服務(wù)器安全狗之安全策略操作教程

安全策略位于服務(wù)器安全狗-網(wǎng)絡(luò)防火墻功能下，被認(rèn)為是第二層策略保護(hù)(第一層是攻擊保護(hù)，第三層是超級(jí)黑白名單)，三層網(wǎng)絡(luò)防護(hù)，實(shí)時(shí)保護(hù)服務(wù)器網(wǎng)絡(luò)安全。

圖1

那安全策略有什么作用，用戶(hù)又該如何進(jìn)行設(shè)置能起到最好的效果呢?下面我們一起來(lái)看看：

服務(wù)器安全狗安全策略功能主要通過(guò)執(zhí)行具體的端口保護(hù)規(guī)則，限制或者允許進(jìn)程對(duì)端口的連接請(qǐng)求，來(lái)保護(hù)服務(wù)器安全。

用戶(hù)可以通過(guò)單擊操作界面右上方的按鈕“已開(kāi)啟”/“已關(guān)閉”按鈕來(lái)開(kāi)啟/關(guān)閉安全策略功能。用戶(hù)必須開(kāi)啟安全策略功能，所有端口保護(hù)規(guī)則才會(huì)生效，否則所有關(guān)于端口的設(shè)置都為無(wú)效。如下圖所示：

圖2.開(kāi)啟安全策略功能

用戶(hù)“開(kāi)啟”安全策略功能后，系統(tǒng)會(huì)要求用戶(hù)選擇安全策略模式。需要提醒用戶(hù)的是，安全策略模式的選擇非常重要，如果誤操作，可能會(huì)引起包括遠(yuǎn)程桌面登錄在內(nèi)的部分服務(wù)被禁止。建議用戶(hù)在開(kāi)啟安全策略功能之前，確保遠(yuǎn)程桌面端口已經(jīng)添加到安全策略列表，并使用“所有IP一律接受”。

安全策略模式的選擇：

服務(wù)器安全狗安全策略提供兩種安全策略模式供用戶(hù)選擇，分別是寬松模式和嚴(yán)格模式，用戶(hù)可根據(jù)自身的需要選擇適合的模式。

寬松模式：“默認(rèn)放開(kāi)所有端口，只關(guān)閉規(guī)則中的端口”表示端口保護(hù)規(guī)則以外的所有端口均為開(kāi)放端口，而規(guī)則中的端口，系統(tǒng)將根據(jù)相應(yīng)規(guī)則判斷是否開(kāi)放該端口，是否開(kāi)放例外IP訪(fǎng)問(wèn)。這是為安全狗推薦使用模式。

簡(jiǎn)單來(lái)講，選擇此種模式系統(tǒng)只會(huì)判斷端口保護(hù)規(guī)則列表中的端口是否需要限制，對(duì)端口保護(hù)規(guī)則列表以外的端口采取一律不管的方式。

對(duì)新手用戶(hù)，在不熟悉端口原理的情況下，建議選擇系統(tǒng)推薦的“寬松模式：默認(rèn)放開(kāi)所有端口，只關(guān)閉規(guī)則中的端口”。

圖3. 寬松模式：默認(rèn)放開(kāi)所有端口，只關(guān)閉規(guī)則中的端口

“嚴(yán)格模式：是指“默認(rèn)關(guān)閉所有端口，只放開(kāi)規(guī)則中的端口”則表示其他端口均為非安全端口，將會(huì)被完全禁止訪(fǎng)問(wèn)，而規(guī)則中的端口，系統(tǒng)將根據(jù)相應(yīng)規(guī)則判斷是否開(kāi)放該端口，是否開(kāi)放例外IP訪(fǎng)問(wèn)。選擇此種模式，系統(tǒng)會(huì)關(guān)閉所有端口保護(hù)規(guī)則以外的端口，并且根據(jù)端口保護(hù)規(guī)則的設(shè)置，對(duì)端口保護(hù)規(guī)則列表中的端口進(jìn)行限制。

“默認(rèn)關(guān)閉所有端口，只放開(kāi)規(guī)則中的端口”安全策略模式，提供更高的服務(wù)器端口安全性(選擇該安全策略模式，還可以起到完全封鎖UDP數(shù)據(jù)包的作用)但是建議用戶(hù)在選擇該模式之前確認(rèn)包括遠(yuǎn)程桌面登錄端口在內(nèi)的需要開(kāi)放的端口，不會(huì)因?yàn)榘踩呗缘拈_(kāi)啟被禁止。

圖4. 嚴(yán)格模式：默認(rèn)關(guān)閉所有端口，只放開(kāi)規(guī)則中的端口

同時(shí)，用戶(hù)可以直接使用服務(wù)器安全狗默認(rèn)設(shè)置的13條端口規(guī)則，也可以根據(jù)實(shí)際需要自行設(shè)置。建議新手或者是對(duì)端口原理不熟悉的用戶(hù)，直接使用服務(wù)器安全狗提供的端口保護(hù)規(guī)則。

本文我們選擇系統(tǒng)推薦的第一種安全策略模式(寬松模式)，用戶(hù)在實(shí)際使用過(guò)程中可以根據(jù)自身的需要選擇安全策略模式。

TCP與UDP監(jiān)聽(tīng)：

用戶(hù)通過(guò)查看“TCP與UDP監(jiān)聽(tīng)”，可以獲得實(shí)時(shí)的進(jìn)程連接信息以及相應(yīng)進(jìn)程開(kāi)啟的端口信息。用戶(hù)可以利用“TCP與UDP監(jiān)聽(tīng)”功能提供的詳細(xì)信息，在“安全策略”設(shè)置具體的端口保護(hù)規(guī)則，限制進(jìn)程開(kāi)啟端口以保護(hù)服務(wù)器。

圖5. TCP與UDP監(jiān)聽(tīng)

端口說(shuō)明提示功能：

系統(tǒng)提供端口說(shuō)明提示功能，對(duì)端口不熟悉的用戶(hù)，可以將鼠標(biāo)停留在需要了解的端口規(guī)則上，系統(tǒng)將顯示該端口詳細(xì)信息。

圖6. 端口說(shuō)明提示功能

修改規(guī)則：

從端口保護(hù)規(guī)則列表中選取需要修改的規(guī)則，用戶(hù)可以通過(guò)雙擊或者是選擇“修改規(guī)則”，在“修改規(guī)則”窗口設(shè)置端口保護(hù)規(guī)則。(因?yàn)榉?wù)器安全狗已經(jīng)提供了80端口保護(hù)規(guī)則，所以這里我們選擇“修改規(guī)則”，如果用戶(hù)需要設(shè)置的端口不在端口保護(hù)規(guī)則列表中，則可以選擇“增加規(guī)則”之后進(jìn)行相應(yīng)設(shè)置)

圖7. 修改端口保護(hù)規(guī)則

協(xié)議的選擇：

選擇相應(yīng)的協(xié)議類(lèi)型，可以屏蔽相應(yīng)類(lèi)型的訪(fǎng)問(wèn)請(qǐng)求，80端口屬于TCP端口，所以此處我們選擇TCP協(xié)議類(lèi)型。

圖8.端口保護(hù)規(guī)則協(xié)議選擇

規(guī)則的選擇：

“訪(fǎng)問(wèn)規(guī)則”的選擇，應(yīng)該根據(jù)實(shí)際情況來(lái)決定，本例因?yàn)榉?wù)器上有網(wǎng)站，我們只是為了禁止部分惡意IP訪(fǎng)問(wèn)，所以這里我們選擇“所有IP一律接受”，之后在“例外IP”設(shè)置需要被屏蔽的IP，(這樣就等于是放行所有IP僅限制“例外IP”中的IP訪(fǎng)問(wèn))。

圖9. IP訪(fǎng)問(wèn)規(guī)則設(shè)定

例外ip的設(shè)定：

“例外IP”支持單獨(dú)的IP也支持IP段，IP或者IP段之間以“,”(半角)分隔。例如：218.75.20.1, 218.75.20.2,218.75.20.3 或者218.75.20.1-218.75.20.255,118.75.20.1-118.75.20.255。

圖10.例外IP設(shè)置

作用時(shí)間的設(shè)定：

端口保護(hù)規(guī)則可以設(shè)置作用時(shí)間，用戶(hù)在不太熟悉端口保護(hù)規(guī)則設(shè)置或者是僅為測(cè)試使用情況下，可以選擇“臨時(shí)測(cè)試，自定義生效時(shí)間”來(lái)設(shè)置端口保護(hù)規(guī)則的作用時(shí)間。

圖11.作用時(shí)間設(shè)置

這些設(shè)置完成之后，點(diǎn)擊“應(yīng)用”就能生效。完成具體的端口保護(hù)規(guī)則設(shè)置后，規(guī)則列表將顯示詳細(xì)的端口保護(hù)規(guī)則信息。用戶(hù)可以選擇其他設(shè)置選項(xiàng)繼續(xù)相應(yīng)的端口保護(hù)規(guī)則設(shè)置，也可以直接選擇“開(kāi)啟”啟動(dòng)安全策略功能。

圖12.安全策略端口保護(hù)規(guī)則列表

同時(shí)，完成一個(gè)的規(guī)則的設(shè)置之后，用戶(hù)可以選擇繼續(xù)添加端口不會(huì)規(guī)則，可以選擇“是”，也可以直接選擇“否”，在開(kāi)啟安全策略功能之后，在安全策略功能界面直接進(jìn)行其他相應(yīng)的操作。

增加規(guī)則的設(shè)置與修改規(guī)則的設(shè)置相類(lèi)似，用戶(hù)可參考。

建議用戶(hù)開(kāi)啟安全策略功能之前，再次確認(rèn)遠(yuǎn)程登錄端口及服務(wù)器各項(xiàng)服務(wù)相關(guān)端口的端口規(guī)則設(shè)置，確保安全策略功能開(kāi)啟之后，各項(xiàng)服務(wù)正常。

同時(shí)，用戶(hù)還可以通過(guò)查看“防護(hù)日志”，獲得攻擊者IP以及攻擊目的端口(如下圖所示DDOS防火墻防御成功日志)，利用“防護(hù)日志”功能提供的詳細(xì)信息，在“安全策略”設(shè)置具體的端口保護(hù)規(guī)則，對(duì)訪(fǎng)問(wèn)者的端口連接請(qǐng)求進(jìn)行限制或者是添加信任。

圖13.防護(hù)日志

安全策略模式與端口保護(hù)規(guī)則特殊用法

1、 IP黑白名單設(shè)置

用戶(hù)通過(guò)安全策略模式選擇與端口保護(hù)規(guī)則設(shè)置，可以實(shí)現(xiàn)針對(duì)某個(gè)端口的IP黑白名單功能。下面是在兩種不同安全策略模式下，針對(duì)135端口黑白名單設(shè)置實(shí)例：

1)第一種安全模式(寬松模式)下的黑名單實(shí)現(xiàn)

在“默認(rèn)放開(kāi)所有端口，只關(guān)閉規(guī)則中的端口”安全策略模式下，端口保護(hù)規(guī)則選擇為“所有IP一律接受”，則例外IP實(shí)質(zhì)上與IP黑名單功能相當(dāng)。在例外IP處添加需要被禁止訪(fǎng)問(wèn)的IP或者IP段，即可實(shí)現(xiàn)IP黑名單的功能。

圖14. 通過(guò)例外IP設(shè)置黑名單功能

2)寬松模式下的白名單實(shí)現(xiàn)

在“默認(rèn)放開(kāi)所有端口，只關(guān)閉規(guī)則中的端口”安全策略模式下，端口保護(hù)規(guī)則選擇為“所有IP一律拒絕”，則例外IP實(shí)質(zhì)上與IP白名單功能相當(dāng)。在例外IP處添加需要被允許訪(fǎng)問(wèn)的IP或者IP段，即可實(shí)現(xiàn)IP白名單的功能。

圖15. 通過(guò)例外IP設(shè)置白名單功能

備注：同時(shí)，通過(guò)類(lèi)似設(shè)置，在第二種安全策略模式(嚴(yán)格模式)下，也能夠?qū)崿F(xiàn)IP黑白名單功能。

2、禁止Ping服務(wù)器

通過(guò)端口保護(hù)規(guī)則設(shè)置，用戶(hù)可以實(shí)現(xiàn)禁止ping服務(wù)器功能。

如果用戶(hù)希望禁止ping服務(wù)器，可以在設(shè)置端口保護(hù)規(guī)則的時(shí)候，選擇ICMP協(xié)議類(lèi)型。直接使用系統(tǒng)默認(rèn)，不需要填入端口

圖16.端口保護(hù)規(guī)則ICMP協(xié)議選擇

開(kāi)啟安全策略之后，用戶(hù)有可能因?yàn)樵O(shè)置不當(dāng)導(dǎo)致的問(wèn)題解決方法：

圖17. FTP端口設(shè)置

開(kāi)啟安全策略之后，用戶(hù)有可能因?yàn)樵O(shè)置不當(dāng)導(dǎo)致的問(wèn)題舉例如下：

FTP連接失?。篎TP服務(wù)需要開(kāi)啟20、21兩個(gè)端口，用戶(hù)服務(wù)器如果有提供FTP服務(wù)，則應(yīng)該在開(kāi)啟安全策略之前確認(rèn)20、21兩個(gè)端口的端口保護(hù)規(guī)則是否設(shè)置正確。

網(wǎng)站訪(fǎng)問(wèn)失?。禾峁┚W(wǎng)站訪(fǎng)問(wèn)，最基本的應(yīng)該開(kāi)啟80端口，用戶(hù)服務(wù)器如果有架構(gòu)網(wǎng)站，則應(yīng)該再開(kāi)啟安全策略之前確認(rèn)80端口的端口保護(hù)規(guī)則是否設(shè)置正確。

如果用戶(hù)在開(kāi)啟安全策略功能之后，遇到遠(yuǎn)程桌面登錄失敗或者部分服務(wù)被禁止，建議用戶(hù)暫停安全策略功能，檢查安全策略模式及端口保護(hù)規(guī)則設(shè)置，對(duì)被禁止服務(wù)相應(yīng)的端口規(guī)則進(jìn)行重新設(shè)置。