安全开发运维必备的Nginx代理Web服务器性能优化与安全加固配置

为了更好的指导部署与测试艺术升系统nginx网站服务器高性能同时下安全稳定运行,需要对nginx服务进行调优与加固;

本次进行Nginx服务调优加固主要从以下几个部分：

本文档仅供内部使用，禁止外传，帮助研发人员，运维人员对系统长期稳定的运行提供技术文档参考。

Nginx是一个高性能的HTTP和反向代理服务器，也是一个IMAP/POP3/SMTP服务器。Nginx作为负载均衡服务器, Nginx 既可以在内部直接支持 Rails 和 PHP 程序对外进行服务，也可以支持作为 HTTP代理服务器对外进行服务。

Nginx版本选择:

项目结构:

Nginx文档帮助: http://nginxorg/en/docs/

Nginx首页地址目录: /usr/share/nginx/html

Nginx配置文件:

localtion 请求匹配的url实是一个正则表达式:

Nginx 匹配判断表达式:

例如,匹配末尾为如下后缀的静态并判断是否存在该文件, 如不存在则404。

查看可用模块编译参数：http://nginxorg/en/docs/configurehtml

http_gzip模块

开启gzip压缩输出(常常是大于1kb的静态文件)，减少网络传输;

http_fastcgi_module模块

nginx可以用来请求路由到FastCGI服务器运行应用程序由各种框架和PHP编程语言等。可以开启FastCGI的缓存功能以及将静态资源进行剥离，从而提高性能。

keepalive模块

长连接对性能有很大的影响，通过减少CPU和网络开销需要开启或关闭连接;

http_ssl_module模块

Nginx开启支持Https协议的SSL模块

Linux内核参数部分默认值不适合高并发,Linux内核调优，主要涉及到网络和文件系统、内存等的优化，

下面是我常用的内核调优配置：

文件描述符

文件描述符是操作系统资源，用于表示连接、打开的文件，以及其他信息。NGINX 每个连接可以使用两个文件描述符。

例如如果NGINX充当代理时，通常一个文件描述符表示客户端连接，另一个连接到代理服务器，如果开启了HTTP 保持连接，这个比例会更低（译注：为什么更低呢）。

对于有大量连接服务的系统，下面的设置可能需要调整一下：

精简模块:Nginx由于不断添加新的功能，附带的模块也越来越多,建议一般常用的服务器软件使用源码编译安装管理;

(1) 减小Nginx编译后的文件大小

(2) 指定GCC编译参数

修改GCC编译参数提高编译优化级别稳妥起见采用 -O2 这也是大多数软件编译推荐的优化级别。

GCC编译参数优化 [可选项] 总共提供了5级编译优化级别：

常用编译参数:

缓存和压缩与限制可以提高性能

NGINX的一些额外功能可用于提高Web应用的性能，调优的时候web应用不需要关掉但值得一提，因为它们的影响可能很重要。

简单示例:

1) 永久重定向

例如，配置 http 向 https 跳转 (永久)

nginx配置文件指令优化一览表

描述:Nginx因为安全配置不合适导致的安全问题,Nginx的默认配置中存在一些安全问题,例如版本号信息泄露、未配置使用SSL协议等。

对Nginx进行安全配置可以有效的防范一些常见安全问题，按照基线标准做好安全配置能够减少安全事件的发生,保证采用Nginx服务器系统应用安全运行;

Nginx安全配置项：

温馨提示: 在修改相应的源代码文件后需重新编译。

设置成功后验证:

应配置非root低权限用户来运行nginx服务,设置如下建立Nginx用户组和用户，采用user指令指运行用户

加固方法:

我们应该为提供的站点配置Secure Sockets Layer Protocol (SSL协议)，配置其是为了数据传输的安全，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

不应使用不安全SSLv2、SSLv3协议即以下和存在脆弱性的加密套件(ciphers), 我们应该使用较新的TLS协议也应该优于旧的,并使用安全的加密套件。

HTTP Referrer Spam是垃圾信息发送者用来提高他们正在尝试推广的网站的互联网搜索引擎排名一种技术，如果他们的垃圾信息链接显示在访问日志中，并且这些日志被搜索引擎扫描，则会对网站排名产生不利影响

加固方法:

当恶意攻击者采用扫描器进行扫描时候利用use-agent判断是否是常用的工具扫描以及特定的版本,是则返回错误或者重定向;

Nginx支持webdav，虽然默认情况下不会编译。如果使用webdav，则应该在Nginx策略中禁用此规则。

加固方法: dav_methods 应设置为off

当访问一个特制的URL时，如"/nginxstatus"，stub_status模块提供一个简短的Nginx服务器状态摘要,大多数情况下不应启用此模块。

加固方法：nginxconf文件中stub_status不应设置为：on

如果在浏览器中出现Nginx自动生成的错误消息，默认情况下会包含Nginx的版本号,这些信息可以被攻击者用来帮助他们发现服务器的潜在漏洞

加固方法: 关闭"Server"响应头中输出的Nginx版本号将server_tokens应设置为：off

client_body_timeout设置请求体（request body）的读超时时间。仅当在一次readstep中，没有得到请求体，就会设为超时。超时后Nginx返回HTTP状态码408(Request timed out)。

加固方法：nginxconf文件中client_body_timeout应设置为：10

client_header_timeout设置等待client发送一个请求头的超时时间（例如：GET / HTTP/11）。仅当在一次read中没有收到请求头，才会设为超时。超时后Nginx返回HTTP状态码408(Request timed out)。

加固方法：nginxconf文件中client_header_timeout应设置为：10

keepalive_timeout设置与client的keep-alive连接超时时间。服务器将会在这个时间后关闭连接。

加固方法：nginxconf文件中keepalive_timeout应设置为：55

send_timeout设置客户端的响应超时时间。这个设置不会用于整个转发器，而是在两次客户端读取操作之间。如果在这段时间内，客户端没有读取任何数据，Nginx就会关闭连接。

加固方法：nginxconf文件中send_timeout应设置为：10

GET和POST是Internet上最常用的方法。Web服务器方法在RFC 2616中定义禁用不需要实现的可用方法。

加固方法:

limit_zone 配置项限制来自客户端的同时连接数。通过此模块可以从一个地址限制分配会话的同时连接数量或特殊情况。

加固方法：nginxconf文件中limit_zone应设置为：slimits $binary_remote_addr 5m

该配置项控制一个会话同时连接的最大数量，即限制来自单个IP地址的连接数量。

加固方法：nginxconf 文件中 limit_conn 应设置为: slimits 5

加固方法：

加固方法:

解决办法:

描述后端获取Proxy后的真实Client的IP获取需要安装--with-http_realip_module，然后后端程序采用JAVA(requestgetAttribute("X-Real-IP"))进行获取;

描述: 如果要使用geoip地区选择,我们需要再nginx编译时加入 --with-http_geoip_module 编译参数。

描述: 为了防止外部站点引用我们的静态资源，我们需要设置那些域名可以访问我们的静态资源。

描述: 下面收集了Web服务中常规的安全响应头, 它可以保证不受到某些攻击,建议在指定的 server{} 代码块进行配置。

描述: 为了防止某些未备案的域名或者恶意镜像站域名绑定到我们服务器上, 导致服务器被警告关停，将会对业务或者SEO排名以及企业形象造成影响，我们可以通过如下方式进行防范。

执行结果:

描述: 有时你的网站可能只需要被某一IP或者IP段的地址请求访问，那么非白名单中的地址访问将被阻止访问, 我们可以如下配置;

常用nginx配置文件解释：

(1) 阿里巴巴提供的Concat或者Google的PageSpeed模块实现这个合并文件的功能。

(2) PHP-FPM的优化

如果您高负载网站使用PHP-FPM管理FastCGI对于PHP-FPM的优化非常重要

(3) 配置Resin on Linux或者Windows为我们可以打开 resin-319/bin/httpdsh 在不影响其他代码的地方加入:-Dhttpsprotocols=TLSv12, 例如

原文地址: https://blogweiyigeektop/2019/9-2-122html

Nginx是一个高性能的Web和反向代理服务器，它具有有很多非常优越的特性:

作为负载均衡服务器 :Nginx既可以在内部直接支持Rails和PHP，也可以支持作为HTTP代

理服务器对外进行服务。Nginx用C编写,不论是系统资源开销还是CPU使用效率都比

Perlbal要好的多。

作为邮件代理服务器 :Nginx同时也是-一个非常优秀的邮件代理服务器(最早开发这个产品的目的之-也是作为邮件代理服务器)，Lastfm 描述了成功并且美妙的使用经验。

Nginx安装非常的简单，配置文件非常简洁(还能够支持per语法)，Bugs非 常少的服务器:

Nginx启动特别容易，并且几乎可以做到724不间断运行，即使运行数个月也不需要重新启

动。你还能够在不间断服务的情况下进行软件版本的升级。

处理静态文件，索引文件以及自动索引;

反向代理加速(无缓存)， 简单的负载均衡和容错;

FastCGI,简单的负载均衡和容错;

模块化的结构。过滤器包括gzipping, byte ranges, chunked responses,以及SSiI-ilter 。

在SSI过滤器中，到同一个proxy或者FastCGI的多个子请求并发处理;

SSL和TLSSNI支持;

使用外部HTTP认证服务器重定向用户到IMAP/POP3后端;

使用外部HTTP认证服务器认证用户后连接重定向到内部的SMTP后端;

认证方法:

POP3: POP3 USER/PASS, APOP, AUTH LOGIN PL AIN CRAM-MD5;

IMAP: IMAP LOGIN;

SMTP: AUTH LOGIN PLAIN CRAM-MD5;

SSL支持;

在IMAP和POP3模式下的STARTTLS和STLS支持;

FreeBSD 3x, 4x, 5x, 6x i386; FreeBSD 5x, 6x amd64;

Linux22, 24, 26 i386; Linux 26 amd64;

Solaris 8 i386; Solaris 9 i386 and sun4u; Solaris 10 i386;

MacOS X (104) PPC;

一个主进程和多个工作进程。工作进程是单线程的，且不需要特殊授权即可运行;

kqueue (FreeBSD 41+), epoll (Linux 26+), t signals (Linux 2219+), /dev/poll (Solaris711/99+), select,以及poll支持;

kqueue支持的不同功能包括EV_ _CLEAR, EV_ DISABLE (临时禁止事件)，NOTE_ _LOWAT, EV_ EOF, 有效数据的数目，错误代码;

sendfile (FreeBSD 31+), sendfile (Linux 22+), sendfile64 (Linux 2421+),和sendfilev(Solaris 8 7/01+)支持;

输入过滤(FreeBSD 41+)以及TCP_ _DEFER_ ACCEPT (Linux24+)支持;

10,000 非活动的HTTP keep-alive连接仅需要25M内存。

最小化的数据拷贝操作;

基于IP和名称的虚拟主机服务;

Memcached的GET接口;

支持keep-alive和管道连接;

灵活简单的配置;

重新配置和在线升级而无须中断客户的工作进程;

可定制的访问日志，日志写入缓存，以及快捷的日志回卷;

4xx-5xx错误代码重定向;

基于PCRE的rewrite重写模块;

基于客户端IP地址和HTTP基本认证的访问控制;

PUT, DELETE,和MKCOL方法;

支持FLV (Flash视频) ;

带宽限制;

内嵌的perl

通过aio read() 1 aio _write() 的套接字工作的实验模块，仅在FreeBSD下。

对线程的实验化支持，FreeBSD 4x的实现基于rfork()

Nginx主要的英语站点是htp://sysoevru/en/

本人有自己整理大数据学习的功课，闲置着也无用了。

获取方式：

私信方式：

第一步，点击头像。

第二部：头像旁边有一个私信按钮，发送{学习资料}即可！

宝塔面板是一款服务器管理软件，可以方便地进行服务器的配置和管理。在配置Nginx反向代理时，有时会遇到端口被限制的情况。这是因为在Linux系统中，普通用户（非root用户）默认只能使用1024以下的端口。

这种限制是为了增强系统的安全性。较低的端口号（0-1023）通常用于系统服务和一些常用的网络服务，如HTTP服务的默认端口80、HTTPS服务的默认端口443等。为了防止非授权的用户滥用这些端口，系统默认限制了普通用户对这些端口的访问和使用。

当我们在宝塔面板中配置Nginx反向代理时，如果指定的端口号在1024以下，系统会发出权限不足的提示，因为普通用户没有权限使用这些端口。为了解决这个问题，可以选择使用1024以上的端口号进行配置。

值得拓展的是，如果确实需要使用1024以下的端口号，可以通过以下方法来实现：

1 使用root用户运行Nginx反向代理服务，但这并不推荐，因为以root用户身份运行会增加系统的安全风险。

2 使用端口转发的方式，将外部请求转发至高于1024的端口上。这样可以绕过权限限制，但需要额外的配置和管理。

总之，端口被限制是为了保护系统的安全性，我们应该根据实际需求选择适当的端口进行配置，并注意安全措施。

　　一、反向代理：Web服务器的“经纪人”

　　11 反向代理初印象

　　反向代理（Reverse Proxy）方式是指以代理服务器来接受internet上的连接请求，然后将请求转发给内部网络上的服务器，并将从服务器上得到的结果返回给internet上请求连接的客户端，此时代理服务器对外就表现为一个服务器。

　　Nginx搭建反向代理服务器过程详解

　　从上图可以看出：反向代理服务器位于网站机房，代理网站Web服务器接收Http请求，对请求进行转发。

　　12 反向代理的作用

　　①保护网站安全：任何来自Internet的请求都必须先经过代理服务器；

　　Nginx搭建反向代理服务器过程详解

　　②通过配置缓存功能加速Web请求：可以缓存真实Web服务器上的某些静态资源，减轻真实Web服务器的负载压力；

　　Nginx搭建反向代理服务器过程详解

　　③实现负载均衡：充当负载均衡服务器均衡地分发请求，平衡集群中各个服务器的负载压力；

　　Nginx搭建反向代理服务器过程详解

　　二、初识Nginx：简单却不平凡

　　21 Nginx是神马？

　　Nginx搭建反向代理服务器过程详解

　　Nginx是一款轻量级的网页服务器、反向代理器以及电子邮件代理服务器。其将源代码以类BSD许可证的形式发布，因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。

　　Source：Nginx（发音同engine x），它是由俄罗斯程序员Igor Sysoev所开发的。起初是供俄国大型的门户网站及搜索引擎Rambler（俄语：Рамблер）使用。此软件BSD-like协议下发行，可以在UNIX、GNU/Linux、BSD、Mac OS X、Solaris，以及Microsoft Windows等操作系统中运行。

　　说到Web服务器，Apache服务器和IIS服务器是两大巨头；但是运行速度更快、更灵活的对手：Nginx 正在迎头赶上。

　　22 Nginx的应用现状

　　Nginx 已经在俄罗斯最大的门户网站── Rambler Media（wwwramblerru）上运行了3年时间，同时俄罗斯超过20%的虚拟主机平台采用Nginx作为反向代理服务器。

　　Nginx搭建反向代理服务器过程详解Nginx搭建反向代理服务器过程详解Nginx搭建反向代理服务器过程详解Nginx搭建反向代理服务器过程详解Nginx搭建反向代理服务器过程详解

　　在国内，已经有 淘宝、新浪博客、新浪播客、网易新闻、六间房、56com、Discuz!、水木社区、豆瓣、YUPOO、海内、迅雷在线 等多家网站使用 Nginx 作为Web服务器或反向代理服务器。

　　23 Nginx的核心特点

　　（1）跨平台：Nginx 可以在大多数 Unix like OS编译运行，而且也有Windows的移植版本；

　　（2）配置异常简单：非常容易上手。配置风格跟程序开发一样，神一般的配置；

　　（3）非阻塞、高并发连接：数据复制时，磁盘I/O的第一阶段是非阻塞的。官方测试能够支撑5万并发连接，在实际生产环境中跑到2～3万并发连接数。（这得益于Nginx使用了最新的epoll模型）；

　　PS：对于一个Web服务器来说，首先看一个请求的基本过程：建立连接—接收数据—发送数据，在系统底层看来 ：上述过程（建立连接—接收数据—发送数据）在系统底层就是读写事件。

　　①如果采用阻塞调用的方式，当读写事件没有准备好时，必然不能够进行读写事件，那么久只好等待，等事件准备好了，才能进行读写事件，那么请求就会被耽搁 。

　　②既然没有准备好阻塞调用不行，那么采用非阻塞调用方式。非阻塞就是：事件马上返回，告诉你事件还没准备好呢，你慌什么，过会再来吧。好吧，你过一会，再来检查一下事件，直到事件准备好了为止，在这期间，你就可以先去做其它事情，然后再来看看事件好了没。虽然不阻塞了，但你得不时地过来检查一下事件的状态，你可以做更多的事情了，但带来的开销也是不小的。

　　（4）事件驱动：通信机制采用epoll模型，支持更大的并发连接。

　　①非阻塞通过不断检查事件的状态来判断是否进行读写操作，这样带来的开销很大，因此就有了异步非阻塞的事件处理机制。这种机制让你可以同时监控多个事件，调用他们是阻塞的，但可以设置超时时间，在超时时间之内，如果有事件准备好了，就返回。这种机制解决了上面阻塞调用与非阻塞调用的两个问题。

　　②以epoll模型为例：当事件没有准备好时，就放入epoll(队列)里面。如果有事件准备好了，那么就去处 理；如果事件返回的是EAGAIN，那么继续将其放入epoll里面。从而，只要有事件准备好了，我们就去处理它，只有当所有事件都没有准备好时，才在 epoll里面等着。这样，我们就可以并发处理大量的并发了，当然，这里的并发请求，是指未处理完的请求，线程只有一个，所以同时能处理的请求当然只有一 个了，只是在请求间进行不断地切换而已，切换也是因为异步事件未准备好，而主动让出的。这里的切换是没有任何代价，你可以理解为循环处理多个准备好的事 件，事实上就是这样的。

　　③与多线程方式相比，这种事件处理方式是有很大的优势的，不需要创建线程，每个请求占用的内存也很少，没有上下文切换， 事件处理非常的轻量级，并发数再多也不会导致无谓的资源浪费（上下文切换）。对于IIS服务器，每个请求会独占一个工作线程，当并发数上到几千时，就同时 有几千的线程在处理请求了。这对操作系统来说，是个不小的挑战：因为线程带来的内存占用非常大，线程的上下文切换带来的cpu开销很大，自然性能就上不 去，从而导致在高并发场景下性能下降严重。

　　总结：通过异步非阻塞的事件处理机制，Nginx实现由进程循环处理多个准备好的事件，从而实现高并发和轻量级。

　　（5）Master/Worker结构：一个master进程，生成一个或多个worker进程。

　　Nginx搭建反向代理服务器过程详解

　　PS：Master-Worker设计模式核心思想是将原来串行的逻辑并行化， 并将逻辑拆分成很多独立模块并行执行。其中主要包含两个主要组件Master和Worker，Master主要将逻辑进行拆分，拆分为互相独立的部分，同 时维护了Worker队列，将每个独立部分下发到多个Worker并行执行，Worker主要进行实际逻辑计算，并将结果返回给Master。

　　问：nginx采用这种进程模型有什么好处？

　　答：采用独立的进程，可以让互相之间不会影响，一个进程退出后，其它进程还在工作，服务不会中断，Master 进程则很快重新启动新的Worker进程。当然，Worker进程的异常退出，肯定是程序有bug了，异常退出，会导致当前Worker上的所有请求失 败，不过不会影响到所有请求，所以降低了风险。

　　（6）内存消耗小：处理大并发的请求内存消耗非常小。在3万并发连接下，开启的10个Nginx 进程才消耗150M内存（15M10=150M）。

　　（7）内置的健康检查功能：如果 Nginx 代理的后端的某台 Web 服务器宕机了，不会影响前端访问。

　　（8）节省带宽：支持 GZIP 压缩，可以添加浏览器本地缓存的 Header 头。

　　（9）稳定性高：用于反向代理，宕机的概率微乎其微。

　　三、构建实战：Nginx+IIS构筑Web服务器集群的负载均衡

　　这里我们主要在Windows环境下，通过将同一个Web网站部署到不同服务器的IIS上，再通过一个统一的Nginx反响代理服务器对外提供统一访问接入，实现一个最简化的反向代理和负载均衡服务。但是，受限于实验条件， 我们这里主要在一台计算机上进行反向代理、IIS集群的模拟，具体的实验环境如下图所示：我们将nginx服务和web网站都部署在一台计算机 上，nginx监听http80端口，而web网站分别以不同的端口号（这里是8050及8060）部署在同一个IIS服务器上，用户访问 localhost时，nginx作为反向代理将请求均衡地转发给两个IIS中不同端口的Web应用程序进行处理。虽然实验环境很简单而且有限，但是对于 一个简单的负载均衡效果而言，本文是可以达到并且展示的。

　　Nginx搭建反向代理服务器过程详解

　　31 准备一个ASPNET网站部署到IIS服务器集群中

　　（1）在VS中新建一个ASPNET Web应用程序，但是为了在一台计算机上展示效果，我们将这个Web程序复制一份，并修改两个Web程序的Defaultaspx，让其的首页显示不同 的一点信息。这里Web1展示的是“The First Web：”，而Web2展示的则是“The Second Web”。

　　Nginx搭建反向代理服务器过程详解

　　（2）调试运行，看看两个网站的效果如何？

　　①Web1的展示效果：

　　Nginx搭建反向代理服务器过程详解

　　②Web2的展示效果：

　　Nginx搭建反向代理服务器过程详解

　　③部署到IIS中，分配不同的端口号：这里我选择了Web1:8050，Web2:8060

　　Nginx搭建反向代理服务器过程详解

　　（3）总结：在真实环境中，构建Web应用服务器集群的实现是将同一个Web应用程序部署到Web服务器集群中的多个Web服务器上。

　　32 下载Nginx并部署到服务器中作为自启动的Windows服务

　　（1）到Nginx官网下载Nginx的Windows版本：http://nginxorg/en/downloadhtml（这里我们使用nginx/Windows-147版本进行实验，本文底部有下载地址）

　　（2）解压到磁盘任意目录，例如这里我解压到了：D:\Servers\nginx-147

　　（3）启动、停止和重新加载服务：通过cmd以守护进程方式启动nginxexe：start nginxexe，停止服务：nginx -s stop，重新加载配置：nginx -s reload；

　　Nginx搭建反向代理服务器过程详解

　　（4）每次以cmd方式启动Nginx服务不符合实际要求，于是我们想到将其注册为Windows服务，并设置为自动启动模式。这里，我们使用一个 不错的小程序：“Windows Service Wrapper”，将nginxexe注册为Windows服务，具体的步凑如下：

　　①下载最新版的 Windows Service Wrapper 程序，比如我下载的名称是 “winsw-18-binexe”（本文底部有下载地址），然后把它命名成你想要的名字（比如: “nginx-serviceexe”，当然，你也可以不改名）

　　②将重命名后的 nginx-serviceexe 复制到 nginx 的安装目录（比如，我这里是 “D:\Servers\nginx-147″）

　　③在同一个目录下创建一个Windows Service Wrapper 的XML配置文件，名称必须与第一步重命名时使用的名称一致（比如我这里是 “nginx-servicexml”, 如果，你没有重命名，则应该是 “winsw-18-binxml”），这个XML的内容如下：

　　<xml version="10" encoding="UTF-8" >

　　<service>

　　<id>nginx</id>

　　<name>Nginx Service</name>

　　<description>High Performance Nginx Service</description>

　　<executable>D:\Servers\nginx-147\nginxexe</executable>

　　<logpath>D:\Servers\nginx-147\</logpath>

　　<logmode>roll</logmode>

　　<depend></depend>

　　<startargument>-p D:\Servers\nginx-147</startargument>

　　<stopargument>-p D:\Servers\nginx-147 -s stop</stopargument>

　　</service>

　　④在命令行下执行以下命令，以便将其注册成Windows服务：nginx-serviceexe install

　　Nginx搭建反向代理服务器过程详解

　　⑤接下来就可以在Windows服务列表看到Nginx服务了，这里我们可以将其设置为自动启动了：

　　Nginx搭建反向代理服务器过程详解

　　（5）总结：在Windows环境中，要对外提供的Windows服务一般都要将其启动类型设置为自动。

　　33 修改Nginx核心配置文件nginxconf

　　（1）进程数与每个进程的最大连接数：

　　nginx进程数，建议设置为等于CPU总核心数

　　单个进程最大连接数，那么该服务器的最大连接数=连接数进程数

　　Nginx搭建反向代理服务器过程详解

　　（2）Nginx的基本配置：

　　监听端口一般都为http端口：80;

　　域名可以有多个，用空格隔开：例如 server_name wwwha97com ha97com;

　　Nginx搭建反向代理服务器过程详解

　　（3）负载均衡列表基本配置：

　　location / {}：对aspx后缀的进行负载均衡请求，假如我们要对所有的aspx后缀的文件进行负载均衡时，可以这样写：location ~ \aspx$ {}

　　proxy_pass：请求转向自定义的服务器列表，这里我们将请求都转向标识为http://cuitccolcom的负载均衡服务器列表；

　　Nginx搭建反向代理服务器过程详解

　　在负载均衡服务器列表的配置中，weight是权重，可以根据机器配置定义权重（如果某台服务器的硬件配置十分好，可以处理更多的请求，那么可以 为其设置一个比较高的weight；而有一台的服务器的硬件配置比较差，那么可以将前一台的weight配置为weight=2，后一台差的配置为 weight=1）。weigth参数表示权值，权值越高被分配到的几率越大；

　　Nginx搭建反向代理服务器过程详解

　　（4）总结：最基本的Nginx配置差不多就是上面这些内容，当然仅仅是最基础的配置。（详细的配置内容请下载底部的nginx-147详细查看）

　　34 添加Nginx对于静态文件的缓存配置

　　为了提高响应速度，减轻真实服务器的负载，对于静态资源我们可以在反向代理服务器中进行缓存，这也是反向代理服务器的一个重要的作用。

　　（1）缓存静态资源之文件

　　root /nginx-147/staticresources/image：对于配置中提到的jpg/png等文件均定为到/nginx-147/staticresources/image文件夹中进行寻找匹配并将文件返回；

　　expires 7d：过期时效为7天，静态文件不怎么更新，过期时效可以设大一点，如果频繁更新，则可以设置得小一点；

　　TIPS：下面的样式、脚本缓存配置同这里一样，只是定位的文件夹不一样而已，不再赘述。

　　Nginx搭建反向代理服务器过程详解

　　（2）缓存静态资源之样式文件

　　Nginx搭建反向代理服务器过程详解

　　（3）缓存静态资源之脚本文件

　　Nginx搭建反向代理服务器过程详解

　　（4）在nginx服务文件夹中创建静态资源文件夹，并要缓存的静态文件拷贝进去：这里我主要将Web程序中用到的image、css以及js文件拷贝了进去；

　　Nginx搭建反向代理服务器过程详解

　　（5）总结：通过配置静态文件的缓存设置，对于这些静态文件的请求可以直接从反向代理服务器中直接返回，而无需再将这些静态资源请求转发到具体的Web服务器进行处理了，可以提高响应速度，减轻真实Web服务器的负载压力。

　　35 简单测试Nginx反向代理实现负载均衡效果

　　（1）第一次访问http://localhost/Defaultaspx时从127001:8050处理响应返回结果

　　（2）第二次访问http://localhost/Defaultaspx时从127001:8060处理响应返回结果

　　（3）多次访问http://localhost/Defaultaspx时的截屏：

　　Nginx搭建反向代理服务器过程详解

　　学习小结

　　在本文中，借助了Nginx这个神器简单地在Windows环境下搭建了一个反向代理服务，并模拟了一个IIS服务器集群的负载均衡效果。从这个 DEMO中，我们可以简单地感受到反向代理为我们所做的事情，并体会负载均衡是怎么一回事。但是，在目前大多数的应用中，都会将Nginx部署在 Linux服务器中，并且会做一些针对负载均衡的优化配置，这里我们所做的仅仅就是一个小小的使用而已（just修改一下配置文件）。不过，万丈高楼平地 起，前期的小小体会，也会帮助我们向后期的深入学习奠定一点点的基础。

　　突然在QQ空间里看到了朋友送的礼物，猛然发现今天居然是我的阳历生日，好吧，我祝我自己生日快乐，希望自己在未来的日子中能够做更多的实践，分享更多的内容。当然，如果你觉得本文还可以，那也麻烦点个赞，不要吝啬你的鼠标左键哟。

1、使用帆软代理服务器结合Nginx进行配置时，在Nginx配置文件中添加一个server块，并配置代理服务器相关信息，包括监听的端口、服务器名称以及转发请求的参数。

2、保存并退出配置文件，在命令行中使用sudosystemctlreloadnginx重新加载Nginx配置文件，使配置生效。