浅谈网站安全防御

现在的网络环境危机重重,DDOS和CC攻击的成本越来越低,导致有些站长的网站经常会被恶意攻击,这些攻击除了增加硬件成本以外,通过一些简单的设置,也可以起到一些防御作用,本篇文章就简单说一下网站关于预防攻击的简单设置

禁用端口

现在的网站大多都是托管于云服务器,云服务器基本上都会有防火墙或者安全组策略,核心就是

关闭一些用不大的端口,仅保留80和443端口即可,如果网站有其他服务,就需要开放对应的端口
最重要的一条是,一定一定要修改SSH连接的端口,默认的端口暴露会很容易导致被暴力破解

用户密码

密码一定要设置复杂些,不要因为担心会忘记就设置简单密码,简单密码被破解的概率很大,一般大小写加特殊字符就基本满足密码安全强度
服务器不要创建过多的用户,过多的用户会增加泄露的风险

安装防御插件

新手用户推荐使用类似于宝塔面板之类的运维工具,图形化操作,简单快捷,其中宝塔面板的防火墙插件可以基本满足中小型网站的防御要求,需要注意此插件需要收费
以宝塔面板的防火墙为例,简单介绍大体的设置项
1.首先如果网站面向对象是国内用户的话,可以选择禁用海外访问来防止国外的一些扫描器的恶意扫描,不过禁用海外访问会导致google和bing的收录收到影响
2.通过设置UA黑名单可以排除一些恶意蜘蛛对网站的抓取,这些蜘蛛对网站收录以及流量没有帮助,反而会影响网站流量和流畅度
常见的无用蜘蛛
SemrushBot
YandexBot
DataForSeoBot
BLEXBot
AhrefsBot
3.有些经常恶意扫描的固定ip可以放到黑名单里,防止该ip继续扫描网站数据,不过由于ip的不固定性,不推荐直接把ip放进黑名单,有可能会导致正常用户无法访问网站
4..其他的一些设置可以根据自己的业务个性化修改

CDN

建议有能力的可以给网站使用CDN,使用CDN可以大概率隐藏自己服务器的真实IP,但不能百分百隐藏,不过可以预防一些简单的DDOS攻击
除此以外,使用CDN可以预防一部分CC攻击,因为所有的请求都会直达cdn节点,不会对源服务器造成影响
这里需要注意的是,使用CDN有可能会被恶意刷流量
CDN并不是免费的,用户的所有请求的下载流量都是需要付费的,不过可以通过一些简单的设置尽可能的避免被恶意刷流量
这里以腾讯CDN为例

通过设置IP访问限频配置来限制单个用户的访问频率,一般小型网站设置60左右即可,这个值需要根据自身的网站规模来设置,设置过低会导致用户访问网站出现异常
通过设置下行限速配置来限制CDN节点下行到用户的带宽,这个同样也是根据自身网站规模设置即可,小型网站图片不多的话,可以设置为512k/s左右,如果图片文件多或者网站规模大需要提高该值,防止用户访问网站加载过慢
最重要的一点是要设置用量封顶配置,该配置可以通过限制某段时间内流量累计用量,不过由于这个限制是10分钟左右生效,不能百分百防止恶意刷流量,只能及时止损