1.

概述与目标

- 目标：在香港机房部署一台高防服务器，结合云端WAF/CDN/清洗，达到常见L3-L7攻击可抵御、业务可用性最大化。
- 输出：包含购买建议、系统硬化、混合防护架构、清洗回源策略、监控与演练步骤，便于工程师照着落地执行。

2.

环境与前期准备（硬件/账号）

- 购买：选择支持“高防IP/高防端口”与BGP多线的香港机房，确认攻击防护带宽与清洗阈值（如10G/20G）。
- 账号准备：注册云防御厂商账号（例：阿里云高防、腾讯云高防、Cloudflare Spectrum/Enterprise），准备备案/合同与紧急联络人。
- 网络规划：确定生产IP、回源IP、内网管理IP和运维白名单。

3.

操作系统与基础配置（一步步）

- 系统安装：推荐使用Ubuntu LTS 或 CentOS 7/8。安装后更新：apt update && apt upgrade -y 或 yum update -y。
- 创建运维账号：adduser ops && usermod -aG sudo ops；禁止root远程登录：编辑 /etc/ssh/sshd_config，PermitRootLogin no，重启 sshd。
- SSH 加固：使用密钥登录，设置公钥到 /home/ops/.ssh/authorized_keys；修改SSH端口，设置LoginGraceTime、MaxAuthTries 等。

4.

必做防火墙与访问控制

- UFW 示例（Ubuntu）：ufw default deny incoming; ufw default allow outgoing; ufw allow proto tcp to any port 22 comment 'ssh'; ufw allow 80,443/tcp; ufw enable。
- iptables 精细策略（CentOS/自定义）：阻断所有except管理IP：iptables -A INPUT -s <管理IP>/32 -p tcp --dport 22 -j ACCEPT; 其余DROP。保存规则并设置开机加载。
- TCP并发保护：设置 /etc/sysctl.conf 中 net.netfilter.nf_conntrack_max、net.ipv4.tcp_syncookies=1 并sysctl -p。

5.

高防与云防御的组合架构设计

- 架构一（推荐）：公网流量先进入云防御（CDN/WAF/高防清洗），清洗后回源到香港高防服务器。
- 步骤：在云厂商控制台创建域名/流量加速服务，启用WAF规则模板，填写回源IP为香港服务器公网IP并限定回源端口。启用源站白名单，仅允许云防IP访问回源。

6.

在云防控制台的具体配置步骤

- 创建策略：登录云防控制台 -> 新建防护策略 -> 选择防护类型（端口/域名）-> 设置清洗阈值（例如每秒100kpps或10Gbps），并绑定到目标IP/域名。
- 回源白名单：在安全组或服务器防火墙中只允许云防IP段访问回源端口，避免直接暴露真实IP。云厂商通常提供IP段列表，按文档定期同步更新。

7.

服务端软件与限流配置（Nginx/TCP）

- Nginx 限流：在 http 或 server 中加入 limit_req_zone $binary_remote_addr zone=zone1:10m rate=10r/s；在 location 使用 limit_req zone=zone1 burst=20 nodelay。
- tcp层限流与黑洞：使用 tc 配合 iptables 标记异常流量并转入黑洞队列，示例步骤：tc qdisc add dev eth0 root handle 1: htb default 10；tc class add ...（根据业务吞吐设置）。

8.

日志、监控与告警配置

- 日志收集：安装 Filebeat/Fluentd 将 Nginx/access.log 与系统日志推到集中 ELK/EFK。
- 流量与告警：部署 Prometheus + Grafana，采集 netstat、ifconfig、nginx status、conntrack 等指标。设置告警规则：流量/连接数 超过阈值触发短信/钉钉告警。
- 实时包捕获：配置 tcpdump 自动保存样本并上传，用于清洗策略分析（tcpdump -i eth0 -c 100000 -w /tmp/attack.pcap）。

9.

演练与故障恢复步骤（演练脚本）

- 演练准备：选定维护窗口，通知云厂商并在测试环境先做。准备回放流量（pcap）或低强度hping3模拟。
- 执行：1) 启动攻击流量（受控），2) 观察云防是否按策略清洗并回源稳定，3) 若回源异常，切换至备用IP或启用黑洞策略。记录时间线并总结。

10.

攻击验证与测试方法（安全合规）

- 合规前提：任何攻击测试必须在许可范围内进行，生产环境需先和机房/云厂商沟通。
- 工具与步骤：使用 hping3 做 SYN flood（受控端口）；使用 slowloris 测试应用层；通过流量分析确认云防控制台的清洗阈值与回源表现是否达标。测试后恢复所有限流规则。

11.

日常运维与常见问题解决

- 定期任务：每周更新系统补丁、核查防火墙规则、同步云防IP段白名单、检查日志告警。
- 常见问题：回源被误封 -> 检查回源白名单与服务端防火墙；WAF误杀正常流量 -> 调整WAF白名单或自定义规则；防护阈值不足 -> 升级清洗带宽或增加分布式防护。

12.

优化建议与成本考量

- 优化点：将静态资源上 CDN，减小回源压力；对大流量API使用分流与限速；对重要业务设置多机房冗余。
- 成本权衡：高防带宽成本高，建议基于历史攻击峰值与业务影响评估购买适度阈值，并配置弹性扩容策略。

13.

问：如何确认我的香港服务器已正确接入云防并只允许云防回源？

- 答：在服务器上执行 netstat -anp | grep :80 查看连接来源IP，正常情况下来源应为云防提供的IP段；同时在服务器防火墙中只允许该IP段访问回源端口（iptables -A INPUT -s /32 -p tcp --dport 80 -j ACCEPT），其余DROP。通过云防控制台的“源站访问日志”交叉验证。

14.

问：遭遇大流量攻击时，我应优先采取哪些紧急措施？

- 答：1) 启用云防的全流量清洗/黑洞策略；2) 将流量切到备用回源或启用速率限制；3) 在服务器端暂时提升资源或关闭非关键端口，4) 与云厂商安全团队沟通获取流量样本与规则建议，演练后进行根因分析与规则优化。

15.

问：如何在不影响正常用户的情况下调优WAF和清洗规则？

- 答：采用分阶段策略：先在“观察”模式记录误判，再在非高峰期上线自定义放行规则；使用白名单、请求特征识别（UA/IP/Cookie）及阈值放宽，结合业务侧埋点监测是否有真实用户被拦截，逐步收敛规则。

文章标签：CDN DDoS 防护 WAF 云防御 流量清洗 香港服务器托管 高防机房 高防香港服务器 更多»

来源：高防香港服务器托管与云防御结合的最佳实践案例