如何保障服务器和网站的安全
导航 索引 放大 缩小

防入侵系统是新一代防护系统,在黑客入侵的每一个环节进行拦截,将一切不速之客拒之门外。

目前已发布数十个防护模块,更多模块陆续更新中(共规划了100+防护模块)。


实际上,黑客入侵服务器有三种方式,分别是:网站漏洞入侵、系统漏洞入侵、软件漏洞入侵。针对这三种方式的入侵,防入侵系统均有防护能力,也就是防入侵系统具备全方位的安全防护能力。理解了防护原理,那么接下来详细说说系统是如何有效防护入侵的。


一、防护网站漏洞入侵

网站漏洞是最常用的入侵防护,防护也比较复杂,需要用到以下模块:网站防护、木马防护、用户防护、远程防护、篡改防护。


1、网站防护

通过网站防护模块,可以对IIS、Apache、Nginx进行防护(Nginx仅支持Linux)。该模块拥有数十项子模块,后期还会开发更多超实用模块,例如:验证防护、非法防护等等。


(1)基本防护

这是基本的防护模块,请务必开启。

该模块对网站进行最基本的安全防护,例如:隐藏WebServer信息、过滤X-Forwarded-For参数,禁止短文件名路径、畸形文件路径、脚本解析漏洞等方式访问,查杀网页木马等。


(2)网页木马防护

在基本防护已经包含了“网页木马防护”,只是此模块比较重要,再单独叙述一下。开启“网页木马防护”,请求类型勾选“POST”。

开启此模块后,通过在线上传方式上传网页木马就会被立即查杀了。

20.png


(3)SQL注入防护

SQL注入是黑客入侵网站最常用的手段,比后门使用率还高,因此务必开启“注入防护”。

通过SQL注入,黑客可以取得后台管理信息,也可以篡改数据、删库等,非常危险恐怖。

同时该模块还可以防止跨站脚本攻击XSS注入)。

211.png


(4)静态目录保护

在线上传文件一般存放于upload目录,如果黑客往这些目录上传网页木马,则存在被入侵的风险。

因此我们可以针对一些只存放静态文件的目录,设置禁止执行动态脚本,即使上传了网页木马,也无法运行。“静态保护模块”则可以实现这个功能。

开启位置:“访问保护-静态目录保护”,再设置保护目录名,一般为在线上传目录和临时文件目录。

22.png


(5)网站后台保护

网站后台无疑是非常重要的。黑客多数是先通过SQL注入取得后台管理账户密码(也有暴力破解方式取得账户密码的),再登录后台进行入侵。

如果我们对后台做一层安全防护,让黑客即使知道了账户密码,也无法进一步实施入侵。

“网站后台保护”模块则可以实现此功能。开启此功能后,只有授权IP才能访问后台,其他人皆不可访问。

开启位置:“访问保护-网站后台保护”,然后设置后台地址。

24.png

如上图所示,后台地址为:www.xxx.com/admin/,进入后台需要先输入授权密码(如下图)。

25.png


通过以上五步操作,想通过网站实施入侵已经非常难了。当然我们也不自满,我们的防护手段可不止这点,继续。


2、木马防护

该模块主要功能是自动查杀网页木马。例如通过FTP上传的木马,或是CMS系统被置入的木马等。

开启此模块,并添加网站所在总目录到“防护目录”即可,如下图。

26.png


3、用户防护

该模块主要防止黑客创建非法账户,或者提权为系统管理员。

◆ 如果不会创建新的用户,请开启“禁止新建用户”

◆ 务必开启“锁定用户组”,并添加“administrators”组

27.png


4、远程防护

该模块是必开模块之一。

有很多黑客使用肉鸡,每天不间断扫描世界各地的服务器,检查是否开启远程桌面,并进行暴力破解。

同时也存在远程账户密码泄漏的风险,唯有对远程登录做相应的防护措施,方可解决远程登录安全隐患。

远程防护模块则可以轻松解决这个问题,限制允许远程登录的终端设备所在区域或IP,让黑客无法连接远程桌面。

◆ 远程终端防护务必开启,建议选择“IP/区域”,并添加您所在城市到授权区域。(黑客和您同个地区的几率几乎为零)

◆ 登录消息通知建议开启,可以及时知晓服务器登录情况。

28.png


5、篡改防护

通过“添加CMS防护”可以轻松为网站配置强大的防篡改规则,其内置大部分CMS的防篡改规则模板,如果没有您网站的规则,可以联系我们添加。

如下图所示,只需要选择网站目录、安全模板,再填写后台地址,就可以一键配置防篡改规则了。

29.png




二、防护系统漏洞入侵

系统漏洞防护相对来说比较简单,因为Windows有微软每月发布安全补丁,而Linux系统漏洞不多。

但我们也必须做必要的安全防护措施,不然一不小心就被入侵了。


1、防火墙

首先是开启防火墙,只开放必要的端口,例如:80、443、远程端口、FTP端口

该防火墙具有特色功能:支持按区域防护。例如:可以设置FTP端口只对你所在城市开放,可大幅提升FTP安全。

30.png


2、系统加固

操作系统出厂时,厂商为了兼容性,不会对系统做严格的安全限制,因此务必做一次系统安全加固,方可防止黑客入侵。

需要加固内容:系统文件加固、系统服务加固、系统模块加固、系统组件加固、PHP安全加固、数据盘加固、远程登录加固

防入侵系统提供有免费安全加固服务,在线即可完成加固,省时省心。

31.png


3、补丁更新

通过以上两步,修复了大部分系统漏洞,但是对于一些重大漏洞或最新漏洞,还需要通过更新补丁来修复。

Windows系统可以通过防入侵系统在线更新补丁。

32.png



三、防护软件漏洞入侵

大部分软件都以系统身份(system或root)运行,如果其本身有漏洞,将非常危险,例如Apache、Nginx、Tomcat、MySQL、SQL Server、Serv-U等大部分服务器软件,都存在安全隐患,需要进行安全加固。可以通过进程防护模块,限制软件访问文件权限。


1、进程防护

进程防护模块可以限制进程的启动权限、网络通信权限和文件访问权限,可以对软件进行非常严格的安全防护。

例如禁止软件访问安装目录以外的文件,那黑客则再也没办法通过软件入侵服务器了。


(1)限制文件访问

如下图,限制FTP只能对网站目录有写权限,其他路径只有读取权限,可防止因为FTP漏洞导致系统被入侵。


(2)限制网络通信

我们以PHP为例,禁止对外DDOS攻击。禁止PHP进程对外UDP通信,黑客再也没法发动DDOS攻击了。


四、安全没有终点

通过对以上三大入侵方式的防护,服务器已经非常安全了。

然而随着科技的进步,入侵手段层出不穷,防护措施也需不断更新,方可持续有效防护入侵。防入侵系统持续发布新功能,为您提供长久的安全守护!


<< 软件:限制文件访问范围