腾讯云 CVM 上的 SpringBoot 应用避免非法访问

部署在腾讯云CVM上的SpringBoot应用，可通过"多层防护+精准管控"的方式避免非法访问，结合云服务特性和应用自身安全设计，具体方案如下：

一、网络层防护（腾讯云CVM配置）

1. 严格限制安全组规则（核心）

安全组是CVM的第一道网络防火墙，需按"最小权限原则"配置：

• 入站规则：仅开放应用必需的端口（如SpringBoot默认的8080端口），并限制来源IP：

• • 若为内部服务（如仅后端调用）：仅允许特定IP段（如公司内网IP、其他微服务CVM的内网IP）访问；
  • 若为外部服务（如面向用户）：限制来源为负载均衡（CLB）的IP，避免直接暴露CVM公网IP。

• 出站规则：禁止CVM主动访问非必要的外部IP（如仅允许访问数据库、对象存储等依赖服务）。

2. 禁用公网IP（非必要时）

• 若应用无需直接暴露公网（如通过负载均衡或API网关转发），在CVM控制台关闭公网IP，仅保留内网IP，通过VPC内部网络通信。
• 如需公网访问，优先通过腾讯云"弹性公网IP（EIP）"绑定，并开启"安全防护"（如DDoS基础防护）。

二、应用层防护（SpringBoot自身设计）

1. 接口访问控制

• 身份认证：集成Spring Security或Shiro，对所有接口强制认证（如JWT令牌、OAuth2.0），示例：

  @Configuration
  @EnableWebSecurity
  public class SecurityConfig {
  @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  http.csrf().disable()
  .authorizeHttpRequests(auth -> auth
  .anyRequest().authenticated() // 所有请求需认证
  )
  .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 无状态
  .and()
  .addFilterBefore(new JwtAuthFilter(), UsernamePasswordAuthenticationFilter.class);
  return http.build();
  }
  }

• 权限校验：基于角色（RBAC）控制接口访问权限，例如管理员才能调用敏感接口（如积分修改、用户删除）。

2. 防恶意请求

• 接口限流：使用Spring Cloud Gateway或Resilience4j限制单IP的请求频率（如1分钟内最多60次），避免暴力攻击：

  @Bean
  public RateLimiter rateLimiter() {
  return RateLimiter.ofDefaults("apiLimiter");
  }

  @GetMapping("/sensitive")
  @RateLimiter(name = "apiLimiter", fallbackMethod = "rateLimitFallback")
  public ResultDTO sensitiveOperation() {
  // 敏感操作逻辑
  }

• 参数校验 ：对所有入参（如用户ID、积分值）进行合法性校验，过滤异常值（如负数积分、超长字符串），使用@Valid+@NotBlank等注解：

  @PostMapping("/addPoints")
  public ResultDTO addPoints(@Valid @RequestBody PointsDTO dto) {
  // dto中已通过注解校验（如@NotNull、@Min(0)）
  }

3. 防跨站与注入攻击

• 开启SpringBoot的CSRF防护（对前端页面交互场景），或在API接口中通过Token验证替代；
• 使用MyBatis-Plus等ORM框架，避免直接拼接SQL，防止SQL注入；
• 对接口返回的JSON数据进行转义，避免XSS攻击（如使用@JsonSerialize处理特殊字符）。

三、运维层防护（CVM与应用监控）

1. 日志审计与异常监控

• 记录所有访问日志（包含IP、请求路径、参数、响应码），使用腾讯云CLS（日志服务）集中存储，配置关键词告警（如频繁401/403错误、异常大参数）；
• 集成SpringBoot Actuator暴露健康检查接口，结合腾讯云"云监控"监控应用状态，异常时自动告警（如CPU过高、请求量突增）。

2. 定期安全加固

• 及时更新CVM的操作系统补丁（通过腾讯云"安全中心"一键加固）；
• 升级SpringBoot及依赖组件版本，修复已知漏洞（可通过mvn dependency-check:check检测漏洞）；
• 禁用CVM上的非必要服务（如FTP、Telnet），仅保留SSH（建议用密钥登录，禁用密码登录）。

四、进阶方案（高安全需求场景）

• 接入腾讯云WAF：在CVM前部署Web应用防火墙，自动拦截SQL注入、XSS、爬虫等恶意请求；
• 使用API网关：通过腾讯云API网关转发所有请求，统一进行认证、限流、加密（HTTPS），隐藏CVM真实地址；
• 部署在私有网络（VPC）：将CVM、数据库等资源部署在VPC内，通过"堡垒机"仅允许运维人员访问，避免直接操作CVM。

通过以上措施，可从"网络隔离-身份认证-行为管控-异常监控"全链路防止非法访问，同时结合腾讯云的安全产品（安全组、WAF、安全中心），形成云原生环境下的纵深防御体系。