文档中心 > 御城河

御城河之“应用保护”

更新时间:2015/09/18 访问次数:68527

应用保护介绍

   一种常见的对Web应用攻击的方式,是尝试通过Web应用里各种数据上传接口往Web应用里注入恶意代码(如WebShell脚本),进而获得对主机的控制权,盗取传出数据。如果一个Web应用对其所有数据上传接口都做好防攻击处理,Web容器也没有安全漏洞,这类攻击是可以防范的。然而,随着功能不断增多,Web应用都越来越复杂,存在安全漏洞的概率极高;Web应用如果使用了第三方插件,安全性更难保证;此外,Web容器本身也很难完全没有漏洞。鉴于此,御城河提供了应用保护功能,可以严格控制Web应用对主机的文件读写能力,被保护的Web应用只能往指定目录写指定扩展名的文件,让恶意代码难落磁盘;还限制Web应用对外网访问的能力,让应用只能向指定的IP地址发起了连接,这使得恶意脚本即使注入了也难以外传数据。

 

使用Web应用保护前的注意事项:

a) 当对一台ECS使用应用保护后,80、443、8080端口的Web应用自动会被保护起来

b)由于严格限定了应用程序的行为(只能往指定目录写指定扩展名的文件、只能往指定IP发起连接),建议在生产环境中使用应用保护前,严格测试您的Web应用程序,特别是对其对会写哪些目录、会访问哪些IP地址要有详尽的了解,然后将这些信息添加到应用保护配置里,否则您的Web应用可能会被过保护而导致部分功能不可用。

使用应用保护

您需要先创建一个应用保护配置,然后把它应用到多台ECS的应用程序上。

 

添加应用保护配置

在“应用保护”页面,点击 选项卡, 然后点击右方的 。在弹出的窗口中添加一个应用保护配置:

l   为配置命名

   为当前的应用保护配置取一个名字。

l   选择要保护的应用

   目前您只能选择使用80、443或8080端口的Web应用。

l   操作系统类型

   您需要指定应用运行的ECS的操作系统类型是Windows还是Linux。

l   应用可写入的目录和文件扩展名

   在此处列出被保护的应用可以写哪些目录、能写如的文件扩展名是什么。注意:目录需要写全路径;多个扩展名用分号分开。

  注意:如果此选项不作任何配置,则表示被保护的应用不写文件。

 

保护您ECS上的应用

在“应用保护”页面,点击 选项卡,切换到使用应用保护的页面,点击 ,然后在弹出的窗口里配置。

l   选择一个应用保护配置

   您需要先选择一个应用保护配置。在选择框下,会显示被选择的配置详情。如果您没有创建任何应用保护配置,请先创建一个。

l   应用该配置到ECS

   请选择要保护的ECS。注意:目前只能保护运行Windows的ECS,对Linux ECS的保护敬请期待。

 

FAQ

关于此文档暂时还没有FAQ
返回
顶部