系統安全是業務安全穩定運行的重要因素之一,隨著網絡安全對抗的愈演愈烈,規模化的自動化攻擊、蠕蟲、勒索、挖礦、APT等攻擊形式逐漸增多,給系統的安全運行帶來了很大的挑戰。本文介紹云防火墻如何防御系統入侵。
默認安裝的系統存在以下安全威脅,易導致系統被入侵:
系統配置不合理
端口開放不當:開放不必要的服務和應用,增加攻擊面。
弱口令:易遭受暴力破解,造成系統被入侵。
策略配置:系統安全策略弱或未配置安全策略。
系統漏洞或補丁缺失
命令執行漏洞:任意命令執行,導致系統被入侵。
拒絕服務漏洞:系統拒絕服務,造成業務中斷。
信息泄露漏洞:數據泄露。
代表案例:Samba遠程代碼執行
Samba是運行于Linux和Unix系統中實現SMB協議的軟件,可以實現不同計算機之間提供文件及打印機等資源的共享服務。
Samba服務器軟件存在遠程執行代碼漏洞。攻擊者可以利用客戶端將指定庫文件上傳到具有可寫權限的共享目錄,會導致服務器加載并執行指定的庫文件。
CVE:CVE-2017-7494。
漏洞影響范圍:
安裝Samba軟件的Linux或Unix系統。
Samba版本:4.6.4、4.5.10、4.4.14。
漏洞主要危害:
命令執行:通過遠程代碼執行,造成服務器的淪陷和信息泄露。
業務中斷:存在利用此漏洞進行傳播的蠕蟲SambaCry,成功感染后會進行挖礦,大量占用服務器計算資源,從而可能導致服務不可用或正常業務的中斷。
典型案例:SMB遠程代碼執行
SMB Server是Windows操作系統中默認安裝的一個服務器協議組件。Windows SMB中存在遠程代碼執行漏洞,遠程攻擊者可通過發送特制的數據包至SMBv1服務器利用該漏洞執行代碼。
CVE:CVE-2017-0143。
漏洞影響范圍:
Microsoft Windows Server 2016。
Microsoft Windows server 2012 Gold。
Microsoft Windows Server 2012 R2。
Microsoft Windows Server 2008 R2 SP1。
Microsoft Windows Server 2008 SP2。
主要危害:
命令執行:通過遠程代碼執行,造成服務器的淪陷和信息泄露。
數據丟失:存在利用此漏洞進行傳播的蠕蟲,如WannaCry,成功感染后會加密文件并造成信息泄露。
阿里云云防火墻如何防御系統入侵
阿里云安全在系統漏洞攻防實戰中進行了長期的跟蹤和研究,積累了大量的攻防經驗,并轉化為防御規則,有力提升了云防火墻對系統安全的防御能力。
云防火墻對系統面臨的所有風險進行多點防御,保障系統的正常運行。
暴力破解:云防火墻提供威脅情報入侵防御,可感知全網攻擊態勢,提前阻斷掃描和入侵行為。
系統漏洞:云防火墻提供系統漏洞入侵防御,對操作系統的高危漏洞進行重點防御。
其他攻擊:云防火墻提供基礎規則防御,對其他類型系統攻擊,如Shell反彈和系統文件泄露等提供檢測和實時阻斷。
操作步驟
登錄云防火墻控制臺。
在左側導航欄,選擇。
在IPS配置頁面的威脅引擎運行模式區域選擇攔截模式。
在IPS配置頁面的基礎防御區域中單擊開啟基礎規則。
在防護配置頁面的虛擬補丁區域中單擊開啟補丁。
