我有一個 AWS 機器 Linux 執行個體 t2.micro,有 200 萬個 I/O。
如果我理解正確的話(如果我沒有理解的話請告訴我),200 萬個 I/O 意味著免費服務可以讓你服務 200 萬個index.php。
我的問題是如何保護我的伺服器以避免大量存取和請求?
答案1
首先讓我們來看看AWS對您在這裡引用的內容的解釋:
https://aws.amazon.com/ec2/pricing/
30 GB 通用型 (SSD) 或磁性儲存任意組合的 Amazon Elastic Block Storage,加上 200 萬個 I/O(帶磁性)和 1 GB 快照存儲
這些I/O 用於直接存取磁碟,由於您的index.php 檔案將被快取並載入到記憶體中,因此根據您的index.php 檔案正在執行的操作,它不太可能對您的I/O產生影響。
測試和監控您對存取和請求突然激增的擔憂的一種方法是運行流行的 Bees with Machine Guns 實用程式(https://github.com/newsapps/beeswithmachineguns)在您的 Web 應用程式上並監控 CloudWatch 中的影響力。 CloudWatch 預設以 5 分鐘為增量進行監控,因此請耐心等待;如果您將 CloudWatch 變更為以 1 分鐘為間隔進行監控,您將需要支付額外費用,因此請小心。請注意,由於您基本上會在執行個體上執行拒絕服務攻擊,因此您需要事先獲得 AWS 的許可才能執行測試,否則您的 AWS 帳戶將面臨被暫停的風險。 (https://aws.amazon.com/security/penetration-testing)
我認為,保護伺服器免受不必要的流量高峰或全面 DDoS(分散式阻斷服務)攻擊的最簡單且可能最便宜的方法是使用 CloudFlare.com 等託管服務。您當然可以使用 Sophos UTM 9 或 Imperva 等安全設備,但除了額外的每小時費用和許可證費用外,您還需要了解如何配置和維護它。
AWS 最近發布了 AWS WAF(Web 應用程式防火牆),但看起來您必須將其關聯到 CloudFront。 (https://aws.amazon.com/blogs/aws/new-aws-waf)
如果您不想使用任何其他工具,那麼您必須持續監控您的 Web 應用程序,並在 VPC 子網路上使用虛擬私人網路 (VPC) 和網路存取控制 (NACL) 來封鎖不必要的請求。雖然這可行,但如果您的網站經常受到攻擊,您可能會發現自己在玩打地鼠遊戲。
最後,保護您的網站的最佳方法是使用多層安全性(又稱深度防禦),因此,如果您不確定如何做到這一點,我建議您喝一杯(或兩杯)咖啡並開始在OWASP學習(開啟 Web 應用程式安全專案)。 (www.owasp.org)