浅谈网站防护措施

昨天晚上在十年之约的QQ群中，看到两位博主在吵架，起因是一位博主的网站访问较慢，说可能被ddos攻击了，另一位博主就回复“你这网站也配被攻击？人家攻击不要成本的吗”（这句话被撤回了，所以截屏上面没有）因为这句话，两位博主在群内吵了起来。

为了当事人的隐私，我们以在群内等级头衔白银和黄金来称呼他们。且不说两位博主吵架的行为是不是正确的，单纯从对话内容当中，可以了解到，白银博主认为别人ddos或者cc攻击他人网站是需要钱的，可能以他的理解，认为这个成本很大，一般不会有人浪费成本去攻击个人网站。随后黄金博主贴出了阿里云短信通知，服务器遭受异常流量攻击已经被屏蔽，证明自己的服务器遭受了攻击。

其实到这为止，就应该能确定了，黄金博主服务器确实被攻击了，导致网站服务加载缓慢。而白银博主还觉得，自己是在好心解释却不被理解。

而我作为一位旁观者，我觉得，未经他人苦，莫劝他人善，白银博主自己网站没有被攻击过，他就觉得个人网站没有人会去攻击，用他的原话就是“不配”被攻击，但是他可能不清楚，现在的攻击成本会有多低。这个攻击不针对大公司的网站，我们单论个人博主的网站，我并不是一名专业的网络安全工程师，所以对于网络攻击方面也不是很清楚，但我知道的是，在国外的一些社交平台上面，会有很多免费的攻击资源，以这些免费资源为例，基本上可以将一台个人博主使用的轻量服务器打进黑洞。

而作为个人网站的站长，我们也需要时刻保护好自己的网站，我也是一名小白站长，但在建站的过程中，也学习了很多防护措施，下面会以本博揽星为例，讲解一下揽星现在的防护方案，也希望能帮助到其他站长。

揽星部署在阿里云杭州的一台ECS上面，先看CDN方面，通过揽星的CNAME记录可以看到，中国大陆的解析为百度智能云DNS，而中国香港解析为888033.xyz，如果查看更全面解析，则会发现港澳台地区和海外解析均是888033.xyz

国内访问使用百度智能云加速，可以提高访问速度，并且隐藏原IP，而港澳台及海外地区解析到888033.xyz，则是因为海外线路均是通过SAAS方案接入了cloudflare，因为非大陆访问的时候，你完全可以相信cloudflare。

而使用国内CDN的时候，需要配置好防护，例如CDN的QPS阈值、单请求响应限速、以及用量封顶。

在配置好CDN的时候，如果你有多余的服务器，可以安装一个长亭雷池，雷池（SafeLine）是长亭科技耗时近 10 年倾情打造的 WAF，核心检测能力由智能语义分析算法驱动。而社区版是免费的。

雷池可以和网站服务部署在同一台服务器，也可以分开部署，我的建议是分开部署，可以降低负载。因为我们网站的海外流量均是由cloudflare分流，因此雷池只需要处理国内流量即可。

雷池可以拦截SQL注入、XSS等恶意攻击行为，并且要求作出行为验证，同时还有IP情报黑名单，可以共享恶意IP信息。

当网站存在非正常访问行为时，雷池会立刻拦截，并且记录数据，若高频恶意攻击的话，可以开启人机验证或直接封禁对应IP。

除了上述防护以外，由于个人博客存在评论功能，且部分网站评论回复是有邮件通知的，因此在邮件功能上面需要注意防范。因为部分邮件通知在原文内会携带服务器源IP，因此建议将邮件通知改为阿里云邮件推送或者阿里企业邮，能有效处理源IP暴露的风险。

当然，就算做好了防护，也可能面临被攻击的风险，我们只能把这个风险降低，而没办法做到规避风险。最后，需要提醒各位站长，做好网站防护是作为一名站长的职责，但必要时可以通过法律途径维护自己的权益。