安全狗：個人網(wǎng)站服務(wù)器防火墻軟件評測

個人站長是一個非常特別的群體，通常就是一個人對著一臺電腦，做一個站運營，網(wǎng)站的搭建、技術(shù)、內(nèi)容、推廣、廣告、安全等全是一個人負責(zé)，可以說是樣樣會，但未必樣樣都精通，其中最令人頭痛的一個問題可能是網(wǎng)站的安全問題。

如果做網(wǎng)站從沒碰到過網(wǎng)絡(luò)攻擊，那就根本不叫站長，中國的個人站長普遍都十分低調(diào)，這并非是站長們的傳統(tǒng)美德，而是被逼成這樣的，網(wǎng)站掛馬、盜域名、CC攻擊、DDOS攻擊等等，哪個站長攤上這事情，基本上都是仰天長嘆自認(rèn)倒霉，在專業(yè)的黑客面前，個人網(wǎng)站往往顯得不堪一擊。很多站長都面臨這樣一個困惑，做為一個非安全專業(yè)的站長，如何對付各種各樣的CC、DDOS等網(wǎng)絡(luò)攻擊和網(wǎng)站掛木馬病毒？最簡單的方法是安裝一個網(wǎng)站服務(wù)器防火墻軟件。

關(guān)于服務(wù)器防火墻軟件，目前市場上并不多，可以說只有非常有限的幾款，我自己的服務(wù)器往常也經(jīng)常被攻擊，因此我就試用了“安全狗”這個軟件來看看其防護效果。

“安全狗”這個軟件有“服務(wù)器安全狗”和“網(wǎng)站安全狗”兩個版本，分別接管服務(wù)器的安全以及WEB網(wǎng)站的安全。

服務(wù)器安全狗

“服務(wù)器安全狗”安裝完成后，感覺界面和360安全衛(wèi)士非常像，操作風(fēng)格也很像，用過各類“安全衛(wèi)士”的用戶都很容易入手，和桌面電腦一樣，服務(wù)器安全管理也都集成到“體檢”這個向?qū)Чδ芾�，通過一鍵掃描服務(wù)器的種種安全漏洞，快速地進行優(yōu)化設(shè)置。

點擊服務(wù)器體檢，就可以全面檢測服務(wù)器的安全狀況，給出服務(wù)器的評分，在體檢結(jié)果里，選擇一鍵修復(fù)，就可以快速修復(fù)安全漏洞，不過，服務(wù)器的安全設(shè)置比桌面電腦要復(fù)雜的多，通常一鍵修復(fù)并不能像桌面電腦那樣自動修復(fù)所有問題，大部分問題還需要手動修復(fù)。

圖1：服務(wù)器體檢

我這里測試看到，大部分操作系統(tǒng)補丁可以自動修復(fù)，一些端口的安全策略和服務(wù)的安全配置都需要手動修復(fù)，其實這些修復(fù)原本我也整理過，我曾經(jīng)也寫過一個長長的教程來說明服務(wù)器配置的過程，通常就是修改注冊表、配置某些系統(tǒng)參數(shù)等等，沒有說明文檔根本記不下來，而服務(wù)器安全狗這個軟件將眾多配置過程都集中在一個軟件設(shè)置中，使得配置修改變得容易多了。

在網(wǎng)絡(luò)防火墻選項中，可以開啟DDOS、ARP、CC等防火墻，早期國內(nèi)機房大多管理混亂，機房內(nèi)各種ARP攻擊層出不窮，現(xiàn)在機房內(nèi)的ARP倒是很鮮見了，外部的DDOS和CC卻越來越多了，相信眾多站長都受過這方面的苦。

我以前防止CC攻擊的主要方法是通過程序來過濾CC攻擊者的IP，然后禁用，這個方法要有一定的編程技術(shù)，而且不能實時預(yù)防，有較大的缺陷，為了測試這個軟件的防CC攻擊，我自己部署了一套CC攻擊系統(tǒng)，通過微軟的壓力測試工具Microsoft Web Application Stress Tool來模擬大量連接攻擊我的網(wǎng)站，我設(shè)置了10個線程共100個連接來大量攻擊某個網(wǎng)址，開始攻擊不到一分鐘，我發(fā)現(xiàn)無法訪問我網(wǎng)站了，PING也不通，遠程也連接不上，莫非我網(wǎng)站宕機？換了一個IP訪問，發(fā)現(xiàn)可以正常訪問，原來網(wǎng)站上的防火墻已經(jīng)實時將我這個攻擊IP給屏蔽了，10分鐘內(nèi)這個IP對網(wǎng)站所有端口的訪問都無效。

換了一個IP，遠程登錄服務(wù)器查看防火墻的“防護日志”，發(fā)現(xiàn)攻擊開始不就后防火墻就將診斷出DDOS和CC攻擊，并進行了攔截。

不過，CC攻擊的攔截又是會將短時間內(nèi)大量訪問的IP視為攻擊，我查看日志發(fā)現(xiàn)很多訪問HTML文件的IP被攔截為CC攻擊，而根據(jù)一般常識，攻擊者通常不會以HTML文件為CC攻擊對象，因此我懷疑可能是有人大量采集我網(wǎng)站內(nèi)容，短時間內(nèi)大量訪問，被防火墻標(biāo)記為CC攻擊從而攔截，不過這種誤判也不算壞事。

對于啟用CDN的網(wǎng)站來說，需要將CDN的IP加入白名單，并且不要要CDN緩存動態(tài)頁面，否則的話后果會很嚴(yán)重。

網(wǎng)站安全狗

網(wǎng)站安全狗是針對IIS或Apache等網(wǎng)站服務(wù)的防火墻，其界面也和360安全衛(wèi)士類似，一進來是網(wǎng)馬查殺的功能，我對我的網(wǎng)站掃描了一遍，發(fā)現(xiàn)誤判情況比較嚴(yán)重，掃描出900多個網(wǎng)頁掛馬的情況，而我打開所謂“掛馬”的頁面看，實際上只是有一些網(wǎng)頁部件腳本而已，看來這種掃描方式不太靠譜。

圖2：網(wǎng)馬掃描

比較引起我興趣的是“主動防御”功能，目前黑客對于網(wǎng)站的攻擊通常使用漏洞掃描軟件批量對各個IP地址段進行掃描，網(wǎng)站安全狗則收集了很多已知的網(wǎng)站漏洞和SQL注入漏洞進行防御，還可以禁用服務(wù)器上的危險組件，對于CC攻擊也有一定的防御功能，從防火墻的后臺日志可以看到，每天都有大量的攻擊者提供各個漏洞和SQL注入等方式進行攻擊，雖然我網(wǎng)站本身并沒有這些漏洞，但是防火墻先將這些攻擊攔截，可以做到“雙保險”。

服云

服云（服務(wù)器安全管理云）通過帳號將安裝在客戶端的“服務(wù)器安全狗”和“網(wǎng)站安全狗”進行關(guān)聯(lián)，讓站長可以在網(wǎng)站上查看各個服務(wù)器的安全狀況，并執(zhí)行某些關(guān)鍵操作，例如重啟服務(wù)器，關(guān)閉或啟動IIS服務(wù)等。

如果只有一個網(wǎng)站，我覺得用這個服務(wù)的風(fēng)險可能比收益還大，因為攻擊者可以轉(zhuǎn)而攻擊服云這個網(wǎng)站，一旦站長服云帳號被攻擊者獲取，攻擊者無需服務(wù)器管理帳號，即可遠程重啟服務(wù)器或關(guān)閉重要服務(wù)，這反而給站長帶來另一種風(fēng)險。

我覺得服云比較適合大量服務(wù)器的管理。一個站長如果擁有大量服務(wù)器，那么每天登錄服務(wù)器管理會耗費大量時間精力，通過這個管理平臺，可以批量對服務(wù)器進行安全管理，包括服務(wù)器體檢、遠程重啟、關(guān)鍵服務(wù)重啟等操作，告警通知會列出各個服務(wù)器出現(xiàn)的異常情況，對于大量服務(wù)器的管理十分方便。

服云可以從網(wǎng)頁端、客戶端和手機端訪問，網(wǎng)頁端使用最簡單，下面我就著重介紹一下PC客戶端和手機端。

客戶端服云

個人站長的大部分時間都在電腦旁，安裝一個客戶端軟件來隨時了解服務(wù)器的情況也是最方便的，PC客戶端服云就是一個類似QQ的客戶端軟件。

圖3：客戶端服云

安裝完成之后，服務(wù)器的告警信息都會推送到站長的電腦上。用戶可以設(shè)置1分鐘或5分鐘提醒，還可以設(shè)置是托盤圖標(biāo)閃爍還是彈窗提醒。通常對于一個流量較大的網(wǎng)站來說，告警信息的數(shù)量還是非常大的，每條告警信息都看完是有難度的，建議用戶可以按照消息量的大小來選擇接收“一般告警”、“緊急告警”和“嚴(yán)重告警”，否則不斷的告警信息刷屏還是很煩人的。

圖4：客戶端服云彈窗報警

我安裝使用后發(fā)現(xiàn)，攔阻最多的是大量的“不常見的HTTP請求”，包括使用OPTIONS請求、COOK請求等，另外就是一些黑客利用WEB應(yīng)用漏洞進行攻擊的報警信息，這些信息實際上都不用處理，防火墻已經(jīng)自動幫忙過濾了，站長只要關(guān)注服務(wù)器的運行以及資源狀況即可，如有異常情況，站長可以通過客戶端來遠程重啟服務(wù)器、遠程重啟WEB服務(wù)等。

圖5：黑客攻擊報警信息

手機端服云

個人站長也是人，也需要外出旅游放松一下，那么，在外出旅游的過程中，服務(wù)器怎么管理？我以前曾經(jīng)遇到這種情況，就是在九寨溝旅游的時候，機房打電話要求刪除服務(wù)器上一個文件，害得我在手機上折騰了半天，旅游回來后我還自己寫了一個程序來實現(xiàn)遠程文件刪除功能，以免以后再遇到類似情況。

圖6：手機端服云

當(dāng)然，手機版服云無法實現(xiàn)遠程文件刪除，但能實現(xiàn)另外幾個有用的功能：遠程監(jiān)控服務(wù)器運行狀況、遠程重啟服務(wù)器、遠程重啟WEB服務(wù)等，也算有些用處。

圖7：手機端遠程監(jiān)控

遺憾的是目前手機端只有Android版，iPhone版和網(wǎng)頁觸屏版還沒有出，因此使用非Android手機的用戶還要再等一等。

云備份

云備份功能用于將用戶網(wǎng)站內(nèi)容備份到安全狗服務(wù)器上，不過免費用戶容量只有1G，對于免費用戶來說聊勝于無，還不如使用類似Dropbox這樣的同步盤應(yīng)用來備份網(wǎng)站，因為我的網(wǎng)站容量遠遠大于1G，而且考慮到網(wǎng)站內(nèi)容外泄帶來的風(fēng)險可能更大，因此這個服務(wù)我就沒有試用了。

總結(jié)

總的看來，這是一個專門針對個人網(wǎng)站的防火墻軟件，使用這個服務(wù)器防火墻的優(yōu)點是，可以減輕非安全專業(yè)人員管理服務(wù)器的難度，甚至讓一個網(wǎng)絡(luò)新手可以同時管理幾臺服務(wù)器的安全，對于普通的網(wǎng)站漏洞以及輕量級的CC、DDOS攻擊都能進行攔截和防御。但缺點也是非常明顯的，攻擊者可能轉(zhuǎn)而攻擊這個服務(wù)器安全防護軟件，從這個軟件或防火墻網(wǎng)站的漏洞來入侵用戶網(wǎng)站，而安全軟件本身是否有后門也不得而知，對于幾乎接管了整個服務(wù)器和網(wǎng)站全部接口的安全軟件來說，其是否會未經(jīng)授權(quán)而修改網(wǎng)站或服務(wù)器內(nèi)容也是一大風(fēng)險。

服云防火墻帳號和密碼也會成為黑客的攻擊目標(biāo)，對于個人站長來說，不要對外公布自己的帳號名，不要使用常用的郵箱注冊帳號，密碼使用8位以上字幕數(shù)字字符混合的強密碼，不要和其他網(wǎng)站密碼相同，對于軟件開發(fā)商來說，應(yīng)該盡快部署“二步驗證”登錄機制，啟用手機一次性密碼，這樣黑客攻擊帳號的難度就加大了很多。