Nginx：15---反向代理之（安全隔离：SSL流量加密SSL客户端身份验证基于原始IP地址阻止流量）

Posted 2022-08-03 董哥的黑板报

• 通过代理分开了客户端到应用程序服务器的连接，实现了安全措施。这是在一个架构中使用反向代理的主要原因之一。客户端仅直接连接运行反向代理的机器，这台机器应该足够安全，以至于攻击者找不到任何入口
• 安全是一个相当大的话题，我们在这里只是简单地就该要点来观察
  • 在反向代理之前设置防火墙，仅允许公网访问80端口（如果HTTPS连接提供443端口，那么也包括该端口）
  • 确保nginx使用一个非特权用户运行（典型的用户WWW、webservd或者WWW-data，这依赖于具体的操作系统）
  • 加密的流量可以防止窃听

一、SSL流量加密

• 待续

二、SSL客户端身份验证

• 待续

三、基于原始IP地址阻止流量

• 待续