现在提供 CDN 的机构,不管是免费的还是收费的,数量都很多,很多网站也都配置了 CDN ,从而减轻源站的访问压力,提高网站访问速度。
CDN 也称内容分发网络。CDN 节点可能会分布在全球多个网络服务商,用于提供网站内容的全球分发,以减少用户的访问延迟,进而提高网站访问速度。
如果你的网站已经配置了 CDN 加速服务,建议关闭服务器的80和443端口,减少不必要的端口外漏,避免恶意扫描,从而提高网站的安全性。
80端口和443端口都是用来网页浏览,区别在于443端口往往采用 SSL/TLS 协议,通信是加密的,比80端口更为安全。
在浏览器的表现形式上,80端口对应的是 http ,而443端口对应的是 https 。目前,主流浏览器几乎都默认支持 https 网址,http 则被提示为不安全。
基本上,现在大多数的网站域名,都安装了 SSL 证书,即按照 https 网址进行访问,实际主要在用的也就是443端口。
在落幕的指导下,有约啦博客( blog.youyuela.com )在使用了又拍云和多吉云的 CDN 加速及云存储服务后,即关闭了80和443端口,尽可能强化网站的安全性。
下面以本站所在环境为例,介绍如何关闭80和443端口,主要涉及到 CDN 设置、域名解析设置、服务器防火墙设置、管理面板防火墙设置、管理面板网站设置。
一、CDN设置
这里主要是设置要加速的域名、填写源站的 IP ,其他根据需要设置。
二、域名解析设置
按照 CDN 提示,在域名解析服务设置相应的主机记录(域名前缀)、记录值,记录类型为 CNAME 。
三、服务器防火墙设置
进入服务器控制台,在防火墙设置添加一个TCP协议端口数值,数值介于1到65535之间的数字就行。
由于不少恶意扫描软件往往默认设置为低位数端口,这里设置一个高位数端口相对更为安全一些,如五位的65500。
四、管理面板防火墙设置
基本同上步,添加一个 TCP 协议的高位数端口就行,如五位的65500。
这里主要注意先后顺序,一定是先设置自定义的端口,经访问测试一切正常后,再关闭80和443端口。
五、管理面板网站设置
找到网站“配置文件”,在顶部找到“listen 80;” 和“listen 443 ssl http2;”,在其下方添加一行“listen 65500 ssl http2;”。这里的65500,即刚才在防火墙设置的高位数端口,也就是网站以后要使用的端口。
六、CDN设置
再次回到 CDN 控制台,基本设置—源站信息—源站 IP ,在 IP 处添加新设置的高位数端口。
通过以上设置,网站访问正常,就可以在防火墙关闭80和443端口,并在控制面板删除网站“配置文件”里的“ listen 80; ” 和“ listen 443 ssl http2; ”。
至此,在网站配置 CDN 加速后,就关闭掉了默认的、低位数80和443端口,采用了自定义的、高位数的65500,从而一定程度上强化了网站的安全性。
如果按次设置后,网站不能正常访问,可先排查端口是否开放,如服务器的安全组、系统的防火墙、站点配置等,然后使用扫描工具检测端口是否开放。此外,如果已经配置了 CDN 后,如果 ping 域名,是 ping 的CDN节点,而不是源站。
需要说明的是,不同的服务器操作系统、运行环境、网站管理模式下,设置会有所不同。以上仅为个例设置,仅供参考。
原创文章,转载请注明“ 来源:www.youyuela.com ”。
1F
80端口和443端口都是用来网页浏览,难道这个很危险?那65500就很安全了?
2F
感谢土木坛子关注!
常用的端口都有被恶意扫描的危险,而市面上多见的扫描程序,往往默认是低位数的端口。
设置一个常用端口之外的高位数端口,能够增加一点安全性吧。
当然安全是个系统性工程,你也坚持这么多年了,相信也有自己的一套方案。
3F
改端口没用的,源站IP一旦泄露直接底裤扫没,现在那些自动扫描器无聊的很,24小时不间断扫描,想要防范最好的办法就是开白名单放行cdn的IP段(如果没提供那就没办法了)
4F
感谢GoodBoyboy关注!
免费服务一般没有白名单。
常用的去掉,多多少少还是有点作用吧。
谢谢提醒,这块还是要强化学习!