護(hù)衛(wèi)神如何保障服務(wù)器安全

護(hù)衛(wèi)神·防入侵系統(tǒng)是2022年推出的新一代防護(hù)系統(tǒng)。該系統(tǒng)在黑客入侵的每一個環(huán)節(jié)進(jìn)行攔截,將一切不速之客拒之門外。

目前已發(fā)布數(shù)十個防護(hù)模塊,更多模塊陸續(xù)更新中(共規(guī)劃了100+防護(hù)模塊)。


要了解如何防護(hù)服務(wù)器安全,我們先看下圖。該圖是黑客通過網(wǎng)站入侵服務(wù)器的標(biāo)準(zhǔn)流程,也是最常用的入侵方式。如圖所示,在每一個入侵環(huán)節(jié),護(hù)衛(wèi)神.防入侵系統(tǒng)都會進(jìn)行攔截處理。


實際上,黑客入侵服務(wù)器有三種方式,分別是:網(wǎng)站漏洞入侵、系統(tǒng)漏洞入侵、軟件漏洞入侵。針對這三種方式的入侵,護(hù)衛(wèi)神.防入侵系統(tǒng)均有防護(hù)能力,也就是防入侵系統(tǒng)具備全方位的安全防護(hù)能力。


理解了防護(hù)原理,那么接下來詳細(xì)說說系統(tǒng)是如何有效防護(hù)入侵的。


一、防護(hù)網(wǎng)站漏洞入侵

網(wǎng)站漏洞是最常用的入侵防護(hù),防護(hù)也比較復(fù)雜,需要用到以下模塊:網(wǎng)站防護(hù)、木馬防護(hù)、用戶防護(hù)、遠(yuǎn)程防護(hù)、篡改防護(hù)。


1、網(wǎng)站防護(hù)

通過網(wǎng)站防護(hù)模塊,可以對IIS、Apache、Nginx進(jìn)行防護(hù)(Nginx僅支持Linux)。該模塊擁有數(shù)十項子模塊,后期還會開發(fā)更多超實用模塊,例如:驗證防護(hù)、非法防護(hù)等等。


(1)基本防護(hù)

這是基本的防護(hù)模塊,請務(wù)必開啟。(XSS跨站防護(hù)開啟后有可能導(dǎo)致網(wǎng)站無法登錄,可以暫不開啟)

該模塊對網(wǎng)站進(jìn)行最基本的安全防護(hù),例如:隱藏WebServer信息、過濾X-Forwarded-For參數(shù),禁止短文件名路徑、畸形文件路徑、腳本解析漏洞等方式訪問,溢出攻擊防護(hù),查殺網(wǎng)頁木馬等。


(2)網(wǎng)頁木馬防護(hù)

在基本防護(hù)已經(jīng)包含了“網(wǎng)頁木馬防護(hù)”,只是此模塊比較重要,再單獨敘述一下。開啟“網(wǎng)頁木馬防護(hù)”,請求類型勾選“POST”。

開啟此模塊后,通過在線上傳方式上傳網(wǎng)頁木馬就會被立即查殺了。

未命�?1.jpg


(3)SQL注入防護(hù)

SQL注入是黑客入侵網(wǎng)站最常用的手段,比后門使用率還高,因此務(wù)必開啟“SQL注入防護(hù)”。

通過SQL注入,黑客可以取得后臺管理信息,也可以篡改數(shù)據(jù)、刪庫等,非常危險恐怖。

未命�?2.jpg


(4)靜態(tài)目錄保護(hù)

在線上傳文件一般存放于upload目錄,如果黑客往這些目錄上傳網(wǎng)頁木馬,則存在被入侵的風(fēng)險。

因此我們可以針對一些只存放靜態(tài)文件的目錄,設(shè)置禁止執(zhí)行動態(tài)腳本,即使上傳了網(wǎng)頁木馬,也無法運(yùn)行!办o態(tài)保護(hù)模塊”則可以實現(xiàn)這個功能。

開啟位置:“訪問保護(hù)-靜態(tài)目錄保護(hù)”,再設(shè)置保護(hù)目錄名,一般為在線上傳目錄和臨時文件目錄。

未命�?5.jpg


(5)網(wǎng)站后臺保護(hù)

網(wǎng)站后臺無疑是非常重要的。黑客多數(shù)是先通過SQL注入取得后臺管理賬戶密碼(也有暴力破解方式取得賬戶密碼的),再登錄后臺進(jìn)行入侵。

如果我們對后臺做一層安全防護(hù),讓黑客即使知道了賬戶密碼,也無法進(jìn)一步實施入侵。

“網(wǎng)站后臺保護(hù)”模塊則可以實現(xiàn)此功能。開啟此功能后,只有授權(quán)IP才能訪問后臺,其他人皆不可訪問。

開啟位置:“訪問保護(hù)-網(wǎng)站后臺保護(hù)”,然后設(shè)置后臺地址。

未命�?6.jpg

如上圖所示,后臺地址為:www.xxx.com/admin/,只有成都用戶可以進(jìn)入。而黑客和管理員同所城市的幾率非常低。

對此如果你還擔(dān)心,沒關(guān)系,還有更強(qiáng)的防護(hù)方法:授權(quán)區(qū)域留空,只設(shè)置后臺地址,然后使用安全信任終端軟件添加IP白名單,使用說明請點這里


通過以上五步操作,想通過網(wǎng)站實施入侵已經(jīng)非常難了。當(dāng)然我們也不自滿,我們的防護(hù)手段可不止這點,繼續(xù)。


2、木馬防護(hù)

該模塊主要功能是自動查殺網(wǎng)頁木馬。例如通過FTP上傳的木馬,或是CMS系統(tǒng)被置入的木馬等。

開啟此模塊,并添加網(wǎng)站所在總目錄到“防護(hù)目錄”即可,如下圖。

未命�?7.jpg


3、用戶防護(hù)

該模塊主要防止黑客創(chuàng)建非法賬戶,或者提權(quán)為系統(tǒng)管理員。

◆ 如果不會創(chuàng)建新的用戶,請開啟“禁止新建用戶”

◆ 務(wù)必開啟“鎖定用戶組”,并添加“administrators”組

未命�?8.jpg


4、遠(yuǎn)程防護(hù)

該模塊是必開模塊之一。

有很多黑客使用肉雞,每天不間斷掃描世界各地的服務(wù)器,檢查是否開啟遠(yuǎn)程桌面,并進(jìn)行暴力破解。

同時也存在遠(yuǎn)程賬戶密碼泄漏的風(fēng)險,唯有對遠(yuǎn)程登錄做相應(yīng)的防護(hù)措施,方可解決遠(yuǎn)程登錄安全隱患。

遠(yuǎn)程防護(hù)模塊則可以輕松解決這個問題,限制允許遠(yuǎn)程登錄的終端設(shè)備所在區(qū)域或IP,讓黑客無法連接遠(yuǎn)程桌面。

◆ 遠(yuǎn)程終端防護(hù)務(wù)必開啟,建議選擇“IP/區(qū)域”,并添加您所在城市到授權(quán)區(qū)域。(黑客和您同所城市的幾率幾乎為零。若還不放心,授權(quán)區(qū)域留空,采用信任終端

◆ 登錄消息通知建議開啟,可以及時知曉服務(wù)器登錄情況。

未命�?9.jpg


5、篡改防護(hù)

篡改防護(hù)模塊用于對服務(wù)器文件進(jìn)行篡改保護(hù)。

典型應(yīng)用案例:
禁止網(wǎng)站目錄具有執(zhí)行權(quán)限
禁止臨時目錄具有執(zhí)行權(quán)限
禁止新建、修改和刪除PHP文件

我們這里主要禁止網(wǎng)站目錄具有執(zhí)行權(quán)限,防止黑客上傳cmd.exe等執(zhí)行非法操作。

如下圖所示,這樣配置后,黑客即使上傳cmd.exe到網(wǎng)站,也無法通過其執(zhí)行任何非法操作。

未命�?10.jpg


如果您需要禁止篡改PHP文件,只需在“高級規(guī)則”添加如下規(guī)則即可。

未命�?11.jpg


6、命名防護(hù)

對于存放上傳文件的目錄,我們還可以通過“篡改防護(hù)-命名防護(hù)”模塊,設(shè)置禁止保存動態(tài)腳本文件(如下圖),徹底阻斷黑客上傳網(wǎng)頁木馬。

未命�?1.jpg



二、防護(hù)系統(tǒng)漏洞入侵

系統(tǒng)漏洞防護(hù)相對來說比較簡單,因為Windows有微軟每月發(fā)布安全補(bǔ)丁,而Linux系統(tǒng)漏洞不多。

但我們也必須做必要的安全防護(hù)措施,不然一不小心就被入侵了。


1、防火墻

首先是開啟防火墻,只開放必要的端口,例如:80、443、遠(yuǎn)程端口、FTP端口

該防火墻具有特色功能:支持按區(qū)域防護(hù)。例如:可以設(shè)置FTP端口只對你所在城市開放,可大幅提升FTP安全。

未命�?12.jpg


2、系統(tǒng)加固

操作系統(tǒng)出廠時,廠商為了兼容性,不會對系統(tǒng)做嚴(yán)格的安全限制,因此務(wù)必做一次系統(tǒng)安全加固,方可防止黑客入侵。

需要加固內(nèi)容:系統(tǒng)文件加固、系統(tǒng)服務(wù)加固、系統(tǒng)模塊加固、系統(tǒng)組件加固、PHP安全加固、數(shù)據(jù)盤加固、遠(yuǎn)程登錄加固

防入侵系統(tǒng)提供有免費(fèi)安全加固服務(wù),在線即可完成加固,省時省心。


未命�?13.jpg


3、補(bǔ)丁更新

通過以上兩步,修復(fù)了大部分系統(tǒng)漏洞,但是對于一些重大漏洞或最新漏洞,還需要通過更新補(bǔ)丁來修復(fù)。

Windows系統(tǒng)比較簡單,通過系統(tǒng)自帶的補(bǔ)丁更新工具即可完成,Linux則需要更新內(nèi)核方式解決。

防入侵系統(tǒng)自帶的補(bǔ)丁更新功能正在緊張開發(fā)中。



三、防護(hù)軟件漏洞入侵

大部分軟件都以系統(tǒng)身份(system或root)運(yùn)行,如果其本身有漏洞,將非常危險,例如Apache、Nginx、Tomcat、MySQL、SQL Server、Serv-U等大部分服務(wù)器軟件,都存在安全隱患,需要進(jìn)行安全加固。可以通過進(jìn)程防護(hù)模塊,限制軟件訪問文件權(quán)限。

查看通過軟件入侵服務(wù)器演示請點這里


1、進(jìn)程防護(hù)

進(jìn)程防護(hù)模塊可以限制進(jìn)程的啟動權(quán)限、網(wǎng)絡(luò)通信權(quán)限和文件訪問權(quán)限,可以對軟件進(jìn)行非常嚴(yán)格的安全防護(hù)。

例如禁止軟件訪問安裝目錄以外的文件,那黑客則再也沒辦法通過軟件入侵服務(wù)器了。


(1)限制文件訪問

我們以Apache為例,只對安裝目錄有讀寫刪執(zhí)行權(quán)限,其他文件只有讀權(quán)限。黑客則再也沒法通過apache調(diào)用cmd.exe入侵系統(tǒng)了。

未命�?17.jpg


未命�?16.jpg



(2)限制網(wǎng)絡(luò)通信

我們以PHP為例,禁止對外DDOS攻擊。禁止PHP進(jìn)程對外UDP通信,黑客再也沒法發(fā)動DDOS攻擊了。

未命�?18.jpg


未命�?19.jpg



四、安全沒有終點

通過對以上三大入侵方式的防護(hù),服務(wù)器已經(jīng)非常安全了。

然而隨著科技的進(jìn)步,入侵手段層出不窮,防護(hù)措施也需不斷更新,方可持續(xù)有效防護(hù)入侵。

護(hù)衛(wèi)神專注服務(wù)器安全二十載,擁有雄厚的安全防護(hù)技術(shù),強(qiáng)大的安全研發(fā)能力,我們將持續(xù)專注服務(wù)器安全防護(hù),秉持工匠精神,追求精益求精,不斷攀越安全防護(hù)新高峰,一如既往的為廣大用戶提供強(qiáng)大、易用、省心的安全防護(hù)產(chǎn)品!


【精彩導(dǎo)讀】

為什么需要網(wǎng)站安全策略加固?

上一篇:加固:免費(fèi)安全加固