适度防护的原则是:建立防护手段,使攻击者的攻击代价(时间成本等)大于攻击成功后的价值,这样可使攻击者主动放弃攻击目标,从而达到较好的防护效果
整体防护思路:
从攻击者的角度考虑,如果要针对一个系统开展攻击,必须先识别攻击目标的基本特征。对于Web网站来说,其基本特征包含以下几项
1、目标的端口号(确认攻击目标有哪些)
2、目标中间件及服务的版本(针对版本寻找可用漏洞)
3、目标是否有明显漏洞等信息
简单的防护方案:
首先考虑降低当前站点对外提供服务时可被获取有效信息的可能性,并且及时地停用高危服务或端口。再利用Web漏洞扫描等工具发现现有系统的安全缺陷,并根据前面介绍的漏洞防护方案进行防护。
1、关闭或修改服务器开放端口
Web服务器会利用HTTP(TCP80)、HTTPS(TCP443)协议为用户提供Web访问服务。除了有特殊端口提供服务,非必要开放端口尽量关闭,如FTP(21)、SSH(22)等。如果涉及特殊业务系统必须要开启特殊端口,建议采用防火墙、iptables等限制非业务端口的连接IP地址,即利用白名单技术实现访问控制,从而尽可能减少外部链接通道。
针对特殊Web应用环境,如单一IP要实现多个Web应用共存,由于每个Web应用均需要一个独立的TCP端口,因此在这个过程中会涉及非默认端口的情况。针对这种情况,建议将端口设置成为非常见的端口。这样,NMAP在利用默认参数进行扫描时就不会发现修改过的端口,也就能避免特定应用被攻击者发现。需要注意的是,如果修改了http/https的默认端口,那么后续在访问站点时需要在域名后面添加端口号,如http://www.xxx.com:30303。访问时添加端口号会给一般用户带来一定的困扰,因此推荐在各类在线维护系统或内部系统使用,并且这类系统通常较为敏感及重要,更建议隐藏端口。