背景

最近為了扛 DDoS 攻擊，從移動(dòng)公司申請(qǐng)了一臺(tái)服務(wù)器，移動(dòng)公司免費(fèi)提供流量清洗功能。但由于沒(méi)有備案，移動(dòng)公司不允許開(kāi)通 80 端口。

目標(biāo)

為了盡快啟用這臺(tái)擔(dān)負(fù)著負(fù)載均衡和反向代理（其實(shí)沒(méi)有負(fù)載均衡）的服務(wù)器，我計(jì)劃使用 https 協(xié)議，利用 443 端口從而避開(kāi) 80 端口為客戶(hù)提供正常服務(wù)。同時(shí)通過(guò)使用 https 協(xié)議，使得網(wǎng)站訪(fǎng)問(wèn)更加安全。

步驟

選擇證書(shū)頒發(fā)機(jī)構(gòu)

有很多證書(shū)頒發(fā)機(jī)構(gòu)，以前也使用過(guò) StartSSL 的證書(shū)，但后來(lái)被中國(guó)的企業(yè)收購(gòu)了，因此直接排除。當(dāng)前免費(fèi)又火的證書(shū)頒發(fā)機(jī)構(gòu)當(dāng)屬 Let's encrypt 了，因此本次我也采用該機(jī)構(gòu)的證書(shū)。

設(shè)置正常的訪(fǎng)問(wèn)規(guī)則和安全規(guī)則

1. 設(shè)置應(yīng)用服務(wù)器；
2. 設(shè)置反向代理服務(wù)器；
3. 設(shè)置域名解析；

設(shè)置應(yīng)用服務(wù)器

• 將所有應(yīng)用都配置好；
• 通過(guò) PM2 統(tǒng)一的配置文件運(yùn)行所有應(yīng)用；
• 應(yīng)用服務(wù)器防火墻開(kāi)放 8000 ~ 8999 區(qū)間的端口；
• 設(shè)置安全組。入方向只允許所有 IP 地址訪(fǎng)問(wèn) 22 的 TCP 端口，以及反向代理服務(wù)器的 IP 地址訪(fǎng)問(wèn) 8000 ~ 8999 的 TCP 端口；出方向允許所有端口和協(xié)議；

設(shè)置反向代理服務(wù)器

• 在反向代理服務(wù)器上配置所有應(yīng)用服務(wù)器應(yīng)用的域名解析；

設(shè)置域名解析

• 將所有域名解析都指向反向代理服務(wù)器的 IP 地址；

配置 https 協(xié)議

參考資料