目录

一、理论

1.Nginx网页优化

2.Nginx安全优化

3.Nginx日志分割

二、实验

1.网页压缩

2.网页缓存

3.连接超时设置

4.并发设置

5.隐藏版本信息

 6.脚本实现每月1号进行日志分割

7.防盗链

三、总结

---

一、理论

1.Nginx网页优化

（1）概述

在企业中，部署Nginx后只采用默认的配置参数，会引发网站很多问题，换言之默认配置是针对以前较低的服务器配置的，以前的配置已不适用当今的互联网时代。

为了适应企业需求，就需要考虑如何提升Nginx的性能与稳定性，这就是Nginx优化的内容。

优化内容：

表1 优化内容

分类	优化内容
网页优化	配置网页压缩功能
配置网页缓存
连接超时设置
并发设置
页面安全	配置隐藏版本号
日志分割	日志分割
防盗链	配置防盗链

（2）网页压缩

① gzip介绍

配置Nginx的网页压缩功能，是使用gzip压缩算法来对网页内容进行压缩后再传输到客户端浏览器。

作用：

降低了网络传输的字节数，加快网页加载的速度；
节省流量，改善用户的浏览体验；
gzip与搜索引擎的抓取工具具有更好的关系。

vim /usr/local/nginx/conf/nginx.conf
http {
...... 
   gzip on;							#取消注释，开启gzip压缩功能
   gzip_min_length 1k;      		#最小压缩文件大小
   gzip_buffers 4 64k;      		#压缩缓冲区，大小为4个64k缓冲区
   gzip_http_version 1.1;   		#压缩版本（默认1.1，前端如果是squid2.5请使用1.0）
   gzip_comp_level 6;       		#压缩比率
   gzip_vary on;					#支持前端缓存服务器存储压缩页面
   gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;		#压缩类型，表示哪些网页文档启用压缩功能
...... 
}

  ②   Nginx的压缩模块

Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能
允许Nginx服务器将输出内容在发送客户端之前进行压缩，以节约网站带宽，提升用户的访问体验，默认已经安装
可在配置文件中加入相应的压缩功能参数对压缩性能进行优化。

（3）网页缓存

当Nginx将网页数据返回给客户端后，可设置缓存的时间，以方便在日后进行相同内容的请求时直接返回，避免重复请求，加快了访问速度。
注：一般针对静态网页设置，对动态网页不设置缓存时间。

vim /usr/local/nginx/conf/nginx.conf
http {
......
	server {
	...... 
		location / {
			root html;
			index index.html index.htm;
		}
		
		location ~ \.(gif|jpg|jepg|png|bmp|ico)$ { 		#加入新的 location，以图片作为缓存对象
			root html;
			expires 1d;									#指定缓存时间，1天
		}
......
	}
}

（4）连接超时设置

HTTP有一个KeepAlive模式，它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自同一客户端的其它请求，服务端会利用这个未被关闭的连接，而不需要再建立一个连接。
KeepAlive 在一段时间内保持打开状态，它们会在这段时间内占用资源。占用过多就会影响性能。
在企业网站中，为了避免同一个客户长时间占用连接，造成资源浪费，可设置相应的连接超时参数，实现控制连接访问时间。可以修改配置文件 nginx.conf，设置 keepalive_timeout超时。
 

vim /usr/local/nginx/conf/nginx.conf
 http {
 ...... 
     keepalive_timeout 65 180;       //设置连接超时时间    
     client_header_timeout 80;
     client_body_timeout 80;
 ...... 
 }

（5）并发设置

在高并发场景，需要启动更多的Nginx进程以保证快速响应，以处理用户的请求，避免造成阻塞。

① 查看cpu的核心数：

查看cpu的核心数，根据核心数来设置工作进程数
cat /proc/cpuinfo |grep processor|wc -l
cat /proc/cpuinfo |grep -c processor
cat /proc/cpuinfo | grep -c "physical id"

② 修改工作进程核心数：

修改工作进程核心数 
vim /usr/local/nginx/conf/nginx.conf
worker_processes  1;        #修改为与CPU核数相同
worker_cpu_affinity 01 10;  #设置每个进程由不同cpu处理，进程数配为4时0001 0010 0100 1000

2.Nginx安全优化

（1）防盗链

防盗链是防止别人的网站代码里面盗用我们自己服务器上的图片，文件，视频等相关资源；

如果别人盗用网站的这些静态资源，明显的是会增大服务器的带宽压力；

作为网站的维护人员，要杜绝服务器的静态资源被其他网站盗用。

Nginx盗链的过程与apache一致，均是通过网页浏览，将网站图片重定向到自己的网站上。

vim /usr/local/nginx/conf/nginx.conf
http {
......
	server {
	......
		location ~* \.(jpg|gif|swf)$ {
			valid_referers none blocked *.david.com jack.com;
			if ( $invalid_referer ) {
				rewrite ^/ http://www.david.com/error.png;
				#return 403;
            }
        }
	......
	}
}

（2）隐藏版本信息

作用：一般情况下，软件的漏洞信息和特定的版本是相关的，因此，软件的版本号对攻击者来说是很有价值的，所以我们隐藏Nginx的版本号，减少受攻击风险，保护服务器安全运行

Nginx隐藏版本号的方法:
① 修改配置文件（隐藏版本号）

vim /usr/local/nginx/conf/nginx.conf
server_tokens off;
##若在http模块中加，为全局设置
##在server模块内加，为当前主机设置

② 修改源码法（修改版本号）

vim /opt/nginx-1.22.0/src/core/nginx.h
#define NGINX_VERSION "1.1.1" 					#修改版本号
#define NGINX_VER "IIS" NGINX_VERSION 			#修改服务器类型

cd /opt/nginx-1.22.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make && make install

vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens on;
	......
}

3.Nginx日志分割

Nginx与apache的不同之处，就是Nginx本身并未设计日志分割工具，所以需要运维人员进行脚本编写来实现日志分割。

日志分割脚本：

#!/bin/bash
day=$(date +%Y-%m-%d)
dir="/usr/local/nginx/logs/"
logs_file='/usr/local/nginx/logs/access.log'
logs_error='/usr/local/nginx/logs/error.log'
pid_file='/usr/local/nginx/logs/nginx.pid'
if [ ! -d $dir ]
   then mkdir $dir
   fi
mv ${logs_file} ${dir}/access${day}.log
mv ${logs_error} ${dir}/error${day}.log
kill -USR1 $(cat ${pid_file})
find $dir -mtime +30 -exec rm -rf {} \;

二、实验

1.网页压缩

（1）配置文件

 加入压缩功能参数

配置网页

 查看图片为已压缩

2.网页缓存

（1）配置文件

  查看图片缓存失效时间为1天

3.连接超时设置

（1）配置文件

 设置超时

 查看连接已设超时

4.并发设置

（1）配置文件

 查看CPU内核数：

 修改工作进程核心数：

5.隐藏版本信息

(1)修改配置文件（隐藏版本号）

 查询版本号 

配置文件关闭版本

关闭版本号

查询

 （2）修改源码法（修改版本号）

编辑文件

vim /opt/nginx-1.22.0/src/core/nginx.h

修改版本号及服务器类型

指定安装路径

完成

  编译安装

 启用版本

 查看版本

 

 6.脚本实现每月1号进行日志分割

 （1）编写日志分割脚本

cd /opt
vim nginxlog.sh

 （2）赋权

(3)执行脚本进行测试

（4）查看日志

（5）计划性任务

7.防盗链

（1）web源主机（192.168.204.200）

配置文件

配置网页

   

配置主机与IP映射

 （2）盗链网址主机（192.168.204.150）

配置文件

 

 配置网页

 

 （3）在web源主机查看浏览器

（4）在盗图网站主机上进行浏览器验证

三、总结

在企业信息化应用环境中，服务器的安全性和响应速度需要根据实际情况进行响应参数配置，以达到最优的用户体验，默认的 Nginx安装参数只能提供最基本的服务，还需要调和如网页缓存时间、连接超时、网页压缩等响应参数，才能发挥出服务器的最大作用。

Nginx网页及安全优化常用方法为网页压缩、网页缓存、连接超时设置、并发设置、防盗链、日志分割和隐藏版本信息。