前言

當一個網站取得 Public IP 與 internet 連接時，也就表示網站正開始面對來自全球各地的連線請求，無論是善意與惡意，面對這麼多樣且大量的連線需求，如何讓有限的伺服器的資源獲得最大的應用，第一步就是要判斷那些是值得服務的連線請求，但由於網路的匿名性，要判斷一個連線的身份是相當困難，退而求其次，我們先將連線需求分為善意的來訪與惡意的攻擊兩大類，而我們所要處理的事，就是先將惡意的攻擊排除。

但一般的網站管理員並沒有時間全天監視著網站連線狀況，這個候可以透過一些工具協助管理員進行初步的防護，以下我們將介紹幾種常見具易達成的方式協助網站管理員建立基本的網站防護。

CDN 服務及 IP 隱藏

許多網路服務商都有提供 CDN 的服務，如 QUIC.cloud、Cloudflare，透過這些代理伺服器，你可以隱藏實際的 IP 位置，進而防止駭客直接對伺服器進行攻擊。

大規模 DDoS 阻斷服務式攻擊及暴力攻擊的防禦機制

當遭遇到 DDos的攻擊時，可以透過 QUIC.cloud 內建的 Anti DDoS 設定，初步的過濾掉大部份的攻擊，以防止攻擊的請求直接進入到我們的伺服器內。

另外，由於此類攻擊通常會針對 wp-login.php 和 xmlrpc.php 頁面，大部份的攻擊會不斷猜測的使用者名稱和密碼。QUIC.cloud 的暴力保護機制在 CDN 級別，不需要額外的插件，因此可以大量減少伺服器及網路資源

在暴力攻擊的防禦上，一般常使用的做法是透過 reCAPTCHA 來保護登錄頁面和表單提交，但如果這些 reCAPTCHA 是由伺服器提供，將會浪費大量的運算資源，所以 QUIC.cloud 透過 CDN 級別提供 reCAPTCHA 來抵禦 DDoS 及暴力攻擊。讓惡意行為者在有機會訪問伺服器前就被阻止了。

Anti DDoS 設定方式

• Connection Limit: 設定連線數的限制，如果超過的話，CDN Node 會將超過的連線導向 reCAPTCHA 以減少過多的連線
• Max Login Attempts：設定在5分鐘內，同一個 IP 的 login 嘗試次數上限，如果超過上限，此 IP 的連線將會被導向 reCAPTCHA
• Protect From Bad Visitor: 如果網站正在遭受大量的攻擊，可以直接開啟此設定，讓所有的訪問都先被導向 reCAPTCHA。

Access Control

• 這邊也提供 IP 級別的 允許/阻擋 設定

Custom-Targeted Protections

如果發現攻擊者大部份來自於某些區域的 IP，QUIC.cloud CDN 也可以透過 Traffic Management 來限制這些區域的訪問。

Traffic Management 設定方式

• Block Action：這邊你可以選擇是要回應方式要使用 reCAPTCHA 或是 403 Forbidden。
• Manage Filters：你可以選擇要 允許/阻擋 來自於不同地區的訪問。
• 在這個例子上我們阻擋了來自南美洲及中國的訪問。

QUIC.cloud 安全性服務

最後，QUIC.cloud 這些安全性服務只有針對標準計畫（Standard Plan）提供，並不適用於免費計畫（Free Plan）。QUIC.cloud 每個月都會提供一定的額度（Credits）給使用者，在這個額度內都能享有免費的服務。

如果你有興趣設定或使用 QUIC Cloud CDN service, 可以參考我之前的發文

• QUIC.cloud CDN 與 DNS 新手教學
• QUIC.cloud CDN 與 CloudFlare 新手教學