HVV技战法 | 反向代理与网络安全：通过暴露面收敛构建坚固防线

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

2023年X月X日，中***公司迎来了网络安全防护的重大升级。在信息化时代，保护互联网资产免受网络攻击变得尤为重要。通过技术手段和策略的不断优化，我们成功地将外网暴露的端口数量从600多个骤减至30多个，大大提升了网络防御能力。

一、技战法概述

通过反向代理技术，我们有效收缩了互联网资产暴露面。以前，中***省分公司的网络有600多个端口暴露在外网，包括WEB应用、视频流端口以及其他常见应用端口。通过整改和反向代理的架设，暴露的端口数量骤减至30多个。同时，在反向代理上增加了基于规则过滤的数据处理链，能够识别和阻断大部分常见攻击行为。

在攻击检测阶段，我们引入了态势感知平台，对网络攻击全过程进行基于行为的关联识别。这不仅为攻击阻断提供了有力线索，还为后期溯源提供了工具。

二、技战法谋略

基于著名的洛克希德·马丁“杀伤链”模型，网络攻击分为六个阶段：侦察跟踪、武器构建、载荷投递、漏洞利用、安装植入、命令与控制以及目标达成。我们在每个阶段设置相应的防守策略和反制措施，力求避免正面交锋，减少损失。

在侦察跟踪阶段，我们采用反向代理技术减少暴露面，屏蔽攻击方的信息收集途径，实现反侦察目的。具体措施包括：

1. 泛域名解析：为生产域名设置泛域名解析，造成互联网资产测绘平台收集到的大量站点信息，干扰攻击者。

2. 多重身份验证：大部分应用系统采用账号、密码及验证码的多重身份验证，提升攻击难度。

3. 错误信息隐藏：通过配置反向代理重定向错误页面，隐藏服务器信息，减少信息泄露。

4. 蜜罐部署：在正常站点中隐藏蜜罐，暴露攻击者身份，便于后续溯源反制。

通过这些措施，真正能够到达管理后端的攻击行为大为减少，目前大多为易识别的爆破、扫描等攻击行为。

三、场景说明

在重保防护准备中，我们以反向代理为主线配置暴露面收缩，主要用于攻击前期的反侦察过程中，减少攻击者能收集到的信息。辅以VPN、堡垒机等手段，进一步提升访问的可信程度。同时，配合蜜罐、WAF等发现收集者信息并进行反制。态势感知平台通过全流量关联分析，准确识别攻击行为，帮助防守方进行阻断。

四、实践与成效

信息收集阶段的防范主要用于避免与攻击者正面交锋，成效评估以定性为主。从防守成果来看，能够收集足够信息并突破边界防御的攻击并不多。态势感知平台对主要接口数据的全流量关联分析，能够准确识别攻击方法、攻击源、攻击时间及尝试的漏洞。在近一周的监测中，我们成功发现了5181个攻击源、19个攻击目标、18.2万次攻击行为，主要攻击手段为弱口令爆破、web漏洞攻击、目录遍历、未授权访问和主机漏洞攻击。

通过这次防护升级，我们不仅提升了网络安全防护水平，也为未来的网络安全防护积累了宝贵经验。未来，我们将继续探索更多先进技术和策略，构建更加坚固的网络防线。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：HVV技战法 | 反向代理与网络安全：通过暴露面收敛构建坚固防线