1.
概要与准备工作
• 确认目标:明确需要连接的
美国站群服务器数量与用途(Web、应用、数据库)。
• 准备密钥:生成并妥善保管SSH私钥(例如:id_rsa或key.pem)。
• 获取信息:记录每台服务器的公网IP、内网IP、默认端口与管理员账号。
• 环境工具:安装SSH客户端(OpenSSH)、PuTTY/WinSCP(Windows)与nmap用于端口扫描。
• 安全策略:事先规划防火墙规则、白名单IP与监控告警(如CloudWatch或Prometheus)。
2.
SSH连接示例与端口替换
• 标准命令:ssh -i /path/to/key.pem root@203.0.113.10 -p 22。
• 非标准端口示例:ssh -i /root/key.pem -p 2202 deploy@198.51.100.12。
• Windows使用PuTTY:在Session输入IP与Port,Auth中载入私钥(.ppk)。
• SCP与SFTP:scp -P 2202 file.zip user@198.51.100.12:/var/www;或用sftp -P 2202。
• 端口扫描确认:nmap -Pn -p22,80,443,3306 203.0.113.10(返回open/filtered状态以决定规则)。
3.
UFW与iptables端口管理命令示例
• UFW快速规则:ufw allow 2202/tcp;ufw allow from 203.0.113.5 to any port 22。
• 查看状态:ufw status verbose。
• iptables开放端口:iptables -A INPUT -p tcp --dport 2202 -m conntrack --ctstate NEW -j ACCEPT。
• 持久化规则(Debian/Ubuntu):apt install iptables-persistent && netfilter-persistent save。
• DNAT端口转发示例:iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 10.0.0.2:80 && iptables -A FORWARD -p tcp -d 10.0.0.2 --dport 80 -j ACCEPT。
4.
站群架构与真实配置案例
• 场景说明:某电商企业在美国部署3台VPS做站群,分担流量与分布式运维。
• Web节点:IP 203.0.113.10,Ubuntu 22.04,2 vCPU,4GB RAM,40GB SSD,开放端口 80/443/2202。
• App节点:IP 198.51.100.12,Ubuntu 20.04,4 vCPU,8GB RAM,80GB SSD,开放端口 8080/2203。
• DB节点:内网IP 10.0.0.2,CentOS 7,8 vCPU,16GB RAM,200GB NVMe,仅开放3306到App内网。
• 负载与备份:使用Keepalived做虚拟IP,数据每6小时快照备份到S3兼容对象存储。
5.
端口管理策略与最小权限原则
• 关闭不必要端口:仅保留必需端口(22/80/443/3306内部)并使用非标准SSH端口降低扫描噪声。
• 白名单策略:将管理端口限制为企业办公区或跳板机IP,示例:ufw allow from 198.51.100.50 to any port 2202。
• 使用跳板机(Bastion Host):所有管理连接先到跳板机,再从跳板机跳转到内网服务器,记录审计日志。
• 自动封禁:配置fail2ban针对SSH登录失败频繁的IP自动封禁(如 bantime = 86400)。
• 日志与告警:集中日志到ELK/Graylog,设定阈值触发Slack/邮件告警。
6.
CDN 与 DDoS 防护整合实践
• CDN接入:将静态资源交由CDN(如Cloudflare、Fastly)缓存,减轻源站带宽压力。
• WAF规则:启用CDN提供的WAF防护,拦截常见HTTP攻击(SQLi、XSS、恶意爬虫)。
• 流量清洗:遇大流量攻击时切换到"Under Attack"模式,或使用第三方清洗带宽(例如AWS Shield Advanced)。
• 源站隐藏:在DNS与防火墙上仅允许CDN节点访问源站80/443,阻断直接访问。
• 链路冗余:多机房与Anycast CDN结合,保证单点故障或区域性攻击时仍可服务。
7.
运维流程与示例检查表
• 上线前检查:确认SSH密钥、UFW/iptables规则、服务监听端口与日志路径。
• 变更管理:端口变动需变更防火墙与监控仪表盘并记录工单号。
• 常见命令清单:ss -tuln | grep 2202;iptables -L -n;ufw status numbered。
• 恢复步骤:若因误封导致不可访问,用控制台云终端或VNC登录修正规则并保存。
• 审计与备份:每月导出防火墙配置、SSH受控用户列表与快照,保存在离线安全仓库。
| 节点 |
公网IP |
配置 |
开放端口 |
| Web |
203.0.113.10 |
Ubuntu22.04, 2vCPU,4GB,40GB |
80,443,2202 |
| App |
198.51.100.12 |
Ubuntu20.04,4vCPU,8GB,80GB |
8080,2203 |
| DB |
(内网)10.0.0.2 |
CentOS7,8vCPU,16GB,200GB |
3306(仅内网) |
来源:企业实操手册美国站群服务器怎么连接并进行端口管理
