護衛(wèi)神·防入侵系統(tǒng)是2022年推出的新一代防護系統(tǒng)。該系統(tǒng)在黑客入侵的每一個環(huán)節(jié)進行攔截,將一切不速之客拒之門外。
目前已發(fā)布數(shù)十個防護模塊,更多模塊陸續(xù)更新中(共規(guī)劃了100+防護模塊)。
要了解如何防護服務器安全,我們先看下圖。該圖是黑客通過網(wǎng)站入侵服務器的標準流程,也是最常用的入侵方式。如圖所示,在每一個入侵環(huán)節(jié),護衛(wèi)神.防入侵系統(tǒng)都會進行攔截處理。
實際上,黑客入侵服務器有三種方式,分別是:網(wǎng)站漏洞入侵、系統(tǒng)漏洞入侵、軟件漏洞入侵。針對這三種方式的入侵,護衛(wèi)神.防入侵系統(tǒng)均有防護能力,也就是防入侵系統(tǒng)具備全方位的安全防護能力。
理解了防護原理,那么接下來詳細說說系統(tǒng)是如何有效防護入侵的。
一、防護網(wǎng)站漏洞入侵
網(wǎng)站漏洞是最常用的入侵防護,防護也比較復雜,需要用到以下模塊:網(wǎng)站防護、木馬防護、用戶防護、遠程防護、篡改防護。
1、網(wǎng)站防護
通過網(wǎng)站防護模塊,可以對IIS、Apache、Nginx進行防護(Nginx僅支持Linux)。該模塊擁有數(shù)十項子模塊,后期還會開發(fā)更多超實用模塊,例如:驗證防護、非法防護等等。
(1)基本防護
這是基本的防護模塊,請務必開啟。(XSS跨站防護開啟后有可能導致網(wǎng)站無法登錄,可以暫不開啟)
該模塊對網(wǎng)站進行最基本的安全防護,例如:隱藏WebServer信息、過濾X-Forwarded-For參數(shù),禁止短文件名路徑、畸形文件路徑、腳本解析漏洞等方式訪問,溢出攻擊防護,查殺網(wǎng)頁木馬等。
(2)網(wǎng)頁木馬防護
在基本防護已經(jīng)包含了“網(wǎng)頁木馬防護”,只是此模塊比較重要,再單獨敘述一下。開啟“網(wǎng)頁木馬防護”,請求類型勾選“POST”。
開啟此模塊后,通過在線上傳方式上傳網(wǎng)頁木馬就會被立即查殺了。
(3)SQL注入防護
SQL注入是黑客入侵網(wǎng)站最常用的手段,比后門使用率還高,因此務必開啟“SQL注入防護”。
通過SQL注入,黑客可以取得后臺管理信息,也可以篡改數(shù)據(jù)、刪庫等,非常危險恐怖。
(4)靜態(tài)目錄保護
在線上傳文件一般存放于upload目錄,如果黑客往這些目錄上傳網(wǎng)頁木馬,則存在被入侵的風險。
因此我們可以針對一些只存放靜態(tài)文件的目錄,設置禁止執(zhí)行動態(tài)腳本,即使上傳了網(wǎng)頁木馬,也無法運行!办o態(tài)保護模塊”則可以實現(xiàn)這個功能。
開啟位置:“訪問保護-靜態(tài)目錄保護”,再設置保護目錄名,一般為在線上傳目錄和臨時文件目錄。
(5)網(wǎng)站后臺保護
網(wǎng)站后臺無疑是非常重要的。黑客多數(shù)是先通過SQL注入取得后臺管理賬戶密碼(也有暴力破解方式取得賬戶密碼的),再登錄后臺進行入侵。
如果我們對后臺做一層安全防護,讓黑客即使知道了賬戶密碼,也無法進一步實施入侵。
“網(wǎng)站后臺保護”模塊則可以實現(xiàn)此功能。開啟此功能后,只有授權(quán)IP才能訪問后臺,其他人皆不可訪問。
開啟位置:“訪問保護-網(wǎng)站后臺保護”,然后設置后臺地址。
如上圖所示,后臺地址為:www.xxx.com/admin/,只有成都用戶可以進入。而黑客和管理員同所城市的幾率非常低。
對此如果你還擔心,沒關系,還有更強的防護方法:授權(quán)區(qū)域留空,只設置后臺地址,然后使用安全信任終端軟件添加IP白名單,使用說明請點這里。
通過以上五步操作,想通過網(wǎng)站實施入侵已經(jīng)非常難了。當然我們也不自滿,我們的防護手段可不止這點,繼續(xù)。
2、木馬防護
該模塊主要功能是自動查殺網(wǎng)頁木馬。例如通過FTP上傳的木馬,或是CMS系統(tǒng)被置入的木馬等。
開啟此模塊,并添加網(wǎng)站所在總目錄到“防護目錄”即可,如下圖。
3、用戶防護
該模塊主要防止黑客創(chuàng)建非法賬戶,或者提權(quán)為系統(tǒng)管理員。
◆ 如果不會創(chuàng)建新的用戶,請開啟“禁止新建用戶”
◆ 務必開啟“鎖定用戶組”,并添加“administrators”組
4、遠程防護
該模塊是必開模塊之一。
有很多黑客使用肉雞,每天不間斷掃描世界各地的服務器,檢查是否開啟遠程桌面,并進行暴力破解。
同時也存在遠程賬戶密碼泄漏的風險,唯有對遠程登錄做相應的防護措施,方可解決遠程登錄安全隱患。
遠程防護模塊則可以輕松解決這個問題,限制允許遠程登錄的終端設備所在區(qū)域或IP,讓黑客無法連接遠程桌面。
◆ 遠程終端防護務必開啟,建議選擇“IP/區(qū)域”,并添加您所在城市到授權(quán)區(qū)域。(黑客和您同所城市的幾率幾乎為零。若還不放心,授權(quán)區(qū)域留空,采用信任終端)
◆ 登錄消息通知建議開啟,可以及時知曉服務器登錄情況。
5、篡改防護
篡改防護模塊用于對服務器文件進行篡改保護。
典型應用案例: 禁止網(wǎng)站目錄具有執(zhí)行權(quán)限 禁止臨時目錄具有執(zhí)行權(quán)限 禁止新建、修改和刪除PHP文件
我們這里主要禁止網(wǎng)站目錄具有執(zhí)行權(quán)限,防止黑客上傳cmd.exe等執(zhí)行非法操作。
如下圖所示,這樣配置后,黑客即使上傳cmd.exe到網(wǎng)站,也無法通過其執(zhí)行任何非法操作。
如果您需要禁止篡改PHP文件,只需在“高級規(guī)則”添加如下規(guī)則即可。
6、命名防護
對于存放上傳文件的目錄,我們還可以通過“篡改防護-命名防護”模塊,設置禁止保存動態(tài)腳本文件(如下圖),徹底阻斷黑客上傳網(wǎng)頁木馬。
二、防護系統(tǒng)漏洞入侵
系統(tǒng)漏洞防護相對來說比較簡單,因為Windows有微軟每月發(fā)布安全補丁,而Linux系統(tǒng)漏洞不多。
但我們也必須做必要的安全防護措施,不然一不小心就被入侵了。
1、防火墻
首先是開啟防火墻,只開放必要的端口,例如:80、443、遠程端口、FTP端口
該防火墻具有特色功能:支持按區(qū)域防護。例如:可以設置FTP端口只對你所在城市開放,可大幅提升FTP安全。
2、系統(tǒng)加固
操作系統(tǒng)出廠時,廠商為了兼容性,不會對系統(tǒng)做嚴格的安全限制,因此務必做一次系統(tǒng)安全加固,方可防止黑客入侵。
需要加固內(nèi)容:系統(tǒng)文件加固、系統(tǒng)服務加固、系統(tǒng)模塊加固、系統(tǒng)組件加固、PHP安全加固、數(shù)據(jù)盤加固、遠程登錄加固
防入侵系統(tǒng)提供有免費安全加固服務,在線即可完成加固,省時省心。
3、補丁更新
通過以上兩步,修復了大部分系統(tǒng)漏洞,但是對于一些重大漏洞或最新漏洞,還需要通過更新補丁來修復。
Windows系統(tǒng)比較簡單,通過系統(tǒng)自帶的補丁更新工具即可完成,Linux則需要更新內(nèi)核方式解決。
防入侵系統(tǒng)自帶的補丁更新功能正在緊張開發(fā)中。
三、防護軟件漏洞入侵
大部分軟件都以系統(tǒng)身份(system或root)運行,如果其本身有漏洞,將非常危險,例如Apache、Nginx、Tomcat、MySQL、SQL Server、Serv-U等大部分服務器軟件,都存在安全隱患,需要進行安全加固?梢酝ㄟ^進程防護模塊,限制軟件訪問文件權(quán)限。
1、進程防護
進程防護模塊可以限制進程的啟動權(quán)限、網(wǎng)絡通信權(quán)限和文件訪問權(quán)限,可以對軟件進行非常嚴格的安全防護。
例如禁止軟件訪問安裝目錄以外的文件,那黑客則再也沒辦法通過軟件入侵服務器了。
(1)限制文件訪問
我們以Apache為例,只對安裝目錄有讀寫刪執(zhí)行權(quán)限,其他文件只有讀權(quán)限。黑客則再也沒法通過apache調(diào)用cmd.exe入侵系統(tǒng)了。
(2)限制網(wǎng)絡通信
我們以PHP為例,禁止對外DDOS攻擊。禁止PHP進程對外UDP通信,黑客再也沒法發(fā)動DDOS攻擊了。
四、安全沒有終點
通過對以上三大入侵方式的防護,服務器已經(jīng)非常安全了。
然而隨著科技的進步,入侵手段層出不窮,防護措施也需不斷更新,方可持續(xù)有效防護入侵。
護衛(wèi)神專注服務器安全二十載,擁有雄厚的安全防護技術(shù),強大的安全研發(fā)能力,我們將持續(xù)專注服務器安全防護,秉持工匠精神,追求精益求精,不斷攀越安全防護新高峰,一如既往的為廣大用戶提供強大、易用、省心的安全防護產(chǎn)品!
【精彩導讀】