本發明實施例提供一種網站安全訪問實現方法及裝置，包括：接收用戶發送的網站訪問請求；根據其中包括的IP地址和根據訪問日志文件設置的阻止規則，判斷該IP地址是否是有攻擊的IP地址或可能有攻擊的IP地址；當判斷出不是有攻擊的IP地址和可能有攻擊的IP地址，允許訪問網站；當判斷出是有攻擊的IP地址，拒絕訪問網站；當判斷出是可能有攻擊的IP地址，向用戶獲取驗證碼進行安全驗證，驗證通過時允許訪問網站；驗證不通過時拒絕訪問網站。該方法能夠根據動態訪問日志動態調整訪問限制規則，實現網絡安全訪問的動態調整，從而提高網絡安全訪問規則設置的靈活性和自動化程度。

技術領域

本發明涉及網絡技術領域，尤指一種基于nginx的網站安全訪問實現方法及裝置。

背景技術

Nginx是一個高性能的超文本傳輸協議(HyperText Transfer Protocol，HTTP)和反向代理服務器，也是一個交互式郵件存取協議(Internet Mail Access Protocol，IMAP)/郵局協議3(PostOfficeProtocol3，POP3)/簡單郵件傳輸協議(Simple MailTransfer Protocol，SMTP)代理服務器。

Nginx系統中實現網站安全訪問是很重要的，其防挑戰黑洞(ChallengeCollapsar，CC)攻擊的實現方案備受關注。在Nginx系統中通過nginx http功能模塊(ngx_http_limit_ip_module)實現網站的安全訪問控制與管理，限制非安全的訪問。

現有的nginx的限制請求(limit_req)模塊僅提供了基于對端地址(remote ip)的請求數和訪問速度的限制。限制連接(limit_conn)模塊僅提供了基于遠端地址(remoteip)的連接數的限制。雖然可以通過配置文件限制或阻止(block)某些remote ip訪問，但是不能動態添加阻止(block)規則，每次修改block規則都需要重啟nginx自提進程，且自動化程度不高，不能和后端日志分析模塊配合動態的block某些ip的訪問。

發明內容

本發明實施例提供一種網站安全訪問實現方法及裝置，能夠動態的調整訪問過程中的阻止規則，實現動態的阻止部分不安全用戶的訪問，實現了安全訪問的靈活控制，且自動化程度高。

本發明實施例提供了一種網站安全訪問實現方法，包括：

接收用戶發送的網站訪問請求；

根據所述網站訪問請求中包括的IP地址和根據訪問日志文件設置的阻止規則，判斷該IP地址是否是有攻擊的IP地址或可能有攻擊的IP地址；

當判斷出發送所述網站訪問請求的IP地址不是有攻擊的IP地址和可能有攻擊的IP地址，允許訪問網站；

當判斷出發送所述網站訪問請求的IP地址是有攻擊的IP地址，拒絕訪問網站；

當判斷出發送所述網站訪問請求的IP地址是可能有攻擊的IP地址，向用戶獲取驗證碼進行安全驗證，當所述驗證碼驗證通過時，允許訪問網站；當所述驗證碼驗證不通過時，拒絕訪問網站。

在一些可選的實施例中，上述方法還包括：

實時獲取網站的訪問日志文件；

根據所述訪問日志文件，確定有攻擊IP地址和可能有攻擊的IP地址，對有攻擊的IP地址和可能有攻擊的IP地址設置相應的阻止規則。

在一些可選的實施例中，所述對有攻擊的IP地址和可能有攻擊的IP地址設置相應的阻止規則，具體包括：

對有攻擊的IP地址和可能有攻擊的IP地址分別設置對應的阻止動作和有效時長；其中，有攻擊的IP地址和可能有攻擊的IP地址的阻止動作分別為拒絕訪問和需要判定。