• 0x0 WHY-服务器所面临的威胁
• 0x1 HOW-下一代防火墙如何对服务器安全进行防护
  • 0x1.1 DDOS攻击原理以及防御方式
  • 0x1.2 IPS入侵检测系统以及防御技术
  • 0x1.3 WEB应用攻击检测与防御
  • 0x1.4 文件防篡改
• 0x2 WHAT-服务器收到什么样的保护

0x0 WHY-服务器所面临的威胁

不必要的访问、端口扫描、DDOS攻击、系统漏洞、WEB应用安全、弱口令、网站被篡改

0x1 HOW-下一代防火墙如何对服务器安全进行防护

0x1.1 DDOS攻击原理以及防御方式

DDOS攻击是分布式服拒绝服务攻击，黑客通过控制大量的肉鸡对服务器发起大量的无意义垃圾报文，占用服务器资源、占用服务器带宽、破坏服务器的可用性

• DOS攻击分类
  1. 占用带宽型：ICMP\UPD\DNS 洪水攻击；
     • 目的：占用服务器的带宽，堵塞线路从而导致服务器无法提供正常服务
  2. 消耗资源型：SYN 洪水攻击；
     • 思路：发送大量的SYN为1的TCP握手报文，使服务器一直处于半连接的状态，消耗服务器资源；
     • 目的：占用服务器带宽、消耗服务器的资源
  3. 畸形报文攻击（不常用）：死亡之PING；例如ping -l 10000000
     • 思路：发送服务器无法正常处理的报文，消耗服务器大量资源来处理报文
     • 目的：消耗服务器资源、使服务器宕机
  4. C&C攻击：由黑客组建的僵尸网络对服务器进行DDOS攻击
  5. 慢速攻击：慢速的C&C攻击，每次攻击时间间隔较长
     
• SYN攻击原理以及防御方式

1. 通过SYN代理对SYN洪涝攻击进行防御
   • 思路：当客户需要向服务器建立SYN握手时，优先和防火墙进行握手
2. 设置每目的IP丢包阈值：当某个IP的SYN请求速率超过设定值，触发SYN代理；设置每目的IP丢包阈值：超过设定值，不开启代理，直接丢包

0x1.2 IPS入侵检测系统以及防御技术

IPS：入侵防御系统，可以对网络、系统的运行状态进行监控尽可能发现攻击企图、攻击行为或者攻击结果并且阻止 IDS：入侵检测系统，可以对网络、系统的运行状态进行监视，并记录日志

• 面对威胁的解决方式
  1. 针对蠕虫病毒：检测出蠕虫的扫描、传播
  • 思路：阻止主机发送大量的ARP包，阻止主机发送被禁止的数据
    1. 针对网络设备、服务器漏洞
  • 思路：阻止内网主机被入侵后发送Shellcode
    1. 针对暴力破解
  • 思路：一段时间收到了大量的登录，阻止用户登录，验证码，手机令牌
• IPS的防御原理:通过对应用层里的数据进行威胁特征检测，并用IPS规则库进行比对，如果匹配就拒绝拒绝

0x1.3 WEB应用攻击检测与防御

WFA：web应用防护，用于保护web应用不受攻击

• 防御思路：过滤掉存在存在恶意行为的报文和存在恶意代码的文件

0x1.4 文件防篡改

一般指防止web页面被篡改

• 防御思路
  1. 文件监控系统：通过在服务器上部署文件监控软件、监控并且阻止非管理员用户进行操作
  2. 二次认证：管理员需要修改网页时，需要输入管理员的邮箱验证码、手机验证码进行二次认证

0x2 WHAT-服务器收到什么样的保护

部署了下一代防火墙后，服务器可以避免大量的风险