真实案例：帮助某教育用户抵抗黑客

在公有云上，某教育用户开通了一个Windows Server 2008主机，用于近期高考学生使用网站业务。但不幸，开通网站业务不到一天，网站面临无法访问的问题。我们今天来看看究竟出现了什么问题，我们是如何解决的？

一、网站系统架构非常简单

业务架构非常简单，webServer一台 + SqlServer一台，webServer采用IIS7，SqlServer采用Microsoft SqlServer2005架构。WebServer只启动了3389端口及80端口的防火墙策略，SqlServer只允许内网访问。

二、问题出在了哪里？

1、业务的访问量超过了服务器的性能。

该webServer的业务TPS（每秒事务量）大约是4000，但当地的学生用户数超过10万。

2、用户直接将webServer的源IP通告给了最终客户，客户直接通过IP地址访问该网站。

网站的源IP地址直接暴露给公网的用户，相当于裸泳，网站处于完全暴露的状态。黑客可以使用DDOS、web漏洞攻击等方式进行直接攻击。在互联网行业，源IP地址是秘密，不允许擅自告诉任何人。

3、webServer遭受到了TCP长连接的攻击。

通过监测webServer的在线连接，发现受到TCP长连接的攻击。同一个最终用户（学生端）的源IP地址使用连续端口（每个IP地址的连续端口数在6个左右）访问网站业务。该学生端的IP数近三千个。

三、解决办法？

1、针对服务器的性能问题，只能采用扩容方式解决。

因问题处理时间较紧，只保留了处理方案，暂未实施。建议方案：采用负载均衡+WebServer提高前端处理能力；采用读写分离提高后端的处理能力。

2、采用域名访问网站+云WAF，并更换网站的IP地址。

为避免将网站直接裸露出来，建议用户临时更换了网站的IP地址，该新的IP地址严禁告诉最终用户。通过域名方式访问该网站，同时临时采购了云WAF，将域名的CNAME指向了云WAF的地址。

将网站的云防火墙设置为只允许云WAF的地址访问，进一步提高了安全性。

通过第二个方式的处理，目前业务已正常运行。