前提
我在之前有写过使用宝塔waf以及edgeone的防御博文,有幸在HonRain Cloud拿到测试的高防vps机器,突发奇想,我想让这台高防机器成为我的专属waf,那就是使用nginx反代然后开启宝塔的waf插件实现防御cc,高防机器可以防御ddos。这是我一个思路。域名解析到高防机器上面,然后反代到源站服务器上面。高防开启宝塔waf。(虽然这种做法有点多余,不过这个做法建议用在哪些买高防vps的,低配置且有高防御的。)
HoRain Cloud
HoRain与腾讯云、天翼云、UCloud、AWS等多家公有云签有代理商协议,HoRain由 北京辰帆科技 运营主营国内物理机,便宜高性价比。增值电信业务许可B1-20203595 B1B2证齐全,安全有保障。旗下有vps 物理机 cdn ssl等业务。满足日常使用。
拿到机器第一件事情先来看看这台机器的配置以及测试一下这台vps的性能。
与目前市场性价比以及机器性能相比之下,他家更优秀一些。这片文章就是基于高防 vps 写的。独享性能。防御也是独享。他家的物理机,便宜还好用,性价比会更高。
网络测试也是超级不错的。
准备
事不宜迟我们开始部署。以下使我们所需求的产品以及环境
- 域名
- 高防机器(物理机)(vps)(我推荐horain的机器,还可以蹲特价机。蓝蓝的链接horain)
- 源站服务器(我们部署网站运行的服务器)
- 宝塔waf插件(以及宝塔)
部署
宝塔的安装我就不在讲了,可以看看我往期的文章。高防机器打开宝塔安装NGINX和waf插件。
创建站点添加反向代理。这个是nginx的一个转发原理,在nginx中可以配置相关参数。我们要转发给自己的站点,需要配置配置一下。(比如我们要给waf.acg.ltd
套娃给源站,我们则需要在目标url设置waf.acg.ltd,发送域名也是这个才行。部署完之后会陷入一个重定向死循环,毕竟这个域名解析在我们高防机器,转发还是到高防机器上面,所以我们要把这个高防机器的转发固定ip上面。没错就是修改host文件实现)
修改host
实现转发到源站服务器上面。打开文件夹/etc添加为ip waf.acg.ltd
这样就给服务器指向固定的源站ip了。
配置ssl访问测试一下,如果出现500,需要重启一下nginx。重启之后访问即可正常。
配置宝塔waf
这个需要根据个人需求来设置,我就来推荐一下我配置的。
这样我们就部署好了。cc有宝塔的waf来拦截,ddos也是d到高防上面。源站ip也不会暴露。horain的高防机器很好用,推荐使用。这种方法可以代理的站点不只有一个。配置够的话。理论上无限。
测试防御
可以看到 cc 防御全被宝塔拦截啦。而 ddos 是走的高防机器的 ip。horain 的高防无压力。
后续我们可以根据实际情况,使用宝塔的 waf 进行限制。已经比较安全啦,如有写的错误的地方,还请大佬们多多指教。
参与讨论