中神通大地云控系统内置WEB服务器,同时也包含防火墙、WAF、AV、HIDS、SSL、DNS、VPN等安全防护功能,使得中神通大地云控WEB服务器成为即插即用、自管自用的安全WEB服务器,针对WEB平台及安全防护建设可以做到一步到位。
一、特点比较
中神通大地云控安全WEB服务器与传统的前置WAF设备/服务+WEB服务器/BT面板架构相比,有以下的特点:
- 用于处于线下、专网、局域网、IPv4/IPv6、GRE/VPN网络中的WEB及安全防护服务,产品形态既可以是硬件设备也可以是独占/共享虚拟云服务器
- 已有CDN/WAF时,WEB服务器在非连接公网、其它网络内的防护
- 没有WAF设备或没有SaaS型云WAF服务的WEB防护
- 独立WEB服务器,防止SQL旁注
- CDN双保险,防止WEB服务器暴露了真实IP或CDN流量用光后导致的直接攻击
- 避免WAF设备串联、TCP反代导致的性能下降、延时增加、配置错误
- 应用层自动还原分块数据包,抵御各种特殊字符编码的畸形URL,杜绝Bypass 网络WAF
- 在gzip压缩数据之前,检查服务器反馈内容是否异常,网络WAF可能忽略或者需要实时解压才能看到数据
- 无需多余的硬件,节省机柜、电力资源
- 具备本地文件检测功能,可以使用AV防病毒功能实时保护本地文件系统,可以扫描识别本地WEBSHELL、后门木马文件,可以使用HIDS防被黑利用、防文件被篡改
- 集成SSL证书功能,免费申请、自动延期,无需上传公私钥文件到第三方WAF,减少攻击面,防止信息泄露,保护关键基础信息
- 集成智能权威DNS功能,分区智能解析,自主管理域名解析
- 集成VPN服务器、VPN路由器/客户端功能,用于非公众、单位内部的Intranet网络服务
- 本地日志留存,包括access、error和WAF日志,无需第三方日志服务器,每天打包压缩备份,可通过SSH在Shell里查询分析、聚合统计,避免影响WEB服务器性能
- 基于日志反馈的黑名单机制,自动与主机防火墙联动,在网络层阻拦恶意IP,防止其后续攻击
- 防范非针对性、广撒网式、被陷主机充当蠕虫bot的踩点扫描攻击,提高防御效率
自动屏蔽40x、50x错误的来源IP,自动屏蔽URL主机名是IP的来源IP
- 基于日志反馈的IP、ID、URL等白名单机制,避免误报导致的日志堆积、信息湮灭,进而导致WAF功能失效
二、功能简介
系统内置Apache、Nginx WEB服务器,具备PHP、Python、CGI、SQL等扩展接口,具备全面的WAF(WEB应用防火墙)、EDR(主机安全)安全防护功能,使得中神通大地云控WEB服务器成为即插即用、自管自用的安全WEB服务器(类似收费的Nginx Plus),有以下的功能:
- 默认安全的文件权限设置,文档根目录、子目录、文件均为只读,防止普通WEB用户创建、替换文件,防网页篡改、防数据泄露
- 提供用户名密码、RADIUS、SSL证书等用户认证方式,保护敏感数据
- 默认没有SQL服务器,防止SQL注入;或者通过数据库防火墙连接数据库
- 中性化服务特征,防止被SODAN、FOFA等网络扫描标记,防止0day风险牵连;安全的SSL等服务器配置,通过了绿盟、Nessus等扫描器的安全评估
- 提供一键申请SSL证书+虚拟主机功能,并能自动续期
- 提供IPv4、IPv6双栈网络防火墙功能,包括黑白名单来源IP及防暴力破解功能,以及基于规则的防DDoS、CC攻击设置
- 集成NAT端口转发功能,实现保护服务器、内网穿透、负载均衡、网络加速、故障转移、虚拟服务器等网络功能
- 集成VPN服务功能,为OA、ERP、Email等Intranet应用提供多客户端平台的远程安全接入;为互联网网站后台管理设置固定的ACL策略、WAF白名单;可将主页模块分散反代到各下级单位管理
- 基于The OWASP ModSecurity Core Rule Set (CRS) 规则的内置WAF
- 提供内置WAF、外置HTTPS WAF,确保不被入侵;系统定期扫描WAF、DNS日志,将可疑IP自动加入到黑名单来源IP列表中,彻底排除安全隐患,重启亦可快速生效
- 实际环境中,可以把启用了WAF功能的WEB服务器当作蜜罐Honeypot来使用,阻拦各种攻击IP,从而达到保护本机、本网络其它服务器的作用
- 提供防病毒-文件系统实时防护,确保服务器不被入侵、勒索、挂马、挖矿或沦为肉鸡
- 提供HIDS入侵检测+WEBSHELL扫描,确保服务器不被入侵、勒索、挂马、挖矿或沦为肉鸡
- 提供主机安全加固功能,包括OS自动升级——自动修复系统安全漏洞、系统审计、基线测试、漏洞检测、WEBSHELL检测、rootkit检测、弱口令检测等功能
- 提供SQL防火墙,连接SQL服务器,并审计过滤SQL命令
- 提供时间控制功能,贴合业务开展时间,确保业务可用性、可维护性
- 提供针对每个来源IP的总流量控制(每天xxG),防止网络资源被滥用、DDoS攻击、拖库等非法操作
- 提供集中监控、SNMP远程监控功能,确保业务可用性
三、内置应用
WEB服务器提供http和https、IPv4和IPv6 、标准端口和非标准端口WEB服务,并内置多种WEB应用:
- WEB在线代理(本地)
- WebDAV服务(本地)
- SSH/SFTP服务器用户上传的文件(本地)
- 文件展示、下载、管理(上传、删除)
- 源IP显示API(辅助DDNS)
- 主机信息探针
- 网络测速
- DDNS在线更新
- SFTP WEB客户端(本地)
- 管理员指定的URL(WAAP)
HTML跳转、302重定向、反向代理、带Cookie跨网单个元素在线代理、在线代理
- VPN服务器登录用户的虚拟IP(代理)
- PAC文件(本地)
- 主页(本地)
- WEB用户门户
URL代理映射/短URL有HTML跳转、302重定向、反向代理、带Cookie跨网单个元素在线代理、在线代理等多种形式,可启用用户认证,带用户自服务门户,可隐藏原始URL来源,利用Cookie模拟登录,不暴露用户名密码,保护API接口(WAAP),有固定映射或开口映射。配合VPN/SSH/IPv6客户端可以实现将内网、移动端等已有的WEB服务发布到互联网上;可以将在微博、微信、搜狐、头条、淘宝等第三方(半封闭)平台发表的文章统一用自己域名的URL发布,方便搜索引擎优化SEO;配合用户认证,可实现多个资源的单点登录功能;配合自动申请SSL证书的域名,可以为任意网站提供https(代理)服务。
WebDAV服务将VPS变成云存储同步网盘,是运行在https协议下的“网络邻居”,它不受ISP/GFW对139、445端口的封锁,不受SMB蠕虫病毒的袭扰,加密传输不需要VPN,有用户认证和日志,没有广告,没有内容审计,不会被和谐,容量、带宽自定义不受限,没有上传下载文件大小的限制,还可安装在内网或虚拟机中当作NAS使用。Windows、Linux、MacOS、安卓、iOS等多种OS下挂载远程目录到文件管理器,PotPlayer、VLC、静读等多个APP内置WebDAV功能,可以查找、创建、编辑、删除远程文件,不需要下载、上传,自动同步内容,可作为游戏等程序的存盘目录,方便共享,可以在浏览器等应用中保存文件到挂载的WebDAV目录中,自动成为网页发布。
SSH用户拥有本地限量磁盘空间,可以通过SFTP上传、下载文件(比传统的FTP方式安全),可以通过不同OS下的工具软件实现异地异构文件同步,可在内网使用;可以以盘符的形式安装到Windows及Linux文件系统中,方便文件操作。上传的文件作为WEB服务器的资源,可以通过域名或路径的方式发布,相当于虚拟主机。
更多介绍:
http://www.trustcomputing.com.cn/cn/index.php/product/dns-url
下载地址:
http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1174
[
本帖最后由 linda 于 2024-5-7 10:39 编辑 ]