2022-10-07 分類: 網(wǎng)站建設(shè)
安全策略位于服務(wù)器安全狗-網(wǎng)絡(luò)防火墻功能下,被認(rèn)為是第二層策略保護(hù)(第一層是攻擊保護(hù),第三層是超級(jí)黑白名單),三層網(wǎng)絡(luò)防護(hù),實(shí)時(shí)保護(hù)服務(wù)器網(wǎng)絡(luò)安全。
圖1
那安全策略有什么作用,用戶又該如何進(jìn)行設(shè)置能起到最好的效果呢?下面我們一起來看看:
服務(wù)器安全狗安全策略功能主要通過執(zhí)行具體的端口保護(hù)規(guī)則,限制或者允許進(jìn)程對(duì)端口的連接請(qǐng)求,來保護(hù)服務(wù)器安全。
用戶可以通過單擊操作界面右上方的按鈕“已開啟”/“已關(guān)閉”按鈕來開啟/關(guān)閉安全策略功能。用戶必須開啟安全策略功能,所有端口保護(hù)規(guī)則才會(huì)生效,否則所有關(guān)于端口的設(shè)置都為無(wú)效。如下圖所示:
圖2.開啟安全策略功能
用戶“開啟”安全策略功能后,系統(tǒng)會(huì)要求用戶選擇安全策略模式。需要提醒用戶的是,安全策略模式的選擇非常重要,如果誤操作,可能會(huì)引起包括遠(yuǎn)程桌面登錄在內(nèi)的部分服務(wù)被禁止。建議用戶在開啟安全策略功能之前,確保遠(yuǎn)程桌面端口已經(jīng)添加到安全策略列表,并使用“所有IP一律接受”。
安全策略模式的選擇:
服務(wù)器安全狗安全策略提供兩種安全策略模式供用戶選擇,分別是寬松模式和嚴(yán)格模式,用戶可根據(jù)自身的需要選擇適合的模式。
寬松模式:“默認(rèn)放開所有端口,只關(guān)閉規(guī)則中的端口”表示端口保護(hù)規(guī)則以外的所有端口均為開放端口,而規(guī)則中的端口,系統(tǒng)將根據(jù)相應(yīng)規(guī)則判斷是否開放該端口,是否開放例外IP訪問。這是為安全狗推薦使用模式。
簡(jiǎn)單來講,選擇此種模式系統(tǒng)只會(huì)判斷端口保護(hù)規(guī)則列表中的端口是否需要限制,對(duì)端口保護(hù)規(guī)則列表以外的端口采取一律不管的方式。
對(duì)新手用戶,在不熟悉端口原理的情況下,建議選擇系統(tǒng)推薦的“寬松模式:默認(rèn)放開所有端口,只關(guān)閉規(guī)則中的端口”。
圖3. 寬松模式:默認(rèn)放開所有端口,只關(guān)閉規(guī)則中的端口
“嚴(yán)格模式:是指“默認(rèn)關(guān)閉所有端口,只放開規(guī)則中的端口”則表示其他端口均為非安全端口,將會(huì)被完全禁止訪問,而規(guī)則中的端口,系統(tǒng)將根據(jù)相應(yīng)規(guī)則判斷是否開放該端口,是否開放例外IP訪問。選擇此種模式,系統(tǒng)會(huì)關(guān)閉所有端口保護(hù)規(guī)則以外的端口,并且根據(jù)端口保護(hù)規(guī)則的設(shè)置,對(duì)端口保護(hù)規(guī)則列表中的端口進(jìn)行限制。
“默認(rèn)關(guān)閉所有端口,只放開規(guī)則中的端口”安全策略模式,提供更高的服務(wù)器端口安全性(選擇該安全策略模式,還可以起到完全封鎖UDP數(shù)據(jù)包的作用)但是建議用戶在選擇該模式之前確認(rèn)包括遠(yuǎn)程桌面登錄端口在內(nèi)的需要開放的端口,不會(huì)因?yàn)榘踩呗缘拈_啟被禁止。
圖4. 嚴(yán)格模式:默認(rèn)關(guān)閉所有端口,只放開規(guī)則中的端口
同時(shí),用戶可以直接使用服務(wù)器安全狗默認(rèn)設(shè)置的13條端口規(guī)則,也可以根據(jù)實(shí)際需要自行設(shè)置。建議新手或者是對(duì)端口原理不熟悉的用戶,直接使用服務(wù)器安全狗提供的端口保護(hù)規(guī)則。
本文我們選擇系統(tǒng)推薦的第一種安全策略模式(寬松模式),用戶在實(shí)際使用過程中可以根據(jù)自身的需要選擇安全策略模式。
TCP與UDP監(jiān)聽:
用戶通過查看“TCP與UDP監(jiān)聽”,可以獲得實(shí)時(shí)的進(jìn)程連接信息以及相應(yīng)進(jìn)程開啟的端口信息。用戶可以利用“TCP與UDP監(jiān)聽”功能提供的詳細(xì)信息,在“安全策略”設(shè)置具體的端口保護(hù)規(guī)則,限制進(jìn)程開啟端口以保護(hù)服務(wù)器。
圖5. TCP與UDP監(jiān)聽
端口說明提示功能:
系統(tǒng)提供端口說明提示功能,對(duì)端口不熟悉的用戶,可以將鼠標(biāo)停留在需要了解的端口規(guī)則上,系統(tǒng)將顯示該端口詳細(xì)信息。
圖6. 端口說明提示功能
修改規(guī)則:
從端口保護(hù)規(guī)則列表中選取需要修改的規(guī)則,用戶可以通過雙擊或者是選擇“修改規(guī)則”,在“修改規(guī)則”窗口設(shè)置端口保護(hù)規(guī)則。(因?yàn)榉?wù)器安全狗已經(jīng)提供了80端口保護(hù)規(guī)則,所以這里我們選擇“修改規(guī)則”,如果用戶需要設(shè)置的端口不在端口保護(hù)規(guī)則列表中,則可以選擇“增加規(guī)則”之后進(jìn)行相應(yīng)設(shè)置)
圖7. 修改端口保護(hù)規(guī)則
協(xié)議的選擇:
選擇相應(yīng)的協(xié)議類型,可以屏蔽相應(yīng)類型的訪問請(qǐng)求,80端口屬于TCP端口,所以此處我們選擇TCP協(xié)議類型。
圖8.端口保護(hù)規(guī)則協(xié)議選擇
規(guī)則的選擇:
“訪問規(guī)則”的選擇,應(yīng)該根據(jù)實(shí)際情況來決定,本例因?yàn)榉?wù)器上有網(wǎng)站,我們只是為了禁止部分惡意IP訪問,所以這里我們選擇“所有IP一律接受”,之后在“例外IP”設(shè)置需要被屏蔽的IP,(這樣就等于是放行所有IP僅限制“例外IP”中的IP訪問)。
圖9. IP訪問規(guī)則設(shè)定
例外ip的設(shè)定:
“例外IP”支持單獨(dú)的IP也支持IP段,IP或者IP段之間以“,”(半角)分隔。例如:218.75.20.1, 218.75.20.2,218.75.20.3 或者218.75.20.1-218.75.20.255,118.75.20.1-118.75.20.255。
圖10.例外IP設(shè)置
作用時(shí)間的設(shè)定:
端口保護(hù)規(guī)則可以設(shè)置作用時(shí)間,用戶在不太熟悉端口保護(hù)規(guī)則設(shè)置或者是僅為測(cè)試使用情況下,可以選擇“臨時(shí)測(cè)試,自定義生效時(shí)間”來設(shè)置端口保護(hù)規(guī)則的作用時(shí)間。
圖11.作用時(shí)間設(shè)置
這些設(shè)置完成之后,點(diǎn)擊“應(yīng)用”就能生效。完成具體的端口保護(hù)規(guī)則設(shè)置后,規(guī)則列表將顯示詳細(xì)的端口保護(hù)規(guī)則信息。用戶可以選擇其他設(shè)置選項(xiàng)繼續(xù)相應(yīng)的端口保護(hù)規(guī)則設(shè)置,也可以直接選擇“開啟”啟動(dòng)安全策略功能。
圖12.安全策略端口保護(hù)規(guī)則列表
同時(shí),完成一個(gè)的規(guī)則的設(shè)置之后,用戶可以選擇繼續(xù)添加端口不會(huì)規(guī)則,可以選擇“是”,也可以直接選擇“否”,在開啟安全策略功能之后,在安全策略功能界面直接進(jìn)行其他相應(yīng)的操作。
增加規(guī)則的設(shè)置與修改規(guī)則的設(shè)置相類似,用戶可參考。
建議用戶開啟安全策略功能之前,再次確認(rèn)遠(yuǎn)程登錄端口及服務(wù)器各項(xiàng)服務(wù)相關(guān)端口的端口規(guī)則設(shè)置,確保安全策略功能開啟之后,各項(xiàng)服務(wù)正常。
同時(shí),用戶還可以通過查看“防護(hù)日志”,獲得攻擊者IP以及攻擊目的端口(如下圖所示DDOS防火墻防御成功日志),利用“防護(hù)日志”功能提供的詳細(xì)信息,在“安全策略”設(shè)置具體的端口保護(hù)規(guī)則,對(duì)訪問者的端口連接請(qǐng)求進(jìn)行限制或者是添加信任。
圖13.防護(hù)日志
安全策略模式與端口保護(hù)規(guī)則特殊用法
1、 IP黑白名單設(shè)置
用戶通過安全策略模式選擇與端口保護(hù)規(guī)則設(shè)置,可以實(shí)現(xiàn)針對(duì)某個(gè)端口的IP黑白名單功能。下面是在兩種不同安全策略模式下,針對(duì)135端口黑白名單設(shè)置實(shí)例:
1)第一種安全模式(寬松模式)下的黑名單實(shí)現(xiàn)
在“默認(rèn)放開所有端口,只關(guān)閉規(guī)則中的端口”安全策略模式下,端口保護(hù)規(guī)則選擇為“所有IP一律接受”,則例外IP實(shí)質(zhì)上與IP黑名單功能相當(dāng)。在例外IP處添加需要被禁止訪問的IP或者IP段,即可實(shí)現(xiàn)IP黑名單的功能。
圖14. 通過例外IP設(shè)置黑名單功能
2)寬松模式下的白名單實(shí)現(xiàn)
在“默認(rèn)放開所有端口,只關(guān)閉規(guī)則中的端口”安全策略模式下,端口保護(hù)規(guī)則選擇為“所有IP一律拒絕”,則例外IP實(shí)質(zhì)上與IP白名單功能相當(dāng)。在例外IP處添加需要被允許訪問的IP或者IP段,即可實(shí)現(xiàn)IP白名單的功能。
圖15. 通過例外IP設(shè)置白名單功能
備注:同時(shí),通過類似設(shè)置,在第二種安全策略模式(嚴(yán)格模式)下,也能夠?qū)崿F(xiàn)IP黑白名單功能。
2、禁止Ping服務(wù)器
通過端口保護(hù)規(guī)則設(shè)置,用戶可以實(shí)現(xiàn)禁止ping服務(wù)器功能。
如果用戶希望禁止ping服務(wù)器,可以在設(shè)置端口保護(hù)規(guī)則的時(shí)候,選擇ICMP協(xié)議類型。直接使用系統(tǒng)默認(rèn),不需要填入端口
圖16.端口保護(hù)規(guī)則ICMP協(xié)議選擇
開啟安全策略之后,用戶有可能因?yàn)樵O(shè)置不當(dāng)導(dǎo)致的問題解決方法:
圖17. FTP端口設(shè)置
開啟安全策略之后,用戶有可能因?yàn)樵O(shè)置不當(dāng)導(dǎo)致的問題舉例如下:
FTP連接失敗:FTP服務(wù)需要開啟20、21兩個(gè)端口,用戶服務(wù)器如果有提供FTP服務(wù),則應(yīng)該在開啟安全策略之前確認(rèn)20、21兩個(gè)端口的端口保護(hù)規(guī)則是否設(shè)置正確。
網(wǎng)站訪問失?。禾峁┚W(wǎng)站訪問,最基本的應(yīng)該開啟80端口,用戶服務(wù)器如果有架構(gòu)網(wǎng)站,則應(yīng)該再開啟安全策略之前確認(rèn)80端口的端口保護(hù)規(guī)則是否設(shè)置正確。
如果用戶在開啟安全策略功能之后,遇到遠(yuǎn)程桌面登錄失敗或者部分服務(wù)被禁止,建議用戶暫停安全策略功能,檢查安全策略模式及端口保護(hù)規(guī)則設(shè)置,對(duì)被禁止服務(wù)相應(yīng)的端口規(guī)則進(jìn)行重新設(shè)置。
名稱欄目:服務(wù)器安全狗之安全策略操作教程
文章網(wǎng)址:http://muchs.cn/news46/202946.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供微信公眾號(hào)、網(wǎng)站設(shè)計(jì)公司、手機(jī)網(wǎng)站建設(shè)、網(wǎng)站改版、服務(wù)器托管、網(wǎng)站排名
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容