Nginx对客户端的限制方法

更新时间：2026年06月22日 09:44:54 作者：難釋懷

在Nginx中,你可以通过多种方式对客户端进行限制,以保护服务器资源不被滥用,例如限制请求速率、连接数、带宽等,本文介绍Nginx对客户端的限制,感兴趣的朋友跟随小编一起看看吧

一、引言：为什么需要限制“好”客户端？

在互联网世界，流量既是财富，也可能是灾难。一个设计良好的系统，不仅要能服务海量的正常用户，更要能抵御恶意的、异常的流量冲击。

Nginx 作为 Web 架构的流量入口，天然地承担着“守门人”的角色。通过对客户端施加合理的限制，我们可以：

防止资源耗尽：避免单个恶意 IP 占满所有连接或带宽。
抵御 DDoS/CC 攻击：有效缓解基于 HTTP 的洪水攻击。
保障服务公平性：确保正常用户的请求能得到及时响应。
控制爬虫行为：友好地限制搜索引擎或恶意爬虫的抓取频率。

💡 核心价值：
掌握 Nginx 的客户端限制能力，是构建一个健壮、高可用 Web 服务不可或缺的安全基石！

二、三大核心限制策略：连接、请求与带宽

Nginx 主要通过三个内置模块来实现对客户端的精细化控制。

1.ngx_http_limit_conn_module- 并发连接数限制

作用：限制来自同一个客户端（通常是 IP）同时建立的 TCP 连接数量。
适用场景：防止单个用户通过大量并发连接耗尽服务器的文件描述符或后端应用的工作线程。
核心指令：
- limit_conn_zone: 定义用于存储连接状态的共享内存区域。
- limit_conn: 在 http, server, 或 location 块中应用限制规则。

2.ngx_http_limit_req_module- 请求速率限制

作用：限制来自同一个客户端在单位时间内的请求数量 (QPS)。
适用场景：防刷、防爬虫、防 CC 攻击，平滑突发流量。
工作原理：基于漏桶算法 (Leaky Bucket)，以恒定速率处理请求。
核心指令：
- limit_req_zone: 定义用于存储请求状态的共享内存区域，并设置速率。
- limit_req: 应用限制规则，并可配置突发 (burst) 和是否延迟 (nodelay)。

3.limit_rate- 单连接带宽限制

作用：限制单个连接向客户端传输数据的最大速率。
适用场景：防止大文件下载占满出口带宽，影响其他用户；实现简单的 QoS (服务质量) 策略。
核心指令：
- limit_rate: 设置速率（字节/秒）。

三、实战配置详解

1. 限制并发连接数

http {
    # 定义一个名为 "perip" 的共享内存区域，大小为 10MB，
    # 用于存储客户端 IP ($binary_remote_addr) 的连接计数。
    limit_conn_zone $binary_remote_addr zone=perip:10m;
    server {
        listen 80;
        server_name example.com;
        location / {
            # 限制每个 IP 最多只能有 20 个并发连接
            limit_conn perip 20;
            # 可选：自定义超过限制时返回的状态码
            limit_conn_status 503; 
            proxy_pass http://backend;
        }
    }
}

$binary_remote_addr: 使用二进制格式存储 IP 地址，比字符串格式更节省内存。
zone=perip:10m: 共享内存区域名必须唯一，10MB 内存大约可以存储 16 万个 IP 地址的状态。

2. 限制请求速率（带突发）

http {
    # 定义一个名为 "one" 的共享内存区域，大小为 10MB，
    # 限制每个 IP 的请求速率为每秒 10 个 (10r/s)。
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
    server {
        location /api/ {
            # 应用限制规则
            # burst=20: 允许突发最多 20 个额外请求进入“缓冲队列”
            # nodelay: 不延迟处理突发的请求，直接放行（否则会按速率匀速处理）
            limit_req zone=one burst=20 nodelay;
            proxy_pass http://api_backend;
        }
    }
}

burst: 漏桶的容量。当请求速率超过 rate 时，多余的请求（不超过 burst）会被暂时放入队列。
nodelay: 如果不加此参数，突发的请求会被延迟处理，以保证平均速率不超过 rate。加上后，突发请求会立即被处理，但一旦 burst 队列满，后续请求将被拒绝。

3. 限制单连接带宽

server {
    location /download/ {
        # 限制每个连接的下载速度为 128KB/s
        limit_rate 128k;
        # 可以结合内部变量实现动态限速
        # 例如，对特定 User-Agent 限速
        if ($http_user_agent ~* "BadBot") {
            set $limit_rate 1k;
        }
        alias /path/to/files/;
    }
}

limit_rate 128k: k 或 K 表示千字节/秒，m 或 M 表示兆字节/秒。

四、高级技巧与注意事项

1.识别真实客户端 IP

如果 Nginx 前面还有 CDN 或代理（如 LVS, HAProxy），$remote_addr 获取到的是代理服务器的 IP，而非真实用户 IP。此时需要配合 real_ip 模块：

set_real_ip_from 192.168.1.0/24; # 可信代理的IP段
real_ip_header X-Forwarded-For;   # 从该Header中获取真实IP
real_ip_recursive on;             # 递归解析X-Forwarded-For
# 之后再使用 $realip_remote_addr 或重新赋值 $binary_remote_addr
map $realip_remote_addr $client_ip {
    "" $remote_addr;
    default $realip_remote_addr;
}
limit_conn_zone $client_ip zone=real_perip:10m;

2.白名单机制

对于重要的合作伙伴或监控系统，我们通常需要将其加入白名单，豁免限制。可以结合 geo 模块实现：

geo $limited_ip {
    default 1;          # 默认所有IP都需要被限制
    10.0.0.0/8 0;       # 内网IP豁免
    1.2.3.4 0;          # 特定IP豁免
}
map $limited_ip $limit_key {
    0 "";               # 豁免IP，映射为空字符串
    1 $binary_remote_addr; # 需要限制的IP，映射为其IP
}
limit_req_zone $limit_key zone=api:10m rate=10r/s;
location /api/ {
    limit_req zone=api burst=20 nodelay;
}

3.日志记录与监控

在 access_log 中记录被限制的请求，便于后续分析和告警。

log_format main_ext '$remote_addr - $remote_user [$time_local] '
                    '"$request" $status $body_bytes_sent '
                    '"$http_referer" "$http_user_agent" '
                    'rt=$request_time uct="$upstream_connect_time" '
                    'uht="$upstream_header_time" urt="$upstream_response_time" '
                    'limit_req_status=$limit_req_status'; # 记录限流状态
access_log /var/log/nginx/access.log main_ext;

五、结语

到此这篇关于Nginx对客户端的限制的文章就介绍到这了,更多相关Nginx客户端限制内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

prometheus监控nginx的实现步骤
本文主要介绍了prometheus监控nginx的实现步骤,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
2026-05-05
nginx屏蔽指定接口(URL)的操作方式
这篇文章主要介绍了nginx屏蔽指定接口(URL)的操作方式，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧
2020-05-05
Nginx HTTP:413 Request Entity Too Large解决方法
这篇文章主要介绍了Nginx HTTP:413 Request Entity Too Large解决方法,这个问题需要修改PHP配置以及Nginx配置才可以解决,需要的朋友可以参考下
2015-07-07
nginx代理webSocket链接,webSocket频繁断开重连方式
当使用Nginx代理WebSocket连接时,若60秒内无数据交互,连接会断开,解决办法包括增加proxy_read_timeout时长或在客户端添加心跳机制,以维持连接稳定
2024-09-09
Nginx+SSL实现双向认证的示例代码
这篇文章主要介绍了Nginx+SSL实现双向认证的示例代码，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2019-01-01
Nginx 限流防刷完全指南从原理到生产实战指南
本文给大家介绍Nginx限流防刷完全指南从原理到生产实战指南,本文结合实例代码给大家介绍的非常详细,感兴趣的朋友跟随小编一起看看吧
2026-05-05
教你使用Nginx限制百度蜘蛛频繁抓取的问题
这篇文章主要介绍了使用Nginx限制百度蜘蛛频繁抓取的问题,百度蜘蛛对网站的抓取频率高和抓取量骤增导致服务器负载高，经常收到警告信息，每分钟允许百度蜘蛛抓取200次，超过频率限制的返回503，对Nginx限制蜘蛛频繁抓取相关知识感兴趣的朋友一起看看吧
2022-01-01
nginx基础配置说明一则
nginx基础配置说明一则，有需要的朋友可以参考下
2013-02-02
nginx无法获取带下划线的header值的问题解决
Nginx默认会将连字符转换为下划线,这可能会导致无法正确获取到原始的请求头值,本文主要介绍了nginx无法获取带下划线的header值的问题解决,感兴趣的可以了解一下
2024-12-12
国外著名论坛程序IPB(Invision Power Board)在nginx下的配置示例
这篇文章主要介绍了国外著名论坛程序IPB(Invision Power Board)在nginx下的配置示例,使用fastcgi配置模式,需要的朋友可以参考下
2014-07-07