进程防护采用底层驱动技术,限制进程的启动、网络通信和文件访问权限。
例如:禁止PHP对外DDOS攻击,防护redis放大攻击、限制FTP只能访问网站路径等等。
一、工作流程
首先检查进程对象是否在“防护路径”内,在防护路径内再检查以下流程:
① 如果进程启动,检查规则有无设置“禁止启动”,有设置就拦截启动
② 如果进程网络通信,检查通信方式和通信对象是否在限制范围内,在限制范围就拦截
③ 如果进程访问文件,检查访问对象和操作动作是否在限制范围内,在限制范围就拦截
二、填写说明
1、基本设置
进程路径:
请填写需要防护的进程路径。支持完整路径或部分路径,部分路径需要带*
详细规则:http://www.hws.com/doc/frq/51.html
填写示例:
*\bin\*,表示路径包含\bin\的进程,如:d:\bin\mysql.exe
*\php-cgi.exe,表示php-cgi.exe进程
d:\software\*,表示d:\software下的所有进程,如:d:\software\mysqld.exe
d:\software\mysql\mysqld.exe,表示d:\software\mysql\mysqld.exe进程
禁止启动:
禁止防护路径下的进程启动
白名单:
填写需要例外的进程路径,支持完整路径或部分路径,部分路径需要带*
详细规则:http://www.hws.com/doc/frq/51.html
填写示例:
*\bin\*,表示路径包含\bin\的进程,如:d:\bin\mysql.exe
*\php-cgi.exe,表示php-cgi.exe进程
*/php-fpm,表示php-fpm进程
d:\software\*,表示d:\software下的所有进程,如:d:\software\mysqld.exe
d:\software\mysql\mysqld.exe,表示d:\software\mysql\mysqld.exe进程
注:有些php网站程序,有可能要与DNS服务器通信,则需要在“网络通信“-”白名单“,添加DNS服务器的IP
如:114.114.114.114
8.8.8.8
127.0.0.53
127.0.0.1
2、网络通信
限制防护进程的网络通信行为。
温馨提示:如果通信发起方和接收方IP一致则会放行,例如本机通信
禁止TCP:
禁止进程对外TCP通信。
例如禁止redis和服务器外部TCP通信,可以提升安全性
禁止UDP:
禁止进程对外UDP通信。
例如禁止php和服务器外部UDP通信,防止PHPDDOS攻击
白名单:
不受网络通信限制的目标IP和区域。
支持IP、子网掩码和IP段,填写示例:
192.168.2.1
192.168.2.1/16
192.168.2.1-192.168.255.255
注:
3、文件访问
限制进程对象的文件访问行为,不设置则可以访问所有路径。
访问路径:
请填写访问受限制的文件路径,只填写*表示所有路径。
支持完整路径或部分路径,部分路径需要在一侧或两侧加*
详细规则:http://www.hws.com/doc/frq/51.html
填写示例:
*\uploads\*,表示包含有\uploads\的路径都匹配,如:d:\web\uploads\logo.jpg
*\admin.php,表示admin.php文件
*.php,表示所有php类型的文件
d:\wwwroot\*,表示d:\wwwroot自身及子路径,如:\wwwroot\site1\index.php
d:\wwwroot\admin\login.php,表示这个文件自身
操作限制:
禁止读取:禁止读取文件或目录内容(不含属性)
禁止执行:禁止将可执行文件运行到进程
禁止新建:禁止新增文件或目录
禁止修改:禁止修改文件内容(不含属性)
禁止删除:禁止删除文件或目录
禁止改名:禁止重命名文件或目录。注意:如果更改了存储目录的重命名(如剪切、移动),则识别为新建+删除
优先级:
范围:1-99,1表示最高优先级,99表示最低优先级
执行时按照优先级从高到低执行,相同优先级按照添加时间倒序执行,匹配成功就立即拦截。