大家来讨论一个服务器安全性问题

我们的项目中经常会调用一些三方接口,比如 OSS、发送短信、发送邮件这些三方服务。

在向这些服务发起请求时,是会向对方暴露我们服务器的 真实IP地址,而且一些三方服务可能还会有 IP白名单配置,由此看来暴露服务器的 IP 地址无法避免。

如果我对接的是一些小的三方服务商,假如他们「不老实」,收集我们的服务器 IP 地址,然后卖给我的同行,或者扫描我的服务器端口进行攻击或者 DDOS 怎么办?

难道再搞一台代理服务器?但是就为了发一个请求成本也太高了。
或者给服务器上开一个 ladder ?:joy:

大家在日常开发中有遇到类似问题的吗?都是怎么处理的?

悲观者永远正确,乐观者永远前行。
《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
《G01 Go 实战入门》
从零开始带你一步步开发一个 Go 博客项目,让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。
讨论数量: 32

套cf,请求做限流处理

1个月前 评论
MArtian (楼主) 1个月前
deatil (作者) 1个月前

这个是不可避免的,只要你访问他人就一定会暴露ip

1个月前 评论

代理也避免不了DDoS攻击把。只是代理服务器可以单独拎出来做好防御DDoS攻击的策略,尽量转发安全的请求。

1个月前 评论

你怀疑它们会不老实,那为什么不直接使用大厂的服务呢。你认为成本过高,是因为业务没有正面价值?那干你的意义?

1个月前 评论
MArtian (楼主) 1个月前

通过网络隔离或防火墙来过滤掉所有外部流量,如果服务器提供的服务都是通过反向代理或者 LB 提供的,那么把服务器的防火墙规则设置为仅允许出反向的外部流量,入方向的流量仅允许反向代理或 LB 的 IP。

1个月前 评论
sanders

我理解得加钱,我记得之前尝试过阿里云的一个安全类产品,原理是通过 CNAME 将你的 IP 地址藏到后面,它替你挡一层。

另外能否配置弹性 IP 限制只能出不能进,这个我还没试过。

1个月前 评论
九霄道长

不行就买个代理池,也不贵

1个月前 评论

讲一个第四方支付的案例,场景是需要给接入方发送 http 回调,这个过程中可能会暴露业务服务器 IP。

服务器配置:业务服务器 A,代理服务器 B,两台服务器都部署在阿里云。

服务器 A 的所有出口流量都走内网通过代理服务器 B 流出。

通过阿里云安全组禁用代理服务器 B 所有外网流入流量(内网放行),这样可以一定程度上防止攻击(目前还是理论,没被 DDoS 过)

1个月前 评论
_New (作者) 1个月前
_New (作者) 1个月前
MArtian (楼主) 1个月前
_New (作者) 1个月前
MArtian (楼主) 1个月前
MArtian (楼主) 1个月前

ddos也是有成本的

1个月前 评论
小李世界 1个月前
Noctis (作者) 1个月前
小李世界 1个月前

你难道不知道可以有网关,网关可以控制只出不进?

1个月前 评论

这个只有你的服务对公网进行访问,都有被ddos的可能(cdn防火墙也可能被打趴),就像只要出门就可能被车撞死这种,解决方案就是不出门

1个月前 评论

你的问题多虑了

1个月前 评论

这个世界有一堆人天天扫公网的机器, 即使你一台啥也没有的服务器上线一段时间, 看NGINX日志也会有莫名的IP访问, 所以我感觉想通过隐藏自己来100%避免攻击是无意义的

1个月前 评论
MArtian (楼主) 1个月前
_jue

扫你ip多块,写个循环,很快就能扫到你,这没办法避免吧

1个月前 评论

全部自建就好了。

1个月前 评论

cf和代理,最多隔绝的客户和主机之间的真实连接。如果主机开放了端口,还是会被扫描到,除非主机不开放外部端口。

1个月前 评论
陈先生
  1. 阿里云的 DCDN (本质上是动态 CDN)
  2. 负载均衡
  3. WAF
  4. 使用 Lua 脚本在 Nginx 层面做
  5. 硬扛

加钱解决一切问题

1个月前 评论

入网IP和出口IP不一样就行了啊。

阿里云做SNAT/DNAT

1个月前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!