1.
整体安全策略与环境评估
· 评估目标:阿里云柬埔寨地域ECS主机、可用区与公网带宽情况。
· 风险点:SSH暴力破解、Web应用漏洞、UDP反射DDoS、应用层爬虫与爬取流量。
· 防护原则:最小权限、分层防御、可观测与可回复(least privilege / defense-in-depth)。
· 工具链:安全组+iptables、阿里云Anti-DDoS、CDN、WAF、Fail2ban、监控告警。
· 指标举例:平均带宽5Mbps,峰值业务突发50Mbps,预防策略以50~300Mbps为防护容量参考。
2.
SSH与账户加固(示例配置)
· 关闭root直接登录:在 /etc/ssh/sshd_config 中设置 PermitRootLogin no。
· 禁用密码登录,使用密钥:PasswordAuthentication no,PubkeyAuthentication yes。
· 更改默认端口:将 Port 22 改为 22022 或其他非标准端口,降低自动化扫描暴露。
· 限制登录用户:AllowUsers deploy@10.0.0.0/8 或使用Match Address控制来源。
· 示例sshd_config片段:Port 22022
PermitRootLogin no
PasswordAuthentication no
UseDNS no
3.
主机防火墙与安全组策略(示例iptables规则)
· 阿里云安全组做边界过滤,只放行必须端口(SSH、80、443、应用端口)。
· 主机层使用iptables/nftables作为二层防护,示例iptables规则如下:
· iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
· iptables -A INPUT -p tcp --dport 22022 -s 203.0.113.0/24 -j ACCEPT
· iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 200 -j DROP(限制并发连接)
4.
DDoS防护与CDN联动(包含配置示例与数据表)
· 首选阿里云Anti-DDoS基础或专业版对接公网IP,设置自动清洗阈值。
· 静态资源通过CDN加速并缓存,减轻源站压力并启用HTTPS回源。
· 配置WAF白名单与自定义规则,拦截常见SQL注入、XSS与爬虫。
· 当检测到UDP放大或SYN泛洪时,触发流量清洗并按阈值黑洞或转到清洗中心。
· 下面为示例服务器与防护阈值(单位:Mbps/Gbps),表格居中、单线边框如下:
| 项目 |
示例值 |
说明 |
| ECS规格 |
4 vCPU / 8GB / 100GB |
中小型业务常见配置 |
| 公网带宽 |
200 Mbps |
业务峰值需预估 |
| Anti-DDoS清洗阈值 |
300 Gbps(专业) |
依据购买的防护包 |
| CDN缓存命中率目标 |
>85% |
减轻源站压力 |
5.
监控、日志与入侵检测(配置示例)
· 部署阿里云云监控(CloudMonitor)与自建Prometheus采集CPU/IO/流量指标并告警。
· 启用Fail2ban打击SSH暴力破解,示例 jail.local:bantime = 3600,maxretry = 5。
· 启用WAF日志导出,结合ELK或阿里云日志服务分析异常请求来源。
· nginx限速与连接数限制示例:limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;limit_conn_zone $binary_remote_addr zone=addr:10m。
· 定期演练恢复流程,包括快照回滚、临时扩容与清洗策略切换流程。
6.
真实案例:柬埔寨教育平台遭遇UDP放大DDoS的应对
· 背景:某柬埔寨在线教育平台,公网带宽200Mbps,凌晨遭遇UDP反射攻击峰值约320Gbps。
· 立即响应:启用阿里云Anti-DDoS专业并提交清洗工单,同时将主要域名切换到已启用CDN的域名。
· 临时规则:在安全组和iptables上阻断异常UDP端口(例如123/161),并对SYN速率进行限流。
· 效果:通过清洗与CDN接入,源站流量降至2~5Mbps,服务恢复;攻击被清洗在边缘。
· 总结经验:提前购买合适清洗容量、配置CDN+WAF、并准备应急流程表与联系方式,能将停服时间从小时级缩短到分钟级。
来源:阿里云柬埔寨服务器安全配置实战防护攻防要点
