网络安全合规6--服务器安全检测和防御技术
一、服务器安全风险
主要威胁:
不必要的服务暴露(如仅需HTTP却开放多余端口)。
外网扫描(IP/端口扫描)、DDoS攻击。
系统漏洞攻击(操作系统、软件版本已知漏洞)。
Web攻击(SQL注入、XSS、CSRF、暴力破解)。
弱密码和敏感信息泄露。
网站内容篡改。
防护体系:
防火墙、IPS(入侵防御系统)、服务器保护、风险分析、网页防篡改技术。
二、DoS/DDoS攻击防护
攻击类型与原理
| 类型 | 攻击特征 |
|---|---|
| 带宽消耗型 | ICMP/UDP/DNS洪水攻击:发送海量数据包耗尽带宽。 |
| 资源耗尽型 | SYN洪水攻击:利用TCP三次握手占用连接资源。 |
| 畸形包攻击 | 发送异常数据包(如Ping of Death)导致系统崩溃。 |
| 应用层攻击 | CC攻击:高频请求耗尽服务器资源;慢速攻击:低速发包占满连接池。 |
防御技术
SYN代理:防火墙代理TCP握手,验证客户端合法性后再与服务器通信。
配置关键:
启用扫描防护(IP/端口扫描检测)。
设置阈值:激活阈值触发代理防护,丢包阈值超限直接丢弃SYN包。
日志监控:通过内置数据中心分析攻击日志(类型、源IP、严重等级)。
三、IPS入侵防护
IDS vs IPS
| 对比项 | IDS(入侵检测) | IPS(入侵防御) |
|---|---|---|
| 工作原理 | 记录攻击行为,被动审计 | 实时拦截攻击数据包 |
| 部署方式 | 旁路镜像 | 串联部署(路由/透明模式) |
| 阻断能力 | 弱 | 强 |
| 响应速度 | 滞后 | 实时 |
常见攻击手段
蠕虫病毒(如WannaCry):利用漏洞(SMB漏洞MS17-010)传播勒索软件。
暴力破解:字典攻击(常见密码组合)、规则攻击(基于用户信息猜测)。
后门木马:通过漏洞植入恶意软件(如安卓“心脏滴血”漏洞)。
配置与优化
策略分类:
保护客户端:防御系统漏洞、恶意软件(源:内网;目的:外网)。
保护服务器:防漏洞利用、暴力破解(源:外网;目的:服务器IP)。
误判处理:
修改漏洞特征库动作(放行/禁用特定规则)。
添加例外:根据日志排除误判IP或规则。
联动封锁:IPS阻断后通知防火墙封锁攻击源IP。
四、Web攻击防护
主要攻击类型
| 攻击 | 原理 |
|---|---|
| SQL注入 | 注入恶意SQL命令窃取/篡改数据库(分弱/工具/强特征)。 |
| XSS/CSRF | 跨站脚本伪造用户请求(如盗取会话、转账)。 |
| 信息泄露 | 错误配置暴露敏感文件(备份、默认页面、目录遍历)。 |
WAF配置
策略设置:
源区域:外网;目的区域:服务器IP组;端口:80。
防护类型:全选(SQL注入、XSS、文件包含等)。
误判处置:
URL参数排除:跳过特定参数的攻击检测(如正常业务携带的特征串)。
日志添加例外:直接标记误判日志为可信。
五、网页防篡改
双重防护机制
文件监控(驱动层):
在服务器安装客户端,监控网站目录修改行为,仅允许授权进程操作。
二次认证:
访问后台时强制邮箱验证码认证,防止未授权篡改。
配置要点
防篡改客户端:从AF下载安装,配置受保护目录和合法进程。
后台防护:
设置管理URL和访问端口。
选择认证方式:IP白名单或邮件验证码。
注意事项:
残留Webshell会导致防护失效,需彻底清理。
Linux需重启服务生效,Windows卸载需专用工具(tamper.exe)。
六、总结
分层防御:结合网络层(防火墙)、应用层(IPS/WAF)、文件层(防篡改)构建纵深防护。
关键能力:
实时阻断(IPS/WAF联动)、阈值自调节(DDoS防护)、误判快速处置。
最佳实践:
定期更新漏洞库、启用联动封锁、强化后台认证、清除残留恶意文件。