1.
概述与目标
- 目标:在香港HKT托管服务器上实现高可用与安全的生产环境。
- 范围:服务器、VPS、域名解析、CDN加速、DDoS防护与入侵检测。
- 风险面:暴力破解、0day利用、DoS/DDoS、Web应用攻击与内网横向移动。
- 输出:一套可复用的加固步骤与检测规则集、应急响应流程。
- 要求:低影响上线、日志集中、性能监控与攻击告警阈值明确定义。
2.
基础系统加固
- 账号与认证:禁用root直连,使用非标准端口+公钥登录;SSH示例:PermitRootLogin no。
- 最小化安装:只保留必要服务,关闭未用端口并核查netstat输出。
- 内核与网络:调整sysctl(如net.ipv4.tcp_syncookies=1),限制SYN队列。
- 包与补丁管理:至少每周自动检查更新,紧急补丁48小时内应用。
- 防火墙策略:基于stateful规则,默认拒绝输入,允许必要服务端口并记录拒绝日志。
3.
网络防护与DDoS缓解
- CDN+WAF:前置CDN(建议HKT+第三方)做缓存与层级清洗,Web流量首选WAF策略。
- BGP/流量清洗:在遭遇大流量攻击时启用上游清洗(如带宽峰值转移到清洗中心)。
- 速率限制:在边缘和主机上设置连接与请求速率阈值,常见阈值示例:每IP每秒50个连接。
- 黑白名单:对已知恶意ASN/IP黑名单在路由器层面拦截。
- 日志与流量采样:采集Netflow/sFlow用于历史回溯与攻击特征提取。
4.
入侵检测与响应部署
- 工具选择:推荐组合Suricata(网络IDS)、Wazuh/OSSEC(主机IDS)与Zeek(流量分析)。
- 规则管理:使用ET规则+自定义阈值,关键规则示例:异常端口扫描、SSH暴力破解识别。
- 日志集中:使用Elasticsearch+Filebeat集中日志,设置7天热数据、30天冷数据保留策略。
- 告警策略:设定高/中/低优先级,关键事件(root提权/外联C2)即时短信+邮件告警。
- 定期演练:每季度演练一次入侵响应,验证检测、隔离与恢复步骤。
5.
实操配置示例与性能数据
- 示例服务器:4 vCPU、8GB RAM、500GB NVMe、1Gbps 专用带宽(HKT机房)。
- 防火墙示例:iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -m recent --set。
- IDS策略:Suricata并发处理可在该配置下支持约4K conn/s检测量(单实例)。
- 日志容量估算:1000并发连接,日志每天约20GB,建议日志盘2TB并做异地备份。
- 数据表展示如下:
| 项 | 配置 | 说明 |
|---|
| CPU | 4 vCPU | 虚拟化常见配置 |
| 内存 | 8 GB | 支持基本IDS/日志 |
| 磁盘 | 500 GB NVMe | 日志与数据库用 |
| 带宽 | 1 Gbps 专用 | 峰值需上游清洗 |
| DDoS防护 | 清洗+CDN | 建议按流量计费 |
6.
真实案例:香港电商双十一DDoS事件
- 背景:某香港电商在促销期间遭到多向量DDoS,流量峰值约200 Gbps。
- 处置:启用上游清洗,切换CDN边缘,隔离受影响节点。
- 结果:30分钟内主站吞吐恢复至90%,清洗后留存攻击包样本用于规则定制。
- 教训:在HKT机房应预置清洗联动流程与备用域名解析切换脚本。
- 建议:签署SLA并预留按流量扩展的清洗额度,避免滞后响应。
7.
监控、演练与持续改进
- 常态监控:CPU、内存、连接数、异常流量与应用响应时间。
- 告警联动:自动化脚本进行限流、放黑与通知运维。
- 恢复计划:定期备份配置与快照,保证30分钟内可启动备用实例。
- 演练频率:至少半年一次全链路破坏恢复演练,验证DNS/证书与数据库恢复。
- 持续改进:根据日志与威胁情报更新IDS规则和WAF策略,确保防护效果不断提升。
来源:香港hkt托管服务器安全加固与入侵检测部署实操指南
