圖1

        那安全策略有什么作用，用戶又該如何進(jìn)行設(shè)置能起到最好的效果呢？下面我們一起來看看：

軟件下載：服務(wù)器安全狗 v4.0 http://www.dbjr.com.cn/softs/35203.html

        服務(wù)器安全狗安全策略功能主要通過執(zhí)行具體的端口保護(hù)規(guī)則，限制或者允許進(jìn)程對端口的連接請求，來保護(hù)服務(wù)器安全。

        用戶可以通過單擊操作界面右上方的按鈕“已開啟”/“已關(guān)閉”按鈕來開啟/關(guān)閉安全策略功能。用戶必須開啟安全策略功能，所有端口保護(hù)規(guī)則才會(huì)生效，否則所有關(guān)于端口的設(shè)置都為無效。如下圖所示：

圖2.開啟安全策略功能

       用戶“開啟”安全策略功能后，系統(tǒng)會(huì)要求用戶選擇安全策略模式。需要提醒用戶的是，安全策略模式的選擇非常重要，如果誤操作，可能會(huì)引起包括遠(yuǎn)程桌面登錄在內(nèi)的部分服務(wù)被禁止。建議用戶在開啟安全策略功能之前，確保遠(yuǎn)程桌面端口已經(jīng)添加到安全策略列表，并使用“所有IP一律接受”。

       安全策略模式的選擇：

       服務(wù)器安全狗安全策略提供兩種安全策略模式供用戶選擇，分別是寬松模式和嚴(yán)格模式，用戶可根據(jù)自身的需要選擇適合的模式。

       寬松模式：“默認(rèn)放開所有端口，只關(guān)閉規(guī)則中的端口”表示端口保護(hù)規(guī)則以外的所有端口均為開放端口，而規(guī)則中的端口，系統(tǒng)將根據(jù)相應(yīng)規(guī)則判斷是否開放該端口，是否開放例外IP訪問。這是為安全狗推薦使用模式。

       簡單來講，選擇此種模式系統(tǒng)只會(huì)判斷端口保護(hù)規(guī)則列表中的端口是否需要限制，對端口保護(hù)規(guī)則列表以外的端口采取一律不管的方式。

       對新手用戶，在不熟悉端口原理的情況下，建議選擇系統(tǒng)推薦的“寬松模式：默認(rèn)放開所有端口，只關(guān)閉規(guī)則中的端口”。

圖3. 寬松模式：默認(rèn)放開所有端口，只關(guān)閉規(guī)則中的端口

       “嚴(yán)格模式：是指“默認(rèn)關(guān)閉所有端口，只放開規(guī)則中的端口”則表示其他端口均為非安全端口，將會(huì)被完全禁止訪問，而規(guī)則中的端口，系統(tǒng)將根據(jù)相應(yīng)規(guī)則判斷是否開放該端口，是否開放例外IP訪問。選擇此種模式，系統(tǒng)會(huì)關(guān)閉所有端口保護(hù)規(guī)則以外的端口，并且根據(jù)端口保護(hù)規(guī)則的設(shè)置，對端口保護(hù)規(guī)則列表中的端口進(jìn)行限制。

        “默認(rèn)關(guān)閉所有端口，只放開規(guī)則中的端口”安全策略模式，提供更高的服務(wù)器端口安全性（選擇該安全策略模式，還可以起到完全封鎖UDP數(shù)據(jù)包的作用）但是建議用戶在選擇該模式之前確認(rèn)包括遠(yuǎn)程桌面登錄端口在內(nèi)的需要開放的端口，不會(huì)因?yàn)榘踩呗缘拈_啟被禁止。

圖4. 嚴(yán)格模式：默認(rèn)關(guān)閉所有端口，只放開規(guī)則中的端口

        同時(shí)，用戶可以直接使用服務(wù)器安全狗默認(rèn)設(shè)置的13條端口規(guī)則，也可以根據(jù)實(shí)際需要自行設(shè)置。建議新手或者是對端口原理不熟悉的用戶，直接使用服務(wù)器安全狗提供的端口保護(hù)規(guī)則。

        本文我們選擇系統(tǒng)推薦的第一種安全策略模式（寬松模式），用戶在實(shí)際使用過程中可以根據(jù)自身的需要選擇安全策略模式。

       TCP與UDP監(jiān)聽：

       用戶通過查看“TCP與UDP監(jiān)聽”，可以獲得實(shí)時(shí)的進(jìn)程連接信息以及相應(yīng)進(jìn)程開啟的端口信息。用戶可以利用“TCP與UDP監(jiān)聽”功能提供的詳細(xì)信息，在“安全策略”設(shè)置具體的端口保護(hù)規(guī)則，限制進(jìn)程開啟端口以保護(hù)服務(wù)器。

圖5. TCP與UDP監(jiān)聽

        端口說明提示功能：

        系統(tǒng)提供端口說明提示功能，對端口不熟悉的用戶，可以將鼠標(biāo)停留在需要了解的端口規(guī)則上，系統(tǒng)將顯示該端口詳細(xì)信息。

   

圖6. 端口說明提示功能

       修改規(guī)則：

       從端口保護(hù)規(guī)則列表中選取需要修改的規(guī)則，用戶可以通過雙擊或者是選擇“修改規(guī)則”，在“修改規(guī)則”窗口設(shè)置端口保護(hù)規(guī)則。（因?yàn)榉?wù)器安全狗已經(jīng)提供了80端口保護(hù)規(guī)則，所以這里我們選擇“修改規(guī)則”，如果用戶需要設(shè)置的端口不在端口保護(hù)規(guī)則列表中，則可以選擇“增加規(guī)則”之后進(jìn)行相應(yīng)設(shè)置）

圖7. 修改端口保護(hù)規(guī)則

       協(xié)議的選擇：

        選擇相應(yīng)的協(xié)議類型，可以屏蔽相應(yīng)類型的訪問請求，80端口屬于TCP端口，所以此處我們選擇TCP協(xié)議類型。

圖8.端口保護(hù)規(guī)則協(xié)議選擇

         規(guī)則的選擇：

        “訪問規(guī)則”的選擇，應(yīng)該根據(jù)實(shí)際情況來決定，本例因?yàn)榉?wù)器上有網(wǎng)站，我們只是為了禁止部分惡意IP訪問，所以這里我們選擇“所有IP一律接受”，之后在“例外IP”設(shè)置需要被屏蔽的IP，（這樣就等于是放行所有IP僅限制“例外IP”中的IP訪問）。

圖9. IP訪問規(guī)則設(shè)定

        例外ip的設(shè)定：

       “例外IP”支持單獨(dú)的IP也支持IP段，IP或者IP段之間以“,”（半角）分隔。例如：218.75.20.1, 218.75.20.2,218.75.20.3 或者218.75.20.1-218.75.20.255,118.75.20.1-118.75.20.255。

圖10.例外IP設(shè)置

       作用時(shí)間的設(shè)定：

       端口保護(hù)規(guī)則可以設(shè)置作用時(shí)間，用戶在不太熟悉端口保護(hù)規(guī)則設(shè)置或者是僅為測試使用情況下，可以選擇“臨時(shí)測試，自定義生效時(shí)間”來設(shè)置端口保護(hù)規(guī)則的作用時(shí)間。

圖11.作用時(shí)間設(shè)置

       這些設(shè)置完成之后，點(diǎn)擊“應(yīng)用”就能生效。完成具體的端口保護(hù)規(guī)則設(shè)置后，規(guī)則列表將顯示詳細(xì)的端口保護(hù)規(guī)則信息。用戶可以選擇其他設(shè)置選項(xiàng)繼續(xù)相應(yīng)的端口保護(hù)規(guī)則設(shè)置，也可以直接選擇“開啟”啟動(dòng)安全策略功能。

圖12.安全策略端口保護(hù)規(guī)則列表

       同時(shí)，完成一個(gè)的規(guī)則的設(shè)置之后，用戶可以選擇繼續(xù)添加端口不會(huì)規(guī)則，可以選擇“是”，也可以直接選擇“否”，在開啟安全策略功能之后，在安全策略功能界面直接進(jìn)行其他相應(yīng)的操作。

       增加規(guī)則的設(shè)置與修改規(guī)則的設(shè)置相類似，用戶可參考。

       建議用戶開啟安全策略功能之前，再次確認(rèn)遠(yuǎn)程登錄端口及服務(wù)器各項(xiàng)服務(wù)相關(guān)端口的端口規(guī)則設(shè)置，確保安全策略功能開啟之后，各項(xiàng)服務(wù)正常。

       同時(shí)，用戶還可以通過查看“防護(hù)日志”，獲得攻擊者IP以及攻擊目的端口（如下圖所示DDOS防火墻防御成功日志），利用“防護(hù)日志”功能提供的詳細(xì)信息，在“安全策略”設(shè)置具體的端口保護(hù)規(guī)則，對訪問者的端口連接請求進(jìn)行限制或者是添加信任。

圖13.防護(hù)日志

       安全策略模式與端口保護(hù)規(guī)則特殊用法

       1、 IP黑白名單設(shè)置

       用戶通過安全策略模式選擇與端口保護(hù)規(guī)則設(shè)置，可以實(shí)現(xiàn)針對某個(gè)端口的IP黑白名單功能。下面是在兩種不同安全策略模式下，針對135端口黑白名單設(shè)置實(shí)例：

        1）第一種安全模式（寬松模式）下的黑名單實(shí)現(xiàn)

       在“默認(rèn)放開所有端口，只關(guān)閉規(guī)則中的端口”安全策略模式下，端口保護(hù)規(guī)則選擇為“所有IP一律接受”，則例外IP實(shí)質(zhì)上與IP黑名單功能相當(dāng)。在例外IP處添加需要被禁止訪問的IP或者IP段，即可實(shí)現(xiàn)IP黑名單的功能。

圖14. 通過例外IP設(shè)置黑名單功能

        2）寬松模式下的白名單實(shí)現(xiàn)

       在“默認(rèn)放開所有端口，只關(guān)閉規(guī)則中的端口”安全策略模式下，端口保護(hù)規(guī)則選擇為“所有IP一律拒絕”，則例外IP實(shí)質(zhì)上與IP白名單功能相當(dāng)。在例外IP處添加需要被允許訪問的IP或者IP段，即可實(shí)現(xiàn)IP白名單的功能。

圖15. 通過例外IP設(shè)置白名單功能

        備注：同時(shí)，通過類似設(shè)置，在第二種安全策略模式（嚴(yán)格模式）下，也能夠?qū)崿F(xiàn)IP黑白名單功能。

        2、禁止Ping服務(wù)器

       通過端口保護(hù)規(guī)則設(shè)置，用戶可以實(shí)現(xiàn)禁止ping服務(wù)器功能。

       如果用戶希望禁止ping服務(wù)器，可以在設(shè)置端口保護(hù)規(guī)則的時(shí)候，選擇ICMP協(xié)議類型。直接使用系統(tǒng)默認(rèn)，不需要填入端口

圖16.端口保護(hù)規(guī)則ICMP協(xié)議選擇

       開啟安全策略之后，用戶有可能因?yàn)樵O(shè)置不當(dāng)導(dǎo)致的問題解決方法：

圖17. FTP端口設(shè)置

       開啟安全策略之后，用戶有可能因?yàn)樵O(shè)置不當(dāng)導(dǎo)致的問題舉例如下：

       FTP連接失敗：FTP服務(wù)需要開啟20、21兩個(gè)端口，用戶服務(wù)器如果有提供FTP服務(wù)，則應(yīng)該在開啟安全策略之前確認(rèn)20、21兩個(gè)端口的端口保護(hù)規(guī)則是否設(shè)置正確。
       網(wǎng)站訪問失敗：提供網(wǎng)站訪問，最基本的應(yīng)該開啟80端口，用戶服務(wù)器如果有架構(gòu)網(wǎng)站，則應(yīng)該再開啟安全策略之前確認(rèn)80端口的端口保護(hù)規(guī)則是否設(shè)置正確。
       如果用戶在開啟安全策略功能之后，遇到遠(yuǎn)程桌面登錄失敗或者部分服務(wù)被禁止，建議用戶暫停安全策略功能，檢查安全策略模式及端口保護(hù)規(guī)則設(shè)置，對被禁止服務(wù)相應(yīng)的端口規(guī)則進(jìn)行重新設(shè)置。

最新評論