从基础配置、账号权限、网络访问、系统加固、应用安全、数据备份、监控告警、应急防护八大维度,整理通用且落地的 ECS 安全防护方案,适用于阿里云/腾讯云/华为云等所有云厂商 ECS。
一、网络层防护(核心入口防御)
- 安全组严格管控
-
最小化开放端口:仅放行业务必要端口(如80、443、业务端口),禁止全端口开放。
-
限制源IP:远程端口(22/3389)仅放行办公固定IP,拒绝 0.0.0.0/0 全网开放。
-
拒绝不必要协议:关闭 ICMP ping、废弃UDP端口、高危端口(3306、6379、27017 等内网服务禁止公网暴露)。
- 防火墙配置
- 开启系统自带防火墙(Linux firewalld/iptables、Windows 高级防火墙),和云安全组双层防护。
- 网络隔离
-
核心数据库、缓存、中间件部署在内网VPC,不绑定公网IP。
-
关键业务使用专有网络、子网划分,避免同网段横向渗透。
- DDOS/流量防护
- 开启云厂商基础DDoS防护,高并发业务升级高防IP、WAF。
二、账号与登录安全(防暴力破解)
- 弱密码整改
- 所有系统账号、数据库、应用密码使用强密码(大小写+数字+特殊符号,长度≥12位),定期轮换。
- 禁止高危登录
-
Linux:禁止 root 账号直接SSH远程登录;
-
Windows:禁用管理员账号远程登录,修改默认用户名。
- 开启多因素认证
- 远程登录(SSH、远程桌面)绑定密钥登录、MFA二次验证,替代密码登录。
- 限制登录策略
-
设置登录失败次数锁定(如5次失败锁定30分钟);
-
修改默认远程端口:SSH 22、RDP 3389 改为自定义端口。
- 定期清理账号
- 删除闲置、临时、冗余系统账号,关闭过期权限。
三、系统层加固(减少系统漏洞)
- 系统补丁更新
- 定期修复 Linux/Windows 系统漏洞、内核漏洞,开启安全补丁自动更新。
- 关闭无用服务&端口
- 停止并禁用多余自启服务、闲置进程、不必要组件,缩小攻击面。
- 文件权限收紧
-
Linux 关键文件(/etc/passwd、/etc/shadow、配置文件)限制只读权限;
-
禁止敏感文件777全局权限。
- 禁用危险功能
- 关闭不必要的命令执行权限、匿名访问、目录浏览。
四、应用与中间件安全
- 服务不对外裸暴露
- MySQL、Redis、MongoDB、Nacos、Elasticsearch 等中间件严禁公网IP直接暴露,仅内网互通。
- 中间件安全配置
-
修改默认账号密码、关闭匿名访问、禁用外网连接;
-
开启数据库IP白名单、日志审计。
- Web应用防护
-
部署 WAF,防护 SQL注入、XSS、CSRF、文件上传漏洞;
-
网站启用 HTTPS,关闭 HTTP 明文传输;
-
定期扫描Web漏洞、代码审计。
- 防止恶意程序
- 限制脚本执行权限,禁止未知脚本、挖矿程序、木马运行。
五、安全软件与防护工具
- 安装云安全客户端
- 阿里云安骑士、腾讯云主机安全、华为云HSS,提供漏洞扫描、木马查杀、基线检查。
- 杀毒&恶意文件防护
- Windows 安装企业级杀毒,Linux 定期查杀木马、后门、挖矿病毒。
- 入侵防御
- 开启暴力破解拦截、异常登录拦截、恶意进程检测。
六、数据安全与备份
- 定期备份
-
系统盘/数据盘:开启自动快照、定时备份;
-
数据库:定时全量+增量备份,备份文件单独存储。
- 数据加密
-
敏感数据传输加密(HTTPS、SSH、SSL);
-
重要文件、数据库配置加密存储。
- 操作权限隔离
- 业务用户、运维用户、数据库账号权限分离,最小权限原则。
七、日志审计与监控告警
- 开启全量日志
- 保留 SSH 登录日志、系统操作日志、Web访问日志、数据库操作日志。
- 实时监控
- 监控 CPU/内存/带宽异常、异常外联、陌生IP登录、高危命令执行。
- 配置告警通知
- 暴力破解、异地登录、漏洞风险、异常流量实时短信/邮件/钉钉告警。
八、运维规范与应急策略
- 运维操作规范
-
禁止公网直接操作生产ECS,统一使用跳板机/堡垒机运维;
-
所有运维操作留痕、权限审批。
- 定期安全巡检
- 每周/每月:漏洞扫描、基线检查、安全组梳理、账号审计。
- 应急响应预案
- 遭遇入侵、中病毒、挖矿攻击:立即隔离主机、断网、排查后门、恢复备份、溯源加固。