博客
Top 10 Ways To Harden Nginx的 For Windows

Top 10 Ways To Harden Nginx的 For Windows

抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

高性能开源HTTP服务器Nginx占Web服务器整体市场份额的13%,是Web服务器重量级万国中的后起之秀。即使是最热衷于Microsoft的用户,也纷纷放弃IIS,而在Windows Server环境中使用Nginx。对于那些对性能/速度有严格要求的人,Nginx可以'不要被打败。但是,像所有Web服务器一样,市场上增长最快的解决方案并非没有安全缺陷。以下是强化Windows版Nginx的十大方法。

The Nginx的 Configuration File (nginx.conf)

Nginx的'的主要Web服务器配置位于nginx.conf文件中。这包括用于强化Web服务器实例的许多安全设置,因此它'值得熟悉此文件。对于Windows,可以在以下位置找到nginx.conf文件: [Nginx安装目录] / conf /。

1.将HTTP流量重定向到HTTPS。

强制使用所有连接 加密 可以减少窥探和 中间人(MITM)攻击。使用指令 返回301http:// _ $ server_name $ request_uri将为对端口80的所有请求设置永久URL重定向。

Nginx的可以说是现成的最安全的Web服务器;也就是说,其他强化措施(例如上述10项)可以改善您的网站'防范不可避免的网络攻击。为了掌握关键漏洞和安全漏洞, UpGuard'的数字弹性平台提供 持续的安全监控 和验证是今天生存所必需的's harsh 网络威胁 景观。

2.仅启用TLS并禁用SSL。

所有版本 SSL协议 实际上已被视为不安全,因此应尽可能使用TLS代替它。可以在ssl_protocols参数中指定(例如,TL​​Sv1 TLSv1.1 TLSv1.2)。

3.限制每个IP地址允许的连接数。

这从根本上防止了客户端连接泄漏,并有助于缓解拒绝服务(DoS)攻击。为此,请在limit_conn_zon指令中设置适当的值。

4. Add cross-site scripting (XSS) protection to Nginx的.

什么时候 add_header X-XSS-Protection"1; mode=block";  包含在您的配置文件中,Nginx将为标头添加X-XSS保护,以缓解XSS和点击劫持攻击。 

5.拒绝特定的用户代理或漫游器发出请求。

这样可以防止垃圾邮件发送者和Web扫描程序以多余的请求攻击Web服务器。为此,您'将需要编写一个条件来嗅探某些$ http_user_agent值(例如Baiduspider,scrapbot),并在匹配时返回403。

6.为所有客户端设置缓冲区限制。

Buffer overflow attacks are frequently employed by cyber criminals to compromise web 服务器s. By setting the appropriate directives in your Nginx configuration file—namely, the client_body_buffer_size,client_header_buffer_size,client_max_body_size,large_client_header_buffers 参数-您可以防止此类攻击。

7. Turn off Nginx 服务器_tokens to prevent data leakage.

Web 服务器 404 pages will typically display some bits of privileged information—in Nginx的's case, turning server_tokens off will prevent it from displaying the web 服务器 version being used.

8. Disable unwanted Nginx的 web 服务器 modules.

这样做 reduces the attack surface of your web 服务器 通过限制攻击者可以利用的操作,包括通过自动黑客程序。它'最好确定在安装之前要禁用哪些模块;安装后,需要进行更改,然后重新编译Nginx。使用以下命令禁用模块 配置 安装期间选择。

9.使用X-Frame-Options标头。

By configuring Nginx的 to use the X-Frame-Options header with the value "SAMEORIGIN,"浏览器在<frame> or <iframe> will not be as 容易遭受点击劫持攻击

10.禁用所有未使用的HTTP方法。

可以在"server" section of the Nginx的 configuration. By adding a condition to allow only GET/HEAD/POST methods, less-innocuous methods like TRACE and DELETE are met with a 444 No Response status code.

使用UpGuard防御网络攻击

在UpGuard,我们可以 保护您的业务免受数据泄露 并帮助您持续监控 您所有供应商的安全状况.

您的企业是否有遭受安全破坏的风险?

点击这里 立即获得免费安全等级!

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状