服务器安全狗v4.0安全策略操作教程
安全策略位于服务器安全狗-网络防火墙功能下,被认为是第二层策略保护(第一层是攻击保护,第三层是超级黑白名单),三层网络防护,实时保护服务器网络安全。http://bbs.safedog.cn/data/attachment/forum/201309/11/182211f2ro827t85oltlmw.jpg图1
那安全策略有什么作用,用户又该如何进行设置能起到最好的效果呢?下面我们一起来看看:
服务器安全狗安全策略功能主要通过执行具体的端口保护规则,限制或者允许进程对端口的连接请求,来保护服务器安全。
用户可以通过单击操作界面右上方的按钮“已开启”/“已关闭”按钮来开启/关闭安全策略功能。用户必须开启安全策略功能,所有端口保护规则才会生效,否则所有关于端口的设置都为无效。如下图所示:http://bbs.safedog.cn/data/attachment/forum/201309/11/182213ujmc5scmaj2llzqq.jpg
图2.开启安全策略功能
用户“开启”安全策略功能后,系统会要求用户选择安全策略模式。需要提醒用户的是,安全策略模式的选择非常重要,如果误操作,可能会引起包括远程桌面登录在内的部分服务被禁止。建议用户在开启安全策略功能之前,确保远程桌面端口已经添加到安全策略列表,并使用“所有IP一律接受”。
安全策略模式的选择:
服务器安全狗安全策略提供两种安全策略模式供用户选择,分别是宽松模式和严格模式,用户可根据自身的需要选择适合的模式。
宽松模式:“默认放开所有端口,只关闭规则中的端口”表示端口保护规则以外的所有端口均为开放端口,而规则中的端口,系统将根据相应规则判断是否开放该端口,是否开放例外IP访问。这是为安全狗推荐使用模式。
简单来讲,选择此种模式系统只会判断端口保护规则列表中的端口是否需要限制,对端口保护规则列表以外的端口采取一律不管的方式。
对新手用户,在不熟悉端口原理的情况下,建议选择系统推荐的“宽松模式:默认放开所有端口,只关闭规则中的端口”。http://bbs.safedog.cn/data/attachment/forum/201309/11/182216n88qfle8fje42jhx.jpg
图3. 宽松模式:默认放开所有端口,只关闭规则中的端口
“严格模式:是指“默认关闭所有端口,只放开规则中的端口”则表示其他端口均为非安全端口,将会被完全禁止访问,而规则中的端口,系统将根据相应规则判断是否开放该端口,是否开放例外IP访问。选择此种模式,系统会关闭所有端口保护规则以外的端口,并且根据端口保护规则的设置,对端口保护规则列表中的端口进行限制。
“默认关闭所有端口,只放开规则中的端口”安全策略模式,提供更高的服务器端口安全性(选择该安全策略模式,还可以起到完全封锁UDP数据包的作用)但是建议用户在选择该模式之前确认包括远程桌面登录端口在内的需要开放的端口,不会因为安全策略的开启被禁止。http://bbs.safedog.cn/data/attachment/forum/201309/11/182218oyjr5bn0bbttrbwf.jpg图4. 严格模式:默认关闭所有端口,只放开规则中的端口
同时,用户可以直接使用服务器安全狗默认设置的13条端口规则,也可以根据实际需要自行设置。建议新手或者是对端口原理不熟悉的用户,直接使用服务器安全狗提供的端口保护规则。
本文我们选择系统推荐的第一种安全策略模式(宽松模式),用户在实际使用过程中可以根据自身的需要选择安全策略模式。
TCP与UDP监听:
用户通过查看“TCP与UDP监听”,可以获得实时的进程连接信息以及相应进程开启的端口信息。用户可以利用“TCP与UDP监听”功能提供的详细信息,在“安全策略”设置具体的端口保护规则,限制进程开启端口以保护服务器。http://bbs.safedog.cn/data/attachment/forum/201309/11/182221iiw5mpos4eu6ssiq.jpg
图5. TCP与UDP监听
端口说明提示功能:
系统提供端口说明提示功能,对端口不熟悉的用户,可以将鼠标停留在需要了解的端口规则上,系统将显示该端口详细信息。 http://bbs.safedog.cn/data/attachment/forum/201309/11/182223x4bu1mm1f5uch4mq.jpg图6. 端口说明提示功能
修改规则:
从端口保护规则列表中选取需要修改的规则,用户可以通过双击或者是选择“修改规则”,在“修改规则”窗口设置端口保护规则。(因为服务器安全狗已经提供了80端口保护规则,所以这里我们选择“修改规则”,如果用户需要设置的端口不在端口保护规则列表中,则可以选择“增加规则”之后进行相应设置)http://bbs.safedog.cn/data/attachment/forum/201309/11/182225ta6bffanfyzyacey.jpg
图7. 修改端口保护规则
协议的选择:
选择相应的协议类型,可以屏蔽相应类型的访问请求,80端口属于TCP端口,所以此处我们选择TCP协议类型。http://bbs.safedog.cn/data/attachment/forum/201309/11/182229k04gzk11y65zg33z.jpg
图8.端口保护规则协议选择
规则的选择:
“访问规则”的选择,应该根据实际情况来决定,本例因为服务器上有网站,我们只是为了禁止部分恶意IP访问,所以这里我们选择“所有IP一律接受”,之后在“例外IP”设置需要被屏蔽的IP,(这样就等于是放行所有IP仅限制“例外IP”中的IP访问)。http://bbs.safedog.cn/data/attachment/forum/201309/11/182234ri0sg2n1g0s01n7j.jpg
图9. IP访问规则设定
例外ip的设定:
“例外IP”支持单独的IP也支持IP段,IP或者IP段之间以“,”(半角)分隔。例如:218.75.20.1, 218.75.20.2,218.75.20.3 或者218.75.20.1-218.75.20.255,118.75.20.1-118.75.20.255。http://bbs.safedog.cn/data/attachment/forum/201309/11/182237k8xjdqj0wmxngqwv.jpg
图10.例外IP设置
作用时间的设定:
端口保护规则可以设置作用时间,用户在不太熟悉端口保护规则设置或者是仅为测试使用情况下,可以选择“临时测试,自定义生效时间”来设置端口保护规则的作用时间。http://bbs.safedog.cn/data/attachment/forum/201309/11/182242qbaofzazforbdzdf.jpg
图11.作用时间设置
这些设置完成之后,点击“应用”就能生效。完成具体的端口保护规则设置后,规则列表将显示详细的端口保护规则信息。用户可以选择其他设置选项继续相应的端口保护规则设置,也可以直接选择“开启”启动安全策略功能。http://bbs.safedog.cn/data/attachment/forum/201309/11/182247tv17uemxpei8e5ha.jpg
图12.安全策略端口保护规则列表
同时,完成一个的规则的设置之后,用户可以选择继续添加端口不会规则,可以选择“是”,也可以直接选择“否”,在开启安全策略功能之后,在安全策略功能界面直接进行其他相应的操作。
增加规则的设置与修改规则的设置相类似,用户可参考。
建议用户开启安全策略功能之前,再次确认远程登录端口及服务器各项服务相关端口的端口规则设置,确保安全策略功能开启之后,各项服务正常。
同时,用户还可以通过查看“防护日志”,获得攻击者IP以及攻击目的端口(如下图所示DDOS防火墙防御成功日志),利用“防护日志”功能提供的详细信息,在“安全策略”设置具体的端口保护规则,对访问者的端口连接请求进行限制或者是添加信任。http://bbs.safedog.cn/data/attachment/forum/201309/11/182250akc2jnklik999ynn.jpg
图13.防护日志
安全策略模式与端口保护规则特殊用法
1、 IP黑白名单设置
用户通过安全策略模式选择与端口保护规则设置,可以实现针对某个端口的IP黑白名单功能。下面是在两种不同安全策略模式下,针对135端口黑白名单设置实例:
1)第一种安全模式(宽松模式)下的黑名单实现
在“默认放开所有端口,只关闭规则中的端口”安全策略模式下,端口保护规则选择为“所有IP一律接受”,则例外IP实质上与IP黑名单功能相当。在例外IP处添加需要被禁止访问的IP或者IP段,即可实现IP黑名单的功能。http://bbs.safedog.cn/data/attachment/forum/201309/11/182256t1ldpipz52f4tl1n.jpg
图14. 通过例外IP设置黑名单功能
2)宽松模式下的白名单实现
在“默认放开所有端口,只关闭规则中的端口”安全策略模式下,端口保护规则选择为“所有IP一律拒绝”,则例外IP实质上与IP白名单功能相当。在例外IP处添加需要被允许访问的IP或者IP段,即可实现IP白名单的功能。http://bbs.safedog.cn/data/attachment/forum/201309/11/182259inwq1677ienwzppk.jpg
图15. 通过例外IP设置白名单功能
备注:同时,通过类似设置,在第二种安全策略模式(严格模式)下,也能够实现IP黑白名单功能。
2、禁止Ping服务器
通过端口保护规则设置,用户可以实现禁止ping服务器功能。
如果用户希望禁止ping服务器,可以在设置端口保护规则的时候,选择ICMP协议类型。直接使用系统默认,不需要填入端口
http://bbs.safedog.cn/data/attachment/forum/201309/11/182303g94498fdx9ddtd4k.jpg
图16.端口保护规则ICMP协议选择
开启安全策略之后,用户有可能因为设置不当导致的问题解决方法:http://bbs.safedog.cn/data/attachment/forum/201309/11/182306xjy9qkalke0rzmre.jpg
图17. FTP端口设置
开启安全策略之后,用户有可能因为设置不当导致的问题举例如下:
FTP连接失败:FTP服务需要开启20、21两个端口,用户服务器如果有提供FTP服务,则应该在开启安全策略之前确认20、21两个端口的端口保护规则是否设置正确。
网站访问失败:提供网站访问,最基本的应该开启80端口,用户服务器如果有架构网站,则应该再开启安全策略之前确认80端口的端口保护规则是否设置正确。
如果用户在开启安全策略功能之后,遇到远程桌面登录失败或者部分服务被禁止,建议用户暂停安全策略功能,检查安全策略模式及端口保护规则设置,对被禁止服务相应的端口规则进行重新设置。
页:
[1]