如何使用 Nginx 实现 IP 黑名单

随着互联网的快速发展，网络安全已经成为越来越重要的问题。网络爬虫、恶意攻击和网络钓鱼事件时有发生，对网站数据安全造成极大的威胁。因此，建立一个有效的网络安全防御体系至关重要。

Nginx 是一个流行的 Web 服务器软件，它不仅可以提供高性能的 Web 服务，还可以扮演反向代理的角色。Nginx 还提供了丰富的模块来帮助管理员保护 Web  服务器和应用程序。其中一个重要的功能是 IP 黑名单，它可以帮助管理员限制来自特定 IP 地址的访问。

下面将讨论如何在 Nginx 中实现 IP 黑名单。

第一步：禁用 IP 地址访问

在 Nginx 配置中，管理员可以定义一组 IP 地址来禁用访问。这可以通过使用 deny 指令和 IP 地址列表来实现。例如，以下配置将禁止 192.168.1.2 和 192.168.1.3 这两个 IP 地址的访问：

location / {

  deny 192.168.1.2;

  deny 192.168.1.3;

  # ... other configuration directives

}

可以在 location 块中使用多个deny 指令，以防止访问多个 IP 地址。

第二步：允许特定IP访问

除了禁用IP地址，管理员还可以配置Nginx以允许特定IP地址的访问。可以使用“allow”指令和IP地址列表来实现这一点。例如，以下配置将允许192.168.1.4和192.168.1.5这两个IP地址访问：

location / {

  deny all;

  allow 192.168.1.4;

  allow 192.168.1.5;

  # ... other configuration directives

}

与 deny 指令一样，可以在 location 块中使用多个 allow 指令，以允许访问多个 IP 地址。

第三步：使用变量管理 IP 地址列表

在实际应用中，管理员可能需要动态管理 IP 地址列表。为了使配置更灵活，可以使用变量来管理 IP 地址列表。以下示例演示如何使用变量定义 IP 地址列表：

map $remote_addr $deny_ip {

  192.168.1.2 1;

  192.168.1.3 1;

  default 0;

}

在上面的示例中，map 指令将远程 IP 地址映射到 $deny_ip 变量。如果 IP 地址在 192.168.1.2 或 192.168.1.3 列表中，$deny_ip 变量将被设置为 1。否则，$deny_ip 变量将被设置为 0。

接下来，可以在 Nginx 配置中使用 $deny_ip 变量来判断是否禁止访问。以下示例演示了如何使用 $deny_ip 变量来阻止访问被禁止的 IP 地址：

location / {

  if ($deny_ip) {

    return 403;

  }

  # ... other configuration directives

}

如果 $deny_ip 变量为1，则 Nginx 将返回 403 Forbidden 响应代码。

封禁整个 IP 段

如果你需要对整个 ip 段设置不允许访问，可以这么写：

	deny 123.0.0.0/8; // 封 123.0.0.1~123.255.255.254 这个段的ip
	deny 123.1.0.0/16; // 封 123.1.0.1~123.1.255.254 这个段的ip
	deny 123.1.1.0/24; // 封 123.1.1.1~123.1.1.254 这个段的ip

	deny all; // 封所有ip

ps: allow 跟 deny 配置相同，如果需要开放某个 IP 段，只需要把上面的 deny 改成 allow

如果你有很多的 ip 需要配置的话，那么你也可以新建一个文件，如：allow_deny_ip.conf

然后把需要配置的 ip 单独写在这个文件上面，最后在 nginx 中引用这个文件即可，如下：

server {
	...
	include allow_deny_ip.conf
	...
}

总结

Nginx 是一个功能强大的 Web 服务器软件，可以在保障服务器性能的同时提供丰富的安全功能。通过使用 Nginx 的 IP 黑名单功能，管理员可以禁止来自特定 IP 地址的访问，从而保证 Web 服务器的安全性。同时，使用变量可以使配置更加灵活和易于管理。使用上述步骤，管理员可以轻松地在 Nginx 中实现 IP 黑名单功能。