如何改善调优Web服务器性能

Web服务器在web页面处理中大致可分为三个步骤：第一步，web浏览器向一个特定的服务器发出Web页面请求;第二步，Web服务器接收到web页面请求后，寻找所请求的web页面，并将所请求的Web页面传送给Web浏览器;第三步，Web服务器接收到所请求的web页面，并将它显示出来。

影响web应用服务器性能的因素

　　Web服务器的性能就是指一个Web服务器响应用户请求的能力，服务器的性能对于一个Web系统来说至关重要。为了提高Web服务器的性能人们进行了许多尝试，也采用了许多技术和方法，但是这些技术和方法往往缺乏适用性。

　　通过对前人的研究分析可以发现，在web服务器的优化方而存在这种问题的原因主要有两个：一方面是服务器性能评测造成的，一方面是选用优化方案时考虑不全面造成的。

因此在具体的应用环境下优化Web服务器的性能需要另外考虑以下两个主要因素：网络特性和Web负载特点。

　　网络特性是指web服务器所在网络情况，是广域网还是局域网，是高速网络(传输速率在1OOMb/s以上的网络就叫做高速网络)还是低速网络，在不同的网络中相关的传输数据的类型、网络相应时间、吞吐量，利用率等网络特性不尽相同，所以要加以区分，具体情况具体分析。

　　而在Web负载特点方面，由于在对Web服务器进行评测时，一个非常关键的因素就是Web负载的选择。评测工具虽然有多种，但是它们都在选择负载上做足了功课。关于Web负载特点的研究主要目的就在于对Web服务器性能进行评测时，可以根据这些特点，选择模拟最真实的Web负载的评测工具以便获得最贴近事实的Web服务器性能评测数据，以便更好的对其进行分析和得出优化方案。

因此，如果限制高优先级处理阶段对CPU的占用率，或者限制处理高优先级的CPU个数，都可以减轻或者消除收包活锁现象。具体的可以采用以下的方法：

　　一、采用轮询机制。为了减少中断对系统性能的影响，在负载正常的情况下采用“下半处理” 的方法就非常有效，而在高负荷情况下，采用这个方法仍然会造成活锁现象，这时可以采用轮询机制。虽然这个方法在负载正常的情况下会造成资源的浪费和响应速度降低，但在网络数据频繁到达服务器时就要比中断驱动技术有效的多。

　　二、减少上下文切换。这种方法不管服务器在什么情况下对性能改善都很有效，这时可以采用引入核心级(kerne1—leve1)或硬件级数据流的方法来达到这个目的。核心级数据流是将数据从源通过系统总线进行转发而不需要使数据经过应用程序进程，这个过程中因为数据在内存中，因此需要CPU操作数据。

　　硬件级数据流则是将数据从源通过私有数据总线或是虽等DMA通过系统总线进行转发而不需要使数据经过应用程序进程，这个过程不需要CPU操作数据。这样在数据传输过程中不需要用户线程的介入，减少了数据被拷贝的次数，减少了上下文切换的开销。

　　三、减低中断的频率(主要是针对高负荷情况的方法)。这里主要有两种方法：批中断和暂时关闭中断。批中断可以在超载时有效的抑制活锁现象，但对服务器的性能没有什么根本性的改进;当系统出现接收活锁迹象时，可以采用暂时关闭中断的方法来缓和系统的负担，当系统缓存再次可用时可以再打开中断，但这种方法在接收缓存不够大的情况下会造成数据包丢失。

　　Web服务器性能是整个Web系统的关键环节，提高Web服务器的性能也是长久以来人们一直关注的课题。这里通过对Web服务器的工作原理和现有的优化方法和技术的分析，得出了对待Web服务器性能的提高也应该具体问题具体分析，要在具体的应用环境中，根据其特点来采取相应的优化措施。

你好我来解答下你的问题

影响服务器运行速度的因素是多方面的比如说服务器的配置带宽所在机房网络环境所用的网站程序是否中病毒木马等如果你的服务器是用的WIN系统建议像平时优化自己电脑一样可以从以下几个方面来优化提升性能:

一借助于一些电脑管家安全卫士等软件直接优化系统

二ASP的网站直接用IIS即可发布不需要再配置PHPNET等其他网站环境安装的数据库太多也会降低服务器性能

三建议没用的软件以及程序删除掉平时养成好的操作习惯可以不用安装杀软

四定期更新系统补丁并进行病毒和木马的扫描

五平时留意CPU内存以及带宽的占用情况当配置不够用时及时升级

海腾数据杨闯为你解答希望以上回答对你有帮助

摘要：维护服务器的目的是为了让服务器的性能保持最佳状态，发现问题及时解决，没有问题也可以对相关的应用和配置进行调优。服务器日常维护内容包括硬件维护和软件维护，维护服务器时，首先要做好安全检测，进行数据备份，然后做好系统优化和独立服务器性能优化，接下来就和小编一起来看看吧。服务器日常维护内容有哪些

1、硬件维护

硬件维护就是指对服务器的硬件进行检测、更换、升级，最常见的是升级CPU、内存和增加磁盘。其中磁盘扩容是最常见的，因为服务运行的时间越长，产生的数据量就越大，就需要用更多的磁盘来储存。

2、软件维护

（1）操作系统升级

服务器和PC没有本质区别，也运行着基本的操作系统，因此需要升级各种补丁来保护系统安全，规避可能能系统错误。

（2）软件维护

软件即指服务器上运行的各种软件，由于服务器提供的服务往往都在增加，因此提供服务的软件也需要升级，修复BUG，甚至重新编写。

（3）数据维护

数据是服务器的核心，所以做好数据备份是一个经常性的工作。

（4）安全维护

系统往往会存在还没有发现的安全漏洞，通过检查数据库、系统的运行日志，甄别攻击行为，并进行防范。及时更新系统的补丁，防止黑客或病毒利用漏洞对服务器进行攻击。

（5）日志检查

对系统审核日志，进行检查，看是否有异常的访问，可以利用软件来进行审计或设置好系统自带的审核日志。

（6）服务器资源检查

资源包括硬盘、cpu、内存、带宽负载情况进行查看，要更具网站的访问量提前把资源配置好。

如何正确维护服务器

1、安全检测

服务器关系到线上所有的重要信息，十分重要，日常安全检测必不可少。具体的检测内容包括以下几个方面：检查服务器启动项是不是正常，重点查看系统目录和重要的应用程序权限是不是有更改；检查服务器状态，打开服务器进程管理器，查看具体的CPU使用情况及任务进程是否有异常；查看服务器端口使用情况，看看是否有未使用端口，及时关闭防止黑客利用；检查系统服务应用，查看已启动的服务是否有异常。另外，可以进行周期检查相关日志，安全策略及系统文件。

2、数据备份

独立服务器日常维护备份数据是必须要更新的。建立周期将系统数据每月备份一次，应用程序数据两周单独备份一次，并确保数据安全后最好能够转储一份，这样即使出现数据损失也能够及时恢复数据。这种备份基本上采用的是全备份，因此在备份数据上可以只保留上次备份数据和此次备份数据即可。

3、系统优化

独立服务器运行久了，会产生很多系统文件，可以卸载一些不用的程序组件，释放独立服务器的空间；删除一些自启动的程序，减少读取时间，从而提升服务器的响应速度，优化内存。

4、独立服务器性能优化

调整服务器缓存策略，对访问流量进行适当的策略限制，比如站点带宽限制，保持http的连接，起用http压缩等。独立服务器性能优化一般周期性或特殊时间段维护较为常见。

太多http重定向的解决方法如下：直接访问最终目标地址、减少使用重定向、使用HTTP缓存、优化服务器性能、服务器配置问题。

1、直接访问最终目标地址

如果您已经知道了最终目标地址，那么您可以直接跳转到该地址，而不需要通过重定向来实现。

2、减少使用重定向

尽量减少使用重定向，这样可以避免出现重定向次数过多的问题。

3、使用HTTP缓存

使用HTTP缓存可以有效地减少客户端与服务器之间的请求次数，从而降低重定向次数。

4、优化服务器性能

优化服务器性能可以减少服务器因处理大量请求而崩溃的风险，从而避免出现重定向次数过多的问题。

5、服务器配置问题

网页的服务器配置可能存在问题，无法正确处理重定向请求，导致重定向错误。

本文将从 Tomcat性能优化，SpringCloud开启重试机制，Zuul网关性能参数优化，Ribbon性能参数优化，Feign与Hystrix性能优化等 五个方面分享在生产环境如何做好SpringCloud性能优化。

一般基于SpringCloud的微服务能够脱离传统的tomcat，独立跑起来，SpringBoot功不可没，其原理是SpringBoot内嵌了tomcat（当然可以换成其他servlet容器，如jetty），能够以java -jar形式就能跑起来。

所以针对每个springboot服务，我们需要对tomcat的一些参数进行优化，以下是楼主项目组优化的tomcat参数配置，供大家参考。

tomcat参数说明：

maxThreads，acceptCount参数应用场景

场景一

场景二

场景三

maxThreads调优

一般说服务器性能要从两个方面说起：

1、cpu计算型指标

2、io密集型指标

所以大部分情况下，tomcat处理io型请求比较多，比如常见的连数据库查询数据进行接口调用。

另外，要考虑tomcat的并发请求量大的情况下，对于服务器系统参数优化，如虚拟机内存设置和linux的open file限制。

maxThreads设置多大合适？

我们知道线程过多，会导致cpu在线程切换时消耗的时间随着线程数量的增加越来越大；线程太少，服务器的请求响应吞吐量会急剧下降，所以maxThreads的配置绝对不是越大越好。

实际情况是设置maxThreads大小没有最优解，要根据具体的服务器配置，实际的应用场景不断的调整和优化。

acceptCount设置多大合适？

尽量与maxThreads的大小保持一致 ， 这个值应该是主要根据应用的访问峰值与平均值来权衡配置的。

当使用URL进行路由时，则需要对zuulhostconnect-timeout-millis和zuulhostsocket-timeout-millis参数控制超时时间。

请求连接的超时时间

请求处理的超时时间

对所有操作请求都进行重试

对当前实例的重试次数，针对同一个服务实例，最大重试次数（不包括首次调用）

对下个实例的重试次数，针同其它的服务实例，最大重试次数（不包括首次server）

注意Hystrix断路器的超时时间需要大于ribbon的超时时间，不然不会触发重试

Feign和Ribbon在整合了Hystrix后，首次调用失败的问题？

目前楼主的强烈做法是： 禁用Hystrix的超时时间，设为false

还有一种是官方提倡的是 设置超时时间。

在实际的项目中亲测，这种方式也有不好的地方， 如请求时间超过5s会出现请求数据时有时无的情况 ，给用户的感觉是 系统不稳定，要求整改 。

另外，禁用hystrix，官方不推荐 。

hystrix超时设置原则

问题：一个http请求，如果feign和ribbon都配置了重试机制，异常情况下一共会请求多少次？

请求总次数 n 为feignClient和ribbon配置参数的笛卡尔积：

n(请求总次数) = feign(默认5次) (MaxAutoRetries+1) (MaxAutoRetriesNextServer+1)

其中+1是代表ribbon本身默认的请求。

其实二者的重试机制相互独立，并无联系。但是因为用了feign肯定会用到ribbon，所以feign的重试机制相对来说比较鸡肋，一般会关闭该功能。ribbon的重试机制默认配置为0，也就是默认是去除重试机制的，建议不要修改。

一、前端优化

网站性能优化是一个很综合的话题，涉及到服务器的配置和网站前后端程序等各个方面，我只是从实际经历出发，分享一下自己所尝试过的网站性能优化方法。之所以在标题上挂一个web20，是因为本文更偏重于中小网站的性能优化，我所使用的系统也是典型web20的LAMP架构。

首先讲讲前端的优化，用户访问网页的等待时间，有80%是发生在浏览器前端，特别是页面和页面中各种元素（、CSS、Javascript、 flash…）的下载之上。因此在很多情况下，相对于把大量的时间花在艰苦而繁杂的程序改进上，前端的优化往往能起到事半功倍的作用。雅虎最近将内部使用的性能测试工具yslow向第三方公开，并发布了著名的网站性能优化的十三条规则，建议你下载并安装yslow，并作为测评网站优化效果的工具。下面我挑其中特别有价值的具体说明一下优化的方法：

对于第一次访问您网站，尚未在浏览器cache中缓存您网站内容的用户，我们可以做的事情包括：

1）减少一个页面访问所产生的http连接次数

对于第一次访问你网站的用户，页面所产生的http连接次数是影响性能的一个关键瓶颈。

对策：

- 尽量简洁的页面设计，最大程度减少的使用，通过放弃一些不必要的页面特效来减少javascript的使用。

- 使用一些优化技巧，比如利用的背景位移减少的个数；image map技术；使用Inline images将css捆绑到网页中。

- 尽量合并js和css文件，减少独立文件个数。

2) 使用gzip压缩网页内容

使用gzip来压缩网页中的静态内容，能够显著减少用户访问网页时的等待时间（据说可达到60%）。主流的web服务器都支持或提供gzip压缩，如果使用apache服务器，只需要在配置文件中开启 mod_gzip（apache1x）或mod_deflate(apache2x)即可。凡是静态的页面，使用gzip压缩都能够显著提高服务器效率并减少带宽支出，注意内容本身已经是压缩格式了，务必不要再进行压缩。

3）将CSS放在页面顶端，JS文件放在页面底端

CSS的引用要放在html的头部header中，JS文件引用尽量放在页面底端标签的后面，主要的思路是让核心的页面内容尽早显示出来。不过要注意，一些大量使用js的页面，可能有一些js文件放在底端会引起一些难以预料的问题，根据实际情况适当运用即可。

4）使JS文件内容最小化

具体来说就是使用一些javascript压缩工具对js脚本进行压缩，去除其中的空白字符、注释，最小化变量名等。在使用gzip压缩的基础上，对js内容的压缩能够将性能再提高5%。

5）尽量减少外部脚本的使用，减少DNS查询时间

不要在网页中引用太多的外部脚本，首先，一次dns的解析过程会消耗20-120毫秒的时间；其次，如果在页面中引用太多的外部文件（如各种广告、联盟等代码），可能会因为外部文件的响应速度而将你的网站拖得很慢。如果不得不用，那么就尽量将这些脚本放在页脚吧。不过有一点需要提及，就是浏览器一般只能并行处理同一域名下的两个请求，而对于不同子的域名则不受此限制，因此适当将本站静态内容（css,js）放在其他的子域名下（如 staticxxxcom）会有利于提高浏览器并行下载网页内容的能力。

对于您网站的经常性访问用户，主要的优化思路就是最大限度利用用户浏览器的cache来减少服务器的开销。

1）在header中添加过期时间(Expires Header)

在header中给静态内容添加一个较长的过期时间，这样可以使用户今后访问只读取缓存中的文件，而不会与服务器产生任何的交互。不过这样做也存在一些问题，当、CSS和js文件更新时，用户如果不刷新浏览器，就无法获得此更新。这样，我们在对、css和js文件修改时，必须要进行重命名，才能保证用户访问到最新的内容。这可能会给开发造成不小的麻烦，因为这些文件可能被站点中的许多文件所引用。flickr提出的解决办法是通过url rewrite使不同版本号的URL事实上指向同一个文件，这是一个聪明的办法，因为url级别的操作效率是很高的，可以给开发过程提供不少便利。

要理解为什么这样做，必须要了解浏览器访问url时的工作机制：

a 第一次访问url时，用户从服务器段获取页面内容，并把相关的文件（images,css,js…）放在高速缓存中，也会把文件头中的expired time,last modified, ETags等相关信息也一同保留下来。

b 用户重复访问url时，浏览器首先看高速缓存中是否有本站同名的文件，如果有，则检查文件的过期时间；如果尚未过期，则直接从缓存中读取文件，不再访问服务器。

c 如果缓存中文件的过期时间不存在或已超出，则浏览器会访问服务器获取文件的头信息，检查last modifed和ETags等信息，如果发现本地缓存中的文件在上次访问后没被修改，则使用本地缓存中的文件；如果修改过，则从服务器上获取最新版本。

我的经验，如果可能，尽量遵循此原则给静态文件添加过期时间，这样可以大幅度减少用户对服务器资源的重复访问。

2）将css和js文件放在独立外部文件中引用

将css和js文件放在独立文件中，这样它们会被单独缓存起来，在访问其他页面时可以从浏览器的高速缓存中直接读取。一些网站的首页可能是例外的，这些首页的自身浏览可能并不大，但却是用户访问网站的第一印象以及导向到其他页面的起点，也可能这些页面本身使用了大量的ajax局部刷新及技术，这时可以将 css和js文件直接写在页面中。

3）去掉重复的脚本

在IE中，包含重复的js脚本会导致浏览器的缓存不被使用，仔细检查一下你的程序，去掉重复引用的脚本应该不是一件很难的事情。

4）避免重定向的发生

除了在header中人为的重定向之外，网页重定向常在不经意间发生，被重定向的内容将不会使用浏览器的缓存。比如用户在访问，服务器会通过301转向到/，在后面加了一个“/”。如果服务器的配置不好，这也会给服务器带来额外的负担。通过配置apache的 alias或使用mod_rewrite模块等方法，可以避免不必要的重定向。

还有一些，比如使用CDN分发机制、避免CSS表达式等、避免使用ETags等，因为不太常用，这里就不再赘述了。

做完了上述的优化，可以试着用yslow测试一下网页的性能评分，一般都可以达到70分以上了。

当然，除了浏览器前端和静态内容的优化之外，还有针对程序脚本、服务器、数据库、负载的优化，这些更深层次的优化方法对技术有更高的要求。本文的后半部分将重点探讨后端的优化。

二、后端优化

上次写完web20网站前端优化篇之后，一直想写写后端优化的方法，今天终于有时间将思路整理了出来。

前端优化可以避免我们造成无谓的服务器和带宽资源浪费，但随着网站访问量的增加，仅靠前端优化已经不能解决所有问题了，后端软件处理并行请求的能力、程序运 行的效率、硬件性能以及系统的可扩展性，将成为影响网站性能和稳定的关键瓶颈所在。优化系统和程序的性能可以从以下的方面来入手：

1）apache、mysql等软件的配置的优化

尽管apache和mysql等软件在安装后使用的默认设置足以使你的网站运行起来，但是通过调整mysql和apache的一些系统参数，还是可以追求更高的效率和稳定性。这个领域中有很多专业的文章和论坛（比如： ），要想掌握也需要进行深入的研究和实践，这里就不重点讨论了。

2）应用程序环境加速

这里仅以我最常应用的php开发环境为例，有一些工具软件可以通过优化PHP运行环境来达到提速的目的，其基本原理大致是将PHP代码预编译并缓存起来，而不需要改变任何代码，所以比较简单，可以将php的运行效率提升50%以上。比较常用的php加速工具有：APC( http: //peclphpnet/package-infophppackage=APC)、Turck MMCache（ ）、php accelebrator()，还有收费的Zend Performance Suite

3）将静态内容和动态内容分开处理

apache是一个功能完善但比较庞大的web server，它的资源占用基本上和同时运行的进程数呈正比，对服务器内存的消耗比较大，处理并行任务的效率也一般。在一些情况下，我们可以用比较轻量级的web server来host静态的、样式表和javascript文件，这样可以大大提升静态文件的处理速度，还可以减少对内存占用。我使用的web server是来自俄罗斯的nginx，其他选择方案还包括lighttpd和thttpd等。

4）基于反向代理的前端访问负载均衡

当一台前端服务器不足以应付用户访问时，通过前端机实现web访问的负载均衡是最快速可行的方案。通过apache的mod_proxy可以实现基于反向代理的负载均衡，这里推荐使用nginx做代理服务器，处理速度较apache更快一些。

5）应用缓存技术提高数据库效能，文件缓存和分布式缓存

数据库访问处理并发访问的能力是很多网站应用的关键瓶颈，在想到使用主从结构和多farm的方式构建服务器集群之前，首先应该确保充分使用了数据库查询的缓存。一些数据库类型（如mysql的innoDB）自身内置对缓存的支持，此外，还可以利用程序方法将常用的查询通过文件或内存缓存起来。比如通过 php中的ob_start和文件读写函数可以很方便的实现文件形式的缓存，而如果你拥有多台服务器，可以通过memcache技术通过分布式共享内存来对数据库查询进行缓存，不仅效率高而且扩展性好，memcache技术在livejournal和Craigslistorg等知名网站应用中都得到了检验。

6）服务器运行状态的检测，找到影响性能的瓶颈所在

系统优化没有一劳永逸的方法，需要通过检测服务器的运行状态来及时发现影响性能的瓶颈，以及可能存在的潜在问题，因为网站的性能，永远取决于木桶中的短板。可以编写一些脚本来检测web服务的运行，也有一些开源的软件也提供了很好的功能

7）良好的扩展架构是稳定和性能的基础

一些技巧和窍门可以帮你度过眼前的难关，但要想使网站具备应付大规模访问的能力，则需要从系统架构上进行彻底的规划，好在很多前人无私的把他们架构

网站的经验分享给我们，使我们可以少走甚多弯路。我最近读到的两篇有启发的文章：

- 从LiveJournal后台发展看大规模网站性能优化方法

- Myspace的六次重构

最后不得不提到程序编码和数据库结构对性能的影响，一系列糟糕的循环语句，一个不合理的查询语句、一张设计不佳的数据表或索引表，都足以会使应用程序运行的速度成倍的降低。培养全局思考的能力，养成良好的编程习惯，并对数据库运行机制有所了解，是提高编程质量的基础。

为了更好的指导部署与测试艺术升系统nginx网站服务器高性能同时下安全稳定运行,需要对nginx服务进行调优与加固;

本次进行Nginx服务调优加固主要从以下几个部分：

本文档仅供内部使用，禁止外传，帮助研发人员，运维人员对系统长期稳定的运行提供技术文档参考。

Nginx是一个高性能的HTTP和反向代理服务器，也是一个IMAP/POP3/SMTP服务器。Nginx作为负载均衡服务器, Nginx 既可以在内部直接支持 Rails 和 PHP 程序对外进行服务，也可以支持作为 HTTP代理服务器对外进行服务。

Nginx版本选择:

项目结构:

Nginx文档帮助: http://nginxorg/en/docs/

Nginx首页地址目录: /usr/share/nginx/html

Nginx配置文件:

localtion 请求匹配的url实是一个正则表达式:

Nginx 匹配判断表达式:

例如,匹配末尾为如下后缀的静态并判断是否存在该文件, 如不存在则404。

查看可用模块编译参数：http://nginxorg/en/docs/configurehtml

http_gzip模块

开启gzip压缩输出(常常是大于1kb的静态文件)，减少网络传输;

http_fastcgi_module模块

nginx可以用来请求路由到FastCGI服务器运行应用程序由各种框架和PHP编程语言等。可以开启FastCGI的缓存功能以及将静态资源进行剥离，从而提高性能。

keepalive模块

长连接对性能有很大的影响，通过减少CPU和网络开销需要开启或关闭连接;

http_ssl_module模块

Nginx开启支持Https协议的SSL模块

Linux内核参数部分默认值不适合高并发,Linux内核调优，主要涉及到网络和文件系统、内存等的优化，

下面是我常用的内核调优配置：

文件描述符

文件描述符是操作系统资源，用于表示连接、打开的文件，以及其他信息。NGINX 每个连接可以使用两个文件描述符。

例如如果NGINX充当代理时，通常一个文件描述符表示客户端连接，另一个连接到代理服务器，如果开启了HTTP 保持连接，这个比例会更低（译注：为什么更低呢）。

对于有大量连接服务的系统，下面的设置可能需要调整一下：

精简模块:Nginx由于不断添加新的功能，附带的模块也越来越多,建议一般常用的服务器软件使用源码编译安装管理;

(1) 减小Nginx编译后的文件大小

(2) 指定GCC编译参数

修改GCC编译参数提高编译优化级别稳妥起见采用 -O2 这也是大多数软件编译推荐的优化级别。

GCC编译参数优化 [可选项] 总共提供了5级编译优化级别：

常用编译参数:

缓存和压缩与限制可以提高性能

NGINX的一些额外功能可用于提高Web应用的性能，调优的时候web应用不需要关掉但值得一提，因为它们的影响可能很重要。

简单示例:

1) 永久重定向

例如，配置 http 向 https 跳转 (永久)

nginx配置文件指令优化一览表

描述:Nginx因为安全配置不合适导致的安全问题,Nginx的默认配置中存在一些安全问题,例如版本号信息泄露、未配置使用SSL协议等。

对Nginx进行安全配置可以有效的防范一些常见安全问题，按照基线标准做好安全配置能够减少安全事件的发生,保证采用Nginx服务器系统应用安全运行;

Nginx安全配置项：

温馨提示: 在修改相应的源代码文件后需重新编译。

设置成功后验证:

应配置非root低权限用户来运行nginx服务,设置如下建立Nginx用户组和用户，采用user指令指运行用户

加固方法:

我们应该为提供的站点配置Secure Sockets Layer Protocol (SSL协议)，配置其是为了数据传输的安全，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

不应使用不安全SSLv2、SSLv3协议即以下和存在脆弱性的加密套件(ciphers), 我们应该使用较新的TLS协议也应该优于旧的,并使用安全的加密套件。

HTTP Referrer Spam是垃圾信息发送者用来提高他们正在尝试推广的网站的互联网搜索引擎排名一种技术，如果他们的垃圾信息链接显示在访问日志中，并且这些日志被搜索引擎扫描，则会对网站排名产生不利影响

加固方法:

当恶意攻击者采用扫描器进行扫描时候利用use-agent判断是否是常用的工具扫描以及特定的版本,是则返回错误或者重定向;

Nginx支持webdav，虽然默认情况下不会编译。如果使用webdav，则应该在Nginx策略中禁用此规则。

加固方法: dav_methods 应设置为off

当访问一个特制的URL时，如"/nginxstatus"，stub_status模块提供一个简短的Nginx服务器状态摘要,大多数情况下不应启用此模块。

加固方法：nginxconf文件中stub_status不应设置为：on

如果在浏览器中出现Nginx自动生成的错误消息，默认情况下会包含Nginx的版本号,这些信息可以被攻击者用来帮助他们发现服务器的潜在漏洞

加固方法: 关闭"Server"响应头中输出的Nginx版本号将server_tokens应设置为：off

client_body_timeout设置请求体（request body）的读超时时间。仅当在一次readstep中，没有得到请求体，就会设为超时。超时后Nginx返回HTTP状态码408(Request timed out)。

加固方法：nginxconf文件中client_body_timeout应设置为：10

client_header_timeout设置等待client发送一个请求头的超时时间（例如：GET / HTTP/11）。仅当在一次read中没有收到请求头，才会设为超时。超时后Nginx返回HTTP状态码408(Request timed out)。

加固方法：nginxconf文件中client_header_timeout应设置为：10

keepalive_timeout设置与client的keep-alive连接超时时间。服务器将会在这个时间后关闭连接。

加固方法：nginxconf文件中keepalive_timeout应设置为：55

send_timeout设置客户端的响应超时时间。这个设置不会用于整个转发器，而是在两次客户端读取操作之间。如果在这段时间内，客户端没有读取任何数据，Nginx就会关闭连接。

加固方法：nginxconf文件中send_timeout应设置为：10

GET和POST是Internet上最常用的方法。Web服务器方法在RFC 2616中定义禁用不需要实现的可用方法。

加固方法:

limit_zone 配置项限制来自客户端的同时连接数。通过此模块可以从一个地址限制分配会话的同时连接数量或特殊情况。

加固方法：nginxconf文件中limit_zone应设置为：slimits $binary_remote_addr 5m

该配置项控制一个会话同时连接的最大数量，即限制来自单个IP地址的连接数量。

加固方法：nginxconf 文件中 limit_conn 应设置为: slimits 5

加固方法：

加固方法:

解决办法:

描述后端获取Proxy后的真实Client的IP获取需要安装--with-http_realip_module，然后后端程序采用JAVA(requestgetAttribute("X-Real-IP"))进行获取;

描述: 如果要使用geoip地区选择,我们需要再nginx编译时加入 --with-http_geoip_module 编译参数。

描述: 为了防止外部站点引用我们的静态资源，我们需要设置那些域名可以访问我们的静态资源。

描述: 下面收集了Web服务中常规的安全响应头, 它可以保证不受到某些攻击,建议在指定的 server{} 代码块进行配置。

描述: 为了防止某些未备案的域名或者恶意镜像站域名绑定到我们服务器上, 导致服务器被警告关停，将会对业务或者SEO排名以及企业形象造成影响，我们可以通过如下方式进行防范。

执行结果:

描述: 有时你的网站可能只需要被某一IP或者IP段的地址请求访问，那么非白名单中的地址访问将被阻止访问, 我们可以如下配置;

常用nginx配置文件解释：

(1) 阿里巴巴提供的Concat或者Google的PageSpeed模块实现这个合并文件的功能。

(2) PHP-FPM的优化

如果您高负载网站使用PHP-FPM管理FastCGI对于PHP-FPM的优化非常重要

(3) 配置Resin on Linux或者Windows为我们可以打开 resin-319/bin/httpdsh 在不影响其他代码的地方加入:-Dhttpsprotocols=TLSv12, 例如

原文地址: https://blogweiyigeektop/2019/9-2-122html