Nginx 安全防护与 HTTPS 部署全过程

一、HTTPS 部署基础

1. 获取 SSL 证书

自签名证书（仅测试用）

openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
  -keyout /etc/nginx/ssl/selfsigned.key \
  -out /etc/nginx/ssl/selfsigned.crt

生产环境证书（推荐使用 Let’s Encrypt）

# 安装 certbot
sudo apt install certbot python3-certbot-nginx

# 获取证书
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

2. Nginx HTTPS 基础配置

server {
    listen 443 ssl http2;
    server_name yourdomain.com www.yourdomain.com;

    # SSL证书路径
    ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

    # SSL协议配置
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
    ssl_prefer_server_ciphers on;

    # 启用HSTS
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    # 其他配置...
}

二、Nginx 安全防护配置

1. 基础安全头设置

add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options "nosniff";
add_header X-XSS-Protection "1; mode=block";
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://cdn.example.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; img-src 'self' data: https://cdn.example.com; font-src 'self' https://fonts.gstatic.com;";
add_header Referrer-Policy "no-referrer-when-downgrade";

2. 防止点击劫持

add_header X-Frame-Options "DENY";  # 或 SAMEORIGIN

3. 防止信息泄露

server_tokens off;  # 隐藏Nginx版本信息

4. 限制请求方法和大小

limit_except GET POST {
    deny all;
}

client_max_body_size 10M;  # 限制上传文件大小

5. 防止暴力破解

# 限制登录尝试
limit_req_zone $binary_remote_addr zone=login_limit:10m rate=5r/m;

server {
    location /login {
        limit_req zone=login_limit burst=10 nodelay;
        # 其他配置...
    }
}

6. 防止DDoS攻击

# 限制连接数
limit_conn_zone $binary_remote_addr zone=addr:10m;

server {
    location / {
        limit_conn addr 10;  # 每个IP最多10个并发连接
        # 其他配置...
    }
}

三、HTTPS 高级配置

1. 强制HTTPS重定向

server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    return 301 https://$host$request_uri;
}

2. OCSP Stapling 配置

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;

3. 会话缓存优化

ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_session_tickets off;  # 更安全但可能影响性能

4. HTTP/2 配置

listen 443 ssl http2;

四、完整安全配置示例

server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name yourdomain.com www.yourdomain.com;

    # SSL证书
    ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

    # SSL协议和加密套件
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
    ssl_prefer_server_ciphers on;

    # 会话缓存
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    ssl_session_tickets off;

    # OCSP Stapling
    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 5s;

    # 安全头
    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-Content-Type-Options "nosniff";
    add_header X-XSS-Protection "1; mode=block";
    add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://cdn.example.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; img-src 'self' data: https://cdn.example.com; font-src 'self' https://fonts.gstatic.com;";
    add_header Referrer-Policy "no-referrer-when-downgrade";
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    # 防止暴力破解
    limit_req_zone $binary_remote_addr zone=login_limit:10m rate=5r/m;

    location /login {
        limit_req zone=login_limit burst=10 nodelay;
        # 登录页面配置
    }

    # 限制连接数
    limit_conn_zone $binary_remote_addr zone=addr:10m;
    limit_conn addr 10;

    # 其他配置...
    root /var/www/html;
    index index.html;
}

五、维护与监控

证书自动续期（Let’s Encrypt）

sudo certbot renew --dry-run  # 测试续期
sudo systemctl reload nginx  # 续期后重载Nginx

安全监控

定期检查Nginx日志：/var/log/nginx/access.log 和 /var/log/nginx/error.log
使用工具如Fail2Ban防止暴力破解
设置入侵检测系统(IDS)如OSSEC

性能优化

定期测试SSL配置：https://www.ssllabs.com/ssltest/
使用HTTP/2提升性能
启用Gzip压缩减少传输大小

六、常见问题解决

混合内容警告

确保所有资源(图片、脚本、样式表)都通过HTTPS加载
更新内容安全策略(CSP)头

HSTS预加载

在HSTS头中添加preload指令
提交到Chrome HSTS预加载列表

OCSP Stapling失败

检查DNS解析是否正常
确保服务器可以访问证书颁发机构的OCSP服务器

通过以上配置，您可以建立一个安全可靠的HTTPS网站，有效防止常见网络攻击并保护用户数据安全。

文中内容均来源于公开资料，受限于信息的时效性和复杂性，可能存在误差或遗漏。我们已尽力确保内容的准确性，但对于因信息变更或错误导致的任何后果，本站不承担任何责任。如需引用本文内容，请注明出处并尊重原作者的版权。

THE END

教程
# Nginx

Nginx 安全防护与 HTTPS 部署全过程

一、HTTPS 部署基础

1. 获取 SSL 证书

自签名证书（仅测试用）

生产环境证书（推荐使用 Let’s Encrypt）

2. Nginx HTTPS 基础配置

二、Nginx 安全防护配置

1. 基础安全头设置

2. 防止点击劫持

3. 防止信息泄露

4. 限制请求方法和大小

5. 防止暴力破解

6. 防止DDoS攻击

三、HTTPS 高级配置

1. 强制HTTPS重定向

2. OCSP Stapling 配置

3. 会话缓存优化

4. HTTP/2 配置

四、完整安全配置示例

五、维护与监控

六、常见问题解决

Python实现：并发控制多个浏览器进行JavaScript注入

利用Playwright实现文件上传与下载的完成判断全指南

优化Android WebView加载体验：实现高效的超时处理机制

TortoiseGit 添加忽略文件全流程指南

构建Python工具以优化并压缩PPTX文件

Linux查看和修改MAC地址的方法大全

1CorelDRAW防联网验证方法+hosts修改教程

2Windows 11快速访问自定义指南：固定文件夹与调整设置

3解决UniApp微信小程序中video组件不显示与播放问题的指南

4为什么营业执照会显示经营异常？

5PyTorch nn.Embedding()深度解析：嵌入层如何工作及其在自然语言处理中的应用

6解决Mac OS 10.14.6无法打开应用的安全性限制问题

7批处理（.bat）脚本中文乱码问题解决方案

8解决MobaXterm无法连接虚拟机：排查并修复“连接超时”错误的步骤

9使用Postman高效测试并导出Excel文件的自动化方法

10华为研发三折叠屏手机的深层动因与市场展望

1小红书虚拟项目陪跑训练营5期：幼教赛道引流变现

2月入10万+揭秘：新闻信息差项目，多重变现路径，新手轻松上手

3财商创富私域讲座：抖音、项目、IP打造与财商提升全方位指南

4AI赋能智慧语录视频创作：7条作品引爆6万粉丝增长，手机操作月入过万秘籍

5揭秘高效引流术：新手也能单日吸引50+精准项目粉，多元变现路径实现稳定盈利

6最新短剧手机搬运教程：新手友好，日入200+的实战指南

7视频号怀旧风景新风尚：一键复制粘贴，打造治愈系乡村夜晚短视频

8揭秘抖音无人直播暴利秘籍：零门槛，当天出单，月入万元不是梦！

9微信视频号新玩法揭秘：狼道文化如何助力你轻松月入过万

10私密百分百成交流程线上训练营 —— 解锁高转化率秘诀

1AI5.0玩法：极速创造美女视频，引爆全平台流量与多元化变现

2最新视频搬运技巧：小白也能轻松上手，软件助力高效产出

3视频号全自动英文育儿书单号带货教程

4一键种草托管 单账号15分钟13元 10个账号一天130 绿色稳定 可无限推广

5AI热辣美女视频制作与流量变现项目详解

6拼多多虚拟爆单打法2.0 每天10分钟月产5000+

7电影解说2024年全新玩法

8小红书小学教辅资料销售秘籍：轻松上手，长效盈利

9AI赋能热点视频创作：5分钟高效产出，日赚3000+的矩阵变现秘籍

10寻道大千全新蓝海玩法：轻松变现，小白也能日赚4000+

1人人都要学的人工智能特训营：落地实操，效率提升，玩转生图

2明星IP切片带货爆单营：从0开始，打造短视频带货高手

3零基础SEO优化课程大纲

4亚马逊高阶打法课程内容

5餐饮人必修课程：深度解析，成就卓越餐饮人的秘密武器

6老板必修课：20讲深度解析降本增效，三本五效助力企业低本高效发展

72024 AI小红书运营（从入门到大师）课程概览

850大行业现场设计实战课：商业模式升级与流量变现策略

9视频号达人带货秘籍：长期剧情塑造与短期广告爆发策略全攻略

102024拼多多全面进阶课：从基础到运营、活动、推广与高级玩法全解析

4一键种草托管单账号15分钟13元 10个账号一天130 绿色稳定可无限推广