Nginx安全配置专题

专题说明

本专题系统讲解Nginx安全配置的核心知识，涵盖SSL/TLS协议配置、IP访问控制、敏感信息保护、反向代理安全传递、日志审计监控和CORS跨域安全配置。

学习目标

掌握SSL/TLS安全配置，正确启用TLSv1.2和TLSv1.3
熟练使用allow/deny指令实现IP白名单访问控制
掌握敏感信息保护措施，防止版本号和敏感文件泄露
理解反向代理中客户端真实IP传递机制
了解日志在安全监控和审计中的作用
掌握CORS安全配置，避免跨域安全风险

学习内容

本专题涵盖以下核心知识点：

SSL/TLS配置：ssl_protocols、ssl_ciphers，禁用不安全的协议版本
访问控制：allow/deny指令实现IP白名单和黑名单
信息隐藏：server_tokens off隐藏版本号
敏感文件保护：禁止目录浏览和隐藏文件访问
反向代理安全：X-Real-IP和X-Forwarded-For传递客户端真实IP
日志审计：通过访问日志发现安全攻击和异常行为
CORS安全：正确配置跨域资源共享，避免使用通配符*

学习建议

安全配置优先级：协议版本 > 加密套件 > 访问控制 > 信息隐藏
TLSv1和TLSv1.1已被IETF正式废弃，生产环境只启用TLSv1.2和TLSv1.3
allow/deny规则按顺序匹配，务必先allow后deny all
CORS配置指定具体域名而非通配符*，最小化跨域安全风险

📝 发现内容有误？点击此处直接编辑

📝 配套习题（7 题）

单选题

以下关于 Nginx SSL/TLS 安全配置的说法，错误的是？

应该禁用 SSLv2 和 SSLv3 协议，因为它们存在已知的安全漏洞

ssl_protocols 指令用于指定允许的 SSL/TLS 协议版本

为了兼容性，应该同时启用 TLSv1 和 TLSv1.1 协议

ssl_ciphers 指令用于指定允许的加密套件

填空题

在 Nginx 中配置 IP 白名单，只允许特定 IP 地址访问管理后台：

text

location /admin/ {
    ______ 192.168.1.100;
    ______ 10.0.0.0/8;
    ______ all;
}

请填入正确的指令名称。（1.允许特定IP 2.允许IP段 3.拒绝所有其他IP）

单选题

在 Nginx 中，隐藏 HTTP 响应头中的版本号信息，应该使用哪个配置？

server_version off;

server_tokens off;

hide_version on;

version_hide true;

多选题

以下哪些配置可以防止 Nginx 泄露敏感信息？

autoindex off; 关闭目录浏览

location ~ /\. { deny all; } 禁止访问隐藏文件

location ~* \.(env|git|svn) { deny all; } 禁止访问敏感文件

server_tokens on; 显示服务器版本号

单选题

在 Nginx 作为反向代理时，如何将客户端真实 IP 传递给后端服务器？

使用 proxy_set_header X-Real-IP $remote_addr;

使用 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

A 和 B 都可以

Nginx 不支持传递客户端真实 IP

判断题

Nginx 的访问日志可以用于安全监控和审计，通过分析日志可以发现异常访问行为和潜在的安全攻击。（）

对

错

多选题

以下关于 Nginx 配置 CORS（跨域资源共享）的说法，正确的有？

Access-Control-Allow-Origin: * 允许任何域名跨域访问，安全性最低

应该指定具体的允许源域名，而不是使用通配符 *

Access-Control-Allow-Methods 用于指定允许的 HTTP 方法

CORS 配置与服务端安全性无关，只是浏览器的限制