应用防护

“应用防护”界面将服务器上所有的应用全部列出,包括应用类型、端口、服务、版本、描述、防护方式、设置及重启应用等。从而针对这些应用进行对应的防护,包括Web应用、数据库应用、远程登录等。可以对应用选择不同的防护方式,对不同的应用配置相对的防护规则。除此外还可以对服务器应用设置端口防护。

当有应用更新时,刷新界面即可获取当前最新应用。同时可对最新应用进行防护。

Web防护

安装Web应用的防护插件对Web应用进行防护。点击“设置”按钮可以对Web应用进行更详细的设置。由于Web应用防护的功能都一致,本手册主要以Apache防护为主。

Java类Web应用除高级防护外的的其它功能防护需手动安装进行防护,点击Web防护图标会在系统安装防护,安装后PC端图标会点亮;防护方式与其它Web应用防护一致。

“点击设置”进入到Web应用设置,设置具体的功能项。

网站漏洞防护

“网站漏洞防护”功能包括:SQL注入防护、XSS跨站脚本防护、漏洞利用攻击防护、web服务器溢出攻击防护、web服务器文件名解析漏洞防护、禁止除Get及Post之外的HTTP请求、禁止浏览畸形文件、禁止下载特定类型文件、网站浏览实时防护、HTTP相应内容保护等。

SQL注入防护、XSS跨站脚本防护、漏洞利用攻击防护

通过匹配SQL注入、XSS攻击等攻击类型特征库对用户输入进行过滤,从而实现防止攻击保护网站的目的。根据不同检测对象(URL、Cookie、Post)进行具体防护规则的配置(开启与关闭);

Web服务器溢出攻击防护

黑客通常利用向程序输入缓冲区写入使之溢出的内容从而破坏程序运行并取得程序乃至系统的控制权。用户可以通过开启G01的“Web服务器溢出攻击防护”功能抵御类似的攻击,从而防止黑客获取程序的控制权。

Web服务器文件名解析漏洞防护

黑客对网站上传类似wooyun.asp;.jpg、wooyun.php.owf.rar的可执行脚本文件,利用IIS和Apache的解析漏洞,使脚本文件执行从而获取系统权限,威胁网站的安全。用户可以通过开启G01的“Web服务器文件名解析漏洞防护”功能防止黑客利用这些漏洞对服务器进行攻击,对黑客类似攻击行为进行拦截。

禁止浏览畸形文件

黑客通过构造类似com1.asp;jpg之类的畸形文件的后缀名上传到服务器上再结合IIS的解析特性即可成功执行代码,然后获取必要的网站配置等信息威胁网站的安全。用户可以通过开启G01的“禁止浏览畸形文件”功能抵御类似的攻击,保护网站服务器的安全。

仅允许下列请求类型

HTTP协议主要用于GET及POST请求来传送数据。但是熟悉HTTP协议的黑客可以通过GET或者POST之外的请求,如PUT协议将代码传送到网站上,有可能危害到网站的数据。用户可以通过开启G01的“仅允许下列请求”功能,设置允许的请求访问网站,对于未允许的请求则禁止访问网站,从而保护网站服务器的安全

禁止下载特定类型文件

互联网中用户的的数据信息、软件的运行日志等信息都是黑客可以利用的信息,一旦存放这些文件的路径被获取,会给用户和网站带来难以想象的麻烦。用户可以通过开启G01的“禁止下载特定类型文件”的功能,保护添加到列表的文件不被下载,进而保护用户数据和运行日志的安全。

网页浏览实时防护

服务器经常会被黑客上传网页木马,通过上传的网页木马获取和修改服务器上数据和文件,影响用户的网站正常访问,给用户带来损失。而“网页浏览实时防护”主要是针对黑客利用其它途径上传了网页木马,通过浏览器访问网页木马时进行拦截从而保护用户的网站不被修改。

“网站漏洞防护”功能还提供网站例外名单设置、报警设置及拦截信息设置等功能。网站例外名单设置可自定义设置例外网站,加入到该例外名单中的网站、目录及文件,将不再受到“网站漏洞防护”功能的限制;报警设置可选择是否进行报警信息弹窗;拦截信息设置可对返回页面中的拦截信息进行自定义设置。(详见设置中心)

网站后台防护

网站后台防护功能通过将网站真实后台地址重定向至网站自定义后台地址,以防止网站后台地址被暴力猜测,当原网站后台地址(网站真实后台地址)被访问时,系统将禁止该访问并进行报警提示。自定义网站后台地址可根据网站运营或运维人员的偏好进行设置,以便于记忆。

进入 “网站后台防护”功能,配置后台防护规则。网站原始后台地址是指网站真实的后台地址,而重定向地址是指用户自定义的虚拟的后台地址;设置后只有使用自定义的虚拟地址才可以访问网站后台地址进行网站后台登录。

抗CC攻击

CC(Challenge Collapsar)攻击,前身名为Fatboy攻击,通过不断向网站发送连接请求达到网站服务器拒绝服务的目的。它是DDOS(分布式拒绝服务)的一种,可借助代理服务器生成指向受害主机的合法请求,实现DOS和伪装。可同时模拟多个用户不停访问那些需要大量数据操作的内容,导致服务器资源耗尽。

抗CC攻击功能可以有效防御CC攻击,追溯攻击源头;同时减少对服务器资源的损耗和带宽的占用。CC防护策略通过三个级别对服务器进行保护,默认为低级别,用户可根据实际需求对防护级别进行调整,级别越高防护越严格。

“低级策略”只有当该IP访问触发到请求数时,自动识别该IP是否真实访客浏览行为,如非真实访客浏览行为则将该IP加入黑名单并锁定20分钟;默认为单个IP每60秒内最大请求数不超过200次,超过则触发CC防护策略,将访问IP冻结20分钟。“启动浏览器验证”则是指在该级别策略时,使用浏览器刷新达到请求数也会触发CC防护策略。

“中级策略”是对每个IP首次访问自动识别是否为真实访问,不再等待请求数达到触发值,如非真实访客行为则将该IP加入黑名单并锁定20分钟;

“高级策略”针对每个IP首次访问进行手动验证,识别是否真实访客浏览行为,如非真实访客浏览行为则将该IP加入黑名单并锁定20分钟。

敏感词过滤

敏感词汇过滤功能将对网站用户浏览和提交的内容进行检查与匹配,对匹配了敏感词汇库中敏感词汇的文件内容进行“星号”替换,以此防止用户提交和浏览色情、反动、暴力等敏感词汇,避免相应的法律风险。其中,敏感词汇库由系统自带并存储于系统配置文件中,用户除通过敏感词汇库进行敏感词汇的搜索外,还可通过自定义设置的方式,自定义添加敏感词汇,并添加至敏感词汇库中。同时,用户可对特需敏感词汇进行“放行”操作,“放行”的敏感词汇将不会被“星号”替换。

网站防盗链

盗链是指服务提供商自己不提供服务的内容,通过技术手段绕过其它有利益的最终用户界面(如广告),直接在自己的网站上向最终用户提供其它服务提供商的服务内容,骗取最终用户的浏览和点击率。受益者不提供资源或提供很少的资源,而真正的服务提供商却得不到任何的收益。而网防G01通过引用方式防盗链和会话方式防盗链两种防盗链方式分别对文件和多媒体进行防护。

 引用方式防盗链:

“引用方式”主要用于防止图片、下载资源等类型文件被盗链(如JPG、GIF图片,RAR、ZIP等下载资源)。支持自定义添加、删除保护资源类型,同时还可以对信任域名添加白名单,受信任域名将不在网站资源防盗链功能的防护之内;用户可以新增,删除信任域名,操作完成后必须进行保存才能生效。

 会话方式防盗链:

“会话方式”主要用于防止流媒体类型文件被盗链(如MP3,WMA等在线播放资源)。支持自定义添加、删除保护资源类型,同时根据会话方式描述,我们针对浏览器访问用户资源时产生的cookie加入了过期时间,浏览器关闭时过期时间不会被删除,当浏览器访问用户资源超过过期时间时则需要产生一个新的cookie,否则判定为盗链。

防多线程下载

流量防护的“防多线程下载”功能防止迅雷等多线程下载工具采用多线程下载机制下载网站资源,避免单个用户占用过多宽带资源。“防多线程下载”通过限制下载资源线程数及资源类型进行防护。

HTTP响应内容保护

部分网站因为网站自身编写问题导致在URL输入一些特殊字符时,返回页面的信息包含网站信息及数据库信息。“HTTP响应内容保护”功能则可对该类页面进行保护,避免网站及数据库信息被曝出,导致信息泄露。

G01通过对设置对返回状态码页面的自定义设置来隐藏真实的返回页面,防止网站及数据库信息被曝出,导致信息泄露。需要添加其他错误页面表示代码,可点击“新增”按钮进行添加。

HTTP请求头保护

对HTTP请求头中的其他字段进行自定义规则防护,可以针对不同的HTTP请求头进行对应的防护,以应对不同的安全需求。

通过选择对应的HTTP头标识,根据需要对不同的头标识设置对应的防护规则及长度进行防护。

自定义CDN

CDN的全称是Content Delivery Network,即内容分发网络。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,实时根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。使用户可就近取得所需内容,解决 Internet网络拥挤的状况,提高用户访问网站的响应速度。

G01已将市面上主流CDN内置到了白名单中,但是还会有其它CDN、自建CDN以及负载均衡等无法直接获取到的IP,当通过这些IP访问时易被G01判定为CC攻击从而导致无法访问网站。而将这些IP直接加入到白名单,则通过这些IP的攻击也不会拦截。因此G01特别新增“自定义CDN”功能来解决该问题,将自建CDN或负载均衡的IP加入到“自定义CDN”中,通过这些IP的访问则不会被判定为CC攻击,而其它的如注入等攻击则依旧会被拦截,而不会对网站服务器产生威胁。

results matching ""

    No results matching ""