Nginx（引擎x）是一個高性能的HTTP和反向代理服務(wù)，目前很大一部分網(wǎng)站均使用了Nginx作為WEB服務(wù)器，Nginx雖然非常強大，但默認(rèn)情況下并不能阻擋惡意訪問，整理了一份常用的Nginx的屏蔽規(guī)則，希望對你有所幫助。

在開始之前，希望您已經(jīng)熟悉的Nginx常用命令（如停止，重啟等操作）及排查nginx的錯誤日志，以免出現(xiàn)問題不知所措。如無特殊注明，的以下命令：均添加到server段內(nèi)，修改nginx的配置之前務(wù)必做好備份，修改完畢后需要重載一次nginx的，否則不會生效。

一、防止文件被下載

比如將網(wǎng)站數(shù)據(jù)庫導(dǎo)出到站點根目錄進(jìn)行備份，很有可能也會被別人下載，從而導(dǎo)致數(shù)據(jù)丟失的風(fēng)險。以下規(guī)則可以防止一些常規(guī)的文件被下載，可根據(jù)實際情況增減。

location ~ \.(zip|rar|sql|bak|gz|7z)$ {  
    return 444;     
}

二、屏蔽非常見蜘蛛（爬蟲）

如果經(jīng)常分析網(wǎng)站日志你會發(fā)現(xiàn)，一些奇怪的UA總是頻繁的來訪問網(wǎng)站，而這些UA對網(wǎng)站收錄毫無意義，反而增加服務(wù)器壓力，可以直接將其屏蔽。

if ($http_user_agent ~* (SemrushBot|python|MJ12bot|AhrefsBot|AhrefsBot|hubspot|opensiteexplorer|leiki|webmeup)) { 
    return 444;    
}

三、禁止某個目錄執(zhí)行腳本

比如網(wǎng)站上傳目錄，通常存放的都是靜態(tài)文件，如果因程序驗證不嚴(yán)謹(jǐn)被上傳木馬程序，導(dǎo)致網(wǎng)站被黑。以下規(guī)則請根據(jù)自身情況改為您自己的目錄，需要禁止的腳本后綴也可以自行添加。

#uploads|templets|data 這些目錄禁止執(zhí)行PHP    
location ~* ^/(uploads|templets|data)/.*.(php|php5)$ { 
    return 444;
}

四、屏蔽某個IP或IP段

如果網(wǎng)站被惡意灌水或CC攻擊，可從網(wǎng)站日志中分析特征IP，將其IP或IP段進(jìn)行屏蔽。

#屏蔽192.168.5.23這個IP
deny 192.168.5.23;
#屏蔽192.168.5.* 這個段
denu 192.168.5.0/24;

再次強調(diào)，修改nginx的配置之前務(wù)必做好備份，修改完畢后需要重載一次nginx的，否則不會生效。

大部分上面規(guī)則報道查看444狀態(tài)碼而不是403，

因為444狀態(tài)碼在nginx的中有特殊含義，nginx的444狀態(tài)是直接由服務(wù)器中斷連接，不會向客戶端再返回任何消息。

比返回403更加暴力。

本文鏈接：http://www.hkass.cn/article/635.html