Nginx安全请求限制（手把手教你限制恶意请求，保护网站安全）

第一步：理解限流原理

Nginx 使用“漏桶算法”（Leaky Bucket）来实现请求限流。简单来说，就像一个水桶，每秒只能流出固定量的水。如果请求太多，超出的部分就会被延迟处理或直接拒绝。

第二步：配置基本限流规则

打开你的 Nginx 配置文件（通常位于 /etc/nginx/nginx.conf 或站点配置文件如 /etc/nginx/sites-available/default），在 http 块中添加如下代码：

http {    # 定义一个名为 'mylimit' 的限流区域，使用 $binary_remote_addr 作为 key    # 分配 10MB 内存，大约可存储 16 万个 IP 地址    limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;    server {        listen 80;        server_name example.com;        location / {            # 应用限流规则：burst=5 表示允许突发 5 个请求            # nodelay 表示突发请求不延迟处理            limit_req zone=mylimit burst=5 nodelay;            proxy_pass http://backend;        }    }}  

上面的配置表示：每个 IP 每秒最多允许 1 个请求，但如果短时间内有突发流量（最多 5 个额外请求），Nginx 会立即处理（因为加了 nodelay）。超过这个限制的请求将返回 503 错误。

第三步：针对特定路径设置更严格的限制

某些敏感路径（如登录接口 /login）更容易遭受暴力破解，我们可以单独为它们设置更严格的规则：

location /login {    limit_req zone=mylimit burst=2 nodelay;    # 也可以结合 limit_conn 限制并发连接数    limit_conn addr 1;    proxy_pass http://auth_backend;}  

第四步：自定义错误页面（可选但推荐）

当请求被限制时，默认返回 503 状态码。你可以自定义友好提示页面：

error_page 503 /custom_503.html;location = /custom_503.html {    internal;    root /usr/share/nginx/html;}  

第五步：测试与验证

修改配置后，先检查语法是否正确：

sudo nginx -t

如果没有错误，重新加载 Nginx：

sudo systemctl reload nginx

然后使用工具如 ab（Apache Bench）或 curl 多次快速请求你的网站，观察是否触发限流（返回 503）。

总结

通过合理配置 Nginx 的请求限制功能，你可以有效防御高频恶意请求，提升 Web服务器防护 能力，减少资源浪费，并增强整体系统稳定性。无论是防范简单的爬虫，还是缓解小规模 防止DDoS攻击，这套机制都非常实用。

记住，Nginx安全配置 不是一劳永逸的，应根据实际业务流量和攻击模式不断调整参数。同时，请求频率限制 只是安全体系中的一环，建议结合防火墙、WAF（Web应用防火墙）等多层防护策略，构建更坚固的安全防线。

现在，就去给你的 Nginx 加上这道“安全锁”吧！