒只允许一个请求

http {
	limit_req_zone $binary_remote_addr zone=testip:10m rate=1r/s;
	server {
		location / {
			# 可以放在 http,server,location
			limit_req zone=testip;
		}
	}
}

重启 nginx 刷新一下浏览器，发现除了第一个请求，其余的都是 503（high 高亮插件是用的 cdn，所以没被限制）

限制相同域名，每秒只允许一个请求

http {
	limit_req_zone $server_name zone=testip:10m rate=1r/s;
	server {
		location / {
			# 可以放在 http,server,location
			limit_req zone=testip;
		}
	}
}

效果与上面一致

限制连接数

http1.1 可以连接复用，所以一个连接可以对应多个请求

与上方限制请求类似，首先需要定义限制连接区间

limit_conn_zone $binary_remote_addr zone=testip:10m;

然后直接使用即可

limit_conn testip 5;

上面配置代表单个 ip 的最大连接数为 5

带宽限制

使用 limit_rate 可以限制下载的速度

server {
	listen       80;
	server_name  sdpro.top;
	
	// 例如限制下载速度为 500k
	limit_rate	500k;
	
	location / {
		root   html;
		index  index.html;
	}
}

也可以设置超过指定大小后限制

server {
	// 下载速度超过 500k 则限制为 10k
	limit_rate        10k;
	limit_rate_after  500k;
}

最大上传大小

限制最大上传大小可以避免别人恶意上传很大的文件而占用资源

在 http 加入如下配置来限制

client_max_body_size 100m;

m 代表 MB(兆字节)

以上限制都可以根据情况配合使用

例如我的配置

http{
	# 最大上传 30m
	client_max_body_size 30m;
	# 限制同一 ip 连接数量
	limit_conn_zone $binary_remote_addr zone=connLimit:10m;
	limit_conn connLimit 5;

	# 限制同一 ip 每秒最大请求数
	limit_req_zone $binary_remote_addr zone=reqLimit:10m rate=50r/s;
	limit_req zone=reqLimit burst=20 nodelay;

	# 限制下载速度, 超过 512k 则限制为 64k
	limit_rate          64k;
	limit_rate_after    512k;
}

因为我的网页一个 html 就有三十多请求，所以限制 50/s，扩展 20，限制了下载速度，所以连接数量可以弄多一点

来自：https://sdpro.top/blog/html/article/1005.html