Публикация приложения
Backend работает на локальном порту и должен быть безопасно доступен по доменному имени.
Безопасная публикация приложений, reverse proxy, HTTPS, балансировка нагрузки и защита веб-сервисов.
Обсудить конфигурацию_Nginx принимает внешний трафик, завершает TLS-соединение и безопасно направляет запросы к приложению.
Backend работает на локальном порту и должен быть безопасно доступен по доменному имени.
На одном сервере работают разные сайты, API, панели управления и внутренние приложения.
Нужно включить шифрование, автоматическое обновление сертификатов и безопасные параметры TLS.
Требуются ограничения запросов, кеширование, сжатие и фильтрация подозрительного трафика.
Конфигурация Nginx проектируется под архитектуру приложения, ожидаемую нагрузку и требования к безопасности.
Прием внешнего трафика и безопасная передача запросов к приложениям, контейнерам и внутренним сервисам.
Выпуск сертификатов, перенаправление HTTP на HTTPS и настройка безопасных протоколов шифрования.
Распределение запросов между несколькими экземплярами приложения и снижение нагрузки на отдельные узлы.
Оптимизация выдачи контента, соединений и обработки большого количества одновременных запросов.
Ограничение вредоносных и избыточных запросов, базовая защита приложений и API.
Настройка журналирования запросов, ошибок, метрик и обнаружения подозрительной активности.
Сервер настраивается с минимальным раскрытием информации, ограничением запросов и безопасными параметрами соединений.
HSTS, CSP, X-Content-Type-Options и Referrer-Policy.
Ограничение частоты запросов к сайту, API и авторизации.
Контроль количества одновременных соединений с одного адреса.
Отключение устаревших протоколов и небезопасных шифров.
Скрытие версии Nginx и лишней технической информации.
Ограничение методов, размера тела и некорректных запросов.
ModSecurity и OWASP Core Rule Set для фильтрации атак.
Ограничение доступа к административным и внутренним URL.
Конфигурация включает TLS, безопасные заголовки, rate limiting и корректную передачу proxy-заголовков.
limit_req_zone $binary_remote_addr
zone=api_limit:10m
rate=10r/s;
upstream app_backend {
least_conn;
server 127.0.0.1:8000;
keepalive 32;
}
server {
listen 80;
server_name example.ru www.example.ru;
return 301 https://example.ru$request_uri;
}
server {
listen 443 ssl;
listen 443 quic reuseport;
http2 on;
server_name example.ru;
ssl_certificate
/etc/letsencrypt/live/example.ru/fullchain.pem;
ssl_certificate_key
/etc/letsencrypt/live/example.ru/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
server_tokens off;
client_max_body_size 10m;
add_header Strict-Transport-Security
"max-age=31536000; includeSubDomains"
always;
add_header X-Content-Type-Options
"nosniff"
always;
add_header Referrer-Policy
"strict-origin-when-cross-origin"
always;
location / {
limit_req zone=api_limit burst=20 nodelay;
proxy_pass http://app_backend;
proxy_http_version 1.1;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For
$proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
Браузер, приложение или API-клиент.
TLS, фильтрация, маршрутизация и балансировка.
Docker, Kubernetes, Python, Go или Node.js.
Проверка доменов, серверов, портов, приложений, текущих сертификатов и схемы прохождения трафика.
Определение server blocks, upstream-групп, правил маршрутизации, TLS и ограничений доступа.
Установка Nginx, подключение сертификатов, reverse proxy, логов и служебных компонентов.
Настройка TLS, security headers, rate limiting, фильтрации методов и защиты административных URL.
Проверка конфигурации, HTTPS, заголовков, журналов, доступности и документации.
Опишите домены, приложения и текущую схему размещения. Я предложу безопасную конфигурацию Nginx.