在企业生产环境中，Nginx的默认配置性能差、安全性低，极易出现被攻击、并发瓶颈、带宽浪费、日志雪崩等问题。今天给大家整理30条Nginx最全优化方案，涵盖安全加固、性能调优、防攻击、用户体验、架构优化五大维度，附带可直接上线的配置代码+高频面试题，新手可直接落地，运维/开发必备收藏！

整体说明：所有配置均适配主流Nginx版本，区分http全局段、events事件段、server虚拟主机段、location匹配段，可直接复制到生产配置文件。

一、Nginx 安全优化（16条）

主打隐藏信息、权限管控、访问限制、防攻击、防入侵，解决Web服务大部分安全漏洞。

1、隐藏Nginx版本号（基础安全）

默认响应头会暴露Nginx版本，容易让黑客针对性利用版本漏洞攻击。

配置代码：写入nginx.conf的http全局段

server_tokens off;

2、修改Nginx默认运行用户

禁止使用root用户运行Nginx，防止服务被提权入侵，最小化权限风险。

两种实现方式

① 配置文件修改（简单高效）：http段添加 user nginx nginx;

② 编译安装指定用户（永久生效）

./configure --user=nginx --group=nginx --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module

3、源码级隐藏软件名称+版本号（高阶隐藏）

常规配置仅隐藏版本，此方法可彻底伪装服务器标识，规避针对性扫描攻击。

操作步骤

1. 修改3个核心源码文件：

- /usr/src/nginx-1.6.2/src/core/nginx.h- nginx-1.6.3/src/http/ngx_http_header_filter_module.c- nginx-1.6.3/src/http/nginx_http_special_response.c

2. 修改服务器名称、版本信息后，重新编译安装Nginx即可生效。

4、限制上传文件大小

防止大文件上传打满服务器磁盘、引发上传漏洞、CC攻击。

配置代码（server/http段）：

client_max_body_size 8m; # 根据业务调整，普通网站8m足够

5、限制指定目录/扩展名文件访问

核心用途：禁止上传目录的脚本文件执行，防止木马、后门脚本入侵运行。

实战配置：针对upload上传目录，禁止php等脚本执行

location ~* /upload/.*\.(php|jsp|asp|sh)$ { deny all; }

6、限制IP访问指定网站/目录

适用于phpmyadmin、后台管理、运维接口等内网私密资源，禁止公网访问。

配置示例：仅允许内网IP访问后台

location /admin { allow 192.168.0.0/16; deny all; }

7、限制客户端HTTP请求方法

仅保留业务需要的GET、POST方法，禁止DELETE、PUT、TRACE等危险方法，防止HTTP畸形请求攻击。

配置代码

if ($request_method !~ ^(GET|POST|HEAD)$) { return 403; }

8、网站添加账户密码验证

适用于内部系统、测试站点、私密后台，二次加固访问安全。

实现方式：借助htpasswd生成密码文件，Nginx配置auth认证，匹配指定目录开启登录验证。

9、Nginx SSL加密传输优化

全站HTTPS加密，关闭不安全加密套件、协议（SSLv3/TLS1.0），开启TLS1.2/1.3，防止数据窃听、中间人劫持。

10、防IP恶意解析（禁止IP直接访问网站）

防止他人将未备案域名、恶意域名解析至服务器IP，规避合规风险与恶意引流攻击。

配置思路：拦截IP访问请求，返回403，仅允许绑定域名访问。

11、集群Web目录权限严格管控

读写分离架构下，Web站点目录设置只读权限，禁止nginx用户写入、修改文件，防止木马写入、文件篡改。

12、防DDOS/CC攻击（单IP连接限制）

控制单IP最大并发连接数、请求频率，防止单IP高频请求打垮服务。

通过limit_conn限制并发连接、limit_req限制请求速率，结合白名单放行正常用户。

13、Nginx监牢模式（Chroot jail）

将Nginx运行权限禁锢在指定目录，隔离系统核心目录，即使服务被攻破，黑客也无法越权访问系统文件，极致安全加固。

14、精简Nginx无用模块

编译安装时移除所有不需要的模块，减少漏洞面、降低内存占用、提升服务安全性。

15、磁盘与网络文件系统安全优化

优化服务器磁盘挂载参数、NFS网络文件系统配置，防止磁盘IO阻塞、文件挂载漏洞引发的服务异常与安全问题。

16、日志权限安全优化

收紧Nginx日志目录、日志文件权限，禁止其他用户读写日志，防止日志泄露、日志篡改。

二、Nginx 性能优化（11条，核心高频）

针对并发、CPU、内存、IO、缓存、传输效率全方位调优，解决高并发卡顿、带宽浪费问题，附面试真题+标准答案。

1、根据CPU核心数调整Worker进程数

原理：Nginx是多进程模型，1核CPU配置1个worker进程性能最优。

配置代码（全局段）：worker_processes auto; 或填写CPU核心数

面试题：top命令如何查看服务器多颗CPU信息？

答案：进入top界面后按 1 即可查看所有CPU核心；也可通过 cat /proc/cpuinfo 查看CPU核心数。

2、CPU核心绑定优化（进程CPU亲和性）

将不同worker进程绑定指定CPU核心，避免进程抢占CPU、频繁切换，提升多核CPU利用率。

配置代码（4核CPU示例）：

worker_cpu_affinity 0001 0010 0100 1000;

面试题：如何将服务进程绑定指定CPU，实现资源均衡？

答案：通过Nginx worker_cpu_affinity 参数绑定核心，系统层可通过taskset命令绑定进程CPU。

3、事件模型优化为epoll

Linux专属高效IO多路复用模型，支持百万级并发，替代低效的select/poll模型。

配置代码（events段）：use epoll;

面试题：Nginx epoll与Apache select区别？

答案：select是轮询遍历所有文件描述符，并发越高效率越低，最大支持1024连接；epoll是事件触发机制，只监听活跃连接，无连接上限，高并发性能碾压select，是Nginx高并发的核心关键。

4、调整单进程最大连接数

配置代码（events段）：worker_connections 20480;

面试题：讲讲并发、PV、IP的概念，你们网站并发多少？

标准答案：IP指独立访问用户数；PV指页面总访问量；并发指同一时间同时在线请求的用户数。中小企业网站常规并发几百-几千，优化后Nginx可支撑10万+并发。

5、设置Worker进程最大打开文件数

突破系统默认文件句柄限制，解决高并发下too many open files报错。

配置代码（全局段）：worker_rlimit_nofile 65535;

注意：参数并非越大越好，匹配服务器系统极限即可，避免内存浪费。

6、开启高效文件传输模式sendfile

绕过用户态内存拷贝，直接在内核态传输文件，大幅提升静态文件传输效率。

配置代码：sendfile on;

7、统一优化各类超时参数

避免无效长连接占用资源，释放闲置连接，提升服务吞吐能力。

全套配置

keepalive_timeout 60; # 长连接超时时间client_header_timeout 15; # 请求头超时client_body_timeout 15; # 请求体超时send_timeout 25; # 响应发送超时

8、FastCGI全参数优化（PHP动态业务核心）

优化Nginx与PHP-FPM的交互逻辑，解决动态页面超时、缓冲区不足、响应慢问题。

全套可直接上线配置

fastcgi_connect_timeout 240; # 连接FCGI超时时间fastcgi_send_timeout 240; # 向FCGI发送数据超时fastcgi_read_timeout 240; # 读取FCGI响应超时fastcgi_buffer_size 64k; # 基础响应缓冲区大小fastcgi_buffers 4 64k; # 缓冲区数量+单块大小fastcgi_busy_buffers_size 128k; # 繁忙状态缓冲区上限fastcgi_temp_file_write_size 128k; # 临时文件写入大小fastcgi_temp_path /data/ngx_fcgi_tmp; # 临时文件专属目录

9、静态资源expires缓存优化

让浏览器缓存静态资源，减少重复请求，节省服务器带宽、提升访问速度。

配置代码（静态资源location段）：expires 3650d; # 缓存10年

10、Gzip压缩优化

压缩JS、CSS、文本、静态页面，压缩率最高可达70%，大幅减少带宽消耗。

全套最优配置

gzip on; # 开启压缩gzip_min_length 1k; # 小于1k不压缩gzip_buffers 4 16K; # 压缩缓冲区gzip_http_version 1.1; # 兼容HTTP1.1gzip_comp_level 2; # 压缩等级（平衡速度与压缩率）gzip_types text/plain application/x-javascript text/css application/xml; # 压缩资源类型gzip_vary on; # 支持缓存服务器识别压缩资源

11、Nginx日志专项优化

1. 日志切割：通过crontab定时切割日志，避免单日志文件过大、磁盘IO卡顿；

2. 忽略静态资源日志：不记录图片、css、js日志，减少日志冗余；

3. 最小化日志目录权限，杜绝日志被篡改、删除。

三、体验与防护专项优化（3条）

1、自定义优雅错误页面

替换Nginx默认404、500、502错误页，避免暴露服务报错信息，同时提升用户访问体验，支持自定义页面样式。

2、防爬虫优化

通过robots协议规范搜索引擎爬虫，同时根据HTTP_USER_AGENT拦截恶意爬虫、采集脚本，防止服务器资源被爬虫耗尽。

3、资源防盗链优化

通过referer校验，禁止第三方网站盗用本站图片、视频、静态资源，避免带宽被盗用、服务器资源浪费，保护网站版权与流量。

四、总结

以上30条优化方案，覆盖初创企业、中小企业、高并发生产环境，从基础安全加固、内核性能调优，到防攻击、用户体验、架构权限全方位覆盖。

新手可以逐条配置落地，运维面试可直接背诵考点，全套配置兼容主流Linux系统与Nginx版本，是Web服务稳定运行的必备优化清单。