Ubuntu默认的防火墙是Uncomplicated Firewall(UFW),但关闭防火墙并不是防止DDoS攻击的有效方法,反而会增加系统受到攻击的风险。有效的措施包括:
使用云厂商的Anti-DDoS防护
- 开启云防火墙。
- 启用Anti-DDoS Basic / Advanced。
- 对LoadBalancer类型的Service启用IP黑白名单。
限制NodePort的暴露范围
- 不建议直接暴露公网IP的NodePort。
- 使用networkPolicy + 防火墙控制来源。
- 或用Ingress/LoadBalancer替代。
Ingress限流 + WAF防护
- 对暴露服务的Ingress Controller(如NGINX)开启限流和连接控制配置。
- 可配合Cloudflare/WAF网关使用,提前清洗恶意请求。
使用NetworkPolicy限制内部横向传播
- 控制Pod-to-Pod流量,防止攻击者横向攻击其他服务。
服务资源限制(LimitRange)
- 对关键Pod设置资源限制,避免“一个Pod拉垮一整台机器”。
部署Rate Limiter或API Gateway
- 提供API服务时,RateLimiter是必选项。
请注意,以上措施需要结合使用,并且可能需要一定的技术知识进行配置。建议在进行任何配置之前,咨询专业的网络安全人员或参考相关的官方文档。
