防火墙和系统安全防护的优化

与世无争的帅哥 提交于 2019-12-17 09:42:13

网络系统安全防护

云盾Web应用防火墙(Web Application Firewall,简称 WAF)基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性。Web应用防火墙使用核心攻防和大数据能力来驱动Web安全,帮助您轻松应对各类Web应用攻击,确保网站的Web安全与可用性。

云盾Web应用防火墙具有10年以上网络安全经验、防御CC攻击和爬虫攻击、集成大数据能力。购买阿里云Web应用防火墙后,把域名解析到Web应用防火墙提供的CNAME地址上,并配置源站服务器IP,即可启用Web应用防火墙。启用之后,您网站所有的公网流量都会先经过Web应用防火墙,恶意攻击流量在Web应用防火墙上被检测过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。

如何优化防火墙

一、服务器操作建议
严格按照目录规范操作服务器
远程服务器不允许关机
不要在服务器访问高峰运行高负载命令
远程配置防火墙时,不要把自己踢出服务器
技术策略
二、Linux优化步骤
禁用不必要的服务ntsysv
iptables 防火墙服务
network 网络服务
sshd ssh远程管理服务—>加密 telent—>明文
syslog 系统日志服务
crond 系统计划任务服务
xinetd 系统超级守护进程服务
关闭多余的控制台及禁止ctrl+alt+del
修改/etc/inittab文件注释掉多余的控制台,保留2个就可以
防止资源浪费
#3:2345:respawn:/sbin/mingetty tty3
禁止ctrl+alt+del快捷键
防止误操作强制关机
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
网络优化
禁止ping
多台ping服务器会ping崩溃服务器(老服务器)
防止黑客攻击途径
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
禁止源路由包(防止源欺骗)
拦截请求,假装发出包与服务器进行交互
echo 1 > /proc/sys/net/ipv4/conf/*/accept_source_route
打开SYN cookie选项,禁止SYN攻击
SYN包攻击。tcp的三次握手。客户端请求----》服务器一直等待。浪费资源,多台容易崩溃
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
上述三种仅在重启之间生效,需写成脚本,开机自动调用
定时升级Linux系统
yum -y update
严格的安全策略
密码合理并定期跟换密码三原则:
复杂性、易记忆性、时效性
合理分配权限
使用ssh远程管理
保证/etc/shadow的安全
存储linux所有账号和密码
定期备份重要数据和日志
三 John暴力破解工具
下载http://www.openwall.com/john/
下载字典
安装步骤
安装gcc yum -y install gcc
解压 tar -zxvf john-1.7.9.tar.gz
cd 解压目录/src/
make
make clean linux-x86-mmx
使用
cp /etc/shadow /root
chmod 777 /root/shadow
John解压目录/run/john /root/shadow
查看
run/john --show /etc/shadow
cat run/john.pot
数据库防护

  1. 密码加盐处理
    md5加密
  2. 越权处理
    角色选择时进行session与用户组校验
    3.将攻击记录到数据库
    sql 注入 漏洞
    修复注入点----》参数_id 存在注入
    漏洞分析
    利用 SQL 注入漏洞从数据库中获取敏感数据、修改数据库数据。

整改 建议
对用户输入的数据进行全面安全检查或过滤,尤其注意检查
是否包含 HTML 特殊字符。这些检查或过滤必须在服务器端完
成,建议过滤的常见危险字符如下:
Ø |(竖线符号)
Ø & (& 符号)
Ø ;(分号)
Ø $(美元符号)
Ø %(百分比符号)
Ø @(at 符号)
Ø '(单引号)
Ø "(引号)
Ø '(反斜杠转义单引号)
Ø "(反斜杠转义引号)
Ø <>(尖括号)
Ø ()(括号)
Ø +(加号)
Ø CR(回车符,ASCII 0x0d)
Ø LF(换行,ASCII 0x0a)
Ø ,(逗号)
Ø \(反斜杠)
越权漏洞
修改相关参数,普通用户可获得更多的权限。
抓包并修改参数实现权限更改
整 改 建议
严格控制用户权限。对敏感页面的权限进行严格的处理。
越权漏洞
用户在不登录的情况下,可越权访问网站页面数据
越权的页面(其他页面也产生越权)

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!