1.
先规划:把站群按功能分层(反代层、应用层、采集/爬虫层、管理控制台)。每台机器最多承载一类功能;每类功能使用独立子网和多IP。小分段:1) 最低权限原则;2) 明确暴露端口(HTTP/HTTPS、SSH控制端口),其余端口内网可见;3) 日志集中化与最小化数据保留。
2.
步骤详解:1) 查看网卡:ip addr show eth0;2) 添加IP:sudo ip addr add 203.0.113.10/32 dev eth0 label eth0:10;3) 持久化(Debian/Ubuntu):在 /etc/network/interfaces 加入 iface eth0:10 inet static ... 或使用Netplan写入配置;4) 验证:ip addr show 确认多个IP存在。小分段:为每个站点或代理分配独立IP并记录WHOIS与归属。
3.
实操示例:1) 对于每个站点在server块中使用listen 203.0.113.10:80; server_name example.com; 2) 反代上游时强制源IP:proxy_bind 203.0.113.10; proxy_set_header Host $host; 3) 使用map和变量做统一速率限制;4) SSL:为每个IP/域名配置独立证书或使用SNI。小分段:避免同一IP托管过多站点以降低被连累风险。
4.
基础规则:1) 清空并默认DROP:iptables -F; iptables -P INPUT DROP; iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT;2) 允许SSH/HTTP/HTTPS到指定IP:iptables -A INPUT -d 203.0.113.10 -p tcp --dport 80 -j ACCEPT;3) 限速SSH:iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j REJECT。进阶:使用ipset维护黑名单IP集合并定期更新。小分段:保存规则 sudo iptables-save > /etc/iptables/rules.v4。
5.
配置步骤:1) 安装fail2ban:sudo apt install fail2ban;2) 创建 /etc/fail2ban/jail.local,针对nginx-login/nginx-req-limit定义filter和action,使用 iptables-multiport 动作封禁特定源IP对应的虚拟IP;3) 部署ModSecurity+OWASP CRS:sudo apt install libapache2-mod-security2 或为nginx编译 ModSecurity-nginx,启用规则集;4) 自定义规则拦截异常请求并写入日志,结合fail2ban根据WAF日志封禁。小分段:测试规则用curl构造攻击样例并观察触发。
6.
操作要点:1) 使用haproxy或nginx作为出口代理层,按域名/路径将流量绑定到不同源IP;2) 定时脚本用ip addr del/add实现IP轮换(但需注意上游DNS缓存与证书问题);3) 对外请求添加一致的Header和随机化User-Agent池,避免单IP高相似度指纹;4) 对敏感站点使用独立托管与CDN。小分段:轮换时需先在防火墙/ACL中放行新IP。
7.
实现步骤:1) 集中日志:rsyslog/Fluentd 将nginx/access/error、modsec、fail2ban日志汇聚到ELK或Grafana+Loki;2) 配置Prometheus监控端点、exporter并设置Alertmanager告警(流量突增、封禁频繁、CPU/IO异常);3) 建立巡检脚本每天核对IP黑名单、证书有效期和磁盘空间;4) 定期备份配置:crontab + git 私有仓库。小分段:对日志做索引以迅速定位被攻击的IP和受影响站点。
8.
答:不会必然触及,但要注意合规。实操建议:1) 在使用前核查服务商合约与IP用途限制;2) 避免发送垃圾邮件或进行违规爬虫;3) 对敏感内容咨询律师或当地合规团队;4) 遇到ISP封锁,保存通信记录并按流程申诉。
9.
答:可按步骤排查:1) 查看nginx/access日志并按“remote_addr”统计访问量;2) 在防火墙日志/iptablesulog或ipset中查询封禁记录;3) 在ELK中按IP聚合分析异常请求序列;4) 若要临时隔离,使用iptables -I INPUT -s
10.
答:实践要点:1) 分层部署、限权与最小暴露端口;2) 使用WAF+fail2ban做动态防护并配合速率限制;3) 日志与告警实时监控以便快速响应;4) 对关键站点使用独立IP和CDN做冗余;5) 定期演练恢复与IP轮换流程,确保变更可回滚。