网络安全是建站过程中绕不开的必修课。很多新手朋友总觉得黑客攻击离自己很远，等服务器被攻陷了才后悔莫及。今天我就带你从零开始，把服务器的安全防线搭建起来。

先说最基础的 SSL 配置。现在浏览器看到没有 HTTPS 的网站都会提示不安全，这不仅影响用户体验，还会被搜索引擎降权。配置 SSL 其实很简单，用 Let’s Encrypt 的 Certbot 工具就能免费获取证书。安装好后执行 certbot –nginx 命令，按照提示输入域名，工具会自动帮你配置好 Nginx 并开启 HTTPS。记得设置自动续期，因为免费证书只有九十天有效期，加个定时任务每月运行一次就能确保证书不会过期。

防火墙是服务器的第一道防线。Ubuntu 系统自带 UFW 防火墙，开启之前一定要先把 SSH 端口放行，不然把自己锁在外面就麻烦了。执行 ufw allow 22/tcp 开放 SSH，再用 ufw allow 80/tcp 和 ufw allow 443/tcp 放行网页流量，最后 ufw enable 激活防火墙。这时候可以用 ufw status 查看状态，确认规则都生效了。如果你的网站用了其他端口，比如数据库或者管理后台，也要记得逐一放行。

防攻击策略要分层次来考虑。最常见的是 CC 攻击，攻击者用大量请求把服务器资源耗尽。在 Nginx 里可以配置请求频率限制，比如每个 IP 每秒最多十次请求，超过就返回错误。具体做法是在配置文件中添加 limit_req_zone 和 limit_req 指令，这样能有效阻挡恶意刷新的行为。另外要关闭不必要的服务，每多一个开放端口就多一分风险。用 netstat -tlnp 查看正在监听的端口，把不需要的服务都停掉。

定期更新系统补丁也很重要。很多攻击都是利用已知漏洞，而厂商早就发布了修复补丁。设置每周自动执行 apt update && apt upgrade -y，让系统保持最新状态。日志监控不能忽视，安装 fail2ban 工具可以自动分析登录日志，发现多次失败尝试就临时封禁那个 IP。我有个朋友的服务器就是靠这个挡住了上万次暴力破解。

安全不是一次性工作，而是持续的过程。配置完这些只是起步，平时要多留意服务器负载和访问日志，发现异常及时处理。记住一个原则：最小权限，只开放必要的端口和服务，其他的一律关闭。这样即使某个环节被突破，攻击者也难以深入。