阿里云下如何巧加web防火墙？

服务器大家都不陌生，随着科技的发展企业对于服务器的选择也是多种多样。云服务对我们带来了便利，架构即服务，软件即服务等。但是云服务的背后我们对服务的控制能力有时候缺有了限制。公司用的是阿里云的负载均衡器-SLB，SLB与后端nginx流量为内网，这个时候面对这洪水攻击和爬虫的时候我们单从WEB服务器的iptables层很难做到隔离IP。下面我们巧用nginx来实现IP隔离。

场景原理：

场景： 前端SLB--->nginx---->proxy

1、配置SLB（阿里云负载均衡）

首先需要配置SLB（阿里云负载均衡）让slb记录用户真实IP功能

SLB是阿里云的一款负载均衡服务产品，和LVS一样，我们可以理解为LVS服务，（但是我们没有对lvs服务器的管理权限）

    此处勾选即可

2、tomcat开启X-Forwarded-For日志功能

开启tomcat的X-Forwarded-For，在tomcat/conf/server.xml中，修改AccessLogValve日志纪录功能为如下内容：

 <valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"

               prefix="localhost_access_log." suffix=".txt"

               pattern="%{X-Forwarded-For}i %h %l %u %t %r %s %b"></valve>

提示：修改完重启生效！!

被攻击的日志检查客户真实IP：

3、Nginx配置隔离

在Server标签下添加如下几行

 set $allow true;

if ($http_x_forwarded_for ~ "106.121.*.*|106.121.71.120|106.121.77.28|106.121.74.130|218.109.235.254"){

        set $allow false;

}

if ($allow = false){

        return 404;

    }

#提示：IP添加在上面！

小结：

因为无法禁止用户进行访问，我们设置404可以让IP无法进行访问数据库。不然数据库会被查询语句进行刷爆。

原文来自：  https://www.abcdocker.com/abcdocker/2510

PS:记得查收小编送你的免费大礼包呦~

福利 | 一万多套PPT模板等你免费来拿！无条件领取！

免费送 | 1000多套简历模板免费拿，附赠简历制作教程！

免费领 | 《Shell脚本 100例》电子书免费拿，运维必备干货~

▼▼点击【阅读原文】，5天运维干货课，提前抢走！