統(tǒng)一服務(wù)器安全管理系統(tǒng)集成了防惡意軟件、進(jìn)程管控、防火墻、應(yīng)用控制、入侵檢測(cè)、DDoS、海量數(shù)據(jù)可視化分析等多個(gè)模塊，以確保云服務(wù)器的應(yīng)用及數(shù)據(jù)安全。防護(hù)系統(tǒng)支持linux主機(jī)和容器、采用有代理的部署模式，可直接對(duì)linux主機(jī)和容器內(nèi)部的文件及網(wǎng)絡(luò)內(nèi)容進(jìn)行安全檢測(cè)。

管理中心頁(yè)面登錄方式為https://IP:8443 輸入用戶名密碼，首次登錄需要修改初始密碼，管理員登錄到系統(tǒng)后可進(jìn)入 管理->用戶管理 頁(yè)面自己添加或刪除用戶。

1 部署主機(jī)安全組件

有代理主機(jī)和容器的安裝部署方式一致，都是部署在主機(jī)上；當(dāng)主機(jī)中有容器時(shí)，部署時(shí)應(yīng)選擇類型為服務(wù)器（容器）或server with container。

為方便用戶使用，系統(tǒng)支持兩種方式部署主機(jī)安全組件：

1.1 通過管理中心一鍵部署

1) 進(jìn)入 資產(chǎn)管理 ->主機(jī) 頁(yè)面

2) 在頁(yè)面中點(diǎn)擊 新增 按鈕，會(huì)彈出 新增主機(jī)池 對(duì)話框，平臺(tái)選擇“非虛擬化平臺(tái)”

3) 在對(duì)話框中輸入主機(jī)池名稱、選擇添加方式、輸入計(jì)算機(jī)名、IP地址，點(diǎn)擊確定即可。

參數(shù)說明：

名稱 : 有代理主機(jī)將要添加至的主機(jī)池名稱，手動(dòng)輸入會(huì)新建一個(gè)以輸入的名稱命名的主機(jī)池、也可以選擇管理中心現(xiàn)有的有代理主機(jī)池。

添加方式：有代理主機(jī)的添加方式分為單臺(tái)計(jì)算機(jī)和網(wǎng)段范圍內(nèi)的多臺(tái)計(jì)算機(jī)，默認(rèn)為單臺(tái)計(jì)算機(jī)，即一次添加一臺(tái)有代理主機(jī)；如果選擇網(wǎng)段范圍內(nèi)的多臺(tái)計(jì)算機(jī)，即一次性添加多臺(tái)有代理主機(jī)，如下圖所示需要填寫起始地址和結(jié)束地址。

計(jì)算機(jī)名：如果填寫的是有代理主機(jī)的域名，系統(tǒng)會(huì)根據(jù)域名去添加有代理主機(jī)，不需要再輸入計(jì)算機(jī)IP；如果填寫的是有代理主機(jī)的別名，則需要再輸入正確的計(jì)算機(jī)IP。

計(jì)算機(jī)IP：有代理主機(jī)的IP地址。

4) 添加成功后，主機(jī)狀態(tài)為“未安裝安全組件”

5) 選擇剛才添加的有代理主機(jī)，點(diǎn)擊“安裝安全組件”按鈕

6) 在彈出的對(duì)話框中，輸入主機(jī)用戶名、密碼（即ssh的用戶名和密碼），選擇許可類型為標(biāo)準(zhǔn)版，點(diǎn)擊確定，系統(tǒng)開始在有代理主機(jī)上安裝安全組件。

7) 安裝安全組件過程中的狀態(tài)變化由未安裝安全組件->正在安裝->安裝成功->連接中斷->已連接，整個(gè)過程大約需要2分鐘。

8) 部署成功后，頁(yè)面中會(huì)顯示該主機(jī)池/資源池的服務(wù)器類型、部署地址，主機(jī)池名稱、該主機(jī)池/資源池下的所有主機(jī)、系統(tǒng)版本信息、文件和網(wǎng)絡(luò)特征庫(kù)信息及當(dāng)前的連接狀態(tài)，如下圖所示。

9) 主機(jī)注冊(cè)成功后，管理中心 “資產(chǎn)管理”->“虛擬機(jī)/終端”頁(yè)面能夠看到該機(jī)器，其實(shí)時(shí)防護(hù)狀態(tài)正確。

10) 如果安裝失敗，主機(jī)狀態(tài)會(huì)顯示為“安裝失敗”，可點(diǎn)擊“安裝失敗”字樣查看失敗原因。

2 功能驗(yàn)證

2.1 防惡意軟件（服務(wù)器）

防惡意軟件的功能能夠?yàn)橛写碇鳈C(jī)提供惡意軟件防護(hù)，可以使得每臺(tái)主機(jī)都能得到病毒防護(hù)，其功能如下：

每一臺(tái)主機(jī)

可以為主機(jī)指定獨(dú)立的保護(hù)策略（安全配置）

提供實(shí)時(shí)、手動(dòng)、指定目錄和定期掃描功能

惡意軟件日志管理

測(cè)試方法：通過下載病毒文件至主機(jī)上，檢查惡意程序是否被隔離。

1) 進(jìn)入管理中心，進(jìn)入“資產(chǎn)管理 ”> “虛擬機(jī)/終端” 頁(yè)面，找到測(cè)試主機(jī)，然后點(diǎn)擊安全配置鏈接，進(jìn)入“防惡意軟件頁(yè)面”

2) 確認(rèn)實(shí)時(shí)防護(hù)已經(jīng)打開

3) 單擊”保存”保存配置

4) 進(jìn)入測(cè)試主機(jī)，然后下載測(cè)試病毒至本地

5) 查看病毒文件是否下載成功

6) 等一兩分鐘，然后進(jìn)入管理中心，進(jìn)入“實(shí)時(shí)監(jiān)控”頁(yè)面，查看“安全事件歷史”，可以看到有防惡意軟件安全事件：

7) 點(diǎn)擊上圖中有安全事件的點(diǎn)，可以進(jìn)入到日志分析界面，點(diǎn)擊原始日志圖標(biāo)，可以查看惡意軟件防護(hù)的原始日志

2.2 防惡意軟件（容器）

防惡意軟件的功能能夠?yàn)橛写碇鳈C(jī)及其中的容器提供惡意軟件防護(hù)，可以使得每臺(tái)主機(jī)和主機(jī)中的所有容器都能得到病毒防護(hù)，其功能如下

主機(jī)及主機(jī)中的每一個(gè)容器

可以為主機(jī)指定獨(dú)立的保護(hù)策略（安全配置）

提供實(shí)時(shí)、手動(dòng)、指定目錄和定期掃描功能

惡意軟件日志管理

測(cè)試方法：通過下載病毒文件至容器中，檢查惡意程序是否被隔離。

(1) 進(jìn)入管理中心，進(jìn)入“資產(chǎn)管理 ”> “虛擬機(jī)/終端” 頁(yè)面，找到測(cè)試主機(jī)，然后點(diǎn)擊安全配置鏈接，進(jìn)入“防惡意軟件頁(yè)面”

(2) 確認(rèn)實(shí)時(shí)防護(hù)已經(jīng)打開

(3) 單擊”保存”保存配

(4) 進(jìn)入測(cè)試主機(jī)，然后下載測(cè)試病毒至容器中

(5) 查看病毒文件是否下載成功

(6) 等一兩分鐘，然后進(jìn)入管理中心，進(jìn)入“實(shí)時(shí)監(jiān)控”頁(yè)面，查看“安全事件歷史”，可以看到有防惡意軟件安全事件：

(1) 點(diǎn)擊上圖中有安全事件的點(diǎn)，可以進(jìn)入到日志分析界面，點(diǎn)擊原始日志圖標(biāo)，可以查看惡意軟件防護(hù)的原始日志。如下圖所示，容器中的病毒文件隔離成功，日志中記錄了容器中病毒文件的路徑及對(duì)應(yīng)的容器名稱。

注： 對(duì)于容器內(nèi)的病毒，刪除操作會(huì)清空文件，不會(huì)刪除文件；隔離操作是隔離并清空文件。

2.3 應(yīng)用程序控制

防護(hù)系統(tǒng)的應(yīng)用程序控制功能，支持根據(jù)應(yīng)用程序路徑和應(yīng)用程序名制定規(guī)則，并預(yù)置操作系統(tǒng)應(yīng)用程序列表。支持白名單和黑名單方式，可針對(duì)不同的用戶場(chǎng)景靈活配置管控規(guī)則。未被允許的應(yīng)用程序?qū)o(wú)法使用，徹底阻止勒索軟件或其他惡意軟件執(zhí)行。

測(cè)試方法：禁止在主機(jī)中運(yùn)行chmod命令

1) 進(jìn)入管理中心 安全策略 > 安全配置頁(yè)面

2) 點(diǎn)擊“Linux安全配置，進(jìn)入“應(yīng)用程序控制”標(biāo)簽頁(yè)

3) 開啟實(shí)時(shí)管控功能、允許Linux系統(tǒng)應(yīng)用程序、配置例外應(yīng)用程序路徑為/usr/bin/chmod，其他應(yīng)用程序啟動(dòng)時(shí)采取動(dòng)作為阻止

4) 點(diǎn)擊保存按鈕

1) 在測(cè)試主機(jī)中運(yùn)行chmod命令，提示權(quán)限不夠/Permission denied

2) 等一二分鐘，進(jìn)入管理中心 分析-應(yīng)用程序控制頁(yè)面應(yīng)該能看到進(jìn)程管控的阻止日志

2.4 完整性監(jiān)控

防護(hù)系統(tǒng)的完整性監(jiān)控功能，可以通過對(duì)文件/目錄、注冊(cè)表等類型進(jìn)行監(jiān)控，并對(duì)嚴(yán)重程度為高的事件進(jìn)行告警，從而達(dá)到了系統(tǒng)安全防護(hù)預(yù)警的目的。

測(cè)試方法：手動(dòng)掃描完整性監(jiān)控文件的增加。

1) 登錄管理中心界面，選擇安全策略--安全配置-點(diǎn)擊或新增Linux安全配置，進(jìn)入配置界面。

2) 點(diǎn)擊系統(tǒng)加固下拉箭頭，選擇完整性監(jiān)控，關(guān)閉實(shí)時(shí)掃描、定期掃描，監(jiān)控等級(jí)設(shè)置為嚴(yán)格，勾選“編號(hào)為30002，監(jiān)控系統(tǒng)安裝的通用軟件目錄的任何變化(/bin)”這條規(guī)則，點(diǎn)擊保存。

3) 在管理中心選擇資產(chǎn)管理--虛擬機(jī)/終端，勾選所要掃描的虛擬機(jī)，點(diǎn)擊安全操作下拉箭頭，點(diǎn)擊重新生成完整性基線。

4) 根據(jù)30002這條規(guī)則，在所測(cè)虛擬機(jī)上對(duì)所監(jiān)控/bin目錄下建立測(cè)試文件1。

5) 在管理中心上選擇此虛擬機(jī)點(diǎn)擊安全操作下拉箭頭，點(diǎn)擊完整性掃描。

6) 掃描完成后可在管理中心完整性監(jiān)控分析日志看到對(duì)應(yīng)日志：

2.5 漏洞管理

防護(hù)系統(tǒng)的漏洞管理功能支持對(duì)虛擬機(jī)/終端上的漏洞進(jìn)行掃描，詳細(xì)展示相關(guān)的漏洞名稱、漏洞類型、危險(xiǎn)程度、CVE編號(hào)等。同時(shí)基于漏洞掃描信息支持單機(jī)或批量推薦IPS規(guī)則，進(jìn)行漏洞的防護(hù)處理。

測(cè)試方法：手動(dòng)漏洞掃描

1) 登錄管理中心界面，選擇資產(chǎn)管理--虛擬機(jī)/終端，勾選所要掃描的虛擬機(jī)，點(diǎn)擊安全操作下拉箭頭，點(diǎn)擊漏洞掃描。

2) 等待大約10秒，會(huì)有彈窗提醒漏洞掃描已開始，請(qǐng)?jiān)谔摂M機(jī)詳情中查看掃描詳情。

3) 點(diǎn)擊虛擬機(jī)名稱進(jìn)入虛機(jī)概況界面，可以看到掃描狀態(tài)，上次掃描時(shí)間以及掃描結(jié)果。

4) 在虛機(jī)概況界面點(diǎn)擊對(duì)應(yīng)嚴(yán)重等級(jí)的漏洞數(shù)，可以查看該嚴(yán)重等級(jí)的漏洞詳情

5) 在虛機(jī)概況界面點(diǎn)擊漏洞管理最右邊的查看日志，可以查看所有漏洞的詳情。

2.6 防火墻

防護(hù)系統(tǒng)防火墻模塊確保服務(wù)器在所必需的端口和協(xié)議上通信，并阻止其他所有端口和協(xié)議，降低對(duì)服務(wù)器進(jìn)行未授權(quán)訪問的風(fēng)險(xiǎn)。

測(cè)試方法：禁止主機(jī)入站ssh協(xié)議。

1) 首先確認(rèn)主機(jī)的ssh進(jìn)程已啟動(dòng)

2) 進(jìn)入管理中心 安全策略 > 安全配置頁(yè)面

3) 點(diǎn)擊“Linux安全配置”，進(jìn)入“防火墻”標(biāo)簽頁(yè)

4) 點(diǎn)擊“新增”按鈕，會(huì)打開“防火墻規(guī)則“對(duì)話框

在對(duì)話框中輸入防火墻規(guī)則名稱、選擇動(dòng)作為”阻止“、選擇方向?yàn)椤比胝尽埃x擇協(xié)議為”TCP“、在本地信息中配置端口為22，點(diǎn)擊確定按鈕。

6) 點(diǎn)擊保存按鈕，保存安全配置

7) 在其他機(jī)器上通過ssh協(xié)議訪問測(cè)試主機(jī)，訪問失敗，提示connection refused

8) 等一兩分鐘，進(jìn)入管理中心查看有防火墻規(guī)則阻止成功的日志

2.7 失陷檢測(cè)

防護(hù)系統(tǒng)的失陷檢測(cè)功能能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的僵尸主機(jī)，并進(jìn)行告警和防護(hù)處理，防止這些“定時(shí)炸彈”摧毀目標(biāo)網(wǎng)絡(luò)。

1) 登錄管理中心界面，選擇安全策略--安全配置-點(diǎn)擊或新增Linux安全配置，進(jìn)入配置界面。

2) 點(diǎn)擊微隔離下拉箭頭，選擇失陷檢測(cè)，打開失陷檢測(cè)開關(guān)，失陷處理選擇隔離，點(diǎn)擊保存。

3) 當(dāng)有在威脅情報(bào)庫(kù)中的惡意流量攻擊虛機(jī)時(shí)，可以看到虛機(jī)名稱變成綠色，同時(shí)安全配置后面會(huì)出現(xiàn)一個(gè)自定義配置的標(biāo)記。

4) 在虛擬機(jī)概況界面可以看到失陷狀態(tài)：已失陷；隔離狀態(tài)：已隔離。

5) 點(diǎn)擊虛機(jī)的防火墻頁(yè)面可以看到自動(dòng)生成的防火墻規(guī)則，阻止惡意流量進(jìn)一步攻擊。

2.8 網(wǎng)絡(luò)可視化及管理

防護(hù)系統(tǒng)網(wǎng)絡(luò)可視化及管理模塊支持識(shí)別、攔截一千多種流行的網(wǎng)絡(luò)協(xié)議，用戶可以根據(jù)需要設(shè)置不允許一些跟工作無(wú)關(guān)的網(wǎng)絡(luò)協(xié)議運(yùn)行，或者不允許占用太多網(wǎng)絡(luò)或者其他資源的網(wǎng)絡(luò)協(xié)議。

測(cè)試方法：禁止在測(cè)試主機(jī)中訪問購(gòu)物網(wǎng)站

1) 進(jìn)入管理中心 安全策略 > 安全配置頁(yè)面

2) 點(diǎn)擊“Linux安全配置”，進(jìn)入“網(wǎng)絡(luò)可視化及管理”的“上網(wǎng)行為管理”標(biāo)簽頁(yè)

3) 在左側(cè)的“選擇網(wǎng)絡(luò)協(xié)議”欄中選擇“商城/在線購(gòu)物”，點(diǎn)擊”阻止“按鈕，點(diǎn)擊保存

4) 在測(cè)試主機(jī)中訪問購(gòu)物網(wǎng)站，訪問失敗

5) 等一兩分鐘，管理中心能夠看到對(duì)應(yīng)應(yīng)用程序阻止的日志

2.9 入侵防御

功能描述：操作系統(tǒng)或應(yīng)用程序不能及時(shí)打補(bǔ)丁的虛擬機(jī)或者還沒有對(duì)應(yīng)的安全補(bǔ)丁，經(jīng)常會(huì)面臨病毒等惡意軟件的攻擊，但大量終端的補(bǔ)丁管理很難做到一步到位，并且新發(fā)布的補(bǔ)丁與業(yè)務(wù)系統(tǒng)的兼容性也需要驗(yàn)證的時(shí)間；防護(hù)系統(tǒng)的入侵防御模塊提供針對(duì)這種入侵進(jìn)行防御功能，避免惡意軟件的威脅；

漏洞介紹

ApacheStruts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在遠(yuǎn)程代碼執(zhí)行漏洞（CNNVD-201703-152 ，CVE-2017-5638）。該漏洞是由于上傳功能的異常處理函數(shù)沒有正確處理用戶輸入的錯(cuò)誤信息。導(dǎo)致遠(yuǎn)程攻擊者可通過發(fā)送惡意的數(shù)據(jù)包，利用該漏洞在受影響服務(wù)器上執(zhí)行任意命令。

環(huán)境準(zhǔn)備

1. 準(zhǔn)備好str045攻擊漏洞的war包, str.war

2. 準(zhǔn)備好攻擊腳本st2.py

被攻擊主機(jī)：

在被攻擊的linux主機(jī)中安裝jdk和tomcat

將st2.war文件放入tomcat的webapps目錄下

啟動(dòng)tomcat

使用瀏覽器訪問http://ip:8080/st2/index.action 其中ip為被攻擊的地址，如果出現(xiàn)welcome的字樣，表示被攻擊主機(jī)的漏洞環(huán)境部署成功

攻擊主機(jī)

將攻擊腳本st2.py拷貝至攻擊主機(jī)中

測(cè)試方法

1. 在管理中心添加并部署被攻擊主機(jī)

2. 確認(rèn)被攻擊主機(jī)的安全策略的有針對(duì)str045漏洞的入侵防御規(guī)則

3. 在攻擊主機(jī)中運(yùn)行st2.py，并輸入相關(guān)參數(shù)，讓攻擊主機(jī)獲取被攻擊主機(jī)的管理員權(quán)限，并執(zhí)行添加用戶的命令， 如下所示，攻擊失敗，日志顯示Connection reset by peer

4. 管理中心能夠看到入侵防御日志

好了，這篇文章的內(nèi)容發(fā)貨聯(lián)盟就和大家分享到這里，如果大家網(wǎng)絡(luò)推廣引流創(chuàng)業(yè)感興趣，可以添加微信：80709525  備注：發(fā)貨聯(lián)盟引流學(xué)習(xí)； 我拉你進(jìn)直播課程學(xué)習(xí)群，每周135晚上都是有實(shí)戰(zhàn)干貨的推廣引流技術(shù)課程免費(fèi)分享！