网络安全是建站过程中必须重视的环节，今天咱们就像师傅带徒弟一样，聊聊怎么把网站保护得妥妥当当。

先说 SSL 证书，这是最基础也最重要的防护。想象一下，你的网站就像一家店铺，SSL 就是给店铺装了个安全门，所有进出的数据都要加密。配置其实不复杂，如果你用的是 Nginx，先在 Let’s Encrypt 申请免费证书，运行 certbot 命令后会自动生成 crt 和 key 文件。然后在 nginx 配置文件的 server 块里加上 ssl_certificate 和 ssl_certificate_key 两行，指向你的证书路径。记得把 listen 80 改成 listen 443 ssl，再添加 ssl_protocols TLSv1.2 TLSv1.3 这行，禁用老旧的不安全协议。配置完用 nginx -t 检查语法，没问题就 reload。这时候访问网站，浏览器地址栏会显示小绿锁，用户的数据传输就安全了。

防火墙是第二道防线，相当于给服务器请了个保安。Linux 系统自带 iptables，但更推荐用 ufw，命令简单直观。先执行 ufw default deny incoming，默认拒绝所有入站连接，然后 ufw default allow outgoing 允许出站。接着开放必要的端口，比如 ufw allow 22/tcp 开放 SSH，ufw allow 80/tcp 和 ufw allow 443/tcp 开放网页服务。如果你装了 MySQL，千万别把 3306 端口对外开放，只允许本地访问。最后 ufw enable 启用防火墙，用 ufw status 查看状态。有个真实案例，我有个徒弟的网站被扫描爆破，就是因为他开放了太多端口，后来收紧策略，只留必需的，攻击就少了一大半。

防攻击策略要更主动一些。最常见的是 DDoS 和 CC 攻击，前者是流量洪峰，后者是模拟正常请求耗尽资源。Nginx 可以做基础防护，在配置里加 limit_req_zone 限制请求频率，比如每秒最多 10 个请求，超过的直接拒绝。还可以安装 fail2ban，它能自动检测异常登录，多次失败后直接封禁 IP。配置很简单，装好后启用 jail.local，设置 findtime 和 bantime 参数，比如 5 分钟内失败 5 次就封禁 1 小时。我之前帮一个电商网站处理 CC 攻击，就是靠 fail2ban 配合 Nginx 限流，半小时内就把恶意 IP 都挡在外面了。

还有个细节别忘了，定期更新系统和软件。很多攻击都是利用已知漏洞，及时打补丁能避免大部分问题。设置个 cron 任务，每周自动执行 apt update 和 apt upgrade，有安全更新会邮件通知你。

网站安全是个持续的过程，不是一劳永逸。把这些基础做好，能挡住九成以上的攻击。记住，安全不是越复杂越好，而是该防的地方防住，该开的端口开放，平衡好安全和便利。