Penjelasan konfigurasi terperinci Kumpulan Keselamatan Awan Tencent: Cara membuka port dengan betul dan menolak imbasan jahat
Ramai rakan yang baru sahaja berhubung dengan Tencent Cloud dengan senang hati menyesuaikan persekitaran, tetapi laman web tidak dapat dibuka. Setelah memeriksa alasannya untuk waktu yang lama, mereka akhirnya mendapati bahawa mereka terjebak dalam "kumpulan keselamatan" dan tidak membuka port. Atau sebaliknya, untuk menyelamatkan masalah, buka terus dalam kumpulan keselamatan
0.0.0.0/0
(Semua pelepasan), pelayan digunakan sebagai broiler perlombongan oleh penggodam dalam masa tiga hari, dan bahkan menemui ransomware.
Pasukan keselamatan, secara terang-terangan, ini adalah hadiah percuma dari Tencent Cloud
Firewall maya
。 Ini menetapkan tahap di luar pelayan untuk menentukan lalu lintas mana yang dapat masuk dan lalu lintas mana yang dapat keluar.
Hari ini tidak membincangkan teori rangkaian yang rumit. Bermula dari pertempuran sebenar, kami akan membincangkan cara membuka pelabuhan perniagaan dengan betul dan menyekat skrip jahat yang mengimbas pelayan anda setiap hari.
Peringkat pertama: logik asas teras kumpulan keselamatan
Sebelum konfigurasi langsung, anda mesti memahami dua prinsip utama kematian, jika tidak, anda pasti akan salah:
1. "Masuk" dan "Keluar"
Inbound: Orang luar melawat anda. Contohnya, pengguna mengunjungi laman web anda (port 80/443), atau anda menggunakan SSH untuk menyambung ke pelayan (port 22). 99% konfigurasi kumpulan keselamatan ditugaskan ke peraturan stesen.
Peraturan Keluar: Akses pelayan di luar. Contohnya, pelayan anda perlu memuat turun kemas kini sistem dan memanggil API pembayaran WeChat. Peraturan keluar lalai dari Tencent Cloud Security Group adalah untuk melepaskan sepenuhnya, simpan lalai, jangan bergerak, jika tidak, pelayan itu sendiri akan berada dalam keadaan "terputus".
2. Peraturan dipadankan "dari atas ke bawah"
Peraturan kumpulan keselamatan diutamakan (semakin tinggi bilangan baris, semakin tinggi keutamaannya). Apabila lalu lintas masuk, ia akan bermula dari peraturan pertama. Setelah betul, ia akan dilaksanakan dengan segera (dibenarkan atau ditolak),
Tidak lagi melihat ke bawah
。
Ketuk papan hitam: Sekiranya peraturan pertama anda adalah "Tolak semua lalu lintas" dan yang kedua adalah "Benarkan 80 port", maka 80 port tidak akan pernah masuk. Sentiasa ingat, letakkan peraturan yang tepat dan dibenarkan, dan letakkan peraturan yang luas dan ditolak.
Tahap kedua: konfigurasikan kumpulan keselamatan dengan "dinding tembaga dan dinding besi"
Log masuk ke anda sekarang
Konsol Awan Tencent
, Cari dan masukkan "kumpulan keselamatan". Klik "Baru", pilih "Custom" untuk templat, dan namakan
Spesifikasi keselamatan tinggi untuk pelayan web
。
Klik "Peraturan Masuk"-> "Peraturan Tambah", mari kita buat garis pertahanan satu persatu:
1. Pelabuhan perniagaan awam yang mesti dibuka (dapat dilihat oleh semua manusia)
Sekiranya pelayan anda digunakan untuk menjalankan laman web, kedua-dua port ini mesti dibuka tanpa syarat kepada dunia:
HTTP(80 Port): Sumber: 0.0.0.0/0 (mewakili mana-mana IP di seluruh dunia) Protokol Port: TCP:80 Dasar: Dibenarkan
HTTPS(443 Port): Sumber: 0.0.0.0/0 Port Protokol: TCP:443 Dasar: Dibenarkan
2. Pelabuhan Mingmen: Pelabuhan pengurusan jarak jauh (enggan berlari telanjang)
Port Linux 22 (SSH) dan port Windows 3389 (Desktop Jauh) adalah kawasan yang paling teruk dilanda pengimbasan jahat oleh penggodam.
Sama sekali, jangan betul
0.0.0.0/0
Buka kedua-dua pelabuhan.
Kaedah keselamatan tinggi (IP tetap): Sekiranya jalur lebar atau syarikat anda mempunyai IP rangkaian awam tetap, isikan IP tetap anda secara langsung di "sumber" (contohnya, 220.181.111.85). Dengan cara ini, tidak ada seorang pun di dunia yang mahu menyambung ke pelayan ini kecuali anda.
Kaedah kompromi (segmen IP): Sekiranya ia adalah IP dinamik, ia akan berubah setiap kali penghala dimulakan semula. Anda boleh mengisi segmen IP operator di bandar anda (seperti 220.181.0.0/16) untuk mengurangkan kebarangkalian diimbas.
Lazy tetapi kaedah yang selamat (ubah port lalai): Sekiranya anda mesti membuka seluruh rangkaian, jangan gunakan 22 lalai. Dalam sistem pelayan, ubah port SSH ke port rawak tinggi seperti 59222, dan kemudian buka TCP:59222 dalam kumpulan keselamatan. Skrip imbasan buta penggodam biasanya hanya mengimbas 22 port, dan menukar port dapat membantu anda menyekat 99% imbasan tanpa otak.
3. Pangkalan data dan port middleware (mesti diasingkan dari intranet)
Seperti MySQL(3306), Redis(6379), MongoDB(27017), ini adalah aset utama anda.
Peraturan besi: Jangan sekali-kali membuka port pangkalan data ke seluruh rangkaian (0.0.0.0/0) dalam kumpulan keselamatan!
Bagaimana untuk melawat?: Sekiranya pelayan front-end dan pelayan pangkalan data anda berada di akaun Tencent Cloud yang sama di kawasan yang sama, sila isi IP intranet pelayan front-end (misalnya, 10.0.0.5). Sekiranya anda kadang-kadang ingin melihat data, sila gunakan Terowong SSH (Tunnel) untuk meneruskan, atau segera matikan peraturan kumpulan keselamatan ketika anda menggunakannya, dan matikan ketika anda menggunakannya.
Tahap ketiga: mengambil inisiatif untuk menyerang, menolak imbasan jahat dan mempertahankan musuh dari luar negara
Bagaimana penggodam melihat anda? Mereka menggunakan alat pengimbasan automatik untuk seluruh rangkaian (seperti ZMap, Masscan). Sekiranya pelayan anda bertindak balas terhadap sebarang pengesanan, anda akan dimasukkan ke dalam "senarai yang akan retak" mereka.
1. Pertahanan utama: menolak peraturan
Apabila anda membenarkan semua port yang perlu dibuka (80, 443, port SSH yang diubah) di atas, tambahkan item di akhir senarai peraturan:
Sumber: 0.0.0.0/0
Port Protokol: SEMUA
Strategi: Menolak
Ini membentuk strategi keselamatan "penolakan lalai" yang terkenal:
Mereka yang tidak berada dalam senarai putih saya akan dipukul hingga mati.
2. Melumpuhkan ICMP (Larangan Ping)
Langkah pertama bagi banyak penggodam untuk mencari sasaran adalah
Ping
IP anda, lihat jika mesin dihidupkan.
Anda boleh menambah peraturan: protokol memilih ICMP, sumber 0.0.0.0/0, pilihan dasar menolak.
Jadi orang lain akan
Ing pelayan anda akan memaparkan tamat masa, berpura-pura pelayan anda tidak ada, dan secara langsung memujuk beberapa pengimbas utama.
Tahap keempat: pengesahan dan perkaitan selepas konfigurasi
Peraturan kumpulan keselamatan sudah siap, jangan lupa langkah yang paling penting:
Contoh mengikat
。
Di halaman perincian kumpulan keselamatan, beralih ke tab "contoh persatuan", klik "persatuan", dan periksa pelayan awan anda. Sekiranya tidak berkaitan, peraturan yang baru anda berikan adalah surat mati.
Bagaimana untuk mengesahkan sama ada anda layak?
Perniagaan ujian: Gunakan rangkaian 4G/5G telefon bimbit (mensimulasikan persekitaran luaran) untuk mengakses laman web anda, dan anda boleh membukanya untuk menunjukkan bahawa 80/443 tidak ada masalah.
Pemantauan ujian: Apabila anda tidak meletakkan port pangkalan data, cuba gunakan alat pangkalan data tempatan (seperti Navicat) untuk menyambung secara langsung ke port 3306 IP rangkaian awam pelayan. Sekiranya paparan sambungan tamat (dan bukannya menolak sambungan), ini bermaksud bahawa pasukan keselamatan telah berjaya membuang permintaan secara senyap (Drop), dan kesan anti-pencurian dan anti-imbasan telah mencapai jangkaan.
Ringkasan
Inti dari kumpulan keselamatan adalah "melepaskan diri".
Sama sekali tidak membuka port yang tidak dapat dibuka, dan yang dapat menyekat akses IP tidak terbuka sepenuhnya, dan akhirnya menggunakan peraturan penolakan penuh untuk menutup garis bawah.
Selagi anda mematuhi prinsip ini, skrip imbasan jahat dan Trojan automatik yang berkeliaran di rangkaian awam tidak akan dapat menggunakan pelayan anda.
