Варианты защиты сервера узла от DDoS и других атак

Привет, Я нахожусь в процессе выбора облачного сервиса (под управлением Ubuntu vps). Скорее всего это будет Digital Ocean или AWS ec2. Сервер, на котором мы запускаем node.js и, при необходимости, nginX.

Я ищу, как защитить его от атак злоумышленников/ботов.

Существует несколько внешних интерфейсов, которые подключаются через API к серверу узлов и работают в разных доменах (на сервере включен CORS).

Я знаю о Cloudflare, и во время недавнего теста он заблокировал информацию заголовка на внешних интерфейсах, и я не смог заставить его работать.

- Все еще разбираемся, почему это так.

Следовательно, я мог бы использовать AWS Cloudfront, который может обеспечить необходимую мне защиту, если только я не столкнусь с теми же проблемами, что и Cloudflare.

В качестве альтернативы, nginX может обеспечить необходимую безопасность, и, надеюсь, его будет проще настроить, но у меня нет опыта работы с ним.

У Cloudflare хорошая панель управления, но насчет nginX я не уверен.

Я нашел ссылку, описывающую некоторые доступные инструменты - https://www.nginx.com/blog/monitoring-nginx

), но не уверен, с чем он сравнивается и адекватен ли он. Есть ли у кого-нибудь предложения, пожалуйста?

Я никогда не слышал о брандмауэре CSF, но, судя по тому, что я читал, он обладает множеством функций и имеет доступ удаленного администратора.

Спасибо за эту информацию.

Предлагает ли CSF те же функции, что и Cloudflare (т. е. сетевой межсетевой экран), и в этом случае Cloudflare можно опустить?

Следует ли при установке CSF отключать брандмауэр UFW?

Нужно ли мне добавлять какую-то панель управления для работы CSF? (Я читал о Cpanel) – Я управляю Digital Ocean Droplet с доступом по SSH.

Что касается брандмауэров приложений для NodeJS/Express, я не совсем понимаю, что именно вы имеете в виду.

Подойдет ли что-то вроде nginX с надстройкой ModSecurity? Я понимаю, что nginX по умолчанию имеет некоторое ограничение скорости и другие преимущества, поэтому не уверен, понадобится ли ModSecurity, пока сайт не наберет обороты.

Если вы правильно настроите CloudFlare, он очень хорошо остановит внешние веб-атаки.

Вам необходимо добавить исключения для ваших заголовков, если они блокируют их или любые другие элементы. Во-вторых, я бы добавил брандмауэр CSF и настроил его под ваши нужды.

Измените порт SSH, отключите пользователя root и используйте доступ на основе ключей.

Если ваши скрипты безопасны и не содержат плохого кода, взломать ваш сервер будет очень сложно.

Но вам может понадобиться брандмауэр приложения для предотвращения атак xml и перебора.