高防服务器(Anti-DDoS Server)的端口防护,核心目标是 防止端口被扫描、利用、耗尽资源或被 DDoS 攻击打穿。下面从 策略、工具、配置、实战经验 四个层面系统讲一下。
—
## 一、端口防护的核心思路
原则:
> 能不开的端口不开
> 能不对外的不对外
> 能限制来源的限制来源
> 能加密的加密
—
## 二、端口层面的基础防护(必做)
### 1️⃣ 最小化开放端口
只开放 必须端口:
- Web:80 / 443
- SSH:22(建议改端口)
- 数据库:3306 / 5432 / 6379 不对外
- 游戏 / 业务端口:按需
✅ 示例(推荐)bash<br>开放:80, 443, 自定义SSH端口<br>关闭:21, 23, 3389, 所有数据库端口<br>
—
### 2️⃣ 修改默认端口(防扫描)
| 服务 | 默认端口 | 建议 |
|----|----|----|
| SSH | 22 | 改为 5xxxx |
| MySQL | 3306 | 内网 |
| Redis | 6379 | 内网 |
| RDP | 3389 | 禁用或改端口 |
—
### 3️⃣ 使用防火墙限制端口访问
#### Linux(iptables / firewalld)
##### firewalld 示例bash<br># 只允许指定IP访问SSH<br>firewall-cmd --permanent --add-rich-rule='<br>rule family="ipv4"<br>source address="1.2.3.4"<br>port protocol="tcp" port="2222" accept'<br>
##### iptables 示例bash<br>iptables -A INPUT -p tcp --dport 2222 -s 1.2.3.4 -j ACCEPT<br>iptables -A INPUT -p tcp --dport 2222 -j DROP<br>
—
## 三、结合高防能力进行端口防护
### 4️⃣ 高防 IP / 转发端口策略
✅ 业务端口 ≠ 真实服务器端口text<br>用户 → 高防IP(80/443) → 源站(8080/8443)<br>用户 → 高防IP(游戏端口) → 源站(内网端口)<br>
优点:
- 隐藏真实端口
- 高防清洗后回源
- 源站不直接暴露
—
### 5️⃣ 回源 IP 白名单(关键)
⚠️ 最重要的一步
只允许高防回源 IP 访问源站端口。
示例(Nginx / 系统防火墙):bash<br>iptables -A INPUT -p tcp --dport 8080 -s 高防回源IP -j ACCEPT<br>iptables -A INPUT -p tcp --dport 8080 -j DROP<br>
—
## 四、Anti-DDoS 专项端口防护
### 6️⃣ 防止 UDP 反射攻击(高危)
UDP 常被用于:
- NTP
- SSDP
- DNS
- Memcached
✅ 建议:
- UDP 默认拒绝
- 必须 UDP 时,限制速率bash<br>iptables -A INPUT -p udp -m limit --limit 100/s -j ACCEPT<br>iptables -A INPUT -p udp -j DROP<br>
—
### 7️⃣ 限制端口连接数与速率
#### 限制单IP连接数bash<br>iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 -j DROP<br>
#### 限制新连接速率bash<br>iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 100/s -j ACCEPT<br>
—
## 五、应用层端口防护(防止“打穿”)
### 8️⃣ 端口 + 应用双重防护
端口通 ≠ 安全
✅ 配合:
- Nginx 限流
- CC 防护规则
- 人机验证(JS Challenge / Captcha)nginx<br>limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;<br>limit_req zone=one burst=20 nodelay;<br>
—
## 六、游戏 / 私服 / 高并发端口特殊防护
### 9️⃣ 游戏端口防护建议
- 使用 UDP + TCP 双高防
- 协议加密(防止协议重放)
- 白名单机制(房间制/登录制)
- Token 鉴权连接
—
## 七、常见错误(高危)
❌ 直接把 3306 / 6379 / 3389 对外
❌ 高防 IP 未做回源白名单
❌ 全端口放行
❌ UDP 全通
❌ 防火墙规则在重启后失效
—
## 八、实战推荐配置组合(标准)
✅ 高防服务器端口防护标准模板
1. 改 SSH 端口
2. 只开放业务端口
3. 高防 IP → 源站端口转发
4. 回源 IP 白名单
5. UDP 默认关闭
6. 单IP限速 + 限制连接数
7. 应用层防护(CC / 鉴权)
—
## 九、如果你愿意,我可以进一步帮你
你可以直接告诉我:
- ✅ 业务类型(Web / 游戏 / APP / 私有协议)
- ✅ 使用的系统(CentOS / Ubuntu / Windows)
- ✅ 是否已有高防
- ✅ 被攻击现象(掉包 / 封端口 / CPU 打满)
我可以 直接给你一套可复制的端口防护方案(含规则) ✅