1.
概述与目标
- 目标:在香港机房部署一台高防服务器,结合云端WAF/CDN/清洗,达到常见L3-L7攻击可抵御、业务可用性最大化。
- 输出:包含购买建议、系统硬化、混合防护架构、清洗回源策略、监控与演练步骤,便于工程师照着落地执行。
2.
环境与前期准备(硬件/账号)
- 购买:选择支持“高防IP/高防端口”与BGP多线的香港机房,确认攻击防护带宽与清洗阈值(如10G/20G)。
- 账号准备:注册云防御厂商账号(例:阿里云高防、腾讯云高防、Cloudflare Spectrum/Enterprise),准备备案/合同与紧急联络人。
- 网络规划:确定生产IP、回源IP、内网管理IP和运维白名单。
3.
操作系统与基础配置(一步步)
- 系统安装:推荐使用Ubuntu LTS 或 CentOS 7/8。安装后更新:apt update && apt upgrade -y 或 yum update -y。
- 创建运维账号:adduser ops && usermod -aG sudo ops;禁止root远程登录:编辑 /etc/ssh/sshd_config,PermitRootLogin no,重启 sshd。
- SSH 加固:使用密钥登录,设置公钥到 /home/ops/.ssh/authorized_keys;修改SSH端口,设置LoginGraceTime、MaxAuthTries 等。
4.
必做防火墙与访问控制
- UFW 示例(Ubuntu):ufw default deny incoming; ufw default allow outgoing; ufw allow proto tcp to any port 22 comment 'ssh'; ufw allow 80,443/tcp; ufw enable。
- iptables 精细策略(CentOS/自定义):阻断所有except管理IP:iptables -A INPUT -s <管理IP>/32 -p tcp --dport 22 -j ACCEPT; 其余DROP。保存规则并设置开机加载。
- TCP并发保护:设置 /etc/sysctl.conf 中 net.netfilter.nf_conntrack_max、net.ipv4.tcp_syncookies=1 并sysctl -p。
5.
高防与云防御的组合架构设计
- 架构一(推荐):公网流量先进入云防御(CDN/WAF/高防清洗),清洗后回源到
香港高防服务器。
- 步骤:在云厂商控制台创建域名/流量加速服务,启用WAF规则模板,填写回源IP为香港服务器公网IP并限定回源端口。启用源站白名单,仅允许云防IP访问回源。
6.
在云防控制台的具体配置步骤
- 创建策略:登录云防控制台 -> 新建防护策略 -> 选择防护类型(端口/域名)-> 设置清洗阈值(例如每秒100kpps或10Gbps),并绑定到目标IP/域名。
- 回源白名单:在安全组或服务器防火墙中只允许云防IP段访问回源端口,避免直接暴露真实IP。云厂商通常提供IP段列表,按文档定期同步更新。
7.
服务端软件与限流配置(Nginx/TCP)
- Nginx 限流:在 http 或 server 中加入 limit_req_zone $binary_remote_addr zone=zone1:10m rate=10r/s;在 location 使用 limit_req zone=zone1 burst=20 nodelay。
- tcp层限流与黑洞:使用 tc 配合 iptables 标记异常流量并转入黑洞队列,示例步骤:tc qdisc add dev eth0 root handle 1: htb default 10;tc class add ...(根据业务吞吐设置)。
8.
日志、监控与告警配置
- 日志收集:安装 Filebeat/Fluentd 将 Nginx/access.log 与系统日志推到集中 ELK/EFK。
- 流量与告警:部署 Prometheus + Grafana,采集 netstat、ifconfig、nginx status、conntrack 等指标。设置告警规则:流量/连接数 超过阈值触发短信/钉钉告警。
- 实时包捕获:配置 tcpdump 自动保存样本并上传,用于清洗策略分析(tcpdump -i eth0 -c 100000 -w /tmp/attack.pcap)。
9.
演练与故障恢复步骤(演练脚本)
- 演练准备:选定维护窗口,通知云厂商并在测试环境先做。准备回放流量(pcap)或低强度hping3模拟。
- 执行:1) 启动攻击流量(受控),2) 观察云防是否按策略清洗并回源稳定,3) 若回源异常,切换至备用IP或启用黑洞策略。记录时间线并总结。
10.
攻击验证与测试方法(安全合规)
- 合规前提:任何攻击测试必须在许可范围内进行,生产环境需先和机房/云厂商沟通。
- 工具与步骤:使用 hping3 做 SYN flood(受控端口);使用 slowloris 测试应用层;通过流量分析确认云防控制台的清洗阈值与回源表现是否达标。测试后恢复所有限流规则。
11.
日常运维与常见问题解决
- 定期任务:每周更新系统补丁、核查防火墙规则、同步云防IP段白名单、检查日志告警。
- 常见问题:回源被误封 -> 检查回源白名单与服务端防火墙;WAF误杀正常流量 -> 调整WAF白名单或自定义规则;防护阈值不足 -> 升级清洗带宽或增加分布式防护。
12.
优化建议与成本考量
- 优化点:将静态资源上 CDN,减小回源压力;对大流量API使用分流与限速;对重要业务设置多机房冗余。
- 成本权衡:高防带宽成本高,建议基于历史攻击峰值与业务影响评估购买适度阈值,并配置弹性扩容策略。
13.
问:如何确认我的香港服务器已正确接入云防并只允许云防回源?
- 答:在服务器上执行 netstat -anp | grep :80 查看连接来源IP,正常情况下来源应为云防提供的IP段;同时在服务器防火墙中只允许该IP段访问回源端口(iptables -A INPUT -s
/32 -p tcp --dport 80 -j ACCEPT),其余DROP。通过云防控制台的“源站访问日志”交叉验证。
14.
问:遭遇大流量攻击时,我应优先采取哪些紧急措施?
- 答:1) 启用云防的全流量清洗/黑洞策略;2) 将流量切到备用回源或启用速率限制;3) 在服务器端暂时提升资源或关闭非关键端口,4) 与云厂商安全团队沟通获取流量样本与规则建议,演练后进行根因分析与规则优化。
15.
问:如何在不影响正常用户的情况下调优WAF和清洗规则?
- 答:采用分阶段策略:先在“观察”模式记录误判,再在非高峰期上线自定义放行规则;使用白名单、请求特征识别(UA/IP/Cookie)及阈值放宽,结合业务侧埋点监测是否有真实用户被拦截,逐步收敛规则。
来源:高防香港服务器托管与云防御结合的最佳实践案例
