護(hù)衛(wèi)神·防入侵系統(tǒng)是2022年推出的新一代防護(hù)系統(tǒng)。該系統(tǒng)在黑客入侵的每一個(gè)環(huán)節(jié)進(jìn)行攔截，將一切不速之客拒之門外。

目前已發(fā)布數(shù)十個(gè)防護(hù)模塊，更多模塊陸續(xù)更新中（共規(guī)劃了100+防護(hù)模塊）。

要了解如何防護(hù)服務(wù)器安全，我們先看下圖。該圖是黑客通過網(wǎng)站入侵服務(wù)器的標(biāo)準(zhǔn)流程，也是最常用的入侵方式。如圖所示，在每一個(gè)入侵環(huán)節(jié)，護(hù)衛(wèi)神.防入侵系統(tǒng)都會(huì)進(jìn)行攔截處理。

實(shí)際上，黑客入侵服務(wù)器有三種方式，分別是：網(wǎng)站漏洞入侵、系統(tǒng)漏洞入侵、軟件漏洞入侵。針對這三種方式的入侵，護(hù)衛(wèi)神.防入侵系統(tǒng)均有防護(hù)能力，也就是防入侵系統(tǒng)具備全方位的安全防護(hù)能力。

理解了防護(hù)原理，那么接下來詳細(xì)說說系統(tǒng)是如何有效防護(hù)入侵的。

一、防護(hù)網(wǎng)站漏洞入侵

網(wǎng)站漏洞是最常用的入侵防護(hù)，防護(hù)也比較復(fù)雜，需要用到以下模塊：網(wǎng)站防護(hù)、木馬防護(hù)、用戶防護(hù)、遠(yuǎn)程防護(hù)、篡改防護(hù)。

1、網(wǎng)站防護(hù)

通過網(wǎng)站防護(hù)模塊，可以對IIS、Apache、Nginx進(jìn)行防護(hù)（Nginx僅支持Linux）。該模塊擁有數(shù)十項(xiàng)子模塊，后期還會(huì)開發(fā)更多超實(shí)用模塊，例如：驗(yàn)證防護(hù)、非法防護(hù)等等。

（1）基本防護(hù)

這是基本的防護(hù)模塊，請務(wù)必開啟。（XSS跨站防護(hù)開啟后有可能導(dǎo)致網(wǎng)站無法登錄，可以暫不開啟）

該模塊對網(wǎng)站進(jìn)行最基本的安全防護(hù)，例如：隱藏WebServer信息、過濾X-Forwarded-For參數(shù)，禁止短文件名路徑、畸形文件路徑、腳本解析漏洞等方式訪問，溢出攻擊防護(hù)，查殺網(wǎng)頁木馬等。

（2）網(wǎng)頁木馬防護(hù)

在基本防護(hù)已經(jīng)包含了“網(wǎng)頁木馬防護(hù)”，只是此模塊比較重要，再單獨(dú)敘述一下。開啟“網(wǎng)頁木馬防護(hù)”，請求類型勾選“POST”。

開啟此模塊后，通過在線上傳方式上傳網(wǎng)頁木馬就會(huì)被立即查殺了。

（3）SQL注入防護(hù)

SQL注入是黑客入侵網(wǎng)站最常用的手段，比后門使用率還高，因此務(wù)必開啟“SQL注入防護(hù)”。

通過SQL注入，黑客可以取得后臺管理信息，也可以篡改數(shù)據(jù)、刪庫等，非常危險(xiǎn)恐怖。

（4）靜態(tài)目錄保護(hù)

在線上傳文件一般存放于upload目錄，如果黑客往這些目錄上傳網(wǎng)頁木馬，則存在被入侵的風(fēng)險(xiǎn)。

因此我們可以針對一些只存放靜態(tài)文件的目錄，設(shè)置禁止執(zhí)行動(dòng)態(tài)腳本，即使上傳了網(wǎng)頁木馬，也無法運(yùn)行�！办o態(tài)保護(hù)模塊”則可以實(shí)現(xiàn)這個(gè)功能。

開啟位置：“訪問保護(hù)-靜態(tài)目錄保護(hù)”，再設(shè)置保護(hù)目錄名，一般為在線上傳目錄和臨時(shí)文件目錄。

（5）網(wǎng)站后臺保護(hù)

網(wǎng)站后臺無疑是非常重要的。黑客多數(shù)是先通過SQL注入取得后臺管理賬戶密碼（也有暴力破解方式取得賬戶密碼的），再登錄后臺進(jìn)行入侵。

如果我們對后臺做一層安全防護(hù)，讓黑客即使知道了賬戶密碼，也無法進(jìn)一步實(shí)施入侵。

“網(wǎng)站后臺保護(hù)”模塊則可以實(shí)現(xiàn)此功能。開啟此功能后，只有授權(quán)IP才能訪問后臺，其他人皆不可訪問。

開啟位置：“訪問保護(hù)-網(wǎng)站后臺保護(hù)”，然后設(shè)置后臺地址。

如上圖所示，后臺地址為：www.xxx.com/admin/，只有成都用戶可以進(jìn)入。而黑客和管理員同所城市的幾率非常低。

對此如果你還擔(dān)心，沒關(guān)系，還有更強(qiáng)的防護(hù)方法：授權(quán)區(qū)域留空，只設(shè)置后臺地址，然后使用安全信任終端軟件添加IP白名單，使用說明請點(diǎn)這里。

通過以上五步操作，想通過網(wǎng)站實(shí)施入侵已經(jīng)非常難了。當(dāng)然我們也不自滿，我們的防護(hù)手段可不止這點(diǎn)，繼續(xù)。

2、木馬防護(hù)

該模塊主要功能是自動(dòng)查殺網(wǎng)頁木馬。例如通過FTP上傳的木馬，或是CMS系統(tǒng)被置入的木馬等。

開啟此模塊，并添加網(wǎng)站所在總目錄到“防護(hù)目錄”即可，如下圖。

3、用戶防護(hù)

該模塊主要防止黑客創(chuàng)建非法賬戶，或者提權(quán)為系統(tǒng)管理員。

◆ 如果不會(huì)創(chuàng)建新的用戶，請開啟“禁止新建用戶”

◆ 務(wù)必開啟“鎖定用戶組”，并添加“administrators”組

4、遠(yuǎn)程防護(hù)

該模塊是必開模塊之一。

有很多黑客使用肉雞，每天不間斷掃描世界各地的服務(wù)器，檢查是否開啟遠(yuǎn)程桌面，并進(jìn)行暴力破解。

同時(shí)也存在遠(yuǎn)程賬戶密碼泄漏的風(fēng)險(xiǎn)，唯有對遠(yuǎn)程登錄做相應(yīng)的防護(hù)措施，方可解決遠(yuǎn)程登錄安全隱患。

遠(yuǎn)程防護(hù)模塊則可以輕松解決這個(gè)問題，限制允許遠(yuǎn)程登錄的終端設(shè)備所在區(qū)域或IP，讓黑客無法連接遠(yuǎn)程桌面。

◆ 遠(yuǎn)程終端防護(hù)務(wù)必開啟，建議選擇“IP/區(qū)域”，并添加您所在城市到授權(quán)區(qū)域。（黑客和您同所城市的幾率幾乎為零。若還不放心，授權(quán)區(qū)域留空，采用信任終端）

◆ 登錄消息通知建議開啟，可以及時(shí)知曉服務(wù)器登錄情況。

5、篡改防護(hù)

篡改防護(hù)模塊用于對服務(wù)器文件進(jìn)行篡改保護(hù)。

典型應(yīng)用案例：
禁止網(wǎng)站目錄具有執(zhí)行權(quán)限
禁止臨時(shí)目錄具有執(zhí)行權(quán)限
禁止新建、修改和刪除PHP文件

我們這里主要禁止網(wǎng)站目錄具有執(zhí)行權(quán)限，防止黑客上傳cmd.exe等執(zhí)行非法操作。

如下圖所示，這樣配置后，黑客即使上傳cmd.exe到網(wǎng)站，也無法通過其執(zhí)行任何非法操作。

如果您需要禁止篡改PHP文件，只需在“高級規(guī)則”添加如下規(guī)則即可。

6、命名防護(hù)

對于存放上傳文件的目錄，我們還可以通過“篡改防護(hù)-命名防護(hù)”模塊，設(shè)置禁止保存動(dòng)態(tài)腳本文件（如下圖），徹底阻斷黑客上傳網(wǎng)頁木馬。

二、防護(hù)系統(tǒng)漏洞入侵

系統(tǒng)漏洞防護(hù)相對來說比較簡單，因?yàn)閃indows有微軟每月發(fā)布安全補(bǔ)丁，而Linux系統(tǒng)漏洞不多。

但我們也必須做必要的安全防護(hù)措施，不然一不小心就被入侵了。

1、防火墻

首先是開啟防火墻，只開放必要的端口，例如：80、443、遠(yuǎn)程端口、FTP端口

該防火墻具有特色功能：支持按區(qū)域防護(hù)。例如：可以設(shè)置FTP端口只對你所在城市開放，可大幅提升FTP安全。

2、系統(tǒng)加固

操作系統(tǒng)出廠時(shí)，廠商為了兼容性，不會(huì)對系統(tǒng)做嚴(yán)格的安全限制，因此務(wù)必做一次系統(tǒng)安全加固，方可防止黑客入侵。

需要加固內(nèi)容：系統(tǒng)文件加固、系統(tǒng)服務(wù)加固、系統(tǒng)模塊加固、系統(tǒng)組件加固、PHP安全加固、數(shù)據(jù)盤加固、遠(yuǎn)程登錄加固

防入侵系統(tǒng)提供有免費(fèi)安全加固服務(wù)，在線即可完成加固，省時(shí)省心。

3、補(bǔ)丁更新

通過以上兩步，修復(fù)了大部分系統(tǒng)漏洞，但是對于一些重大漏洞或最新漏洞，還需要通過更新補(bǔ)丁來修復(fù)。

Windows系統(tǒng)比較簡單，通過系統(tǒng)自帶的補(bǔ)丁更新工具即可完成，Linux則需要更新內(nèi)核方式解決。

防入侵系統(tǒng)自帶的補(bǔ)丁更新功能正在緊張開發(fā)中。

三、防護(hù)軟件漏洞入侵

大部分軟件都以系統(tǒng)身份（system或root）運(yùn)行，如果其本身有漏洞，將非常危險(xiǎn)，例如Apache、Nginx、Tomcat、MySQL、SQL Server、Serv-U等大部分服務(wù)器軟件，都存在安全隱患，需要進(jìn)行安全加固。可以通過進(jìn)程防護(hù)模塊，限制軟件訪問文件權(quán)限。

查看通過軟件入侵服務(wù)器演示請點(diǎn)這里

1、進(jìn)程防護(hù)

進(jìn)程防護(hù)模塊可以限制進(jìn)程的啟動(dòng)權(quán)限、網(wǎng)絡(luò)通信權(quán)限和文件訪問權(quán)限，可以對軟件進(jìn)行非常嚴(yán)格的安全防護(hù)。

例如禁止軟件訪問安裝目錄以外的文件，那黑客則再也沒辦法通過軟件入侵服務(wù)器了。

（1）限制文件訪問

我們以Apache為例，只對安裝目錄有讀寫刪執(zhí)行權(quán)限，其他文件只有讀權(quán)限。黑客則再也沒法通過apache調(diào)用cmd.exe入侵系統(tǒng)了。

（2）限制網(wǎng)絡(luò)通信

我們以PHP為例，禁止對外DDOS攻擊。禁止PHP進(jìn)程對外UDP通信，黑客再也沒法發(fā)動(dòng)DDOS攻擊了。

四、安全沒有終點(diǎn)

通過對以上三大入侵方式的防護(hù)，服務(wù)器已經(jīng)非常安全了。

然而隨著科技的進(jìn)步，入侵手段層出不窮，防護(hù)措施也需不斷更新，方可持續(xù)有效防護(hù)入侵。

護(hù)衛(wèi)神專注服務(wù)器安全二十載，擁有雄厚的安全防護(hù)技術(shù)，強(qiáng)大的安全研發(fā)能力，我們將持續(xù)專注服務(wù)器安全防護(hù)，秉持工匠精神，追求精益求精，不斷攀越安全防護(hù)新高峰，一如既往的為廣大用戶提供強(qiáng)大、易用、省心的安全防護(hù)產(chǎn)品！

【精彩導(dǎo)讀】

為什么需要網(wǎng)站安全策略加固？