【防御进阶篇】使用NGINX反代搭配宝塔waf实现防御
原创
前提
我在之前有写过使用宝塔waf以及edgeone的防御博文,最近买了一台高防机器,突发奇想,我想让这台高防机器成为我的专属waf,那就是使用nginx反代然后开启宝塔的waf插件实现防御cc,高防机器可以防御ddos。这是我一个思路。域名解析到高防机器上面,然后反代到源站服务器上面。高防开启宝塔waf。(虽然这种做法有点多余,不过这个做法建议用在哪些买高防vps的,低配置且有高防御的。)
目录
准备
- 域名
- 高防机器(物理机)(vps)(我推荐horain的机器,他家的机器很好用,还可以蹲特价机。)
- 源站服务器(我们部署网站运行的服务器)
- 宝塔waf插件(以及宝塔)
部署
宝塔的安装我就不在讲了,可以看看我往期的文章。高防机器打开宝塔安装NGINX和waf插件。
创建站点添加反向代理。这个是nginx的一个转发原理,在nginx中可以配置相关参数。我们要转发给自己的站点,需要配置配置一下。(比如我们要给waf.acg.ltd套娃给源站,我们则需要在目标url设置waf.acg.ltd,发送域名也是这个才行。部署完之后会陷入一个重定向死循环,毕竟这个域名解析在我们高防机器,转发还是到高防机器上面,所以我们要把这个高防机器的转发固定ip上面。没错就是修改host文件实现)
修改host实现转发到源站服务器上面。打开文件夹/etc添加为ip waf.acg.ltd 这样就给服务器指向固定的源站ip了。
配置ssl访问测试一下,如果出现500,需要重启一下nginx。重启之后访问即可正常。
配置宝塔waf
这个需要根据个人需求来设置,我就来推荐一下我配置的。
这样我们就部署好了。cc有宝塔的waf来拦截,ddos也是d到高防上面。源站ip也不会暴露。horain的高防机器很好用,推荐使用。这种方法可以代理的站点不只有一个。配置够的话。理论上无限。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。