御城河
应用保护介绍
一种常见的对Web应用攻击的方式,是尝试通过Web应用里各种数据上传接口往Web应用里注入恶意代码(如WebShell脚本),进而获得对主机的控制权,盗取传出数据。如果一个Web应用对其所有数据上传接口都做好防攻击处理,Web容器也没有安全漏洞,这类攻击是可以防范的。然而,随着功能不断增多,Web应用都越来越复杂,存在安全漏洞的概率极高;Web应用如果使用了第三方插件,安全性更难保证;此外,Web容器本身也很难完全没有漏洞。鉴于此,御城河提供了应用保护功能,可以严格控制Web应用对主机的文件读写能力,被保护的Web应用只能往指定目录写指定扩展名的文件,让恶意代码难落磁盘;还限制Web应用对外网访问的能力,让应用只能向指定的IP地址发起了连接,这使得恶意脚本即使注入了也难以外传数据。
使用Web应用保护前的注意事项:
a) 当对一台ECS使用应用保护后,80、443、8080端口的Web应用自动会被保护起来
b)由于严格限定了应用程序的行为(只能往指定目录写指定扩展名的文件、只能往指定IP发起连接),建议在生产环境中使用应用保护前,严格测试您的Web应用程序,特别是对其对会写哪些目录、会访问哪些IP地址要有详尽的了解,然后将这些信息添加到应用保护配置里,否则您的Web应用可能会被过保护而导致部分功能不可用。
使用应用保护
您需要先创建一个应用保护配置,然后把它应用到多台ECS的应用程序上。
添加应用保护配置
在“应用保护”页面,点击
选项卡, 然后点击右方的
。在弹出的窗口中添加一个应用保护配置:
l 为配置命名
为当前的应用保护配置取一个名字。
l 选择要保护的应用
目前您只能选择使用80、443或8080端口的Web应用。
l 操作系统类型
您需要指定应用运行的ECS的操作系统类型是Windows还是Linux。
l 应用可写入的目录和文件扩展名
在此处列出被保护的应用可以写哪些目录、能写如的文件扩展名是什么。注意:目录需要写全路径;多个扩展名用分号分开。
注意:如果此选项不作任何配置,则表示被保护的应用不写文件。
保护您ECS上的应用
在“应用保护”页面,点击
选项卡,切换到使用应用保护的页面,点击
,然后在弹出的窗口里配置。
l 选择一个应用保护配置
您需要先选择一个应用保护配置。在选择框下,会显示被选择的配置详情。如果您没有创建任何应用保护配置,请先创建一个。
l 应用该配置到ECS
请选择要保护的ECS。注意:目前只能保护运行Windows的ECS,对Linux ECS的保护敬请期待。