在香港服务器租用后，配置 CDN（内容分发网络）是防御 DDoS 攻击和 Web 应用攻击的有效手段。通过合理的 CDN 配置，可以隐藏服务器 IP、过滤恶意流量，并提高网站访问速度。

1. 为什么使用 CDN 防御 DDoS 和 Web 攻击？

1.1 CDN 的主要功能

1. 隐藏源站 IP：
   • 通过将流量引导到 CDN 节点，源站 IP 不直接暴露，减少被直接攻击的风险。
2. 流量分发：
   • CDN 将访问流量分散到全球节点，缓解单点高并发压力。
3. 防护功能：
   • 提供 DDoS 防护、Web 应用防火墙（WAF）等功能。
4. 缓存静态内容：
   • 减少源站负载，提高访问速度。

1.2 防御 DDoS 和 Web 攻击的效果

• DDoS 防护：通过流量清洗和速率限制，过滤掉恶意流量。
• Web 应用防护：防止 SQL 注入、跨站脚本（XSS）、文件包含等攻击。

2. 选择合适的 CDN 服务商

根据业务需求选择具备强大防护能力的 CDN 服务商。推荐以下服务商：

1. Cloudflare：提供免费 DDoS 防护和 WAF，支持 HTTPS。
2. 阿里云 CDN：适合国内访问，带宽和防护能力强。
3. 腾讯云 CDN：针对国内外用户的加速和防护。
4. Imperva（Incapsula）：提供企业级的 DDoS 防护和 WAF。
5. Akamai：全球覆盖能力强，适合高端企业用户。

3. 配置 CDN 的基本步骤

3.1 添加网站到 CDN

1. 登录 CDN 服务商的控制面板。

2. 添加网站域名：

   • 输入你的域名（如 example.com）。
   • CDN 系统会扫描你的 DNS 记录。

3. 更新 DNS：

   • 将域名的 DNS 服务器修改为 CDN 提供的 DNS 地址。例如：
      

      

     ns1.cloudflare.com
     ns2.cloudflare.com
     

   • 修改后，香港服务器所有流量会先经过 CDN，再转发到源服务器。

3.2 配置源站信息

1. 添加源站 IP：

   • 在 CDN 控制面板中，配置源站服务器的真实 IP 地址。
   • 源站 IP 应仅允许 CDN 节点访问，拒绝直接公网访问（见第 4 点）。

2. 配置回源协议：

   • 确保 CDN 和源站之间使用 HTTPS 通信，避免中间人攻击。

3.3 启用 HTTPS

1. 申请 SSL 证书：

   • 如果 CDN 提供免费 SSL（如 Cloudflare），直接启用。
   • 或者上传自己的 SSL 证书到 CDN 平台。

2. 配置 HTTPS 模式：

   • 在 CDN 控制面板中选择合适的 HTTPS 模式：
     • Flexible：CDN 和客户端使用 HTTPS，但 CDN 与源站使用 HTTP。
     • Full：CDN 和客户端、CDN 与源站都使用 HTTPS（推荐）。
     • Full (Strict)：要求源站有有效的 SSL 证书（最安全）。

4. 隐藏源站 IP 防止直接攻击

4.1 限制源站访问

1. 配置防火墙规则：

   • 只允许 CDN 节点的 IP 访问源站（如 Cloudflare 提供 CDN 节点 IP 列表）。
   • 使用 iptables 或云防火墙配置规则。例如：
     bash

      

     # 允许 Cloudflare 节点 IP 访问
     iptables -A INPUT -p tcp -s <CDN_IP> --dport 443 -j ACCEPT
     iptables -A INPUT -p tcp --dport 443 -j DROP
     

2. 启用源站访问白名单（在 WAF 中配置）：

   • 在源站服务器设置访问白名单，仅允许 CDN 的 IP 地址访问。

4.2 检查源站 IP 泄露

1. 域名历史解析查询：

   • 使用工具（如 SecurityTrails）检查是否有历史解析记录泄露源站 IP。

2. 邮件记录检查：

   • 如果源站服务器同时用于邮件服务（如 SMTP），可能会泄露 IP，建议分离邮件服务器。

3. 移除泄露的 IP：

   • 如果源站 IP 已泄露，联系主机服务商更换新的 IP 地址，并重新配置防火墙规则。

5. 配置 DDoS 防护

5.1 启用 DDoS 防护

1. 流量清洗：

   • CDN 服务商会自动检测海量恶意流量，并清洗掉异常请求。

2. 速率限制：

   • 在 CDN 控制面板中配置每个 IP 的请求速率限制。例如：
     • 每秒最多允许 100 个请求。
     • 超过后临时封禁该 IP。

5.2 防止恶意流量滥用

1. 基于 IP 的访问控制：

   • 启用 IP 黑名单/白名单：
     • 黑名单：阻止已知恶意 IP。
     • 白名单：只允许特定 IP 访问。

2. 基于地理位置的限制：

   • 如果业务只面向某些地区，可以屏蔽其他地区的访问。

6. 配置 Web 应用防火墙（WAF）

6.1 启用 WAF

1. 防护常见攻击：

   • 启用 WAF 规则，自动防御以下攻击：
     • SQL 注入（SQLi）。
     • 跨站脚本（XSS）。
     • 文件包含（LFI/RFI）。
     • 跨站请求伪造（CSRF）。

2. 自定义规则：

   • 针对网站特定需求，设置自定义防护规则。例如：
     plaintext

      

     Block: Any POST request containing "DROP TABLE"
     

6.2 配置防护级别

1. 启用 Bot 管控：

   • 阻止恶意爬虫和自动化工具的访问。
   • 配置 Captcha 验证，拦截高频访问的 IP。

2. 启用 OWASP 规则集：

   • 使用 OWASP 推荐的规则集，覆盖大部分常见的漏洞攻击。

7. 监控与日志分析

7.1 实时监控流量

• 使用 CDN 提供的控制面板查看实时流量：
  • 检测异常访问峰值。
  • 查看被阻止的恶意请求。

7.2 分析日志

• 下载和分析请求日志：
  • 检查哪些 IP 被频繁阻止。
  • 查看攻击来源和攻击类型。

8. 总结：安全配置步骤

8.1 基本配置

1. 将域名解析到 CDN，并隐藏源站 IP。
2. 配置 HTTPS，确保流量加密。
3. 配置防火墙，仅允许 CDN 节点访问源站。

8.2 DDoS 防护

1. 启用流量清洗和速率限制。
2. 配置地理位置和 IP 黑白名单。

8.3 Web 应用防护

1. 启用 WAF，防止常见漏洞攻击。
2. 定制规则，针对业务需求强化防护。

8.4 持续监控

1. 实时监控流量和攻击行为。
2. 定期分析日志，优化防护策略。

通过合理配置 CDN，不仅可以有效防御 DDoS 和 Web 攻击，还能加速网站访问，提升用户体验和安全性。