前提

我在之前有写过使用宝塔waf以及edgeone的防御博文，有幸在HonRain Cloud拿到测试的高防vps机器，突发奇想，我想让这台高防机器成为我的专属waf，那就是使用nginx反代然后开启宝塔的waf插件实现防御cc，高防机器可以防御ddos。这是我一个思路。域名解析到高防机器上面，然后反代到源站服务器上面。高防开启宝塔waf。（虽然这种做法有点多余，不过这个做法建议用在哪些买高防vps的，低配置且有高防御的。）

HoRain Cloud

HoRain与腾讯云、天翼云、UCloud、AWS等多家公有云签有代理商协议，HoRain由 北京辰帆科技 运营主营国内物理机，便宜高性价比。增值电信业务许可B1-20203595 B1B2证齐全，安全有保障。旗下有vps 物理机 cdn ssl等业务。满足日常使用。

拿到机器第一件事情先来看看这台机器的配置以及测试一下这台vps的性能。

与目前市场性价比以及机器性能相比之下，他家更优秀一些。这片文章就是基于高防 vps 写的。独享性能。防御也是独享。他家的物理机，便宜还好用，性价比会更高。

网络测试也是超级不错的。

准备

事不宜迟我们开始部署。以下使我们所需求的产品以及环境

• 域名
• 高防机器（物理机）（vps）（我推荐horain的机器，还可以蹲特价机。蓝蓝的链接horain）

• 源站服务器（我们部署网站运行的服务器）
• 宝塔waf插件（以及宝塔）

部署

宝塔的安装我就不在讲了，可以看看我往期的文章。高防机器打开宝塔安装NGINX和waf插件。

创建站点添加反向代理。这个是nginx的一个转发原理，在nginx中可以配置相关参数。我们要转发给自己的站点，需要配置配置一下。（比如我们要给waf.acg.ltd套娃给源站，我们则需要在目标url设置waf.acg.ltd，发送域名也是这个才行。部署完之后会陷入一个重定向死循环，毕竟这个域名解析在我们高防机器，转发还是到高防机器上面，所以我们要把这个高防机器的转发固定ip上面。没错就是修改host文件实现）

修改host实现转发到源站服务器上面。打开文件夹/etc添加为ip waf.acg.ltd 这样就给服务器指向固定的源站ip了。

配置ssl访问测试一下，如果出现500，需要重启一下nginx。重启之后访问即可正常。

配置宝塔waf

这个需要根据个人需求来设置，我就来推荐一下我配置的。

这样我们就部署好了。cc有宝塔的waf来拦截，ddos也是d到高防上面。源站ip也不会暴露。horain的高防机器很好用，推荐使用。这种方法可以代理的站点不只有一个。配置够的话。理论上无限。

测试防御

可以看到 cc 防御全被宝塔拦截啦。而 ddos 是走的高防机器的 ip。horain 的高防无压力。

后续我们可以根据实际情况，使用宝塔的 waf 进行限制。已经比较安全啦，如有写的错误的地方，还请大佬们多多指教。