我在数据中心例行巡检中,注意到一台位于香港的数据节点 CPU 突然飙升,伴随的还有 SSH 连接数异常。查看 fail2ban 日志后,我确认这是一轮典型的暴力破解和端口扫描攻击。这类攻击虽然常见,但若防护不周,很容易造成服务中断甚至数据泄露。为此,我对服务器进行了“精细化端口访问控制”与“自动化封禁”机制部署,形成了一套高效且实战验证的防御体系,本文将完整还原这一过程。
一、架构背景与需求
我们的香港节点承担着多个海外 CDN 回源与 API 网关任务,必须同时开放 22、443、80、8080 等多个服务端口。但公网暴露端口也意味着不断暴露在扫描器和暴力破解工具的“试探”下。因此,我提出以下目标:
- 精细化控制每个端口的访问来源与行为模式。
- 实时监控非授权访问并自动封禁 IP。
- 利用 geoip 与行为阈值做差异化响应。
二、系统环境与前置配置
- 操作系统:Debian 12 x64
- 防火墙引擎:nftables(替代 iptables)
- 日志分析工具:fail2ban
- 地理识别模块:xt_geoip(基于 GeoIP2)
- 辅助工具:crowdsec(行为式防御)
三、端口访问控制策略设计
3.1 基础策略:nftables 白名单 + 动态规则
首先,我以 nftables 取代传统 iptables,编写了一套多层访问控制规则:
table inet filter {
set ssh_whitelist {
type ipv4_addr
elements = { 203.0.113.5, 198.51.100.20 }
}
chain input {
type filter hook input priority 0;
ct state established,related accept
ip saddr @ssh_whitelist tcp dport 22 accept
tcp dport 22 drop
tcp dport { 80, 443, 8080 } ct state new limit rate 25/second accept
tcp dport { 80, 443, 8080 } drop
}
}
这一策略实现了:
- SSH 强制白名单控制;
- Web 接口端口限速防御扫描爆破;
- 所有未明确允许的访问默认拒绝。
3.2 地理位置控制(xt_geoip)
对于部分管理端口,我启用了基于 xt_geoip 的地理限制:
iptables -A INPUT -p tcp --dport 8443 -m geoip ! --src-cc HK,SG -j DROP
这个规则限制只有来自香港与新加坡的 IP 才能访问后台管理面板。
四、自动化封禁策略部署
4.1 fail2ban 精细化配置
我对 SSH 和 Web 服务设置了定制化 jail 规则:
[sshd]
enabled = true
port = 22
filter = sshd
maxretry = 3
findtime = 600
bantime = 86400
action = nftables[name=sshd-ban, port=22, protocol=tcp]
[nginx-http-auth]
enabled = true
port = http,https
filter = nginx-http-auth
logpath = /var/log/nginx/access.log
maxretry = 5
findtime = 300
bantime = 43200
这样一旦出现多次失败登录或异常请求,就会自动写入 nftables ban list:
nft add set inet filter banned_ips { type ipv4_addr\; flags timeout\; }
nft add rule inet filter input ip saddr @banned_ips drop
4.2 crowdsec 行为式防御
相比 fail2ban 的单点检测,crowdsec 提供了基于行为模型的全栈威胁识别能力。部署步骤如下:
curl -s https://install.crowdsec.net | bash
cscli collections install crowdsecurity/sshd
cscli collections install crowdsecurity/nginx
systemctl enable --now crowdsec
crowdsec 通过解析 /var/log/auth.log 与 Nginx 日志,能够识别诸如:
- 扫描器发起的高频请求模式;
- 爆破型 POST 请求;
- 非法 User-Agent 等。
所有被识别的恶意 IP 会自动写入防火墙 block 列表,并同步给其他节点。
五、增强策略:端口诱饵与蜜罐部署
为了进一步诱导攻击者暴露意图,我部署了 cowrie SSH 蜜罐:
apt install cowrie
# 修改监听端口为 2222,真实 ssh 改为高位端口
并通过 fail2ban 将尝试连接蜜罐端口的 IP 立即拉黑。
六、效果评估与运营经验
部署该方案后,我观察到以下变化:
| 项目 | 部署前 | 部署后 |
|---|---|---|
| SSH 暴破尝试 | 平均每天 1,200 次 | 不超过 5 次 |
| Nginx 异常请求 | 每小时超 200 次 | 降至个位数 |
| 高危 IP 传播阻断 | 无 | 通过 crowdsec 实现联动同步封禁 |
同时,我将被封禁的 IP 与业务日志做关联分析,进一步确认误封率极低。结合邮件告警和每日 ban 报告,我们实现了低维护成本下的高强度主动防御体系。
在香港节点长期对外开放的环境下,简单的端口监听和粗粒度防火墙策略早已不敷使用。通过构建“精细化访问控制 + 自动化封禁 + 行为识别防御”三位一体的机制,不仅提升了节点自身安全性,也为其他业务线提供了可靠的防御样板。这一方案已在我多个跨境项目中持续稳定运行,未来还将接入动态 DNS 分析和 AI 威胁建模进一步升级。
