看了置顶文章,分享一些个人关于后端优化和防御方案的观点。首先,最外层使用ESA作为CDN和WAF,中间层是服务器上的nginx组件作为反代服务器和WAF,底层则是业务容器。具体措施包括:1. ESA回源时带指定header,不正确的header封禁ip1小时;2. nginx禁止不带合法域名访问和非正确http协议,封禁ip1小时;3. 服务器公网仅开放非80端口和wireguard端口;4. ESA的waf开启频次防御,n秒内访问m次封禁;5. nginx的waf禁止访问特定目录前缀后缀,封禁ip一小时;6. 业务代码优化,减少资源使用;7. 热接口添加singleflight和缓存;8. 静态资源走cdn;9. 使用Pyroscope和otel监控优化;10. 选择适合的组件如pg、loki和go。这些措施基本无成本,能有效防御多数攻击。

标签: none

评论已关闭