网络安全合规6--服务器安全检测和防御技术

一、服务器安全风险

主要威胁：
- 不必要的服务暴露（如仅需HTTP却开放多余端口）。
- 外网扫描（IP/端口扫描）、DDoS攻击。
- 系统漏洞攻击（操作系统、软件版本已知漏洞）。
- Web攻击（SQL注入、XSS、CSRF、暴力破解）。
- 弱密码和敏感信息泄露。
- 网站内容篡改。
防护体系：
- 防火墙、IPS（入侵防御系统）、服务器保护、风险分析、网页防篡改技术。

二、DoS/DDoS攻击防护

DDoS攻击------Distributed Denial of Service, 分布式拒绝服务攻击。
DDoS攻击目的：
①、消耗带宽
②、消耗服务器性能
③、引发服务器宕机

攻击类型与原理

类型	攻击特征
带宽消耗型	ICMP/UDP/DNS洪水攻击：发送海量数据包耗尽带宽。
资源耗尽型	SYN洪水攻击：利用TCP三次握手占用连接资源。
畸形包攻击	发送异常数据包（如Ping of Death）导致系统崩溃。
应用层攻击	CC攻击：高频请求耗尽服务器资源；慢速攻击：低速发包占满连接池。

防御技术

SYN代理：防火墙代理TCP握手，验证客户端合法性后再与服务器通信。
配置关键：
- 启用扫描防护（IP/端口扫描检测）。
- 设置阈值：激活阈值触发代理防护，丢包阈值超限直接丢弃SYN包。
- 日志监控：通过内置数据中心分析攻击日志（类型、源IP、严重等级）。

三、IPS入侵防护

IDS vs IPS

对比项	IDS（入侵检测）	IPS（入侵防御）
工作原理	记录攻击行为，被动审计	实时拦截攻击数据包
部署方式	旁路镜像	串联部署（路由/透明模式）
阻断能力	弱	强
响应速度	滞后	实时

常见攻击手段

蠕虫病毒（如WannaCry）：利用漏洞（SMB漏洞MS17-010）传播勒索软件。
暴力破解：字典攻击（常见密码组合）、规则攻击（基于用户信息猜测）。
后门木马：通过漏洞植入恶意软件（如安卓"心脏滴血"漏洞）。

IPS****防护方式
IPS****的保护对象
保护客户端：用于保护客户端机器及其应用软件系统不因本身的漏洞而受到攻击。
保护服务器：用于保护服务器及其应用软件系统不因服务器或者软件本身存在的漏洞而
受到攻击；还用于阻止用户频繁登录指定协议服务器，防止暴力破解攻击。
IPS****的规则识别分类
◆保护服务器和客户端（一般是病毒、木马等）
防止包括操作系统本身的漏洞，后门、木马、间谍、蠕虫软件以及恶意代码的攻击。
◆保护服务器软件（如应用服务器提供的应用）
防止针对web、dns、ftp、tftp、telnet、邮件、数据库、媒体服务器应用本身的漏洞以
及网络设备进行的攻击和暴力破解。
◆保护客户端软件（如OA、IE等）
防止针对web activex 控件漏洞、web浏览器、文件格式、应用软件进行的攻击。

配置与优化

策略分类：
- 保护客户端：防御系统漏洞、恶意软件（源：内网；目的：外网）。
- 保护服务器：防漏洞利用、暴力破解（源：外网；目的：服务器IP）。
误判处理：
- 修改漏洞特征库动作（放行/禁用特定规则）。
- 添加例外：根据日志排除误判IP或规则。
联动封锁：IPS阻断后通知防火墙封锁攻击源IP。

四、Web攻击防护

主要攻击类型

攻击	原理
SQL注入	注入恶意SQL命令窃取/篡改数据库（分弱/工具/强特征）。
XSS/CSRF	跨站脚本伪造用户请求（如盗取会话、转账）。
信息泄露	错误配置暴露敏感文件（备份、默认页面、目录遍历）。

WAF配置

策略设置：
- 源区域：外网；目的区域：服务器IP组；端口：80。
- 防护类型：全选（SQL注入、XSS、文件包含等）。
误判处置：
- URL参数排除：跳过特定参数的攻击检测（如正常业务携带的特征串）。
- 日志添加例外：直接标记误判日志为可信。

五、网页防篡改

双重防护机制

文件监控（驱动层）：
- 在服务器安装客户端，监控网站目录修改行为，仅允许授权进程操作。
二次认证：
- 访问后台时强制邮箱验证码认证，防止未授权篡改。

配置要点

防篡改客户端：从AF下载安装，配置受保护目录和合法进程。
后台防护：
- 设置管理URL和访问端口。
- 选择认证方式：IP白名单或邮件验证码。
注意事项：
- 残留Webshell会导致防护失效，需彻底清理。
- Linux需重启服务生效，Windows卸载需专用工具（tamper.exe）。

六、总结

分层防御：结合网络层（防火墙）、应用层（IPS/WAF）、文件层（防篡改）构建纵深防护。
关键能力：
- 实时阻断（IPS/WAF联动）、阈值自调节（DDoS防护）、误判快速处置。
最佳实践：
- 定期更新漏洞库、启用联动封锁、强化后台认证、清除残留恶意文件。