欢迎来到蓝队云小课堂，每天分享一个技术小知识。

Nginx 是一个高性能的 HTTP 和反向代理服务器，常用于负载均衡、缓存和安全性增强。限制 IP 访问是 Nginx 提供的一种安全功能，它可以帮助你控制哪些 IP 地址可以访问你的网站或服务。

限制IP访问大多基于安全策略，具体原因包括：

• 防止恶意攻击：限制已知的恶意 IP 或 IP 段，减少 DDoS 攻击、暴力破解登录等风险。
• 避免未授权访问：确保只有特定的 IP 或 IP 范围能够访问敏感资源，如MySQL云数据库授权访问等。
• 遵守地理限制：某些服务可能只允许在特定国家或地区访问，通过 IP 限制可以遵守这些规定，如限制海外IP访问。
• 内部网络访问控制：企业内部服务可能仅限于公司网络内的 IP 访问。
• 减少无效流量：通过阻止不必要的 IP 请求，可以减轻服务器负担，提高响应速度。
• 日志记录：限制 IP 后，可以更轻松地跟踪和分析来自特定地址的活动。

Nginx如何限制IP访问？

Nginx提供了ngx_stream_access_module模块，要使用 Nginx 限制 IP 访问，你可以在配置文件中使用 allow 和 deny 指令。

1）allow

该指令设置指定的IP允许访问。可以和deny指令配合使用

• 作用域：stream, server
• 语法：allow address | CIDR | unix: | all;

示例：

 # 允许192.168.110.1访问
 allow 192.168.110.1;
 
 # 允许192.168.110.1到192.168.255.254
 allow 192.168.110.0/16;
 
 # 允许192.168.110.1到192.168.110.254
 allow 192.168.110.0/24;
 
 # 允许所有的IP访问
 allow all;

2）deny

该指令设置指定的IP禁止访问。可以和allow指令配合使用。

• 作用域：stream, server
• 语法：deny address | CIDR | unix: | all;

# 禁止192.168.110.1访问
 deny 192.168.110.1;
 
 # 禁止192.168.110.1到192.168.255.254
 deny 192.168.110.0/16;
 
 # 禁止192.168.110.1到192.168.110.254
 deny 192.168.110.0/24;
 
 # 禁止所有的IP访问
 deny all;

3）配置示例

禁止所有的IP访问，192.168.110.100除外。

allow 192.168.110.100;
 deny all;

注意：如果指定了allow，需要配合deny使用，否则就是允许所有的IP地址访问。

使用Nginx来限制IP访问在各类生产环境都很实用。

我们的生产环境基本上都部署在云服务器上，例如应用服务器、MySQL服务器等。如果MySQL服务器直接暴露在公网，就会存在很大的风险，为了保证数据安全，MySQL服务器的端口是不对外开放的。在这种情况下，如技术人员需要远程连接MySQL来查看数据，就可以通过Nginx来进行连接。

蓝队云是专业的云计算及网络安全服务商，提供域名注册、云服务器、对象存储、网络安全等产品及服务，提供7*24小时不间断的人工技术服务，协助用户处理相关技术问题。网络安全等产品及服务。才外，蓝队云还提供免费运维工具包和技术文档支持，欢迎很多技术开发者一起加入讨论。蓝队云十余款产品支持免费试用，包含云服务器、虚拟主机、SSL证书、短信群发等，需要的朋友可自行领取。