进程防护

进程防护采用底层驱动技术,限制进程的启动、网络通信和文件访问权限。

例如:禁止PHP对外DDOS攻击,防护redis放大攻击、限制FTP只能访问网站路径等等。


一、工作流程

首先检查进程对象是否在“防护路径”内,在防护路径内再检查以下流程:

  ① 如果进程启动,检查规则有无设置“禁止启动”,有设置就拦截启动

  ② 如果进程网络通信,检查通信方式和通信对象是否在限制范围内,在限制范围就拦截

  ③ 如果进程访问文件,检查访问对象和操作动作是否在限制范围内,在限制范围就拦截


二、填写说明

1、基本设置

进程路径:

请填写需要防护的进程路径。支持完整路径或部分路径,部分路径需要带*

详细规则:http://www.hws.com/doc/frq/51.html


填写示例:

*\bin\*,表示路径包含\bin\的进程,如:d:\bin\mysql.exe

*\php-cgi.exe,表示php-cgi.exe进程

d:\software\*,表示d:\software下的所有进程,如:d:\software\mysqld.exe

d:\software\mysql\mysqld.exe,表示d:\software\mysql\mysqld.exe进程


禁止启动:

禁止防护路径下的进程启动


白名单:

填写需要例外的进程路径,支持完整路径或部分路径,部分路径需要带*

详细规则:http://www.hws.com/doc/frq/51.html


填写示例:

*\bin\*,表示路径包含\bin\的进程,如:d:\bin\mysql.exe

*\php-cgi.exe,表示php-cgi.exe进程

*/php-fpm,表示php-fpm进程

d:\software\*,表示d:\software下的所有进程,如:d:\software\mysqld.exe

d:\software\mysql\mysqld.exe,表示d:\software\mysql\mysqld.exe进程


进程防护-基本设置.jpg

注:有些php网站程序,有可能要与DNS服务器通信,则需要在“网络通信“-”白名单“,添加DNS服务器的IP

       如:114.114.114.114

              8.8.8.8

              127.0.0.53

              127.0.0.1

Zealous-1000.jpg

2、网络通信

限制防护进程的网络通信行为。

温馨提示:如果通信发起方和接收方IP一致则会放行,例如本机通信


禁止TCP:

禁止进程对外TCP通信。

例如禁止redis和服务器外部TCP通信,可以提升安全性


禁止UDP:

禁止进程对外UDP通信。

例如禁止php和服务器外部UDP通信,防止PHPDDOS攻击


白名单:

不受网络通信限制的目标IP和区域。

支持IP、子网掩码和IP段,填写示例:

192.168.2.1

192.168.2.1/16

192.168.2.1-192.168.255.255

注:

进程防护-网络通信.jpg


3、文件访问

限制进程对象的文件访问行为,不设置则可以访问所有路径。


访问路径:

请填写访问受限制的文件路径,只填写*表示所有路径。

支持完整路径或部分路径,部分路径需要在一侧或两侧加*

详细规则:http://www.hws.com/doc/frq/51.html


填写示例:

*\uploads\*,表示包含有\uploads\的路径都匹配,如:d:\web\uploads\logo.jpg

*\admin.php,表示admin.php文件

*.php,表示所有php类型的文件

d:\wwwroot\*,表示d:\wwwroot自身及子路径,如:\wwwroot\site1\index.php

d:\wwwroot\admin\login.php,表示这个文件自身


操作限制:

禁止读取:禁止读取文件或目录内容(不含属性)

禁止执行:禁止将可执行文件运行到进程

禁止新建:禁止新增文件或目录

禁止修改:禁止修改文件内容(不含属性)

禁止删除:禁止删除文件或目录

禁止改名:禁止重命名文件或目录。注意:如果更改了存储目录的重命名(如剪切、移动),则识别为新建+删除


优先级:

范围:1-99,1表示最高优先级,99表示最低优先级

执行时按照优先级从高到低执行,相同优先级按照添加时间倒序执行,匹配成功就立即拦截。


文件访问.jpg

上一篇:CMS防护