在日常的生产环境中，网站可能会遭遇恶意请求、DDoS 攻击或其他有害的访问行为。为了应对这些情况，动态封禁 IP 是一项十分重要的安全策略。本篇博客将介绍如何通过 NGINX 实现动态封禁 IP，从配置到自动化的实现步骤。

2、实现方式

NGINX 本身支持简单的基于 IP 的访问控制（如 deny 和 allow 指令），但要实现动态封禁，通常结合以下几种方案：

• fail2ban：一个常用的自动封禁工具，通过监控日志发现恶意行为并自动修改 NGINX 配置文件。
• nginx 动态模块：如 ngx_http_limit_req_module 和 ngx_http_limit_conn_module，用于限制请求频率和并发数，结合脚本实现 IP 封禁。
• 基于 Redis 或数据库的方案：可以通过 Lua 脚本或第三方模块，从 Redis 或 MySQL 等存储中动态加载封禁的 IP 列表。

3、使用 fail2ban 动态封禁

fail2ban 是一种常见的动态封禁工具，通过监控日志文件中的恶意行为自动更新 NGINX 配置。下面是通过 fail2ban 实现动态封禁的步骤。

3.1 安装 fail2ban

3.2 配置 NGINX 日志

确保 NGINX 配置中的日志能记录恶意请求。以下是一个简单的日志配置：

3.3 配置 fail2ban 规则

创建 NGINX 的过滤规则，编辑 /etc/fail2ban/filter.d/nginx-http-auth.conf，加入以下规则来匹配日志中的恶意行为：

3.4 设置 fail2ban 的 jail 配置

在 /etc/fail2ban/jail.local 文件中，增加对 NGINX 的监控配置：

• logpath：指向 NGINX 的日志文件。
• maxretry：设置多少次失败后封禁 IP。

3.5 启动 fail2ban

这样，当某个 IP 连续访问 5 次 403 页面时，它将被自动封禁。

4、使用 NGINX 的 limit 模块动态限制

NGINX 自带的 ngx_http_limit_req_module 和 ngx_http_limit_conn_module 可以用于动态限制请求。通过设置请求频率和并发连接数，可以有效抵御恶意爬虫和 DDoS 攻击。

4.1 配置请求频率限制

在 NGINX 配置中加入以下代码来限制每个 IP 的请求频率：

• limit_req_zone：定义一个共享内存区域，用于记录请求速率。
• rate=1r/s：每个 IP 限制为每秒最多 1 次请求。

4.2 动态调整限制

要用 Redis 和 Lua 实现动态封禁恶意 IP 的功能，可以借助 Redis 的计数和过期特性。在 Redis 中，可以用 Lua 脚本来动态检测某个 IP 的请求频率，一旦超过设定的阈值，就对该 IP 进行封禁。

以下是一个 Lua 脚本的样例，用于封禁恶意 IP。假设我们会在 Redis 中记录每个 IP 的请求次数，并在达到限制后进行封禁。以下 Lua 脚本实现了上述逻辑，设定了一个限制：IP 在 60 秒内请求 10 次以上会触发封禁，封禁持续 3600 秒（1 小时）：

要在 Redis 中执行这个 Lua 脚本，你可以通过 Redis 客户端执行 EVAL 命令。假设 IP 地址是 192.168.0.1，请求限制为 10 次，封禁时间为 3600 秒，计数过期时间为 60 秒：

5、总结

通过以上方法，可以实现 NGINX 下的动态封禁 IP，从而有效保护网站免受恶意攻击。在实际应用中，可以根据需求选择 fail2ban 或 NGINX 自带的模块，甚至结合数据库方案实现更复杂的动态封禁机制。

这篇博客为初学者提供了 NGINX 实现动态封禁 IP 的思路和具体配置示例。你可以根据业务场景灵活调整参数，提升系统安全性。