Nginx 七式防禦術：從零打造 DDoS 防護堡壘

前言：城門守衛的覺悟 天下伺服器之道，知架設者多，知防守者少。 曾幾何時，你的網站在深夜三點被不明流量灌爆，error log 像瀑布一樣往下滾，你只能抱著筆電對螢幕唸經。那一刻你才體悟到：架站只是入門，防守才是修行。 本文基於實戰經驗，分享如何用 Nginx 打造七層防禦工事，讓你的伺服器在 DDoS 洪流中屹立不搖。所有配置皆經過生產環境驗證，拿去直接用。 架構概覽：反向代理是第一道城牆 我們的架構很單純：Nginx 做反向代理，前面接網際網路，後面接多台應用伺服器。 Internet ──▶ Nginx (反向代理) ──▶ 後端服務群 App-Server-A:8443 (ERP 系統) App-Server-B:443 (官網、API、CMS...) App-Server-C:8443 (預覽環境) Nginx 就像城門守衛，所有流量必須經過它。這個位置天然適合做安全過濾。 第一式：隱匿身份 — 關閉版本資訊 駭客入侵的第一步是偵察。如果你的 Nginx 還在回應 header 裡大方地告訴全世界「我是 nginx/1.24.0」，那等於在城牆上掛了一面旗寫著「請針對此版本查漏洞」。 # nginx.conf server_tokens...