Nginx安全流量控制（小白也能学会的限流与防护实战教程）

第一步：配置请求频率限制（limit_req）

我们首先使用 limit_req_zone 定义一个“请求速率区域”，然后在具体 location 中应用它。

打开你的Nginx配置文件（通常位于 /etc/nginx/nginx.conf 或站点配置文件中），在 http 块内添加如下代码：

limit_req_zone $binary_remote_addr zone=login_limit:10m rate=1r/s;  

解释：

• $binary_remote_addr：以客户端IP作为限流键
• zone=login_limit:10m：创建名为 login_limit 的共享内存区，大小10MB（可存储约16万个IP状态）
• rate=1r/s：限制每个IP每秒最多1个请求

接着，在需要限流的 location（比如登录接口）中引用这个区域：

location /login {    limit_req zone=login_limit burst=3 nodelay;    proxy_pass http://backend;}  

参数说明：

• burst=3：允许突发3个请求排队（令牌桶机制）
• nodelay：突发请求立即处理，不延迟

第二步：限制并发连接数（limit_conn）

除了请求频率，我们还可以限制同一IP的并发连接数，防止连接耗尽。

同样在 http 块中添加：

limit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:10m;  

然后在 server 或 location 中使用：

server {    listen 80;    server_name example.com;    limit_conn conn_limit_per_ip 10;  # 每个IP最多10个并发连接    location / {        proxy_pass http://backend;    }}  

第三步：结合IP黑白名单增强防护

你还可以配合 allow 和 deny 指令实现简单的访问控制：

location /admin {    allow 192.168.1.0/24;   # 允许内网访问    deny all;                # 拒绝其他所有IP    proxy_pass http://admin_backend;}  

测试与验证

修改配置后，务必执行以下命令检查语法并重载Nginx：

sudo nginx -t      # 测试配置是否正确sudo nginx -s reload  # 重载配置（无需重启）  

你可以使用工具如 ab（Apache Bench）或 curl 多次快速请求，观察是否返回 503 Service Temporarily Unavailable，这表示限流已生效。

总结

通过以上步骤，你已经掌握了基础的 Nginx限流配置 方法。这些策略虽不能完全抵御大规模 DDoS攻击，但能有效缓解自动化脚本、爬虫或小规模恶意请求带来的压力。

记住：Nginx访问控制 是网站安全的第一道防线。合理配置不仅能节省服务器资源，还能显著提升系统稳定性。

建议定期监控Nginx日志，分析异常IP，并动态调整限流策略。安全无小事，从细节做起！

关键词回顾：Nginx安全流量控制、Nginx限流配置、防止DDoS攻击、Nginx访问控制。