護衛神如何保障服務(wù)器安全

護衛神·防入侵系統是2022年推出的新一代防護系統。該系統在黑客入侵的每一個(gè)環(huán)節進(jìn)行攔截,將一切不速之客拒之門(mén)外。

目前已發(fā)布數十個(gè)防護模塊,更多模塊陸續更新中(共規劃了100+防護模塊)。


要了解如何防護服務(wù)器安全,我們先看下圖。該圖是黑客通過(guò)網(wǎng)站入侵服務(wù)器的標準流程,也是最常用的入侵方式。如圖所示,在每一個(gè)入侵環(huán)節,護衛神.防入侵系統都會(huì )進(jìn)行攔截處理。


實(shí)際上,黑客入侵服務(wù)器有三種方式,分別是:網(wǎng)站漏洞入侵、系統漏洞入侵、軟件漏洞入侵。針對這三種方式的入侵,護衛神.防入侵系統均有防護能力,也就是防入侵系統具備全方位的安全防護能力。


理解了防護原理,那么接下來(lái)詳細說(shuō)說(shuō)系統是如何有效防護入侵的。


一、防護網(wǎng)站漏洞入侵

網(wǎng)站漏洞是最常用的入侵防護,防護也比較復雜,需要用到以下模塊:網(wǎng)站防護、木馬防護、用戶(hù)防護、遠程防護、篡改防護。


1、網(wǎng)站防護

通過(guò)網(wǎng)站防護模塊,可以對IIS、Apache、Nginx進(jìn)行防護(Nginx僅支持Linux)。該模塊擁有數十項子模塊,后期還會(huì )開(kāi)發(fā)更多超實(shí)用模塊,例如:驗證防護、非法防護等等。


(1)基本防護

這是基本的防護模塊,請務(wù)必開(kāi)啟。(XSS跨站防護開(kāi)啟后有可能導致網(wǎng)站無(wú)法登錄,可以暫不開(kāi)啟)

該模塊對網(wǎng)站進(jìn)行最基本的安全防護,例如:隱藏WebServer信息、過(guò)濾X-Forwarded-For參數,禁止短文件名路徑、畸形文件路徑、腳本解析漏洞等方式訪(fǎng)問(wèn),溢出攻擊防護,查殺網(wǎng)頁(yè)木馬等。


(2)網(wǎng)頁(yè)木馬防護

在基本防護已經(jīng)包含了“網(wǎng)頁(yè)木馬防護”,只是此模塊比較重要,再單獨敘述一下。開(kāi)啟“網(wǎng)頁(yè)木馬防護”,請求類(lèi)型勾選“POST”。

開(kāi)啟此模塊后,通過(guò)在線(xiàn)上傳方式上傳網(wǎng)頁(yè)木馬就會(huì )被立即查殺了。

未命�?1.jpg


(3)SQL注入防護

SQL注入是黑客入侵網(wǎng)站最常用的手段,比后門(mén)使用率還高,因此務(wù)必開(kāi)啟“SQL注入防護”。

通過(guò)SQL注入,黑客可以取得后臺管理信息,也可以篡改數據、刪庫等,非常危險恐怖。

未命�?2.jpg


(4)靜態(tài)目錄保護

在線(xiàn)上傳文件一般存放于upload目錄,如果黑客往這些目錄上傳網(wǎng)頁(yè)木馬,則存在被入侵的風(fēng)險。

因此我們可以針對一些只存放靜態(tài)文件的目錄,設置禁止執行動(dòng)態(tài)腳本,即使上傳了網(wǎng)頁(yè)木馬,也無(wú)法運行!办o態(tài)保護模塊”則可以實(shí)現這個(gè)功能。

開(kāi)啟位置:“訪(fǎng)問(wèn)保護-靜態(tài)目錄保護”,再設置保護目錄名,一般為在線(xiàn)上傳目錄和臨時(shí)文件目錄。

未命�?5.jpg


(5)網(wǎng)站后臺保護

網(wǎng)站后臺無(wú)疑是非常重要的。黑客多數是先通過(guò)SQL注入取得后臺管理賬戶(hù)密碼(也有暴力破解方式取得賬戶(hù)密碼的),再登錄后臺進(jìn)行入侵。

如果我們對后臺做一層安全防護,讓黑客即使知道了賬戶(hù)密碼,也無(wú)法進(jìn)一步實(shí)施入侵。

“網(wǎng)站后臺保護”模塊則可以實(shí)現此功能。開(kāi)啟此功能后,只有授權IP才能訪(fǎng)問(wèn)后臺,其他人皆不可訪(fǎng)問(wèn)。

開(kāi)啟位置:“訪(fǎng)問(wèn)保護-網(wǎng)站后臺保護”,然后設置后臺地址。

未命�?6.jpg

如上圖所示,后臺地址為:www.xxx.com/admin/,只有成都用戶(hù)可以進(jìn)入。而黑客和管理員同所城市的幾率非常低。

對此如果你還擔心,沒(méi)關(guān)系,還有更強的防護方法:授權區域留空,只設置后臺地址,然后使用安全信任終端軟件添加IP白名單,使用說(shuō)明請點(diǎn)這里。


通過(guò)以上五步操作,想通過(guò)網(wǎng)站實(shí)施入侵已經(jīng)非常難了。當然我們也不自滿(mǎn),我們的防護手段可不止這點(diǎn),繼續。


2、木馬防護

該模塊主要功能是自動(dòng)查殺網(wǎng)頁(yè)木馬。例如通過(guò)FTP上傳的木馬,或是CMS系統被置入的木馬等。

開(kāi)啟此模塊,并添加網(wǎng)站所在總目錄到“防護目錄”即可,如下圖。

未命�?7.jpg


3、用戶(hù)防護

該模塊主要防止黑客創(chuàng )建非法賬戶(hù),或者提權為系統管理員。

◆ 如果不會(huì )創(chuàng )建新的用戶(hù),請開(kāi)啟“禁止新建用戶(hù)”

◆ 務(wù)必開(kāi)啟“鎖定用戶(hù)組”,并添加“administrators”組

未命�?8.jpg


4、遠程防護

該模塊是必開(kāi)模塊之一。

有很多黑客使用肉雞,每天不間斷掃描世界各地的服務(wù)器,檢查是否開(kāi)啟遠程桌面,并進(jìn)行暴力破解。

同時(shí)也存在遠程賬戶(hù)密碼泄漏的風(fēng)險,唯有對遠程登錄做相應的防護措施,方可解決遠程登錄安全隱患。

遠程防護模塊則可以輕松解決這個(gè)問(wèn)題,限制允許遠程登錄的終端設備所在區域或IP,讓黑客無(wú)法連接遠程桌面。

◆ 遠程終端防護務(wù)必開(kāi)啟,建議選擇“IP/區域”,并添加您所在城市到授權區域。(黑客和您同所城市的幾率幾乎為零。若還不放心,授權區域留空,采用信任終端

◆ 登錄消息通知建議開(kāi)啟,可以及時(shí)知曉服務(wù)器登錄情況。

未命�?9.jpg


5、篡改防護

篡改防護模塊用于對服務(wù)器文件進(jìn)行篡改保護。

典型應用案例:
禁止網(wǎng)站目錄具有執行權限
禁止臨時(shí)目錄具有執行權限
禁止新建、修改和刪除PHP文件

我們這里主要禁止網(wǎng)站目錄具有執行權限,防止黑客上傳cmd.exe等執行非法操作。

如下圖所示,這樣配置后,黑客即使上傳cmd.exe到網(wǎng)站,也無(wú)法通過(guò)其執行任何非法操作。

未命�?10.jpg


如果您需要禁止篡改PHP文件,只需在“高級規則”添加如下規則即可。

未命�?11.jpg


6、命名防護

對于存放上傳文件的目錄,我們還可以通過(guò)“篡改防護-命名防護”模塊,設置禁止保存動(dòng)態(tài)腳本文件(如下圖),徹底阻斷黑客上傳網(wǎng)頁(yè)木馬。

未命�?1.jpg



二、防護系統漏洞入侵

系統漏洞防護相對來(lái)說(shuō)比較簡(jiǎn)單,因為Windows有微軟每月發(fā)布安全補丁,而Linux系統漏洞不多。

但我們也必須做必要的安全防護措施,不然一不小心就被入侵了。


1、防火墻

首先是開(kāi)啟防火墻,只開(kāi)放必要的端口,例如:80、443、遠程端口、FTP端口

該防火墻具有特色功能:支持按區域防護。例如:可以設置FTP端口只對你所在城市開(kāi)放,可大幅提升FTP安全。

未命�?12.jpg


2、系統加固

操作系統出廠(chǎng)時(shí),廠(chǎng)商為了兼容性,不會(huì )對系統做嚴格的安全限制,因此務(wù)必做一次系統安全加固,方可防止黑客入侵。

需要加固內容:系統文件加固、系統服務(wù)加固、系統模塊加固、系統組件加固、PHP安全加固、數據盤(pán)加固、遠程登錄加固

防入侵系統提供有免費安全加固服務(wù),在線(xiàn)即可完成加固,省時(shí)省心。


未命�?13.jpg


3、補丁更新

通過(guò)以上兩步,修復了大部分系統漏洞,但是對于一些重大漏洞或最新漏洞,還需要通過(guò)更新補丁來(lái)修復。

Windows系統比較簡(jiǎn)單,通過(guò)系統自帶的補丁更新工具即可完成,Linux則需要更新內核方式解決。

防入侵系統自帶的補丁更新功能正在緊張開(kāi)發(fā)中。



三、防護軟件漏洞入侵

大部分軟件都以系統身份(system或root)運行,如果其本身有漏洞,將非常危險,例如Apache、Nginx、Tomcat、MySQL、SQL Server、Serv-U等大部分服務(wù)器軟件,都存在安全隱患,需要進(jìn)行安全加固?梢酝ㄟ^(guò)進(jìn)程防護模塊,限制軟件訪(fǎng)問(wèn)文件權限。

查看通過(guò)軟件入侵服務(wù)器演示請點(diǎn)這里


1、進(jìn)程防護

進(jìn)程防護模塊可以限制進(jìn)程的啟動(dòng)權限、網(wǎng)絡(luò )通信權限和文件訪(fǎng)問(wèn)權限,可以對軟件進(jìn)行非常嚴格的安全防護。

例如禁止軟件訪(fǎng)問(wèn)安裝目錄以外的文件,那黑客則再也沒(méi)辦法通過(guò)軟件入侵服務(wù)器了。


(1)限制文件訪(fǎng)問(wèn)

我們以Apache為例,只對安裝目錄有讀寫(xiě)刪執行權限,其他文件只有讀權限。黑客則再也沒(méi)法通過(guò)apache調用cmd.exe入侵系統了。

未命�?17.jpg


未命�?16.jpg



(2)限制網(wǎng)絡(luò )通信

我們以PHP為例,禁止對外DDOS攻擊。禁止PHP進(jìn)程對外UDP通信,黑客再也沒(méi)法發(fā)動(dòng)DDOS攻擊了。

未命�?18.jpg


未命�?19.jpg



四、安全沒(méi)有終點(diǎn)

通過(guò)對以上三大入侵方式的防護,服務(wù)器已經(jīng)非常安全了。

然而隨著(zhù)科技的進(jìn)步,入侵手段層出不窮,防護措施也需不斷更新,方可持續有效防護入侵。

護衛神專(zhuān)注服務(wù)器安全二十載,擁有雄厚的安全防護技術(shù),強大的安全研發(fā)能力,我們將持續專(zhuān)注服務(wù)器安全防護,秉持工匠精神,追求精益求精,不斷攀越安全防護新高峰,一如既往的為廣大用戶(hù)提供強大、易用、省心的安全防護產(chǎn)品!


【精彩導讀】

為什么需要網(wǎng)站安全策略加固?

上一篇:加固:免費安全加固