1    严格访问

访问能基于客户端的IP地址允许或拒绝或使用基于HTTP验证。

为了允许或拒绝从某个地址及或所有地址的访问，使用allow和deny指令：

location / {

    deny 192.168.1.2;

    allow 192.168.1.1/24;

    allow 127.0.0.1;

    deny all;

}

 为了启用验证，使用auth_basic指令。用户要么输入有效的用户名和密码获取网站的访问。用户名和密码必须在auth_basic_user_file指令命名的文件中列出。

server {

    ...

    auth_basic "closed website";

    auth_basic_user_file conf/htpasswd;

}

 你能让网站的一些区域没有验证即使你需要整个网站验证。在非验证区域配置块中，在auth_basic指令中包括off参数取消继承外部配置级别设置。例如，限制整个网站访问，但有些位置可以公开：

server {

    ...

    auth_basic "closed website";

    auth_basic_user_file conf/htpasswd;

 

    location /public/ {

        auth_basic off;

    }

}

为了联合IP地址和验证，使用satisfy指令。默认，设置为all，因此客户端满足这两种类型的条件授予访问权限。当satisfy指令设置为any，至少满足一个条件授予访问权限。因此，如果IP地址是允许的，未验证的用户可以访问，反之亦然。

 location / {

    satisfy any;

 

    allow 192.168.1.0/24;

    deny  all;

 

    auth_basic           "closed site";

    auth_basic_user_file conf/htpasswd;

}

2    限制访问

可以限制：

• 每个键值的连接数（例如，每个IP地址）

• 每个键值请求速率（在1秒/分钟期间允许处理的请求数）

• 连接的下载速度

注意，IP地址能在NAT设备后共享，因此通过IP地址应该是明智的。

2.1    限制连接数

为了限制连接数，首先使用limit_conn_zone指令定义键并设置共享内存区域参数（worker进程将使用该区域共享键值计数器）。作为第一个参数，指定表达式计算为键。第二个参数，指定区域的名字和大小。

limit_conn_zone $binary_remote_address zone=addr:10m;

 第二，使用limit_conn指令应用location虚拟服务器或整个http上下文的限制。指定共享内存区域的名字作为第一个参数，允许每个键的连接作为第二个参数。

location /download/ {

    limit_conn addr 1;

}

连接数在IP地址基础上的限制，因为$binary_remote_address变量用作键。通过使用$server_name变量限制指定服务器连接数：

http {

    limit_conn_zone $server_name zone=servers:10m;

 

    server {

        limit_conn servers 1000;

    }

}

 2.2    限制请求速率

为了限制请求速率，首先设置键和共享内存区域保存计数器。

limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

rate参数能指定每秒的请求数（r/s）或没分钟的请求数（r/m）。

一旦定义共享内存区域，使用limit_req指令在虚拟服务器或location（或全局，如果需要）为了限制请求速度：

location /search/ {

    limit_req zone=one burst=5;

}

 如果速率超过限制，请求被放入队列延迟处理。burst参数设置等待处理的最大请求数。超过burst限制的请求Nginx响应503错误。

如果burst期间不需要延迟，添加nodelay参数。

limit_req zone=one burst=5 nodelay;

2.3    限制带宽

为了限制每个连接的带宽，使用limit_rate指令：

location /download/ {

    limit_rate 50k;

}

使用该设置，客户端将能够通过单个连接下载内容速度最大为每秒50千字节。然而，客户端打开各种连接。因此，如果目标是组织下载速度大于指定值，连接的数量也应该限制。例如，每个IP地址一个连接（如果共享区域使用上面指定的）：

location /download/ {

    limit_conn addr 1;

    limit_rate 50k;

}

为了只在客户端下载某一数据之后利用限制，使用limit_rate_after指令。合理允许客户端快速下载某些数据（例如，文件头——电影索引），限制下载剩下数据的速率（让用户看电影，不下载）。

limit_rate_after 500k;

limit_rate 20k;

下面例子显示连接数和带宽限制联合配置。每个客户端地址允许最大连接数为5，适合现代浏览器打开同时打开三个连接的情况。与此同时，服务下载的location只允许一个连接：

http {

    limit_conn_zone $binary_remote_address zone=addr:10m

 

    server {

        root /www/data;

        limit_conn addr 5;

 

        location / {

        }

 

        location /download/ {

            limit_conn addr 1;

            limit_rate 1m;

            limit_rate 50k;

        }

    }

}