高防服务器操作系统网络连接如何设置

高防服务器操作系统网络连接设置
一 规划与准备
- 明确接入方式：多数高防以CNAME或高防节点IP接入；若使用高防IP直连，需要在操作系统内配置业务IP、掩码、网关与回程路由；若使用CNAME，则源站操作系统保持原内网/私网通信，域名层面切换解析即可。
- 准备网络参数：向机房或云厂商获取业务网段、网关、可用IP列表、VLAN/掩码；确认是否需要静态路由或策略路由以回指防护/清洗中心。
- 连接方式选择：对外服务使用公网IP；与同VPC/内网资源互访使用私网IP；跨VPC或专线场景按需配置内网互通与路由。
- 变更风险控制：远程修改前准备控制台/VNC/带外应急通道；变更默认网关或删除默认路由前，先在本地或控制台保留一条可用会话，避免失联。
二 Windows 设置步骤
- 单网卡/单网关场景
1) 打开适配器：运行输入ncpa.cpl；在对应网卡“属性”→“Internet 协议版本4/6（TCP/IPv4/IPv6）”→“高级”，填写IP/掩码/网关；仅保留一个默认网关。
2) 如需添加同网段别名IP：在“高级”→“IP 地址”中添加附加IP与子网掩码（常用于高防回源或额外业务IP）。
3) 验证：执行ipconfig /all、route print，确认默认网关与路由表正确。
- 双网卡/双网关与回程路由
1) 仅给“外网口”配置默认网关；内网口保持“网关为空”。
2) 调整接口跃点数（metric）：外网口设为更小值（如1），确保成为首选默认路由。
3) 添加静态回程路由（示例）：以管理员运行 CMD，执行
- 永久添加：route -p add 10.0.0.0 mask 255.255.0.0 10.0.1.1 metric 30
- 查看：route print
4) 验证：tracert 到内网网段与公网地址，确认路径符合预期。
- 安全加固（可选）
- 关闭不必要的服务与组件（如NetBIOS、无用计划任务/打印服务等），减少攻击面。
- 更改RDP端口并限制来源IP；保持系统与安全补丁更新。
三 Linux 设置步骤
- 网卡与别名IP（以 CentOS/RHEL ifcfg 为例）
1) 进入网卡目录：cd /etc/sysconfig/network-scripts/
2) 复制并配置别名：cp ifcfg-eth0 ifcfg-eth0:0
3) 编辑 ifcfg-eth0:0：设置DEVICE=eth0:0、IPADDR=新增IP、NETMASK=掩码；确保仅主网卡配置GATEWAY。
4) 重启网络：systemctl restart NetworkManager 或 service network restart。
5) 验证：ip addr、ip route。
- 静态路由与回程
1) 临时添加：ip route add 10.10.0.0/16 via 192.168.1.1 dev eth1
2) 永久生效（示例，按发行版放置于对应配置目录/文件）：
- RHEL/CentOS：/etc/sysconfig/network-scripts/route-eth1
内容示例：10.10.0.0/16 via 192.168.1.1 dev eth1
- 通用方式：在 /etc/rc.local 或 systemd-networkd 配置中加入上述 ip 命令。
3) 验证：ip route show；必要时用 traceroute 检查回程。
- 安全与性能
- 使用 firewalld/iptables 实施最小端口放行；仅开放22/80/443等必要端口。
- 启用 fail2ban 保护 SSH；对关键业务使用 HAProxy/负载均衡 提升抗压与可用性。
- 高流量场景考虑 bonding/team 提升带宽与冗余。
四 高防接入与验证
- 域名接入与切换
- 在防护控制台添加域名，获取分配的CNAME；将域名 DNS 的 A/AAAA 记录改为该 CNAME，等待TTL生效。
- 如需本地验证解析是否切换，可临时编辑 C:\Windows\System32\drivers\etc\hosts（Windows）或在 /etc/hosts（Linux）绑定“高防节点IP 域名”，并用 ping/nslookup 验证；Windows 刷新 DNS 缓存可用 ipconfig /flushdns。
- 直连高防IP场景
- 操作系统按上文配置业务IP/掩码/网关；如清洗中心与源站不在同一网段，务必添加静态回程路由，确保回包经高防回源。
- 连通性与回程验证
- 外网连通：ping 8.8.8.8、traceroute 8.8.8.8
- 内网/专线连通：ping 内网网关、traceroute 目标网段
- 业务端口：telnet 域名/IP 80/443 或 curl -Iv https://域名
- 变更回滚预案
- 保留一份“网络配置快照”（Windows 的 ipconfig /all、route print；Linux 的 ip addr/route -n 与 ifcfg 文件）；异常时优先回滚网关/路由/别名IP，再恢复服务。