真實案例：幫助某教育用戶抵抗黑客

在公有雲上，某教育用戶開通了一個Windows Server 2008主機，用於近期高考學生使用網站業務。但不幸，開通網站業務不到一天，網站面臨無法訪問的問題。我們今天來看看究竟出現了什麼問題，我們是如何解決的？

一、網站系統架構非常簡單

業務架構非常簡單，webServer一台 + SqlServer一台，webServer採用IIS7，SqlServer採用Microsoft SqlServer2005架構。WebServer只啟動了3389端口及80端口的防火牆策略，SqlServer只允許內網訪問。

二、問題出在了哪裡？

1、業務的訪問量超過了服務器的性能。

該webServer的業務TPS（每秒事務量）大約是4000，但當地的學生用戶數超過10萬。

2、用戶直接將webServer的源IP通告給了最終客戶，客戶直接通過IP地址訪問該網站。

網站的源IP地址直接暴露給公網的用戶，相當於裸泳，網站處於完全暴露的狀態。黑客可以使用DDOS、web漏洞攻擊等方式進行直接攻擊。在互聯網行業，源IP地址是秘密，不允許擅自告訴任何人。

3、webServer遭受到了TCP長連接的攻擊。

通過監測webServer的在線連接，發現受到TCP長連接的攻擊。同一個最終用戶（學生端）的源IP地址使用連續端口（每個IP地址的連續端口數在6個左右）訪問網站業務。該學生端的IP數近三千個。

三、解決辦法？

1、針對服務器的性能問題，只能採用擴容方式解決。

因問題處理時間較緊，只保留了處理方案，暫未實施。建議方案：採用負載均衡+WebServer提高前端處理能力；採用讀寫分離提高後端的處理能力。

2、採用域名訪問網站+雲WAF，並更換網站的IP地址。

為避免將網站直接裸露出來，建議用戶臨時更換了網站的IP地址，該新的IP地址嚴禁告訴最終用戶。通過域名方式訪問該網站，同時臨時採購了雲WAF，將域名的CNAME指向了雲WAF的地址。

將網站的雲防火牆設置為只允許雲WAF的地址訪問，進一步提高了安全性。

通過第二個方式的處理，目前業務已正常運行。