网络安全这件事，说难也难，说简单也简单。我带过不少徒弟，发现很多人一上来就被各种术语吓住了。其实咱们做网站的，把几件基础事情做好，就能挡住大部分麻烦。今天我就手把手教你怎么给自己的网站穿上一层铠甲。

先说 SSL 证书，这是最基础也最重要的一步。你去阿里云或者腾讯云申请个免费证书，现在各家都提供九十天的免费 DV 证书。下载下来后，把 crt 文件和 key 文件传到服务器上，一般放在 etc/nginx/ssl/目录下。然后在 nginx 配置里加上 ssl_certificate 和 ssl_certificate_key 两行，重启 nginx 就生效了。我有个徒弟之前图省事没配 SSL，结果网站被浏览器标记成不安全，流量直接掉了三成。

防火墙这块，Linux 服务器自带 iptables 或者 firewalld。我建议用 firewalld，配置起来更直观。先执行 firewall-cmd –permanent –add-service=http 和 firewall-cmd –permanent –add-service=https 把网页端口打开，其他端口默认都关掉。有个案例，一个做电商的哥们没关数据库端口，被人扫到了，直接拖库。所以记住一条原则，只开必须的端口，其他的统统关闭。

防攻击策略要说复杂能很复杂，但咱们小站子做好两件事就够了。第一是装个 fail2ban，这东西会监控日志，发现有人频繁访问失败就自动封 IP。配置很简单，apt install fail2ban 装上，默认配置就能用。第二是限制请求频率，在 nginx 里加个 limit_req_zone，设置每个 IP 每秒最多请求几次。我之前帮一个博客配了这个，第二天就看到日志里一堆被拦截的扫描请求。

最后说个心里话，安全不是一次配置就完事的。我习惯每周看一眼日志，看看有没有异常访问。有个徒弟问我怎么才算安全，我说就像你家门锁，不能装了就不管了，偶尔得看看锁芯有没有被撬的痕迹。网站也是这个道理，定期更新系统补丁，定期换换密码，这些小事坚持做下来，比什么高级防护都管用。

好了，今天就讲到这。你按我说的步骤一步步来，遇到卡壳的地方随时问我。做技术这行，动手比动嘴重要，配置完了记得用工具测一下，确认都生效了才算完活。