شرح التكوين التفصيلي لمجموعة Tencent Yun'an: كيفية فتح المنفذ بشكل صحيح ورفض الفحص الضار

قام العديد من الأصدقاء الذين اتصلوا للتو بـ Tencent Cloud بمطابقة البيئة بسعادة ، ولكن لم يتم فتح الموقع ، وبعد التحقق من السبب لفترة طويلة ، وجدوا أخيرًا أنهم عالقون في "مجموعة الأمان" دون فتح منفذ. أو على العكس ، من أجل توفير المتاعب ، تم فتحه مباشرة في فريق الأمن

0.0.0.0/0

(من خلال التشغيل الكامل) ، بعد تشغيل الخادم لمدة ثلاثة أيام ، اعتبره المتسللون دجاج التسمين ، وحتى واجهوا برامج فدية.

مجموعة الأمان ، بصراحة ، إنها واحدة من Tencent Cloud التي تمنحك مجانًا

جدار الحماية الافتراضي

. لقد أنشأت مستوى خارج الخادم لتحديد حركة المرور التي يمكن أن تأتي وأي حركة يمكن أن تخرج.

اليوم لا علاقة لنظرية الشبكة المعقدة. سنبدأ من القتال الفعلي ونتحدث عن كيفية فتح منافذ الأعمال بشكل صحيح وإغلاق البرامج النصية الضارة التي تفحص خادمك كل يوم.

المرحلة الأولى: المنطق الأساسي لمجموعة الأمان

قبل التدريب العملي على التكوين ، يجب أن تفهم نظرية الموت الأساسية ، وإلا فسوف تخطأ:

1. "الدخول" و "الخروج"

قواعد الدخول (Inbound): الأشخاص في الخارج يزوروك. على سبيل المثال ، يقوم المستخدم بزيارة موقع الويب الخاص بك (منفذ 80/443) ، أو يمكنك استخدام SSH للاتصال بالخادم (منفذ 22). 99 ٪ من تكوين مجموعة الأمان في قواعد المحطة.

قواعد الخروج: الخادم يزور الخارج. على سبيل المثال ، يحتاج الخادم الخاص بك إلى تنزيل تحديثات النظام والاتصال بواجهة برمجة تطبيقات WeChat Pay. قواعد الخروج الافتراضية لمجموعة Tencent Cloud Security Group هي التشغيل الكامل ، فقط احتفظ بها افتراضيًا ، لا تحريكها ، وإلا فإن الخادم نفسه سيكون في حالة "انقطاع".

2. تتم مطابقة القواعد "من أعلى إلى أسفل"

قواعد مجموعة الأمان لها أولوية (كلما زاد عدد الصفوف ، زادت الأولوية). عندما تأتي حركة المرور ، ستبدأ من القاعدة الأولى ، وبمجرد مواجهتها ، سيتم تنفيذها على الفور (السماح أو الرفض) ،

توقف عن النظر للأسفل

.

طرق على السبورة: إذا كانت قاعدتك الأولى هي "رفض جميع حركة المرور" ، والثانية هي "السماح بمنافذ 80" ، فلن تتمكن منافذ 80 أبدًا من الدخول. تذكر دائمًا وضع القواعد الدقيقة والمسمح بها ، ووضع القواعد العريضة والمرفوضة.

المرحلة الثانية: مجموعة أمان مزودة بـ "جدار نحاسي وجدار حديدي"

الآن تسجيل الدخول الخاص بك

وحدة التحكم السحابية Tencent

، يذهب البحث إلى "مجموعة الأمان". انقر فوق "جديد" ، واختر "مخصص" للنموذج ، ويبدأ الاسم

مواصفات أمان عالية لخادم الويب

.

انقر فوق "قواعد الدخول"-> "إضافة قواعد" ، لنبني خط الدفاع في واحدة تلو الأخرى:

1. يجب فتح منافذ الأعمال العامة (مرئية للبشرية جمعاء)

إذا تم استخدام الخادم الخاص بك لتشغيل الموقع ، يجب أن يكون كلا المنافذ مفتوحة دون قيد أو شرط للعالم:

HTTP(80 منفذ): المصدر: 0.0.0.0/0 (يمثل أي IP في العالم) منفذ البروتوكول: TCP:80 سياسة: السماح

HTTPS (منفذ 443): المصدر: 0.0.0.0/0 منفذ البروتوكول: TCP:443 الإستراتيجية: السماح

2. منفذ بوابة الحياة: منفذ الإدارة عن بعد (رفض الركض عارياً)

تعد منافذ Linux 22 (SSH) ومنفذ Windows 3389 (سطح المكتب البعيد) من أكثر المناطق تضررًا من عمليات المسح الضارة من قبل المتسللين.

بالتأكيد ، لا تكن على حق

0.0.0.0/0

افتح كلا المنافذ.

طريقة تخصيص الأمان العالي (IP الثابت): إذا كان النطاق العريض في منزلك أو كان لدى الشركة عنوان IP عام ثابت ، فاملأ عنوان IP الثابت الخاص بك مباشرةً في "المصدر" (على سبيل المثال ، 220.181.111.85). بهذه الطريقة ، لا أحد في العالم سوى أنت يريد الاتصال بهذا الخادم.

طريقة التجميع التوفيقي (قسم IP): إذا كان عنوان IP ديناميكيًا ، فسوف يتغير في كل مرة يتم فيها إعادة تشغيل جهاز التوجيه. يمكنك ملء قسم IP الخاص بالمشغل في مدينتك (مثل 220.181.0.0/16) لتقليل احتمالية المسح.

طريقة مطابقة كسولة ولكن آمنة (تغيير المنفذ الافتراضي): إذا كان يجب فتح الشبكة بالكامل ، فلا تستخدم 22 الافتراضي. انتقل إلى نظام الخادم لتغيير منفذ SSH إلى منفذ عشوائي عالي المستوى مثل 59222 ، ثم افتح TCP:59222 في مجموعة الأمان. عادةً ما تقوم البرامج النصية للمسح الأعمى للقراصنة بمسح 22 منفذًا فقط ، ويمكن أن يساعدك تغيير المنفذ على منع 99 ٪ من عمليات الفحص بدون دماغ.

3. قاعدة البيانات ومنافذ البرامج الوسيطة (يجب عزل الإنترانت)

مثل MySQL(3306) ، Redis(6379) ، MongoDB(27017) ، هذه هي الأصول الأساسية الخاصة بك.

القانون الحديدي: لا تفتح أبدًا منفذ قاعدة البيانات للشبكة بأكملها (0.0.0.0/0) في مجموعة الأمان!

كيفية الوصول ؟: إذا كان خادم الواجهة الأمامية وخادم قاعدة البيانات في نفس المنطقة تحت نفس حساب Tencent Cloud ، يرجى ملء عنوان IP للخادم الأمامي (على سبيل المثال ، 10.0.0.5) للمصدر. إذا كنت ترغب فقط في إلقاء نظرة على البيانات من حين لآخر ، فيرجى استخدام نفق SSH لإعادة توجيهه ، أو قم بإيقاف تشغيل قواعد مجموعة الأمان فور استخدامها.

المرحلة الثالثة: أخذ زمام المبادرة للهجوم ، ورفض المسح الخبيث وحماية العدو خارج البلاد

كيف كان الهاكر يراقبك ؟ يستخدمون أدوات المسح الآلي للشبكة بالكامل (مثل ZMap و Masscan). إذا استجاب الخادم الخاص بك لأي اكتشاف ، فسيتم إدراجه في "قائمة الانتظار".

1. الدفاع النهائي: قواعد الرفض

بعد السماح لجميع المنافذ (80 ، 443 ، منفذ SSH المعدل) التي تحتاج إلى فتحها ، في نهاية قائمة القواعد ، أضف واحدة:

المصدر: 0.0.0.0/0

منفذ البروتوكول: ALL

الاستراتيجية: الرفض

هذا يشكل استراتيجية أمنية "الرفض الافتراضي" الشهيرة:

سيتم قتل جميع الأشخاص غير المدرجين في قائمتي البيضاء.

2. حظر ICMP (حظر بينغ)

الخطوة الأولى للعديد من المتسللين للعثور على أهدافهم هي

بينغ

IP الخاص بك ، ومعرفة ما إذا كان الجهاز قيد التشغيل.

يمكنك إضافة قاعدة: بروتوكول اختيار ICMP ، المصدر 0.0.0.0/0 ، اختيار السياسة رفض.

هكذا شخص آخر p

سيظهر الخادم الخاص بك مهلة ، متظاهرًا بأن الخادم الخاص بك غير موجود ، وإقناع بعض الماسحات الضوئية الأولية مباشرة.

المرحلة الرابعة: التحقق من الصحة والارتباط بعد التكوين

تم مطابقة قواعد مجموعة الأمان ، ولا تنس الخطوة الأكثر أهمية:

مثيلات الربط

.

في صفحة تفاصيل مجموعة الأمان ، انتقل إلى علامة التبويب "المثيل المرتبط" ، وانقر فوق "الارتباط" ، وحدد الخادم السحابي. إذا لم تكن ذات صلة ، فإن القاعدة التي قمت بتجهيبها للتو هي حبر على ورق.

كيف تتحقق من أنك تستحق ذلك ؟

اختبار الأعمال: استخدم شبكة 4G/5G للهاتف المحمول (محاكاة البيئة الخارجية) لزيارة موقع الويب الخاص بك ، ويمكنك فتح التعليمات 80/443 لا توجد مشكلة.

اعتراض الاختبار: إذا لم تقم بتشغيل منفذ قاعدة البيانات ، فحاول استخدام أدوات قاعدة البيانات المحلية (مثل Navicat) لتوصيل المنفذ 3306 من عنوان IP العام للخادم مباشرة. إذا تم عرض مهلة الاتصال (بدلاً من رفض الاتصال) ، فهذا يعني أن مجموعة الأمان قد نجحت في تجاهل الطلب بصمت (Drop) ، وقد وصل تأثير مكافحة السرقة والمسح الضوئي إلى التوقعات.

الخلاصة

جوهر فريق الأمن هو "الخروج".

لا يتم فتح المنافذ التي لا يمكن فتحها بحزم ، ويتم فتح الشبكة التي يمكن أن تحد من الوصول إلى IP بحزم. أخيرًا ، يتم استخدام قاعدة رفض كاملة.

طالما أنك تتمسك بهذا المبدأ ، فإن البرامج النصية الممسوحة ضوئيًا الخبيثة وأحصنة طروادة الآلية التي تتجول على الشبكة العامة لا توجد طريقة لأخذ الخادم الخاص بك.