护卫神·防入侵系统是2022年推出的新一代防护系统。该系统在黑客入侵的每一个环节进行拦截,将一切不速之客拒之门外。
目前已发布数十个防护模块,更多模块陆续更新中(共规划了100+防护模块)。
要了解如何防护服务器安全,我们先看下图。该图是黑客通过网站入侵服务器的标准流程,也是最常用的入侵方式。如图所示,在每一个入侵环节,护卫神.防入侵系统都会进行拦截处理。
实际上,黑客入侵服务器有三种方式,分别是:网站漏洞入侵、系统漏洞入侵、软件漏洞入侵。针对这三种方式的入侵,护卫神.防入侵系统均有防护能力,也就是防入侵系统具备全方位的安全防护能力。
理解了防护原理,那么接下来详细说说系统是如何有效防护入侵的。
一、防护网站漏洞入侵
网站漏洞是最常用的入侵防护,防护也比较复杂,需要用到以下模块:网站防护、木马防护、用户防护、远程防护、篡改防护。
1、网站防护
通过网站防护模块,可以对IIS、Apache、Nginx进行防护(Nginx仅支持Linux)。该模块拥有数十项子模块,后期还会开发更多超实用模块,例如:验证防护、非法防护等等。
(1)基本防护
这是基本的防护模块,请务必开启。(XSS跨站防护开启后有可能导致网站无法登录,可以暂不开启)
该模块对网站进行最基本的安全防护,例如:隐藏WebServer信息、过滤X-Forwarded-For参数,禁止短文件名路径、畸形文件路径、脚本解析漏洞等方式访问,溢出攻击防护,查杀网页木马等。
(2)网页木马防护
在基本防护已经包含了“网页木马防护”,只是此模块比较重要,再单独叙述一下。开启“网页木马防护”,请求类型勾选“POST”。
开启此模块后,通过在线上传方式上传网页木马就会被立即查杀了。
(3)SQL注入防护
SQL注入是黑客入侵网站最常用的手段,比后门使用率还高,因此务必开启“SQL注入防护”。
通过SQL注入,黑客可以取得后台管理信息,也可以篡改数据、删库等,非常危险恐怖。
(4)静态目录保护
在线上传文件一般存放于upload目录,如果黑客往这些目录上传网页木马,则存在被入侵的风险。
因此我们可以针对一些只存放静态文件的目录,设置禁止执行动态脚本,即使上传了网页木马,也无法运行。“静态保护模块”则可以实现这个功能。
开启位置:“访问保护-静态目录保护”,再设置保护目录名,一般为在线上传目录和临时文件目录。
(5)网站后台保护
网站后台无疑是非常重要的。黑客多数是先通过SQL注入取得后台管理账户密码(也有暴力破解方式取得账户密码的),再登录后台进行入侵。
如果我们对后台做一层安全防护,让黑客即使知道了账户密码,也无法进一步实施入侵。
“网站后台保护”模块则可以实现此功能。开启此功能后,只有授权IP才能访问后台,其他人皆不可访问。
开启位置:“访问保护-网站后台保护”,然后设置后台地址。
如上图所示,后台地址为:www.xxx.com/admin/,只有成都用户可以进入。而黑客和管理员同所城市的几率非常低。
对此如果你还担心,没关系,还有更强的防护方法:授权区域留空,只设置后台地址,然后使用安全信任终端软件添加IP白名单,使用说明请点这里。
通过以上五步操作,想通过网站实施入侵已经非常难了。当然我们也不自满,我们的防护手段可不止这点,继续。
2、木马防护
该模块主要功能是自动查杀网页木马。例如通过FTP上传的木马,或是CMS系统被置入的木马等。
开启此模块,并添加网站所在总目录到“防护目录”即可,如下图。
3、用户防护
该模块主要防止黑客创建非法账户,或者提权为系统管理员。
◆ 如果不会创建新的用户,请开启“禁止新建用户”
◆ 务必开启“锁定用户组”,并添加“administrators”组
4、远程防护
该模块是必开模块之一。
有很多黑客使用肉鸡,每天不间断扫描世界各地的服务器,检查是否开启远程桌面,并进行暴力破解。
同时也存在远程账户密码泄漏的风险,唯有对远程登录做相应的防护措施,方可解决远程登录安全隐患。
远程防护模块则可以轻松解决这个问题,限制允许远程登录的终端设备所在区域或IP,让黑客无法连接远程桌面。
◆ 远程终端防护务必开启,建议选择“IP/区域”,并添加您所在城市到授权区域。(黑客和您同所城市的几率几乎为零。若还不放心,授权区域留空,采用信任终端)
◆ 登录消息通知建议开启,可以及时知晓服务器登录情况。
5、篡改防护
篡改防护模块用于对服务器文件进行篡改保护。
典型应用案例: 禁止网站目录具有执行权限 禁止临时目录具有执行权限 禁止新建、修改和删除PHP文件
我们这里主要禁止网站目录具有执行权限,防止黑客上传cmd.exe等执行非法操作。
如下图所示,这样配置后,黑客即使上传cmd.exe到网站,也无法通过其执行任何非法操作。
如果您需要禁止篡改PHP文件,只需在“高级规则”添加如下规则即可。
6、命名防护
对于存放上传文件的目录,我们还可以通过“篡改防护-命名防护”模块,设置禁止保存动态脚本文件(如下图),彻底阻断黑客上传网页木马。
二、防护系统漏洞入侵
系统漏洞防护相对来说比较简单,因为Windows有微软每月发布安全补丁,而Linux系统漏洞不多。
但我们也必须做必要的安全防护措施,不然一不小心就被入侵了。
1、防火墙
首先是开启防火墙,只开放必要的端口,例如:80、443、远程端口、FTP端口
该防火墙具有特色功能:支持按区域防护。例如:可以设置FTP端口只对你所在城市开放,可大幅提升FTP安全。
2、系统加固
操作系统出厂时,厂商为了兼容性,不会对系统做严格的安全限制,因此务必做一次系统安全加固,方可防止黑客入侵。
需要加固内容:系统文件加固、系统服务加固、系统模块加固、系统组件加固、PHP安全加固、数据盘加固、远程登录加固
防入侵系统提供有免费安全加固服务,在线即可完成加固,省时省心。
3、补丁更新
通过以上两步,修复了大部分系统漏洞,但是对于一些重大漏洞或最新漏洞,还需要通过更新补丁来修复。
Windows系统比较简单,通过系统自带的补丁更新工具即可完成,Linux则需要更新内核方式解决。
防入侵系统自带的补丁更新功能正在紧张开发中。
三、防护软件漏洞入侵
大部分软件都以系统身份(system或root)运行,如果其本身有漏洞,将非常危险,例如Apache、Nginx、Tomcat、MySQL、SQL Server、Serv-U等大部分服务器软件,都存在安全隐患,需要进行安全加固。可以通过进程防护模块,限制软件访问文件权限。
1、进程防护
进程防护模块可以限制进程的启动权限、网络通信权限和文件访问权限,可以对软件进行非常严格的安全防护。
例如禁止软件访问安装目录以外的文件,那黑客则再也没办法通过软件入侵服务器了。
(1)限制文件访问
我们以Apache为例,只对安装目录有读写删执行权限,其他文件只有读权限。黑客则再也没法通过apache调用cmd.exe入侵系统了。
(2)限制网络通信
我们以PHP为例,禁止对外DDOS攻击。禁止PHP进程对外UDP通信,黑客再也没法发动DDOS攻击了。
四、安全没有终点
通过对以上三大入侵方式的防护,服务器已经非常安全了。
然而随着科技的进步,入侵手段层出不穷,防护措施也需不断更新,方可持续有效防护入侵。
护卫神专注服务器安全二十载,拥有雄厚的安全防护技术,强大的安全研发能力,我们将持续专注服务器安全防护,秉持工匠精神,追求精益求精,不断攀越安全防护新高峰,一如既往的为广大用户提供强大、易用、省心的安全防护产品!
【精彩导读】