1. 评估现状与资产盘点

1) 列出所有对外服务（网站、API、邮件、SSH、游戏服等）并记录端口、协议、流量基线（峰值/日均）。
2) 确定源站IP、托管地点（柬埔寨本地机房还是云上）以及域名的DNS提供商。
3) 标注关键业务优先级（必须24/7、可退让、开发环境），为后续保护策略设定SLA/阈值。

2. 选择WAF与DDoS服务提供商

1) 优先考虑拥有柬埔寨或东南亚节点的厂商以降低延迟（如Cloudflare、Akamai、阿里云/腾讯云、AWS + 本地ISP合作方案）。
2) 对比功能：WAF规则集（OWASP、规则自定义）、DDoS清洗容量、BGP Anycast、SLA、IP黑白名单、日志与API接入。
3) 预算评估：按带宽计费或按请求计费，注意突发流量的计费上限与预置清洗包。

3. 网络架构与部署模式选择

1) 推荐模式：CDN/反向代理（WAF在边缘）+ 源站仅接受来自WAF/清洗节点的流量。
2) 若需要低延迟可采用按业务分流：静态走CDN，API走WAF，实时游戏流量考虑专用ACL与本地清洗。
3) 与柬埔寨本地ISP协商BGP路由或清洗转发（必要时部署本地硬件清洗设备）。

4. 实际部署步骤：DNS与隐藏源站IP

1) 在WAF服务控制台添加域名并获得边缘/代理IP段；设置到期的TTL较低便于回滚。
2) 将公网DNS记录指向WAF/CDN的IP（A/AAAA/CNAME），并保持原源站IP不对外公开。
3) 在源站防火墙/云安全组中只允许WAF/清洗节点的IP段访问（按厂商文档定期更新白名单）；关闭直接对公网的80/443直连。

5. 配置WAF策略与DDoS规则（详细项）

1) 启用基础规则集（OWASP CRS），逐步从"检测"到"阻断"模式：先观察2周，再启阻断以减少误报风险。
2) 配置速率限制：按URL/路径设置requests per second阈值，设置连接速率阈值与单IP并发限制。
3) 禁止/限制可疑方法（如PUT/DELETE除非必要）；设置文件上传大小限制和MIME白名单；启用SQLi/XSS签名拦截与自定义规则。
4) DDoS层面：设置流量报警阈值（例如流量超日均3倍触发），启用自动清洗策略、黑洞/灰洞策略与geo-block或国家级拦截（针对高风险国家）。

6. 源站与运维硬化措施

1) 关闭不必要端口，SSH只允许管理IP或走VPN/堡垒机；对管理接口启用双因素认证与IP白名单。
2) 在服务器端安装并配置轻量防火墙（ufw/iptables/firewalld），只允许来自WAF的端口访问；使用内网私有IP与NAT。
3) 定期更新系统与应用补丁、备份关键配置与证书；为突发事件准备快速回收/换源的应急脚本。

7. 监控、日志与演练

1) 集中日志：将WAF日志、网络流量（NetFlow）与应用日志导入ELK/Graylog或云SIEM，建立可视化仪表盘与告警规则。
2) 建立SOP：当流量超阈值或误报时的处理流程，列出联系人（ISP、WAF厂商、运维）与切换步骤。
3) 定期演练：每季度模拟流量激增/清洗触发的响应演练，校验DNS回滚、源站访问控制与备用机房。

8. 合法与本地合作注意事项（柬埔寨相关）

1) 与柬埔寨本地ISP、云服务商沟通，了解他们提供的本地清洗与BGP支持方案，必要时签署带宽保底合约。
2) 注意当地法规与数据主权要求（若涉及个人数据，检查是否需在境内保存备份或满足监管要求）。
3) 保留事件记录以便合规审计，发生大规模攻击时及时通知ISP与相关监管机构。

9. 问：在柬埔寨部署WAF后，如何确保源站不会被绕过？

问：在柬埔寨部署WAF后，如何确保源站不会被绕过？

答：答：只允许WAF的IP段访问源站（防火墙/安全组白名单），关闭源站公网端口或把源站放入私有子网；如必须直连则在源站启用检验头（如X-Forwarded-For校验）与VPN隧道，并定期检查裸IP是否仍可访问。

10. 问：遭遇大流量DDoS时我该先做什么？

问：遭遇大流量DDoS时我该先做什么？

答：答：首先触发WAF/清洗的自动规则并开启更严格的速率限制与黑洞策略；立即通知ISP和WAF厂商启动手动清洗；如有备用机房或流量调度策略，按SOP切换并降低非必要服务。

11. 问：如何测试部署是否生效，有没有合法压力测试建议？

问：如何测试部署是否生效，有没有合法压力测试建议？

答：答：使用厂商提供的压力测试工具或第三方合规服务（事先与ISP和WAF厂商沟通并获得授权），模拟HTTP洪水和高并发请求；同时用日志观察是否被边缘拦截、源站流量是否被白名单限制，最后复核业务响应和误报率。

来源：如何部署WAF与DDoS防护服务以降低柬埔寨服务器受到攻击的概率