Nginx优化全攻略：从安全加固到性能调优

一、核心安全加固配置

1.1 基础防护措施

• 隐藏服务器信息：在http或server模块中添加 server_tokens off; 可隐藏Nginx版本信息

• 禁用敏感功能：

• autoindex off;  # 防止目录列表暴露limit_except GET POST { deny all; }  # 限制HTTP方法

2.2 传输安全强化
强制HTTPS并配置安全协议是最有效的防护手段之一：

# HTTP重定向到HTTPSserver {
    listen 80;
    return 301 https://$host$request_uri;}# TLS安全配置ssl_protocols TLSv1.2 TLSv1.3;ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';add_header Strict-Transport-Security "max-age=31536000" always;

二、性能优化关键参数

2.1 进程与连接优化

# 核心配置worker_processes auto;  # 自动匹配CPU核心数events {
    worker_connections 10240;  # 单进程连接数
    use epoll;  # Linux高效事件模型}

2.2 网络传输优化

http {
    sendfile on;  # 零拷贝传输
    tcp_nopush on;  # 优化数据包发送
    keepalive_timeout 65;  # 长连接超时
    
    # Gzip压缩配置
    gzip on;
    gzip_min_length 1k;
    gzip_types text/plain application/javascript text/css;}

三、场景化配置建议

3.1 高并发API服务配置

location /api/ {
    # 连接限制
    limit_conn perip 10;
    limit_req zone=apilimit burst=20;
    
    # 代理配置
    proxy_http_version 1.1;
    proxy_set_header Connection "";
    proxy_next_upstream error timeout http_502;}

3.2 静态资源服务器

location ~* .(jpg|jpeg|png|gif|ico|css|js)$ {
    expires 365d;  # 长期缓存
    access_log off;  # 关闭日志
    add_header Cache-Control "public, immutable";}

四、配置验证与监控

1. 配置检查：每次修改后执行 nginx -t

2. 平滑重载：使用 nginx -s reload 避免服务中断

3. 监控指标：

• 启用 stub_status 模块查看连接状态

• 使用 ss -antp | grep nginx 监控TCP连接

• 定期分析 error_log 定位问题

最佳实践提示

1. 渐进式优化：每次只修改1-2个参数并观察效果

2. 环境适配：根据服务器硬件规格调整参数值

3. 备份机制：修改前备份原始配置文件

4. 文档记录：记录每次变更的目的和影响

通过实施上述优化措施，可使Nginx在安全性和性能方面得到显著提升。建议根据实际业务需求选择适用的配置方案，并通过压力测试验证优化效果。

来自维度狐