護衛(wèi)神如何保障服務(wù)器安全

護衛(wèi)神·防入侵系統(tǒng)是2022年推出的新一代防護系統(tǒng)。該系統(tǒng)在黑客入侵的每一個環(huán)節(jié)進(jìn)行攔截,將一切不速之客拒之門外。

目前已發(fā)布數(shù)十個防護模塊,更多模塊陸續(xù)更新中(共規(guī)劃了100+防護模塊)。


要了解如何防護服務(wù)器安全,我們先看下圖。該圖是黑客通過網(wǎng)站入侵服務(wù)器的標(biāo)準(zhǔn)流程,也是最常用的入侵方式。如圖所示,在每一個入侵環(huán)節(jié),護衛(wèi)神.防入侵系統(tǒng)都會進(jìn)行攔截處理。


實際上,黑客入侵服務(wù)器有三種方式,分別是:網(wǎng)站漏洞入侵、系統(tǒng)漏洞入侵、軟件漏洞入侵。針對這三種方式的入侵,護衛(wèi)神.防入侵系統(tǒng)均有防護能力,也就是防入侵系統(tǒng)具備全方位的安全防護能力。


理解了防護原理,那么接下來詳細(xì)說說系統(tǒng)是如何有效防護入侵的。


一、防護網(wǎng)站漏洞入侵

網(wǎng)站漏洞是最常用的入侵防護,防護也比較復(fù)雜,需要用到以下模塊:網(wǎng)站防護、木馬防護、用戶防護、遠(yuǎn)程防護、篡改防護。


1、網(wǎng)站防護

通過網(wǎng)站防護模塊,可以對IIS、Apache、Nginx進(jìn)行防護(Nginx僅支持Linux)。該模塊擁有數(shù)十項子模塊,后期還會開發(fā)更多超實用模塊,例如:驗證防護、非法防護等等。


(1)基本防護

這是基本的防護模塊,請務(wù)必開啟。(XSS跨站防護開啟后有可能導(dǎo)致網(wǎng)站無法登錄,可以暫不開啟)

該模塊對網(wǎng)站進(jìn)行最基本的安全防護,例如:隱藏WebServer信息、過濾X-Forwarded-For參數(shù),禁止短文件名路徑、畸形文件路徑、腳本解析漏洞等方式訪問,溢出攻擊防護,查殺網(wǎng)頁木馬等。


(2)網(wǎng)頁木馬防護

在基本防護已經(jīng)包含了“網(wǎng)頁木馬防護”,只是此模塊比較重要,再單獨敘述一下。開啟“網(wǎng)頁木馬防護”,請求類型勾選“POST”。

開啟此模塊后,通過在線上傳方式上傳網(wǎng)頁木馬就會被立即查殺了。

未命�?1.jpg


(3)SQL注入防護

SQL注入是黑客入侵網(wǎng)站最常用的手段,比后門使用率還高,因此務(wù)必開啟“SQL注入防護”。

通過SQL注入,黑客可以取得后臺管理信息,也可以篡改數(shù)據(jù)、刪庫等,非常危險恐怖。

未命�?2.jpg


(4)靜態(tài)目錄保護

在線上傳文件一般存放于upload目錄,如果黑客往這些目錄上傳網(wǎng)頁木馬,則存在被入侵的風(fēng)險。

因此我們可以針對一些只存放靜態(tài)文件的目錄,設(shè)置禁止執(zhí)行動態(tài)腳本,即使上傳了網(wǎng)頁木馬,也無法運行!办o態(tài)保護模塊”則可以實現(xiàn)這個功能。

開啟位置:“訪問保護-靜態(tài)目錄保護”,再設(shè)置保護目錄名,一般為在線上傳目錄和臨時文件目錄。

未命�?5.jpg


(5)網(wǎng)站后臺保護

網(wǎng)站后臺無疑是非常重要的。黑客多數(shù)是先通過SQL注入取得后臺管理賬戶密碼(也有暴力破解方式取得賬戶密碼的),再登錄后臺進(jìn)行入侵。

如果我們對后臺做一層安全防護,讓黑客即使知道了賬戶密碼,也無法進(jìn)一步實施入侵。

“網(wǎng)站后臺保護”模塊則可以實現(xiàn)此功能。開啟此功能后,只有授權(quán)IP才能訪問后臺,其他人皆不可訪問。

開啟位置:“訪問保護-網(wǎng)站后臺保護”,然后設(shè)置后臺地址。

未命�?6.jpg

如上圖所示,后臺地址為:www.xxx.com/admin/,只有成都用戶可以進(jìn)入。而黑客和管理員同所城市的幾率非常低。

對此如果你還擔(dān)心,沒關(guān)系,還有更強的防護方法:授權(quán)區(qū)域留空,只設(shè)置后臺地址,然后使用安全信任終端軟件添加IP白名單,使用說明請點這里


通過以上五步操作,想通過網(wǎng)站實施入侵已經(jīng)非常難了。當(dāng)然我們也不自滿,我們的防護手段可不止這點,繼續(xù)。


2、木馬防護

該模塊主要功能是自動查殺網(wǎng)頁木馬。例如通過FTP上傳的木馬,或是CMS系統(tǒng)被置入的木馬等。

開啟此模塊,并添加網(wǎng)站所在總目錄到“防護目錄”即可,如下圖。

未命�?7.jpg


3、用戶防護

該模塊主要防止黑客創(chuàng)建非法賬戶,或者提權(quán)為系統(tǒng)管理員。

◆ 如果不會創(chuàng)建新的用戶,請開啟“禁止新建用戶”

◆ 務(wù)必開啟“鎖定用戶組”,并添加“administrators”組

未命�?8.jpg


4、遠(yuǎn)程防護

該模塊是必開模塊之一。

有很多黑客使用肉雞,每天不間斷掃描世界各地的服務(wù)器,檢查是否開啟遠(yuǎn)程桌面,并進(jìn)行暴力破解。

同時也存在遠(yuǎn)程賬戶密碼泄漏的風(fēng)險,唯有對遠(yuǎn)程登錄做相應(yīng)的防護措施,方可解決遠(yuǎn)程登錄安全隱患。

遠(yuǎn)程防護模塊則可以輕松解決這個問題,限制允許遠(yuǎn)程登錄的終端設(shè)備所在區(qū)域或IP,讓黑客無法連接遠(yuǎn)程桌面。

◆ 遠(yuǎn)程終端防護務(wù)必開啟,建議選擇“IP/區(qū)域”,并添加您所在城市到授權(quán)區(qū)域。(黑客和您同所城市的幾率幾乎為零。若還不放心,授權(quán)區(qū)域留空,采用信任終端

◆ 登錄消息通知建議開啟,可以及時知曉服務(wù)器登錄情況。

未命�?9.jpg


5、篡改防護

篡改防護模塊用于對服務(wù)器文件進(jìn)行篡改保護。

典型應(yīng)用案例:
禁止網(wǎng)站目錄具有執(zhí)行權(quán)限
禁止臨時目錄具有執(zhí)行權(quán)限
禁止新建、修改和刪除PHP文件

我們這里主要禁止網(wǎng)站目錄具有執(zhí)行權(quán)限,防止黑客上傳cmd.exe等執(zhí)行非法操作。

如下圖所示,這樣配置后,黑客即使上傳cmd.exe到網(wǎng)站,也無法通過其執(zhí)行任何非法操作。

未命�?10.jpg


如果您需要禁止篡改PHP文件,只需在“高級規(guī)則”添加如下規(guī)則即可。

未命�?11.jpg


6、命名防護

對于存放上傳文件的目錄,我們還可以通過“篡改防護-命名防護”模塊,設(shè)置禁止保存動態(tài)腳本文件(如下圖),徹底阻斷黑客上傳網(wǎng)頁木馬。

未命�?1.jpg



二、防護系統(tǒng)漏洞入侵

系統(tǒng)漏洞防護相對來說比較簡單,因為Windows有微軟每月發(fā)布安全補丁,而Linux系統(tǒng)漏洞不多。

但我們也必須做必要的安全防護措施,不然一不小心就被入侵了。


1、防火墻

首先是開啟防火墻,只開放必要的端口,例如:80、443、遠(yuǎn)程端口、FTP端口

該防火墻具有特色功能:支持按區(qū)域防護。例如:可以設(shè)置FTP端口只對你所在城市開放,可大幅提升FTP安全。

未命�?12.jpg


2、系統(tǒng)加固

操作系統(tǒng)出廠時,廠商為了兼容性,不會對系統(tǒng)做嚴(yán)格的安全限制,因此務(wù)必做一次系統(tǒng)安全加固,方可防止黑客入侵。

需要加固內(nèi)容:系統(tǒng)文件加固、系統(tǒng)服務(wù)加固、系統(tǒng)模塊加固、系統(tǒng)組件加固、PHP安全加固、數(shù)據(jù)盤加固、遠(yuǎn)程登錄加固

防入侵系統(tǒng)提供有免費安全加固服務(wù),在線即可完成加固,省時省心。


未命�?13.jpg


3、補丁更新

通過以上兩步,修復(fù)了大部分系統(tǒng)漏洞,但是對于一些重大漏洞或最新漏洞,還需要通過更新補丁來修復(fù)。

Windows系統(tǒng)比較簡單,通過系統(tǒng)自帶的補丁更新工具即可完成,Linux則需要更新內(nèi)核方式解決。

防入侵系統(tǒng)自帶的補丁更新功能正在緊張開發(fā)中。



三、防護軟件漏洞入侵

大部分軟件都以系統(tǒng)身份(system或root)運行,如果其本身有漏洞,將非常危險,例如Apache、Nginx、Tomcat、MySQL、SQL Server、Serv-U等大部分服務(wù)器軟件,都存在安全隱患,需要進(jìn)行安全加固。可以通過進(jìn)程防護模塊,限制軟件訪問文件權(quán)限。

查看通過軟件入侵服務(wù)器演示請點這里


1、進(jìn)程防護

進(jìn)程防護模塊可以限制進(jìn)程的啟動權(quán)限、網(wǎng)絡(luò)通信權(quán)限和文件訪問權(quán)限,可以對軟件進(jìn)行非常嚴(yán)格的安全防護。

例如禁止軟件訪問安裝目錄以外的文件,那黑客則再也沒辦法通過軟件入侵服務(wù)器了。


(1)限制文件訪問

我們以Apache為例,只對安裝目錄有讀寫刪執(zhí)行權(quán)限,其他文件只有讀權(quán)限。黑客則再也沒法通過apache調(diào)用cmd.exe入侵系統(tǒng)了。

未命�?17.jpg


未命�?16.jpg



(2)限制網(wǎng)絡(luò)通信

我們以PHP為例,禁止對外DDOS攻擊。禁止PHP進(jìn)程對外UDP通信,黑客再也沒法發(fā)動DDOS攻擊了。

未命�?18.jpg


未命�?19.jpg



四、安全沒有終點

通過對以上三大入侵方式的防護,服務(wù)器已經(jīng)非常安全了。

然而隨著科技的進(jìn)步,入侵手段層出不窮,防護措施也需不斷更新,方可持續(xù)有效防護入侵。

護衛(wèi)神專注服務(wù)器安全二十載,擁有雄厚的安全防護技術(shù),強大的安全研發(fā)能力,我們將持續(xù)專注服務(wù)器安全防護,秉持工匠精神,追求精益求精,不斷攀越安全防護新高峰,一如既往的為廣大用戶提供強大、易用、省心的安全防護產(chǎn)品!


【精彩導(dǎo)讀】

為什么需要網(wǎng)站安全策略加固?

上一篇:加固:免費安全加固