香港云服务器安全已经成为企业和个人用户必须重点关注的领域。服务器被攻击的常见手段包括破解、DDoS攻击、端口扫描和恶意访问。IP访问控制是最基础也是最重要的安全策略之一，它能够限制未授权IP访问服务器端口，防止敏感服务被扫描和入侵，提高服务器安全等级，降低风险。同时，IP访问控制需结合其他安全加固措施，如防火墙策略、SSH安全、系统更新和日志监控，形成多层次防护体系。

一、限制IP访问的基本方法

1. 使用UFW防火墙控制访问

Ubuntu服务器常用的防火墙工具是 UFW，操作简单。

安装与启动：

sudo apt update
sudo apt install ufw -y
sudo ufw enable

配置允许访问的IP：假设只允许特定IP访问SSH(22端口)

sudo ufw allow from 203.0.113.10 to any port 22
sudo ufw deny 22

配置Web端口访问：仅允许内网访问80/443端口

sudo ufw allow from 192.168.1.0/24 to any port 80
sudo ufw allow from 192.168.1.0/24 to any port 443

查看防火墙状态：

sudo ufw status verbose

UFW操作直观，可快速实现IP白名单和黑名单策略。

2. 使用iptables精确控制访问

iptables 是Linux服务器的核心防火墙工具，可精确控制每个端口和IP访问。基本操作如下：

允许单个IP访问SSH：

sudo iptables -A INPUT -p tcp -s 203.0.113.10 --dport 22 -j ACCEPT

拒绝其他IP访问SSH：

sudo iptables -A INPUT -p tcp --dport 22 -j DROP

保存iptables规则：

sudo apt install iptables-persistent -y
sudo netfilter-persistent save

iptables 灵活性高，适合复杂访问控制场景。

3. 配置Cloud Security组

香港云服务器提供 安全组 功能，可在云端控制入站和出站IP访问，无需登录服务器。

操作步骤：登录云服务控制台，选择目标服务器 → 安全组，添加规则：指定允许访问的IP，限制端口(如22/80/443)，阻止所有其他IP。这样设置完以后即使服务器被入侵，安全组规则仍能阻止未授权访问，适合多层防护。

二、SSH安全加固

限制IP访问只是基础，SSH是服务器管理入口，必须重点保护。

1. 修改默认端口

sudo nano /etc/ssh/sshd_config
# 修改 Port 22 为 2222
sudo systemctl restart sshd

2. 禁止root直接登录

sudo nano /etc/ssh/sshd_config
# 修改 PermitRootLogin 为 no
sudo systemctl restart sshd

3. 使用密钥认证

在本地生成密钥：

ssh-keygen -t rsa -b 4096

上传公钥到服务器：

ssh-copy-id -i ~/.ssh/id_rsa.pub user@server_ip

禁用密码登录：

sudo nano /etc/ssh/sshd_config
# PasswordAuthentication no
sudo systemctl restart sshd

三、Web应用安全策略

针对香港云服务器上部署的网站和应用，应采取额外的IP限制措施。

1. Nginx限制访问

server {
    listen 80;
    server_name example.com;

    location / {
        allow 203.0.113.10;
        deny all;
    }
}

2. Apache限制访问

<Directory "/var/www/html">
    Require ip 203.0.113.10
    Require all denied
</Directory>

3. 防止DDoS攻击

• 安装并配置 fail2ban 防暴力破解：

sudo apt install fail2ban -y

• 配置Web防护工具如 mod_security 或云防护服务。

四、系统安全加固

除了IP限制，服务器安全加固还包括以下内容：

1. 定期更新系统

sudo apt update && sudo apt upgrade -y

2. 关闭不必要服务

sudo systemctl disable apache2
sudo systemctl stop apache2

3. 安装入侵检测

rkhunter 检测木马：

sudo apt install rkhunter -y
sudo rkhunter --check

4. 日志监控

定期查看 /var/log/auth.log 和 /var/log/syslog，发现异常访问IP。

五、常见问题解答

Q1：如何允许多个IP访问服务器?

• UFW：sudo ufw allow from 203.0.113.10 to any port 22 可多次添加
• iptables：为每个IP添加单独规则

Q2：限制IP后无法远程连接怎么办?

A2：检查防火墙规则，确保本机IP已在允许列表，使用控制台重置安全组或iptables规则

Q3：云服务器安全组和iptables冲突怎么办?

A3：安全组优先于服务器本地防火墙，建议规则保持一致可先在云端安全组允许访问，再在服务器端精细化管理

Q4：除了IP限制，还有哪些加固措施?

A4：安全加固措施比如：SSH密钥认证和禁止root登录，Web防火墙和DDoS防护，系统更新、日志监控和入侵检测

总之，通过多层次安全策略，香港云服务器可以大幅降低被攻击风险，实现业务安全和稳定运行。