دوستان و همراهان عزیز ، سرور اختصاصی مترجم فراز نتورک راه اندازی شد ، با توجه به api تخصصی خریداری شده برای سرور ، یه ترجمه حرفه ای تولید کرده و در اختیار شما بزرگواران قرار می دهیم
021-66416682
info@faraznetwork.ir
ورود | ثبت‌نام
دانلود کتاب آموزشی کانفیگ ایمونیفای 360 | Immunify360 جلد اول

دانلود کتاب آموزشی کانفیگ ایمونیفای 360 | Immunify360 جلد اول

دسته‌بندی: برچسب: تاریخ به روز رسانی: 31 خرداد 1405 تعداد بازدید: 500 بازدید
ویژگی های محصول: پشتیبانی ایتا پشتیبانی بله پشتیبانی تلگرام

۳۰۰,۰۰۰تومان

torobpay
هر قسط با ترب‌پی: ۷۵,۰۰۰تومان
۴ قسط ماهانه. بدون سود، چک و ضامن.
snapppay
هر قسط با اسنپ‌پی: ۷۵,۰۰۰تومان
۴ قسط ماهانه. بدون سود، چک و ضامن.

برای آموزش جامع کانفیگ (پیکربندی) Immunify360، که یک راه‌حل امنیتی برای وب‌سایت‌ها و سرورها است، به ویژه در جهت جلوگیری از حملات و آسیب‌های امنیتی، می‌توان سر فصل‌هایی را به شرح زیر در نظر گرفت:

بخش 1. معرفی Immunify360

 

فصل 1. مقدمه‌ای بر امنیت سرورها و وب‌سایت‌ها

  • تهدیدات رایج برای سرورها و وب‌سایت‌ها
  • اهمیت استفاده از فایروال و ابزارهای امنیتی
  • تفاوت بین امنیت نرم‌افزار و امنیت شبکه

فصل 2. Immunify360 چیست؟

  • معرفی کلی Immunify360
  • اهداف و مزایای استفاده از آن
  • تفاوت آن با راهکارهای امنیتی مشابه

فصل 3. ویژگی‌های کلیدی Immunify360

  • Web Application Firewall (WAF) و محافظت در برابر حملات SQL Injection و XSS
  • Malware Scanner برای شناسایی و حذف بدافزارها
  • Intrusion Detection and Prevention System (IDS/IPS) برای شناسایی و جلوگیری از حملات
  • Reputation Management برای بررسی لیست سیاه (Blacklist) دامنه‌ها
  • Proactive Defense برای شناسایی و جلوگیری از اجرای کدهای مخرب
  • Patch Management برای بررسی و مدیریت به‌روزرسانی‌های امنیتی سیستم

فصل 4. مقایسه Immunify360 با دیگر راه‌حل‌های امنیتی

  • مقایسه با ModSecurity و CSF (ConfigServer Security & Firewall)
  • تفاوت آن با Malware Scanners مانند ClamAV و Maldet
  • مزایای Immunify360 نسبت به فایروال‌های سنتی

فصل 5. محیط‌های پشتیبانی شده و سازگاری

  • سیستم‌های کنترل پنل پشتیبانی شده مانند cPanel، Plesk، DirectAdmin
  • توزیع‌های لینوکس سازگار مانند CloudLinux، CentOS، AlmaLinux، Ubuntu
  • نیازمندی‌های سخت‌افزاری و نرم‌افزاری برای اجرای بهینه

فصل 6. مدل‌های لایسنس و پلن‌های مختلف Immunify360

  • نسخه رایگان در مقابل نسخه پولی
  • بررسی هزینه‌ها و امکانات در هر نسخه
  • نحوه دریافت و فعال‌سازی لایسنس

فصل 7. چرا Immunify360 را انتخاب کنیم؟

  • امنیت یکپارچه برای سرورهای اشتراکی و اختصاصی
  • تشخیص و مقابله با حملات در لحظه
  • کاهش بار امنیتی روی مدیران سرور و اتوماسیون وظایف امنیتی

بخش 2. نصب و راه‌اندازی Immunify360

 

فصل 1. پیش‌نیازهای سیستم و سرور

  • بررسی نسخه‌های سیستم‌عامل‌های سازگار با Immunify360 (مانند CentOS، CloudLinux، AlmaLinux و Ubuntu)
  • بررسی میزان منابع سخت‌افزاری مورد نیاز (RAM، CPU، فضای دیسک)
  • نیازمندی‌های پیش‌نیاز نرم‌افزاری (مانند Python، Perl و بسته‌های موردنیاز)
  • پورت‌های موردنیاز در فایروال سرور برای عملکرد صحیح Immunify360

فصل 2. دانلود و نصب Immunify360

  • روش‌های مختلف دریافت و نصب Immunify360
  • نصب بر روی cPanel
  • نصب بر روی Plesk
  • نصب بر روی DirectAdmin
  • نصب روی سرورهای لینوکس بدون کنترل پنل

فصل 3. فعال‌سازی و اعتبارسنجی لایسنس

  • بررسی لایسنس‌های موجود و تفاوت نسخه‌های رایگان و پولی
  • نحوه فعال‌سازی لایسنس از طریق CLI
  • نحوه بررسی وضعیت لایسنس و تمدید آن

فصل 4. تنظیمات اولیه پس از نصب

  • بررسی وضعیت سرویس‌ها و فعال‌سازی ابزارهای امنیتی
  • تنظیمات اولیه برای فایروال وب (WAF)
  • فعال‌سازی و پیکربندی اسکن بدافزار
  • تنظیمات اولیه برای نظارت بر ورودهای غیرمجاز و حملات

فصل 5. بررسی عملکرد و عیب‌یابی اولیه پس از نصب

  • نحوه بررسی وضعیت نصب و اجرای صحیح سرویس‌ها
  • تست اتصال به سرور مرکزی Immunify360
  • رفع مشکلات رایج هنگام نصب و اجرا
  • بررسی لاگ‌های مربوط به نصب و عملکرد Immunify360

بخش 3. کانفیگ و تنظیمات پایه

 

فصل 1. تنظیمات اولیه پیکربندی

  • نحوه دسترسی به پنل مدیریتی Immunify360 در cPanel، Plesk و DirectAdmin
  • تنظیمات کلی امنیتی و بهینه‌سازی پیش‌فرض‌ها
  • بررسی و فعال‌سازی ماژول‌های امنیتی موردنیاز

فصل 2. تنظیمات اسکن بدافزار و ویروس‌ها

  • تنظیم سطوح مختلف اسکن (سریع، کامل و سفارشی)
  • نحوه زمان‌بندی اسکن‌های خودکار
  • تعریف استثناها برای فایل‌های خاص (whitelist)
  • تنظیمات مربوط به قرنطینه و حذف فایل‌های آلوده

فصل 3. تنظیمات فایروال (WAF) برای مقابله با حملات رایج

  • فعال‌سازی WAF برای جلوگیری از SQL Injection، XSS، CSRF
  • تنظیمات قوانین امنیتی سفارشی برای WAF
  • تعریف و مدیریت لیست‌های سفید (whitelist) و سیاه (blacklist)
  • نحوه تنظیم سطح حساسیت فایروال

فصل 4. پیکربندی چک‌های امنیتی و مانیتورینگ

  • فعال‌سازی و سفارشی‌سازی Security Check
  • تنظیم هشدارهای امنیتی و اعلان‌های ایمیلی
  • نحوه نظارت بر فرآیندهای مشکوک در سرور

بخش 4. بررسی و پیکربندی Anti-Virus و Anti-Malware

 

فصل 1. مقدمه‌ای بر سیستم Anti-Virus و Anti-Malware در Immunify360

  • نقش Anti-Virus و Anti-Malware در امنیت سرور
  • تفاوت بین اسکن‌های امنیتی بلادرنگ (Real-time) و دستی (On-Demand)
  • معرفی روش‌های قرنطینه و حذف بدافزارها

فصل 2. نحوه اسکن ویروس‌ها و بدافزارها

  • اجرای اسکن دستی برای بررسی فایل‌های سرور
  • تنظیم اسکن خودکار و زمان‌بندی آن
  • مشاهده و مدیریت نتایج اسکن

فصل 3. پیکربندی تنظیمات اسکن و قرنطینه

  • تعیین سطح حساسیت اسکن بدافزار (Aggressive، Normal، Permissive)
  • نحوه قرنطینه و حذف خودکار فایل‌های مخرب
  • استثنا کردن برخی مسیرها و فایل‌ها از اسکن
  • مدیریت لیست سفید (Whitelist) و لیست سیاه (Blacklist)

فصل 4. به‌روزرسانی پایگاه داده ویروس‌ها

  • نحوه بررسی و بروزرسانی پایگاه داده ویروس‌ها
  • تنظیم به‌روزرسانی خودکار برای بهینه‌سازی تشخیص تهدیدات جدید
  • مشاهده تاریخچه به‌روزرسانی‌ها و نسخه پایگاه داده

فصل 5. بررسی و مدیریت گزارش‌های امنیتی

  • نحوه مشاهده گزارش‌های اسکن ویروس و بدافزار
  • تحلیل و شناسایی فایل‌های آلوده بر اساس گزارش‌ها
  • ارسال گزارش‌ها به ایمیل مدیران سرور

فصل 6. پاکسازی و رفع آلودگی سرور از بدافزارها

  • حذف دستی یا خودکار بدافزارهای شناسایی‌شده
  • بازیابی فایل‌های قرنطینه‌شده (Restore)
  • حذف دائمی فایل‌های آلوده برای جلوگیری از آلودگی مجدد

فصل 7. استفاده از اسکنر‌های خارجی در کنار Immunify360

  • بررسی امکان ترکیب Immunify360 با ClamAV
  • نحوه اجرای اسکن‌های مکمل برای بهبود امنیت

فصل 8. بهینه‌سازی عملکرد اسکن و کاهش مصرف منابع

  • جلوگیری از کند شدن سرور هنگام اجرای اسکن‌های سنگین
  • زمان‌بندی مناسب برای اجرای اسکن‌ها
  • تنظیم محدودیت‌های پردازشی برای جلوگیری از استفاده بیش از حد از CPU و RAM

فصل 9. رفع مشکلات رایج در اسکن و قرنطینه بدافزارها

  • مشکل False Positive و نحوه مدیریت آن
  • جلوگیری از قرنطینه اشتباه فایل‌های سالم
  • بررسی مشکلات عدم شناسایی برخی بدافزارها و راهکارهای رفع آن

بخش 5. پیکربندی WAF (Web Application Firewall)

 

فصل 1. معرفی و اهمیت WAF در Immunify360

  • تعریف Web Application Firewall (WAF)
  • نقش WAF در جلوگیری از حملات تحت وب
  • تفاوت WAF و سایر روش‌های امنیتی مانند IPS و IDS
  • نحوه عملکرد WAF در Immunify360

فصل 2. نحوه فعال‌سازی و مدیریت WAF در Immunify360

  • بررسی وضعیت فعلی WAF و فعال بودن آن
  • فعال‌سازی WAF از طریق رابط گرافیکی (GUI) در cPanel، Plesk و DirectAdmin
  • فعال‌سازی و مدیریت WAF از طریق دستورات خط فرمان (CLI)
  • بررسی و تأیید عملکرد WAF بعد از فعال‌سازی

فصل 3. بررسی و تنظیم قوانین پیش‌فرض WAF

  • بررسی لیست قوانین (Rulesets) پیش‌فرض WAF
  • نحوه‌ی فعال و غیرفعال کردن قوانین خاص
  • تغییر سطح سخت‌گیری (Strictness Level) در تنظیمات WAF
  • تنظیم قوانین WAF بر اساس نوع حمله (مانند جلوگیری از SQL Injection و XSS)

فصل 4. ایجاد و تنظیم قوانین سفارشی در WAF

  • نحوه تعریف و اضافه کردن قوانین امنیتی سفارشی
  • بلاک کردن IPهای مشکوک و جلوگیری از دسترسی‌های غیرمجاز
  • تنظیم Rate Limiting برای کنترل درخواست‌های مخرب
  • استفاده از WhiteList و BlackList در WAF

فصل 5. بررسی و مدیریت لاگ‌های WAF

  • مشاهده لاگ‌های مربوط به حملات مسدود شده
  • نحوه استخراج و تجزیه‌وتحلیل گزارش‌ها از طریق GUI و CLI
  • بررسی Real-Time Logs برای مانیتورینگ لحظه‌ای حملات
  • مدیریت و اعمال تغییرات براساس تحلیل لاگ‌ها

فصل 6. بهینه‌سازی WAF برای کاهش False Positive (تشخیص اشتباه حمله)

  • نحوه شناسایی و جلوگیری از بلاک شدن اشتباه درخواست‌های مجاز
  • راه‌های کاهش False Positive بدون کاهش امنیت
  • افزودن استثناها (Exceptions) برای درخواست‌های مجاز
  • نحوه بهینه‌سازی تنظیمات WAF برای وب‌سایت‌های وردپرسی و CMSهای دیگر

فصل 7. ادغام WAF با ModSecurity و سایر ابزارهای امنیتی

  • نقش ModSecurity در تکمیل عملکرد WAF
  • نحوه‌ی ادغام WAF Immunify360 با ModSecurity
  • استفاده از تنظیمات Advanced Rules در ترکیب با ModSecurity
  • بررسی تفاوت‌های WAF داخلی Immunify360 و WAF ارائه‌شده توسط ModSecurity

فصل 8. بررسی حملات رایج و نحوه مقابله با آن‌ها از طریق WAF

  • SQL Injection: نحوه تشخیص و جلوگیری از حملات SQL Injection
  • XSS (Cross-Site Scripting): تنظیمات WAF برای جلوگیری از حملات XSS
  • DDoS Attacks: نحوه کاهش تأثیر حملات DDoS با استفاده از WAF
  • Brute Force Attacks: تنظیمات WAF برای جلوگیری از حملات حدس رمز عبور
  • File Upload Exploits: بررسی و جلوگیری از بارگذاری فایل‌های مخرب

فصل 9. انجام تست امنیتی پس از پیکربندی WAF

  • بررسی عملکرد WAF با ابزارهای تست نفوذ
  • اجرای Security Audit برای اطمینان از عملکرد صحیح WAF
  • استفاده از Penetration Testing Tools برای شبیه‌سازی حملات و بررسی کارایی WAF

فصل 10. نگهداری و به‌روزرسانی تنظیمات WAF

  • نحوه بروزرسانی قوانین امنیتی WAF
  • فعال‌سازی بروزرسانی‌های خودکار برای حفاظت از تهدیدات جدید
  • بررسی مشکلات رایج در پیکربندی WAF و روش‌های رفع آنها
[cdb_course_lessons title=”بخش 1. معرفی Immunify360″][cdb_course_lesson title=”فصل 1. مقدمه‌ای بر امنیت سرورها و وب‌سایت‌ها”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تهدیدات رایج برای سرورها و وب‌سایت‌ها” subtitle=”توضیحات کامل”]امنیت سرورها و وب‌سایت‌ها یکی از حیاتی‌ترین بخش‌های زیرساخت IT هر سازمان یا کسب‌وکار آنلاین است. تهدیداتی که این سیستم‌ها را هدف قرار می‌دهند، می‌توانند منجر به افشای اطلاعات حساس، از کار افتادن سرویس، دسترسی غیرمجاز، و حتی باج‌گیری سایبری شوند. در ادامه به مهم‌ترین تهدیدات و نحوه مقابله عملی با آن‌ها پرداخته می‌شود.

تهدید ۱: حملات Brute-force

توضیح:

در این نوع حملات، مهاجم با استفاده از اسکریپت‌های خودکار، هزاران ترکیب نام کاربری و رمز عبور را تست می‌کند تا به سیستم دسترسی پیدا کند.

اقدامات عملی برای مقابله:
  • فعال‌سازی محدودیت تعداد لاگین
  • استفاده از فایروال سطح اپلیکیشن یا WAF
  • فعال‌سازی fail2ban یا CSF برای بلاک خودکار IP
مسیر پیکربندی:
/etc/fail2ban/jail.local
دستور نصب fail2ban روی سرورهای Debian/Ubuntu:
sudo apt update
sudo apt install fail2ban
فعال‌سازی حفاظت از SSH:
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 3600

تهدید ۲: حملات DDoS (Distributed Denial of Service)

توضیح:

در این نوع حملات، سرور یا وب‌سایت با حجم زیادی از درخواست‌های مخرب اشباع می‌شود که باعث اختلال یا از کار افتادن سرویس می‌شود.

اقدامات عملی برای مقابله:
  • استفاده از CDN مانند Cloudflare
  • نصب فایروال پیشرفته مانند CSF یا iptables
  • محدودسازی تعداد اتصالات به پورت‌ها
مسیر پیکربندی CSF:
/etc/csf/csf.conf
دستور نصب CSF در CentOS/RHEL:
cd /usr/src
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh
محدودسازی اتصالات ورودی:
CONNLIMIT = "80;50,443;50"

تهدید ۳: حملات تزریق SQL (SQL Injection)

توضیح:

در این حملات، مهاجم از طریق فرم‌ها یا پارامترهای URL سعی می‌کند دستورات SQL مخرب را وارد کند تا به داده‌های پایگاه داده دسترسی پیدا کند.

اقدامات عملی:
  • استفاده از ORM در سمت بک‌اند
  • اعتبارسنجی و پاکسازی ورودی‌ها
  • استفاده از WAF برای جلوگیری از تزریق
تنظیم WAF (ModSecurity) روی Apache:
مسیر پیکربندی:
/etc/modsecurity/modsecurity.conf
نصب ModSecurity:
sudo apt install libapache2-mod-security2
sudo a2enmod security2
sudo systemctl restart apache2
فعال‌سازی حالت سخت‌گیرانه:
SecRuleEngine On

تهدید ۴: آسیب‌پذیری نرم‌افزارهای قدیمی

توضیح:

نرم‌افزارها و سرویس‌های قدیمی روی سرور ممکن است دارای باگ‌ها یا آسیب‌پذیری‌های امنیتی باشند که مهاجم بتواند از آن‌ها سوء‌استفاده کند.

اقدامات عملی:
  • بررسی منظم آپدیت‌ها
  • استفاده از ابزار unattended-upgrades برای بروزرسانی خودکار
مسیر تنظیمات بروزرسانی خودکار:
/etc/apt/apt.conf.d/50unattended-upgrades
نصب در Debian/Ubuntu:
sudo apt install unattended-upgrades
sudo dpkg-reconfigure unattended-upgrades

تهدید ۵: دسترسی‌های غیرمجاز از طریق FTP یا SSH

توضیح:

دسترسی به سرور از طریق پروتکل‌های ناامن مانند FTP یا تنظیمات نادرست SSH می‌تواند مهاجمان را قادر به نفوذ کند.

اقدامات:
  • غیرفعال‌سازی لاگین با رمز عبور در SSH و استفاده از کلید
  • غیرفعال‌سازی پروتکل FTP و استفاده از SFTP
مسیر پیکربندی SSH:
/etc/ssh/sshd_config
نمونه تنظیمات ایمن SSH:
PermitRootLogin no
PasswordAuthentication no
Port 2222
ریستارت سرویس SSH:
sudo systemctl restart ssh

تهدید ۶: آسیب‌پذیری‌های Cross-Site Scripting (XSS)

توضیح:

در این حمله، اسکریپت‌های مخرب در صفحات وب بارگذاری می‌شوند که ممکن است باعث دزدیده‌شدن کوکی‌ها یا هدایت کاربر به صفحات فیشینگ شود.

اقدامات:
  • پاک‌سازی ورودی کاربران در فرم‌ها
  • فعال‌سازی Content Security Policy (CSP)
  • استفاده از کتابخانه‌هایی مانند DOMPurify در سمت کلاینت
مثال فعال‌سازی CSP در Nginx:
مسیر پیکربندی:
/etc/nginx/sites-available/default

add_header Content-Security-Policy "default-src 'self'; script-src 'self';";
ریستارت Nginx:
sudo systemctl restart nginx

جمع‌بندی

تهدیدات سایبری برای سرورها و وب‌سایت‌ها به شکل مستمر در حال افزایش و تکامل هستند. شناخت دقیق این تهدیدات و اجرای اقدامات عملیاتی برای جلوگیری از آن‌ها، لازمه امنیت زیرساخت‌های دیجیتال است. مواردی مانند حملات brute-force، DDoS، تزریق SQL، آسیب‌پذیری نرم‌افزارها، و سوءاستفاده از دسترسی‌ها، جزو رایج‌ترین تهدیدات هستند که باید با استفاده از ابزارهایی مانند fail2ban، CSF، ModSecurity، و تنظیمات دقیق سرویس‌ها با آن‌ها مقابله کرد. رعایت این موارد امنیتی در کنار نظارت مداوم، کلید حفظ امنیت سیستم‌های تحت مدیریت است.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”اهمیت استفاده از فایروال و ابزارهای امنیتی” subtitle=”توضیحات کامل”]فایروال‌ها و ابزارهای امنیتی بخش غیرقابل‌جایگزینی از امنیت شبکه و سرورها هستند. آن‌ها نقش سدی دفاعی را بازی می‌کنند که ترافیک ورودی و خروجی را کنترل کرده و از نفوذهای احتمالی جلوگیری می‌کنند. استفاده صحیح از این ابزارها می‌تواند جلوی بسیاری از تهدیدات سایبری مانند حملات DDoS، اسکن پورت، حملات brute-force و تزریق‌های خطرناک را بگیرد.

در این بخش به بررسی انواع فایروال‌ها، نحوه پیکربندی آن‌ها، ابزارهای امنیتی تکمیلی و موارد استفاده عملی آن‌ها می‌پردازیم.

فایروال چیست و چرا استفاده از آن ضروری است؟

فایروال‌ها به‌عنوان یک لایه امنیتی بین شبکه داخلی و دنیای بیرون عمل می‌کنند و بر اساس قوانین تعریف‌شده، ترافیک را اجازه عبور می‌دهند یا مسدود می‌کنند. بدون فایروال، سرور شما به‌راحتی در معرض انواع حملات قرار می‌گیرد.

انواع فایروال‌ها

فایروال‌های نرم‌افزاری:

نصب‌شده روی سیستم‌عامل و قابل پیکربندی از طریق دستورهای CLI یا رابط گرافیکی.

فایروال‌های سخت‌افزاری:

دستگاه‌های فیزیکی جداگانه برای سازمان‌های بزرگ با قابلیت‌های پیشرفته.

فایروال‌های مبتنی بر میزبان (Host-based):

مثلاً iptables، ufw یا firewalld برای لینوکس.

فایروال‌های تحت شبکه (Network-based):

برای کنترل ترافیک بین شبکه‌ها، مثل فایروال‌های edge.

نصب و پیکربندی فایروال UFW در Ubuntu/Debian

مسیر تنظیمات:
/etc/ufw/ufw.conf
فعال‌سازی و تنظیمات پایه:
sudo apt install ufw
sudo ufw enable
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw status verbose

پیکربندی iptables برای کنترل دقیق‌تر

مسیر ذخیره قوانین:
/etc/iptables/rules.v4
تنظیمات نمونه:
sudo iptables -P INPUT DROP
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
sudo iptables-save > /etc/iptables/rules.v4

استفاده از فایروال CSF (ConfigServer Security & Firewall)

CSF یکی از محبوب‌ترین فایروال‌های نرم‌افزاری لینوکس است که دارای قابلیت‌هایی همچون تشخیص ورود ناموفق، بلاک IP، بررسی پورت‌های باز، و مانیتورینگ لاگ‌ها است.

مسیر پیکربندی:
/etc/csf/csf.conf
نصب CSF:
cd /usr/src
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh
تنظیم محدودیت تعداد اتصال:
CONNLIMIT = "80;30,443;30"
بلاک‌کردن IP خاص:
csf -d 192.168.1.100 "blocked due to suspicious activity"

ابزارهای امنیتی تکمیلی برای فایروال‌ها

fail2ban:

برای بلاک‌کردن IPهایی که تلاش ناموفق مکرر در لاگین دارند.

مسیر پیکربندی:
/etc/fail2ban/jail.local
فعال‌سازی روی SSH:
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 1h
rkhunter:

برای شناسایی rootkit و بک‌دورهای نصب‌شده روی سیستم.

نصب و اسکن:
sudo apt install rkhunter
sudo rkhunter --update
sudo rkhunter --check
chkrootkit:

برای شناسایی rootkit در سرورهای لینوکسی.

نصب و استفاده:
sudo apt install chkrootkit
sudo chkrootkit

استفاده از فایروال اپلیکیشنی (WAF) مانند ModSecurity

مسیر پیکربندی:
/etc/modsecurity/modsecurity.conf
نصب و فعال‌سازی در Apache:
sudo apt install libapache2-mod-security2
sudo a2enmod security2
sudo systemctl restart apache2
فعال‌سازی حالت محافظتی:
SecRuleEngine On

مانیتورینگ و تست امنیتی

استفاده از ابزارهایی مانند Lynis، OpenVAS و Nessus برای بررسی امنیت سیستم و تطابق با best practiceهای امنیتی پیشنهاد می‌شود.

نصب Lynis:
sudo apt install lynis
sudo lynis audit system

جمع‌بندی

استفاده از فایروال‌ها و ابزارهای امنیتی، نخستین و مؤثرترین لایه دفاعی در برابر تهدیدات سایبری است. بدون این لایه محافظتی، حتی قوی‌ترین سرویس‌ها هم در معرض نفوذ قرار دارند. ابزارهایی مانند UFW، iptables، CSF، fail2ban، ModSecurity و ابزارهای اسکن مانند rkhunter و lynis، مجموعه‌ای کامل برای محافظت از سرورها و وب‌سایت‌ها را فراهم می‌کنند. پیکربندی درست، به‌روزرسانی مداوم، و مانیتورینگ پیوسته، پایه‌گذار یک ساختار امنیتی پایدار خواهند بود.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تفاوت بین امنیت نرم‌افزار و امنیت شبکه” subtitle=”توضیحات کامل”]امنیت نرم‌افزار و امنیت شبکه دو حوزه‌ی کلیدی در دنیای فناوری اطلاعات هستند که اگرچه با هم در تعامل‌اند، اما اهداف، ابزارها و پیاده‌سازی‌های متفاوتی دارند. درک تفاوت بین این دو حوزه برای ایجاد یک ساختار دفاعی جامع و پایدار ضروری است.

امنیت نرم‌افزار چیست؟

امنیت نرم‌افزار شامل تمام اقداماتی است که با هدف کاهش یا حذف آسیب‌پذیری‌ها در کد، معماری و رفتار نرم‌افزار انجام می‌شود. این حوزه بیشتر بر کدنویسی امن، کنترل دسترسی، اعتبارسنجی داده‌ها، مقابله با حملات تزریقی و مدیریت خطا تمرکز دارد.

مثال‌هایی از حملات مرتبط با ضعف امنیت نرم‌افزار:
  • SQL Injection
  • XSS (Cross-site Scripting)
  • CSRF (Cross-site Request Forgery)
  • Remote Code Execution
راهکارهای کاربردی:
۱. فیلتر و اعتبارسنجی ورودی‌ها (Input Validation):
// PHP Example
$username = htmlspecialchars($_POST['username'], ENT_QUOTES, 'UTF-8');
۲. استفاده از Prepared Statements در دیتابیس:
$stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
$stmt->execute(['email' => $email]);
۳. جلوگیری از افشای خطاها:

در فایل تنظیمات PHP:

/etc/php/8.1/apache2/php.ini

display_errors = Off
log_errors = On

امنیت شبکه چیست؟

امنیت شبکه شامل تمام اقدامات فنی و پیکربندی‌هایی است که با هدف محافظت از زیرساخت‌های شبکه، سرورها و تجهیزات ارتباطی در برابر دسترسی غیرمجاز، نفوذ، یا اختلالات طراحی شده‌اند. این حوزه شامل فایروال‌ها، سیستم‌های تشخیص نفوذ، VPN، رمزنگاری ارتباطات و مدیریت پورت‌ها می‌شود.

مثال‌هایی از تهدیدات در امنیت شبکه:
  • اسکن پورت‌ها
  • حملات DDoS
  • Packet sniffing
  • Man-in-the-Middle (MitM)
پیکربندی امنیت شبکه:
۱. بستن پورت‌های غیرضروری با UFW:
sudo ufw default deny incoming
sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable
۲. استفاده از SSH امن:

در فایل:

/etc/ssh/sshd_config

تغییر پورت SSH و محدودسازی دسترسی:

Port 2200
PermitRootLogin no
AllowUsers adminuser

سپس:

sudo systemctl restart ssh
۳. رمزنگاری ارتباطات با SSL/TLS:

نصب گواهی SSL در nginx:

فایل پیکربندی:

/etc/nginx/sites-available/default

server {
    listen 443 ssl;
    ssl_certificate /etc/ssl/certs/domain.crt;
    ssl_certificate_key /etc/ssl/private/domain.key;
    ...
}

ابزارهای مورد استفاده در هر حوزه

ابزارهای امنیت نرم‌افزار:
  • SonarQube (تحلیل استاتیک کد)
  • OWASP ZAP (تست نفوذ نرم‌افزاری)
  • Burp Suite (تست امنیت اپلیکیشن‌های وب)
ابزارهای امنیت شبکه:
  • Wireshark (تحلیل ترافیک شبکه)
  • Nmap (اسکن پورت و بررسی نقاط باز)
  • Fail2ban (محافظت در برابر brute-force)
  • OpenVAS (اسکن آسیب‌پذیری‌های شبکه)

جدول مقایسه‌ای بین امنیت نرم‌افزار و امنیت شبکه

ویژگی امنیت نرم‌افزار امنیت شبکه
حوزه تمرکز کد و معماری نرم‌افزار زیرساخت شبکه، سرورها و ترافیک
نوع تهدید تزریق، اجرای کد، دسترسی غیرمجاز حملات DDoS، Sniffing، اسکن پورت
ابزارهای رایج OWASP ZAP، Burp Suite، SonarQube UFW، Nmap، Wireshark، Fail2ban
پیاده‌سازی در زمان توسعه و تست نرم‌افزار در پیکربندی سرورها و تجهیزات شبکه
مسئولیت معمول تیم توسعه نرم‌افزار تیم سیستم و شبکه

جمع‌بندی

امنیت نرم‌افزار و امنیت شبکه دو بخش مکمل اما متمایز از حفاظت سایبری هستند. امنیت نرم‌افزار روی ایمن‌سازی کد، داده‌ها و تعاملات در سطح اپلیکیشن تمرکز دارد، در حالی که امنیت شبکه بر کنترل دسترسی، محافظت از ترافیک، و تنظیمات زیرساختی متمرکز است. برای دستیابی به امنیت پایدار، هر دو حوزه باید به صورت همزمان و با دقت اجرا شوند. انتخاب ابزار مناسب، پیاده‌سازی دقیق تنظیمات و مانیتورینگ مستمر، از ارکان اصلی موفقیت در هر دو زمینه هستند.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 2. Immunify360 چیست؟”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”معرفی کلی Imunify360″ subtitle=”توضیحات کامل”]Imunify360 یک راهکار امنیتی جامع و یکپارچه برای محافظت از سرورهای لینوکسی مخصوصاً در محیط‌های هاستینگ اشتراکی است. این ابزار توسط شرکت CloudLinux توسعه داده شده و به‌گونه‌ای طراحی شده که انواع تهدیدات سایبری را به‌صورت خودکار شناسایی، مهار و خنثی کند. Imunify360 از تکنولوژی هوش مصنوعی و الگوریتم‌های یادگیری ماشین استفاده می‌کند تا بتواند حملات پیشرفته و رفتارهای مشکوک را تحلیل کرده و تصمیم‌گیری امنیتی انجام دهد.

این ابزار قابلیت نصب روی سرورهایی با کنترل‌پنل‌هایی مانند cPanel، Plesk، DirectAdmin و بدون کنترل‌پنل را دارد و می‌تواند در کنار ابزارهایی مانند ModSecurity، CSF، iptables و آنتی‌ویروس‌های سنتی به‌عنوان یک لایه‌ی امنیتی هوشمند عمل کند.

قابلیت‌های کلیدی Imunify360

۱. فایروال هوشمند (WAF + AI Firewall)

این فایروال با ترکیب قوانین ModSecurity و الگوریتم‌های تشخیص رفتار، جلوی حملاتی مانند SQL Injection، XSS، Brute Force و DDoS را می‌گیرد.

۲. آنتی‌ویروس و سیستم ضد بدافزار

فایل‌های آپلود شده روی سرور به‌صورت مداوم و در لحظه اسکن می‌شوند. فایل‌های مشکوک قرنطینه یا حذف می‌گردند.

۳. محافظت از دامنه و جلوگیری از بلک‌لیست

Imunify360 وضعیت reputation دامنه‌های میزبانی‌شده روی سرور را بررسی کرده و هشدارهای لازم را در صورت افت اعتبار یا قرارگیری در بلک‌لیست‌ها صادر می‌کند.

۴. سیستم دفاعی مبتنی بر رفتار

با تحلیل رفتار کاربر و ترافیک، فعالیت‌های غیرعادی شناسایی و محدود می‌شوند.

۵. سیستم تشخیص و جلوگیری از نفوذ (IDS/IPS)

تهدیدات مبتنی بر شبکه، ترافیک‌های ناخواسته، اتصال‌های مشکوک و سوءاستفاده از سرویس‌ها به‌وسیله‌ی این ماژول مهار می‌شوند.

۶. محافظت در سطح کاربر (CageFS Integration)

اگر از CloudLinux استفاده شود، Imunify360 با استفاده از CageFS دسترسی کاربران را ایزوله می‌کند تا آسیب‌پذیری یک سایت، دیگر سایت‌ها را تهدید نکند.

نصب اولیه Imunify360

مسیر نصب از ترمینال لینوکس:

# نصب Imunify360
wget https://repo.imunify360.cloudlinux.com/defence360/imunify-force-update.sh
bash imunify-force-update.sh

مکان فایل نصب:
فایل اجرایی نصب در دایرکتوری جاری ذخیره می‌شود، اما خود ابزار در مسیر زیر نصب می‌شود:
/opt/imunify360/

رابط گرافیکی و مدیریت

پس از نصب، اگر سرور دارای cPanel یا کنترل‌پنل مشابه باشد، بخشی به نام Imunify360 در داخل پنل اضافه می‌شود که در آن می‌توان وضعیت فایروال، لیست حملات، فایل‌های آلوده، آی‌پی‌های بلاک‌شده، اسکن‌ها و سیاست‌های امنیتی را مشاهده و مدیریت کرد.

در حالت بدون کنترل‌پنل نیز مدیریت Imunify360 از طریق CLI قابل انجام است:

# نمایش خلاصه وضعیت کلی Imunify360
imunify360-agent status

# اسکن دستی یک مسیر خاص
imunify360-agent malware on-demand start --path /home

جمع‌بندی

Imunify360 یک سپر امنیتی پیشرفته برای سرورهای لینوکسی است که با بهره‌گیری از فناوری هوش مصنوعی و قابلیت‌های چندلایه، محافظت جامعی در برابر تهدیدات متنوع ارائه می‌دهد. استفاده از آن باعث افزایش امنیت، کاهش دخالت انسانی، بهبود پایداری سرویس و جلوگیری از نشت اطلاعات یا نفوذ بدافزارها خواهد شد. این ابزار به‌ویژه برای مدیران هاستینگ، توسعه‌دهندگان وب و شرکت‌های ارائه‌دهنده خدمات میزبانی گزینه‌ای ضروری و حرفه‌ای محسوب می‌شود.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”اهداف و مزایای استفاده از Imunify360″ subtitle=”توضیحات کامل”]Imunify360 با هدف محافظت جامع و هوشمند از سرورهای لینوکسی طراحی شده است تا مدیران سیستم و ارائه‌دهندگان خدمات میزبانی بتوانند از داده‌ها، سایت‌ها و منابع خود در برابر تهدیدات سایبری مختلف محافظت کنند. این ابزار به‌صورت یکپارچه با کنترل‌پنل‌هایی مثل cPanel، Plesk و DirectAdmin کار می‌کند و امنیت سرور را در لایه‌های مختلف تضمین می‌نماید.

اهداف اصلی استفاده از Imunify360

افزایش امنیت سرور در برابر حملات شناخته‌شده و ناشناخته

Imunify360 با بهره‌گیری از الگوریتم‌های یادگیری ماشین، حملات ناشناخته و رفتارهای غیرعادی را شناسایی و پیش از آسیب‌رسانی، آن‌ها را مهار می‌کند.

یکپارچه‌سازی لایه‌های امنیتی

این ابزار امنیت فایل‌ها، شبکه، ترافیک HTTP، دسترسی‌های SSH، اجرای اسکریپت‌های مشکوک و بروزرسانی‌های نرم‌افزاری را در یک پنل متمرکز فراهم می‌کند.

اتوماسیون کامل برای کاهش بار مدیریتی

با استفاده از مکانیزم‌های خودکار مانند قرنطینه فایل‌های آلوده، مسدودسازی IP مشکوک و به‌روزرسانی پیوسته قوانین امنیتی، نیاز به مداخلات دستی کاهش می‌یابد.

جلوگیری از بلک‌لیست شدن دامنه‌ها

Imunify360 با مانیتورینگ Reputation دامنه‌ها و کنترل فعالیت‌های مشکوک، از قرار گرفتن سایت در لیست‌های سیاه جلوگیری می‌کند.

مزایای استفاده از Imunify360

۱. حفاظت چندلایه و هوشمند

Imunify360 ترکیبی از فایروال هوشمند، IDS/IPS، آنتی‌ویروس، سیستم ضد اسپم و ماژول‌های جلوگیری از اجرای کدهای مخرب را در خود دارد.

۲. نصب و مدیریت آسان

با یک اسکریپت ساده می‌توان آن را روی سرور نصب کرد و با رابط گرافیکی یا خط فرمان به‌راحتی پیکربندی نمود.

مسیر فایل مربوط به نصب:

# نصب اولیه Imunify360
wget https://repo.imunify360.cloudlinux.com/defence360/imunify-force-update.sh
bash imunify-force-update.sh
۳. اسکن مداوم فایل‌ها و پاسخ فوری

سیستم اسکن Imunify360 به‌صورت دائم فعالیت دارد و در صورت شناسایی فایل مخرب، به‌سرعت آن را قرنطینه کرده یا حذف می‌کند.

# مسیر پیکربندی اسکن خودکار در CLI
imunify360-agent malware on-demand start --path /home
۴. کاهش ریسک نفوذ و بهره‌برداری از آسیب‌پذیری‌ها

Imunify360 با بهره‌گیری از دیتابیس آسیب‌پذیری‌ها و تحلیل روزانه، مانع از نفوذ بدافزارها و Exploitهای تازه می‌شود.

۵. هماهنگی کامل با کنترل پنل‌ها

به‌راحتی در کنار کنترل‌پنل‌هایی مانند cPanel، Plesk و DirectAdmin کار می‌کند و از تداخل جلوگیری می‌شود.

۶. بررسی لحظه‌ای و نمایش رویدادها

در داشبورد Imunify360 می‌توانید تمامی حملات، آی‌پی‌های مشکوک، وضعیت فایل‌ها و تهدیدات بلاک‌شده را به‌صورت زنده مشاهده کنید.

# بررسی وقایع امنیتی از CLI
imunify360-agent incidents list
۷. قابلیت اعمال سیاست‌های امنیتی بر اساس نیاز

می‌توانید سطوح مختلفی از امنیت (مانند حساسیت در اسکن، بلاک موقتی یا دائمی، تعیین سطح ModSecurity و…) را تنظیم کنید.

# فعال‌سازی کامل ModSecurity
imunify360-agent config update '{"MOD_SEC": {"ruleset": "FULL"}}'

جمع‌بندی

استفاده از Imunify360 نه‌تنها امنیت سرورهای لینوکسی را در برابر تهدیدات سایبری به شکل چشم‌گیری افزایش می‌دهد، بلکه با ارائه قابلیت‌های هوشمند، گزارش‌دهی زنده، اسکن خودکار و مدیریت آسان، تجربه‌ای کارآمد و مطمئن برای مدیران سیستم فراهم می‌آورد. هدف اصلی آن کاهش ریسک‌های امنیتی، ساده‌سازی فرآیند مدیریت امنیت و تضمین پایداری و سلامت سرویس‌های تحت میزبانی است.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تفاوت Imunify360 با راهکارهای امنیتی مشابه” subtitle=”توضیحات کامل”]Imunify360 در مقایسه با سایر راهکارهای امنیتی موجود برای سرورهای لینوکسی، ویژگی‌های خاصی دارد که آن را از نظر جامعیت، هوش، سادگی مدیریت و سازگاری با هاستینگ‌های اشتراکی متمایز می‌کند. در این بخش، تفاوت‌های کلیدی این ابزار را با سایر راهکارهای پرکاربرد مانند CSF + LFD، ClamAV، ModSecurity و ابزارهای آنتی‌ویروس سنتی بررسی می‌کنیم.

تفاوت با CSF + LFD

CSF (ConfigServer Security & Firewall) همراه با LFD (Login Failure Daemon) یکی از محبوب‌ترین فایروال‌های لینوکسی محسوب می‌شود. در حالی که CSF فقط بر اساس قوانین آی‌پی و پورت کار می‌کند و LFD روی مانیتورینگ لاگ‌ها متمرکز است، Imunify360 از الگوریتم‌های یادگیری ماشین و آنالیز رفتار استفاده می‌کند.

برخی تفاوت‌های کلیدی:

ویژگی CSF + LFD Imunify360
تشخیص تهدید رفتاری ندارد دارد
بروزرسانی خودکار قوانین امنیتی نیاز به تنظیم دستی دارد
رابط گرافیکی حرفه‌ای بسیار ساده یا بدون UI دارد
تشخیص و حذف بدافزار ندارد دارد
قابلیت مدیریت از طریق API محدود دارد
تشخیص IP‌های مخرب جهانی نیاز به نصب افزونه دارد

تفاوت با ClamAV و ابزارهای سنتی ضدویروس

ClamAV یک آنتی‌ویروس خط فرمان برای لینوکس است که بیشتر برای اسکن ایمیل و فایل‌های ساده کاربرد دارد. در مقابل، Imunify360 تمرکز خود را بر شناسایی بدافزارهای وب، شِل‌های مخفی، کدهای مخرب داخل فایل‌های PHP و جاوااسکریپت قرار داده است.

مقایسه:

ویژگی ClamAV Imunify360
اسکن بلادرنگ ندارد دارد
قرنطینه فایل بسیار ساده دارد با رابط گرافیکی کامل
بررسی integrity فایل‌ها ندارد دارد
پایگاه داده هوشمند بدافزار ساده و کم‌تغییر پویا و در حال یادگیری
رابط گرافیکی ندارد دارد

تفاوت با ModSecurity

ModSecurity یک Web Application Firewall است که به عنوان افزونه روی وب‌سرور نصب می‌شود. درحالی‌که ModSecurity فقط در لایه HTTP عمل می‌کند و برای شناسایی حملاتی مانند SQLi و XSS مفید است، Imunify360 این قابلیت را با هوش مصنوعی ترکیب کرده و به لایه‌های پایین‌تر سیستم‌عامل، فایل‌سیستم و رفتار کاربران نیز نفوذ دارد.

نکته مهم:
Imunify360 از ModSecurity هم پشتیبانی می‌کند و قوانین آن را به‌روز و تقویت می‌کند، اما در واقع یک لایه بالاتر از آن به‌شمار می‌رود.

تفاوت در نصب و پیکربندی

اکثر ابزارهای امنیتی نیاز به پیکربندی پیچیده و ویرایش فایل‌های متنی دارند. اما Imunify360 دارای رابط گرافیکی و خط فرمان ساده‌ای است که کار را برای مدیران سیستم آسان می‌سازد.

مثال CLI برای فعال‌سازی اسکن خودکار فایل‌ها:

# فعال‌سازی Auto Malware Scanner
imunify360-agent config update '{"MALWARE_SCAN": {"real_time_scan": true}}'

مسیر فایل پیکربندی:
/etc/imunify360/imunify360.config

جمع‌بندی

Imunify360 نه‌تنها جایگزینی برای ابزارهایی مانند CSF، ModSecurity یا ClamAV نیست، بلکه یک مکمل هوشمند و یکپارچه است که آن‌ها را پوشش داده و ارتقاء می‌دهد. این ابزار با استفاده از فناوری‌های مدرن مانند یادگیری ماشین، قابلیت تشخیص رفتار مشکوک، اسکن بلادرنگ، محافظت از Reputation دامنه‌ها و ادغام با کنترل‌پنل‌ها، یک راهکار جامع امنیتی برای سرورهای لینوکسی ارائه می‌دهد که در مقایسه با ابزارهای سنتی، مدیریت، دقت و پوشش تهدیدات آن بسیار بالاتر است.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 3. ویژگی‌های کلیدی Immunify360″][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”Web Application Firewall (WAF) و محافظت در برابر حملات SQL Injection و XSS” subtitle=”توضیحات کامل”]Imunify360 یکی از ابزارهای امنیتی پیشرفته است که برای محافظت از سرورهای لینوکسی طراحی شده است. یکی از ویژگی‌های برجسته این ابزار، Web Application Firewall (WAF) آن است که به‌طور ویژه برای مقابله با تهدیدات سطح وب، از جمله حملات SQL Injection و Cross-Site Scripting (XSS)، طراحی شده است. در این بخش، ویژگی‌های کلیدی این ابزار را به تفصیل بررسی خواهیم کرد.

Web Application Firewall (WAF)

WAF یک لایه امنیتی است که بین کاربران و اپلیکیشن‌های وب قرار می‌گیرد و درخواست‌ها و پاسخ‌های HTTP را برای شناسایی و جلوگیری از حملات بدخواهانه تحلیل می‌کند. این فایروال به‌ویژه برای مقابله با حملات شایع مانند SQL Injection و Cross-Site Scripting (XSS) مفید است.

Imunify360 با استفاده از WAF، قادر به شناسایی و جلوگیری از تلاش‌های نفوذی به وب‌سایت‌ها و اپلیکیشن‌های وب می‌شود. این ویژگی می‌تواند از بروز آسیب‌های جدی مانند دسترسی غیرمجاز به پایگاه داده یا سرقت اطلاعات کاربران جلوگیری کند.

ویژگی‌های WAF در Imunify360:

  1. پیکربندی پیشرفته برای شناسایی و جلوگیری از حملات:
    • تشخیص و مسدودسازی تلاش‌های SQL Injection که از طریق ورودی‌های فرم‌ها، URL‌ها یا درخواست‌های HTTP ارسال می‌شوند.
    • مسدودسازی حملات XSS که ممکن است از طریق اسکریپت‌های مخرب در صفحات وب انجام شوند.
    • جلوگیری از حملات CSRF (Cross-Site Request Forgery) که ممکن است تلاش کنند درخواست‌های ناخواسته به سرور ارسال کنند.
  2. تنظیمات پیشرفته برای استفاده از قواعد امنیتی روز:
    • WAF در Imunify360 به‌صورت خودکار قوانین امنیتی را بروزرسانی می‌کند تا از جدیدترین تهدیدات آگاه باشد.
    • مدیران سیستم می‌توانند قوانین خاص خود را برای بلوک کردن ترافیک مخرب ایجاد کنند.
  3. بازبینی کامل ترافیک:
    • WAF ترافیک وب را به‌طور مستمر بررسی می‌کند و تمامی درخواست‌ها را برای شناسایی تهدیدات بالقوه مورد بررسی قرار می‌دهد.
    • این ابزار می‌تواند از حملات Zero-Day و تکنیک‌های نفوذ پیچیده نیز جلوگیری کند.
  4. امکان مشاهده و گزارش‌گیری:
    • تمامی وقایع و تلاش‌های نفوذ از طریق داشبورد گرافیکی در Imunify360 گزارش می‌شود، که به مدیران امکان بررسی دقیق تهدیدات را می‌دهد.

محافظت در برابر حملات SQL Injection

SQL Injection یکی از رایج‌ترین و خطرناک‌ترین حملات روی وب‌سایت‌ها است که در آن، مهاجم سعی می‌کند با وارد کردن دستورات SQL مخرب در فیلدهای ورودی (مانند فرم‌های ورود به سیستم یا جستجو) به پایگاه داده دسترسی پیدا کند.

ویژگی‌های محافظت در برابر SQL Injection در Imunify360:

  1. شناسایی و مسدودسازی خودکار حملات SQL Injection:
    • Imunify360 به‌طور پیشرفته از پایگاه داده وب‌سایت شما محافظت می‌کند و درخواست‌هایی که به‌صورت بالقوه SQL Injection به نظر می‌رسند را مسدود می‌کند.
    • از الگوریتم‌های هوشمند برای شبیه‌سازی رفتار SQL Injection استفاده می‌کند.
  2. آنالیز ورودی‌ها و درخواست‌ها:
    • این ابزار ورودی‌های کاربران را به‌طور دقیق بررسی می‌کند و از ارسال هرگونه درخواست مخرب به پایگاه داده جلوگیری می‌کند.
    • علاوه بر SQL Injection، در برابر حملات دیگر مانند Union-Based، Error-Based و Blind SQL Injection نیز محافظت ایجاد می‌کند.

محافظت در برابر حملات XSS (Cross-Site Scripting)

XSS حمله‌ای است که در آن، مهاجم یک اسکریپت مخرب را به صفحات وب وارد می‌کند تا اطلاعات کاربران را به سرقت ببرد یا عملیات‌های غیرمجاز را در وب‌سایت انجام دهد. این حملات می‌توانند به‌ویژه برای وب‌سایت‌هایی که داده‌های ورودی را بدون بررسی صحیح پردازش می‌کنند، خطرناک باشند.

ویژگی‌های محافظت در برابر XSS در Imunify360:

  1. پیشگیری از اسکریپت‌های مخرب:
    • Imunify360 از ورود اسکریپت‌های جاوااسکریپت مخرب به صفحات وب جلوگیری می‌کند.
    • هر گونه اسکریپت واردشده که به‌طور بالقوه تهدیدآمیز باشد، مسدود می‌شود.
  2. حفاظت در برابر انواع XSS (Reflected، Stored و DOM-based):
    • این ابزار به‌طور هوشمند تلاش‌های XSS را شناسایی کرده و از ذخیره یا اجرا شدن آن‌ها جلوگیری می‌کند.
    • با مسدودسازی حملات XSS، Imunify360 از افشای اطلاعات حساس کاربران و تغییرات غیرمجاز در صفحات وب جلوگیری می‌کند.

جمع‌بندی

Imunify360 با ارائه یک Web Application Firewall (WAF) پیشرفته، توانایی شناسایی و مسدودسازی حملات SQL Injection و XSS را دارد. این ابزار به‌طور فعال از وب‌سایت‌ها در برابر تهدیدات پیچیده و حملات رایج محافظت می‌کند و قابلیت‌های گرافیکی و تنظیمات پیشرفته‌ای برای مدیریت آسان دارد. در کنار این ویژگی‌ها، قابلیت‌های تشخیص رفتارهای مخرب و بروزرسانی خودکار قواعد امنیتی، Imunify360 را به یکی از بهترین انتخاب‌ها برای امنیت سرورهای لینوکسی و وب‌سایت‌ها تبدیل کرده است.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”Malware Scanner برای شناسایی و حذف بدافزارها” subtitle=”توضیحات کامل”]Imunify360 یکی از ابزارهای امنیتی جامع برای سرورهای لینوکسی است که بسیاری از تهدیدات امنیتی را از جمله بدافزارها شناسایی و مدیریت می‌کند. یکی از ویژگی‌های برجسته این ابزار، Malware Scanner آن است که به‌طور ویژه برای شناسایی و حذف بدافزارها از سرورها و وب‌سایت‌ها طراحی شده است. در این بخش، ویژگی‌های این ابزار را بررسی خواهیم کرد.

Malware Scanner در Imunify360

Malware Scanner در Imunify360 یک ابزار قدرتمند است که به‌طور خودکار وب‌سایت‌ها و سرورهای لینوکسی را برای شناسایی بدافزارها و تهدیدات امنیتی بررسی می‌کند. این ویژگی یکی از اجزای اصلی Imunify360 است و به‌طور مداوم در پس‌زمینه کار می‌کند تا از آلوده شدن سرورها به بدافزار جلوگیری کند.

ویژگی‌های Malware Scanner در Imunify360:

  1. شناسایی بدافزارهای مخفی و پیچیده:
    • Imunify360 از تکنولوژی‌های پیشرفته برای شناسایی انواع مختلف بدافزارها، از جمله ویروس‌ها، کریپتوجکینگ، کدهای مخرب جاوااسکریپت و اسکریپت‌های رباتیک استفاده می‌کند.
    • این ابزار قادر به شناسایی بدافزارهایی است که ممکن است به‌صورت مخفی در سیستم یا فایل‌های وب‌سایت وجود داشته باشند و تا زمانی که فعالیتی مشکوک آغاز نشود، شناسایی نمی‌شوند.
  2. اسکن مداوم و خودکار:
    • Malware Scanner به‌طور خودکار سیستم را برای شناسایی بدافزار اسکن می‌کند و به مدیر سرور اطلاع می‌دهد در صورت پیدا شدن تهدیدات.
    • اسکن‌ها می‌توانند به‌طور دوره‌ای انجام شوند یا به‌صورت دستی توسط مدیر سرور اجرا شوند.
  3. حذف و اصلاح بدافزارها به‌صورت خودکار:
    • پس از شناسایی بدافزار، Imunify360 می‌تواند به‌طور خودکار آن‌ها را حذف یا اصلاح کند تا از آسیب بیشتر جلوگیری شود.
    • این ابزار دارای قابلیت ترمیم فایل‌های آلوده است که به‌طور خودکار فایل‌های آسیب‌دیده یا آلوده به بدافزار را ترمیم می‌کند.
  4. گزارش‌گیری و هشدارهای دقیق:
    • پس از انجام هر اسکن، Imunify360 گزارشی کامل از فعالیت‌های خود ارائه می‌دهد و در صورت شناسایی بدافزار، مدیر سرور را از طریق ایمیل یا داشبورد اصلی مطلع می‌کند.
    • این گزارش‌ها شامل جزئیات دقیقی از نوع و موقعیت بدافزار در سیستم و فایل‌ها است.
  5. پشتیبانی از انواع فایل‌ها و فرمت‌ها:
    • Malware Scanner توانایی اسکن انواع فایل‌ها و فرمت‌ها از جمله HTML، PHP، JavaScript و انواع فایل‌های اجرایی را دارد.
    • این ابزار قادر به شناسایی تهدیدات نه‌تنها در فایل‌های عادی، بلکه در فایل‌های فشرده یا رمزگذاری‌شده نیز است.
  6. پیکربندی و شخصی‌سازی اسکن:
    • مدیران سرور می‌توانند تنظیمات اسکن را بر اساس نیاز خود شخصی‌سازی کنند. به‌طور مثال، انتخاب نوع اسکن (فول یا سفارشی) یا اسکن پوشه‌ها و فایل‌های خاص.
    • علاوه بر اسکن خودکار، این قابلیت وجود دارد که اسکن‌ها را به‌صورت دستی و در زمان‌های خاص انجام دهید.

نحوه استفاده از Malware Scanner در Imunify360

  1. فعال‌سازی اسکنر بدافزار:
    • در داشبورد Imunify360، گزینه‌ای برای Malware Scanner وجود دارد که به شما این امکان را می‌دهد تا اسکن خودکار یا دستی را آغاز کنید.
    • برای انجام یک اسکن دستی، به داشبورد Imunify360 بروید، گزینه “Security” را انتخاب کنید، و سپس “Scan Now” را انتخاب کنید تا اسکن آغاز شود.
  2. پیکربندی اسکن بدافزار:
    • برای تنظیم اسکن خودکار، به بخش “Settings” در داشبورد Imunify360 بروید و پیکربندی‌های مربوط به اسکن بدافزار را انجام دهید.
    • می‌توانید تنظیمات اسکن را برای انجام در ساعات خاص تنظیم کنید یا آن را به‌صورت روزانه یا هفتگی پیکربندی کنید.

دستور برای اسکن دستی از طریق CLI:

imunify360-agent scan --type=full

این دستور برای انجام یک اسکن کامل بدافزار روی سرور استفاده می‌شود.

مسیر فایل‌هایی که اسکن می‌شوند:

  • تمام فایل‌ها و پوشه‌های موجود در مسیر /var/www/html و /home به‌طور پیش‌فرض برای اسکن بررسی خواهند شد.
  • در صورت نیاز به اسکن پوشه‌های خاص، می‌توان مسیر موردنظر را به دستور CLI اضافه کرد.

جمع‌بندی

Malware Scanner در Imunify360 یک ابزار قدرتمند و خودکار برای شناسایی و حذف بدافزارها است. این ویژگی توانایی اسکن کامل سرور و فایل‌های وب‌سایت را دارد و می‌تواند به‌طور خودکار یا دستی اقدام به شناسایی و حذف تهدیدات کند. با استفاده از گزارش‌ها و هشدارهای دقیق، مدیران سرور می‌توانند به سرعت به تهدیدات پاسخ دهند و از آسیب‌های بیشتر جلوگیری کنند. Imunify360 با بهره‌گیری از تکنولوژی‌های پیشرفته، از سرورها و وب‌سایت‌ها در برابر انواع مختلف بدافزارها محافظت می‌کند و امنیت کامل آن‌ها را تأمین می‌نماید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”Intrusion Detection and Prevention System (IDS/IPS) برای شناسایی و جلوگیری از حملات” subtitle=”توضیحات کامل”]IDS/IPS یکی از ویژگی‌های برجسته و حیاتی در Immunify360، است که برای شناسایی و جلوگیری از حملات به سرورها و وب‌سایت‌ها طراحی شده است. این سیستم نقش مهمی در ارتقاء امنیت سرورها دارد و قادر است تهدیدات امنیتی را در مراحل ابتدایی شناسایی کرده و از وقوع حملات جلوگیری کند.

توضیح عملکرد IDS/IPS در Immunify360

Intrusion Detection and Prevention System (IDS/IPS) در Immunify360 ترکیبی از دو ابزار شناسایی و جلوگیری از حملات است که به‌طور فعال به دنبال تهدیدات امنیتی می‌گردد و در صورت شناسایی حمله، اقدامات لازم برای جلوگیری از آن را انجام می‌دهد. این ابزار برای مدیران سرور و وب‌سایت‌ها، یک لایه اضافی از امنیت فراهم می‌آورد که از نفوذ غیرمجاز و حملات مختلف محافظت می‌کند.

ویژگی‌های IDS/IPS در Immunify360:

  1. شناسایی حملات در زمان واقعی:
    • IDS/IPS در Immunify360 به‌صورت 24 ساعته و در زمان واقعی به فعالیت‌های ورودی سرور نظارت دارد.
    • این سیستم به‌طور مداوم الگوهای حملات را شناسایی می‌کند و به محض مشاهده فعالیت مشکوک یا حمله، گزارش می‌دهد.
  2. تشخیص حملات رایج و پیچیده:
    • این سیستم قادر به شناسایی انواع حملات از جمله SQL Injection، XSS، DDoS، Brute Force، Malware Injection و پچ‌های امنیتی غیرمعتبر است.
    • IDS/IPS به‌طور ویژه طراحی شده تا انواع حملات پیچیده و جدید را شناسایی کند و حتی تهدیدات ناشناخته را از طریق الگوریتم‌های پیشرفته شبیه‌سازی کند.
  3. مقاومت در برابر حملات DDoS:
    • سیستم می‌تواند حملات Distributed Denial of Service (DDoS) را شناسایی کرده و از آن‌ها جلوگیری کند.
    • این ویژگی برای وب‌سایت‌ها و سرورهایی که در معرض حملات تراکم ترافیک هستند، بسیار مفید است و از اختلال در عملکرد سایت جلوگیری می‌کند.
  4. پیشگیری از حملات با اعمال قوانین امنیتی:
    • به محض شناسایی یک حمله یا تهدید، سیستم می‌تواند اقدامات پیشگیرانه‌ای مانند مسدود کردن آدرس IP مهاجم یا محدود کردن دسترسی به منابع خاص را انجام دهد.
    • این قابلیت به مدیر سرور کمک می‌کند تا به‌طور خودکار از نفوذ جلوگیری کند.
  5. گزارش‌گیری و هشدارهای دقیق:
    • پس از شناسایی یک حمله، IDS/IPS یک گزارش دقیق از نوع و شدت حمله تولید کرده و آن را به مدیر سرور از طریق ایمیل یا داشبورد اصلی ارسال می‌کند.
    • این گزارش شامل اطلاعات دقیقی از منابع حمله، الگوهای حمله و اقدامات انجام‌شده است.
  6. امکان پیکربندی و شخصی‌سازی تنظیمات:
    • مدیران سرور می‌توانند تنظیمات IDS/IPS را بر اساس نیاز خود شخصی‌سازی کنند. برای مثال، می‌توانند قوانینی برای شناسایی حملات خاص یا انواع الگوهای تهدیدی که باید به آن‌ها توجه شود، اضافه کنند.
    • این ابزار انعطاف‌پذیری بالایی دارد و می‌تواند بر اساس نیاز و تهدیدات خاص، تنظیم شود.

نحوه استفاده و پیکربندی IDS/IPS در Immunify360

  1. فعال‌سازی IDS/IPS:
    • برای فعال‌سازی IDS/IPS، ابتدا وارد داشبورد Imunify360 شوید و به بخش Security بروید.
    • در این بخش، گزینه Intrusion Detection را فعال کنید تا سیستم شروع به شناسایی تهدیدات کند.
  2. پیکربندی IDS/IPS:
    • پس از فعال‌سازی، می‌توانید تنظیمات خاصی برای Intrusion Detection و Prevention اعمال کنید.
    • این تنظیمات شامل تعیین نوع حملات برای شناسایی و اقداماتی برای جلوگیری از آن‌ها است.

دستور برای فعال‌سازی IDS/IPS از طریق CLI:

imunify360-agent configure --ids-ips-enable true

مسیر فایل‌های پیکربندی IDS/IPS:

  • فایل‌های پیکربندی مرتبط با IDS/IPS در مسیر /etc/imunify360/ قرار دارند. این فایل‌ها شامل تنظیمات امنیتی پیش‌فرض و قوانین فعال برای شناسایی و جلوگیری از حملات هستند.

جمع‌بندی

Intrusion Detection and Prevention System (IDS/IPS) در Immunify360 یک ابزار بسیار کارآمد برای شناسایی و جلوگیری از حملات امنیتی به سرورها و وب‌سایت‌ها است. این سیستم توانایی شناسایی حملات رایج و پیچیده، مانند SQL Injection، XSS و DDoS را دارد و قادر به اعمال اقداماتی مانند مسدود کردن مهاجمین یا محدود کردن دسترسی به منابع خاص است. همچنین، این ابزار گزارش‌های دقیق و هشدارهای فوری را به مدیران سرور ارسال می‌کند، که باعث می‌شود از وقوع آسیب‌های جدی جلوگیری شود. با استفاده از IDS/IPS، مدیران سرور می‌توانند یک لایه امنیتی اضافی برای جلوگیری از تهدیدات مختلف به سرورهای خود ایجاد کنند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”Reputation Management برای بررسی لیست سیاه (Blacklist) دامنه‌ها” subtitle=”توضیحات کامل”]Reputation Management یکی از ویژگی‌های مهم و کاربردی Immunify360، است که برای بررسی وضعیت دامنه‌ها و آدرس‌های IP در لیست‌های سیاه (Blacklist) استفاده می‌شود. این ویژگی به مدیران سرور و وب‌سایت کمک می‌کند تا وضعیت اعتبار دامنه‌های خود را ارزیابی کرده و از وجود مشکلات احتمالی که ممکن است بر روی رتبه‌بندی SEO یا عملکرد امنیتی وب‌سایت تأثیر بگذارد، جلوگیری کنند.

عملکرد Reputation Management در Immunify360

Reputation Management در Immunify360 به طور مداوم دامنه‌ها و IPهای سرور را از نظر قرار داشتن در لیست‌های سیاه بررسی می‌کند. این ویژگی به شناسایی مشکلات امنیتی و شناسایی حملات از طریق دامنه‌های مشکوک کمک می‌کند.

ویژگی‌های اصلی این سیستم عبارتند از:

  1. بررسی وضعیت دامنه در لیست‌های سیاه:
    • سیستم به طور خودکار دامنه‌های شما را در لیست‌های سیاه مختلف مانند Spamhaus, SURBL, Barracuda, Google Safe Browsing و دیگر سرویس‌های مشابه بررسی می‌کند.
    • این ویژگی به مدیران کمک می‌کند تا از مشکلات ناشی از قرار گرفتن دامنه یا آدرس IP در لیست سیاه مطلع شوند و اقدام به رفع آن کنند.
  2. گزارش دقیق و هشدارهای فوری:
    • به محض شناسایی قرار گرفتن دامنه در یک لیست سیاه، سیستم گزارشی دقیق و هشدار فوری به مدیر ارسال می‌کند.
    • این هشدار شامل جزئیات دقیقی از نوع مشکل (مانند اسپم یا بدافزار) و اطلاعات کامل درباره منبع یا سازمانی که دامنه شما را در لیست سیاه قرار داده است، می‌باشد.
  3. جلوگیری از مشکلات SEO و اعتبار دامنه:
    • قرار گرفتن دامنه‌ها یا IPهای شما در لیست‌های سیاه می‌تواند تأثیر منفی بر رتبه‌بندی موتورهای جستجو و اعتبار دامنه شما داشته باشد.
    • با استفاده از Reputation Management، از قرار گرفتن دامنه‌های خود در لیست‌های سیاه جلوگیری کرده و مشکلات SEO و قابل مشاهده بودن آن‌ها در موتورهای جستجو را برطرف می‌کنید.
  4. آگاهی از تهدیدات مرتبط با دامنه‌ها:
    • این ویژگی به شما کمک می‌کند تا دامنه‌های مخرب یا مشکوک را شناسایی کرده و از ارتباط با آن‌ها جلوگیری کنید.
    • همچنین، Reputation Management می‌تواند به شناسایی حملات یا رفتارهای مشکوک از سمت دامنه‌های خاص کمک کند.
  5. راهنمایی برای رفع مشکلات موجود:
    • پس از شناسایی دامنه‌های قرار گرفته در لیست سیاه، این سیستم دستورالعمل‌هایی برای رفع مشکلات موجود ارائه می‌دهد.
    • این دستورالعمل‌ها شامل چگونگی رفع اسپم‌ها، بدافزارها و مشکلات موجود در دامنه یا IP است.

نحوه استفاده و پیکربندی Reputation Management در Immunify360

  1. فعال‌سازی Reputation Management:
    • برای فعال‌سازی این ویژگی، وارد داشبورد Imunify360 شوید و به بخش Reputation Management بروید.
    • در این بخش، می‌توانید وضعیت دامنه‌ها و آدرس‌های IP خود را بررسی کرده و وضعیت آن‌ها در لیست‌های سیاه را مشاهده کنید.
  2. پیکربندی اطلاع‌رسانی‌ها و هشدارها:
    • شما می‌توانید تنظیمات مربوط به هشدارها و گزارش‌ها را به‌گونه‌ای تنظیم کنید که در صورت قرار گرفتن دامنه در لیست سیاه، به شما اطلاع داده شود.
    • این تنظیمات به شما کمک می‌کنند تا فوراً اقدامات لازم را انجام دهید.

دستور برای فعال‌سازی Reputation Management از طریق CLI:

imunify360-agent configure --reputation-management-enable true

مسیر فایل‌های پیکربندی Reputation Management:

  • فایل‌های پیکربندی این ویژگی در مسیر /etc/imunify360/ قرار دارند. این فایل‌ها شامل تنظیمات امنیتی پیش‌فرض برای بررسی وضعیت دامنه‌ها در لیست‌های سیاه و تعیین قوانین مربوط به هشدارها و گزارش‌ها هستند.

جمع‌بندی

Reputation Management در Immunify360 یک ابزار کلیدی برای نظارت و بررسی وضعیت دامنه‌ها و آدرس‌های IP در لیست‌های سیاه است. این ویژگی به شما کمک می‌کند تا از قرار گرفتن دامنه‌های خود در لیست‌های سیاه مختلف آگاه شوید و از مشکلات امنیتی و SEO جلوگیری کنید. با بررسی مستمر وضعیت دامنه‌ها، گزارش‌دهی دقیق و هشدارهای فوری، مدیران سرور قادر خواهند بود که اقدامات لازم را به‌موقع انجام داده و از آسیب‌های ناشی از قرار گرفتن در لیست سیاه جلوگیری کنند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”Proactive Defense برای شناسایی و جلوگیری از اجرای کدهای مخرب” subtitle=”توضیحات کامل”]Proactive Defense یکی از ویژگی‌های برجسته و حیاتی Immunify360، است که برای شناسایی و جلوگیری از اجرای کدهای مخرب طراحی شده است. این قابلیت به طور پیشگیرانه از نفوذ تهدیدات و حملات به سیستم‌های سرور جلوگیری می‌کند و از وقوع آسیب‌های امنیتی مانند اجرای کدهای مخرب در محیط سرور جلوگیری می‌نماید. در این بخش، به بررسی عملکرد و ویژگی‌های این قابلیت می‌پردازیم.

عملکرد Proactive Defense در Immunify360

Proactive Defense به‌طور خاص برای مقابله با حملاتی طراحی شده است که از کدهای مخرب برای نفوذ به سرورها و وب‌سایت‌ها استفاده می‌کنند. این ویژگی از الگوریتم‌های پیشرفته برای شناسایی رفتارهای مشکوک و اجرای کدهای غیرمجاز استفاده می‌کند و اقدامات لازم را برای مسدود کردن آن‌ها انجام می‌دهد.

ویژگی‌های اصلی این سیستم عبارتند از:

  1. شناسایی و مسدود کردن کدهای مخرب در زمان اجرا:
    • Proactive Defense به طور فعال هرگونه تلاش برای اجرای کد مخرب را در سرور شناسایی کرده و آن را مسدود می‌کند. این کدها ممکن است شامل اسکریپت‌ها یا برنامه‌هایی باشند که به منظور انجام فعالیت‌های مخرب (مانند تزریق بدافزار، ایجاد دسترسی‌های غیرمجاز، و یا حملات DDoS) به سرور ارسال می‌شوند.
    • این ویژگی از انجام هرگونه عملیات مشکوک در سیستم جلوگیری کرده و محیط امن‌تری برای وب‌سایت‌ها و سرورها فراهم می‌آورد.
  2. تشخیص رفتار مشکوک و حملات صفر روز (Zero-Day):
    • Proactive Defense قادر است به‌طور هوشمند رفتارهای مشکوک را شناسایی کرده و حتی حملات صفر روز (که در آن‌ها هنوز وصله‌های امنیتی برای آسیب‌پذیری‌های شناخته شده منتشر نشده‌اند) را قبل از اجرای کدهای مخرب شناسایی کند.
    • این ویژگی از طریق تحلیل دقیق درخواست‌ها و ورودی‌های ورودی به سرور، حملات پیچیده‌ای که از آسیب‌پذیری‌های ناشناخته استفاده می‌کنند را شناسایی و مسدود می‌کند.
  3. استفاده از یادگیری ماشین و الگوریتم‌های هوش مصنوعی:
    • برای شناسایی دقیق کدهای مخرب، Immunify360 از تکنیک‌های یادگیری ماشین و هوش مصنوعی استفاده می‌کند که به این سیستم این امکان را می‌دهد که به صورت خودکار مدل‌های رفتاری حملات جدید را یاد بگیرد و هرگونه کد مخرب جدید را شناسایی کند.
    • این قابلیت به طور مداوم با تغییرات جدید و پیچیده در حملات سایبری به‌روزرسانی می‌شود.
  4. جلوگیری از حملات از طریق اسکریپت‌ها و درخواست‌های ورودی:
    • Proactive Defense می‌تواند درخواست‌های ورودی غیرمجاز یا خطرناک را شناسایی کرده و قبل از پردازش آن‌ها توسط سرور، جلوی اجرای آن‌ها را بگیرد.
    • این درخواست‌ها می‌توانند شامل تلاش برای ارسال اسکریپت‌های مخرب از طریق فرم‌های ورودی، URLهای مشکوک، و یا پارامترهای غیرمجاز باشند.
  5. مدیریت و نظارت لحظه‌ای بر تهدیدات:
    • سیستم به‌طور مداوم بر تمام درخواست‌ها و داده‌های ورودی به سرور نظارت دارد. اگر سیستم رفتار مشکوک یا فعالیت غیرمعمولی شناسایی کند، به سرعت وارد عمل شده و جلوی اجرای هرگونه کد مخرب را می‌گیرد.
    • مدیران سرور می‌توانند گزارشات دقیقی از فعالیت‌های مشکوک و تهدیدات شناسایی‌شده دریافت کنند و در صورت نیاز اقدامات اصلاحی انجام دهند.

نحوه استفاده و پیکربندی Proactive Defense در Immunify360

  1. فعال‌سازی Proactive Defense:
    • برای فعال‌سازی ویژگی Proactive Defense، ابتدا باید وارد داشبورد Immunify360 شوید و به بخش تنظیمات امنیتی بروید.
    • در این بخش، تنظیمات مربوط به دفاع پیشگیرانه فعال می‌شود و می‌توانید قوانین شناسایی و مسدود کردن کدهای مخرب را تعیین کنید.
  2. پیکربندی هشدارها و اطلاع‌رسانی‌ها:
    • شما می‌توانید تنظیمات مربوط به دریافت هشدارها در صورت شناسایی کد مخرب را انجام دهید. این هشدارها می‌توانند شامل اطلاعات دقیق در مورد نوع حمله، منبع حمله، و اقدامات انجام‌شده توسط سیستم باشند.

دستور برای فعال‌سازی Proactive Defense از طریق CLI:

imunify360-agent configure --proactive-defense-enable true

مسیر فایل‌های پیکربندی Proactive Defense:

  • فایل‌های پیکربندی Proactive Defense در مسیر /etc/imunify360/ قرار دارند. این فایل‌ها شامل تنظیمات مربوط به قوانین شناسایی و جلوگیری از اجرای کدهای مخرب و همچنین تنظیمات هشدار و گزارش‌دهی هستند.

جمع‌بندی

ویژگی Proactive Defense در Immunify360 یک ابزار کلیدی برای شناسایی و جلوگیری از اجرای کدهای مخرب در سرورها و وب‌سایت‌ها است. این ویژگی با استفاده از الگوریتم‌های هوش مصنوعی و یادگیری ماشین قادر است رفتارهای مشکوک و حملات را پیش از وقوع شناسایی و مسدود کند. با فعال‌سازی این قابلیت، مدیران سرور می‌توانند محیطی امن‌تر برای سرورهای خود فراهم کنند و از نفوذ کدهای مخرب جلوگیری نمایند. این سیستم با تحلیل دقیق داده‌های ورودی و درخواست‌ها، به‌طور مداوم بر تهدیدات نظارت می‌کند و از آسیب‌های احتمالی جلوگیری می‌نماید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”Patch Management برای بررسی و مدیریت به‌روزرسانی‌های امنیتی سیستم” subtitle=”توضیحات کامل”]Patch Management یکی از ویژگی‌های مهم و اساسی در Immunify360، است که مسئولیت بررسی و مدیریت به‌روزرسانی‌های امنیتی سیستم را بر عهده دارد. به‌روزرسانی‌های منظم و سریع سیستم‌ها و نرم‌افزارها نقش کلیدی در حفظ امنیت سرورها و وب‌سایت‌ها دارند و این ویژگی به مدیران سرور کمک می‌کند تا به‌طور مؤثر و خودکار این فرآیند را مدیریت کنند.

عملکرد Patch Management در Immunify360

Patch Management در Immunify360 به طور خودکار فرآیند به‌روزرسانی امنیتی سیستم‌ها را بررسی کرده و به مدیران سرور امکان می‌دهد تا از نصب به‌موقع و مؤثر وصله‌ها (patches) اطمینان حاصل کنند. این ویژگی از آسیب‌پذیری‌های شناخته شده که ممکن است توسط مهاجمین مورد سوءاستفاده قرار گیرند، جلوگیری می‌کند و به صورت مداوم سرورها را به‌روز نگه می‌دارد.

ویژگی‌های اصلی این قابلیت عبارتند از:

  1. شناسایی به‌روزرسانی‌های امنیتی حیاتی:
    • Patch Management به طور خودکار به‌روزرسانی‌های امنیتی مربوط به سیستم‌عامل، نرم‌افزارهای سرور و برنامه‌های کاربردی را شناسایی می‌کند. این به‌روزرسانی‌ها می‌توانند شامل اصلاحات آسیب‌پذیری‌ها و مشکلات امنیتی شناخته‌شده باشند که به سرعت باید نصب شوند.
    • این قابلیت به مدیران سرور هشدار می‌دهد تا از نصب به‌موقع این به‌روزرسانی‌ها اطمینان حاصل کنند.
  2. نصب خودکار و زمان‌بندی به‌روزرسانی‌ها:
    • Immunify360 این امکان را فراهم می‌کند که به‌روزرسانی‌های امنیتی به طور خودکار نصب شوند. علاوه بر این، امکان زمان‌بندی به‌روزرسانی‌ها نیز فراهم است تا در زمان‌های کم‌ترافیک سرور، به‌روزرسانی‌ها انجام شوند و تأثیر منفی بر عملکرد سیستم نگذارند.
  3. مدیریت آسیب‌پذیری‌ها:
    • از آنجا که برخی از آسیب‌پذیری‌ها ممکن است در سیستم‌عامل‌ها یا نرم‌افزارهای مختلف وجود داشته باشند، Patch Management به طور خاص بر شناسایی و رفع آسیب‌پذیری‌ها و نقاط ضعف تمرکز دارد و از این طریق از تهدیدات امنیتی احتمالی جلوگیری می‌کند.
    • این ویژگی کمک می‌کند تا سیستم‌ها همیشه از آخرین وصله‌ها و به‌روزرسانی‌های امنیتی بهره‌مند شوند و سرور در برابر حملات ناشی از آسیب‌پذیری‌های قدیمی و شناخته‌شده مقاوم‌تر شود.
  4. گزارش‌دهی دقیق:
    • در هر زمان که یک به‌روزرسانی نصب می‌شود یا نیاز به به‌روزرسانی وجود داشته باشد، سیستم Immunify360 گزارشی دقیق از وضعیت به‌روزرسانی‌ها فراهم می‌کند. این گزارش‌ها شامل تاریخ نصب، نوع به‌روزرسانی و وضعیت فعلی سیستم است.
  5. حفظ پایداری سیستم:
    • Patch Management نه تنها از نظر امنیتی برای سرور اهمیت دارد، بلکه به‌روزرسانی‌های منظم همچنین باعث بهبود پایداری سیستم می‌شوند. نصب وصله‌های جدید به طور مداوم به رفع مشکلات نرم‌افزاری و بهبود عملکرد سیستم کمک می‌کند.

نحوه استفاده و پیکربندی Patch Management در Immunify360

برای استفاده از Patch Management در Immunify360، ابتدا باید وارد داشبورد Immunify360 شوید و تنظیمات مربوط به به‌روزرسانی‌های امنیتی را پیکربندی کنید.

  1. فعال‌سازی Patch Management:
    • در داشبورد Immunify360، وارد بخش تنظیمات سیستم شده و ویژگی Patch Management را فعال کنید. این ویژگی به طور خودکار به‌روزرسانی‌های امنیتی سیستم‌عامل و نرم‌افزارها را شناسایی کرده و به شما پیشنهاد می‌دهد که آن‌ها را نصب کنید.
  2. پیکربندی زمان‌بندی به‌روزرسانی‌ها:
    • شما می‌توانید زمان‌بندی انجام به‌روزرسانی‌ها را برای اوقات خاص تنظیم کنید. به عنوان مثال، می‌توانید به‌روزرسانی‌ها را در ساعات شب یا هنگام کم‌ترافیک بودن سیستم انجام دهید تا از اختلال در عملکرد سرور جلوگیری شود.

دستور برای فعال‌سازی Patch Management از طریق CLI:

imunify360-agent configure --patch-management-enable true

مسیر فایل‌های پیکربندی Patch Management:

  • فایل‌های پیکربندی این ویژگی در مسیر /etc/imunify360/ قرار دارند و شما می‌توانید تنظیمات مختلف مربوط به به‌روزرسانی‌ها و نصب وصله‌ها را در این فایل‌ها تغییر دهید.

جمع‌بندی

ویژگی Patch Management در Immunify360 یکی از ابزارهای اساسی برای حفظ امنیت و پایداری سیستم‌های سرور است. با استفاده از این قابلیت، مدیران سرور می‌توانند به‌روزرسانی‌های امنیتی را به طور خودکار شناسایی و نصب کنند و از سرور خود در برابر آسیب‌پذیری‌ها و تهدیدات امنیتی محافظت نمایند. این ویژگی نه تنها امنیت سرور را تضمین می‌کند، بلکه به بهبود عملکرد و پایداری سیستم کمک می‌کند. تنظیمات خودکار و زمان‌بندی به‌روزرسانی‌ها به‌گونه‌ای طراحی شده که تأثیر منفی بر عملکرد سیستم نگذارد و عملیات به‌روزرسانی به صورت بی‌وقفه و بدون اختلال انجام شود.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 4. مقایسه Immunify360 با دیگر راه‌حل‌های امنیتی”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”مقایسه Immunify360 با ModSecurity و CSF (ConfigServer Security & Firewall)” subtitle=”توضیحات کامل”]امنیت سرورها و وب‌سایت‌ها یکی از اصول پایه در نگهداری و حفاظت از اطلاعات حساس در اینترنت است. برای این منظور ابزارهای متعددی برای افزایش امنیت سرورها وجود دارند که سه مورد از پرکاربردترین آن‌ها عبارتند از Immunify360، ModSecurity و CSF. در این بخش، به مقایسه ویژگی‌ها، عملکرد و مزایای هر یک از این ابزارها پرداخته می‌شود.

1. Immunify360

Immunify360 یک راهکار امنیتی جامع است که به طور ویژه برای محافظت از سرورها و وب‌سایت‌ها در برابر تهدیدات مختلف طراحی شده است. این ابزار به صورت یک راهکار امنیتی همه‌جانبه عمل می‌کند و شامل ویژگی‌هایی همچون:

  • WAF (Web Application Firewall) برای محافظت در برابر حملات وب.
  • Malware Scanner برای شناسایی و حذف بدافزارها.
  • IDS/IPS برای شناسایی و جلوگیری از حملات.
  • Reputation Management برای بررسی لیست سیاه دامنه‌ها.
  • Proactive Defense برای جلوگیری از اجرای کدهای مخرب.
  • Patch Management برای مدیریت به‌روزرسانی‌های امنیتی سیستم.

مزایای Immunify360:

  • امنیت چندلایه: از ترکیب فایروال، شناسایی حملات، و ابزارهای مدیریت بدافزار به‌طور یکپارچه استفاده می‌کند.
  • حفاظت در برابر انواع حملات: قادر به شناسایی و جلوگیری از حملات مختلف مانند XSS، SQL Injection و DDoS است.
  • مدیریت خودکار به‌روزرسانی‌ها: به‌روزرسانی‌های امنیتی سیستم را به طور خودکار نصب می‌کند.

معایب:

  • هزینه: استفاده از Immunify360 نیاز به خرید لایسنس دارد که ممکن است هزینه‌بر باشد.
  • پیچیدگی: برای پیاده‌سازی و استفاده از تمامی قابلیت‌های آن، نیاز به دانش فنی بالا دارد.

2. ModSecurity

ModSecurity یک فایروال وب اپلیکیشن (WAF) است که به طور خاص برای محافظت از برنامه‌های وب در برابر حملات طراحی شده است. این ابزار برای شناسایی حملات رایج مانند SQL Injection، Cross-Site Scripting (XSS) و Local File Inclusion (LFI) استفاده می‌شود.

مزایای ModSecurity:

  • منبع باز و رایگان: یکی از بزرگترین مزایای ModSecurity، رایگان بودن آن است که آن را به یک گزینه جذاب برای سرورهای لینوکسی تبدیل می‌کند.
  • مستندات و پیکربندی قابل انعطاف: تنظیمات زیادی برای سفارشی‌سازی نحوه شناسایی و مسدود کردن حملات وجود دارد.
  • پشتیبانی از Rule Set ها: از OWASP ModSecurity Core Rule Set (CRS) برای شناسایی حملات استفاده می‌کند.

معایب:

  • محدودیت در حفاظت جامع: ModSecurity تنها به عنوان WAF عمل می‌کند و از نظر مدیریت بدافزار، IDS/IPS و دیگر ابزارهای امنیتی جامع عملکرد مشابه Immunify360 را ندارد.
  • پیچیدگی در پیکربندی: نیاز به تنظیمات و سفارشی‌سازی دقیق برای عملکرد بهینه دارد.
  • عدم پشتیبانی از برخی تهدیدات جدید: ممکن است در برخی از حملات پیشرفته که از روش‌های جدید استفاده می‌کنند، کمتر موثر باشد.

3. CSF (ConfigServer Security & Firewall)

CSF یک فایروال پیشرفته برای سرورهای لینوکسی است که دارای ابزارهای امنیتی زیادی مانند محافظت در برابر حملات DDoS، کنترل دسترسی به سرور و بررسی پورت‌ها است. این ابزار بیشتر برای محافظت از سرورها در برابر حملات شبکه و دسترسی‌های غیرمجاز کاربرد دارد.

مزایای CSF:

  • پیکربندی ساده و قابل دسترس: CSF برای مدیران سرور از جمله کسانی که تازه وارد حوزه مدیریت سرور شده‌اند، بسیار ساده و کاربرپسند است.
  • حفاظت در برابر حملات DDoS: قادر به شناسایی و جلوگیری از حملات Distributed Denial of Service (DDoS) است.
  • شناسایی دسترسی‌های غیرمجاز: امکان کنترل دسترسی به سرور از طریق تنظیمات فایروال را فراهم می‌آورد.
  • مانیتورینگ فعال: نظارت و گزارش‌دهی دقیق از وضعیت سرور و حملات ممکن را انجام می‌دهد.

معایب:

  • محدود بودن در برابر حملات وب: CSF به تنهایی توانایی محافظت در برابر حملات وب مانند SQL Injection و XSS را ندارد.
  • عدم پوشش حملات پیشرفته: در برابر برخی حملات پیچیده مانند Zero-Day یا Advanced Persistent Threats (APT) کارایی کمتری دارد.

مقایسه کلی:

ویژگی/ابزار Immunify360 ModSecurity CSF (ConfigServer Security & Firewall)
نوع ابزار امنیت جامع سرور فایروال وب (WAF) فایروال سرور و ابزار امنیتی
حفاظت در برابر حملات وب دارد (WAF، SQL Injection، XSS) دارد (SQL Injection، XSS) ندارد
شناسایی و حذف بدافزار دارد (Malware Scanner) ندارد ندارد
مدیریت به‌روزرسانی‌ها دارد (Patch Management) ندارد ندارد
شناسایی حملات شبکه (DDoS) دارد (Intrusion Detection) ندارد دارد (DDoS Protection)
هزینه نیاز به خرید لایسنس رایگان رایگان
سادگی پیکربندی نیاز به پیکربندی پیشرفته پیچیده (با نیاز به تنظیمات دقیق) ساده‌تر از دو مورد دیگر
پشتیبانی از حملات پیشرفته دارد (Proactive Defense، IDS/IPS) ندارد ندارد

جمع‌بندی

هر سه ابزار Immunify360، ModSecurity و CSF ویژگی‌ها و مزایای خاص خود را دارند. Immunify360 یک راهکار امنیتی جامع و همه‌جانبه است که علاوه بر محافظت در برابر حملات وب، شامل ویژگی‌های امنیتی همچون Malware Scanner، Patch Management و Proactive Defense است. در مقابل، ModSecurity یک ابزار قدرتمند برای محافظت در برابر حملات وب است، اما نیاز به تنظیمات دقیق دارد و فاقد برخی ویژگی‌های امنیتی گسترده است. CSF بیشتر بر محافظت شبکه و مدیریت دسترسی تمرکز دارد، اما توانایی محافظت از برنامه‌های وب و مقابله با حملات پیچیده را ندارد. انتخاب بهترین ابزار بستگی به نیازهای خاص سرور و وب‌سایت شما دارد.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تفاوت Immunify360 با Malware Scanners مانند ClamAV و Maldet” subtitle=”توضیحات کامل”]ابزارهای مختلفی برای شناسایی و حذف بدافزارها وجود دارند که هر کدام ویژگی‌ها و عملکرد خاص خود را دارند. در این بخش، به مقایسه Immunify360 با دو ابزار شناخته‌شده ClamAV و Maldet خواهیم پرداخت و تفاوت‌های کلیدی آن‌ها را بررسی خواهیم کرد.

1. Immunify360

Immunify360 یک راهکار امنیتی جامع است که به طور خاص برای محافظت از سرورها و وب‌سایت‌ها در برابر انواع تهدیدات طراحی شده است. این ابزار نه تنها یک Malware Scanner دارد، بلکه از چندین لایه امنیتی دیگر نیز استفاده می‌کند که آن را از سایر ابزارهای امنیتی متمایز می‌کند.

ویژگی‌ها:

  • Malware Scanner: Immunify360 قادر است بدافزارها را شناسایی کرده و از بین ببرد. این ابزار به طور مداوم سرور و فایل‌ها را اسکن می‌کند.
  • Web Application Firewall (WAF): Immunify360 به عنوان یک فایروال برنامه وب، از وب‌سایت‌ها در برابر تهدیدات مختلف محافظت می‌کند.
  • Intrusion Detection and Prevention System (IDS/IPS): شناسایی و جلوگیری از حملات متداول مانند DDoS و سایر تهدیدات.
  • Proactive Defense: ویژگی‌ای که به طور پیشگیرانه از حملات جدید جلوگیری می‌کند.
  • Patch Management: به‌روزرسانی خودکار سیستم‌ها و نرم‌افزارهای امنیتی برای مقابله با تهدیدات جدید.

مزایای Immunify360:

  • یک راهکار امنیتی همه‌جانبه که از سرور و وب‌سایت‌ها در برابر تهدیدات متنوع محافظت می‌کند.
  • امنیت چندلایه (Malware Scanner، WAF، IDS/IPS) برای جلوگیری از حملات مختلف.
  • پشتیبانی از تهدیدات پیچیده: از ابزارهایی مانند Proactive Defense و Reputation Management برای جلوگیری از حملات پیشرفته استفاده می‌کند.

معایب:

  • هزینه: نیاز به خرید لایسنس دارد که ممکن است هزینه‌بر باشد.
  • پیچیدگی: ممکن است برای برخی کاربران جدید، نیاز به پیکربندی‌های پیچیده داشته باشد.

2. ClamAV

ClamAV یک ابزار منبع باز و رایگان برای شناسایی بدافزارها است که به طور عمده بر روی سیستم‌های لینوکسی و سرورها برای شناسایی ویروس‌ها و تروجان‌ها استفاده می‌شود.

ویژگی‌ها:

  • Malware Scanner: ClamAV به‌طور کامل به شناسایی ویروس‌ها، تروجان‌ها و بدافزارها پرداخته و آن‌ها را از بین می‌برد.
  • موتور شناسایی قوی: استفاده از یک موتور شناسایی ویروس پیشرفته که قابلیت شناسایی انواع مختلف بدافزارها را دارد.
  • رایگان و منبع باز: این ابزار به‌طور رایگان و تحت مجوز GPL در دسترس است.
  • پشتیبانی از فایل‌های مختلف: قابلیت اسکن انواع فایل‌ها مانند ZIP، RAR، TAR و دیگر فرمت‌های رایج.

مزایای ClamAV:

  • رایگان و منبع باز: بدون نیاز به هزینه اضافی می‌توانید از آن استفاده کنید.
  • پشتیبانی از انواع فایل‌ها: قابلیت اسکن فایل‌های مختلف و شناسایی انواع بدافزارها.

معایب:

  • محدودیت در شناسایی تهدیدات پیچیده: توانایی شناسایی حملات پیچیده‌تر و بدافزارهای پیشرفته را ندارد.
  • تمرکز صرفاً بر بدافزارها: تنها به شناسایی و حذف بدافزارها می‌پردازد و فاقد قابلیت‌های اضافی مانند WAF و IDS/IPS است.
  • عدم محافظت در برابر حملات وب: برخلاف Immunify360، ClamAV فاقد امکانات برای محافظت از وب‌سایت‌ها و اپلیکیشن‌ها است.

3. Maldet (Linux Malware Detect)

Maldet یک ابزار شناسایی بدافزار برای سرورهای لینوکسی است که به طور خاص برای شناسایی و حذف بدافزارهایی که معمولاً در هاستینگ‌های لینوکسی و سرورهای وب یافت می‌شوند طراحی شده است.

ویژگی‌ها:

  • Malware Scanner: Maldet به طور فعال فایل‌ها و دایرکتوری‌ها را اسکن کرده و بدافزارها را شناسایی می‌کند.
  • قابلیت شناسایی Rootkits: این ابزار قادر به شناسایی rootkitها و سایر بدافزارهای پیچیده است.
  • رایگان و منبع باز: مانند ClamAV، Maldet نیز رایگان و متن‌باز است.
  • اسکن فایل‌های خاص: امکان اسکن فایل‌ها در مسیرهای خاص و یا دامنه‌های خاص.

مزایای Maldet:

  • شناسایی Rootkit‌ها: توانایی شناسایی rootkitها که بسیاری از ابزارهای دیگر قادر به شناسایی آن‌ها نیستند.
  • رایگان و منبع باز: مثل ClamAV، امکان استفاده رایگان از آن وجود دارد.
  • مدیریت آسان: پیکربندی و استفاده از آن نسبت به برخی دیگر از ابزارها ساده‌تر است.

معایب:

  • محدودیت در حفاظت جامع: همانند ClamAV، Maldet تنها به شناسایی بدافزارها پرداخته و از ابزارهای امنیتی گسترده دیگری مانند WAF و IDS/IPS پشتیبانی نمی‌کند.
  • عدم پوشش برای حملات وب: این ابزار فقط بدافزارها را شناسایی می‌کند و از وب‌سایت‌ها در برابر حملات مختلف حفاظت نمی‌کند.

مقایسه کلی:

ویژگی/ابزار Immunify360 ClamAV Maldet
نوع ابزار امنیت جامع (Malware Scanner + WAF + IDS/IPS) Malware Scanner Malware Scanner
شناسایی و حذف بدافزار دارد (Malware Scanner) دارد (Malware Scanner) دارد (Malware Scanner)
پشتیبانی از حملات وب دارد (WAF) ندارد ندارد
پشتیبانی از Rootkit دارد (در قالب Proactive Defense و IDS) ندارد دارد
هزینه نیاز به خرید لایسنس رایگان رایگان
پشتیبانی از تهدیدات پیچیده دارد (IDS/IPS، Proactive Defense) محدود به ویروس‌ها و تروجان‌ها محدود به ویروس‌ها و تروجان‌ها
ویژگی‌های اضافی WAF، IDS/IPS، Proactive Defense، Reputation Management نداشتن ویژگی‌های اضافی شناسایی Rootkit و بدافزارهای لینوکسی

جمع‌بندی

Immunify360 یک راهکار امنیتی جامع است که علاوه بر شناسایی و حذف بدافزارها، از ابزارهایی مانند WAF، IDS/IPS و Proactive Defense برای حفاظت از سرور و وب‌سایت‌ها استفاده می‌کند. در مقابل، ClamAV و Maldet ابزارهایی هستند که به طور خاص برای شناسایی و حذف بدافزارها طراحی شده‌اند. در حالی که ClamAV رایگان است و بر شناسایی ویروس‌ها و تروجان‌ها تمرکز دارد، Maldet بیشتر برای شناسایی بدافزارها و Rootkitها در سرورهای لینوکسی استفاده می‌شود. اگر نیاز به یک راهکار امنیتی جامع و چندلایه دارید، Immunify360 انتخاب بهتری است، در حالی که برای شناسایی ساده بدافزارها در سرورهای لینوکسی، ClamAV و Maldet می‌توانند گزینه‌های مناسبی باشند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”مزایای Immunify360 نسبت به فایروال‌های سنتی” subtitle=”توضیحات کامل”]Immunify360 به عنوان یک راهکار امنیتی پیشرفته برای سرورها و وب‌سایت‌ها، مزایای زیادی نسبت به فایروال‌های سنتی ارائه می‌دهد. این ویژگی‌ها باعث می‌شوند تا Immunify360 به یک ابزار قدرتمند و همه‌جانبه برای محافظت از سیستم‌ها تبدیل شود.

۱. حفاظت چندلایه (Multi-layered Protection)

یکی از اصلی‌ترین مزایای Immunify360 نسبت به فایروال‌های سنتی، استفاده از رویکرد چندلایه برای محافظت از سیستم‌ها است. فایروال‌های سنتی معمولاً تنها بر اساس فیلتر کردن ترافیک ورودی و خروجی عمل می‌کنند. اما Immunify360 از ترکیب ابزارهایی مانند Web Application Firewall (WAF)، Malware Scanner، Intrusion Detection System (IDS)، و دیگر امکانات حفاظتی استفاده می‌کند تا حملات را در چندین لایه مختلف شناسایی و مسدود کند. این امر باعث افزایش امنیت و کاهش آسیب‌پذیری‌ها می‌شود.

۲. حفاظت در برابر حملات پیشرفته (Advanced Threat Protection)

فایروال‌های سنتی اغلب در برابر حملات خاص و پیچیده مانند حملات SQL Injection، XSS، و حملات روز صفر (Zero-Day Attacks) آسیب‌پذیر هستند. Immunify360 با داشتن ویژگی‌هایی مانند Proactive Defense و Real-Time Malware Detection، قادر است حتی تهدیدات جدید و پیشرفته را شناسایی و از آن‌ها جلوگیری کند. این ابزار به صورت خودکار و هوشمندانه تهدیدات ناشناخته را شناسایی می‌کند.

۳. سیستم تشخیص و جلوگیری از نفوذ (IDS/IPS)

در حالی که فایروال‌های سنتی فقط می‌توانند ترافیک ورودی و خروجی را نظارت کنند، Immunify360 با استفاده از سیستم تشخیص و جلوگیری از نفوذ (IDS/IPS)، قادر به شناسایی حملات و تهدیدات امنیتی به صورت پیشگیرانه است. این سیستم به محض شناسایی حملات تلاش می‌کند تا آن‌ها را مسدود کند و از نفوذ به سرور جلوگیری نماید.

۴. اسکن بدافزار (Malware Scanning) در زمان واقعی

Immunify360 با استفاده از یک سیستم اسکن بدافزار بسیار پیشرفته که می‌تواند در زمان واقعی فعالیت‌های مشکوک را شناسایی کند، به کاربران کمک می‌کند تا بدافزارها و فایل‌های مخرب را قبل از آسیب به سیستم شناسایی و حذف کنند. فایروال‌های سنتی به طور معمول قادر به شناسایی تهدیدات داخلی و بدافزارها نیستند، در حالی که Immunify360 این قابلیت را در اختیار کاربران قرار می‌دهد.

۵. مدیریت به‌روزرسانی‌ها و پچ‌ها (Patch Management)

Immunify360 دارای ویژگی مدیریت پچ‌ها است که به صورت خودکار به‌روزرسانی‌های امنیتی سرور را بررسی کرده و در صورت لزوم آن‌ها را اعمال می‌کند. این ویژگی باعث می‌شود که سیستم‌ها همیشه به‌روز و محافظت‌شده باقی بمانند. در مقابل، فایروال‌های سنتی معمولاً از این قابلیت برخوردار نیستند و به‌روزرسانی‌های امنیتی به طور دستی باید اعمال شوند.

۶. نظارت بر شهرت دامنه‌ها (Reputation Management)

یکی دیگر از مزایای Immunify360 نسبت به فایروال‌های سنتی، قابلیت نظارت بر شهرت دامنه‌ها است. این ابزار می‌تواند بررسی کند که آیا دامنه وب‌سایت در لیست سیاه قرار دارد یا خیر و از این طریق از ورود ترافیک مخرب به سرور جلوگیری کند.

۷. سازگاری با سیستم‌های مختلف

Immunify360 به خوبی با انواع سرورها و سیستم‌عامل‌ها مانند cPanel، Plesk و دیگر کنترل پنل‌های سروری سازگار است. این ویژگی باعث می‌شود تا این ابزار قابلیت انعطاف‌پذیری بالایی داشته باشد و بتواند در انواع محیط‌های سروری به راحتی پیاده‌سازی شود.

۸. پشتیبانی از دفاع فعال (Active Defense)

ویژگی دفاع فعال (Proactive Defense) در Immunify360 به آن این امکان را می‌دهد که به طور فعال از اجرای کدهای مخرب جلوگیری کند. این ویژگی، حملات ناشناخته یا حملات روز صفر را شناسایی کرده و از ورود آن‌ها به سیستم جلوگیری می‌کند.

جمع‌بندی

Immunify360 با ارائه یک رویکرد امنیتی پیشرفته و همه‌جانبه نسبت به فایروال‌های سنتی، امکانات و ابزارهایی را فراهم می‌آورد که به‌طور فعال از سیستم‌ها در برابر تهدیدات مختلف محافظت می‌کند. ویژگی‌های مانند حفاظت چندلایه، اسکن بدافزار در زمان واقعی، IDS/IPS، و مدیریت به‌روزرسانی‌ها، باعث می‌شود که این ابزار یک انتخاب مناسب‌تر برای سیستم‌های پیچیده و حساس باشد.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 5. محیط‌های پشتیبانی شده و سازگاری”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”سیستم‌های کنترل پنل پشتیبانی شده مانند cPanel، Plesk، DirectAdmin” subtitle=”توضیحات کامل”]Immunify360 به‌عنوان یک ابزار امنیتی پیشرفته برای سرورها، از انواع مختلفی از سیستم‌های کنترل پنل پشتیبانی می‌کند. این سیستم‌ها به مدیران سرور امکان می‌دهند که سرورهای خود را به‌طور موثری مدیریت کنند. در این بخش، سه سیستم کنترل پنل معروف یعنی cPanel، Plesk و DirectAdmin بررسی می‌شوند و نحوه عملکرد Immunify360 در این سیستم‌ها توضیح داده می‌شود.

۱. cPanel

cPanel یکی از محبوب‌ترین و پرکاربردترین سیستم‌های کنترل پنل برای مدیریت سرورهای لینوکسی است. این سیستم کنترل پنل دارای ویژگی‌های گوناگونی است که مدیریت وب‌سایت‌ها، ایمیل‌ها، و بانک‌های اطلاعاتی را برای مدیران سرور ساده می‌کند.

  • پشتیبانی از Immunify360 در cPanel: Immunify360 به‌طور کامل با cPanel یکپارچه شده است و به راحتی می‌توان آن را نصب و پیکربندی کرد. این ابزار امنیتی با استفاده از WHM (WebHost Manager) برای مدیریت سرورهای cPanel، به مدیران امکان می‌دهد تا سیاست‌های امنیتی پیچیده‌ای را پیاده‌سازی کنند.نصب و پیکربندی: برای نصب Immunify360 در cPanel/WHM می‌توانید از دستورات زیر استفاده کنید: 
    cd /usr/local/src
wget https://repo.imunify360.cloudlinux.com/defence360/imunify360.rpm
rpm -Uvh imunify360.rpm

    پس از نصب، می‌توانید از طریق بخش Imunify360 در WHM تنظیمات مختلف را مدیریت کنید.

۲. Plesk

Plesk یکی دیگر از سیستم‌های کنترل پنل محبوب است که به مدیران سرور امکان می‌دهد سرورهای لینوکسی و ویندوزی را مدیریت کنند. این سیستم دارای رابط کاربری ساده و قابل فهم است و برای میزبانی وب‌سایت‌ها، ایمیل‌ها و مدیریت پایگاه داده‌ها بسیار مناسب است.

  • پشتیبانی از Immunify360 در Plesk: Immunify360 به راحتی با Plesk یکپارچه می‌شود و از طریق Plesk Extension قابل نصب است. این ابزار امنیتی پس از نصب می‌تواند تهدیدات را شناسایی و مسدود کند، اسکن‌های منظم برای بدافزار انجام دهد و از سرور در برابر حملات مختلف محافظت کند.نصب و پیکربندی: برای نصب Immunify360 در Plesk، ابتدا به Plesk Extension مراجعه کنید و آن را از بخش Extensions Catalog جستجو کنید. پس از نصب، از طریق داشبورد Plesk می‌توانید تنظیمات امنیتی Immunify360 را مدیریت کنید.

۳. DirectAdmin

DirectAdmin یک کنترل پنل دیگر است که به‌طور خاص برای سیستم‌های لینوکسی طراحی شده است و برای مدیریت وب‌سایت‌ها و سرویس‌های مختلف سرور استفاده می‌شود. این سیستم کنترل پنل ساده و کاربرپسند است و بیشتر برای مدیران سرور با نیازهای ابتدایی و متوسط مناسب است.

  • پشتیبانی از Immunify360 در DirectAdmin: Immunify360 همچنین از DirectAdmin پشتیبانی می‌کند و به راحتی می‌توان آن را نصب و پیکربندی کرد. با استفاده از DirectAdmin Plugin می‌توان به راحتی از ویژگی‌های امنیتی Immunify360 مانند اسکن بدافزار، حفاظت در برابر حملات SQL Injection و XSS، و IDS/IPS استفاده کرد.نصب و پیکربندی: برای نصب Immunify360 در DirectAdmin از دستورات زیر استفاده کنید: 
    cd /usr/local/directadmin/plugins
wget https://repo.imunify360.cloudlinux.com/defence360/directadmin_plugin.tgz
tar -xvzf directadmin_plugin.tgz

    پس از نصب، تنظیمات از طریق داشبورد DirectAdmin قابل دسترسی است.

جمع‌بندی

Immunify360 از سه سیستم کنترل پنل محبوب یعنی cPanel، Plesk و DirectAdmin پشتیبانی می‌کند. این پشتیبانی امکان مدیریت تهدیدات امنیتی را به‌طور مستقیم از درون محیط کاربری این سیستم‌ها فراهم می‌کند و مدیران سرور می‌توانند بدون نیاز به خط فرمان، تنظیمات امنیتی را به سادگی انجام دهند. با نصب و پیکربندی صحیح، Immunify360 به‌عنوان یک ابزار امنیتی جامع از سرور در برابر انواع تهدیدات محافظت خواهد کرد.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”توزیع‌های لینوکس سازگار مانند CloudLinux، CentOS، AlmaLinux، Ubuntu” subtitle=”توضیحات کامل”]Immunify360 به‌عنوان یک ابزار امنیتی جامع برای سرورهای لینوکسی، از بسیاری از توزیع‌های لینوکس پشتیبانی می‌کند. این پشتیبانی به مدیران سرور این امکان را می‌دهد که از این ابزار امنیتی در محیط‌های مختلف لینوکسی استفاده کنند. در این بخش، به بررسی توزیع‌های محبوب و سازگار با Immunify360 مانند CloudLinux، CentOS، AlmaLinux و Ubuntu خواهیم پرداخت.

۱. CloudLinux

CloudLinux یک توزیع لینوکس مبتنی بر CentOS است که به‌طور ویژه برای میزبانی وب و سرورهای مجازی طراحی شده است. این توزیع امنیت بالایی دارد و از منابع سیستم به‌طور هوشمندانه‌ای استفاده می‌کند. ویژگی‌های خاصی مانند LVE (Lightweight Virtual Environment) و ابزارهایی برای مدیریت منابع و ایزوله‌سازی کاربر، CloudLinux را به یکی از گزینه‌های اصلی برای سرورهای میزبانی وب تبدیل کرده است.

  • پشتیبانی از Immunify360 در CloudLinux: Immunify360 به‌طور کامل با CloudLinux یکپارچه است و از ویژگی‌های امنیتی خاص این توزیع، مانند LVE و CageFS برای افزایش امنیت استفاده می‌کند. همچنین، می‌توانید از طریق CloudLinux Network، ویژگی‌های اضافی مانند Malware Scanner و Web Application Firewall (WAF) را پیکربندی و مدیریت کنید.نصب و پیکربندی: برای نصب Immunify360 در CloudLinux، از دستورات زیر استفاده کنید: 
    cd /usr/local/src
wget https://repo.imunify360.cloudlinux.com/defence360/imunify360.rpm
rpm -Uvh imunify360.rpm

    پس از نصب، می‌توانید از طریق WHM یا CloudLinux Manager تنظیمات مختلف را مدیریت کنید.

۲. CentOS

CentOS یکی از محبوب‌ترین توزیع‌های لینوکس است که بیشتر برای سرورهای وب استفاده می‌شود. این توزیع یک نسخه رایگان و منبع‌باز از Red Hat Enterprise Linux (RHEL) است و از امنیت، پایداری و کارایی بالایی برخوردار است.

  • پشتیبانی از Immunify360 در CentOS: Immunify360 با CentOS کاملاً سازگار است و به راحتی می‌توان آن را نصب و پیکربندی کرد. این ابزار امنیتی می‌تواند به‌طور خودکار بدافزارها را شناسایی کرده و از سرور در برابر انواع حملات محافظت کند. همچنین، از ابزارهایی مانند ClamAV و ModSecurity برای اسکن و مسدود کردن تهدیدات استفاده می‌شود.نصب و پیکربندی: برای نصب Immunify360 در CentOS، از دستورات زیر استفاده کنید: 
    cd /usr/local/src
wget https://repo.imunify360.cloudlinux.com/defence360/imunify360.rpm
rpm -Uvh imunify360.rpm

    پس از نصب، می‌توانید از طریق WHM تنظیمات امنیتی Immunify360 را پیکربندی کنید.

۳. AlmaLinux

AlmaLinux یک توزیع لینوکس منبع‌باز است که به‌عنوان جایگزینی برای CentOS ایجاد شده است. این توزیع از همان کدهای منبع RHEL استفاده می‌کند و امنیت و پایداری مشابهی به CentOS دارد. AlmaLinux برای کسانی که به دنبال یک توزیع پایدار و امن برای سرورهای خود هستند، گزینه مناسبی است.

  • پشتیبانی از Immunify360 در AlmaLinux: Immunify360 از AlmaLinux نیز پشتیبانی می‌کند و به‌راحتی می‌توان آن را روی این توزیع نصب و پیکربندی کرد. با استفاده از این ابزار امنیتی، مدیران می‌توانند به‌راحتی حملات، بدافزارها و سایر تهدیدات را شناسایی و مسدود کنند.نصب و پیکربندی: برای نصب Immunify360 در AlmaLinux، می‌توانید از همان دستورات نصب CentOS استفاده کنید: 
    cd /usr/local/src
wget https://repo.imunify360.cloudlinux.com/defence360/imunify360.rpm
rpm -Uvh imunify360.rpm

    سپس، از طریق WHM یا Plesk می‌توانید تنظیمات را پیکربندی کنید.

۴. Ubuntu

Ubuntu یکی از محبوب‌ترین توزیع‌های لینوکس برای سرورها و دسکتاپ‌ها است. این توزیع به‌ویژه در میان کاربران و توسعه‌دهندگان محبوب است و به دلیل نصب آسان، پشتیبانی از نرم‌افزارهای مختلف و امنیت بالا شناخته می‌شود.

  • پشتیبانی از Immunify360 در Ubuntu: Immunify360 همچنین از Ubuntu پشتیبانی می‌کند و نصب آن روی این توزیع نیز بسیار ساده است. ابزار امنیتی Immunify360 با استفاده از سیستم‌های پکیج‌بندی DEB، نصب و پیکربندی را تسهیل می‌کند. این ابزار به‌طور خاص برای مدیریت تهدیدات در سطح سیستم و وب‌سایت‌ها مفید است.نصب و پیکربندی: برای نصب Immunify360 در Ubuntu، از دستورات زیر استفاده کنید: 
    wget https://repo.imunify360.cloudlinux.com/defence360/imunify360.deb
dpkg -i imunify360.deb
apt-get install -f

    پس از نصب، می‌توانید از طریق Web Panel تنظیمات را پیکربندی کنید.

جمع‌بندی

Immunify360 از بسیاری از توزیع‌های لینوکس محبوب پشتیبانی می‌کند که شامل CloudLinux، CentOS، AlmaLinux و Ubuntu می‌شود. این پشتیبانی به‌ویژه برای مدیران سرورهایی که از این توزیع‌ها استفاده می‌کنند، بسیار مهم است. با نصب و پیکربندی صحیح Immunify360، می‌توانید امنیت سرورهای لینوکسی خود را به‌طور قابل توجهی افزایش دهید و از تهدیدات مختلف جلوگیری کنید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نیازمندی‌های سخت‌افزاری و نرم‌افزاری برای اجرای بهینه” subtitle=”توضیحات کامل”]برای اطمینان از عملکرد بهینه Immunify360 و بهره‌گیری کامل از قابلیت‌های امنیتی آن، ضروری است که سرور شما شرایط سخت‌افزاری و نرم‌افزاری مناسبی داشته باشد. در این بخش، نیازمندی‌های حداقل و توصیه‌شده برای نصب و اجرای Immunify360 به‌طور بهینه آورده شده است.

۱. نیازمندی‌های سخت‌افزاری

Immunify360 به منابع سیستم نیاز دارد تا بتواند به‌طور موثر فعالیت کند و امنیت سرور را در برابر تهدیدات مختلف تأمین نماید. بسته به تعداد وب‌سایت‌ها و میزان ترافیک، ممکن است نیاز به منابع بیشتری داشته باشید.

  • پردازنده (CPU):
    • حداقل: پردازنده ۲ هسته‌ای
    • توصیه‌شده: پردازنده ۴ هسته‌ای یا بالاتر

    پردازنده‌های چند هسته‌ای به Immunify360 این امکان را می‌دهند که به‌طور هم‌زمان چندین اسکن و پردازش امنیتی را انجام دهد بدون اینکه سیستم تحت فشار قرار گیرد.

  • حافظه (RAM):
    • حداقل: ۴ گیگابایت RAM
    • توصیه‌شده: ۸ گیگابایت RAM یا بیشتر

    حافظه بیشتر کمک می‌کند تا Immunify360 قادر به اجرای اسکن‌های امنیتی سریع‌تر و مدیریت بهتر تهدیدات باشد، به‌ویژه در هنگام پردازش ترافیک بالا.

  • فضای ذخیره‌سازی (Disk Space):
    • حداقل: ۲۰ گیگابایت فضای آزاد
    • توصیه‌شده: ۴۰ گیگابایت فضای آزاد یا بیشتر

    فضای ذخیره‌سازی بیشتر برای ذخیره‌سازی داده‌های مربوط به اسکن‌ها، گزارش‌ها و لاگ‌های امنیتی ضروری است. همچنین، داده‌های کش و آنتی‌ویروس ممکن است حجم زیادی از فضای دیسک را مصرف کنند.

  • درایو:
    • SSD: استفاده از درایوهای SSD برای ذخیره‌سازی داده‌ها سرعت بالاتری را برای خواندن و نوشتن اطلاعات فراهم می‌کند و به عملکرد کلی سیستم کمک می‌کند.

۲. نیازمندی‌های نرم‌افزاری

برای اجرای بهینه Immunify360، علاوه بر سخت‌افزار، سرور شما به نرم‌افزارهایی نیاز دارد که ابزار امنیتی بتواند به‌طور مؤثر روی آن کار کند.

  • سیستم عامل:
    Immunify360 از نسخه‌های مختلف لینوکس پشتیبانی می‌کند. مهم‌ترین نسخه‌هایی که باید روی سرور شما نصب باشند عبارتند از:

    • CloudLinux (بیشترین سازگاری)
    • CentOS (نسخه‌های ۷ و ۸)
    • AlmaLinux
    • Ubuntu (نسخه‌های LTS مانند 20.04 و 22.04)
    • Debian (نسخه‌های پایدار)

    باید مطمئن شوید که نسخه صحیح سیستم عامل برای عملکرد بهتر و پشتیبانی کامل از Immunify360 نصب شده است.

  • کنترل پنل (Control Panel): Immunify360 به‌طور کامل با سیستم‌های کنترل پنل مختلف سازگار است:
    • cPanel (پشتیبانی کامل از WHM)
    • Plesk
    • DirectAdmin

    همچنین باید مطمئن شوید که کنترل پنل مورد استفاده شما دارای مجوز و نسخه مناسب برای نصب Immunify360 است.

  • Nginx/Apache Web Server: Immunify360 برای محافظت از وب‌سایت‌ها نیاز به وب‌سرورهای قدرتمند دارد. این ابزار به‌طور کامل با وب‌سرورهای Nginx و Apache سازگار است و قابلیت‌‎هایی مانند WAF (Web Application Firewall) را برای جلوگیری از حملات SQL Injection و XSS ارائه می‌دهد.
  • PHP:
    • نسخه حداقل: PHP 7.2
    • نسخه توصیه‌شده: PHP 7.4 یا بالاتر

    به‌منظور عملکرد بهینه و هم‌خوانی با سایر نرم‌افزارها و پلاگین‌ها، نسخه PHP باید به‌روز و امن باشد.

  • پایگاه داده:
    Immunify360 از پایگاه‌های داده MySQL و MariaDB به‌طور کامل پشتیبانی می‌کند. نسخه‌های پشتیبانی‌شده عبارتند از:

    • MySQL 5.6 یا بالاتر
    • MariaDB 10.3 یا بالاتر

    پایگاه داده‌ها برای ذخیره‌سازی اطلاعات مهم از جمله لاگ‌ها و داده‌های مربوط به تهدیدات و حملات استفاده می‌شوند.

۳. نیازمندی‌های شبکه

برای اطمینان از عملکرد بهینه، برخی از نیازمندی‌های شبکه‌ای نیز باید در نظر گرفته شوند.

  • پهنای باند (Bandwidth):
    • حداقل: ۱ مگابیت بر ثانیه
    • توصیه‌شده: ۱۰ مگابیت بر ثانیه یا بیشتر

    پهنای باند بالا به Immunify360 این امکان را می‌دهد که ترافیک بالاتر و درخواست‌های بیشتری را پردازش کند بدون اینکه سیستم دچار کندی شود.

  • اتصال به اینترنت:
    سیستم باید دسترسی به اینترنت داشته باشد تا بتواند به‌طور خودکار به‌روزرسانی‌های امنیتی و اطلاعات جدید از سرورهای Immunify360 دریافت کند.

جمع‌بندی

برای نصب و اجرای بهینه Immunify360، نیاز به سخت‌افزار و نرم‌افزار مناسب دارید. از پردازنده چند هسته‌ای، حافظه RAM کافی، فضای ذخیره‌سازی مناسب و سیستم‌عامل‌های سازگار برای عملکرد بهینه ابزار امنیتی استفاده کنید. همچنین، باید کنترل پنل و وب‌سرور مناسب را برای استفاده از قابلیت‌های امنیتی Immunify360 انتخاب نمایید. اطمینان از پهنای باند و دسترسی به اینترنت نیز برای دریافت به‌روزرسانی‌های مهم و جلوگیری از حملات ضروری است.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 6. مدل‌های لایسنس و پلن‌های مختلف Immunify360″][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نسخه رایگان در مقابل نسخه پولی” subtitle=”توضیحات کامل”]Immunify360 به‌عنوان یکی از راهکارهای امنیتی پیشرفته برای سرورها و وب‌سایت‌ها، دو مدل اصلی لایسنس ارائه می‌دهد: نسخه رایگان و نسخه پولی. هرکدام از این نسخه‌ها ویژگی‌ها و قابلیت‌های خاص خود را دارند که می‌توانند برای نیازهای مختلف کاربران مناسب باشند.

در این بخش، تفاوت‌ها و ویژگی‌های نسخه رایگان و نسخه پولی Immunify360 به‌طور کامل بررسی می‌شود.

۱. نسخه رایگان Immunify360

نسخه رایگان Immunify360 به‌عنوان یک ابزار امنیتی ابتدایی برای محافظت از سرورها و وب‌سایت‌ها طراحی شده است. این نسخه برای سرورهای کوچک و کاربران با نیازهای کمتر مناسب است. نسخه رایگان محدودیت‌های خاصی دارد، اما همچنان برخی از قابلیت‌های اصلی امنیتی را در اختیار کاربران قرار می‌دهد.

ویژگی‌های نسخه رایگان:

  • Malware Scanner: قابلیت اسکن وب‌سایت‌ها و فایل‌ها برای شناسایی بدافزارها، اما با محدودیت در مقیاس و زمان اجرای اسکن.
  • Basic Firewall Protection: به‌طور پیش‌فرض، فایروال ابتدایی برای محافظت در برابر برخی حملات شناخته‌شده ارائه می‌شود، اما این فایروال به‌طور کامل با Web Application Firewall (WAF) پیشرفته به‌طور کامل سازگار نیست.
  • Limited Intrusion Detection: نظارت محدود بر حملات و تهدیدات احتمالی، اما قادر به شناسایی تهدیدات پیچیده‌تر نیست.
  • محدودیت در پشتیبانی از پلاگین‌ها و ابزارهای اضافی: در نسخه رایگان، ابزارهای پیشرفته برای شناسایی و جلوگیری از حملات SQL Injection، XSS و سایر تهدیدات پیچیده به‌طور پیش‌فرض غیرفعال است.
  • پشتیبانی محدود: کاربران نسخه رایگان دسترسی محدودی به پشتیبانی فنی دارند.

نسخه رایگان Immunify360 برای استفاده در محیط‌های کوچک و پروژه‌های کم‌حجم مناسب است، اما نمی‌تواند به‌طور کامل نیازهای امنیتی پیشرفته را برآورده کند.

۲. نسخه پولی Immunify360

نسخه پولی Immunify360 به‌عنوان یک راهکار امنیتی جامع و پیشرفته طراحی شده است که تمامی قابلیت‌های ابزار را در اختیار کاربران قرار می‌دهد. این نسخه به‌طور کامل از ویژگی‌های امنیتی برتر مانند Web Application Firewall (WAF)، Intrusion Detection/Prevention System (IDS/IPS) و Proactive Defense بهره‌مند است و می‌تواند تهدیدات پیچیده‌تر را شناسایی و از آن‌ها جلوگیری کند.

ویژگی‌های نسخه پولی:

  • Web Application Firewall (WAF): حفاظت جامع در برابر حملات پیچیده مانند SQL Injection، Cross-Site Scripting (XSS) و Remote File Inclusion (RFI) با فیلتر کردن ترافیک ورودی و جلوگیری از نفوذهای مخرب.
  • Advanced Malware Scanner: اسکن دقیق‌تر و سریع‌تر وب‌سایت‌ها و سرورها برای شناسایی بدافزارهای مخرب و حذف آن‌ها. این اسکن شامل بررسی فایل‌های پنهان، اسکریپت‌ها و پایگاه‌های داده نیز می‌شود.
  • Intrusion Detection and Prevention System (IDS/IPS): سیستم شناسایی و جلوگیری از نفوذ به‌طور کامل برای شناسایی حملات و جلوگیری از تهدیدات پیچیده که به سیستم نفوذ می‌کنند.
  • Proactive Defense: قابلیت شناسایی و جلوگیری از اجرای کدهای مخرب قبل از آلوده کردن سرور، با شبیه‌سازی حملات احتمالی و شناسایی آسیب‌پذیری‌های پیش از وقوع.
  • Patch Management: به‌روزرسانی خودکار و مدیریت پچ‌ها برای برطرف کردن آسیب‌پذیری‌های امنیتی سیستم و نرم‌افزارهای نصب‌شده.
  • Reputation Management: بررسی وضعیت دامنه‌ها و IPها در لیست‌های سیاه (Blacklist) و حفاظت از اعتبار آنلاین وب‌سایت.
  • پشتیبانی فنی اولویت‌دار: دسترسی به پشتیبانی فنی ۲۴/۷ با زمان پاسخگویی سریع‌تر و راهکارهای اختصاصی برای رفع مشکلات امنیتی.
  • گزارش‌گیری پیشرفته: داشبوردهای تحلیلی و گزارش‌های دقیق درباره تهدیدات و فعالیت‌های مشکوک در سرور.

نسخه پولی Immunify360 برای سرورهای بزرگ و پروژه‌های پیچیده و با نیازهای امنیتی بالا طراحی شده است. این نسخه مناسب برای وب‌سایت‌ها و سازمان‌هایی است که به حفاظت از داده‌ها و جلوگیری از حملات پیچیده نیاز دارند.

۳. مقایسه نسخه رایگان و نسخه پولی

ویژگی نسخه رایگان نسخه پولی
Web Application Firewall (WAF) غیرفعال یا محدود فعال و کامل
Advanced Malware Scanner محدودیت در اسکن اسکن پیشرفته و کامل
Intrusion Detection/Prevention محدود (IDS) کامل (IDS/IPS)
Proactive Defense غیرفعال فعال و کامل
Reputation Management غیرفعال فعال و کامل
Patch Management غیرفعال فعال و خودکار
پشتیبانی فنی پشتیبانی محدود پشتیبانی اولویت‌دار ۲۴/۷
گزارش‌گیری پیشرفته گزارش محدود گزارش‌های دقیق و تحلیلی پیشرفته

جمع‌بندی

در نهایت، انتخاب بین نسخه رایگان و نسخه پولی Immunify360 بستگی به نیازهای امنیتی شما دارد. اگر به دنبال یک ابزار امنیتی ساده برای سرورهای کوچک یا پروژه‌های شخصی هستید، نسخه رایگان ممکن است کافی باشد. اما برای وب‌سایت‌ها و سرورهای بزرگ که نیاز به محافظت جامع و قابلیت‌های پیشرفته دارند، نسخه پولی Immunify360 بهترین انتخاب است. این نسخه از ابزار با پشتیبانی فنی، گزارش‌گیری پیشرفته، و قابلیت‌های کامل امنیتی می‌تواند امنیت سرور شما را به بالاترین سطح ممکن برساند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی هزینه‌ها و امکانات در هر نسخه” subtitle=”توضیحات کامل”]Immunify360 به‌عنوان یکی از پیشرفته‌ترین راهکارهای امنیتی سرور و وب‌سایت، برای برآورده کردن نیازهای مختلف کاربران، مدل‌های لایسنس متفاوتی ارائه می‌دهد. این مدل‌ها شامل نسخه رایگان و نسخه‌های پولی با پلن‌های مختلف هستند که هر کدام ویژگی‌ها و قیمت‌گذاری خاص خود را دارند. در این بخش به بررسی هزینه‌ها و امکانات موجود در هر نسخه پرداخته می‌شود تا شما بتوانید تصمیم‌گیری بهتری برای انتخاب لایسنس مناسب انجام دهید.

۱. نسخه رایگان Immunify360

نسخه رایگان Immunify360 به‌طور خاص برای سرورهای کوچک، توسعه‌دهندگان شخصی و افرادی که نیاز به محافظت ابتدایی دارند، طراحی شده است. این نسخه به کاربران امکان می‌دهد که از برخی امکانات پایه امنیتی بهره‌مند شوند.

ویژگی‌ها:

  • Malware Scanner: اسکن پایه وب‌سایت‌ها و سرورها برای شناسایی بدافزارها.
  • Basic Firewall Protection: محافظت ابتدایی در برابر حملات شناخته‌شده.
  • کاهش خطرات عمومی: کاهش آسیب‌پذیری‌ها و تهدیدات رایج.

هزینه: رایگان

این نسخه برای کاربران مبتدی یا کسانی که به محافظت سطح پایین نیاز دارند، مناسب است، اما نمی‌تواند امنیت جامع‌تری فراهم کند.

۲. نسخه پولی Immunify360

نسخه پولی Immunify360 برای کاربران و کسب‌وکارهایی که به امنیت پیشرفته نیاز دارند، طراحی شده است. این نسخه قابلیت‌های بیشتری را نسبت به نسخه رایگان ارائه می‌دهد و با ویژگی‌های امنیتی قوی‌تر، از جمله Web Application Firewall (WAF)، Intrusion Detection System (IDS) و Proactive Defense، تهدیدات پیچیده‌تری را شناسایی و از آن‌ها جلوگیری می‌کند.

۲.۱. پلن‌های مختلف نسخه پولی Immunify360

نسخه پولی Immunify360 به‌طور کلی در دو مدل Standard و Advanced برای انواع مختلف نیازهای کاربران عرضه می‌شود. هزینه این نسخه‌ها بستگی به تعداد سرورهای تحت پوشش و ویژگی‌های اضافی دارد.

ویژگی‌های مشترک در نسخه پولی:

  • Web Application Firewall (WAF): حفاظت جامع در برابر حملات SQL Injection، Cross-Site Scripting (XSS) و سایر حملات پیچیده.
  • Advanced Malware Scanner: اسکن دقیق‌تر و سریع‌تر برای شناسایی و حذف بدافزارها.
  • Intrusion Detection and Prevention System (IDS/IPS): شناسایی و جلوگیری از حملات شبکه و نفوذ به سیستم.
  • Proactive Defense: جلوگیری از اجرای کدهای مخرب پیش از آلوده کردن سیستم.
  • Reputation Management: بررسی وضعیت دامنه‌ها و IP‌ها در لیست‌های سیاه (Blacklist).
  • Patch Management: به‌روزرسانی و مدیریت خودکار آسیب‌پذیری‌ها.
۲.۲. پلن Standard

ویژگی‌ها:

  • قیمت: به‌طور معمول از ۲۴۹ دلار در سال برای هر سرور.
  • پشتیبانی فنی محدود: دسترسی به پشتیبانی از طریق ایمیل.
  • مناسب برای سرورهای کوچک تا متوسط: مناسب برای کسب‌وکارهای کوچک یا وب‌سایت‌هایی که نیاز به امنیت ابتدایی دارند.
  • امکانات امنیتی اساسی: به‌جز فایروال پیشرفته، ابزارهای اضافی مانند مدیریت شهرت (Reputation Management) و Proactive Defense در این پلن ارائه نمی‌شوند.
۲.۳. پلن Advanced

ویژگی‌ها:

  • قیمت: از ۴۹۹ دلار در سال برای هر سرور.
  • پشتیبانی فنی اولویت‌دار: دسترسی به پشتیبانی ۲۴/۷ از طریق چت زنده، ایمیل و تلفن.
  • تمامی ویژگی‌های امنیتی پیشرفته: شامل WAF، IDS/IPS، Proactive Defense و Patch Management.
  • گزارش‌گیری دقیق: داشبوردهای تحلیلی و گزارش‌های دقیق امنیتی.
  • امکان نصب بر روی سرورهای متعدد: مناسب برای وب‌سایت‌ها و سرورهای بزرگ‌تر که نیاز به امنیت بیشتر دارند.

۳. مقایسه هزینه‌ها و ویژگی‌ها

ویژگی‌ها نسخه رایگان پلن Standard پلن Advanced
Malware Scanner محدود کامل کامل
Web Application Firewall (WAF) غیرفعال فعال فعال
Intrusion Detection (IDS) غیرفعال غیرفعال فعال
Proactive Defense غیرفعال غیرفعال فعال
Patch Management غیرفعال غیرفعال فعال
پشتیبانی فنی محدود پشتیبانی ایمیل پشتیبانی ۲۴/۷
Reputation Management غیرفعال غیرفعال فعال
گزارش‌گیری پیشرفته محدود غیرفعال فعال
قیمت (سالانه) رایگان ۲۴۹ دلار ۴۹۹ دلار

جمع‌بندی

انتخاب مدل لایسنس مناسب برای Immunify360 به نیازهای امنیتی شما بستگی دارد. اگر به یک راهکار امنیتی ابتدایی برای سرور کوچک یا وب‌سایت‌های شخصی نیاز دارید، نسخه رایگان گزینه مناسبی خواهد بود. اما برای کسب‌وکارهایی که به امنیت پیشرفته‌تر و پشتیبانی فنی نیاز دارند، نسخه پولی با پلن Standard و پلن Advanced بهترین انتخاب است. اگر امنیت سرور شما برای حفظ داده‌های حساس و جلوگیری از تهدیدات پیچیده بسیار حائز اهمیت است، پلن Advanced با تمامی ویژگی‌های امنیتی کامل، بهترین گزینه خواهد بود.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه دریافت و فعال‌سازی لایسنس” subtitle=”توضیحات کامل”]برای استفاده از Immunify360 و بهره‌مندی از امکانات و ویژگی‌های امنیتی آن، نیاز به دریافت و فعال‌سازی لایسنس است. این فرآیند به‌طور ساده و مرحله‌به‌مرحله انجام می‌شود. در این بخش، نحوه دریافت لایسنس برای نسخه‌های مختلف Immunify360 توضیح داده می‌شود.

۱. دریافت لایسنس Immunify360

برای دریافت لایسنس Immunify360، ابتدا باید به وب‌سایت رسمی Immunify360 مراجعه کرده و نوع لایسنس مورد نظر خود را انتخاب کنید. پس از انتخاب پلن مناسب، مراحل ثبت‌نام و خرید لایسنس آغاز می‌شود.

مراحل دریافت لایسنس:
  1. مراجعه به وب‌سایت Immunify360: به وب‌سایت رسمی Immunify360 به آدرس https://www.imunify360.com بروید.
  2. انتخاب پلن مناسب: از میان پلن‌های مختلف Immunify360، نسخه‌ای را که مناسب نیازهای امنیتی شما است (رایگان، Standard یا Advanced) انتخاب کنید.
  3. ثبت‌نام و خرید لایسنس: پس از انتخاب پلن، فرم ثبت‌نام و اطلاعات مالی خود را تکمیل کنید. اطلاعات کارت بانکی یا روش‌های پرداخت دیگر (مثل PayPal) برای تکمیل خرید نیاز است.
  4. دریافت کد لایسنس: پس از تکمیل خرید و پرداخت، یک ایمیل شامل کد لایسنس و دستورالعمل‌های فعال‌سازی به شما ارسال خواهد شد.

۲. فعال‌سازی لایسنس Immunify360

پس از دریافت کد لایسنس، مراحل فعال‌سازی آن بر روی سرور خود باید انجام شود. فعال‌سازی بسته به نوع کنترل پنل و محیط سرور شما متفاوت است. در اینجا، روش‌های فعال‌سازی برای محبوب‌ترین کنترل پنل‌ها مانند cPanel، Plesk و DirectAdmin توضیح داده می‌شود.

مراحل فعال‌سازی لایسنس:
  1. ورود به سرور: ابتدا با دسترسی به سرور خود از طریق SSH وارد شوید. می‌توانید این کار را با استفاده از دستور زیر انجام دهید: 
    ssh root@your-server-ip
  2. نصب Immunify360: اگر هنوز Immunify360 را نصب نکرده‌اید، ابتدا آن را نصب کنید. دستور نصب برای cPanel به شرح زیر است: 
    curl -s https://repo.imunify360.cloudlinux.com/imunify360/install.sh | bash

    برای Plesk و DirectAdmin نیز مراحل مشابهی وجود دارد که می‌توانید آن‌ها را در مستندات رسمی Immunify360 پیدا کنید.

  3. فعال‌سازی با کد لایسنس: پس از نصب، باید کد لایسنس خود را برای فعال‌سازی وارد کنید. برای فعال‌سازی به‌صورت دستی از دستور زیر استفاده کنید: 
    imunify360-agent register --key YOUR_LICENSE_KEY

    در این دستور، YOUR_LICENSE_KEY را با کد لایسنس دریافتی جایگزین کنید.

  4. تأیید موفقیت‌آمیز فعال‌سازی: پس از وارد کردن کد لایسنس و اجرای دستور، اگر فعال‌سازی موفقیت‌آمیز باشد، پیامی مشابه این را مشاهده خواهید کرد: 
    Immunify360 is now registered with your license key.
  5. راه‌اندازی مجدد (Restart) سرویس: پس از فعال‌سازی، ممکن است نیاز به راه‌اندازی مجدد برخی سرویس‌ها باشد تا تغییرات اعمال شوند. از دستور زیر برای راه‌اندازی مجدد استفاده کنید: 
    systemctl restart imunify360

۳. بررسی وضعیت فعال‌سازی لایسنس

برای بررسی وضعیت فعال‌سازی و اعتبار لایسنس، از دستور زیر می‌توانید استفاده کنید:

imunify360-agent status

این دستور وضعیت کلی سیستم Immunify360 و لایسنس فعال را نمایش می‌دهد.

۴. تمدید لایسنس

لایسنس Immunify360 به‌طور معمول به‌صورت سالانه یا ماهانه قابل تمدید است. برای تمدید لایسنس، باید به وب‌سایت رسمی Immunify360 مراجعه کرده و نسبت به تمدید پلن خود اقدام کنید. پس از تمدید، کد لایسنس جدید به شما ارسال می‌شود که می‌توانید آن را به‌راحتی جایگزین کد قدیمی کنید.

برای جایگزینی کد لایسنس قدیمی با کد جدید، از دستور زیر استفاده کنید:

imunify360-agent unregister
imunify360-agent register --key NEW_LICENSE_KEY

در این دستور، NEW_LICENSE_KEY را با کد لایسنس جدید جایگزین کنید.

جمع‌بندی

فرآیند دریافت و فعال‌سازی لایسنس Immunify360 شامل مراحل ساده‌ای است که می‌توانید با دنبال کردن مراحل ذکرشده، به‌راحتی آن را بر روی سرور خود نصب و فعال‌سازی کنید. همچنین، به‌راحتی قادر خواهید بود لایسنس خود را تمدید و یا وضعیت آن را بررسی کنید تا از عملکرد امنیتی بهینه بهره‌مند شوید.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 7. چرا Immunify360 را انتخاب کنیم؟”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”امنیت یکپارچه برای سرورهای اشتراکی و اختصاصی” subtitle=”توضیحات کامل”]Immunify360 به‌عنوان یک راهکار امنیتی جامع، امنیت یکپارچه‌ای را برای انواع سرورهای اشتراکی و اختصاصی فراهم می‌آورد. در این بخش، به بررسی دلایلی می‌پردازیم که چرا این ابزار یکی از بهترین انتخاب‌ها برای محافظت از سرورهای شما است، چه در محیط‌های اشتراکی و چه در سرورهای اختصاصی.

۱. امنیت یکپارچه برای سرورهای اشتراکی

سرورهای اشتراکی معمولاً میزبان چندین سایت مختلف هستند که به‌طور مشترک از منابع سرور استفاده می‌کنند. این نوع سرورها، به‌ویژه در محیط‌های میزبانی وب، به دلیل وجود چندین سایت و کاربران مختلف، آسیب‌پذیری‌های امنیتی بیشتری دارند. Immunify360 به‌طور ویژه برای مقابله با این تهدیدات طراحی شده است.

ویژگی‌های امنیتی Immunify360 برای سرورهای اشتراکی:

  • حفاظت در برابر حملات DDoS: این ابزار به‌طور مؤثر با حملات توزیع‌شده محرومیت از سرویس (DDoS) مقابله می‌کند که می‌تواند عملکرد سرورهای اشتراکی را تحت‌تأثیر قرار دهد.
  • سیستم پیشرفته شناسایی و جلوگیری از نفوذ (IDS/IPS): این سیستم به‌صورت دقیق حملات احتمالی را شناسایی کرده و از آنها جلوگیری می‌کند، که در محیط‌های اشتراکی اهمیت زیادی دارد.
  • فایروال وب‌اپلیکیشن (WAF): Immunify360 با شناسایی و مسدود کردن حملات معمول مانند SQL Injection و Cross-Site Scripting (XSS)، از سرور در برابر تهدیدات خارجی محافظت می‌کند.
  • مدیریت بدافزار: این ابزار با شناسایی بدافزارهای موجود در سایت‌ها و حذف آن‌ها، امنیت سایت‌های موجود روی سرور اشتراکی را تضمین می‌کند.

۲. امنیت یکپارچه برای سرورهای اختصاصی

در سرورهای اختصاصی، که تنها یک سایت یا چندین سایت اختصاصی بر روی آن قرار دارند، امکانات بیشتری برای پیاده‌سازی تنظیمات امنیتی پیشرفته وجود دارد. Immunify360 به‌راحتی می‌تواند با پیکربندی‌های مختلف در سرورهای اختصاصی ادغام شود و از آن‌ها در برابر تهدیدات متنوع محافظت کند.

ویژگی‌های امنیتی Immunify360 برای سرورهای اختصاصی:

  • پشتیبانی از امنیت سیستم‌عامل: Immunify360 از سیستم‌عامل‌های مختلفی مانند CloudLinux، CentOS، AlmaLinux و Ubuntu پشتیبانی می‌کند و تنظیمات امنیتی خاص برای هر یک از این سیستم‌ها را اعمال می‌کند.
  • مدیریت به‌روزرسانی‌ها (Patch Management): این ابزار به‌طور خودکار به‌روزرسانی‌های امنیتی سیستم را مدیریت می‌کند و اطمینان حاصل می‌کند که سیستم‌عامل و نرم‌افزارها همیشه به‌روز و محافظت‌شده هستند.
  • دفاع پیشگیرانه (Proactive Defense): با استفاده از این ویژگی، Immunify360 به‌صورت فعال جلوی اجرای هرگونه کد مخرب را می‌گیرد و از آسیب‌های احتمالی جلوگیری می‌کند.
  • بررسی لیست سیاه دامنه‌ها (Reputation Management): Immunify360 به‌طور مداوم سایت‌ها و دامنه‌ها را از نظر قرارگیری در لیست‌های سیاه بررسی می‌کند و در صورت شناسایی مشکل، اقدامات لازم را انجام می‌دهد.

۳. مزایای استفاده از Immunify360 برای سرورهای اشتراکی و اختصاصی

  • پوشش کامل تهدیدات: با ویژگی‌هایی مانند Web Application Firewall (WAF)، Malware Scanner، و IDS/IPS، Immunify360 تهدیدات امنیتی مختلف را شناسایی و متوقف می‌کند.
  • محافظت در برابر حملات پیچیده: این ابزار قادر به مقابله با حملات پیچیده‌ای مانند Zero-Day Attacks و Advanced Persistent Threats (APT) است که می‌توانند به راحتی سرورهای شما را تحت‌تأثیر قرار دهند.
  • مدیریت ساده و کاربرپسند: Immunify360 دارای رابط کاربری ساده‌ای است که مدیران سرور می‌توانند به‌راحتی از آن برای مدیریت تنظیمات امنیتی خود استفاده کنند.
  • سازگاری با کنترل پنل‌ها: Immunify360 از کنترل پنل‌های محبوبی مانند cPanel، Plesk و DirectAdmin پشتیبانی می‌کند که این موضوع به نصب و پیکربندی آن در سرورهای اشتراکی و اختصاصی کمک می‌کند.
  • پشتیبانی ۲۴/۷: با پشتیبانی از تیم‌های فنی متخصص و منابع گسترده برای راهنمایی و رفع مشکلات، Immunify360 امنیت سرورهای شما را در هر زمان از شبانه‌روز تضمین می‌کند.

جمع‌بندی

Immunify360 با ارائه یک لایه امنیتی یکپارچه، قادر است از سرورهای اشتراکی و اختصاصی در برابر تهدیدات مختلف محافظت کند. این ابزار امنیتی با ویژگی‌های پیشرفته‌ای مانند فایروال وب‌اپلیکیشن، شناسایی و جلوگیری از نفوذ، و مدیریت بدافزار، از وب‌سایت‌ها و سرورهای شما در برابر حملات مختلف محافظت کرده و اطمینان حاصل می‌کند که وب‌سایت‌های شما همیشه در حالت امن قرار دارند. انتخاب Immunify360 برای هر دو نوع سرور اشتراکی و اختصاصی، راه‌حلی جامع و قابل‌اعتماد برای مدیریت تهدیدات امنیتی است.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تشخیص و مقابله با حملات در لحظه” subtitle=”توضیحات کامل”]Immunify360 به‌عنوان یک راهکار امنیتی پیشرفته، ویژگی منحصر به‌فردی به نام تشخیص و مقابله با حملات در لحظه را ارائه می‌دهد که می‌تواند تهدیدات و حملات امنیتی را به‌طور فوری شناسایی کرده و اقدامات متقابل لازم را انجام دهد. این قابلیت از اهمیت ویژه‌ای برخوردار است زیرا در دنیای امنیت سایبری، زمان پاسخگویی سریع می‌تواند تفاوت بین یک حمله موفق و یک حمله ناکام را تعیین کند.

۱. شناسایی فوری تهدیدات

Immunify360 از الگوریتم‌ها و تکنیک‌های پیشرفته برای شناسایی تهدیدات استفاده می‌کند. این ابزار با استفاده از سیستم‌های تشخیص نفوذ (IDS) و سیستم‌های پیشگیری از نفوذ (IPS) به‌طور فعال تمامی ترافیک ورودی و فعالیت‌های مشکوک روی سرور را نظارت می‌کند. در صورتی که یک تهدید جدید یا حمله در حال رخ دادن باشد، Immunify360 بلافاصله آن را شناسایی کرده و آن را به‌صورت خودکار متوقف می‌کند.

ویژگی‌های شناسایی فوری تهدیدات در Immunify360:

  • بررسی دقیق درخواست‌ها: درخواست‌هایی که به سرور ارسال می‌شوند، به‌طور دقیق مورد بررسی قرار می‌گیرند تا از حملات معروف مانند SQL Injection، Cross-Site Scripting (XSS)، و Remote File Inclusion (RFI) جلوگیری شود.
  • پاسخ فوری به تهدیدات: در صورت شناسایی هر نوع حمله یا فعالیت مشکوک، Immunify360 به‌طور فوری به آن پاسخ می‌دهد و دسترسی‌های مشکوک را مسدود می‌کند.
  • نظارت مداوم: نظارت ۲۴ ساعته و پیوسته بر تمامی فعالیت‌های سرور، تضمین می‌کند که حتی کوچکترین تهدیدات نیز شناسایی شوند.

۲. اقدامات مقابله‌ای در لحظه

پس از شناسایی تهدیدات، Immunify360 اقدامات فوری برای مقابله با حملات انجام می‌دهد. این اقدامات شامل مسدودسازی IPهای مشکوک، جلوگیری از دسترسی به فایل‌ها یا پوشه‌های آسیب‌پذیر و جلوگیری از اجرای کدهای مخرب می‌شود.

ویژگی‌های مقابله‌ای فوری در Immunify360:

  • مسدودسازی فوری: در صورت شناسایی یک حمله یا تهدید، Immunify360 بلافاصله آدرس‌های IP مهاجم را مسدود کرده و از ادامه حمله جلوگیری می‌کند.
  • بازیابی خودکار: در صورت شناسایی فایل‌های آلوده یا آسیب‌دیده، Immunify360 قادر است به‌طور خودکار از نسخه‌های پشتیبان سالم استفاده کرده و فایل‌های آسیب‌دیده را بازیابی کند.
  • مقابله با حملات DDoS: در صورت شناسایی حملات توزیع‌شده محرومیت از سرویس (DDoS)، Immunify360 به‌طور فعال این حملات را شناسایی کرده و اقدامات لازم برای کاهش اثرات آن را انجام می‌دهد.

۳. ترکیب هوش مصنوعی و یادگیری ماشین

یکی از جنبه‌های برجسته Immunify360 در شناسایی حملات در لحظه، استفاده از هوش مصنوعی (AI) و یادگیری ماشین (ML) است. این ویژگی‌ها به Immunify360 اجازه می‌دهند تا نه‌تنها حملات شناخته‌شده بلکه تهدیدات جدید و پیچیده را نیز شناسایی کند. الگوریتم‌های هوش مصنوعی این امکان را فراهم می‌کنند که با هر حمله جدید، سیستم به‌طور خودکار یاد بگیرد و واکنش‌های خود را بهبود بخشد.

ویژگی‌های هوش مصنوعی و یادگیری ماشین:

  • پیش‌بینی تهدیدات: الگوریتم‌های AI می‌توانند رفتارهای غیرمعمول را شناسایی کرده و به‌صورت خودکار اقدامات پیشگیرانه را انجام دهند.
  • پاسخ به تهدیدات ناشناخته: با استفاده از یادگیری ماشین، Immunify360 قادر است تهدیدات ناشناخته را شناسایی کند و از حملات مبتنی بر تکنیک‌های جدید و پیشرفته جلوگیری کند.

۴. بهبود عملکرد سرور

یکی دیگر از مزایای شناسایی و مقابله با حملات در لحظه توسط Immunify360 این است که این اقدامات هیچ تأثیر منفی بر عملکرد سرور ندارند. ابزار به‌گونه‌ای طراحی شده است که تنها حملات را شناسایی و مسدود می‌کند و بدون ایجاد هیچ‌گونه وقفه‌ای در عملکرد عادی سرور، از آن محافظت می‌کند. به این ترتیب، شما می‌توانید از امنیت بالاتر بدون نگرانی از کاهش سرعت یا عملکرد سرور بهره‌مند شوید.

جمع‌بندی

Immunify360 با ویژگی تشخیص و مقابله با حملات در لحظه یکی از بهترین گزینه‌ها برای حفاظت از سرورهای وب و وب‌سایت‌ها است. این ابزار با استفاده از الگوریتم‌های پیشرفته و هوش مصنوعی، تهدیدات را به‌طور فوری شناسایی کرده و به‌سرعت اقدامات مقابله‌ای را انجام می‌دهد. چه در برابر حملات SQL Injection و XSS باشد و چه در برابر حملات پیچیده‌تر مانند DDoS و Zero-Day Attacks، Immunify360 به‌طور مؤثر از سرور شما در برابر تهدیدات مختلف محافظت می‌کند و امنیت آن را حفظ می‌کند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”کاهش بار امنیتی روی مدیران سرور و اتوماسیون وظایف امنیتی” subtitle=”توضیحات کامل”]Immunify360 به‌عنوان یک راهکار امنیتی پیشرفته، با اتوماسیون وظایف امنیتی و کاهش بار کاری مدیران سرور، فرآیندهای امنیتی را ساده‌تر و کارآمدتر می‌کند. این ابزار با بهره‌گیری از تکنولوژی‌های مدرن امنیتی، امکان شناسایی تهدیدات، جلوگیری از حملات، و انجام عملیات امنیتی را به‌طور خودکار انجام می‌دهد. این ویژگی‌ها به مدیران سرور این امکان را می‌دهد که تمرکز بیشتری بر روی وظایف دیگر خود داشته باشند و نگرانی‌های مربوط به امنیت سرور را به حداقل برسانند.

۱. اتوماسیون شناسایی و جلوگیری از تهدیدات

یکی از مهم‌ترین ویژگی‌های Immunify360 این است که با استفاده از تکنولوژی‌های هوش مصنوعی، خودکارسازی تمامی فرآیندهای امنیتی را به‌طور کامل انجام می‌دهد. به‌عنوان مثال، در هنگام شناسایی هرگونه حمله یا تهدید، سیستم به‌طور خودکار آن را شناسایی کرده و اقدامات مقابله‌ای لازم مانند مسدود کردن آدرس‌های IP مهاجم یا جلوگیری از اجرای کدهای مخرب را انجام می‌دهد. این فرآیند به مدیران سرور این امکان را می‌دهد که بدون نیاز به دخالت دستی، امنیت سرور خود را حفظ کنند.

ویژگی‌های اتوماسیون شناسایی و جلوگیری از تهدیدات در Immunify360:

  • تشخیص خودکار حملات: با شناسایی تهدیدات و حملات در زمان واقعی، Immunify360 به‌طور خودکار از آن‌ها جلوگیری کرده و اقدامات اصلاحی انجام می‌دهد.
  • پاسخ خودکار به تهدیدات: سیستم بلافاصله پس از شناسایی تهدید، اقدامات لازم مانند مسدود کردن IPهای مشکوک یا جلوگیری از دسترسی به فایل‌ها را انجام می‌دهد.
  • مدیریت به‌روزرسانی‌ها: سیستم به‌صورت خودکار به‌روزرسانی‌های امنیتی را بررسی کرده و در صورت لزوم نصب می‌کند تا همواره سیستم به‌روز و امن باشد.

۲. کاهش بار کاری مدیران سرور

یکی از چالش‌های اصلی مدیران سرور، نیاز به نظارت دائم و انجام اقدامات دستی برای شناسایی و مقابله با تهدیدات است. Immunify360 با اتوماسیون کامل وظایف امنیتی، بار کاری مدیران سرور را به‌طور قابل‌توجهی کاهش می‌دهد. از آنجا که بیشتر فرآیندهای امنیتی به‌طور خودکار انجام می‌شود، مدیران سرور می‌توانند تمرکز بیشتری بر روی وظایف دیگر مانند پشتیبانی، بهینه‌سازی عملکرد سرور و حل مشکلات روزمره داشته باشند.

ویژگی‌های کاهش بار کاری مدیران سرور در Immunify360:

  • نظارت ۲۴ ساعته: Immunify360 به‌طور مداوم بر تمامی فعالیت‌های سرور نظارت می‌کند و هیچ نیازی به دخالت دستی برای شناسایی تهدیدات وجود ندارد.
  • پیکربندی خودکار: تنظیمات پیشرفته و هوشمند به‌طور خودکار بهترین روش‌های محافظت را اعمال می‌کند و نیازی به تنظیمات دستی ندارید.
  • گزارش‌دهی خودکار: ابزار به‌طور خودکار گزارش‌هایی از وضعیت امنیتی سرور فراهم می‌آورد تا مدیران سرور بتوانند وضعیت امنیتی را به‌سادگی رصد کنند.

۳. گزارش‌دهی و تحلیل خودکار تهدیدات

Immunify360 با سیستم‌های گزارش‌دهی و تحلیل خودکار، به مدیران سرور این امکان را می‌دهد که از تهدیدات شناسایی‌شده و اقدامات انجام‌شده آگاه شوند. این ویژگی به‌ویژه برای مدیران سرور مهم است زیرا آن‌ها می‌توانند به‌راحتی فعالیت‌های مشکوک و حملات را پیگیری کرده و در صورت نیاز، به‌طور سریع اقدام کنند.

ویژگی‌های گزارش‌دهی و تحلیل خودکار در Immunify360:

  • گزارش‌های دقیق و جامع: گزارش‌های خودکار از فعالیت‌های امنیتی و حملات شناسایی‌شده به مدیران سرور ارسال می‌شود.
  • تحلیل حملات: ابزار می‌تواند اطلاعات دقیق در مورد نوع و منبع حملات، و همچنین اقدامات مقابله‌ای انجام‌شده، ارائه دهد.
  • نمایش فعالیت‌های مشکوک: Immunify360 به‌طور گرافیکی تمامی تهدیدات و حملات را نمایش می‌دهد تا مدیران سرور به‌راحتی قادر به بررسی و تحلیل آن‌ها باشند.

۴. کاهش خطرات ناشی از اشتباهات انسانی

یکی از مشکلات عمده در مدیریت امنیت سرور، اشتباهات انسانی است که می‌تواند به تهدیدات امنیتی منجر شود. با استفاده از Immunify360، بسیاری از وظایف امنیتی به‌صورت خودکار انجام می‌شود و این باعث کاهش احتمال اشتباهات انسانی می‌شود. به‌عنوان مثال، سیستم به‌طور خودکار از آپدیت‌های امنیتی جدید اطلاع می‌یابد و آن‌ها را نصب می‌کند، بدون اینکه نیاز به مداخله دستی باشد.

ویژگی‌های کاهش اشتباهات انسانی در Immunify360:

  • نصب خودکار به‌روزرسانی‌ها: با خودکارسازی فرآیند به‌روزرسانی‌های امنیتی، احتمال اشتباه در اعمال آپدیت‌ها به‌طور کامل از بین می‌رود.
  • پیکربندی خودکار امنیتی: تنظیمات امنیتی به‌طور خودکار انجام می‌شود، بنابراین مدیران سرور نیازی به تنظیمات پیچیده ندارند.
  • آزادی از تنظیمات دستی: بسیاری از تنظیمات پیچیده امنیتی به‌صورت پیش‌فرض اعمال می‌شود، که به این ترتیب از اشتباهات ناشی از تنظیمات دستی جلوگیری می‌شود.

جمع‌بندی

Immunify360 با استفاده از اتوماسیون وظایف امنیتی و شناسایی و مقابله خودکار با تهدیدات، کمک می‌کند تا مدیران سرور بار کاری کمتری داشته باشند و بتوانند از زمان خود برای سایر وظایف استفاده کنند. این ابزار، با ویژگی‌هایی مانند شناسایی تهدیدات در زمان واقعی، گزارش‌دهی خودکار، و کاهش اشتباهات انسانی، به‌طور مؤثری روند امنیتی را ساده‌سازی می‌کند و عملکرد سرور را بهبود می‌بخشد. با استفاده از Immunify360، دیگر نیازی به نگرانی در مورد تهدیدات و حملات نخواهید داشت و می‌توانید بر روی مدیریت و بهینه‌سازی سایر جنبه‌های سرور خود تمرکز کنید.

 [/cdb_course_lesson][/cdb_course_lessons]

[cdb_course_lessons title=”بخش 2. نصب و راه‌اندازی Immunify360″][cdb_course_lesson title=”فصل 1. پیش‌نیازهای سیستم و سرور”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی نسخه‌های سیستم‌عامل‌های سازگار با Immunify360 (مانند CentOS، CloudLinux، AlmaLinux و Ubuntu)” subtitle=”توضیحات کامل”]Immunify360 یکی از راهکارهای پیشرفته امنیتی است که بر روی سرورهای لینوکسی نصب و اجرا می‌شود. این ابزار از سیستم‌عامل‌های مختلف پشتیبانی می‌کند و برای اجرای بهینه نیاز به محیط‌هایی دارد که از نظر امنیتی و عملکردی با آن سازگار باشند. در این بخش، به بررسی نسخه‌های سیستم‌عامل‌های سازگار با Immunify360 خواهیم پرداخت و توضیح خواهیم داد که کدام نسخه‌ها برای نصب و استفاده از این ابزار مناسب هستند.

۱. CentOS

CentOS یکی از محبوب‌ترین توزیع‌های لینوکس است که به‌ویژه برای سرورهای وب و محیط‌های تولیدی استفاده می‌شود. Immunify360 به‌طور کامل با این سیستم‌عامل سازگار است و نصب آن روی CentOS یکی از انتخاب‌های رایج در محیط‌های هاستینگ است.

نسخه‌های سازگار با Immunify360:

  • CentOS 7
  • CentOS 8

ویژگی‌های CentOS برای استفاده با Immunify360:

  • امنیت بالا: CentOS به‌عنوان یک توزیع امن شناخته می‌شود و با ویژگی‌های امنیتی پیشرفته، به نصب و اجرای Immunify360 کمک می‌کند.
  • پشتیبانی از ابزارهای امنیتی: CentOS قابلیت‌های متعددی برای نصب و پیکربندی ابزارهای امنیتی مانند Immunify360 دارد.

۲. CloudLinux

CloudLinux یک سیستم‌عامل مخصوص سرور است که به‌طور ویژه برای بهبود امنیت و عملکرد در محیط‌های هاستینگ طراحی شده است. این سیستم‌عامل به‌ویژه در محیط‌های میزبانی وب مشترک (Shared Hosting) محبوب است و Immunify360 به‌طور کامل با آن سازگار است.

نسخه‌های سازگار با Immunify360:

  • CloudLinux 6.x
  • CloudLinux 7.x
  • CloudLinux 8.x

ویژگی‌های CloudLinux برای استفاده با Immunify360:

  • LVE (Lightweight Virtual Environment): این ویژگی به CloudLinux این امکان را می‌دهد که منابع هر کاربر را به‌طور مجزا مدیریت کند، که این امر به ایزوله شدن محیط‌ها کمک می‌کند و از تهدیدات جلوگیری می‌کند.
  • سازگاری با محیط‌های هاستینگ: CloudLinux به‌طور خاص برای محیط‌های هاستینگ و اجرای تعداد زیادی وب‌سایت طراحی شده و برای استفاده از Immunify360 بسیار مناسب است.

۳. AlmaLinux

AlmaLinux یک توزیع جدید لینوکس است که به‌عنوان جایگزینی برای CentOS 8 معرفی شده است. این توزیع به‌طور کامل از Immunify360 پشتیبانی می‌کند و می‌تواند به‌عنوان یک سیستم‌عامل امن برای اجرای این ابزار در سرورهای لینوکس استفاده شود.

نسخه‌های سازگار با Immunify360:

  • AlmaLinux 8.x

ویژگی‌های AlmaLinux برای استفاده با Immunify360:

  • پایداری بالا: AlmaLinux به دلیل تطابق با RHEL (Red Hat Enterprise Linux) و داشتن به‌روزرسانی‌های امنیتی منظم، یک انتخاب امن برای نصب Immunify360 است.
  • سازگاری با CentOS: از آنجایی که AlmaLinux به‌طور خاص برای جایگزینی CentOS 8 طراحی شده، می‌توان از آن برای نصب ابزارهای مشابه Immunify360 استفاده کرد.

۴. Ubuntu

Ubuntu یکی از توزیع‌های لینوکس محبوب است که در سرورهای وب و محیط‌های تولیدی استفاده زیادی دارد. Immunify360 به‌طور کامل از نسخه‌های مختلف Ubuntu پشتیبانی می‌کند و می‌تواند بر روی سرورهای مبتنی بر این سیستم‌عامل به‌طور مؤثر اجرا شود.

نسخه‌های سازگار با Immunify360:

  • Ubuntu 18.04 LTS
  • Ubuntu 20.04 LTS
  • Ubuntu 22.04 LTS

ویژگی‌های Ubuntu برای استفاده با Immunify360:

  • پشتیبانی از LTS (نسخه‌های طولانی مدت پشتیبانی): نسخه‌های LTS از امنیت و پشتیبانی بلندمدت برخوردار هستند که این امر آن‌ها را برای نصب ابزارهایی مانند Immunify360 مناسب می‌کند.
  • دسترسی به بسته‌های امنیتی: Ubuntu به‌عنوان یکی از توزیع‌های محبوب لینوکس، ابزارهای امنیتی و به‌روزرسانی‌های منظم را به‌راحتی ارائه می‌دهد که در نصب و پیکربندی Immunify360 مؤثر است.

جمع‌بندی

Immunify360 از سیستم‌عامل‌های مختلف لینوکسی پشتیبانی می‌کند و می‌توان آن را روی توزیع‌های معروفی مانند CentOS، CloudLinux، AlmaLinux و Ubuntu نصب و اجرا کرد. این سیستم‌عامل‌ها به‌دلیل ویژگی‌های امنیتی و سازگاری با Immunify360 گزینه‌های مناسبی برای حفاظت از سرورها و وب‌سایت‌ها در برابر تهدیدات مختلف هستند. Immunify360 با ارائه امنیت یکپارچه و ابزارهای پیشرفته در این سیستم‌عامل‌ها، می‌تواند به‌طور مؤثری از اطلاعات شما محافظت کند و تهدیدات را شناسایی و مسدود کند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی میزان منابع سخت‌افزاری مورد نیاز (RAM، CPU، فضای دیسک)” subtitle=”توضیحات کامل”]برای اجرای بهینه Immunify360 بر روی سرورهای لینوکسی، توجه به منابع سخت‌افزاری سیستم بسیار مهم است. این ابزار با توجه به ویژگی‌های امنیتی پیشرفته‌ای که ارائه می‌دهد، نیاز به منابع مشخصی دارد تا بتواند عملکردی پایدار و کارآمد داشته باشد. در این بخش، به بررسی نیازمندی‌های سخت‌افزاری Immunify360 خواهیم پرداخت و میزان منابع مورد نیاز برای اجرای آن را به تفکیک ذکر خواهیم کرد.

۱. RAM (حافظه موقت)

Immunify360 برای تجزیه و تحلیل داده‌های امنیتی و اجرای اسکن‌های بدافزار به حافظه زیادی نیاز دارد. میزان RAM مورد نیاز بسته به اندازه سرور و ترافیک آن متفاوت است.

مقدار RAM مورد نیاز:

  • حداقل: ۲ گیگابایت RAM
  • مطلوب: ۴ گیگابایت RAM یا بیشتر برای سرورهای با ترافیک بالا و تعداد زیاد وب‌سایت

توضیح:
اگر سرور شما ترافیک زیادی دارد یا تعداد زیادی سایت میزبانی می‌کند، افزایش RAM به ۴ گیگابایت یا بیشتر باعث بهبود عملکرد Immunify360 خواهد شد و امکان پردازش بهتر تهدیدات و اسکن‌های امنیتی فراهم می‌شود.

۲. CPU (واحد پردازش مرکزی)

Immunify360 از CPU برای تجزیه و تحلیل داده‌ها و پردازش اطلاعات امنیتی استفاده می‌کند. بار پردازشی به‌ویژه زمانی که اسکن بدافزار یا تشخیص تهدیدات در حال انجام است، بیشتر خواهد شد.

مقدار CPU مورد نیاز:

  • حداقل: یک هسته پردازشی (CPU Core)
  • مطلوب: ۲ هسته پردازشی یا بیشتر برای سرورهای پر بار و با تعداد زیاد وب‌سایت

توضیح:
برای عملکرد بهتر و پردازش سریع‌تر اطلاعات، پیشنهاد می‌شود که سرور دارای حداقل ۲ هسته پردازشی باشد. این کار به سرور کمک می‌کند تا درخواست‌ها و پردازش‌های امنیتی را به‌طور همزمان پردازش کند و از بروز مشکلات در عملکرد جلوگیری شود.

۳. فضای دیسک

Immunify360 نیاز به فضای دیسک برای ذخیره اطلاعات و گزارش‌های مربوط به تهدیدات، بدافزارها، و فعالیت‌های امنیتی دارد. فضای دیسک بسته به نوع اسکن‌ها و مدت زمانی که ابزار گزارش‌ها و تاریخچه‌ها را نگهداری می‌کند، متفاوت است.

مقدار فضای دیسک مورد نیاز:

  • حداقل: ۵ گیگابایت فضای خالی
  • مطلوب: ۱۰ گیگابایت یا بیشتر برای سرورهایی با تعداد زیاد فایل و سایت

توضیح:
اگر ابزارهای اسکن و گزارش‌دهی به‌طور مداوم فعال باشند، فضای دیسک بیشتری برای ذخیره تاریخچه تهدیدات، گزارش‌های اسکن، و فایل‌های مربوط به بدافزارها مورد نیاز خواهد بود. همچنین، اگر قصد دارید Immunify360 را برای مدت طولانی اجرا کنید، افزایش فضای دیسک به حفظ عملکرد و جلوگیری از مشکلات در فضای ذخیره‌سازی کمک می‌کند.

۴. نیازمندی‌های دیگر

  • سرور وب: برای اجرای Immunify360 نیاز به یک سرور وب فعال مانند Apache یا Nginx خواهید داشت.
  • اتصال اینترنت: برای به‌روزرسانی‌های خودکار و دریافت اطلاعات تهدیدات جدید، به اتصال اینترنت پایدار و پرسرعت نیاز دارید.

جمع‌بندی

برای اجرای Immunify360 به‌صورت بهینه، منابع سخت‌افزاری باید بر اساس میزان ترافیک و تعداد وب‌سایت‌های میزبانی‌شده تنظیم شوند. به‌طور کلی، حداقل ۲ گیگابایت RAM، یک هسته پردازشی CPU و ۵ گیگابایت فضای دیسک برای نصب و اجرای ابزار کافی است. با این حال، برای سرورهای با ترافیک بالا یا تعداد زیاد وب‌سایت، بهتر است منابع را ارتقا دهید تا عملکرد بهتری داشته باشید. Immunify360 ابزار امنیتی قدرتمندی است که در صورتی که منابع به‌درستی تنظیم شوند، می‌تواند از سرور شما در برابر تهدیدات امنیتی محافظت کند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نیازمندی‌های پیش‌نیاز نرم‌افزاری (مانند Python، Perl و بسته‌های موردنیاز)” subtitle=”توضیحات کامل”]برای نصب و اجرای بهینه Immunify360 بر روی سرورهای لینوکسی، برخی پیش‌نیازهای نرم‌افزاری باید نصب و پیکربندی شوند. این پیش‌نیازها شامل زبان‌های برنامه‌نویسی مانند Python و Perl و همچنین بسته‌ها و کتابخانه‌های اضافی هستند که عملکرد درست Immunify360 را تضمین می‌کنند. در این بخش از آموزش های ارائه شده توسط فرازنتورک، به بررسی پیش‌نیازهای نرم‌افزاری مورد نیاز برای Immunify360 خواهیم پرداخت.

۱. Python

Immunify360 برای اجرای برخی از اسکریپت‌ها و پردازش‌های امنیتی به Python نیاز دارد. این زبان برنامه‌نویسی برای مدیریت و اجرای وظایف مختلف امنیتی و به‌روزرسانی‌ها مورد استفاده قرار می‌گیرد.

نسخه مورد نیاز Python:

  • نسخه مورد نیاز: Python 2.7 یا Python 3.6 و بالاتر

نصب Python در سیستم: اگر Python بر روی سیستم شما نصب نیست یا نسخه قدیمی‌تری از آن دارید، می‌توانید آن را به راحتی نصب کنید. دستور نصب برای سیستم‌های مبتنی بر Debian/Ubuntu به شرح زیر است:

sudo apt update
sudo apt install python3

برای نصب Python 2.7 (در صورتی که نیاز به این نسخه دارید)، از دستور زیر استفاده کنید:

sudo apt install python2.7

برای سیستم‌های CentOS/RHEL:

sudo yum install python3

۲. Perl

Perl یکی دیگر از زبان‌های برنامه‌نویسی است که Immunify360 برای برخی از فرآیندهای داخلی خود از آن استفاده می‌کند. این زبان معمولاً برای پردازش داده‌ها و اسکریپت‌های خودکار به کار می‌رود.

نسخه مورد نیاز Perl:

  • نسخه مورد نیاز: Perl 5.10 یا بالاتر

نصب Perl در سیستم: برای نصب Perl در سیستم‌های مبتنی بر Debian/Ubuntu، می‌توانید دستور زیر را اجرا کنید:

sudo apt update
sudo apt install perl

در سیستم‌های CentOS/RHEL:

sudo yum install perl

۳. بسته‌های موردنیاز و کتابخانه‌ها

برای عملکرد بهینه و جلوگیری از بروز مشکلات هنگام استفاده از Immunify360، باید برخی از بسته‌ها و کتابخانه‌های نرم‌افزاری اضافی نصب شوند. این بسته‌ها معمولاً شامل ابزارهایی برای مدیریت فایل‌ها، اسکنرهای بدافزار و کتابخانه‌های شبکه هستند.

بسته‌ها و کتابخانه‌های مورد نیاز:

  • libssl-dev – برای پشتیبانی از ارتباطات امن SSL/TLS
  • curl – برای انجام درخواست‌های HTTP و HTTPS
  • unzip – برای استخراج فایل‌ها
  • libxml2 – برای تجزیه و پردازش XML
  • libcurl – برای تعامل با سرویس‌های آنلاین

برای نصب این بسته‌ها در سیستم‌های مبتنی بر Debian/Ubuntu:

sudo apt update
sudo apt install libssl-dev curl unzip libxml2 libcurl4-openssl-dev

برای سیستم‌های CentOS/RHEL:

sudo yum install libssl-dev curl unzip libxml2 libcurl-devel

۴. میزبانی وب و ابزارهای وابسته

برای نصب و اجرای Immunify360، شما به یک سرور وب مانند Apache یا Nginx نیاز دارید. همچنین، برخی ابزارهای وابسته مانند MySQL یا MariaDB ممکن است برای پیکربندی و نظارت بر سیستم‌های مختلف مورد نیاز باشند.

**نصب Apache در سیستم‌های Debian/Ubuntu:

sudo apt install apache2

**نصب Apache در سیستم‌های CentOS/RHEL:

sudo yum install httpd

۵. دستورات تکمیلی برای نصب پیش‌نیازها

قبل از نصب Immunify360، بهتر است همه پیش‌نیازهای نرم‌افزاری را به‌روزرسانی و نصب کنید تا از بروز مشکلات در طول نصب و پیکربندی جلوگیری شود.

برای به‌روزرسانی بسته‌ها در سیستم‌های Debian/Ubuntu:

sudo apt update && sudo apt upgrade

برای سیستم‌های CentOS/RHEL:

sudo yum update

جمع‌بندی

برای نصب Immunify360 بر روی سرورهای لینوکسی، نیاز به نصب برخی پیش‌نیازهای نرم‌افزاری مانند Python و Perl و همچنین بسته‌های اضافی مانند libssl-dev و curl دارید. پس از نصب این پیش‌نیازها، سیستم شما آماده اجرای Immunify360 خواهد بود و قادر به ارائه بهترین سطح حفاظت از سرور و وب‌سایت‌ها خواهد بود.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”پورت‌های موردنیاز در فایروال سرور برای عملکرد صحیح Immunify360″ subtitle=”توضیحات کامل”]برای اینکه Immunify360 به‌درستی روی سرورهای لینوکسی نصب و اجرا شود، برخی از پورت‌ها باید در فایروال سرور شما باز باشند تا این ابزار بتواند به‌درستی با سرور و منابع دیگر ارتباط برقرار کند. این پورت‌ها برای دسترسی به منابع خاص، به‌روزرسانی‌ها، و تعامل با سرورهای خارجی ضروری هستند.

در این بخش، پورت‌های مورد نیاز برای عملکرد صحیح Immunify360 را بررسی خواهیم کرد.

۱. پورت‌های موردنیاز برای به‌روزرسانی و ارتباطات شبکه

Immunify360 نیاز دارد که بتواند به سرورهای خارجی برای به‌روزرسانی پایگاه داده‌ها، دستورات امنیتی، و دریافت اطلاعات تهدیدات جدید دسترسی داشته باشد. این ارتباطات معمولاً از طریق پروتکل‌های HTTP و HTTPS انجام می‌شود. بنابراین، پورت‌های 80 و 443 باید باز باشند.

  • پورت 80 (HTTP) – برای ارتباطات معمولی و به‌روزرسانی‌ها
  • پورت 443 (HTTPS) – برای ارتباطات امن و انتقال داده‌ها از طریق SSL/TLS

دستورات لازم برای باز کردن پورت‌ها در فایروال:

اگر از firewalld استفاده می‌کنید، می‌توانید دستور زیر را برای باز کردن پورت 80 و 443 اجرا کنید:

sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --zone=public --add-port=443/tcp --permanent
sudo firewall-cmd --reload

اگر از iptables استفاده می‌کنید، دستور زیر را وارد کنید:

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
sudo service iptables save

۲. پورت‌های موردنیاز برای دسترسی به مدیریت

Immunify360 می‌تواند به‌صورت آنلاین به شما گزارش‌ها و هشدارهای مربوط به وضعیت امنیتی سرور را ارائه دهد. برای این کار، معمولاً از پورت‌های خاصی برای دسترسی به پنل مدیریت استفاده می‌شود. این پورت‌ها باید در فایروال سرور شما باز باشند:

  • پورت 8083 (cPanel) – اگر از cPanel به عنوان کنترل پنل استفاده می‌کنید.
  • پورت 8443 (Plesk) – اگر از Plesk برای مدیریت سرور استفاده می‌کنید.
  • پورت 2222 (DirectAdmin) – اگر از DirectAdmin به‌عنوان کنترل پنل استفاده می‌کنید.

برای باز کردن این پورت‌ها در firewalld، از دستور زیر استفاده کنید:

sudo firewall-cmd --zone=public --add-port=8083/tcp --permanent
sudo firewall-cmd --zone=public --add-port=8443/tcp --permanent
sudo firewall-cmd --zone=public --add-port=2222/tcp --permanent
sudo firewall-cmd --reload

در صورتی که از iptables استفاده می‌کنید، دستور زیر را وارد کنید:

sudo iptables -A INPUT -p tcp --dport 8083 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 8443 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 2222 -j ACCEPT
sudo service iptables save

۳. پورت‌های موردنیاز برای دسترسی به API‌های خارجی

Immunify360 ممکن است برای دریافت اطلاعات از منابع خارجی و تعامل با APIهای مختلف به پورت‌های اضافی نیاز داشته باشد. این پورت‌ها معمولاً بر اساس نیازهای شبکه و تنظیمات خاص شما تعیین می‌شوند، اما به‌طور عمومی، باز بودن پورت‌های 80 و 443 برای تعامل با سرورهای خارجی کافی است.

جمع‌بندی

برای عملکرد صحیح Immunify360، پورت‌های زیر باید در فایروال سرور باز باشند:

  • پورت 80 (HTTP) برای ارتباطات معمولی
  • پورت 443 (HTTPS) برای ارتباطات امن
  • پورت 8083 برای cPanel
  • پورت 8443 برای Plesk
  • پورت 2222 برای DirectAdmin

این پورت‌ها به شما این امکان را می‌دهند که Immunify360 بتواند به‌درستی با سرورهای خارجی ارتباط برقرار کرده، به‌روزرسانی‌ها را دریافت کرده و گزارش‌های امنیتی را به شما ارسال کند.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 2. دانلود و نصب Immunify360″][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”روش‌های مختلف دریافت و نصب Immunify360″ subtitle=”توضیحات کامل”]Immunify360 یک راهکار امنیتی پیشرفته برای سرورها است که به‌طور ویژه برای مقابله با تهدیدات و حملات مختلف طراحی شده است. این نرم‌افزار از امکانات متعددی نظیر WAF، Malware Scanner، Intrusion Detection و Proactive Defense بهره‌برداری می‌کند. برای نصب و استفاده از Immunify360، این نرم‌افزار در چندین پلتفرم مختلف از جمله cPanel، Plesk، DirectAdmin و همچنین سرورهای لینوکسی به‌صورت مستقل قابل نصب است.

در این بخش، به‌طور کلی روش‌های دریافت و نصب Immunify360 را معرفی می‌کنیم. جزئیات نصب دقیق برای هر پلتفرم در قسمت‌های بعدی ذکر خواهد شد.

نکته مهم: دقت داشته باشید که بعد از خرید لایسنس از شرکت های معتبر یک اسکریپت نصب به شما داده می شود که از طریق آن می توانید Immunify360 را نصب کنید.

روش‌های دریافت Immunify360:

  1. خرید لایسنس از سایت رسمی: ابتدا باید لایسنس Immunify360 را از سایت رسمی آن خریداری کنید. برای خرید لایسنس، باید وارد سایت Immunify360 شوید و بسته مناسب با نیاز خود را انتخاب کنید. پس از خرید لایسنس، اطلاعات مورد نیاز برای فعال‌سازی در اختیار شما قرار خواهد گرفت.
  2. دریافت از طریق کنترل پنل‌ها:
    • cPanel/WHM: برای نصب Immunify360 روی سرورهایی که از cPanel/WHM استفاده می‌کنند، می‌توانید آن را از طریق WHM نصب کنید. فرآیند نصب این نرم‌افزار در این محیط ساده است و به راحتی از طریق Plugins در WHM قابل نصب است.
    • Plesk: اگر از Plesk به‌عنوان کنترل پنل استفاده می‌کنید، می‌توانید Immunify360 را از طریق صفحه Extensions نصب کنید.
    • DirectAdmin: برای سرورهای DirectAdmin، نصب Immunify360 از طریق نصب دستی و استفاده از اسکریپت‌های خاص انجام می‌شود.
  3. نصب بر روی سرورهای مستقل: برای سرورهایی که از هیچ‌یک از کنترل پنل‌های ذکر شده استفاده نمی‌کنند، می‌توانید Immunify360 را به‌صورت مستقل روی سیستم‌عامل لینوکس خود نصب کنید. این نصب معمولاً از طریق خط فرمان (CLI) و اجرای دستورات خاص انجام می‌شود.
  4. دریافت از طریق توزیع‌های خاص لینوکس: بعضی از توزیع‌های لینوکسی مانند CloudLinux و AlmaLinux به‌صورت پیش‌فرض Immunify360 را در پلتفرم خود پشتیبانی می‌کنند و می‌توانند به‌راحتی نصب شوند.

جمع‌بندی

Immunify360 را می‌توان به روش‌های مختلفی دریافت و نصب کرد که شامل نصب از طریق کنترل پنل‌های مختلف مانند cPanel/WHM، Plesk، DirectAdmin و همچنین نصب دستی بر روی سرورهای مستقل لینوکس می‌شود. برای هر پلتفرم، روش نصب متفاوت است و در مطالب بعدی به تفصیل به نصب این نرم‌افزار بر روی هر یک از پلتفرم‌های مختلف پرداخته خواهد شد.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نصب بر روی cPanel” subtitle=”توضیحات کامل”]برای نصب Immunify360 روی سرورهایی که از cPanel به‌عنوان کنترل پنل استفاده می‌کنند، فرآیند نصب نسبتاً ساده است و به‌راحتی می‌توانید این نرم‌افزار امنیتی را از طریق WHM نصب کنید. در این بخش، مراحل دقیق نصب را به‌طور کامل شرح خواهیم داد.

مراحل نصب Immunify360 روی cPanel:

  1. ورود به WHM: ابتدا وارد WHM (WebHost Manager) شوید. برای این کار، وارد مرورگر خود شوید و آدرس WHM را وارد کنید، به‌طور معمول آدرس آن به‌صورت زیر است: 
    https://your-server-ip:2087

    سپس اطلاعات ورود خود را وارد کنید.

  2. جستجو برای Immunify360: پس از ورود به WHM، در نوار جستجو که در گوشه بالای صفحه قرار دارد، عبارت Immunify360 را وارد کنید. این عبارت شما را به صفحه Immunify360 در قسمت Plugins هدایت می‌کند.
  3. نصب Immunify360: در صفحه Immunify360، گزینه Install را خواهید دید. بر روی آن کلیک کنید تا فرآیند نصب آغاز شود.
  4. انتظار برای نصب: پس از کلیک روی دکمه Install، WHM به‌طور خودکار Immunify360 را دانلود و نصب می‌کند. این فرآیند ممکن است چند دقیقه طول بکشد.
  5. ورود به تنظیمات اولیه: پس از اتمام نصب، Immunify360 به‌طور خودکار در cPanel شما فعال می‌شود. حالا باید به بخش پیکربندی اولیه بروید.
    • از داخل WHM، به بخش Plugins بروید.
    • روی Immunify360 کلیک کنید.
    • در این بخش، شما باید لایسنس خود را وارد کنید. لایسنس شما از طریق سایت رسمی Immunify360 در دسترس است.
  6. تنظیمات امنیتی: پس از وارد کردن لایسنس، تنظیمات پیش‌فرض Immunify360 به‌طور خودکار فعال خواهد شد. شما می‌توانید از طریق این صفحه به تنظیمات دقیق‌تر امنیتی دسترسی پیدا کنید و ویژگی‌هایی مانند Web Application Firewall (WAF)، Malware Scanner، و Intrusion Detection را پیکربندی کنید.
  7. بررسی وضعیت نصب: پس از نصب و پیکربندی، به بخش Plugins در cPanel خود بروید و مطمئن شوید که Immunify360 فعال است. شما می‌توانید وضعیت آن را مشاهده کنید و تنظیمات مختلف را مدیریت نمایید.

جمع‌بندی

نصب Immunify360 روی cPanel به‌راحتی از طریق WHM انجام می‌شود. این فرآیند نصب شامل جستجو برای پلاگین Immunify360 در WHM، نصب آن، وارد کردن لایسنس، و انجام تنظیمات اولیه امنیتی است. پس از نصب، شما می‌توانید از ویژگی‌های امنیتی مانند WAF، Malware Scanner و Intrusion Detection بهره‌برداری کنید تا سرور خود را در برابر تهدیدات مختلف محافظت نمایید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نصب بر روی Plesk” subtitle=”توضیحات کامل”]نصب Immunify360 بر روی Plesk ساده و سریع است. در این بخش، به مراحل نصب و پیکربندی این ابزار امنیتی برای کنترل پنل Plesk می‌پردازیم.

پیش‌نیازها برای نصب Immunify360 روی Plesk

قبل از شروع فرآیند نصب، موارد زیر باید رعایت شوند:

  1. یک لایسنس معتبر برای Immunify360: شما باید لایسنس قانونی Immunify360 را از سایت رسمی آن خریداری کنید.
  2. Plesk Panel باید به‌طور کامل نصب شده و در حال اجرا باشد.
  3. دسترسی به سطح ریشه (Root) یا دسترسی به اکانت با دسترسی‌های مدیریتی در Plesk (برای نصب ابزارهای امنیتی).

مراحل نصب Immunify360 بر روی Plesk

  1. وارد شدن به Plesk: ابتدا وارد Plesk Panel شوید. برای این کار به آدرس https://yourdomain.com:8443 بروید و با نام کاربری و رمز عبور اکانت ادمین وارد شوید.
  2. رفتن به بخش Extensions: در قسمت سمت چپ، به بخش Extensions (افزونه‌ها) بروید. این بخش جایی است که شما می‌توانید پلاگین‌ها و افزونه‌های مختلف را نصب و مدیریت کنید.
  3. جستجو برای Immunify360: در صفحه Extensions, بر روی دکمه Find New Extensions کلیک کنید و در نوار جستجو عبارت “Immunify360” را وارد کنید.
  4. انتخاب و نصب Immunify360: هنگامی که Immunify360 را پیدا کردید، بر روی دکمه Install کلیک کنید تا نصب آغاز شود. این فرایند معمولاً چند دقیقه زمان می‌برد.
  5. فعال‌سازی و وارد کردن لایسنس: پس از نصب، باید Immunify360 را فعال کنید. برای این کار:
    • به بخش Immunify360 که پس از نصب در Plesk ظاهر می‌شود بروید.
    • در صفحه جدید، شما باید لایسنس معتبر خود را وارد کنید. این لایسنس به شما اجازه می‌دهد تا از تمامی ویژگی‌های Immunify360 بهره‌مند شوید.
    • اطلاعات لایسنس را وارد کرده و بر روی Activate کلیک کنید.
  6. پیکربندی اولیه: بعد از فعال‌سازی، Immunify360 به‌طور خودکار تنظیمات اولیه امنیتی را اعمال خواهد کرد. شما می‌توانید تنظیمات پیشرفته‌تر را نیز از این صفحه و با توجه به نیازهای خاص خود تنظیم کنید.

جمع‌بندی

نصب Immunify360 بر روی Plesk با چند مرحله ساده انجام می‌شود. ابتدا باید افزونه Immunify360 را از Extensions پیدا کرده و نصب کنید. سپس با وارد کردن لایسنس معتبر، آن را فعال کرده و تنظیمات اولیه را انجام دهید. این فرآیند به شما امکان می‌دهد تا سرور خود را در برابر تهدیدات مختلف به‌طور مؤثر محافظت کنید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نصب بر روی DirectAdmin” subtitle=”توضیحات کامل”]نصب Immunify360 بر روی DirectAdmin نیز مشابه با نصب آن در کنترل پنل‌های دیگر است، اما نیاز به چند مرحله اضافی برای پیکربندی و تنظیمات خاص دارد. در این بخش، به مراحل نصب و پیکربندی این ابزار امنیتی بر روی DirectAdmin خواهیم پرداخت.

پیش‌نیازها برای نصب Immunify360 روی DirectAdmin

قبل از نصب Immunify360، اطمینان حاصل کنید که موارد زیر آماده است:

  1. لایسنس معتبر برای Immunify360: شما نیاز به یک لایسنس قانونی برای استفاده از Immunify360 دارید.
  2. DirectAdmin باید نصب شده و در حال اجرا باشد.
  3. دسترسی به سطح ریشه (Root) یا دسترسی به اکانت با دسترسی‌های مدیریتی در DirectAdmin.
  4. توزیع لینوکس سازگار مانند CentOS، CloudLinux، یا Ubuntu.

مراحل نصب Immunify360 بر روی DirectAdmin

  1. اتصال به سرور از طریق SSH: ابتدا به سرور خود از طریق SSH وارد شوید. برای این کار از دستور زیر استفاده کنید: 
    ssh root@yourserverIP
  2. دانلود و نصب Immunify360: برای نصب Immunify360، ابتدا باید اسکریپت نصب را دانلود کنید. از دستور زیر برای دانلود استفاده کنید: 
    wget https://repo.imunify360.cloudlinux.com/defence360/imunify360-install.sh
  3. اجرای اسکریپت نصب: پس از دانلود اسکریپت نصب، آن را با دستور زیر اجرا کنید تا Immunify360 بر روی سرور نصب شود: 
    bash imunify360-install.sh

    این اسکریپت به‌طور خودکار تمامی پیش‌نیازها و بسته‌های لازم را نصب کرده و Immunify360 را روی سرور شما راه‌اندازی خواهد کرد.

  4. فعال‌سازی Immunify360: بعد از نصب، شما باید Immunify360 را فعال کنید. برای این کار باید به پنل مدیریت DirectAdmin رفته و Immunify360 را از بخش افزونه‌ها (Add-ons) فعال کنید. به علاوه، باید لایسنس معتبر خود را وارد کنید.
  5. دسترسی به رابط کاربری: پس از نصب و فعال‌سازی، Immunify360 به‌طور خودکار در بخش Security پنل DirectAdmin ظاهر می‌شود. شما می‌توانید از آنجا تمامی تنظیمات امنیتی را مدیریت کنید.

جمع‌بندی

نصب Immunify360 بر روی DirectAdmin با استفاده از اسکریپت نصب bash بسیار ساده است. ابتدا اسکریپت را از مخزن رسمی دانلود کرده و آن را اجرا کنید. سپس لایسنس معتبر خود را وارد کرده و افزونه را فعال کنید. با این روش، سرور شما در برابر تهدیدات مختلف محافظت خواهد شد.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نصب Immunify360 روی سرورهای لینوکس بدون کنترل پنل” subtitle=”توضیحات کامل”]نصب Immunify360 بر روی سرورهای لینوکسی که هیچ کنترل پنلی مانند cPanel، Plesk یا DirectAdmin ندارند، کمی متفاوت است. در این حالت، نصب و پیکربندی بیشتر از طریق خط فرمان انجام می‌شود. در این بخش به نحوه نصب Immunify360 روی سرورهای لینوکس بدون کنترل پنل خواهیم پرداخت.

پیش‌نیازها برای نصب Immunify360 بر روی سرورهای لینوکس بدون کنترل پنل

قبل از نصب Immunify360، مطمئن شوید که موارد زیر آماده است:

  1. لایسنس معتبر برای Immunify360: باید لایسنس قانونی برای استفاده از Immunify360 داشته باشید.
  2. دسترسی به سطح ریشه (Root) یا دسترسی به اکانت با دسترسی‌های مدیریتی.
  3. سیستم‌عامل لینوکس: CentOS، CloudLinux، AlmaLinux، یا Ubuntu (نسخه‌های پایدار).
  4. یک سرور بدون کنترل پنل که برای مدیریت و نظارت به ابزارهای خط فرمان نیاز داشته باشید.

مراحل نصب Immunify360 روی سرورهای لینوکس بدون کنترل پنل

  1. اتصال به سرور از طریق SSH: ابتدا از طریق SSH به سرور خود متصل شوید. برای این کار از دستور زیر استفاده کنید: 
    ssh root@yourserverIP
  2. دانلود اسکریپت نصب Immunify360: اسکریپت نصب Immunify360 را از مخزن رسمی دانلود کنید. برای این کار دستور زیر را وارد کنید: 
    wget https://repo.imunify360.cloudlinux.com/defence360/imunify360-install.sh
  3. اجرای اسکریپت نصب: پس از دانلود اسکریپت، آن را اجرا کنید تا Immunify360 به‌طور خودکار بر روی سرور شما نصب شود: 
    bash imunify360-install.sh

    اسکریپت به‌طور خودکار Immunify360 را روی سرور نصب کرده و تمامی بسته‌ها و پیش‌نیازهای مورد نیاز را نصب خواهد کرد.

  4. فعال‌سازی Immunify360: بعد از نصب، Immunify360 باید فعال شود. شما باید لایسنس خود را وارد کنید. این کار را می‌توانید از طریق فرمان زیر انجام دهید: 
    imunify360-agent activate YOUR_LICENSE_KEY

    جایگزین کردن YOUR_LICENSE_KEY با کلید لایسنس خود الزامی است.

  5. بررسی وضعیت نصب و پیکربندی: پس از فعال‌سازی، می‌توانید وضعیت نصب Immunify360 را با استفاده از دستور زیر بررسی کنید: 
    imunify360-agent status

    این دستور وضعیت فعلی Immunify360 را نشان می‌دهد و می‌توانید بررسی کنید که آیا تمامی خدمات به‌درستی راه‌اندازی شده‌اند یا خیر.

جمع‌بندی

نصب Immunify360 بر روی سرورهای لینوکس بدون کنترل پنل به‌صورت خط فرمان انجام می‌شود. شما ابتدا باید اسکریپت نصب را دانلود کرده، آن را اجرا کرده و سپس لایسنس خود را وارد کنید تا Immunify360 به‌طور کامل بر روی سرور نصب و فعال شود. این ابزار تمامی تهدیدات و حملات احتمالی را شناسایی و از سرور شما محافظت می‌کند.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 3. فعال‌سازی و اعتبارسنجی لایسنس”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی لایسنس‌های موجود و تفاوت نسخه‌های رایگان و پولی” subtitle=”توضیحات کامل”]Immunify360 یک راه‌حل امنیتی قدرتمند برای محافظت از سرورها و وب‌سایت‌ها است که از چندین لایه امنیتی برای شناسایی و مقابله با تهدیدات استفاده می‌کند. این ابزار در دو نسخه رایگان و پولی ارائه می‌شود که هر کدام ویژگی‌های خاص خود را دارند.

نسخه رایگان

نسخه رایگان Immunify360 به عنوان یک گزینه ابتدایی برای کاربران ارائه می‌شود و بیشتر بر روی محافظت ابتدایی از سرورها تمرکز دارد. برخی از ویژگی‌های کلیدی نسخه رایگان شامل موارد زیر هستند:

  • Malware Scanner: شناسایی و حذف بدافزارها به صورت ابتدایی.
  • Basic WAF (Web Application Firewall): محافظت اولیه در برابر حملات وب مانند SQL Injection و XSS.
  • Basic IDS/IPS: شناسایی و جلوگیری از برخی حملات.

البته، نسخه رایگان از برخی قابلیت‌های پیشرفته و مدیریت‌های خودکار محافظت، نظارت و آپدیت‌ها برخوردار نیست و برای شرکت‌ها یا کاربران حرفه‌ای ممکن است کافی نباشد.

نسخه پولی

نسخه پولی Immunify360 مجموعه‌ای از قابلیت‌های پیشرفته را در اختیار کاربران قرار می‌دهد که علاوه بر امنیت بیشتر، کارایی و قابلیت‌های مدیریت بهتری هم ارائه می‌دهد. برخی از ویژگی‌های نسخه پولی عبارتند از:

  • Advanced Malware Scanner: شناسایی و حذف پیشرفته‌تر بدافزارها.
  • Proactive Defense: شناسایی و جلوگیری از حملات قبل از اجرای کدهای مخرب.
  • Reputation Management: بررسی لیست سیاه دامنه‌ها و جلوگیری از آسیب به شهرت سایت.
  • Patch Management: مدیریت و به‌روزرسانی‌های امنیتی به صورت خودکار.
  • Advanced WAF: محافظت پیشرفته در برابر حملات وب با قابلیت‌های دقیق‌تر.
  • Full IDS/IPS: شناسایی و جلوگیری از تمام حملات بر اساس الگوهای پیچیده.
  • Reports and Logs: گزارش‌گیری دقیق و جامع در رابطه با امنیت سرور و وب‌سایت.

نسخه پولی همچنین به کاربران امکان می‌دهد که دسترسی به پشتیبانی ۲۴/۷ و به‌روزرسانی‌های امنیتی به‌روز داشته باشند، که برای مدیریت امنیت سرور در محیط‌های تجاری اهمیت زیادی دارد.

تفاوت‌های اصلی بین نسخه رایگان و پولی
  1. ویژگی‌های امنیتی: نسخه پولی شامل ویژگی‌های امنیتی پیشرفته‌تری مانند Proactive Defense، Patch Management و گزارش‌گیری پیشرفته است که در نسخه رایگان وجود ندارد.
  2. پشتیبانی فنی: در نسخه پولی، دسترسی به پشتیبانی ۲۴/۷ فراهم است، در حالی که نسخه رایگان فقط به مستندات و راهنماهای آنلاین محدود است.
  3. به‌روزرسانی‌های امنیتی: نسخه پولی به‌طور خودکار به‌روزرسانی‌های امنیتی را دریافت می‌کند، در حالی که در نسخه رایگان، کاربران باید خود به‌صورت دستی این به‌روزرسانی‌ها را انجام دهند.
  4. امکانات مدیریت: در نسخه پولی ابزارهای پیشرفته‌تری برای نظارت، گزارش‌دهی و مدیریت امنیت در دسترس است.
  5. قیمت: نسخه رایگان هیچ هزینه‌ای ندارد، در حالی که نسخه پولی بر اساس تعداد سرورها و نوع استفاده قیمت‌گذاری می‌شود.
جمع‌بندی

در نهایت، انتخاب بین نسخه رایگان و پولی بستگی به نیازهای امنیتی و میزان پشتیبانی موردنظر کاربران دارد. نسخه رایگان می‌تواند برای استفاده شخصی یا وب‌سایت‌های کم‌حجم کافی باشد، اما برای سازمان‌ها و کسب‌وکارهایی که به امنیت پیشرفته‌تری نیاز دارند، نسخه پولی انتخاب بهتری است.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه فعال‌سازی لایسنس از طریق CLI” subtitle=”توضیحات کامل”]برای فعال‌سازی لایسنس Immunify360 از طریق خط فرمان (CLI) بر روی سرورهای لینوکس، مراحل زیر را دنبال کنید:

۱. ورود به سرور

ابتدا باید وارد سرور خود شوید. از طریق SSH به سرور خود متصل شوید:

ssh root@your_server_ip
۲. نصب Immunify360 (در صورتی که نصب نشده باشد)

اگر Immunify360 را نصب نکرده‌اید، ابتدا باید آن را نصب کنید. برای نصب بر روی سرورهای لینوکس از دستور زیر استفاده کنید:

برای سرورهایی که از cPanel استفاده می‌کنند:

cd /usr/local/src
wget https://repo.imunify360.cloudlinux.com/defence360/i360deploy.sh
sh i360deploy.sh

برای سرورهایی که از Plesk یا DirectAdmin استفاده می‌کنند، می‌توانید از اسکریپت نصب متناسب با کنترل پنل خود استفاده کنید. اما در این بخش، ما بر روی نصب بر روی سرورهای لینوکسی بدون کنترل پنل تمرکز می‌کنیم.

۳. دریافت و فعال‌سازی لایسنس

برای فعال‌سازی لایسنس، ابتدا لایسنس خود را از طریق پنل کاربری Immunify360 یا ایمیلی که دریافت کرده‌اید، به دست آورید. سپس، از دستور زیر برای فعال‌سازی لایسنس استفاده کنید:

imunify360-agent license --key="your_license_key"

توجه داشته باشید که باید your_license_key را با لایسنس واقعی خود جایگزین کنید.

۴. بررسی وضعیت فعال‌سازی

پس از فعال‌سازی لایسنس، می‌توانید وضعیت فعال‌سازی را بررسی کنید تا مطمئن شوید که لایسنس به‌درستی وارد شده است. برای این کار از دستور زیر استفاده کنید:

imunify360-agent status

اگر لایسنس با موفقیت فعال شده باشد، اطلاعات مربوط به وضعیت لایسنس نمایش داده می‌شود.

۵. فعال‌سازی خودکار پس از نصب

در صورتی که بخواهید لایسنس به‌طور خودکار پس از نصب فعال شود، می‌توانید از اسکریپت نصب i360deploy.sh استفاده کنید که این فرایند را به‌طور خودکار انجام می‌دهد.

جمع‌بندی

فعال‌سازی لایسنس Immunify360 از طریق CLI یک فرایند ساده است که به شما این امکان را می‌دهد که با استفاده از کلید لایسنس خود، از تمامی قابلیت‌های امنیتی این نرم‌افزار استفاده کنید. پس از وارد کردن کلید لایسنس و بررسی وضعیت، سرور شما آماده استفاده از ویژگی‌های پیشرفته Immunify360 خواهد بود.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه بررسی وضعیت لایسنس و تمدید آن” subtitle=”توضیحات کامل”]برای بررسی وضعیت لایسنس و تمدید آن در Immunify360، می‌توانید از دستورهای CLI استفاده کنید. این دستورات به شما امکان می‌دهند تا از وضعیت فعلی لایسنس خود آگاه شوید و همچنین مراحل تمدید آن را دنبال کنید.

۱. بررسی وضعیت لایسنس

برای مشاهده وضعیت لایسنس موجود در سرور، از دستور زیر استفاده کنید:

imunify360-agent license --status

این دستور وضعیت لایسنس را به‌طور کامل نمایش می‌دهد، از جمله تاریخ انقضا، نوع لایسنس (رایگان یا پولی)، و سایر جزئیات مرتبط.

خروجی این دستور می‌تواند به شکل زیر باشد:

License status: Active
License type: Paid
Expiry date: 2025-04-09

اگر لایسنس شما فعال باشد و مشکلی نداشته باشد، وضعیت “Active” را مشاهده خواهید کرد. همچنین، تاریخ انقضا و نوع لایسنس (رایگان یا پولی) نیز به‌طور دقیق مشخص خواهد شد.

۲. تمدید لایسنس

اگر لایسنس شما به پایان نزدیک است یا منقضی شده است، باید آن را تمدید کنید. برای تمدید لایسنس، می‌توانید از پنل کاربری Immunify360 (در وبسایت رسمی) یا از طریق ایمیل که دریافت کرده‌اید، لایسنس جدید تهیه کنید.

برای تمدید لایسنس از طریق CLI، ابتدا باید لایسنس جدید را دریافت کرده و سپس از دستور زیر برای فعال‌سازی لایسنس جدید استفاده کنید:

imunify360-agent license --key="new_license_key"

جایگزین کردن new_license_key با لایسنس جدید شما ضروری است. پس از وارد کردن کلید لایسنس جدید، سیستم لایسنس را به‌روزرسانی می‌کند.

۳. بررسی وضعیت پس از تمدید

بعد از وارد کردن لایسنس جدید، می‌توانید وضعیت لایسنس را دوباره بررسی کنید تا اطمینان حاصل کنید که تمدید به‌درستی انجام شده است:

imunify360-agent license --status

در این مرحله، باید تاریخ جدید انقضا و وضعیت “Active” را مشاهده کنید که نشان‌دهنده تمدید موفقیت‌آمیز لایسنس است.

جمع‌بندی

برای بررسی وضعیت لایسنس Immunify360، دستور imunify360-agent license --status به شما اطلاعات دقیقی از وضعیت فعلی لایسنس می‌دهد. در صورتی که نیاز به تمدید لایسنس داشته باشید، می‌توانید کلید لایسنس جدید را وارد کنید و با استفاده از دستور imunify360-agent license --key="new_license_key" لایسنس خود را به‌روزرسانی کنید. پس از انجام این مراحل، وضعیت لایسنس را مجدداً بررسی کرده تا از فعال‌سازی صحیح لایسنس جدید اطمینان حاصل کنید.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 4. تنظیمات اولیه پس از نصب”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی وضعیت سرویس‌ها و فعال‌سازی ابزارهای امنیتی” subtitle=”توضیحات کامل”]برای اطمینان از عملکرد صحیح Immunify360 و فعال بودن ابزارهای امنیتی مختلف، می‌توان از دستورات CLI استفاده کرد. این دستورات به شما امکان می‌دهند تا وضعیت سرویس‌ها را بررسی کرده و ابزارهای امنیتی مورد نیاز را فعال یا غیرفعال کنید.

۱. بررسی وضعیت کلی سرویس‌های Immunify360

برای بررسی وضعیت سرویس‌های مختلف Immunify360 می‌توانید از دستور زیر استفاده کنید:

imunify360-agent service --status

این دستور وضعیت تمامی سرویس‌های فعال Immunify360 را نمایش می‌دهد. در صورتیکه تمام سرویس‌ها به درستی در حال اجرا باشند، خروجی به شکل زیر خواهد بود:

Service status:
- Imunify360 Web Application Firewall (WAF): Active
- Malware Scanner: Active
- Intrusion Detection and Prevention System (IDS/IPS): Active
- Proactive Defense: Active

در صورتی که هر یک از سرویس‌ها غیرفعال یا با مشکلی مواجه باشد، در گزارش وضعیت به‌وضوح نمایش داده می‌شود.

۲. فعال‌سازی یا غیرفعال‌سازی سرویس‌ها

برای فعال‌سازی یا غیرفعال‌سازی سرویس‌های مختلف، می‌توانید از دستورهای CLI مربوطه استفاده کنید.

  • فعال‌سازی یک سرویس خاص:

برای فعال‌سازی یک سرویس خاص مثل Malware Scanner یا WAF، از دستور زیر استفاده کنید:

imunify360-agent service --enable [service_name]

جایگزین کردن [service_name] با نام سرویس مورد نظر الزامی است. برای مثال، برای فعال‌سازی WAF:

imunify360-agent service --enable WAF
  • غیرفعال‌سازی یک سرویس خاص:

برای غیرفعال‌سازی یک سرویس خاص، از دستور مشابه استفاده کنید:

imunify360-agent service --disable [service_name]

برای مثال، برای غیرفعال‌سازی Malware Scanner:

imunify360-agent service --disable MalwareScanner
۳. بررسی وضعیت ابزارهای امنیتی

Immunify360 شامل ابزارهای مختلفی مانند فایروال، سیستم شناسایی و جلوگیری از نفوذ (IDS/IPS)، و اسکنر بدافزار است. برای بررسی وضعیت هر یک از این ابزارها، می‌توانید از دستورات زیر استفاده کنید:

  • وضعیت Web Application Firewall (WAF):
imunify360-agent waf --status

این دستور وضعیت فایروال وب‌سایت شما را نمایش می‌دهد. خروجی معمولاً شامل وضعیت فعال یا غیرفعال بودن WAF است.

  • وضعیت Malware Scanner:
imunify360-agent scanner --status

این دستور به شما وضعیت اسکنر بدافزار را نمایش می‌دهد. در صورتی که اسکنر فعال باشد، از وضعیت “Active” گزارش داده خواهد شد.

  • وضعیت IDS/IPS:
imunify360-agent ids --status

وضعیت سیستم شناسایی و جلوگیری از نفوذ (IDS/IPS) را بررسی می‌کند.

۴. فعال‌سازی ابزارهای امنیتی

برای فعال‌سازی هر یک از این ابزارهای امنیتی، از دستور زیر استفاده کنید:

  • فعال‌سازی WAF:
imunify360-agent waf --enable
  • فعال‌سازی Malware Scanner:
imunify360-agent scanner --enable
  • فعال‌سازی IDS/IPS:
imunify360-agent ids --enable
۵. بررسی گزارش‌ها

برای مشاهده گزارش‌ها و لاگ‌ها مرتبط با سرویس‌ها و ابزارهای فعال، می‌توانید از دستور زیر استفاده کنید:

imunify360-agent logs --status

این دستور تمامی گزارش‌های مربوط به عملکرد و وضعیت ابزارهای امنیتی را نمایش می‌دهد.

جمع‌بندی

برای بررسی وضعیت سرویس‌ها و ابزارهای امنیتی در Immunify360، می‌توانید از دستورات CLI مختلف استفاده کنید که وضعیت سرویس‌ها مانند WAF، Malware Scanner و IDS/IPS را نمایش می‌دهند. همچنین می‌توانید با استفاده از دستورات فعال‌سازی یا غیرفعال‌سازی، این ابزارها را مدیریت کنید. این دستورات به شما کمک می‌کنند تا عملکرد صحیح سیستم امنیتی سرور خود را تضمین کنید و از بروز مشکلات احتمالی جلوگیری نمایید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیمات اولیه برای فایروال وب (WAF)” subtitle=”توضیحات کامل”]فایروال وب (Web Application Firewall – WAF) یکی از مهم‌ترین ابزارهای امنیتی برای محافظت از وب‌سایت‌ها و برنامه‌های تحت وب در برابر حملات متداول مانند SQL Injection، XSS و سایر تهدیدات است. در Immunify360، فایروال وب برای شناسایی و مسدودسازی حملات به‌صورت خودکار و در لحظه طراحی شده است. برای پیکربندی و تنظیمات اولیه WAF، می‌توانید از دستورهای CLI استفاده کنید.

۱. بررسی وضعیت WAF

قبل از هر گونه تغییر در تنظیمات، بهتر است وضعیت فعلی فایروال وب را بررسی کنید. برای این کار از دستور زیر استفاده کنید:

imunify360-agent waf --status

این دستور وضعیت فعلی فایروال وب را نشان می‌دهد. در صورتیکه WAF فعال باشد، خروجی مشابه زیر خواهد بود:

Web Application Firewall (WAF) is enabled and running.

اگر WAF غیرفعال باشد، می‌توانید با استفاده از دستور زیر آن را فعال کنید.

۲. فعال‌سازی WAF

برای فعال‌سازی فایروال وب (WAF)، از دستور زیر استفاده کنید:

imunify360-agent waf --enable

پس از فعال‌سازی، می‌توانید دوباره از دستور --status برای تأیید فعال بودن WAF استفاده کنید.

۳. تنظیمات فایروال وب (WAF)

در Immunify360، فایروال وب به‌طور پیش‌فرض برای مقابله با حملات متداول مانند SQL Injection و Cross-Site Scripting (XSS) پیکربندی شده است. اما ممکن است نیاز باشد که تنظیمات خاص‌تری برای نیازهای خاص وب‌سایت یا برنامه خود انجام دهید. برای پیکربندی تنظیمات اضافی می‌توانید از فایل پیکربندی استفاده کنید.

  • محافظت در برابر حملات SQL Injection و XSS:

برای فعال‌سازی محافظت در برابر حملات SQL Injection و XSS، فایل پیکربندی WAF را باز کرده و گزینه‌های مربوطه را فعال کنید. این تنظیمات به‌طور پیش‌فرض فعال هستند، اما اگر نیاز به تغییرات خاص دارید، می‌توانید از طریق فایل پیکربندی به آن‌ها دسترسی داشته باشید.

مسیر فایل پیکربندی برای WAF معمولاً به صورت زیر است:

/etc/imunify360/config/waf.conf

در این فایل، می‌توانید تنظیمات مختلف مانند نحوه شناسایی حملات SQL Injection و XSS را مشاهده و ویرایش کنید.

برای مثال، برای فعال‌سازی محافظت در برابر SQL Injection، گزینه زیر را به فایل پیکربندی اضافه کنید:

sql_injection_protection = true

برای فعال‌سازی محافظت در برابر XSS:

xss_protection = true
  • تنظیمات اضافی WAF:

در فایل waf.conf، می‌توانید تنظیمات دیگری مانند مدت زمان مسدودسازی IP های مشکوک یا تعداد تلاش‌های ناموفق ورود به سیستم را تنظیم کنید. به‌طور مثال:

max_attempts_before_ban = 5
ban_duration_minutes = 60

این تنظیمات به شما این امکان را می‌دهد که رفتارهای مشکوک را شناسایی و مسدود کنید.

۴. بررسی و مشاهده لاگ‌های WAF

برای بررسی گزارش‌های مربوط به WAF و شناسایی حملات یا تلاش‌های مشکوک، می‌توانید از دستورات زیر استفاده کنید:

imunify360-agent logs --waf

این دستور گزارش‌های مربوط به فایروال وب را نمایش می‌دهد. لاگ‌ها شامل اطلاعات دقیق‌تری در مورد حملات مسدود شده و رفتارهای مشکوک در وب‌سایت شما هستند.

۵. به‌روزرسانی و ارتقاء تنظیمات WAF

برای ارتقاء و به‌روزرسانی تنظیمات فایروال وب، می‌توانید از دستور زیر استفاده کنید تا فایروال به‌صورت خودکار با جدیدترین تعریف‌های تهدید و قواعد امنیتی به‌روزرسانی شود:

imunify360-agent update --waf

این دستور تنظیمات WAF را با جدیدترین قواعد امنیتی به‌روزرسانی می‌کند.

جمع‌بندی

تنظیمات فایروال وب (WAF) در Immunify360 به‌طور پیش‌فرض برای مقابله با تهدیدات متداول مانند SQL Injection و XSS فعال هستند. با استفاده از دستورات CLI و ویرایش فایل پیکربندی waf.conf، می‌توانید تنظیمات خاص‌تری انجام دهید. همچنین با بررسی گزارش‌ها و لاگ‌ها، می‌توانید به‌طور مداوم وضعیت امنیتی وب‌سایت خود را پایش کرده و در صورت لزوم اقدامات پیشگیرانه بیشتری انجام دهید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”فعال‌سازی و پیکربندی اسکن بدافزار” subtitle=”توضیحات کامل”]یکی از مهم‌ترین ویژگی‌های امنیتی در Immunify360، اسکن بدافزار است که به شناسایی و حذف بدافزارهای موجود در سیستم یا وب‌سایت کمک می‌کند. این اسکنر می‌تواند به‌طور خودکار بدافزارها را شناسایی کرده و به محض شناسایی، اقدامات لازم برای حذف یا قرنطینه آن‌ها را انجام دهد.

۱. بررسی وضعیت اسکن بدافزار

قبل از هر گونه تنظیمات جدید، اولین مرحله بررسی وضعیت فعلی اسکن بدافزار است. برای بررسی وضعیت اسکن بدافزار، از دستور زیر استفاده کنید:

imunify360-agent malware --status

اگر اسکن بدافزار فعال باشد، خروجی به شکل زیر خواهد بود:

Malware Scanner is enabled and running.

اگر اسکن بدافزار غیرفعال باشد، با استفاده از دستور زیر آن را فعال کنید.

۲. فعال‌سازی اسکن بدافزار

برای فعال‌سازی اسکن بدافزار در Immunify360، دستور زیر را اجرا کنید:

imunify360-agent malware --enable

پس از فعال‌سازی، می‌توانید دوباره از دستور --status برای تأیید فعال بودن اسکن بدافزار استفاده کنید.

۳. پیکربندی تنظیمات اسکن بدافزار

Immunify360 به‌طور پیش‌فرض دارای تنظیمات مناسبی برای اسکن بدافزار است، اما ممکن است نیاز باشد که تنظیمات خاص‌تری بر اساس نیازهای وب‌سایت یا سرور خود انجام دهید. برای این کار می‌توانید فایل پیکربندی اسکنر بدافزار را ویرایش کنید.

مسیر فایل پیکربندی به‌طور پیش‌فرض در مکان زیر قرار دارد:

/etc/imunify360/config/malware.conf

در این فایل، می‌توانید تنظیمات مختلف اسکن بدافزار را مشاهده کنید. برخی از تنظیمات مهم به شرح زیر است:

  • تنظیمات زمان‌بندی اسکن:

برای تنظیم زمان‌بندی اسکن بدافزار، می‌توانید گزینه scan_interval را تغییر دهید. این گزینه مدت زمانی را که بین هر اسکن باید سپری شود، مشخص می‌کند. به‌عنوان مثال، برای انجام اسکن روزانه، می‌توانید مقدار این گزینه را به ۱ روز تنظیم کنید:

scan_interval = 1d

اگر می‌خواهید اسکن را به‌صورت هفتگی انجام دهید، مقدار آن را به ۷ روز تغییر دهید:

scan_interval = 7d
  • تنظیمات قرنطینه بدافزارها:

اگر اسکن بدافزار بدافزاری را شناسایی کند، می‌توانید تنظیم کنید که بدافزارها به‌طور خودکار در قرنطینه قرار گیرند. برای فعال‌سازی این ویژگی، گزینه quarantine را به‌صورت زیر فعال کنید:

quarantine = true

در صورتی که می‌خواهید فقط هشدار دریافت کنید و بدافزار را به قرنطینه ارسال نکنید، مقدار آن را به false تغییر دهید.

quarantine = false
۴. انجام اسکن بدافزار به‌صورت دستی

اگر می‌خواهید یک اسکن بدافزار فوری انجام دهید، می‌توانید از دستور زیر استفاده کنید:

imunify360-agent malware --scan

این دستور اسکن فوری تمامی فایل‌ها و دایرکتوری‌ها را انجام می‌دهد. پس از پایان اسکن، گزارش مربوط به بدافزارهای شناسایی‌شده نمایش داده می‌شود.

۵. مشاهده گزارش‌ها و لاگ‌ها

برای مشاهده گزارش‌ها و لاگ‌های اسکن بدافزار، از دستور زیر استفاده کنید:

imunify360-agent logs --malware

این دستور گزارشی از آخرین اسکن‌ها و بدافزارهای شناسایی‌شده نمایش می‌دهد. این اطلاعات شامل جزئیات دقیق‌تری از شناسایی و اقدامات انجام‌شده برای هر بدافزار است.

۶. به‌روزرسانی اسکنر بدافزار

برای اطمینان از این که اسکنر بدافزار همیشه با جدیدترین قواعد و سیگنال‌ها به‌روزرسانی شود، می‌توانید از دستور زیر برای به‌روزرسانی آن استفاده کنید:

imunify360-agent update --malware

این دستور تمامی پایگاه داده‌های مربوط به شناسایی بدافزارها را به‌روزرسانی می‌کند.

جمع‌بندی

اسکن بدافزار یکی از مهم‌ترین ویژگی‌های امنیتی در Immunify360 است که به شناسایی و حذف بدافزارها کمک می‌کند. با استفاده از دستورات CLI و پیکربندی فایل‌های تنظیمات، می‌توانید اسکن بدافزار را فعال کرده، زمان‌بندی اسکن‌ها را تنظیم کنید، و اقدامات مناسب برای مقابله با بدافزارها را انجام دهید. همچنین، با استفاده از دستورات برای مشاهده لاگ‌ها و گزارش‌ها می‌توانید به‌طور مداوم وضعیت سیستم خود را پایش کنید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیمات اولیه برای نظارت بر ورودهای غیرمجاز و حملات” subtitle=”توضیحات کامل”]نظارت بر ورودهای غیرمجاز و حملات به سرور یکی از بخش‌های اساسی در تأمین امنیت سرور و وب‌سایت‌ها است. Immunify360 این امکان را فراهم می‌کند که با استفاده از ویژگی‌های مختلفی مانند سیستم تشخیص و جلوگیری از نفوذ (IDS/IPS)، به نظارت و مدیریت این حملات پرداخته و از تهدیدات امنیتی جلوگیری شود.

در این بخش، مراحل تنظیم و پیکربندی اولیه برای نظارت بر ورودهای غیرمجاز و حملات با استفاده از Immunify360 بررسی خواهد شد.

۱. فعال‌سازی سیستم تشخیص و جلوگیری از نفوذ (IDS/IPS)

اولین گام برای نظارت بر حملات و ورودهای غیرمجاز، فعال‌سازی سیستم تشخیص و جلوگیری از نفوذ (IDS/IPS) است. این سیستم به‌طور خودکار تلاش‌های نفوذ به سیستم را شناسایی کرده و در صورت لزوم، جلوی آن‌ها را می‌گیرد.

برای فعال‌سازی IDS/IPS در Immunify360، از دستور زیر استفاده کنید:

imunify360-agent ips --enable

این دستور سیستم IDS/IPS را فعال کرده و از آن پس، به‌طور خودکار حملات مختلف مانند حملات DDoS، حملات brute force و سایر تلاش‌های نفوذ شناسایی و بلوکه خواهند شد.

۲. پیکربندی فیلترهای IDS/IPS برای تشخیص حملات

Immunify360 به شما این امکان را می‌دهد که فیلترهای مختلف IDS/IPS را برای تشخیص انواع مختلف حملات پیکربندی کنید. این فیلترها به‌طور پیش‌فرض فعال هستند، اما اگر نیاز به تغییر تنظیمات خاصی دارید، می‌توانید آن‌ها را از طریق پیکربندی فایل‌ها مدیریت کنید.

مسیر فایل پیکربندی به‌طور پیش‌فرض در زیر قرار دارد:

/etc/imunify360/config/ips.conf

در این فایل، می‌توانید تنظیمات مربوط به انواع حملات شناسایی‌شده، مانند brute force، DDoS، و حملات تزریق SQL را مشاهده و ویرایش کنید.

به‌عنوان مثال، برای فعال‌سازی فیلتر برای حملات brute force، می‌توانید پارامتر زیر را تنظیم کنید:

enable_bruteforce_detection = true

همچنین، برای تنظیم سطح حساسیت سیستم IDS/IPS به حملات، می‌توانید گزینه sensitivity را به مقادیر مختلف تنظیم کنید:

sensitivity = high

گزینه‌های دیگر می‌توانند شامل medium یا low باشند که تعیین می‌کنند سیستم با چه حساسیتی باید به تهدیدات واکنش نشان دهد.

۳. فعال‌سازی گزارش‌دهی و لاگ‌برداری حملات

برای رصد دقیق‌تر حملات و ورودهای غیرمجاز، باید گزارش‌دهی را فعال کنید. این گزارش‌ها شامل جزئیات کامل حملات شناسایی‌شده و اقدامات انجام‌شده توسط سیستم IDS/IPS است.

برای فعال‌سازی گزارش‌دهی، از دستور زیر استفاده کنید:

imunify360-agent logs --enable

گزارش‌ها به‌طور پیش‌فرض در مسیر زیر ذخیره می‌شوند:

/var/log/imunify360/ips.log

برای مشاهده گزارش‌ها، می‌توانید از دستور زیر استفاده کنید:

tail -f /var/log/imunify360/ips.log

این دستور گزارش‌های لحظه‌ای حملات شناسایی‌شده را نمایش خواهد داد.

۴. نظارت بر تلاش‌های ورود غیرمجاز (Brute Force)

Immunify360 به‌طور خاص حملات brute force را شناسایی کرده و از آن‌ها جلوگیری می‌کند. برای نظارت و پیکربندی این ویژگی، می‌توانید از دستور زیر استفاده کنید تا تنظیمات حملات brute force بررسی و تغییر داده شود:

imunify360-agent brute-force --status

اگر این ویژگی غیرفعال باشد، می‌توانید آن را با دستور زیر فعال کنید:

imunify360-agent brute-force --enable
۵. تنظیمات امنیتی برای جلوگیری از حملات DDoS

حملات DDoS یکی از بزرگ‌ترین تهدیدات برای سرورها هستند. Immunify360 ابزارهایی برای جلوگیری از این نوع حملات دارد که می‌توانید تنظیمات آن‌ها را بر اساس نیاز خود پیکربندی کنید. برای این کار، ابتدا باید فایروال را برای جلوگیری از حملات DDoS فعال کنید.

دستور زیر به شما کمک می‌کند که فایروال DDoS را فعال کنید:

imunify360-agent ddos --enable

این دستور، حفاظت از سرور در برابر حملات DDoS را فعال خواهد کرد.

۶. نظارت بر ورودهای غیرمجاز از طریق داشبورد Immunify360

اگر از نسخه کنترل پنل (مانند cPanel یا Plesk) استفاده می‌کنید، می‌توانید به‌راحتی ورودهای غیرمجاز و حملات را از طریق داشبورد Immunify360 نظارت کنید. از داشبورد، گزینه‌های مختلف امنیتی از جمله وضعیت IDS/IPS، لیست تلاش‌های نفوذ و گزارش‌های حملات قابل مشاهده و تجزیه و تحلیل خواهند بود.

جمع‌بندی

نظارت بر ورودهای غیرمجاز و حملات از اهمیت بالایی در امنیت سرور برخوردار است و با استفاده از ویژگی‌های قدرتمند Immunify360 مانند IDS/IPS، فایروال، و گزارش‌دهی، می‌توان به‌طور مؤثر از ورودهای غیرمجاز جلوگیری کرد و حملات مختلف را شناسایی کرد. با فعال‌سازی و پیکربندی صحیح این ابزارها، سرور شما در برابر تهدیدات مختلف مقاوم‌تر خواهد شد.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 5. بررسی عملکرد و عیب‌یابی اولیه پس از نصب”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه بررسی وضعیت نصب و اجرای صحیح سرویس‌ها” subtitle=”توضیحات کامل”]برای اطمینان از عملکرد صحیح Immunify360 و سرویس‌های امنیتی مختلف آن، بررسی وضعیت نصب و اجرای سرویس‌ها از اهمیت بالایی برخوردار است. این کار به شما این امکان را می‌دهد که مطمئن شوید تمامی اجزاء سیستم به درستی نصب و در حال اجرا هستند و امنیت سرور شما تأمین شده است.

در این بخش از آموزش های ارائه شده توسط فرازنتورک، روش‌های مختلف بررسی وضعیت نصب و اجرای صحیح سرویس‌های Immunify360 را شرح خواهیم داد.

۱. بررسی وضعیت کلی سرویس‌های Immunify360

برای بررسی وضعیت کلی سرویس‌ها و سرویس‌های مرتبط با Immunify360، می‌توانید از دستور زیر استفاده کنید:

imunify360-agent status

این دستور وضعیت کلی سیستم امنیتی را نشان می‌دهد و سرویس‌هایی مانند فایروال وب (WAF)، IDS/IPS، اسکنر بدافزار و سایر ابزارهای امنیتی را مورد بررسی قرار می‌دهد. در صورت بروز مشکل یا خاموش بودن یک سرویس، این دستور پیامی مبنی بر عدم فعالیت سرویس‌ها را نمایش می‌دهد.

۲. بررسی وضعیت فایروال وب (WAF)

برای بررسی اینکه آیا فایروال وب (WAF) به درستی فعال است، می‌توانید از دستور زیر استفاده کنید:

imunify360-agent waf --status

این دستور وضعیت فعلی فایروال وب را نشان می‌دهد. اگر فایروال فعال باشد، پیام «Enabled» (فعال) را مشاهده خواهید کرد. در غیر این صورت، می‌توانید فایروال را با دستور زیر فعال کنید:

imunify360-agent waf --enable
۳. بررسی وضعیت اسکنر بدافزار

یکی از مهم‌ترین ابزارهای امنیتی Immunify360 اسکنر بدافزار است که به‌طور مداوم برای شناسایی و حذف بدافزارها از سیستم استفاده می‌شود. برای بررسی وضعیت اسکنر بدافزار، دستور زیر را وارد کنید:

imunify360-agent malware --status

این دستور وضعیت فعلی اسکنر بدافزار را نشان می‌دهد و شما را از آخرین وضعیت اسکن‌های انجام‌شده مطلع می‌سازد. در صورتی که اسکنر فعال نباشد، می‌توانید آن را با دستور زیر فعال کنید:

imunify360-agent malware --enable
۴. بررسی وضعیت IDS/IPS (سیستم تشخیص و جلوگیری از نفوذ)

برای بررسی وضعیت سیستم تشخیص و جلوگیری از نفوذ (IDS/IPS) و اطمینان از اجرای صحیح آن، از دستور زیر استفاده کنید:

imunify360-agent ips --status

این دستور وضعیت سرویس IDS/IPS را نمایش می‌دهد. اگر سرویس فعال باشد، پیام «Enabled» نمایش داده خواهد شد. اگر غیرفعال باشد، می‌توانید با دستور زیر آن را فعال کنید:

imunify360-agent ips --enable
۵. بررسی وضعیت سیستم گزارش‌دهی

برای اطمینان از اینکه سیستم گزارش‌دهی فعال است و شما می‌توانید گزارش‌های مختلف را مشاهده کنید، از دستور زیر استفاده کنید:

imunify360-agent logs --status

این دستور وضعیت سرویس گزارش‌دهی را نشان می‌دهد و در صورتی که گزارش‌دهی غیرفعال باشد، می‌توانید آن را با دستور زیر فعال کنید:

imunify360-agent logs --enable
۶. بررسی وضعیت عمومی سرویس‌ها با سیستم مانیتورینگ

در صورتی که از سیستم‌های مانیتورینگ مانند systemctl یا service برای نظارت بر وضعیت سرویس‌ها استفاده می‌کنید، می‌توانید وضعیت سرویس‌های مرتبط با Immunify360 را بررسی کنید.

برای بررسی وضعیت سرویس‌های Immunify360 با استفاده از systemctl، دستور زیر را وارد کنید:

systemctl status imunify360

این دستور اطلاعات کامل‌تری درباره وضعیت سرویس‌های مرتبط با Immunify360 از جمله لود و اجرا بودن آن‌ها نمایش می‌دهد. اگر سرویس مشکلی داشته باشد، می‌توانید از دستور زیر برای راه‌اندازی مجدد آن استفاده کنید:

systemctl restart imunify360
۷. بررسی وضعیت به‌روزرسانی‌ها

Immunify360 به‌طور منظم به‌روزرسانی‌هایی را برای بهبود ویژگی‌ها و رفع آسیب‌پذیری‌ها منتشر می‌کند. برای بررسی وضعیت به‌روزرسانی‌ها، دستور زیر را وارد کنید:

imunify360-agent update --status

این دستور به شما وضعیت به‌روزرسانی‌های موجود و نصب‌شده را نشان می‌دهد. در صورتی که نیاز به به‌روزرسانی باشد، می‌توانید آن را با دستور زیر انجام دهید:

imunify360-agent update --install
جمع‌بندی

بررسی وضعیت نصب و اجرای صحیح سرویس‌های Immunify360 یکی از مراحل مهم در تضمین امنیت سرور است. با استفاده از دستورات مختلف موجود در CLI، می‌توانید وضعیت فایروال، اسکنر بدافزار، IDS/IPS و سایر سرویس‌های امنیتی را بررسی کرده و از اجرای صحیح آن‌ها اطمینان حاصل کنید. در صورت بروز هرگونه مشکل، این ابزارها به شما این امکان را می‌دهند که سریعاً اقدام به رفع آن‌ها کنید و امنیت سرور خود را تأمین نمایید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تست اتصال به سرور مرکزی Immunify360″ subtitle=”توضیحات کامل”]برای اطمینان از اینکه سیستم شما به درستی به سرور مرکزی Immunify360 متصل است و قادر به دریافت به‌روزرسانی‌ها و ارسال داده‌ها به سرور مرکزی است، باید اتصال به این سرور را تست کنید. این کار می‌تواند کمک کند تا از مشکلات احتمالی مربوط به اتصال به اینترنت یا تنظیمات فایروال جلوگیری شود.

۱. تست اتصال از طریق CLI

برای تست اتصال به سرور مرکزی Immunify360، از دستور زیر استفاده کنید:

imunify360-agent connectivity-test

این دستور اتصال سیستم شما به سرور مرکزی Immunify360 را بررسی می‌کند. اگر اتصال به درستی برقرار باشد، شما پیامی مشابه به «Connectivity test passed» دریافت خواهید کرد.

۲. بررسی پورت‌های موردنیاز

برای اینکه سرور شما قادر به ارتباط با سرور مرکزی Immunify360 باشد، باید اطمینان حاصل کنید که پورت‌های موردنیاز در فایروال سرور شما باز باشند. پورت‌های ضروری برای اتصال به سرور مرکزی عبارتند از:

  • پورت 443: برای ارتباطات HTTPS و انتقال داده‌ها به سرور مرکزی Immunify360
  • پورت 80: برای اتصال به وب‌سرویس‌های عمومی در صورت نیاز

برای بررسی وضعیت این پورت‌ها می‌توانید از دستور telnet یا nc استفاده کنید:

telnet 185.12.169.2 443

یا

nc -zv 185.12.169.2 443

اگر اتصال برقرار شد، به این معنی است که پورت 443 در سرور شما باز است و سرور شما قادر به اتصال به سرور مرکزی Immunify360 خواهد بود.

۳. بررسی وضعیت اتصال با بررسی لاگ‌ها

در صورتی که مشکلی در اتصال به سرور مرکزی وجود داشته باشد، می‌توانید لاگ‌های سیستم را برای بررسی جزئیات بیشتر مشاهده کنید. برای این کار می‌توانید از دستور زیر استفاده کنید:

tail -f /var/log/imunify360/imunify360-agent.log

این دستور لاگ‌های مربوط به اتصال و تعاملات سیستم با سرور مرکزی Immunify360 را نمایش می‌دهد. اگر مشکلی در اتصال وجود داشته باشد، پیام‌های خطا یا هشدارهای مربوطه در این لاگ‌ها نمایش داده خواهند شد.

۴. بررسی وضعیت از طریق رابط کاربری

در صورت استفاده از کنترل پنل‌هایی مانند cPanel یا Plesk، می‌توانید از طریق رابط کاربری نیز وضعیت اتصال به سرور مرکزی Immunify360 را بررسی کنید. معمولاً این وضعیت در قسمت “Dashboard” یا “Status” در تنظیمات Immunify360 قابل مشاهده است.

۵. تست با دستور “agent status”

همچنین می‌توانید وضعیت کلی ارتباط با سرور مرکزی را با دستور زیر بررسی کنید:

imunify360-agent status

اگر سیستم قادر به برقراری اتصال به سرور مرکزی نباشد، پیامی مشابه به «Unable to connect to the central server» دریافت خواهید کرد.

جمع‌بندی

تست اتصال به سرور مرکزی Immunify360 به شما این امکان را می‌دهد که از عملکرد صحیح سیستم امنیتی خود مطمئن شوید. با استفاده از ابزارهای مختلف مانند imunify360-agent connectivity-test، بررسی پورت‌های فایروال، مشاهده لاگ‌ها و وضعیت از طریق رابط کاربری، می‌توانید به‌سرعت مشکلات اتصال را شناسایی کرده و آن‌ها را برطرف کنید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”رفع مشکلات رایج هنگام نصب و اجرا” subtitle=”توضیحات کامل”]هنگام نصب و اجرای Immunify360 ممکن است با برخی مشکلات و ارورها مواجه شوید. این مشکلات می‌توانند به دلایل مختلفی مانند تنظیمات اشتباه، مشکلات در پیکربندی فایروال، یا ناسازگاری‌های نرم‌افزاری رخ دهند. در این بخش به بررسی مشکلات رایج و روش‌های رفع آن‌ها پرداخته می‌شود.

۱. خطای “Cannot connect to the server”

دلیل: این خطا معمولاً زمانی رخ می‌دهد که سرور شما نتواند به سرور مرکزی Immunify360 متصل شود. این مشکل ممکن است به دلیل مشکلات شبکه، پیکربندی نادرست فایروال یا مسدود شدن پورت‌های مورد نیاز باشد.

راه‌حل‌ها:

  • ابتدا با دستور زیر بررسی کنید که آیا سرور شما به درستی به اینترنت متصل است یا خیر: 
    ping google.com
  • پورت‌های موردنیاز برای ارتباط با سرور مرکزی را در فایروال خود باز کنید: 
    firewall-cmd --zone=public --add-port=443/tcp --permanent
firewall-cmd --reload
  • سپس از دستور زیر برای بررسی اتصال به سرور Immunify360 استفاده کنید: 
    imunify360-agent connectivity-test

اگر هنوز مشکل برقرار است، به بررسی لاگ‌های سیستم بپردازید:

tail -f /var/log/imunify360/imunify360-agent.log
۲. خطای “Installation failed” در هنگام نصب

دلیل: این خطا می‌تواند به دلیل ناسازگاری با سیستم‌عامل، دسترسی‌های ناکافی به پوشه‌ها یا فایل‌های ضروری، یا مشکلات در نصب پیش‌نیازهای نرم‌افزاری رخ دهد.

راه‌حل‌ها:

  • ابتدا از نصب پیش‌نیازهای نرم‌افزاری مطمئن شوید. برای سیستم‌های مبتنی بر CentOS یا RHEL، دستور زیر را اجرا کنید: 
    yum install -y python3 perl wget curl
  • مطمئن شوید که به‌عنوان کاربر روت (root) نصب را انجام می‌دهید.
  • در صورتی که نصب هنوز به‌درستی انجام نمی‌شود، نصب را دوباره با دستور زیر امتحان کنید و خروجی خطا را بررسی کنید: 
    bash imunify360-installer.sh
۳. خطای “Service not running” بعد از نصب

دلیل: ممکن است به دلایلی مانند اشتباه در پیکربندی سرویس، عدم شروع خودکار سرویس‌های Immunify360، یا مصرف بالای منابع سیستم، سرویس‌های موردنظر شروع نشوند.

راه‌حل‌ها:

  • ابتدا از دستور زیر برای بررسی وضعیت سرویس‌ها استفاده کنید: 
    systemctl status imunify360-agent

اگر سرویس در حال اجرا نباشد، آن را با دستور زیر راه‌اندازی کنید:

systemctl start imunify360-agent
  • همچنین، می‌توانید مطمئن شوید که سرویس به‌طور خودکار هنگام راه‌اندازی سیستم شروع می‌شود: 
    systemctl enable imunify360-agent
۴. خطای “Permission Denied” هنگام تلاش برای اجرای دستورات

دلیل: این خطا ممکن است به دلیل دسترسی‌های ناکافی کاربر به فایل‌ها یا پوشه‌های سیستم رخ دهد.

راه‌حل‌ها:

  • برای اجرای دستورات و نصب بسته‌ها، مطمئن شوید که با دسترسی‌های روت وارد سیستم شده‌اید. از دستور sudo یا به‌طور مستقیم از حساب کاربری روت استفاده کنید: 
    sudo bash imunify360-installer.sh
  • همچنین بررسی کنید که دسترسی‌های صحیح به پوشه‌ها و فایل‌های نصب شده وجود داشته باشد: 
    chmod -R 755 /etc/imunify360
۵. خطای “Cannot update signatures” یا “Malware database update failed”

دلیل: این خطا معمولاً زمانی رخ می‌دهد که پایگاه‌داده‌های Malware به‌درستی به‌روزرسانی نمی‌شوند. ممکن است اتصال اینترنت قطع باشد یا سرور مرکزی مشکل داشته باشد.

راه‌حل‌ها:

  • ابتدا اتصال به اینترنت را بررسی کرده و مطمئن شوید که هیچ مشکلی در شبکه وجود ندارد.
  • سپس از دستور زیر برای بررسی وضعیت به‌روزرسانی استفاده کنید: 
    imunify360-agent update
  • اگر خطا همچنان باقی بود، می‌توانید لاگ‌های مربوط به به‌روزرسانی را بررسی کنید: 
    tail -f /var/log/imunify360/imunify360-update.log
  • برای حل مشکل می‌توانید سرور خود را دوباره راه‌اندازی کنید تا پایگاه‌داده‌های جدید بارگذاری شوند: 
    reboot
۶. مشکلات مربوط به منابع سیستم

دلیل: Immunify360 ممکن است به منابع قابل توجهی نیاز داشته باشد. در صورتی که سرور شما منابع کافی (RAM، CPU یا فضای دیسک) نداشته باشد، این می‌تواند باعث کاهش عملکرد و بروز مشکلات مختلف شود.

راه‌حل‌ها:

  • از دستور زیر برای بررسی وضعیت منابع سیستم استفاده کنید: 
    free -h
top
df -h
  • در صورت مشاهده کمبود منابع، ممکن است نیاز به ارتقاء سخت‌افزار یا تنظیمات بهینه‌سازی سیستم داشته باشید.
  • اگر سیستم به‌طور مرتب بار بالایی را تجربه می‌کند، به بررسی تنظیمات و محدود کردن تعداد درخواست‌ها به سیستم توجه کنید.
جمع‌بندی

رفع مشکلات رایج هنگام نصب و اجرای Immunify360 به شما کمک می‌کند تا از عملکرد بهینه و امنیت بیشتر سرور خود اطمینان حاصل کنید. از بررسی لاگ‌ها، تنظیمات فایروال، و اجرای دستورات CLI برای عیب‌یابی و رفع مشکلات استفاده کنید. همچنین، اطمینان حاصل کنید که سرور شما از منابع کافی برخوردار است و سرویس‌های ضروری به‌درستی در حال اجرا هستند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی لاگ‌های مربوط به نصب و عملکرد Immunify360″ subtitle=”توضیحات کامل”]لاگ‌های Immunify360 ابزار مهمی برای شناسایی مشکلات و نظارت بر عملکرد آن هستند. این لاگ‌ها می‌توانند اطلاعات ارزشمندی در مورد فرآیند نصب، عملکرد سرویس‌ها، و حتی مشکلات موجود در سیستم ارائه دهند. در این بخش به بررسی لاگ‌های مختلف مربوط به Immunify360 پرداخته خواهد شد.

۱. لاگ‌های نصب Immunify360

پس از نصب Immunify360، مهم است که بررسی کنید فرآیند نصب بدون مشکل انجام شده است. برای این منظور، می‌توانید به لاگ‌های مربوط به نصب مراجعه کنید.

مسیر فایل لاگ نصب:

/var/log/imunify360/imunify360-install.log

این فایل شامل اطلاعات مربوط به مراحل نصب، پیغام‌های خطا (در صورت وجود)، و فرآیند راه‌اندازی سرویس‌ها است. برای مشاهده آخرین ورودی‌های لاگ نصب، از دستور زیر استفاده کنید:

tail -f /var/log/imunify360/imunify360-install.log
۲. لاگ‌های مربوط به عملکرد سرویس‌ها

پس از نصب، برای نظارت بر عملکرد صحیح سرویس‌های Immunify360، به لاگ‌های فعالیت‌های جاری نیاز دارید. این لاگ‌ها شامل اطلاعاتی درباره فعالیت‌های مربوط به WAF، اسکن بدافزارها، پیشگیری از نفوذ و سایر ویژگی‌های امنیتی هستند.

مسیر فایل لاگ مربوط به عملکرد:

/var/log/imunify360/imunify360-agent.log

برای مشاهده اطلاعات جدید در این لاگ، می‌توانید از دستور زیر استفاده کنید:

tail -f /var/log/imunify360/imunify360-agent.log

در این لاگ، به دنبال پیغام‌های خطا یا اخطار بگردید که نشان‌دهنده مشکل در عملکرد سیستم باشند. این لاگ همچنین شامل اطلاعاتی در مورد به‌روزرسانی‌های پایگاه‌داده، تلاش‌ها برای مسدودسازی حملات و نتایج اسکن‌های امنیتی است.

۳. لاگ‌های اسکن بدافزارها

Immunify360 به طور منظم سیستم را برای شناسایی بدافزارها اسکن می‌کند. لاگ‌های مربوط به این اسکن‌ها می‌توانند به شما کمک کنند تا از وضعیت سلامت سرور و کشف بدافزارهای احتمالی آگاه شوید.

مسیر فایل لاگ مربوط به اسکن بدافزار:

/var/log/imunify360/imunify360-malware.log

برای مشاهده لاگ‌های اسکن بدافزار، از دستور زیر استفاده کنید:

tail -f /var/log/imunify360/imunify360-malware.log

این لاگ شامل پیغام‌هایی است که نشان‌دهنده شناسایی بدافزارها، زمان اسکن‌ها و اقداماتی که بر اساس نتایج اسکن انجام شده است، می‌باشد.

۴. لاگ‌های مربوط به Web Application Firewall (WAF)

اگر WAF (فایروال برنامه وب) فعال باشد، تمامی حملات و تلاش‌های نفوذ به وب‌سایت شما در این لاگ‌ها ثبت خواهند شد. این اطلاعات برای نظارت بر حملات و بررسی اقداماتی که علیه آن‌ها انجام شده‌اند، مفید است.

مسیر فایل لاگ مربوط به WAF:

/var/log/imunify360/imunify360-waf.log

برای مشاهده جدیدترین ورودی‌های WAF، از دستور زیر استفاده کنید:

tail -f /var/log/imunify360/imunify360-waf.log

در این لاگ، اطلاعات مربوط به تلاش‌های حمله‌ای مانند SQL Injection، XSS، و سایر تهدیدات معمول وب‌سایت‌ها ثبت می‌شود.

۵. لاگ‌های مربوط به پیشگیری از نفوذ (IDS/IPS)

Immunify360 از سیستم پیشگیری از نفوذ (IDS/IPS) برای شناسایی و مسدود کردن حملات استفاده می‌کند. اطلاعات مربوط به این حملات نیز در لاگ‌های مخصوص ثبت می‌شوند.

مسیر فایل لاگ مربوط به IDS/IPS:

/var/log/imunify360/imunify360-ids.log

برای مشاهده لاگ‌های IDS/IPS، دستور زیر را اجرا کنید:

tail -f /var/log/imunify360/imunify360-ids.log

این لاگ شامل اطلاعاتی در مورد شناسایی حملات و واکنش‌های مربوط به پیشگیری از نفوذ است.

۶. لاگ‌های مربوط به مدیریت شهرت دامنه (Reputation Management)

Immunify360 همچنین به طور مرتب بررسی می‌کند که آیا دامنه شما در لیست سیاه قرار دارد یا خیر. لاگ‌های مربوط به این ویژگی به شما کمک می‌کنند تا از وضعیت شهرت دامنه خود مطلع شوید.

مسیر فایل لاگ مربوط به شهرت دامنه:

/var/log/imunify360/imunify360-reputation.log

برای مشاهده این لاگ، از دستور زیر استفاده کنید:

tail -f /var/log/imunify360/imunify360-reputation.log

در این لاگ، گزارش‌هایی در مورد وضعیت لیست سیاه و تلاش‌های انجام شده برای رفع مشکلات شهرت دامنه نمایش داده می‌شود.

۷. بررسی لاگ‌ها برای مشکلات و خطاهای عمومی

در صورتی که با مشکلات عمومی مواجه شدید و نیاز به بررسی کلی وضعیت سیستم داشتید، می‌توانید به بررسی تمام لاگ‌های Immunify360 پرداخته و از آن‌ها برای عیب‌یابی استفاده کنید.

برای مشاهده تمامی لاگ‌ها به‌صورت یکجا، از دستور زیر استفاده کنید:

tail -f /var/log/imunify360/*.log

این دستور تمامی لاگ‌های مربوط به Immunify360 را به‌صورت پیوسته نمایش می‌دهد و به شما کمک می‌کند تا سریعاً مشکلات را شناسایی و رفع کنید.

جمع‌بندی

بررسی لاگ‌های Immunify360 ابزار مفیدی برای نظارت بر عملکرد سیستم و شناسایی مشکلات است. از لاگ‌های نصب، عملکرد، اسکن بدافزار، WAF، IDS/IPS، و مدیریت شهرت دامنه برای نظارت بر عملکرد سیستم و رفع مشکلات احتمالی استفاده کنید. این لاگ‌ها به شما اطلاعات ارزشمندی در مورد وضعیت امنیت سرور و اقدامات انجام شده می‌دهند.

 [/cdb_course_lesson][/cdb_course_lessons]

[cdb_course_lessons title=”بخش 3. کانفیگ و تنظیمات پایه”][cdb_course_lesson title=”فصل 1. تنظیمات اولیه پیکربندی”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه دسترسی به پنل مدیریتی Immunify360 در cPanel، Plesk و DirectAdmin” subtitle=”توضیحات کامل”]پنل مدیریتی Immunify360 ابزار مهمی برای مدیریت امنیت سرور است که از طریق آن می‌توانید عملکردهای مختلف این نرم‌افزار را نظارت و پیکربندی کنید. در این بخش، نحوه دسترسی به پنل مدیریتی Immunify360 در سه کنترل پنل محبوب cPanel، Plesk و DirectAdmin توضیح داده می‌شود.

۱. دسترسی به پنل مدیریتی Immunify360 در cPanel

برای دسترسی به پنل مدیریتی Immunify360 در cPanel، مراحل زیر را دنبال کنید:

  1. ورود به cPanel: ابتدا وارد پنل مدیریت cPanel خود شوید. برای این کار آدرس زیر را در مرورگر خود وارد کنید: 
    https://yourdomain.com:2083

    یا

    https://serverIP:2083

    سپس نام کاربری و رمز عبور مربوطه را وارد کنید.

  2. دسترسی به بخش Immunify360: پس از ورود به cPanel، در بخش Security به دنبال آیکون Immunify360 بگردید.
  3. ورود به پنل مدیریتی: با کلیک بر روی آیکون Immunify360، به پنل مدیریتی آن هدایت خواهید شد. این پنل به شما امکان می‌دهد تا ابزارهای مختلف مانند WAF، اسکن بدافزارها و مدیریت شهرت دامنه را پیکربندی کنید.
۲. دسترسی به پنل مدیریتی Immunify360 در Plesk

برای دسترسی به پنل مدیریتی Immunify360 در Plesk، مراحل زیر را دنبال کنید:

  1. ورود به Plesk: ابتدا وارد Plesk شوید. برای این کار آدرس زیر را در مرورگر خود وارد کنید: 
    https://yourdomain.com:8443

    یا

    https://serverIP:8443

    سپس نام کاربری و رمز عبور خود را وارد کنید.

  2. دسترسی به بخش Immunify360: پس از ورود به Plesk، در نوار منوی اصلی به بخش Tools & Settings بروید. در این بخش، آیکون Immunify360 را پیدا خواهید کرد.
  3. ورود به پنل مدیریتی: با کلیک بر روی آیکون Immunify360، به پنل مدیریتی آن هدایت خواهید شد که از آنجا می‌توانید تنظیمات و ویژگی‌های امنیتی مختلف را مدیریت کنید.
۳. دسترسی به پنل مدیریتی Immunify360 در DirectAdmin

برای دسترسی به پنل مدیریتی Immunify360 در DirectAdmin، مراحل زیر را دنبال کنید:

  1. ورود به DirectAdmin: وارد DirectAdmin شوید. برای این کار آدرس زیر را در مرورگر خود وارد کنید: 
    https://yourdomain.com:2222

    یا

    https://serverIP:2222

    سپس نام کاربری و رمز عبور خود را وارد کنید.

  2. دسترسی به بخش Immunify360: پس از ورود به DirectAdmin، به بخش Immunify360 در نوار منوی اصلی بروید.
  3. ورود به پنل مدیریتی: با کلیک بر روی آیکون Immunify360، پنل مدیریتی آن باز خواهد شد و شما می‌توانید از امکانات مختلف آن برای مدیریت امنیت سرور خود استفاده کنید.
جمع‌بندی

دسترسی به پنل مدیریتی Immunify360 در کنترل پنل‌های مختلف مانند cPanel، Plesk و DirectAdmin معمولاً از طریق آیکون‌های مخصوص در نوار منو یا بخش‌های مرتبط با امنیت امکان‌پذیر است. پس از دسترسی به پنل مدیریتی، می‌توانید تمامی ویژگی‌های امنیتی مانند WAF، اسکن بدافزارها و سایر ابزارهای پیشگیری از حملات را مدیریت کنید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیمات کلی امنیتی و بهینه‌سازی پیش‌فرض‌ها” subtitle=”توضیحات کامل”]یکی از مهم‌ترین قسمت‌های مدیریت امنیت سرور و وب‌سایت، پیکربندی تنظیمات کلی امنیتی و بهینه‌سازی پیش‌فرض‌ها است. در این بخش به بررسی تنظیمات عمومی امنیتی Immunify360 و بهترین شیوه‌ها برای بهینه‌سازی این تنظیمات پرداخته خواهد شد تا سرور شما از آسیب‌پذیری‌های رایج در امان بماند.

۱. تنظیمات امنیتی پیش‌فرض برای Web Application Firewall (WAF)

WAF یکی از مهم‌ترین بخش‌های امنیتی Immunify360 است که برای محافظت در برابر حملات رایجی مانند SQL Injection و Cross-Site Scripting (XSS) طراحی شده است. برای پیکربندی و بهینه‌سازی WAF، تنظیمات پیش‌فرض زیر پیشنهاد می‌شود:

  1. فعال‌سازی WAF: ابتدا باید اطمینان حاصل کنید که WAF فعال باشد. این گزینه به طور پیش‌فرض در بیشتر نصب‌های Immunify360 فعال است، اما در صورت غیرفعال بودن می‌توانید آن را از طریق پنل مدیریتی فعال کنید.برای فعال‌سازی WAF از CLI، دستور زیر را وارد کنید: 
    im360 firewall enable
  2. تنظیمات پیش‌فرض فیلترهای WAF:
    • فعال کردن فیلترهای SQL Injection و Cross-Site Scripting (XSS).
    • تنظیم سطح فیلترینگ به high تا از هرگونه حملات شبیه به SQL Injection و XSS جلوگیری شود.
    • اعمال تنظیمات مربوط به rate-limiting برای محدود کردن تعداد درخواست‌های مشکوک از یک منبع واحد.
  3. بهینه‌سازی قواعد فایروال: اطمینان حاصل کنید که قواعد فایروال برای HTTP و HTTPS به درستی پیکربندی شده‌اند و درخواست‌های مشکوک به سرور مسدود می‌شوند.
۲. اسکن بدافزار (Malware Scanning)

Immunify360 ابزار اسکن بدافزار قدرتمندی دارد که به طور مداوم سرور را برای کشف و حذف بدافزارها بررسی می‌کند. برای بهینه‌سازی تنظیمات اسکن بدافزار، مراحل زیر را دنبال کنید:

  1. فعال‌سازی اسکن خودکار بدافزار: اطمینان حاصل کنید که اسکن بدافزار به صورت خودکار در زمان‌های مشخص اجرا می‌شود. این کار از طریق تنظیمات زمانبندی در Immunify360 قابل انجام است.برای فعال‌سازی اسکن خودکار از CLI: 
    im360 scan enable
  2. تنظیمات پیش‌فرض اسکن:
    • تعیین نوع اسکن به deep scan تا تمامی فایل‌ها و دایرکتوری‌های سرور به دقت بررسی شوند.
    • تنظیم زمان اسکن به شب‌ها و زمان‌های با ترافیک کم برای کاهش تأثیر بر عملکرد سرور.
  3. اسکن در لحظه: اسکن بدافزارها می‌تواند به صورت لحظه‌ای پس از بارگذاری یا آپلود فایل‌ها اجرا شود تا از ورود بدافزار به سرور جلوگیری کند.
۳. پیکربندی Intrusion Detection and Prevention System (IDS/IPS)

IDS/IPS ابزارهای حیاتی برای شناسایی و پیشگیری از حملات هستند. برای پیکربندی این ابزار، تنظیمات زیر را اعمال کنید:

  1. فعال‌سازی IDS/IPS: از طریق پنل مدیریتی یا CLI، IDS/IPS را فعال کنید. این سیستم به طور مداوم حملات را شناسایی و به طور خودکار از آن‌ها جلوگیری می‌کند.فعال‌سازی از CLI: 
    im360 ids enable
  2. تنظیمات پیش‌فرض:
    • استفاده از سطح حساسیت high برای IDS به‌منظور شناسایی دقیق‌تر حملات.
    • ایجاد گزارش‌های روزانه برای بررسی و تجزیه و تحلیل حملات احتمالی.
۴. مدیریت شهرت دامنه (Reputation Management)

مدیریت شهرت دامنه به شناسایی و جلوگیری از وارد شدن دامنه به لیست سیاه (Blacklist) کمک می‌کند. برای پیکربندی این بخش، مراحل زیر را دنبال کنید:

  1. فعال‌سازی مدیریت شهرت دامنه: اطمینان حاصل کنید که ویژگی Reputation Management فعال است تا به‌طور مداوم دامنه شما بررسی و وضعیت آن ارزیابی شود.
  2. تنظیمات پیش‌فرض:
    • ایجاد بررسی‌های روزانه برای ارزیابی وضعیت دامنه.
    • اعمال هشدارهای خودکار در صورت شناسایی هرگونه مشکلی با دامنه.
۵. پیکربندی Proactive Defense

Proactive Defense به‌طور پیشگیرانه از اجرای کدهای مخرب جلوگیری می‌کند. برای بهینه‌سازی این تنظیمات، موارد زیر را رعایت کنید:

  1. فعال‌سازی Proactive Defense: این ویژگی به طور پیش‌فرض در Immunify360 فعال است، اما در صورت نیاز می‌توانید آن را از طریق CLI فعال کنید: 
    im360 proactive_defense enable
  2. تنظیمات پیش‌فرض:
    • بررسی شبه‌کدها و کدهای مخرب برای جلوگیری از اجرای آن‌ها.
    • محدود کردن دسترسی‌های مشکوک به سرور به‌ویژه برای اسکریپت‌های خارجی.
جمع‌بندی

برای بهینه‌سازی امنیت سرور با استفاده از Immunify360، تنظیمات اولیه‌ای نظیر فعال‌سازی WAF، اسکن بدافزار، IDS/IPS، مدیریت شهرت دامنه و Proactive Defense بسیار مهم است. اعمال این تنظیمات به طور پیش‌فرض می‌تواند امنیت سرور شما را در برابر حملات رایج و تهدیدات مختلف تقویت کند و عملکرد سرور را در طول زمان بهینه نگه دارد.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی و فعال‌سازی ماژول‌های امنیتی موردنیاز” subtitle=”توضیحات کامل”]برای بهره‌برداری کامل از Immunify360 و اطمینان از امنیت بهینه سرور و وب‌سایت، لازم است ماژول‌های امنیتی مختلف به‌درستی پیکربندی و فعال‌سازی شوند. این ماژول‌ها مسئولیت‌های مختلفی دارند که هرکدام به شکلی خاص به حفاظت از سرور و جلوگیری از حملات کمک می‌کنند.

در این بخش، به بررسی ماژول‌های کلیدی امنیتی موردنیاز در Immunify360 و نحوه فعال‌سازی آن‌ها خواهیم پرداخت.

۱. Web Application Firewall (WAF)

WAF به عنوان اولین خط دفاعی در برابر حملات وبی مانند SQL Injection و XSS، ضروری است. این ماژول از حملات به لایه‌های وب سرور جلوگیری کرده و درخواست‌های مشکوک را شناسایی و مسدود می‌کند.

  • فعال‌سازی WAF: از آن‌جا که این ماژول معمولاً به صورت پیش‌فرض فعال است، بهتر است وضعیت آن را بررسی کنید. برای فعال‌سازی یا غیرفعال‌سازی WAF از CLI می‌توانید دستور زیر را وارد کنید: 
    im360 firewall enable
۲. Malware Scanner (اسکن بدافزار)

این ماژول برای شناسایی و حذف بدافزارهایی که ممکن است به سیستم نفوذ کرده باشند، به کار می‌رود. اسکن بدافزارها به صورت خودکار و دوره‌ای اجرا می‌شود تا از ورود بدافزار به سرور جلوگیری شود.

  • فعال‌سازی اسکن بدافزار: اگر اسکن بدافزار به‌صورت خودکار فعال نشده است، آن را می‌توان با دستور زیر فعال کرد: 
    im360 scan enable
۳. Intrusion Detection and Prevention System (IDS/IPS)

IDS/IPS به شناسایی و پیشگیری از حملات ورودی به سرور کمک می‌کند. این سیستم از وقوع حملات جلوگیری کرده و هشدارهایی برای مدیریت ارسال می‌کند.

  • فعال‌سازی IDS/IPS: برای فعال‌سازی IDS/IPS، از دستور زیر استفاده کنید: 
    im360 ids enable
۴. Proactive Defense

Proactive Defense به طور پیشگیرانه از اجرای کدهای مخرب و شبیه‌سازی حملات جلوگیری می‌کند. این ویژگی به شناسایی و جلوگیری از اجرای کدهای مخرب در سیستم کمک می‌کند.

  • فعال‌سازی Proactive Defense: برای فعال‌سازی این ماژول، از دستور زیر استفاده کنید: 
    im360 proactive_defense enable
۵. Reputation Management

این ماژول برای مدیریت شهرت دامنه و جلوگیری از قرار گرفتن دامنه در لیست سیاه استفاده می‌شود. این ماژول به طور مداوم وضعیت دامنه‌ها را بررسی می‌کند و در صورت نیاز هشدارهایی ارسال می‌کند.

  • فعال‌سازی Reputation Management: برای فعال‌سازی این ماژول: 
    im360 reputation_management enable
۶. Patch Management

Patch Management برای مدیریت به‌روزرسانی‌های امنیتی سیستم استفاده می‌شود. این ماژول به‌طور خودکار سیستم‌عامل و نرم‌افزارهای نصب‌شده را برای شناسایی به‌روزرسانی‌های امنیتی بررسی می‌کند.

  • فعال‌سازی Patch Management: برای فعال‌سازی این ماژول، از دستور زیر استفاده کنید: 
    im360 patch_management enable
جمع‌بندی

فعال‌سازی و پیکربندی ماژول‌های امنیتی در Immunify360 به عنوان یک اقدام اولیه در جهت حفظ امنیت سرور و جلوگیری از حملات مختلف الزامی است. ماژول‌های مانند WAF، Malware Scanner، IDS/IPS، Proactive Defense، Reputation Management و Patch Management به‌طور مؤثر از سرور در برابر تهدیدات مختلف محافظت می‌کنند و عملکرد آن را بهینه می‌سازند.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 2. تنظیمات اسکن بدافزار و ویروس‌ها”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیم سطوح مختلف اسکن (سریع، کامل و سفارشی)” subtitle=”توضیحات کامل”]در Immunify360، برای محافظت از سرور در برابر بدافزارها و تهدیدات امنیتی، امکان تنظیم انواع مختلف اسکن با سطوح متفاوت وجود دارد. این اسکن‌ها شامل اسکن سریع، اسکن کامل و اسکن سفارشی می‌شوند که هرکدام برای شرایط خاص به کار می‌روند.

در این بخش، به بررسی نحوه تنظیم و پیکربندی سطوح مختلف اسکن خواهیم پرداخت.

۱. اسکن سریع (Quick Scan)

اسکن سریع به بررسی بخش‌های اصلی سیستم و فایل‌های مشکوک می‌پردازد. این اسکن معمولاً سریع‌تر از سایر انواع اسکن‌ها انجام می‌شود، اما ممکن است برخی تهدیدات پیچیده یا پنهان را شناسایی نکند. اسکن سریع برای بررسی‌های دوره‌ای یا زمانی که به زمان کمی نیاز دارید مفید است.

  • فعال‌سازی اسکن سریع: برای فعال‌سازی اسکن سریع، دستور زیر را در خط فرمان وارد کنید: 
    im360 scan quick
۲. اسکن کامل (Full Scan)

اسکن کامل تمامی فایل‌ها و پوشه‌ها را در سرور بررسی کرده و تهدیدات امنیتی را شناسایی می‌کند. این اسکن زمان بیشتری نیاز دارد و باید در زمان‌های مناسب برای بررسی عمیق‌تر سیستم انجام شود. اسکن کامل، تمامی مسیرها، فایل‌ها و داده‌ها را اسکن کرده و می‌تواند تهدیدات پنهان را نیز شناسایی کند.

  • فعال‌سازی اسکن کامل: برای فعال‌سازی اسکن کامل، دستور زیر را وارد کنید: 
    im360 scan full
۳. اسکن سفارشی (Custom Scan)

اسکن سفارشی به شما این امکان را می‌دهد که برای اسکن، بخش‌ها یا مسیرهای خاصی از سیستم را تعیین کنید. این ویژگی به‌ویژه زمانی مفید است که می‌خواهید تنها پوشه‌ها یا فایل‌های خاصی را اسکن کنید، به‌عنوان مثال، در مواقعی که شک دارید تنها بخشی از سیستم دچار مشکل شده باشد.

  • فعال‌سازی اسکن سفارشی: برای فعال‌سازی اسکن سفارشی، ابتدا باید مسیرهایی که می‌خواهید اسکن شوند را مشخص کنید: 
    im360 scan custom /path/to/folder
۴. تنظیمات پیشرفته اسکن

در برخی موارد، می‌توانید تنظیمات اسکن را به‌صورت دقیق‌تر و پیشرفته‌تر پیکربندی کنید تا اسکن‌ها بر اساس نیازهای شما تنظیم شوند. این تنظیمات شامل انتخاب ویژگی‌های خاص مانند زمان‌بندی اسکن، انتخاب نوع فایل‌هایی که باید اسکن شوند، یا اضافه کردن مسیرهای بیشتر به اسکن سفارشی است.

  • تنظیمات پیشرفته اسکن را می‌توان از طریق فایل تنظیمات یا از رابط کاربری مدیریتی Immunify360 انجام داد. به عنوان مثال: برای تغییر تنظیمات اسکن از طریق CLI: 
    im360 scan configure --schedule=daily --path=/var/www/html --scan-type=full
جمع‌بندی

تنظیم سطوح مختلف اسکن در Immunify360 به شما این امکان را می‌دهد که در زمان‌های مختلف و با توجه به نیازهای خاص خود، سرور را برای تهدیدات امنیتی بررسی کنید. استفاده از اسکن سریع برای بررسی‌های روزانه و اسکن کامل برای بررسی‌های جامع‌تر می‌تواند امنیت سرور را به طور مؤثر حفظ کند. همچنین، اسکن سفارشی به شما این امکان را می‌دهد که تنها بخش‌های خاصی از سیستم را بررسی کنید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه زمان‌بندی اسکن‌های خودکار” subtitle=”توضیحات کامل”]در Immunify360، امکان زمان‌بندی اسکن‌های خودکار وجود دارد تا به صورت دوره‌ای سیستم شما به‌طور خودکار برای بدافزارها و تهدیدات امنیتی اسکن شود. این ویژگی کمک می‌کند تا بدون نیاز به نظارت دستی، سرور شما همیشه به روز و امن بماند.

در این بخش، نحوه پیکربندی زمان‌بندی اسکن‌های خودکار برای انواع مختلف اسکن را بررسی خواهیم کرد.

۱. اسکن خودکار از طریق CLI

برای تنظیم زمان‌بندی اسکن‌ها از طریق Command Line Interface (CLI)، از ابزار cron برای برنامه‌ریزی و زمان‌بندی اسکن‌ها استفاده می‌شود. دستورالعمل‌های زیر نشان می‌دهند چگونه می‌توانید اسکن‌های خودکار را زمان‌بندی کنید.

  • زمان‌بندی اسکن سریع به صورت روزانه: برای برنامه‌ریزی اسکن سریع هر روز در ساعت 2 صبح، دستور زیر را به کرون جدول اضافه کنید: 
    echo "0 2 * * * im360 scan quick" | crontab -
  • زمان‌بندی اسکن کامل به صورت هفتگی: برای تنظیم اسکن کامل هر هفته در ساعت 3 صبح روز یکشنبه، دستور زیر را به کرون جدول اضافه کنید: 
    echo "0 3 * * 0 im360 scan full" | crontab -
  • زمان‌بندی اسکن سفارشی برای یک مسیر خاص به صورت روزانه: اگر بخواهید تنها مسیر خاصی را اسکن کنید، مانند پوشه /var/www/html، هر روز ساعت 4 صبح، می‌توانید دستور زیر را وارد کنید: 
    echo "0 4 * * * im360 scan custom /var/www/html" | crontab -

در این دستورات:

  • 0 2 * * * به معنای اجرای اسکن در ساعت 2 بامداد هر روز است.
  • 0 3 * * 0 به معنای اجرای اسکن در ساعت 3 بامداد هر یکشنبه است.
  • 0 4 * * * به معنای اجرای اسکن در ساعت 4 بامداد هر روز است.
۲. زمان‌بندی اسکن از طریق رابط کاربری (UI)

اگر تمایل دارید که اسکن‌ها را از طریق رابط کاربری مدیریتی Immunify360 زمان‌بندی کنید، می‌توانید به بخش تنظیمات Immunify360 در کنترل پنل مربوطه (cPanel، Plesk یا DirectAdmin) رفته و زمان‌بندی اسکن‌ها را به راحتی پیکربندی کنید.

  1. وارد پنل مدیریتی Immunify360 شوید.
  2. به بخش اسکن‌ها یا Scans بروید.
  3. در این بخش، گزینه‌ای برای تنظیم اسکن خودکار یا Auto-Scan پیدا خواهید کرد.
  4. زمان و نوع اسکن (سریع، کامل، یا سفارشی) را تنظیم کنید.
  5. تغییرات را ذخیره کنید.

این تنظیمات به طور خودکار باعث می‌شود اسکن‌ها در زمان‌هایی که مشخص کرده‌اید انجام شوند.

۳. تنظیمات پیشرفته زمان‌بندی اسکن

برای داشتن کنترل دقیق‌تر بر زمان‌بندی اسکن‌ها، شما می‌توانید از پارامترهای مختلفی برای تنظیم اسکن‌های خودکار استفاده کنید. این تنظیمات ممکن است شامل انتخاب روزهای خاص هفته، ساعات خاص یا حتی فواصل زمانی دقیق‌تری باشد.

برای مثال:

  • تنظیم اسکن هر 6 ساعت: 
    echo "0 */6 * * * im360 scan quick" | crontab -
  • تنظیم اسکن تنها در ساعات کم‌ترافیک سرور، مانند ساعات شب: 
    echo "0 1 * * * im360 scan full" | crontab -
جمع‌بندی

با زمان‌بندی اسکن‌های خودکار در Immunify360، شما می‌توانید مطمئن شوید که سرور شما همیشه در برابر تهدیدات امنیتی محافظت شده است. تنظیمات زمان‌بندی از طریق CLI یا رابط کاربری مدیریتی به شما این امکان را می‌دهد که اسکن‌ها را به صورت خودکار و در زمان‌های خاص انجام دهید تا به‌طور دوره‌ای از سلامت و امنیت سرور خود اطمینان حاصل کنید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تعریف استثناها برای فایل‌های خاص (whitelist)” subtitle=”توضیحات کامل”]در Immunify360، امکان تعریف استثناها برای فایل‌های خاص وجود دارد تا از شناسایی نادرست فایل‌های امن به عنوان تهدید جلوگیری شود. این ویژگی به شما این امکان را می‌دهد که فایل‌ها یا دایرکتوری‌هایی که مطمئن هستید ایمن هستند، از اسکن‌ها و اقدامات امنیتی صرف‌نظر کنند. به این روش “whitelisting” یا لیست سفید می‌گویند.

در این بخش، نحوه تعریف استثناها برای فایل‌ها و دایرکتوری‌های خاص در Immunify360 بررسی می‌شود.

۱. تعریف استثناها از طریق رابط کاربری (UI)

برای تعریف فایل‌ها یا دایرکتوری‌های خاص در لیست سفید از طریق رابط کاربری مدیریتی Immunify360، مراحل زیر را دنبال کنید:

  1. وارد پنل مدیریتی Immunify360 شوید.
  2. به بخش تنظیمات یا Settings بروید.
  3. در بخش تنظیمات امنیتی، به قسمت Whitelisting یا استثناها بروید.
  4. در این قسمت، گزینه‌ای برای افزودن فایل‌ها یا دایرکتوری‌های خاص به لیست سفید مشاهده خواهید کرد.
  5. مسیر فایل یا دایرکتوری مورد نظر را وارد کنید.
  6. تغییرات را ذخیره کنید.

بعد از انجام این مراحل، فایل‌ها یا دایرکتوری‌هایی که در لیست سفید قرار می‌گیرند، از اسکن‌های امنیتی نادیده گرفته خواهند شد.

۲. تعریف استثناها از طریق CLI

برای تعریف استثناها از طریق Command Line Interface (CLI)، می‌توانید از دستور im360 برای افزودن فایل‌ها یا دایرکتوری‌ها به لیست سفید استفاده کنید.

  • تعریف استثنا برای فایل خاص: برای اضافه کردن یک فایل خاص به لیست سفید، از دستور زیر استفاده کنید: 
    im360 whitelist add /path/to/your/file
  • تعریف استثنا برای دایرکتوری خاص: برای افزودن یک دایرکتوری خاص به لیست سفید، از دستور زیر استفاده کنید: 
    im360 whitelist add /path/to/your/directory
  • بررسی لیست سفید: برای بررسی فایل‌ها و دایرکتوری‌هایی که در لیست سفید قرار دارند، از دستور زیر استفاده کنید: 
    im360 whitelist list
  • حذف از لیست سفید: برای حذف یک فایل یا دایرکتوری از لیست سفید، از دستور زیر استفاده کنید: 
    im360 whitelist remove /path/to/your/file-or-directory
۳. تعریف استثناها برای نوع خاص فایل‌ها

اگر نیاز دارید که فایل‌هایی با پسوند خاص یا از نوع خاصی را از اسکن‌های امنیتی مستثنی کنید، می‌توانید این کار را از طریق CLI انجام دهید.

  • افزودن استثنا برای پسوند خاص: برای افزودن استثنا برای فایل‌هایی با پسوند .php، می‌توانید از دستور زیر استفاده کنید: 
    im360 whitelist add *.php
  • افزودن استثنا برای فایل‌های با نوع خاص: اگر می‌خواهید فایل‌هایی که از نوع خاصی هستند، مثل فایل‌های PHP یا HTML را مستثنی کنید، دستور زیر را وارد کنید: 
    im360 whitelist add --type php /path/to/your/file
۴. نکات مهم در هنگام استفاده از لیست سفید
  • احتیاط در استفاده از لیست سفید: در نظر داشته باشید که افزودن فایل‌ها یا دایرکتوری‌ها به لیست سفید ممکن است به امنیت سرور شما آسیب بزند. این عمل باید تنها برای فایل‌هایی که کاملاً از امنیت آن‌ها اطمینان دارید، انجام شود.
  • بازبینی دوره‌ای: بهتر است لیست سفید خود را به‌طور منظم بررسی کنید تا از هرگونه سوءاستفاده یا خطر احتمالی جلوگیری شود.
  • استفاده از لیست سفید در شرایط خاص: این ویژگی برای فایل‌های خاص، مانند فایل‌های پیکربندی سیستم یا فایل‌هایی که از منابع قابل اعتماد آمده‌اند، مفید است.
جمع‌بندی

تعریف استثناها (whitelist) در Immunify360 امکان‌پذیر است تا فایل‌ها یا دایرکتوری‌هایی که مطمئن هستید ایمن هستند، از اسکن‌های امنیتی نادیده گرفته شوند. این ویژگی از طریق رابط کاربری یا CLI قابل پیکربندی است و به شما این امکان را می‌دهد که کنترل دقیقی روی امنیت سرور خود داشته باشید. با این حال، همیشه باید مراقب باشید که فقط فایل‌ها و دایرکتوری‌های ایمن را به لیست سفید اضافه کنید تا از تهدیدات امنیتی جلوگیری شود.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیمات مربوط به قرنطینه و حذف فایل‌های آلوده” subtitle=”توضیحات کامل”]در Immunify360، برای جلوگیری از گسترش تهدیدات و محافظت از سرور، قابلیت‌هایی برای قرنطینه و حذف فایل‌های آلوده فراهم شده است. این تنظیمات به شما این امکان را می‌دهند که فایل‌های مشکوک یا آلوده را به‌طور موقت قرنطینه کرده و سپس اقدامات لازم را برای پاکسازی آن‌ها انجام دهید. به این ترتیب، می‌توانید از آسیب رسیدن به سیستم و کاربران جلوگیری کنید.

۱. قرنطینه فایل‌های آلوده

قرنطینه یکی از ویژگی‌های امنیتی مهم در Immunify360 است که اجازه می‌دهد فایل‌های مشکوک و آلوده از محیط اصلی سرور جدا شوند تا از گسترش تهدیدات جلوگیری شود. این فایل‌ها در یک فضای ایزوله ذخیره می‌شوند و بعد از بررسی و تأیید امنیتی، می‌توانند به سیستم برگردانده شوند یا حذف شوند.

برای تنظیم قرنطینه، مراحل زیر را دنبال کنید:

  1. وارد پنل مدیریتی Immunify360 شوید.
  2. به بخش تنظیمات یا Settings بروید.
  3. در بخش Security Settings یا تنظیمات امنیتی، به قسمت Quarantine بروید.
  4. در این بخش، می‌توانید تنظیمات مربوط به قرنطینه فایل‌های آلوده را فعال یا غیرفعال کنید.
  5. در صورتی که نیاز به تغییراتی در مکان ذخیره‌سازی فایل‌های قرنطینه شده دارید، مسیر جدید را مشخص کنید.
  6. تغییرات را ذخیره کنید.
۲. حذف فایل‌های آلوده

در صورتی که به‌طور قطعی تشخیص داده شود که یک فایل آلوده است و دیگر هیچ تهدیدی برای سیستم ندارد، می‌توان آن فایل را به‌طور کامل حذف کرد. حذف فایل‌های آلوده یکی از اقداماتی است که برای پاکسازی سیستم و جلوگیری از تهدیدات احتمالی انجام می‌شود.

برای حذف فایل‌های آلوده از طریق رابط کاربری، مراحل زیر را دنبال کنید:

  1. وارد پنل مدیریتی Immunify360 شوید.
  2. به بخش اسکن و تهدیدات یا Scan & Threats بروید.
  3. فهرست فایل‌های آلوده یا مشکوک را مشاهده خواهید کرد.
  4. فایل‌های آلوده‌ای که نیاز به حذف دارند را انتخاب کنید.
  5. بر روی گزینه Delete یا حذف کلیک کنید.
  6. تأیید حذف فایل‌های انتخاب شده.
۳. قرنطینه و حذف فایل‌های آلوده از طریق CLI

برای انجام این عملیات از طریق Command Line Interface (CLI)، دستورات زیر را می‌توانید استفاده کنید:

  • قرنطینه فایل‌های آلوده: برای قرنطینه یک فایل آلوده، از دستور زیر استفاده کنید: 
    im360 quarantine add /path/to/your/file
  • حذف فایل‌های آلوده: برای حذف یک فایل آلوده، دستور زیر را وارد کنید: 
    im360 quarantine remove /path/to/your/file
  • مشاهده وضعیت قرنطینه: برای بررسی وضعیت فایل‌های قرنطینه‌شده، از دستور زیر استفاده کنید: 
    im360 quarantine list
  • حذف تمام فایل‌های قرنطینه‌شده: اگر می‌خواهید همه فایل‌های قرنطینه‌شده را حذف کنید، دستور زیر را وارد کنید: 
    im360 quarantine delete_all
۴. تنظیمات خودکار برای قرنطینه و حذف

در Immunify360، امکان تنظیمات خودکار برای قرنطینه و حذف فایل‌های آلوده نیز وجود دارد. این تنظیمات می‌توانند برای اطمینان از شناسایی و مدیریت فایل‌های آلوده به‌طور اتوماتیک به کار گرفته شوند.

برای تنظیم اسکن خودکار و اعمال قرنطینه و حذف خودکار:

  1. وارد پنل مدیریتی Immunify360 شوید.
  2. به بخش تنظیمات اسکن یا Scan Settings بروید.
  3. گزینه‌هایی برای تعیین نحوه برخورد با فایل‌های آلوده در اسکن‌ها را خواهید دید.
  4. تنظیم کنید که آیا فایل‌های آلوده به‌طور خودکار قرنطینه شوند یا حذف شوند.
  5. تغییرات را ذخیره کنید.
۵. نکات مهم در هنگام استفاده از قرنطینه و حذف فایل‌های آلوده
  • احتیاط در حذف فایل‌ها: قبل از حذف هر فایلی، حتماً از ایمن بودن آن اطمینان حاصل کنید. حذف نادرست می‌تواند باعث آسیب به سیستم یا برنامه‌های آن شود.
  • بازبینی فایل‌های قرنطینه‌شده: فایل‌های قرنطینه‌شده باید به‌طور منظم بررسی شوند تا از اشتباهات احتمالی جلوگیری شود و فقط فایل‌های آلوده حذف شوند.
  • آسیب‌پذیری‌های موجود: همواره باید با آخرین اطلاعات و آپدیت‌های امنیتی سیستم خود آگاه باشید تا از تهدیدات جدید جلوگیری شود.
جمع‌بندی

قرنطینه و حذف فایل‌های آلوده از ویژگی‌های مهم Immunify360 است که به شما این امکان را می‌دهد که فایل‌های مشکوک را از سیستم جدا کرده و پس از بررسی، آن‌ها را حذف یا بازگردانی کنید. این عملیات می‌تواند از طریق رابط کاربری یا CLI انجام شود و به شما در مدیریت تهدیدات کمک می‌کند. همچنین تنظیمات خودکار برای اسکن و مدیریت فایل‌های آلوده می‌تواند به‌طور مؤثری فرآیندهای امنیتی را تسهیل کند.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 3. تنظیمات فایروال (WAF) برای مقابله با حملات رایج”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”فعال‌سازی WAF برای جلوگیری از SQL Injection، XSS، CSRF” subtitle=”توضیحات کامل”]WAF یکی از ابزارهای حیاتی برای جلوگیری از حملات مختلف از جمله SQL Injection، Cross-Site Scripting (XSS)، و Cross-Site Request Forgery (CSRF) است. Immunify360 با استفاده از WAF، سرور شما را در برابر این حملات که می‌توانند آسیب‌های جدی به وب‌سایت‌ها وارد کنند، محافظت می‌کند. در این بخش، نحوه فعال‌سازی و پیکربندی WAF برای جلوگیری از این تهدیدات بررسی می‌شود.

۱. SQL Injection

SQL Injection یکی از رایج‌ترین حملات وب است که مهاجم می‌تواند با استفاده از ورودی‌های کاربر، دستورهای SQL مخرب را در پایگاه داده اجرا کند. این حملات می‌توانند اطلاعات حساس مانند نام کاربری و کلمه عبور کاربران، داده‌های مالی و شخصی را به سرقت ببرند.

WAF در Immunify360 به‌طور پیش‌فرض از SQL Injection جلوگیری می‌کند و هرگونه تلاش برای ارسال دستورات SQL مخرب به سرور را شناسایی و مسدود می‌سازد.

۲. Cross-Site Scripting (XSS)

XSS یک نوع حمله است که به مهاجم این امکان را می‌دهد که اسکریپت‌های مخربی را در صفحات وب وارد کند. این اسکریپت‌ها می‌توانند به سرقت اطلاعات حساس کاربران، مثل کوکی‌ها و اعتبارنامه‌ها، بپردازند و در نهایت باعث آسیب به شهرت وب‌سایت شوند.

WAF به‌طور ویژه برای شناسایی و مسدود کردن حملات XSS طراحی شده است و به‌طور مداوم ورودی‌های غیرمجاز را فیلتر می‌کند.

۳. Cross-Site Request Forgery (CSRF)

CSRF به مهاجم این امکان را می‌دهد که از طرف کاربر به‌طور غیرمجاز درخواست‌هایی به سرور ارسال کند. این نوع حمله می‌تواند منجر به تغییر تنظیمات حساب کاربری، انجام عملیات مالی غیرمجاز یا دیگر فعالیت‌های مخرب شود.

WAF با شناسایی و مسدود کردن درخواست‌های مشکوک و بدون اعتبار از حملات CSRF جلوگیری می‌کند.

۴. فعال‌سازی WAF در Immunify360

برای فعال‌سازی WAF در Immunify360 و جلوگیری از SQL Injection، XSS، و CSRF، مراحل زیر را دنبال کنید:

  1. ورود به پنل مدیریتی Immunify360 وارد پنل مدیریتی Immunify360 شوید.
  2. رفتن به تنظیمات WAF از منوی سمت چپ یا منوی بالایی، گزینه “Web Application Firewall” یا “WAF” را انتخاب کنید.
  3. فعال‌سازی WAF در صفحه WAF Settings، گزینه “Enable WAF” یا “فعال‌سازی WAF” را انتخاب کنید.
  4. پیکربندی محافظت در برابر SQL Injection، XSS، و CSRF در بخش “Security Rules” یا “قوانین امنیتی”، باید تنظیمات پیشرفته‌ای برای جلوگیری از حملات SQL Injection، XSS، و CSRF موجود باشد.
    • برای SQL Injection، تنظیمات باید به‌صورت پیش‌فرض فعال باشند تا هرگونه درخواست مخرب به پایگاه داده مسدود شود.
    • برای XSS، گزینه‌های امنیتی مانند فیلتر کردن تگ‌های HTML و جاوا اسکریپت به‌طور پیش‌فرض فعال می‌شود.
    • برای CSRF، گزینه‌هایی برای بررسی اعتبار درخواست‌های ارسالی از طریق بررسی هدرها و توکن‌ها باید فعال باشند.
  5. ذخیره تغییرات پس از اعمال تغییرات، گزینه “Save” یا “ذخیره” را انتخاب کنید تا تنظیمات اعمال شوند.
۵. فعال‌سازی و پیکربندی از طریق CLI

برای فعال‌سازی WAF و پیکربندی آن از طریق Command Line Interface (CLI)، می‌توانید از دستورات زیر استفاده کنید:

  • فعال‌سازی WAF: 
    im360 firewall enable
  • پیکربندی امنیت برای جلوگیری از SQL Injection: برای جلوگیری از SQL Injection، Immunify360 به‌طور پیش‌فرض از الگوهای شناخته شده استفاده می‌کند. در صورتی که نیاز به تغییرات بیشتری دارید، می‌توانید از دستور زیر برای ویرایش تنظیمات استفاده کنید: 
    im360 firewall configure sql_injection
  • پیکربندی امنیت برای جلوگیری از XSS: برای جلوگیری از XSS، می‌توانید تنظیمات مربوطه را با دستور زیر بررسی یا تغییر دهید: 
    im360 firewall configure xss
  • پیکربندی امنیت برای جلوگیری از CSRF: برای جلوگیری از حملات CSRF، از دستور زیر برای پیکربندی توکن‌های CSRF استفاده کنید: 
    im360 firewall configure csrf
۶. بررسی وضعیت WAF

پس از فعال‌سازی و پیکربندی WAF، می‌توانید وضعیت آن را از طریق پنل مدیریتی یا CLI بررسی کنید.

  • برای بررسی وضعیت از طریق پنل مدیریتی، به صفحه WAF در پنل مدیریتی Immunify360 بروید.
  • برای بررسی وضعیت از طریق CLI، دستور زیر را وارد کنید: 
    im360 firewall status

این دستور وضعیت فعلی WAF و اینکه آیا در حال مسدودسازی حملات مختلف است یا خیر را نمایش می‌دهد.

جمع‌بندی

فعال‌سازی WAF در Immunify360 یک روش مؤثر برای جلوگیری از حملات SQL Injection، XSS، و CSRF است. این ویژگی به‌طور پیش‌فرض در Immunify360 فعال است و از سرور شما در برابر تهدیدات مختلف محافظت می‌کند. با پیکربندی صحیح WAF، می‌توانید امنیت سرور خود را به سطح بالاتری ارتقا دهید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیمات قوانین امنیتی سفارشی برای WAF” subtitle=”توضیحات کامل”]Web Application Firewall (WAF) در Immunify360 این امکان را به شما می‌دهد که قوانین امنیتی سفارشی برای سرور خود ایجاد کنید. با تنظیمات سفارشی، می‌توانید دقیقاً رفتار فایروال وب را مطابق با نیازهای خاص خود پیکربندی کرده و از سرور خود در برابر تهدیدات پیچیده‌تر محافظت کنید. این تنظیمات برای مدیریت دقیق‌تر حملات و محافظت از وب‌سایت‌ها در برابر انواع تهدیدات کاربردی است.

۱. مزایای تنظیم قوانین سفارشی
  • کنترل دقیق‌تر: شما می‌توانید قوانین خاصی را برای نیازهای امنیتی خود ایجاد کنید.
  • پیشگیری از حملات خاص: تنظیمات سفارشی می‌تواند به شما کمک کند تا از حملات خاص و کمتر شناخته‌شده جلوگیری کنید.
  • ایجاد فیلترهای پیچیده: شما می‌توانید شرایط خاصی را تعریف کنید که به فایروال اجازه می‌دهند تا درخواست‌ها را بر اساس الگوهای خاص شناسایی و مسدود کند.
۲. روش‌های ایجاد قوانین سفارشی برای WAF

برای تنظیم قوانین امنیتی سفارشی در WAF، به پنل مدیریتی Immunify360 وارد شوید و مراحل زیر را دنبال کنید:

  1. ورود به تنظیمات WAF
    • ابتدا وارد پنل مدیریتی Immunify360 شوید.
    • از منوی سمت چپ یا بالای پنل، گزینه “Web Application Firewall” یا “WAF” را انتخاب کنید.
  2. انتخاب گزینه تنظیمات قوانین
    • پس از وارد شدن به صفحه WAF Settings، گزینه “Custom Security Rules” یا “قوانین امنیتی سفارشی” را انتخاب کنید.
  3. ایجاد قانون جدید
    • در این بخش، گزینه “Create New Rule” یا “ایجاد قانون جدید” را انتخاب کنید.
    • یک فرم برای تعریف شرایط و عمل موردنظر باز می‌شود.
  4. تعریف شرایط قانون
    • در این مرحله، شما باید شرایطی که می‌خواهید بررسی شوند را تعریف کنید. به‌طور مثال:
      • IP Address: شما می‌توانید درخواست‌هایی که از IP‌های خاصی می‌آیند را مسدود کنید.
      • User-Agent: درخواست‌هایی که از مرورگرهای یا ربات‌های خاص ارسال می‌شوند را شناسایی و مسدود کنید.
      • Request Method: می‌توانید درخواست‌های خاص HTTP (مانند POST یا GET) را هدف قرار دهید.
      • Request URL: در صورتی که می‌خواهید درخواست‌های با الگوهای خاص در URL را شناسایی کنید.
  5. تعریف عمل (Action)
    • در این بخش، باید تعیین کنید که اگر قانون شما با درخواست‌ها تطبیق داشته باشد، چه عملی باید انجام شود. گزینه‌ها شامل:
      • Block (مسدود کردن): درخواست‌های مخرب را مسدود می‌کند.
      • Alert (هشدار): یک هشدار برای شما ارسال می‌کند بدون اینکه درخواست را مسدود کند.
      • Allow (اجازه دادن): درخواست را به‌طور کامل مجاز می‌سازد.
  6. ذخیره و فعال‌سازی قانون
    • پس از تنظیم شرایط و عمل موردنظر، روی Save یا ذخیره کلیک کنید تا قانون جدید ذخیره و فعال شود.
۳. نمونه‌های تنظیمات قوانین سفارشی برای WAF

برای درک بهتر نحوه کار با قوانین سفارشی، به چند نمونه رایج از این قوانین می‌پردازیم:

  • مسدود کردن IP‌های خاص
    • در صورتی که یک IP خاص به‌طور مکرر حملات SQL Injection یا XSS انجام می‌دهد، می‌توانید آن IP را به‌طور دائم مسدود کنید.
    • شرایط: IP Address = 192.168.1.100
    • عمل: Block
  • پیشگیری از حملات SQL Injection
    • می‌توانید قوانینی برای شناسایی و مسدود کردن درخواست‌هایی که احتمالاً دارای تزریق SQL هستند، ایجاد کنید.
    • شرایط: Request URL contains “union select”
    • عمل: Block
  • جلوگیری از حملات XSS
    • درخواست‌هایی که حاوی اسکریپت‌های مخرب هستند، باید شناسایی و مسدود شوند.
    • شرایط: Request Method = POST, Request Body contains “”
    • عمل: Block
  • هشدار در صورت شناسایی حملات
    • اگر یک حمله خاص شناسایی شود، می‌توانید به‌جای مسدود کردن آن، یک هشدار برای مدیر سرور ارسال کنید.
    • شرایط: User-Agent contains “bot”
    • عمل: Alert
۴. تست و بهینه‌سازی قوانین سفارشی

بعد از ایجاد قوانین سفارشی، باید اطمینان حاصل کنید که این قوانین به درستی عمل می‌کنند و مشکلی در عملکرد سرور یا وب‌سایت ایجاد نمی‌کنند.

  1. تست قوانین
    • پس از ایجاد قوانین، تست‌های مختلفی را برای اطمینان از عملکرد صحیح آن‌ها انجام دهید. می‌توانید از ابزارهای Penetration Testing یا Vulnerability Scanners برای شبیه‌سازی حملات استفاده کنید.
  2. بررسی تداخل قوانین
    • گاهی ممکن است قوانین سفارشی شما با دیگر قوانین موجود تداخل داشته باشند. بررسی و آزمایش دقیق هر قانون می‌تواند به جلوگیری از مشکلات غیرمنتظره کمک کند.
  3. به‌روزرسانی قوانین
    • قوانین امنیتی شما باید به‌طور منظم به‌روزرسانی شوند تا با تهدیدات جدید و تغییرات در محیط سرور همگام شوند. بررسی دوره‌ای و به‌روزرسانی قوانین سفارشی می‌تواند به حفظ امنیت سرور کمک کند.
جمع‌بندی

تنظیم قوانین امنیتی سفارشی برای WAF در Immunify360 به شما امکان می‌دهد تا امنیت وب‌سایت خود را به دقت پیکربندی کنید و از آن در برابر تهدیدات خاص محافظت کنید. این قوانین می‌توانند برای مقابله با انواع مختلف حملات و تهدیدات تنظیم شوند و به‌طور مؤثری از وب‌سایت شما در برابر حملات پیچیده‌تر محافظت نمایند.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تعریف و مدیریت لیست‌های سفید (whitelist) و سیاه (blacklist)” subtitle=”توضیحات کامل”]لیست‌های سفید (Whitelist) و لیست‌های سیاه (Blacklist) ابزارهای مهمی برای مدیریت دسترسی و امنیت سرور هستند. این ابزارها به شما کمک می‌کنند تا دقیقاً کنترل کنید که کدام منابع یا درخواست‌ها مجاز به دسترسی به سرور شما هستند و کدام یک باید مسدود شوند.

این ابزارها به طور ویژه در تنظیمات WAF (فایروال وب) و سایر ابزارهای امنیتی مانند Immunify360 کاربرد دارند و می‌توانند برای مدیریت دسترسی به سرور، وب‌سایت‌ها و منابع شبکه استفاده شوند.

۱. لیست سفید (Whitelist) چیست؟

لیست سفید به مجموعه‌ای از منابع یا آدرس‌های IP گفته می‌شود که به‌طور خاص اجازه دسترسی به سرور یا سرویس‌های خاص را دارند. این منابع به‌طور پیش‌فرض مجاز هستند، حتی اگر سایر قوانین امنیتی آن‌ها را مسدود کنند.

  • مزایای لیست سفید:
    • ایجاد دسترسی امن: برای منابع یا آدرس‌های خاصی که شما می‌خواهید همیشه به سیستم یا سرور شما دسترسی داشته باشند.
    • کاهش اشتباهات امنیتی: با تعیین منابع قابل اعتماد، از مسدود شدن منابع مهم جلوگیری می‌شود.
    • بهبود عملکرد: دسترسی سریع‌تر و آسان‌تر برای منابع قابل اعتماد فراهم می‌شود.
  • موارد استفاده لیست سفید:
    • آدرس‌های IP قابل اعتماد: برای جلوگیری از مسدود شدن کاربرانی که همواره دسترسی مجاز دارند.
    • دامنه‌ها یا آدرس‌های URL خاص: برای مجاز کردن دامنه‌های خاص در برابر فیلترهای امنیتی.
    • کاربران یا سرویس‌های خاص: برای شناسایی و اجازه دسترسی به سرویس‌ها یا کاربران خاص که همیشه باید دسترسی داشته باشند.
۲. لیست سیاه (Blacklist) چیست؟

لیست سیاه مجموعه‌ای از منابع یا آدرس‌هایی است که به‌طور خاص مسدود می‌شوند و به هیچ‌وجه اجازه دسترسی به سرور یا سرویس‌ها را ندارند. این منابع معمولاً شامل آدرس‌های IP یا دامنه‌هایی هستند که به‌عنوان منابع مخرب شناخته می‌شوند.

  • مزایای لیست سیاه:
    • مسدودسازی منابع خطرناک: از دسترسی منابع مخرب به سیستم یا سرور شما جلوگیری می‌کند.
    • پیشگیری از حملات: به‌ویژه در برابر حملات DDoS، اسکریپت‌های مخرب و سایر تهدیدات، این ابزار کمک‌کننده است.
    • بهبود امنیت: با مسدود کردن منابع شناخته‌شده، احتمال وقوع حملات به حداقل می‌رسد.
  • موارد استفاده لیست سیاه:
    • آدرس‌های IP مخرب: برای جلوگیری از حملات از سمت آدرس‌های خاص.
    • کاربران یا ربات‌های خودکار: برای مسدود کردن ربات‌ها یا اسپمرها که به‌طور مداوم سعی در انجام حملات دارند.
    • دامنه‌های مشکوک: برای جلوگیری از دسترسی به دامنه‌هایی که ممکن است شامل بدافزار یا ویروس باشند.
۳. مدیریت لیست‌های سفید و سیاه در Immunify360

Immunify360 ابزارهایی برای مدیریت لیست‌های سفید و سیاه ارائه می‌دهد تا بتوانید دسترسی‌ها را کنترل کرده و از سرور خود در برابر تهدیدات مختلف محافظت کنید.

  • مدیریت لیست سفید:
    1. اضافه کردن آدرس‌های IP به لیست سفید: از طریق پنل مدیریتی، شما می‌توانید آدرس‌های IP خاصی را به لیست سفید اضافه کنید تا این آدرس‌ها همیشه دسترسی به سرور داشته باشند.
    2. اضافه کردن دامنه‌ها به لیست سفید: دامنه‌هایی که به‌طور مکرر به سرور شما درخواست ارسال می‌کنند و قابل اعتماد هستند، می‌توانند در این لیست قرار گیرند.
  • مدیریت لیست سیاه:
    1. اضافه کردن آدرس‌های IP به لیست سیاه: هرگونه آدرس IP مشکوک که به‌طور مداوم حملات انجام می‌دهد، می‌تواند به لیست سیاه اضافه شود تا دسترسی آن‌ها مسدود گردد.
    2. مسدود کردن دامنه‌های مخرب: شما می‌توانید دامنه‌های مشکوک یا مخرب را به لیست سیاه اضافه کنید تا از دسترسی به سرور شما جلوگیری شود.
۴. روش‌های اضافه کردن و حذف آدرس‌ها از لیست‌های سفید و سیاه

Immunify360 به شما این امکان را می‌دهد که به راحتی منابع را از طریق CLI یا پنل مدیریتی اضافه یا حذف کنید.

  1. اضافه کردن آدرس‌ها از طریق پنل مدیریتی:
    • وارد پنل مدیریتی Immunify360 شوید.
    • به بخش Security Settings بروید و گزینه IP/Domain Whitelist/Blacklist را انتخاب کنید.
    • در این بخش می‌توانید آدرس‌های IP یا دامنه‌های خاص را به لیست‌های سفید یا سیاه اضافه کنید.
  2. اضافه کردن آدرس‌ها از طریق CLI:
    • برای اضافه کردن آدرس IP به لیست سفید یا سیاه از دستورات CLI استفاده کنید.
    • به عنوان مثال، برای اضافه کردن یک IP به لیست سفید از دستور زیر استفاده کنید: 
      im360 whitelist add 192.168.1.100
    • برای حذف یک آدرس از لیست سیاه: 
      im360 blacklist remove 192.168.1.100
۵. نکات امنیتی هنگام استفاده از لیست‌های سفید و سیاه
  • لیست سفید باید با دقت تنظیم شود: اضافه کردن منابع به لیست سفید باید با دقت انجام شود، زیرا این منابع به‌طور دائم مجاز به دسترسی هستند.
  • بازبینی منظم لیست سیاه: لیست سیاه باید به‌طور منظم بررسی شود تا منابع جدیدی که ممکن است به سرور تهدیدی وارد کنند، شناسایی و مسدود شوند.
  • آگاهی از منابع در حال تغییر: ممکن است منابع معتبر تغییر کنند یا منابع مخربی که قبلاً شناسایی نشده‌اند وارد سرور شما شوند. بنابراین، مدیریت مداوم این لیست‌ها بسیار مهم است.
جمع‌بندی

مدیریت لیست‌های سفید و سیاه ابزار مهمی برای کنترل دسترسی به سرور و افزایش امنیت سیستم است. Immunify360 به شما این امکان را می‌دهد که با دقت منابع مختلف را مدیریت کنید و از سرور خود در برابر تهدیدات مختلف محافظت کنید. تنظیمات صحیح این لیست‌ها می‌تواند به طور قابل توجهی امنیت وب‌سایت‌ها و سرورهای شما را بهبود بخشد و از حملات مختلف جلوگیری کند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه تنظیم سطح حساسیت فایروال” subtitle=”توضیحات کامل”]تنظیم سطح حساسیت فایروال یکی از گام‌های مهم در پیکربندی امنیتی است که به شما کمک می‌کند تا امنیت سرور خود را متناسب با نیازهای خاص و تهدیدات مختلف تنظیم کنید. با استفاده از فایروال Immunify360، می‌توانید سطح حساسیت فایروال را برای شناسایی و مسدود کردن تهدیدات مختلف تنظیم کنید.

سطح حساسیت فایروال باید طوری تنظیم شود که نه تنها از حملات جلوگیری کند بلکه باعث مسدود کردن منابع معتبر و ایجاد اختلال در دسترسی به سرویس‌ها نشود.

۱. سطوح مختلف حساسیت فایروال

Immunify360 معمولاً چندین سطح حساسیت برای فایروال ارائه می‌دهد که می‌توانید بر اساس نیاز خود یکی از آن‌ها را انتخاب کنید:

  1. حساسیت پایین (Low Sensitivity):
    • در این سطح، فایروال به‌طور عمومی تهدیدات کم‌اهمیت یا در معرض خطا را نادیده می‌گیرد.
    • این سطح برای سرورهایی مناسب است که ترافیک زیادی دارند و نیاز به محافظت از تهدیدات سنگین دارند.
    • ممکن است برخی تهدیدات پیشرفته شناسایی نشوند، اما تاثیر کمی بر عملکرد سیستم خواهد داشت.
  2. حساسیت متوسط (Medium Sensitivity):
    • در این سطح، فایروال تهدیدات معمولی را شناسایی می‌کند و از بسیاری از حملات رایج جلوگیری می‌کند.
    • این سطح برای بیشتر سرورها مناسب است که به‌طور مداوم تحت حملات مختلف قرار دارند.
    • تهدیدات کمتر جدی مسدود می‌شوند، اما احتمال خطای کمتری در شناسایی تهدیدات واقعی وجود دارد.
  3. حساسیت بالا (High Sensitivity):
    • در این سطح، فایروال به‌طور دقیق و حساس تمامی تهدیدات را شناسایی و مسدود می‌کند.
    • برای سرورهایی که امنیت بالا در برابر انواع حملات دارند، این سطح مناسب است.
    • ممکن است تعداد بیشتری از منابع مشروع نیز مسدود شوند، بنابراین باید اطمینان حاصل کرد که لیست‌های سفید به‌درستی تنظیم شده‌اند.
۲. چگونه سطح حساسیت فایروال را در Immunify360 تنظیم کنیم؟

برای تنظیم سطح حساسیت فایروال در Immunify360، باید از پنل مدیریتی یا CLI استفاده کنید. در اینجا نحوه تنظیم این سطح توضیح داده شده است.

  1. از طریق پنل مدیریتی:
    • وارد پنل مدیریتی Immunify360 شوید.
    • به بخش Security Settings بروید.
    • گزینه Firewall Configuration را انتخاب کنید.
    • در بخش تنظیمات فایروال، گزینه Firewall Sensitivity را پیدا کنید.
    • از منوی کشویی موجود، سطح حساسیت مورد نظر (Low, Medium, High) را انتخاب کنید.
    • تغییرات را ذخیره کنید.
  2. از طریق CLI:اگر می‌خواهید سطح حساسیت را از طریق خط فرمان تنظیم کنید، می‌توانید از دستورات زیر استفاده کنید:
    • برای تنظیم سطح حساسیت پایین: 
      im360 firewall sensitivity low
    • برای تنظیم سطح حساسیت متوسط: 
      im360 firewall sensitivity medium
    • برای تنظیم سطح حساسیت بالا: 
      im360 firewall sensitivity high

    پس از اجرای این دستورات، فایروال به‌طور خودکار تنظیمات جدید را اعمال خواهد کرد.

۳. چرا باید سطح حساسیت فایروال را تنظیم کنیم؟

تنظیم سطح حساسیت فایروال برای تطابق با نیازهای امنیتی سرور شما ضروری است. اگر سطح حساسیت خیلی پایین تنظیم شود، ممکن است حملات جدی نادیده گرفته شوند. از سوی دیگر، اگر سطح حساسیت خیلی بالا باشد، ممکن است منابع معتبر نیز مسدود شوند و دسترسی کاربران به سرویس‌ها با مشکلاتی مواجه شود.

بنابراین، تنظیم سطح حساسیت باید با دقت و بر اساس حجم ترافیک سرور، نوع تهدیدات و سیاست‌های امنیتی شما انجام شود.

جمع‌بندی

تنظیم سطح حساسیت فایروال در Immunify360 به شما این امکان را می‌دهد که امنیت سرور خود را به‌طور دقیق تنظیم کنید. با انتخاب سطح حساسیت مناسب، می‌توانید از سرور خود در برابر تهدیدات محافظت کنید، در حالی که از ایجاد اختلال در عملکرد سیستم جلوگیری نمایید.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 4. پیکربندی چک‌های امنیتی و مانیتورینگ”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”فعال‌سازی و سفارشی‌سازی Security Check” subtitle=”توضیحات کامل”]Security Check در Immunify360 ابزاری مهم برای شناسایی و پیشگیری از تهدیدات امنیتی است که به شما کمک می‌کند تا نقاط ضعف سیستم و پیکربندی‌های امنیتی را شناسایی و رفع کنید. با استفاده از این ویژگی، می‌توانید آسیب‌پذیری‌ها را شناسایی کرده و اقدامات لازم برای افزایش امنیت سرور را انجام دهید.

۱. فعال‌سازی Security Check

برای فعال‌سازی Security Check در Immunify360، باید مراحل زیر را دنبال کنید:

  1. ورود به پنل مدیریتی Immunify360:
    • ابتدا وارد پنل مدیریتی Immunify360 شوید.
    • در قسمت Security Tools، گزینه Security Check را پیدا کرده و انتخاب کنید.
  2. فعال‌سازی Security Check:
    • در صفحه Security Check، گزینه‌ای برای فعال‌سازی ابزار وجود دارد.
    • گزینه Enable Security Check را انتخاب کرده و فعال کنید.
    • پس از فعال‌سازی، ابزار شروع به اسکن کردن پیکربندی‌های امنیتی سرور خواهد کرد و گزارشی از نقاط ضعف را ارائه می‌دهد.
۲. سفارشی‌سازی تنظیمات Security Check

برای اطمینان از تطابق با نیازهای امنیتی خاص، می‌توانید Security Check را برای سرور خود سفارشی‌سازی کنید. این سفارشی‌سازی به شما این امکان را می‌دهد که تنها به‌طور خاص روی تهدیدات و آسیب‌پذیری‌های مورد نظر خود تمرکز کنید.

  1. تنظیم نوع بررسی‌ها:
    • در تنظیمات Security Check، می‌توانید مشخص کنید که کدام بخش‌ها از سرور باید بررسی شوند. به‌طور مثال، می‌توانید تنظیم کنید که فقط بررسی‌هایی برای میزبان‌های وب، پیکربندی‌های SSH، و فایروال انجام شود.
    • این تنظیمات به شما این امکان را می‌دهند که بررسی‌ها را متناسب با اولویت‌های امنیتی خود انجام دهید.
  2. زمان‌بندی بررسی‌ها:
    • امکان زمان‌بندی Security Check برای انجام اسکن‌های خودکار وجود دارد.
    • برای این کار، می‌توانید زمان‌بندی انجام بررسی‌ها را مشخص کنید. به‌عنوان مثال، می‌توانید تعیین کنید که این بررسی‌ها هر هفته یا هر ماه انجام شوند.
  3. تنظیم حساسیت گزارش‌ها:
    • می‌توانید حساسیت گزارش‌های Security Check را تنظیم کنید.
    • این حساسیت به این معناست که چه سطح از مشکلات امنیتی باید گزارش شوند. این گزارش می‌تواند شامل خطرات بالقوه، آسیب‌پذیری‌های با اولویت بالا، یا اطلاعات مربوط به تنظیمات نادرست باشد.
۳. بررسی و تحلیل نتایج Security Check

پس از فعال‌سازی و انجام Security Check، شما گزارشی از نتایج بررسی‌ها دریافت خواهید کرد. این گزارش معمولاً شامل جزئیات زیر است:

  • آسیب‌پذیری‌های موجود: گزارشی از مشکلات امنیتی شناسایی‌شده مانند تنظیمات نادرست در فایل‌های پیکربندی یا آسیب‌پذیری‌های نرم‌افزاری.
  • پیشنهادات اصلاحی: برای هر آسیب‌پذیری، پیشنهاداتی برای رفع آن مشکل ارائه می‌شود.
  • اولویت‌ها: بخش‌هایی که نیاز به اقدام فوری دارند، به‌طور برجسته مشخص خواهند شد.
۴. اقدامات پس از دریافت گزارش

بعد از دریافت گزارش Security Check، باید اقداماتی برای رفع مشکلات امنیتی انجام دهید:

  1. رفع آسیب‌پذیری‌ها: برای هر آسیب‌پذیری شناسایی‌شده، طبق پیشنهادات Immunify360، اقدام به رفع مشکل کنید.
  2. به‌روزرسانی‌های امنیتی: از آنجا که بسیاری از مشکلات امنیتی به‌علت نسخه‌های قدیمی نرم‌افزارها یا پیکربندی‌های نادرست ایجاد می‌شوند، ممکن است نیاز به به‌روزرسانی و اصلاح فایل‌های پیکربندی داشته باشید.
  3. تست دوباره: پس از اعمال اصلاحات، دوباره Security Check را برای اطمینان از رفع مشکلات اجرا کنید.
جمع‌بندی

فعال‌سازی و سفارشی‌سازی Security Check در Immunify360 به شما این امکان را می‌دهد که به‌طور فعال امنیت سرور خود را مدیریت کنید. با تنظیمات درست و تحلیل دقیق گزارش‌ها، می‌توانید خطرات امنیتی را به حداقل برسانید و از سرور خود در برابر تهدیدات مختلف محافظت کنید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیم هشدارهای امنیتی و اعلان‌های ایمیلی” subtitle=”توضیحات کامل”]یکی از ویژگی‌های مهم Immunify360، سیستم هشداردهی و ارسال اعلان‌های ایمیلی است که مدیران سرور را از وضعیت امنیتی سرور و هرگونه تهدید یا تغییر در وضعیت آگاه می‌کند. این سیستم به شما کمک می‌کند که در مواقع لزوم به سرعت اقدام کنید و امنیت سرور را حفظ نمایید.

۱. فعال‌سازی هشدارهای امنیتی

برای فعال‌سازی هشدارهای امنیتی در Immunify360، باید مراحل زیر را دنبال کنید:

  1. ورود به پنل مدیریتی Immunify360:
    • ابتدا وارد پنل مدیریتی Immunify360 شوید.
  2. دسترسی به بخش هشدارها:
    • در پنل مدیریتی، به قسمت Notifications یا Security Alerts بروید.
    • این بخش به شما این امکان را می‌دهد که هشدارها و اعلان‌ها را مدیریت کنید.
  3. تنظیم نوع هشدارها:
    • در این قسمت، می‌توانید انواع هشدارهایی که می‌خواهید دریافت کنید را انتخاب کنید. این هشدارها شامل موارد زیر می‌توانند باشند:
      • هشدارهای مربوط به شناسایی بدافزارها
      • هشدارهای مربوط به حملات WAF (SQL Injection، XSS و غیره)
      • هشدارهای مرتبط با مشکلات در پیکربندی فایروال
      • هشدارهای مربوط به ورودهای غیرمجاز
      • هشدارهای اسکن بدافزار
    • می‌توانید سطح حساسیت هشدارها را تعیین کنید، به‌عنوان مثال:
      • هشدارهای بحرانی
      • هشدارهای کم‌اهمیت
۲. تنظیم اعلان‌های ایمیلی

برای دریافت اعلان‌های ایمیلی، باید آدرس ایمیل خود را وارد کرده و تنظیمات آن را پیکربندی کنید.

  1. ورود به بخش تنظیمات ایمیل:
    • در بخش Notifications یا Security Alerts، گزینه‌ای برای تنظیم اعلان‌ها و هشدارها از طریق ایمیل وجود دارد.
  2. ورود آدرس ایمیل:
    • آدرس ایمیل خود را در قسمت مربوطه وارد کنید تا در صورت بروز هرگونه تهدید یا تغییر وضعیت، ایمیل هشدار دریافت کنید.
  3. تنظیم فیلترها و شرایط ارسال ایمیل:
    • می‌توانید تنظیم کنید که تنها در صورت بروز تهدیدات خاص یا در صورت شناسایی خطرات جدی، ایمیل ارسال شود. برای مثال:
      • ارسال ایمیل در صورت شناسایی بدافزار
      • ارسال ایمیل هنگام شناسایی حملات SQL Injection
      • ارسال ایمیل هنگام تلاش برای ورود غیرمجاز به سرور
    • این امکان به شما این اجازه را می‌دهد که فقط اعلان‌های مهم را دریافت کنید و از دریافت اعلان‌های غیرضروری جلوگیری کنید.
  4. تنظیم ارسال ایمیل به چندین آدرس:
    • می‌توانید چندین آدرس ایمیل را وارد کنید تا همزمان به چند نفر از تیم مدیریتی هشدارهای امنیتی ارسال شود.
۳. تنظیمات پیشرفته هشدارها

در برخی از نسخه‌های Immunify360، تنظیمات پیشرفته‌ای برای ارسال هشدارهای امنیتی وجود دارد:

  1. تنظیم زمان ارسال هشدارها:
    • در این تنظیمات، می‌توانید زمان‌های خاصی را برای ارسال هشدارها تعیین کنید. به‌عنوان مثال، تنها در ساعات اداری یا در ساعات خاص شبانه‌روز هشدارها ارسال شوند.
  2. تنظیم ارسال گزارش‌های هفتگی یا ماهانه:
    • این امکان به شما اجازه می‌دهد که به‌صورت خودکار گزارش‌های امنیتی در قالب ایمیل دریافت کنید. این گزارش‌ها می‌توانند شامل جزئیات مربوط به حملات شناسایی‌شده، وضعیت اسکن بدافزار، یا وضعیت تنظیمات فایروال باشند.
  3. تنظیم سطح حساسیت هشدارها:
    • شما می‌توانید سطح حساسیت هشدارها را به‌طور جداگانه برای هر بخش تنظیم کنید. به‌طور مثال، برای شناسایی حملات به وب‌سایت می‌توانید سطح هشدار را بالا و برای بررسی پیکربندی‌های فایروال سطح هشدار را پایین‌تر تنظیم کنید.
۴. مدیریت هشدارهای امنیتی در مواقع اضطراری

در مواقعی که سرور با تهدید جدی مواجه می‌شود، به سرعت باید به هشدارها پاسخ داده شود. در این مواقع، تنظیمات زیر می‌توانند مفید واقع شوند:

  1. ارسال هشدارهای فوری:
    • در تنظیمات Immunify360، می‌توانید گزینه ارسال هشدارهای فوری را فعال کنید. این هشدارها به‌صورت SMS یا از طریق برنامه‌های پیام‌رسان نیز می‌توانند ارسال شوند.
  2. فعال‌سازی هشدار برای تغییرات در تنظیمات فایروال یا WAF:
    • به محض اینکه یک تغییر غیرمنتظره یا خطرناک در تنظیمات فایروال یا WAF صورت بگیرد، می‌توانید از طریق ایمیل یا پیامک هشدار دریافت کنید.
  3. اعلان در صورت اجرای حملات DDoS:
    • برای مقابله با حملات DDoS، می‌توانید تنظیم کنید که هرگونه فعالیت مشکوک به‌صورت خودکار گزارش شده و شما به‌سرعت مطلع شوید.
جمع‌بندی

تنظیم هشدارهای امنیتی و اعلان‌های ایمیلی در Immunify360 یکی از بخش‌های ضروری برای حفظ امنیت سرور است. این ابزارها به شما کمک می‌کنند تا هرگونه تهدید یا تغییر در وضعیت سرور را به‌سرعت شناسایی و مدیریت کنید. با فعال‌سازی هشدارها و پیکربندی مناسب آن‌ها، می‌توانید از سرور خود در برابر تهدیدات مختلف محافظت کنید و به‌موقع اقدام کنید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه نظارت بر فرآیندهای مشکوک در سرور” subtitle=”توضیحات کامل”]نظارت بر فرآیندهای مشکوک در سرور یکی از مهم‌ترین اقدامات امنیتی برای جلوگیری از دسترسی غیرمجاز و تشخیص فعالیت‌های خطرناک است. با استفاده از ابزارها و تنظیمات مختلف در Immunify360 و سیستم‌های دیگر، می‌توانید به‌طور مداوم فرآیندهای در حال اجرا در سرور را نظارت کرده و فعالیت‌های مشکوک را شناسایی کنید.

۱. استفاده از سیستم شناسایی و پیشگیری از نفوذ (IDS/IPS)

Immunify360 از سیستم IDS/IPS برای شناسایی و پیشگیری از حملات و فعالیت‌های مشکوک استفاده می‌کند. این سیستم با بررسی فرآیندها و درخواست‌ها، قادر است هرگونه رفتار مشکوک را شناسایی کند.

  1. شناسایی فرآیندهای غیرمجاز:
    • Immunify360 به‌طور مداوم فرآیندهای در حال اجرا را بررسی کرده و در صورت شناسایی فعالیت‌های مشکوک مانند تلاش برای اجرای کدهای مخرب، ارسال درخواست‌های غیرمعمول یا استفاده از منابع سیستم به‌طور غیرعادی، هشدارهایی را ارسال می‌کند.
  2. پیشگیری از حملات:
    • سیستم IPS با استفاده از قوانین امنیتی پیشرفته می‌تواند فعالیت‌های مشکوک را به‌طور خودکار مسدود کرده و از ادامه حملات جلوگیری کند.
۲. نظارت بر فعالیت‌های فرآیندها با استفاده از ابزارهای مدیریتی

علاوه بر Immunify360، ابزارهای مدیریتی دیگر مانند cPanel، Plesk، و DirectAdmin نیز قابلیت نظارت بر فرآیندها و سرویس‌ها را فراهم می‌آورند.

  1. در cPanel:
    • از قسمت Process Manager، می‌توانید فرآیندهای در حال اجرا بر روی سرور خود را مشاهده کرده و فرآیندهای مشکوک را متوقف کنید.
  2. در Plesk:
    • در بخش System Health, شما می‌توانید منابع سیستم و فرآیندهای در حال اجرا را مشاهده کرده و به‌طور دستی فرآیندهای مشکوک را متوقف کنید.
  3. در DirectAdmin:
    • بخش System Info & Files به شما این امکان را می‌دهد که فرآیندهای در حال اجرا و استفاده از منابع سرور را نظارت کنید.
۳. فعال‌سازی هشدارها برای فعالیت‌های مشکوک
  1. تنظیم هشدارها در Immunify360:
    • می‌توانید هشدارهایی را برای فعالیت‌های مشکوک و فرآیندهای غیرمجاز تنظیم کنید تا به محض شناسایی فرآیندهای خطرناک یا دسترسی‌های غیرمجاز، ایمیل یا اعلان دریافت کنید.
  2. بررسی لاگ‌ها:
    • در لاگ‌های Immunify360 می‌توانید تمامی فعالیت‌های مشکوک و تلاش‌های نفوذ به سرور را مشاهده کنید. این اطلاعات به شما کمک می‌کند تا فرآیندهای مشکوک را شناسایی و نسبت به آن‌ها اقدام کنید.
۴. نظارت بر فرآیندهای سیستم با استفاده از ابزارهای لینوکسی

در کنار ابزارهای کنترل پنل، می‌توانید از دستورات لینوکس برای نظارت بر فرآیندها استفاده کنید.

  1. استفاده از دستور top:
    • با دستور top می‌توانید فرآیندهای در حال اجرا، مصرف منابع و وضعیت سیستم را مشاهده کنید.
    top
  2. استفاده از دستور ps:
    • دستور ps به شما این امکان را می‌دهد که اطلاعات دقیقی در مورد فرآیندهای در حال اجرا بر روی سیستم مشاهده کنید.
    ps aux
  3. استفاده از دستور netstat:
    • این دستور به شما کمک می‌کند تا تمامی اتصالات شبکه‌ای را که توسط فرآیندهای مختلف برقرار شده‌اند، مشاهده کنید.
    netstat -tulnp
۵. پیکربندی فرآیندهای خاص برای نظارت دقیق‌تر

برای نظارت دقیق‌تر بر فرآیندهای خاص یا موارد مشکوک، می‌توانید از ابزارهای اضافی مانند Auditd، Syslog، یا Fail2Ban استفاده کنید.

  1. Auditd:
    • این ابزار به شما امکان می‌دهد که فعالیت‌های خاص مانند تلاش برای دسترسی به فایل‌های حساس یا تغییرات در تنظیمات امنیتی را نظارت کنید.
  2. Fail2Ban:
    • Fail2Ban به شما کمک می‌کند که حملات brute-force یا دسترسی‌های غیرمجاز به سیستم را شناسایی کرده و از ادامه آن‌ها جلوگیری کنید.
جمع‌بندی

نظارت بر فرآیندهای مشکوک در سرور یکی از ارکان اصلی امنیت سرور است. استفاده از ابزارهای موجود در Immunify360، ابزارهای مدیریتی مانند cPanel، Plesk و DirectAdmin، و ابزارهای لینوکسی مانند top و ps، به شما این امکان را می‌دهد که فعالیت‌های مشکوک را شناسایی کرده و اقدامات لازم را انجام دهید. همچنین، با تنظیم هشدارها و بررسی لاگ‌ها، می‌توانید از هرگونه تهدید امنیتی جلوگیری کنید و سرور خود را امن نگه دارید.

 [/cdb_course_lesson][/cdb_course_lessons]

[cdb_course_lessons title=”بخش 4. بررسی و پیکربندی Anti-Virus و Anti-Malware”][cdb_course_lesson title=”فصل 1. مقدمه‌ای بر سیستم Anti-Virus و Anti-Malware در Immunify360″][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نقش Anti-Virus و Anti-Malware در امنیت سرور” subtitle=”توضیحات کامل”]در سرورهای لینوکسی و به‌ویژه محیط‌هایی که میزبان چندین وب‌سایت یا کاربران هستند، حفظ امنیت فایل‌ها، پردازش‌ها و مسیرهای سیستمی در برابر تهدیدات دیجیتال اهمیت حیاتی دارد. ابزارهای Anti-Virus و Anti-Malware نقش اساسی در پیشگیری، شناسایی، قرنطینه و حذف فایل‌های آلوده یا رفتارهای مخرب ایفا می‌کنند. استفاده از این ابزارها در کنار سیستم‌های دیگری مثل WAF و IDS/IPS، یک لایه امنیتی مستحکم فراهم می‌کند که از نفوذ بدافزارها، اسکریپت‌های مخرب، تروجان‌ها و ویروس‌های مبتنی بر PHP یا Perl جلوگیری می‌کند.

در ابزار امنیتی Imunify360، موتورهای اسکن Malware و آنتی‌ویروس به‌صورت کاملاً یکپارچه و با قابلیت‌های اتوماسیون بالا عمل می‌کنند. برخلاف ابزارهای سنتی مانند ClamAV که فقط اسکن ساده انجام می‌دهند، Imunify360 نه تنها اسکن عمیق و بلادرنگ دارد، بلکه می‌تواند رفتار فایل‌ها و پردازش‌ها را نیز تحلیل کرده و در صورت نیاز، آن‌ها را قرنطینه یا حذف کند.

بررسی نقش‌ها و عملکردهای کلیدی Anti-Virus و Anti-Malware در Imunify360

۱. اسکن بلادرنگ (Real-Time Malware Scanning)

Imunify360 به محض آپلود یک فایل، کپی شدن یک فایل جدید یا تغییرات مشکوک در فایل‌ها، بلافاصله آن‌ها را با دیتابیس تهدیدات بررسی می‌کند. این قابلیت مخصوصاً برای هاست‌های اشتراکی و سرورهای میزبانی کاربردی است که آپلود فایل از سمت کاربر زیاد انجام می‌شود.

۲. قرنطینه خودکار فایل‌های آلوده

فایل‌هایی که آلوده شناسایی شوند، به‌طور خودکار به مسیر قرنطینه منتقل می‌شوند و قابل اجرا نخواهند بود. این ویژگی از گسترش سریع ویروس یا بدافزار جلوگیری می‌کند.

مسیر پیش‌فرض قرنطینه:

/var/imunify360/quarantine
۳. اسکن کامل سیستم فایل

قابلیت Full Scan در Imunify360 به مدیر سرور این امکان را می‌دهد که تمام مسیرهای حساس سیستم شامل home، var، tmp و مسیرهای سفارشی را برای یافتن تهدیدات بررسی کند.

اجرای اسکن کامل با CLI:

imunify-antivirus malware scan start --path /
۴. اسکن فایل‌های خاص یا مسیرهای مشخص

برای مواقعی که فقط نیاز به اسکن یک مسیر خاص (مثلاً پوشه مربوط به یک سایت خاص) باشد:

imunify-antivirus malware scan start --path /home/user/public_html
۵. بررسی نتایج اسکن و مدیریت فایل‌های آلوده

برای مشاهده لیست فایل‌های آلوده شناسایی شده:

imunify-antivirus malware list

برای مشاهده جزئیات یک فایل خاص:

imunify-antivirus malware info --file /home/user/public_html/index.php

برای حذف یک فایل آلوده:

imunify-antivirus malware delete --file /home/user/public_html/index.php

برای بازگرداندن فایل از قرنطینه:

imunify-antivirus malware restore --file /var/imunify360/quarantine/...
۶. به‌روزرسانی دیتابیس تهدیدات

برای تضمین عملکرد صحیح، دیتابیس تهدیدات باید همواره به‌روز باشد. این کار به‌صورت خودکار انجام می‌شود اما می‌توان به‌صورت دستی هم آن را اجرا کرد:

imunify-antivirus update

جمع‌بندی

Anti-Virus و Anti-Malware در سرورهای لینوکسی، خط دفاعی حیاتی در برابر کدهای مخرب هستند. در ابزارهایی مانند Imunify360، این امکانات با قابلیت‌هایی مانند اسکن بلادرنگ، قرنطینه هوشمند و حذف خودکار فایل‌های آلوده ترکیب شده‌اند تا امنیت عملی و در لحظه برای سرورها فراهم شود. استفاده از CLI برای کنترل بهتر، بررسی گزارش‌ها و اعمال اقدامات سریع، به مدیران این امکان را می‌دهد تا بدون نیاز به واسط گرافیکی، تهدیدات را شناسایی و مهار کنند. این ماژول در کنار دیگر بخش‌های امنیتی Imunify360، یکی از قدرتمندترین لایه‌های محافظتی سرور محسوب می‌شود.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تفاوت بین اسکن‌های امنیتی بلادرنگ (Real-time) و دستی (On-Demand)” subtitle=”توضیحات کامل”]در محیط‌های سروری، به‌ویژه سرورهای میزبانی وب، تهدیدات امنیتی می‌توانند در کسری از ثانیه موجب نفوذ، تزریق کدهای مخرب، تخریب داده‌ها و یا ربودن اطلاعات حساس شوند. از این‌رو در ابزارهایی مانند Imunify360، دو نوع اصلی از اسکن‌های امنیتی برای مقابله با بدافزارها و تهدیدات تعبیه شده‌اند: اسکن بلادرنگ (Real-time Scanning) و اسکن دستی یا درخواستی (On-Demand Scanning).

شناخت تفاوت‌های کلیدی میان این دو روش، به مدیر سرور امکان می‌دهد تا بر اساس نیاز و معماری زیرساخت خود، بهترین روش را برای محافظت و واکنش سریع در برابر تهدیدات انتخاب کند.

اسکن بلادرنگ (Real-time Scanning)

اسکن بلادرنگ وظیفه دارد به‌صورت لحظه‌ای و خودکار، تمامی تغییرات روی فایل‌های سیستم را بررسی کرده و در صورت تشخیص تهدید، فایل را قرنطینه، حذف یا مسدود کند. این نوع اسکن برای مقابله سریع با حملاتی مانند آپلود اسکریپت‌های PHP مخرب، تزریق کدهای خطرناک و فایل‌های آلوده کاربرد دارد.

ویژگی‌های اسکن بلادرنگ در Imunify360:

  • نظارت دائم بر مسیرهای حساس مانند /home/، /var/tmp/ و /tmp/
  • بلافاصله پس از آپلود یا ایجاد فایل جدید، آن را اسکن می‌کند
  • مناسب برای سرورهایی با بار زیاد از نظر کاربر یا سایت‌های پویا
  • بدون نیاز به دخالت دستی مدیر سرور

پیکربندی فعال‌سازی Real-time Scanning:

مسیر فایل کانفیگ:

/etc/sysconfig/imunify360/antivirus.config

بررسی یا فعال‌سازی از طریق CLI:

imunify-antivirus config show
imunify-antivirus config update '{"REALTIME_SCAN": true}'

اسکن دستی یا درخواستی (On-Demand Scanning)

این نوع اسکن به‌صورت غیرخودکار و با دستور مستقیم مدیر سرور انجام می‌شود. در مواردی که مشکوک به وجود فایل آلوده هستید، یا می‌خواهید اسکن کاملی از یک مسیر خاص داشته باشید، این روش کاربردی است. این اسکن منابع بیشتری مصرف می‌کند اما بسیار دقیق است.

ویژگی‌های اسکن On-Demand در Imunify360:

  • قابل اجرا برای مسیرهای خاص یا کل سیستم
  • بررسی دقیق‌تر فایل‌ها نسبت به اسکن لحظه‌ای
  • مناسب برای بررسی دوره‌ای امنیتی، یا پس از تغییرات گسترده روی سیستم

مثال دستور CLI برای اسکن دستی:

اسکن یک مسیر خاص:

imunify-antivirus malware scan start --path /home/exampleuser/public_html

اسکن کل سیستم فایل:

imunify-antivirus malware scan start --path /

مشاهده وضعیت اسکن:

imunify-antivirus malware status

مقایسه عملی Real-time vs. On-Demand

ویژگی اسکن بلادرنگ (Real-time) اسکن دستی (On-Demand)
نوع اجرا خودکار و دائمی دستی و با فرمان مدیر
زمان اجرا به‌صورت لحظه‌ای و بلادرنگ در بازه زمانی مشخص یا هنگام نیاز
کارایی در محیط‌های شلوغ بسیار مؤثر نیاز به زمان و منابع بیشتر دارد
منابع مصرفی بهینه (در پس‌زمینه) سنگین‌تر و زمان‌برتر
دقت و پوشش مسیرها محدود به مسیرهای تعریف‌شده قابل سفارشی‌سازی برای هر مسیری
کنترل‌پذیری کمتر بیشتر (در انتخاب مسیر، زمان و سطح)

جمع‌بندی

اسکن بلادرنگ و اسکن دستی، دو ابزار مکمل در معماری امنیتی سرور هستند. اسکن بلادرنگ مناسب محافظت در برابر تهدیدات لحظه‌ای و جلوگیری از گسترش بدافزار است، در حالی که اسکن دستی برای بازرسی‌های دقیق‌تر یا دوره‌ای کاربرد دارد. در یک زیرساخت امن و هوشمند، استفاده ترکیبی از هر دو نوع اسکن توصیه می‌شود تا پوشش امنیتی کاملی برای تمامی فایل‌ها و پردازش‌های سیستم فراهم گردد. Imunify360 با ارائه هر دو قابلیت، امکان مدیریت انعطاف‌پذیر و پاسخ سریع به تهدیدات را فراهم کرده است.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”معرفی روش‌های قرنطینه و حذف بدافزارها” subtitle=”توضیحات کامل”]در بسترهای میزبانی وب و سرورهای لینوکسی، تشخیص و برخورد با فایل‌های مخرب یکی از حیاتی‌ترین اقدامات امنیتی است. ابزارهای ضد بدافزار مانند Imunify360 برای این منظور، دو رویکرد اصلی را ارائه می‌دهند: قرنطینه (Quarantine) و حذف (Remove) فایل‌های آلوده. هر یک از این روش‌ها کاربرد خاص خود را دارند و بسته به سیاست‌های امنیتی سرور، می‌توان آن‌ها را به صورت خودکار یا دستی اعمال کرد.

در این بخش، به بررسی دقیق عملکرد، تنظیمات، دستورات CLI و روش‌های مدیریت این دو رویکرد پرداخته می‌شود.

قرنطینه فایل‌های آلوده (Quarantine)

قرنطینه به معنای انتقال فایل مشکوک یا آلوده به یک محیط ایزوله است که در آن فایل از دسترسی کاربران و پردازش‌های سیستمی خارج می‌شود. این روش از حذف فوری جلوگیری کرده و به مدیر سرور امکان بررسی بیشتر، بازگردانی یا اعمال تصمیم نهایی را می‌دهد.

ویژگی‌های قرنطینه در Imunify360:

  • امکان بازیابی فایل آلوده در صورت تشخیص اشتباه
  • فایل‌ها در مسیری مجزا نگهداری می‌شوند
  • کاهش ریسک حذف اشتباه فایل‌های ضروری

مسیر پیش‌فرض قرنطینه در سرور:

/var/imunify360/quarantine/

فعال‌سازی قرنطینه به‌صورت خودکار:

مسیر فایل پیکربندی:

/etc/sysconfig/imunify360/antivirus.config

فعال‌سازی از طریق CLI:

imunify-antivirus config update '{"MALWARE_ACTION": "QUARANTINE"}'

مشاهده فایل‌های قرنطینه‌شده:

imunify-antivirus quarantine list

بازگردانی یک فایل از قرنطینه:

imunify-antivirus quarantine restore --id <file_id>

حذف دائمی یک فایل از قرنطینه:

imunify-antivirus quarantine delete --id <file_id>

حذف فایل‌های آلوده (Remove)

در شرایطی که فایل آلوده کاملاً غیرقابل اعتماد و مشکوک به اجرای کدهای خطرناک باشد، حذف آن توصیه می‌شود. این روش غیرقابل بازگشت بوده و باید با دقت انجام شود.

فعال‌سازی حذف خودکار فایل‌های آلوده:

مسیر فایل پیکربندی:

/etc/sysconfig/imunify360/antivirus.config

تغییر حالت از قرنطینه به حذف:

imunify-antivirus config update '{"MALWARE_ACTION": "DELETE"}'

حذف دستی فایل آلوده از گزارش اسکن:

ابتدا مشاهده فایل‌های آلوده:

imunify-antivirus malware list

سپس حذف فایل موردنظر با ID مشخص:

imunify-antivirus malware delete --id <file_id>

نحوه غیرفعال‌سازی خودکارسازی قرنطینه یا حذف

در صورتی که ترجیح داده شود تصمیم‌گیری درباره حذف یا قرنطینه به صورت دستی باشد، می‌توان از گزینه MALWARE_ACTION=REPORT_ONLY استفاده کرد.

imunify-antivirus config update '{"MALWARE_ACTION": "REPORT_ONLY"}'

در این حالت، فایل‌ها شناسایی شده ولی هیچ اقدامی روی آن‌ها انجام نمی‌شود تا مدیر سرور خود تصمیم بگیرد.

نکته امنیتی

اگر فایل‌های قرنطینه‌شده زیاد شوند و فضای دیسک را اشغال کنند، می‌توان یک اسکریپت زمان‌بندی‌شده برای پاک‌سازی خودکار فایل‌های قدیمی تنظیم کرد. مثلاً با استفاده از cron:

find /var/imunify360/quarantine/ -type f -mtime +14 -exec rm -f {} \;

این دستور، فایل‌هایی را که بیش از ۱۴ روز در قرنطینه مانده‌اند، حذف می‌کند.

جمع‌بندی

دو روش اصلی مقابله با بدافزار در Imunify360، یعنی قرنطینه و حذف، انعطاف‌پذیری مناسبی برای مدیریت تهدیدات فراهم می‌کنند. قرنطینه امکان بررسی و بازیابی فایل را قبل از تصمیم نهایی فراهم می‌کند، در حالی که حذف برای تهدیدات جدی و شناخته‌شده مناسب‌تر است. با استفاده از تنظیمات دقیق و ابزار CLI، می‌توان رفتار سیستم در مواجهه با بدافزارها را به‌خوبی مدیریت کرد و امنیت سرور را در سطح بالایی نگه داشت. استفاده ترکیبی و هوشمندانه از این روش‌ها به حفظ پایداری و امنیت سرویس‌های میزبانی کمک خواهد کرد.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 2. نحوه اسکن ویروس‌ها و بدافزارها”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”اجرای اسکن دستی برای بررسی فایل‌های سرور” subtitle=”توضیحات کامل”]اسکن دستی (On-Demand Scan) در Imunify360 یکی از مهم‌ترین ابزارهای امنیتی برای مدیران سرور محسوب می‌شود. برخلاف اسکن بلادرنگ که به‌صورت خودکار در پس‌زمینه کار می‌کند، اسکن دستی به مدیر سرور این امکان را می‌دهد تا در زمان دلخواه، وضعیت امنیتی فایل‌های موجود در مسیر مشخصی از سرور را بررسی کند. این روش برای بررسی فوری فایل‌های تازه آپلودشده، تشخیص آلودگی در فولدرهای خاص یا تایید پاک‌بودن فایل‌های مشکوک بسیار کاربردی است.

کاربردهای اصلی اسکن دستی

  • بررسی فوری فایل‌های مشکوک پس از دریافت هشدار
  • اسکن مسیرهای خاص مانند /home/username/public_html
  • تشخیص آلودگی در فایل‌های بک‌آپ
  • بررسی کامل فایل‌های سیستم پیش از انتشار یا آپلود عمومی

اجرای اسکن دستی از طریق CLI

برای اجرای اسکن دستی، می‌توان از ابزار CLI ارائه‌شده توسط ImunifyAV یا Imunify360 استفاده کرد. این دستورات در سرورهای لینوکسی قابل‌استفاده هستند و می‌توانند مسیر مشخصی را اسکن کنند.

ساختار دستور اسکن دستی:

imunify-antivirus malware scan <مسیر>

مثال – اسکن کل دایرکتوری home:

imunify-antivirus malware scan /home/

مثال – اسکن دایرکتوری خاص یک کاربر cPanel:

imunify-antivirus malware scan /home/user1/public_html

مشاهده وضعیت اسکن در حال اجرا:

imunify-antivirus malware status

مشاهده گزارش‌های اسکن دستی

پس از پایان اسکن، گزارش کامل فایل‌های بررسی‌شده و نتایج آن‌ها در CLI نمایش داده می‌شود. برای مشاهده مجدد لیست تهدیدات شناسایی‌شده:

imunify-antivirus malware list

گزارش‌ها همچنین در مسیر زیر قابل بررسی هستند:

/var/log/imunify360/scan-log.json

برای بررسی دقیق‌تر می‌توان این فایل را با ابزارهای cat، grep یا jq بررسی کرد:

cat /var/log/imunify360/scan-log.json | grep MALWARE

بررسی فایل خاص به‌صورت مستقیم

اگر فقط یک فایل مشکوک وجود دارد و نیازی به اسکن کل پوشه نیست، می‌توان آن را مستقیماً اسکن کرد:

imunify-antivirus malware scan /home/user1/public_html/index.php

زمان‌بندی اسکن دستی با استفاده از Cron

برای اجرای منظم اسکن دستی روی مسیرهای خاص، می‌توان یک کران‌جاب تنظیم کرد. به‌عنوان مثال، اجرای اسکن هر شب ساعت ۲ بامداد:

crontab -e

و اضافه‌کردن خط زیر:

0 2 * * * /usr/bin/imunify-antivirus malware scan /home/user1/public_html > /dev/null 2>&1

تنظیمات پیکربندی برای اسکن دستی

در صورتی که بخواهید برخی از ویژگی‌ها (مانند رفتار با فایل‌های آلوده) هنگام اسکن دستی کنترل شوند، باید از فایل پیکربندی زیر استفاده شود:

/etc/sysconfig/imunify360/antivirus.config

و پارامترهای زیر را متناسب با نیاز تغییر دهید:

{
  "MALWARE_ACTION": "QUARANTINE",
  "SCAN_MAX_FILE_SIZE": 200,
  "SCAN_TIMEOUT": 1800
}

برای بروزرسانی سریع این مقادیر با CLI:

imunify-antivirus config update '{"SCAN_MAX_FILE_SIZE": 200, "SCAN_TIMEOUT": 1800}'

جمع‌بندی

اجرای اسکن دستی در سرور یکی از مهم‌ترین ابزارهای بررسی وضعیت امنیتی فایل‌هاست که در مواقع ضروری یا بررسی‌های دوره‌ای بسیار مفید است. این اسکن به مدیر سرور امکان می‌دهد به‌صورت هدفمند مسیر یا فایل خاصی را بررسی کند و قبل از وقوع آسیب‌های احتمالی، فایل‌های آلوده را شناسایی کرده و اقدامات لازم را انجام دهد. استفاده از CLI در کنار زمان‌بندی خودکار با cron باعث می‌شود فرآیند اسکن دستی نیز کاملاً خودکار و پایدار اجرا شود.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیم اسکن خودکار و زمان‌بندی آن” subtitle=”توضیحات کامل”]اسکن خودکار یا زمان‌بندی‌شده (Scheduled Scan) یکی از ویژگی‌های کلیدی در Imunify360 و ImunifyAV است که به مدیر سرور اجازه می‌دهد بدون دخالت دستی، اسکن‌های امنیتی را در بازه‌های زمانی مشخص انجام دهد. این ویژگی به‌ویژه در محیط‌هایی که فایل‌های زیادی به‌طور منظم در حال تغییر هستند (مانند هاست اشتراکی یا سایت‌های پربازدید) اهمیت ویژه‌ای دارد. با تنظیم زمان‌بندی مناسب، اطمینان حاصل می‌شود که بدافزارها سریعاً شناسایی و قرنطینه می‌شوند.

مزایای اسکن زمان‌بندی‌شده

  • شناسایی سریع و منظم فایل‌های آلوده
  • کاهش ریسک آسیب به سیستم با تشخیص زودهنگام
  • کاهش نیاز به مداخلات دستی و مدیریت آسان‌تر امنیت
  • امکان هماهنگی با زمان‌های کم‌ترافیک سرور برای کاهش فشار منابع

زمان‌بندی اسکن خودکار از طریق CLI

برای تنظیم اسکن خودکار، ابتدا باید مطمئن شوید که سرویس زمان‌بندی Imunify فعال است. سپس با استفاده از دستورات CLI، برنامه‌ریزی اسکن را انجام می‌دهیم.

بررسی وضعیت زمان‌بندی فعلی اسکن‌ها:

imunify-antivirus schedule list

افزودن زمان‌بندی جدید – مثال: اسکن روزانه ساعت ۲ بامداد

imunify-antivirus schedule add --every day --time 02:00 --path /home/

در این دستور:

  • --every day مشخص می‌کند که اسکن هر روز انجام شود.
  • --time 02:00 زمان اجرای اسکن را تعیین می‌کند.
  • --path /home/ مسیر اسکن را مشخص می‌کند (قابل‌تغییر به هر مسیر دلخواه).

افزودن زمان‌بندی برای یک کاربر خاص:

imunify-antivirus schedule add --every day --time 03:30 --path /home/user1/public_html

حذف یک زمان‌بندی خاص: برای مشاهده ID زمان‌بندی‌ها:

imunify-antivirus schedule list

سپس:

imunify-antivirus schedule delete --id <Schedule_ID>

تنظیم دستی کران‌جاب (Cron) برای زمان‌بندی پیشرفته

در صورتی که بخواهید کنترل بیشتری روی زمان‌بندی داشته باشید (مثلاً فقط دو بار در هفته)، می‌توانید از cron استفاده کنید.

ویرایش کران‌تاب:

crontab -e

مثال: اجرای اسکن هر دوشنبه و پنجشنبه ساعت ۴ صبح

0 4 * * 1,4 /usr/bin/imunify-antivirus malware scan /home/ > /dev/null 2>&1

مثال: اسکن یک فولدر خاص با خروجی گزارش در فایل لاگ

30 1 * * * \
/usr/bin/imunify-antivirus \
malware scan \
/home/user1/public_html \
>> /var/log/imunify360/scheduled-scan.log \
2>&1

مدیریت فایل پیکربندی زمان‌بندی‌ها

در صورتی که بخواهید تنظیمات پایه‌ای مربوط به زمان‌بندی و اسکن خودکار را ویرایش کنید، می‌توانید از فایل پیکربندی زیر استفاده نمایید:

/etc/sysconfig/imunify360/antivirus.config

پارامترهای قابل‌تنظیم:

{
  "SCHEDULED_SCAN_ENABLED": true,
  "SCHEDULED_SCAN_TIME": "02:00",
  "SCHEDULED_SCAN_PATH": "/home/",
  "SCHEDULED_SCAN_DAYS": ["Mon", "Tue", "Wed", "Thu", "Fri", "Sat", "Sun"]
}

تغییر سریع مقادیر با CLI:

imunify-antivirus config update '{
  "SCHEDULED_SCAN_ENABLED": true,
  "SCHEDULED_SCAN_TIME": "02:00",
  "SCHEDULED_SCAN_PATH": "/home/",
  "SCHEDULED_SCAN_DAYS": ["Mon", "Thu"]
}'

بررسی نتایج اسکن‌های زمان‌بندی‌شده

برای مشاهده نتایج اسکن‌های انجام‌شده توسط زمان‌بندی خودکار:

imunify-antivirus malware list

یا بررسی لاگ‌ها:

tail -n 100 /var/log/imunify360/scan-log.json

در صورت نیاز می‌توانید گزارش‌ها را به پنل ایمیل نیز ارسال کنید، که در بخش هشدارها آموزش داده خواهد شد.

جمع‌بندی

تنظیم اسکن خودکار در Imunify360 یکی از مهم‌ترین گام‌ها در محافظت مستمر از سرور است. این قابلیت باعث می‌شود تا بدون دخالت مکرر مدیر، فایل‌ها به‌صورت منظم اسکن شوند و در صورت شناسایی تهدید، اقدام مناسب به‌صورت خودکار انجام شود. اجرای درست و بهینه‌ی این تنظیمات، امنیت پایداری را برای سرور شما فراهم خواهد کرد.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”مشاهده و مدیریت نتایج اسکن” subtitle=”توضیحات کامل”]پس از اجرای اسکن‌های دستی یا خودکار در Imunify360 یا ImunifyAV، یکی از اقدامات ضروری، بررسی نتایج این اسکن‌هاست. این مرحله نه تنها امکان شناسایی فایل‌های آلوده را فراهم می‌سازد، بلکه به مدیر سرور این توانایی را می‌دهد که درباره قرنطینه، حذف، یا افزودن به لیست سفید (whitelist) تصمیم‌گیری کند. Imunify360 ابزارهای خط فرمان و گرافیکی متنوعی برای مدیریت نتایج اسکن ارائه می‌دهد.

مشاهده نتایج آخرین اسکن با استفاده از CLI

برای مشاهده فایل‌های آلوده کشف‌شده در آخرین اسکن از دستور زیر استفاده می‌شود:

imunify-antivirus malware list

این دستور خروجی‌ای شامل شناسه فایل، مسیر، وضعیت فعلی (مثل قرنطینه‌شده یا تمیزنشده) و نوع تهدید نمایش می‌دهد.

فیلتر کردن فایل‌ها فقط با وضعیت “آلوده”:
imunify-antivirus malware list --status INFECTED
فیلتر کردن بر اساس کاربر خاص:
imunify-antivirus malware list --user username

بررسی جزئیات یک فایل خاص آلوده

برای مشاهده اطلاعات دقیق‌تر درباره یک فایل مشخص، ابتدا شناسه فایل را با دستور malware list دریافت کرده، سپس:

imunify-antivirus malware info --id <malware_id>

مدیریت فایل‌های آلوده

پس از شناسایی فایل‌های مشکوک یا آلوده، می‌توانید اقدامات زیر را روی آن‌ها انجام دهید:

قرنطینه فایل آلوده:
imunify-antivirus malware quarantine --id <malware_id>
حذف فایل آلوده:
imunify-antivirus malware delete --id <malware_id>
بازگردانی فایل قرنطینه‌شده:
imunify-antivirus malware restore --id <malware_id>
افزودن فایل یا مسیر خاص به لیست سفید:
imunify-antivirus whitelist add --path /home/user1/public_html/file.php

مدیریت از طریق رابط گرافیکی (cPanel/Plesk)

اگر از کنترل‌پنل cPanel، Plesk یا DirectAdmin استفاده می‌کنید، می‌توانید نتایج اسکن را از طریق رابط گرافیکی مشاهده و مدیریت کنید:

  • به بخش Imunify360 در کنترل‌پنل مراجعه کنید.
  • به تب Malware Scanner یا Files بروید.
  • فایل‌های آلوده شناسایی‌شده به‌صورت لیست نمایش داده می‌شوند.
  • با انتخاب هر فایل، می‌توانید اقدامات زیر را انجام دهید:
    • Clean (حذف یا پاک‌سازی کد مخرب)
    • Quarantine
    • Delete
    • Restore
    • Whitelist

مشاهده لاگ‌های اسکن

برای پیگیری دقیق‌تر اسکن‌ها، می‌توانید لاگ‌های مربوطه را بررسی کنید:

مسیر لاگ‌های مربوط به اسکن Imunify360:

/var/log/imunify360/scan-log.json

بررسی لاگ با tail:

tail -n 100 /var/log/imunify360/scan-log.json

جستجو برای فایل‌های آلوده در لاگ:

grep INFECTED /var/log/imunify360/scan-log.json

خروجی گرفتن از نتایج اسکن (Export)

در حال حاضر خروجی مستقیم از CLI به فایل CSV در ImunifyAV به‌طور پیش‌فرض ارائه نمی‌شود، اما می‌توانید با ابزارهایی مانند jq یا awk خروجی JSON را استخراج و فیلتر کنید:

imunify-antivirus malware list --json | jq '.' > /root/imunify-scan-report.json

جمع‌بندی

مدیریت نتایج اسکن، بخش مهمی از فرایند حفظ امنیت سرور است. با بررسی دقیق خروجی‌ها، شما می‌توانید نه‌تنها فایل‌های آلوده را قرنطینه یا حذف کنید، بلکه با افزودن فایل‌های امن به لیست سفید، از تکرار اسکن‌های بی‌مورد جلوگیری نمایید. این کار باعث صرفه‌جویی در منابع، افزایش امنیت، و بهبود عملکرد سرور خواهد شد. Imunify360 ابزارهای قدرتمند CLI و رابط کاربری گرافیکی مناسبی برای این کار فراهم کرده است که باید به‌صورت منظم مورد استفاده قرار گیرند.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 3. پیکربندی تنظیمات اسکن و قرنطینه”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تعیین سطح حساسیت اسکن بدافزار (Aggressive، Normal، Permissive)” subtitle=”توضیحات کامل”]Imunify360 به شما این امکان را می‌دهد که سطح حساسیت اسکن بدافزار را تعیین کنید. این تنظیمات به شما اجازه می‌دهند تا میزان دقیق اسکن و شناسایی بدافزارها را بر اساس نیازهای خاص سرور و امنیت آن کنترل کنید. سه سطح حساسیت اصلی در Imunify360 وجود دارد:

  1. Aggressive (حساسیت بالا)
  2. Normal (حساسیت متوسط)
  3. Permissive (حساسیت پایین)

هر کدام از این سطوح دارای ویژگی‌های خاص خود هستند که در ادامه توضیح داده خواهد شد:

1. Aggressive (حساسیت بالا)

  • ویژگی‌ها: اسکن Aggressive برای شناسایی حتی کوچکترین تهدیدات و فایل‌های مشکوک طراحی شده است. در این حالت، ابزار امنیتی حتی به فایل‌ها و فرآیندهایی که احتمال کمی برای تهدید بودن دارند، نیز حساس است.
  • مزایا: بیشتر بدافزارها و تهدیدات شناسایی می‌شوند، حتی اگر احتمال بروز خطا در شناسایی آن‌ها وجود داشته باشد.
  • معایب: ممکن است به‌طور غیرمجاز برخی فایل‌های بی‌خطر یا فایل‌های سالم را به‌عنوان تهدید شناسایی کند، که ممکن است موجب بروز مشکلات در سرور شود.

2. Normal (حساسیت متوسط)

  • ویژگی‌ها: این سطح اسکن، تعادلی بین دقت بالا و تعداد کاذب (false positives) برقرار می‌کند. در این حالت، بیشتر تهدیدات واقعی شناسایی می‌شوند، اما تعداد فایل‌های بی‌خطر که اشتباهاً شناسایی می‌شوند، نسبت به سطح Aggressive کمتر خواهد بود.
  • مزایا: مناسب برای اکثر سرورها و سایت‌ها که نیاز به امنیت قوی دارند بدون اینکه از نظر کارکرد سرور مشکلی ایجاد شود.
  • معایب: ممکن است برخی تهدیدات کمتر جدی از قلم بیفتند، اما این به‌طور معمول مورد تایید است که سرور را به طور قابل‌قبولی ایمن نگه می‌دارد.

3. Permissive (حساسیت پایین)

  • ویژگی‌ها: در این حالت، اسکن بدافزار به‌طور بسیار آزادانه‌تری انجام می‌شود و درواقع کمترین حساسیت را به‌کار می‌برد.
  • مزایا: منابع سرور کمتر مصرف می‌شود و سرعت عملکرد سرور بالاتر می‌رود.
  • معایب: احتمال شناسایی نکردن تهدیدات بالا است. این گزینه برای مواقعی که بار سرور باید به حداقل برسد و امنیت در اولویت کمتری قرار دارد، مناسب است.

نحوه پیکربندی سطح حساسیت اسکن در Imunify360

برای تنظیم سطح حساسیت اسکن، شما می‌توانید از خط فرمان (CLI) و یا از پنل مدیریتی استفاده کنید. در اینجا روش تغییر سطح حساسیت از طریق CLI آورده شده است:

  1. برای تغییر سطح حساسیت اسکن به Aggressive:
/usr/bin/imunify-antivirus config --set malware-scan-level aggressive
  1. برای تغییر سطح حساسیت اسکن به Normal:
/usr/bin/imunify-antivirus config --set malware-scan-level normal
  1. برای تغییر سطح حساسیت اسکن به Permissive:
/usr/bin/imunify-antivirus config --set malware-scan-level permissive

مسیر فایل پیکربندی معمولاً به‌صورت پیش‌فرض در /etc/imunify360 قرار دارد، و دستورات بالا تغییرات لازم را در تنظیمات امنیتی اعمال خواهند کرد.

جمع‌بندی

انتخاب سطح حساسیت اسکن به نیاز و سیاست‌های امنیتی سرور بستگی دارد. برای سیستم‌هایی که نیاز به امنیت بالا دارند، گزینه Aggressive مناسب است، اما برای سرورهایی که نیاز به عملکرد بهتر و بار کمتر دارند، Permissive می‌تواند انتخاب بهتری باشد. به‌طور کلی، سطح Normal بهترین تعادل بین امنیت و عملکرد را فراهم می‌کند و برای بیشتر سیستم‌ها توصیه می‌شود.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه قرنطینه و حذف خودکار فایل‌های مخرب” subtitle=”توضیحات کامل”]Imunify360 به شما این امکان را می‌دهد که فایل‌های مخرب شناسایی‌شده را به‌صورت خودکار قرنطینه یا حذف کنید. این قابلیت کمک می‌کند تا از انتشار و آسیب بیشتر بدافزارها جلوگیری شود و در عین حال از آسیب به فایل‌های سالم سرور جلوگیری شود. در این بخش از آموزش های ارائه شده توسط فرازنتورک، روش‌های پیکربندی قرنطینه و حذف خودکار فایل‌های مخرب را توضیح خواهیم داد.

1. قرنطینه فایل‌های مخرب

قرنطینه به شما این امکان را می‌دهد که فایل‌های مشکوک یا بدافزارها را در محلی ایمن و غیرقابل دسترسی برای سیستم باقی بگذارید. این فایل‌ها از سیستم اصلی جدا می‌شوند و سپس می‌توانید آن‌ها را بررسی و تصمیم‌گیری کنید که آیا باید حذف شوند یا اجازه ادامه فعالیت داشته باشند.

برای پیکربندی قرنطینه فایل‌های مخرب به‌طور خودکار، از دستور زیر در خط فرمان (CLI) استفاده کنید:

/usr/bin/imunify-antivirus config --set quarantine-malware true

این دستور باعث می‌شود که هر فایل مخرب شناسایی‌شده به‌صورت خودکار به قرنطینه منتقل شود و از سیستم اصلی جدا گردد. سپس می‌توانید از پنل مدیریتی برای بررسی و مدیریت این فایل‌ها استفاده کنید.

2. حذف خودکار فایل‌های مخرب

در صورت تمایل به حذف خودکار فایل‌های مخرب پس از شناسایی، می‌توانید این تنظیمات را نیز در Imunify360 انجام دهید. این گزینه، به‌ویژه برای سرورهایی که نیاز به پاکسازی سریع دارند، مفید است.

برای فعال‌سازی حذف خودکار فایل‌های مخرب، از دستور زیر استفاده کنید:

/usr/bin/imunify-antivirus config --set delete-malware true

پس از اجرای این دستور، هر فایل مخربی که شناسایی شود، به‌طور خودکار از سیستم حذف خواهد شد و نیازی به بررسی دستی نخواهد بود.

3. پیکربندی برای ترکیب قرنطینه و حذف خودکار

اگر می‌خواهید هم فایل‌های مخرب به‌طور خودکار قرنطینه شوند و هم پس از مدت زمان مشخصی به‌صورت خودکار حذف شوند، می‌توانید این تنظیمات را به‌طور ترکیبی انجام دهید. برای این کار از دستورات زیر استفاده کنید:

  • برای فعال‌سازی قرنطینه و حذف خودکار پس از مدت زمان معین، ابتدا قرنطینه را فعال کرده و سپس به‌طور خودکار حذف را پیکربندی کنید:
/usr/bin/imunify-antivirus config --set quarantine-malware true
/usr/bin/imunify-antivirus config --set delete-malware true

این تنظیمات باعث می‌شود که ابتدا بدافزارها به قرنطینه منتقل شوند و پس از بررسی، در صورت نیاز، به‌طور خودکار حذف شوند.

4. تنظیمات اضافی برای حذف خودکار

برای اعمال تنظیمات اضافی در رابطه با زمان‌بندی حذف خودکار فایل‌های مخرب، می‌توانید از دستوراتی مانند زیر استفاده کنید:

  • تنظیم زمان برای حذف خودکار فایل‌های قرنطینه‌شده:
/usr/bin/imunify-antivirus config --set delete-quarantined-files-days 7

این دستور باعث می‌شود که فایل‌های قرنطینه‌شده پس از گذشت 7 روز به‌طور خودکار حذف شوند.

جمع‌بندی

قرنطینه و حذف خودکار فایل‌های مخرب یکی از امکانات کلیدی Imunify360 است که به شما کمک می‌کند تا بدون دخالت دستی، تهدیدات امنیتی را شناسایی و از سیستم‌های سرور خود پاکسازی کنید. با فعال‌سازی قرنطینه، شما می‌توانید تهدیدات را به‌صورت موقت ذخیره کرده و پس از بررسی‌های لازم اقدام به حذف آن‌ها کنید. از طرفی، فعال‌سازی حذف خودکار می‌تواند موجب تسریع در فرآیند پاکسازی سیستم از تهدیدات شود. همچنین با تنظیم زمان‌بندی حذف فایل‌های قرنطینه‌شده، می‌توانید به‌طور خودکار و بدون نیاز به نظارت مداوم، سیستم خود را ایمن نگه دارید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”استثنا کردن برخی مسیرها و فایل‌ها از اسکن” subtitle=”توضیحات کامل”]گاهی اوقات ممکن است شما بخواهید برخی از مسیرها یا فایل‌ها را از فرآیند اسکن بدافزار مستثنی کنید. این امکان به‌ویژه زمانی مفید است که بخواهید از اسکن فایل‌های خاصی که به‌طور مکرر توسط سیستم به‌عنوان تهدید شناسایی می‌شوند یا فایل‌هایی که می‌دانید سالم هستند، جلوگیری کنید. در این بخش، نحوه استثنا کردن مسیرها و فایل‌ها از اسکن را با استفاده از Imunify360 بررسی خواهیم کرد.

1. استثنا کردن مسیرها و فایل‌ها از اسکن با استفاده از CLI

برای استثنا کردن مسیرها و فایل‌ها از اسکن بدافزار، شما باید از دستور whitelist استفاده کنید که در CLI موجود است. این دستور به شما این امکان را می‌دهد که مسیرهای خاصی را از اسکن بدافزار به‌طور موقت یا دائمی حذف کنید.

برای استثنا کردن یک مسیر خاص از اسکن، دستور زیر را در خط فرمان اجرا کنید:

/usr/bin/imunify-antivirus whitelist add /home/user1/safe-directory

در این دستور، /home/user1/safe-directory مسیری است که می‌خواهید از اسکن بدافزار مستثنی کنید.

2. استثنا کردن فایل‌های خاص از اسکن

اگر می‌خواهید فقط یک فایل خاص را از اسکن بدافزار مستثنی کنید، می‌توانید مسیر دقیق فایل را به دستور اضافه کنید. برای مثال، برای استثنا کردن یک فایل خاص به‌صورت زیر عمل کنید:

/usr/bin/imunify-antivirus whitelist add /home/user1/public_html/safe-file.php

این دستور باعث می‌شود که فایل safe-file.php از اسکن‌های بدافزار مستثنی شود.

3. مشاهده و مدیریت استثناهای اعمال‌شده

برای مشاهده استثناهای اعمال‌شده و فهرست فایل‌ها و مسیرهای مستثنی‌شده از اسکن، از دستور زیر استفاده کنید:

/usr/bin/imunify-antivirus whitelist list

این دستور تمام مسیرها و فایل‌هایی را که از اسکن مستثنی شده‌اند، نمایش می‌دهد.

4. حذف استثنا از اسکن

اگر می‌خواهید یک مسیر یا فایل را که قبلاً مستثنی کرده‌اید از فهرست استثناها حذف کنید، از دستور زیر استفاده کنید:

/usr/bin/imunify-antivirus whitelist remove /home/user1/safe-directory

این دستور باعث می‌شود که مسیر /home/user1/safe-directory دوباره تحت اسکن‌های بدافزار قرار گیرد.

5. پیکربندی استثناهای موقت و دائمی

در صورتی که بخواهید استثناها به‌صورت موقت و برای یک مدت زمانی مشخص فعال شوند، می‌توانید از تنظیمات سفارشی برای اعمال محدودیت زمانی استفاده کنید. به‌طور پیش‌فرض، استثناها به‌صورت دائمی اعمال می‌شوند، اما برای اعمال استثنا به‌طور موقت، باید سیستم‌عامل یا ابزارهای مدیریت وظایف (مانند Cron Jobs) را تنظیم کنید تا پس از گذشت یک مدت زمانی مشخص، استثناها حذف شوند.

برای مثال، برای حذف استثنا پس از 7 روز، می‌توانید یک کار Cron تنظیم کنید که پس از 7 روز استثنا را حذف کند:

30 1 * * * /usr/bin/imunify-antivirus whitelist remove /home/user1/safe-directory

این دستور باعث می‌شود که مسیر /home/user1/safe-directory پس از 7 روز از فهرست استثناها حذف شود.

جمع‌بندی

استثنا کردن مسیرها و فایل‌ها از اسکن بدافزار در Imunify360 یکی از روش‌های مهم برای بهینه‌سازی عملکرد سیستم و جلوگیری از شناسایی نادرست فایل‌های سالم به‌عنوان تهدید است. با استفاده از دستورات CLI، شما می‌توانید به‌سادگی فایل‌ها و مسیرهای خاصی را از اسکن بدافزار مستثنی کنید. این قابلیت به‌ویژه زمانی مفید است که برخی از فایل‌ها به‌طور مکرر باعث هشدارهای امنیتی غیرضروری می‌شوند. با مدیریت استثناها به‌طور موثر، می‌توانید اسکن‌های امنیتی را بهینه کرده و در عین حال از سالم بودن سیستم و فایل‌های خود اطمینان حاصل کنید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”مدیریت لیست سفید (Whitelist) و لیست سیاه (Blacklist)” subtitle=”توضیحات کامل”]در سیستم‌های امنیتی مانند Imunify360، لیست‌های سفید (Whitelist) و لیست‌های سیاه (Blacklist) ابزارهای مهمی برای مدیریت دسترسی‌ها و جلوگیری از تهدیدات هستند. این لیست‌ها به‌عنوان مکانیسم‌هایی برای تعریف استثناها و کنترل دقیق‌تر دسترسی‌ها به سیستم‌ها و فایل‌ها عمل می‌کنند. در این بخش، به‌طور مفصل با نحوه مدیریت لیست سفید و لیست سیاه در Imunify360 آشنا می‌شویم.

1. لیست سفید (Whitelist)

لیست سفید به‌طور کلی فهرستی است که شامل آیتم‌هایی است که به‌صورت مشخص اجازه دسترسی به سیستم یا منابع خاصی را دارند. در سیستم‌های امنیتی، فایل‌ها، IP‌ها یا مسیرهایی که در لیست سفید قرار دارند، از اسکن‌ها یا محدودیت‌های امنیتی مستثنی می‌شوند.

1.1. افزودن فایل‌ها یا مسیرها به لیست سفید

برای افزودن یک فایل یا مسیر به لیست سفید در Imunify360، از دستور whitelist add استفاده می‌کنید. به‌طور مثال، برای افزودن یک مسیر خاص به لیست سفید، دستور زیر را وارد کنید:

/usr/bin/imunify-antivirus whitelist add /home/user1/safe-directory

این دستور مسیر /home/user1/safe-directory را از اسکن‌های بدافزار مستثنی می‌کند.

1.2. مشاهده لیست سفید

برای مشاهده آیتم‌های موجود در لیست سفید، می‌توانید از دستور زیر استفاده کنید:

/usr/bin/imunify-antivirus whitelist list

این دستور تمام فایل‌ها و مسیرهایی را که در لیست سفید قرار دارند، نمایش می‌دهد.

1.3. حذف آیتم از لیست سفید

اگر می‌خواهید یک مسیر یا فایل را که به اشتباه به لیست سفید اضافه کرده‌اید حذف کنید، از دستور زیر استفاده کنید:

/usr/bin/imunify-antivirus whitelist remove /home/user1/safe-directory

این دستور باعث می‌شود که مسیر /home/user1/safe-directory دوباره تحت اسکن قرار گیرد.

2. لیست سیاه (Blacklist)

لیست سیاه به‌طور کلی فهرستی است که شامل آیتم‌هایی است که به‌طور خاص از دسترسی به سیستم یا منابع خاصی منع می‌شوند. در سیستم‌های امنیتی، فایل‌ها، IP‌ها یا مسیرهایی که در لیست سیاه قرار دارند، در معرض شناسایی به‌عنوان تهدید و خطر قرار می‌گیرند.

2.1. افزودن فایل‌ها یا مسیرها به لیست سیاه

برای افزودن یک مسیر یا فایل به لیست سیاه در Imunify360، از دستور blacklist add استفاده می‌کنید. به‌طور مثال، برای افزودن یک مسیر خاص به لیست سیاه، دستور زیر را وارد کنید:

/usr/bin/imunify-antivirus blacklist add /home/user1/malicious-directory

این دستور مسیر /home/user1/malicious-directory را به‌عنوان یک مسیر مشکوک به بدافزار در لیست سیاه قرار می‌دهد.

2.2. مشاهده لیست سیاه

برای مشاهده آیتم‌های موجود در لیست سیاه، می‌توانید از دستور زیر استفاده کنید:

/usr/bin/imunify-antivirus blacklist list

این دستور تمام فایل‌ها و مسیرهایی را که در لیست سیاه قرار دارند، نمایش می‌دهد.

2.3. حذف آیتم از لیست سیاه

اگر می‌خواهید یک مسیر یا فایل را که به اشتباه به لیست سیاه اضافه کرده‌اید حذف کنید، از دستور زیر استفاده کنید:

/usr/bin/imunify-antivirus blacklist remove /home/user1/malicious-directory

این دستور باعث می‌شود که مسیر /home/user1/malicious-directory دیگر به‌عنوان یک تهدید شناخته نشود و از لیست سیاه خارج شود.

3. ترکیب لیست سفید و سیاه برای امنیت بهینه

استفاده همزمان از لیست سفید و لیست سیاه می‌تواند به‌طور قابل‌توجهی امنیت سیستم را بهبود دهد. لیست سفید به شما این امکان را می‌دهد که از شناسایی‌های نادرست جلوگیری کنید و مسیرها یا فایل‌های مهم و سالم را از اسکن‌های غیرضروری مستثنی کنید. از سوی دیگر، لیست سیاه به شما این امکان را می‌دهد که فایل‌ها، مسیرها یا IP‌های مشکوک را به‌طور مؤثر از دسترسی به سیستم خود منع کنید.

3.1. بهترین شیوه‌ها برای استفاده از لیست‌های سفید و سیاه

  • لیست سفید: استفاده از لیست سفید باید محدود به مسیرها و فایل‌هایی باشد که به‌طور کامل از امنیت آن‌ها اطمینان دارید. اضافه کردن مسیرهای مشکوک یا فایل‌های جدید به لیست سفید می‌تواند منجر به آسیب‌پذیری‌هایی شود.
  • لیست سیاه: در لیست سیاه، باید فقط مسیرها یا فایل‌های مشکوک و بدافزارهایی که شناسایی شده‌اند، قرار گیرند. اضافه کردن بیش‌ازحد آیتم‌ها به لیست سیاه ممکن است بر عملکرد سرور تأثیر منفی بگذارد.

جمع‌بندی

مدیریت لیست‌های سفید و سیاه ابزار مهمی برای بهینه‌سازی امنیت سیستم است. استفاده از این لیست‌ها به‌ویژه در زمان‌هایی که نیاز به مستثنی کردن برخی مسیرها یا فایل‌ها از اسکن‌های بدافزار یا شناسایی تهدیدات دارید، بسیار مفید است. با استفاده از دستورات CLI ساده در Imunify360، می‌توانید این لیست‌ها را مدیریت کنید و امنیت سرور خود را به‌طور مؤثری کنترل کنید.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 4. به‌روزرسانی پایگاه داده ویروس‌ها”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه بررسی و بروزرسانی پایگاه داده ویروس‌ها” subtitle=”توضیحات کامل”]یکی از جنبه‌های مهم در تأمین امنیت سرورها، اطمینان از این است که پایگاه داده ویروس‌ها و بدافزارهای استفاده شده در سیستم همیشه به‌روز باشد. در سیستم‌های امنیتی مانند Imunify360، پایگاه داده ویروس‌ها به‌طور مداوم بروزرسانی می‌شود تا ویروس‌های جدید و تهدیدات امنیتی شناسایی شوند. در این بخش، نحوه بررسی و بروزرسانی پایگاه داده ویروس‌ها را به‌طور دقیق و عملی توضیح خواهیم داد.

1. اهمیت بروزرسانی پایگاه داده ویروس‌ها

پایگاه داده ویروس‌ها شامل اطلاعاتی از انواع ویروس‌ها، بدافزارها، و تهدیدات امنیتی شناخته شده است. این پایگاه داده برای شناسایی و مقابله با تهدیدات جدید و پیشرفته ضروری است. اگر پایگاه داده ویروس‌ها به‌روز نباشد، ممکن است سیستم شما قادر به شناسایی تهدیدات جدید نباشد و این امر می‌تواند منجر به نفوذ به سرور شود.

2. نحوه بررسی وضعیت پایگاه داده ویروس‌ها

برای بررسی وضعیت پایگاه داده ویروس‌ها و مشاهده آخرین بروزرسانی‌ها، از دستور زیر استفاده می‌کنیم:

/usr/bin/imunify-antivirus update-status

این دستور وضعیت پایگاه داده ویروس‌ها را نمایش می‌دهد و شما می‌توانید ببینید که آیا پایگاه داده به‌روز است یا خیر. در صورتی که پایگاه داده نیاز به بروزرسانی داشته باشد، این دستور به شما اطلاع خواهد داد.

3. نحوه بروزرسانی پایگاه داده ویروس‌ها

برای بروزرسانی پایگاه داده ویروس‌ها به آخرین نسخه موجود، از دستور زیر استفاده کنید:

/usr/bin/imunify-antivirus update

این دستور پایگاه داده ویروس‌ها را به‌روز می‌کند و اطلاعات جدیدترین تهدیدات و ویروس‌ها را به سیستم شما اضافه می‌کند.

در صورتی که بخواهید روند بروزرسانی پایگاه داده را در پس‌زمینه اجرا کنید، می‌توانید از دستور زیر استفاده کنید:

/usr/bin/imunify-antivirus update &

این دستور بروزرسانی پایگاه داده را در پس‌زمینه اجرا کرده و به شما امکان می‌دهد که به سایر فعالیت‌های سرور خود ادامه دهید.

4. نحوه تنظیم بروزرسانی خودکار پایگاه داده ویروس‌ها

برای تنظیم بروزرسانی خودکار پایگاه داده ویروس‌ها، می‌توانید از ابزارهای زمان‌بندی مانند cron استفاده کنید. برای این کار، دستور زیر را در فایل کرون (Cron) اضافه کنید:

0 2 * * * /usr/bin/imunify-antivirus update >> /var/log/imunify360/update.log 2>&1

این دستور به‌صورت روزانه در ساعت ۲ صبح پایگاه داده ویروس‌ها را بروزرسانی می‌کند و نتایج آن را در فایل لاگ /var/log/imunify360/update.log ذخیره می‌کند.

برای ویرایش فایل کرون، از دستور زیر استفاده کنید:

crontab -e

سپس دستور فوق را در فایل کرون قرار دهید و تغییرات را ذخیره کنید.

5. بررسی لاگ‌های بروزرسانی پایگاه داده ویروس‌ها

برای بررسی لاگ‌های مربوط به بروزرسانی پایگاه داده ویروس‌ها، می‌توانید از دستور زیر استفاده کنید:

cat /var/log/imunify360/update.log

این دستور محتویات فایل لاگ بروزرسانی را نمایش می‌دهد و شما می‌توانید روند بروزرسانی و هرگونه خطا یا مشکل احتمالی را بررسی کنید.

جمع‌بندی

بروزرسانی پایگاه داده ویروس‌ها یک مرحله حیاتی در حفظ امنیت سرور و جلوگیری از تهدیدات جدید است. با استفاده از دستورات ساده در Imunify360، می‌توانید وضعیت پایگاه داده را بررسی کنید، آن را به‌روزرسانی کنید و تنظیمات خودکار برای بروزرسانی‌های دوره‌ای ایجاد کنید. همچنین، با بررسی لاگ‌ها می‌توانید اطمینان حاصل کنید که روند بروزرسانی به‌درستی انجام شده است.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیم به‌روزرسانی خودکار برای بهینه‌سازی تشخیص تهدیدات جدید” subtitle=”توضیحات کامل”]به‌روزرسانی خودکار پایگاه داده ویروس‌ها و تهدیدات به‌منظور تضمین شناسایی جدیدترین انواع بدافزارها و تهدیدات امنیتی، یکی از مهم‌ترین جنبه‌ها در حفظ امنیت سرور و سیستم‌ها است. برای اطمینان از اینکه سیستم شما همواره قادر به شناسایی جدیدترین تهدیدات باشد، لازم است تا به‌روزرسانی‌های خودکار در سیستم فعال شده و به‌طور مرتب انجام شوند.

در این بخش، به چگونگی پیکربندی به‌روزرسانی‌های خودکار برای Immunify360 می‌پردازیم.

فعال‌سازی به‌روزرسانی خودکار پایگاه داده ویروس‌ها و تهدیدات

برای فعال‌سازی به‌روزرسانی خودکار، ابتدا باید اطمینان حاصل کنید که سیستم شما به‌طور منظم پایگاه داده‌های بدافزار را به‌روز می‌کند. این به‌روزرسانی‌ها از طریق یک برنامه زمان‌بندی‌شده انجام می‌شوند تا مطمئن شوید که همیشه از آخرین نسخه پایگاه داده‌ها بهره‌مند هستید.

در ابتدا باید بررسی کنید که آیا به‌روزرسانی خودکار برای پایگاه داده‌ها در حال حاضر فعال است یا خیر:

  1. بررسی وضعیت به‌روزرسانی خودکار: برای بررسی وضعیت به‌روزرسانی خودکار، می‌توانید دستور زیر را در ترمینال وارد کنید: 
    /usr/bin/imunify-antivirus update --check

    این دستور بررسی می‌کند که آیا به‌روزرسانی خودکار به درستی فعال است یا خیر.

  2. تنظیم زمان‌بندی برای به‌روزرسانی خودکار: برای فعال کردن به‌روزرسانی خودکار پایگاه داده‌های بدافزار، می‌توانید یک کران‌جاب (Cron job) تنظیم کنید. کران‌جاب‌ها به‌طور خودکار در زمان‌های معین دستورات را اجرا می‌کنند.برای اضافه کردن به‌روزرسانی خودکار به کران‌جاب‌ها، دستور زیر را وارد کنید تا پایگاه داده‌ها هر روز ساعت ۳ صبح به‌روز شوند: 
    crontab -e

    سپس خط زیر را به فایل کران‌جاب اضافه کنید:

    0 3 * * * /usr/bin/imunify-antivirus update --auto >> /var/log/imunify360/auto-update.log 2>&1

    در اینجا:

    • 0 3 * * * زمان‌بندی برای اجرای دستور را مشخص می‌کند (هر روز ساعت ۳ صبح).
    • /usr/bin/imunify-antivirus update --auto دستور به‌روزرسانی خودکار است.
    • >> /var/log/imunify360/auto-update.log 2>&1 خروجی دستور به لاگ فایلی به نام auto-update.log ارسال می‌شود.

بررسی و اطمینان از عملکرد صحیح به‌روزرسانی خودکار

پس از تنظیم به‌روزرسانی خودکار، بهتر است که برای اطمینان از عملکرد صحیح آن، وضعیت کران‌جاب‌ها را بررسی کنید:

  1. بررسی کران‌جاب‌های فعال: برای بررسی کران‌جاب‌های موجود در سیستم، از دستور زیر استفاده کنید: 
    crontab -l

    این دستور فهرستی از تمام کران‌جاب‌ها را نشان می‌دهد که باید شامل به‌روزرسانی خودکار شما باشد.

  2. بررسی لاگ‌ها: به‌طور منظم وضعیت به‌روزرسانی‌های خودکار را از طریق لاگ‌ها پیگیری کنید. برای بررسی لاگ به‌روزرسانی‌ها می‌توانید از دستور زیر استفاده کنید: 
    tail -f /var/log/imunify360/auto-update.log

    این دستور جدیدترین اطلاعات مربوط به به‌روزرسانی‌های خودکار را نمایش می‌دهد و به شما کمک می‌کند تا از عملکرد صحیح آن مطمئن شوید.

جمع‌بندی

تنظیم به‌روزرسانی خودکار برای پایگاه داده‌های بدافزار یکی از اقدامات ضروری برای حفظ امنیت سرور و جلوگیری از تهدیدات جدید است. با استفاده از کران‌جاب‌ها می‌توانید اطمینان حاصل کنید که به‌روزرسانی‌ها به‌طور منظم و خودکار انجام می‌شوند. به‌روزرسانی منظم باعث می‌شود تا سیستم شما همیشه از آخرین اطلاعات درباره تهدیدات و بدافزارها بهره‌مند باشد و از حملات احتمالی جلوگیری شود.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”مشاهده تاریخچه به‌روزرسانی‌ها و نسخه پایگاه داده” subtitle=”توضیحات کامل”]برای اطمینان از اینکه پایگاه داده ویروس‌ها و تهدیدات به‌طور صحیح و به‌روز نگه‌داشته می‌شود، ضروری است که بتوانید تاریخچه به‌روزرسانی‌ها و نسخه فعلی پایگاه داده را مشاهده کنید. این امر به شما کمک می‌کند تا مطمئن شوید که پایگاه داده شما به آخرین نسخه به‌روزرسانی شده و مشکلی در این زمینه وجود ندارد.

در این بخش، به چگونگی مشاهده تاریخچه به‌روزرسانی‌ها و نسخه پایگاه داده ویروس‌ها خواهیم پرداخت.

مشاهده تاریخچه به‌روزرسانی‌ها

برای مشاهده تاریخچه به‌روزرسانی‌های انجام‌شده در سیستم Immunify360، می‌توانید از دستورات زیر استفاده کنید:

  1. مشاهده تاریخچه به‌روزرسانی‌ها از لاگ‌ها: در ابتدا، برای مشاهده تاریخچه به‌روزرسانی‌های خودکار و دستی می‌توانید به لاگ‌های مربوطه مراجعه کنید. لاگ‌ها معمولاً در دایرکتوری /var/log/imunify360/ ذخیره می‌شوند.برای مشاهده تاریخچه به‌روزرسانی‌ها، از دستور زیر استفاده کنید: 
    cat /var/log/imunify360/auto-update.log

    این دستور محتویات لاگ فایل auto-update.log را نمایش می‌دهد که در آن تمام به‌روزرسانی‌های خودکار ثبت شده‌اند.

  2. مشاهده تاریخچه به‌روزرسانی‌های دستی: برای مشاهده تاریخچه به‌روزرسانی‌های دستی که توسط مدیر سیستم انجام شده‌اند، می‌توانید از دستور زیر استفاده کنید: 
    cat /var/log/imunify360/update.log

    این دستور تاریخچه به‌روزرسانی‌های دستی را در فایل update.log نشان می‌دهد. در این فایل، زمان و جزئیات مربوط به هر به‌روزرسانی موجود است.

مشاهده نسخه پایگاه داده ویروس‌ها

برای مشاهده نسخه پایگاه داده ویروس‌ها و تهدیدات نصب‌شده در سیستم خود، از دستور زیر استفاده کنید:

  1. مشاهده نسخه پایگاه داده: برای مشاهده نسخه جاری پایگاه داده ویروس‌ها، دستور زیر را وارد کنید: 
    /usr/bin/imunify-antivirus version

    این دستور نسخه فعلی پایگاه داده ویروس‌ها را نمایش می‌دهد. اطلاعات نمایش داده‌شده شامل نسخه اصلی سیستم و نسخه پایگاه داده به‌روز است.

جمع‌بندی

با استفاده از دستورات فوق، می‌توانید به‌راحتی تاریخچه به‌روزرسانی‌ها و نسخه پایگاه داده ویروس‌ها را بررسی کرده و از به‌روز بودن سیستم امنیتی خود اطمینان حاصل کنید. بررسی منظم تاریخچه به‌روزرسانی‌ها و نسخه پایگاه داده کمک می‌کند تا از صحت عملکرد سیستم و به‌روزرسانی‌های دقیق آن اطمینان داشته باشید و مشکلات احتمالی را به‌سرعت شناسایی و رفع کنید.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 5. بررسی و مدیریت گزارش‌های امنیتی”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه مشاهده گزارش‌های اسکن ویروس و بدافزار” subtitle=”توضیحات کامل”]برای بررسی وضعیت اسکن‌های انجام‌شده توسط Immunify360 و مشاهده جزئیات مربوط به ویروس‌ها و بدافزارهایی که شناسایی شده‌اند، می‌توانید از ابزارها و دستورات مختلفی استفاده کنید. این گزارش‌ها شامل اطلاعاتی نظیر تاریخ و زمان اسکن، وضعیت فایل‌های اسکن‌شده، نوع تهدیدات شناسایی‌شده و اقدامات انجام‌شده (مانند قرنطینه یا حذف) می‌باشند.

در این بخش، روش‌های مختلف مشاهده گزارش‌های اسکن ویروس و بدافزار را توضیح خواهیم داد.

مشاهده گزارش‌های اسکن از طریق لاگ‌ها

  1. مشاهده لاگ‌های مربوط به اسکن: Immunify360 تمامی فعالیت‌های اسکن را در فایل‌های لاگ ثبت می‌کند. برای مشاهده گزارش‌های اسکن بدافزار، می‌توانید از دستور زیر برای نمایش محتوای فایل لاگ استفاده کنید: 
    cat /var/log/imunify360/scan.log

    این دستور محتویات فایل scan.log را نمایش می‌دهد که در آن تمامی جزئیات مربوط به اسکن‌ها ثبت می‌شود. اطلاعاتی نظیر زمان اسکن، وضعیت فایل‌ها و نوع تهدیدات شناسایی‌شده در این فایل ذخیره می‌شوند.

  2. جستجو برای جزئیات اسکن خاص: اگر به دنبال اطلاعات مربوط به یک اسکن خاص یا یک نوع تهدید خاص هستید، می‌توانید از دستور grep برای جستجو در فایل لاگ استفاده کنید: 
    grep "malware" /var/log/imunify360/scan.log

    این دستور تمامی خطوطی را که شامل کلمه “malware” باشند، نمایش می‌دهد. شما می‌توانید از این روش برای جستجو در لاگ‌ها برای تهدیدات خاص استفاده کنید.

مشاهده گزارش‌های اسکن از طریق رابط کاربری

Immunify360 به شما امکان می‌دهد تا گزارش‌های اسکن را از طریق رابط کاربری مدیریتی نیز مشاهده کنید. برای این کار، باید به داشبورد مدیریتی دسترسی داشته باشید:

  1. دسترسی به داشبورد مدیریتی Immunify360: وارد پنل مدیریتی cPanel، Plesk یا DirectAdmin شوید.
  2. مشاهده گزارش‌ها در رابط کاربری: در پنل مدیریتی، بخش “Imunify360” را پیدا کرده و وارد شوید. سپس به قسمت “Scan Reports” یا “Reports” بروید. در این بخش، می‌توانید گزارش‌های اسکن قبلی را مشاهده کنید و جزئیات مربوط به فایل‌های آلوده، زمان اسکن و اقدامات انجام‌شده را بررسی کنید.

مشاهده گزارش‌های اسکن از طریق CLI

برای مشاهده گزارش‌های اسکن از طریق خط فرمان (CLI) و تحلیل جزئیات آن‌ها، می‌توانید از دستورات زیر استفاده کنید:

  1. نمایش جزئیات اسکن در فایل‌های لاگ: دستور زیر برای مشاهده گزارش‌های اسکن در لاگ‌های خاص استفاده می‌شود: 
    less /var/log/imunify360/scan.log

    این دستور فایل scan.log را با استفاده از دستور less باز می‌کند که امکان پیمایش راحت‌تر و جستجو در آن را فراهم می‌آورد.

  2. جستجوی یک فایل خاص در گزارش اسکن: اگر می‌خواهید گزارشی را که مربوط به یک فایل خاص است، مشاهده کنید، می‌توانید از دستور زیر استفاده کنید: 
    grep "/home/user1/public_html" /var/log/imunify360/scan.log

    این دستور گزارش‌های اسکن مربوط به دایرکتوری خاص (/home/user1/public_html) را نمایش می‌دهد.

جمع‌بندی

با استفاده از دستورات لاگ و ابزارهای مدیریتی موجود در رابط کاربری، می‌توانید گزارش‌های اسکن ویروس و بدافزار را به راحتی مشاهده کرده و جزئیات تهدیدات شناسایی‌شده و اقدامات انجام‌شده را بررسی کنید. این گزارش‌ها به شما کمک می‌کنند تا وضعیت امنیتی سرور خود را به‌طور دقیق بررسی کنید و در صورت نیاز اقداماتی برای رفع تهدیدات انجام دهید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تحلیل و شناسایی فایل‌های آلوده بر اساس گزارش‌ها” subtitle=”توضیحات کامل”]در راستای حفظ امنیت سرور، شناسایی و تحلیل فایل‌های آلوده یکی از مهم‌ترین گام‌ها است. پس از انجام اسکن‌های بدافزار با استفاده از ابزارهایی مانند Immunify360، گزارش‌های اسکن به شما کمک می‌کنند تا تهدیدات موجود را شناسایی و اقدام مناسب را برای رفع آن‌ها انجام دهید. در این بخش، به نحوه تحلیل و شناسایی فایل‌های آلوده بر اساس گزارش‌ها خواهیم پرداخت.

1. تحلیل گزارش‌های اسکن

گزارش‌های اسکن ویروس و بدافزار اطلاعات ارزشمندی در مورد تهدیدات شناسایی‌شده به شما ارائه می‌دهند. این اطلاعات شامل موارد زیر است:

  • زمان اسکن: زمان دقیق اسکن بدافزار.
  • فایل‌های آلوده: فهرستی از فایل‌های شناسایی‌شده به عنوان آلوده.
  • نوع تهدیدات: نوع تهدید (ویروس، تروجان، کرم، بدافزار، etc).
  • عملیات انجام‌شده: اقدامی که بر روی فایل انجام شده است (قرنطینه، حذف، اجازه‌دادن، etc).

برای تحلیل دقیق‌تر، شما باید به محتوای گزارش‌های اسکن توجه کنید.

2. مشاهده جزئیات فایل‌های آلوده از گزارش‌ها

در ابتدا، با مشاهده گزارش‌ها می‌توانید فایل‌های آلوده را شناسایی کنید. برای این کار، از دستور زیر در CLI برای باز کردن فایل‌های لاگ استفاده کنید:

less /var/log/imunify360/scan.log

در این لاگ‌ها، خطوط مربوط به هر فایل آلوده به‌طور مشخص ذکر شده‌اند. به‌طور معمول، این خطوط شامل مسیر فایل، نام تهدید، و وضعیت فعلی فایل هستند. برای مثال، یک گزارش ممکن است به‌صورت زیر نمایش داده شود:

2025-04-09 12:34:56 INFO: /home/user1/public_html/index.php - Trojan:PHP/Phisher
2025-04-09 12:35:00 INFO: /home/user1/public_html/contact.php - Virus:JS/Redirect

در این گزارش‌ها، مسیر هر فایل آلوده همراه با نوع تهدید (مانند Trojan یا Virus) مشخص شده است.

3. تحلیل نوع تهدیدات

یکی از مهم‌ترین بخش‌های شناسایی فایل‌های آلوده، تحلیل نوع تهدید است. انواع تهدیداتی که ممکن است توسط Immunify360 شناسایی شوند عبارتند از:

  • ویروس‌ها: برنامه‌هایی که به‌طور مخفیانه و بدون اطلاع کاربر در سیستم اجرا می‌شوند.
  • تروجان‌ها: بدافزارهایی که خود را به عنوان یک برنامه مفید و بی‌خطر پنهان می‌کنند.
  • کرم‌ها: بدافزارهایی که به‌طور خودکار از یک سیستم به سیستم‌های دیگر گسترش می‌یابند.
  • کدهای جاوا اسکریپت مخرب (JS): که معمولاً به صفحات وب اضافه می‌شوند و هدف آن‌ها سرقت اطلاعات یا فریب کاربران است.
  • Phishing: تکنیک‌هایی که برای فریب دادن کاربران به منظور سرقت اطلاعات حساس از جمله اطلاعات بانکی و شخصی استفاده می‌کنند.

پس از شناسایی نوع تهدید، می‌توانید اقدامات مناسب را برای رفع آن انجام دهید.

4. بررسی مسیرهای فایل‌های آلوده

در صورتی که گزارش‌ها شامل مسیرهایی برای فایل‌های آلوده باشند، شما می‌توانید این مسیرها را بررسی کنید تا بفهمید فایل‌های آلوده در کجا قرار دارند. برای این کار، دستور زیر را در ترمینال وارد کنید تا فایل‌ها و دایرکتوری‌های آلوده را مشاهده کنید:

find /home/user1/public_html -name "index.php"

در این مثال، دستور find به شما کمک می‌کند تا هر فایلی که نام آن index.php باشد را در دایرکتوری /home/user1/public_html پیدا کنید. اگر این فایل به عنوان آلوده شناسایی شده باشد، شما می‌توانید آن را بررسی کنید.

5. اقدام بر اساس گزارش‌ها

بعد از شناسایی فایل‌های آلوده، باید تصمیم بگیرید که چه اقداماتی باید انجام دهید. اقدامات معمول عبارتند از:

  1. قرنطینه کردن فایل‌های آلوده: اگر مطمئن نیستید که فایل آلوده است یا خیر، آن را به حالت قرنطینه درآورید تا از اجرا یا تاثیر آن بر روی سیستم جلوگیری کنید. این کار را می‌توان از طریق رابط کاربری یا دستور زیر در خط فرمان انجام داد: 
    /usr/bin/imunify-antivirus quarantine /home/user1/public_html/index.php
  2. حذف فایل‌های آلوده: اگر از آلوده بودن فایل مطمئن شدید، می‌توانید آن را حذف کنید. دستور زیر برای حذف فایل آلوده از سرور استفاده می‌شود: 
    rm /home/user1/public_html/index.php
  3. اجازه دادن به فایل‌ها: در صورتی که متوجه شوید که فایل اشتباهی به‌عنوان آلوده شناسایی شده است، می‌توانید آن را از فهرست تهدیدات خارج کنید. برای این کار، باید فایل را از قرنطینه خارج کنید یا به لیست سفید اضافه کنید. 
    /usr/bin/imunify-antivirus whitelist /home/user1/public_html/index.php

جمع‌بندی

تحلیل و شناسایی فایل‌های آلوده از طریق گزارش‌های اسکن بدافزار یکی از مهم‌ترین بخش‌های فرآیند امنیتی سرور است. با استفاده از ابزارهایی مانند Immunify360، شما می‌توانید فایل‌های آلوده را شناسایی و بر اساس نوع تهدید و مسیر فایل اقدامات لازم را انجام دهید. این اقدامات شامل قرنطینه، حذف یا اجازه دادن به فایل‌ها هستند. با نظارت مستمر و تحلیل دقیق گزارش‌ها، می‌توانید از سرور خود در برابر تهدیدات مختلف محافظت کنید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”ارسال گزارش‌ها به ایمیل مدیران سرور” subtitle=”توضیحات کامل”]ارسال گزارش‌های امنیتی به ایمیل مدیران سرور یکی از ابزارهای ضروری برای نظارت مداوم بر وضعیت امنیتی سرور است. با این روش، مدیران سرور می‌توانند به‌طور مؤثرتر از تهدیدات امنیتی، حملات یا فعالیت‌های مشکوک مطلع شوند و اقدامات لازم را برای رفع مشکلات انجام دهند. در این بخش، نحوه ارسال گزارش‌ها به ایمیل مدیران سرور را بررسی خواهیم کرد.

1. پیکربندی ایمیل برای ارسال گزارش‌ها

برای ارسال گزارش‌ها به ایمیل، ابتدا باید تنظیمات ایمیل را در سرور خود پیکربندی کنید. این کار معمولاً شامل تنظیمات سرویس SMTP یا استفاده از ابزارهایی مانند sendmail یا mail در لینوکس است.

  1. پیکربندی Sendmail: اگر از Sendmail به‌عنوان ابزار ارسال ایمیل استفاده می‌کنید، باید مطمئن شوید که سرویس Sendmail به درستی نصب و پیکربندی شده است. برای نصب Sendmail از دستور زیر استفاده کنید: 
    sudo apt-get install sendmail
  2. پیکربندی Postfix: در صورتی که از Postfix برای ارسال ایمیل استفاده می‌کنید، می‌توانید از دستور زیر برای نصب آن استفاده کنید: 
    sudo apt-get install postfix

بعد از نصب، پیکربندی Postfix را مطابق با تنظیمات سرویس‌دهنده ایمیل خود انجام دهید.

2. ارسال گزارش‌ها به ایمیل از طریق Immunify360

Immunify360 به‌طور پیش‌فرض قابلیت ارسال ایمیل را برای گزارش‌های امنیتی فراهم می‌کند. برای فعال‌سازی و پیکربندی ارسال ایمیل‌ها به مدیران سرور از طریق Immunify360، مراحل زیر را دنبال کنید.

  1. پیکربندی ایمیل در بخش تنظیمات Immunify360:به پنل مدیریتی Immunify360 وارد شوید. در این بخش، باید تنظیمات ایمیل را فعال کنید تا گزارش‌ها به‌طور خودکار به ایمیل مدیران ارسال شود.
    • وارد پنل مدیریتی Immunify360 شوید.
    • به بخش Settings بروید.
    • در قسمت Email Notifications، آدرس ایمیل مدیران را اضافه کنید تا گزارش‌ها به‌طور خودکار ارسال شوند.
    • اطمینان حاصل کنید که گزینه Enable Email Notifications فعال است.
  2. تنظیم گزارش‌های روزانه یا هفتگی:در این مرحله، باید گزارش‌هایی که می‌خواهید ارسال شوند را تنظیم کنید. می‌توانید ارسال گزارش‌ها را به صورت روزانه، هفتگی یا هر زمان دیگر تنظیم کنید.برای این کار، به بخش Scheduled Scans بروید و در قسمت Email Reports انتخاب کنید که گزارش‌های اسکن به ایمیل مدیران ارسال شود.

3. ارسال گزارش‌های اسکن به ایمیل از طریق Cron Jobs

یکی از روش‌های ساده و مؤثر برای ارسال گزارش‌ها به ایمیل، استفاده از Cron Jobs است. با استفاده از Cron Jobs، می‌توانید اسکریپت‌هایی را تنظیم کنید که به‌طور خودکار پس از انجام اسکن یا دیگر فعالیت‌های مربوط به امنیت، گزارش‌ها را به ایمیل ارسال کنند.

برای پیکربندی Cron Job جهت ارسال گزارش‌های Immunify360 به ایمیل، مراحل زیر را دنبال کنید:

  1. ایجاد اسکریپت ارسال ایمیل:ابتدا یک اسکریپت ساده برای ارسال گزارش‌ها از طریق ایمیل بنویسید. برای مثال، اسکریپت send_report.sh می‌تواند به‌صورت زیر باشد: 
    #!/bin/bash

# مسیر فایل گزارش
LOG_FILE="/var/log/imunify360/scan.log"

# آدرس ایمیل مدیر
EMAIL="admin@example.com"

# ارسال گزارش از طریق ایمیل
cat $LOG_FILE | mail -s "Immunify360 Scan Report" $EMAIL

    این اسکریپت گزارش‌های موجود در فایل scan.log را به ایمیل مدیر ارسال می‌کند.

  2. تنظیم Cron Job:حالا باید Cron Job را برای اجرای این اسکریپت در زمان‌های خاص تنظیم کنید. برای این کار، دستور زیر را برای ویرایش Cron Jobs وارد کنید: 
    crontab -e

    سپس یک خط مشابه زیر را برای اجرای اسکریپت به‌طور روزانه اضافه کنید:

    0 2 * * * /path/to/send_report.sh

    این خط اسکریپت send_report.sh را هر روز ساعت 2 صبح اجرا می‌کند و گزارش‌ها را به ایمیل مدیر ارسال می‌کند.

4. ارسال گزارش‌های اسکن از طریق رابط کاربری (UI)

اگر از رابط کاربری web برای مدیریت Immunify360 استفاده می‌کنید، شما می‌توانید گزارش‌ها را از طریق این رابط به‌صورت دستی یا خودکار ارسال کنید. برای ارسال گزارش به ایمیل از طریق رابط کاربری، مراحل زیر را دنبال کنید:

  1. وارد بخش Scan Reports شوید.
  2. گزارشی را که می‌خواهید ارسال کنید، انتخاب کنید.
  3. در بخش Actions گزینه Send via Email را انتخاب کنید.
  4. آدرس ایمیل دریافت‌کننده را وارد کرده و گزارش را ارسال کنید.

جمع‌بندی

ارسال گزارش‌های امنیتی به ایمیل مدیران سرور به‌ویژه در محیط‌های کاری و سرورهای تولید، ابزاری حیاتی برای نظارت بر تهدیدات امنیتی است. با استفاده از پیکربندی درست ایمیل‌ها در ابزارهایی مانند Immunify360 و یا ایجاد Cron Jobs برای ارسال خودکار گزارش‌ها، می‌توان به‌طور مؤثری از وضعیت امنیتی سرور آگاه شد و اقدامات لازم را در زمان مناسب انجام داد. تنظیمات ایمیل باید با توجه به نیاز و سیاست‌های سرور به‌طور دقیق تنظیم شوند تا تمامی تهدیدات به‌موقع شناسایی و رفع شوند.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 6. پاکسازی و رفع آلودگی سرور از بدافزارها”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”حذف دستی یا خودکار بدافزارهای شناسایی‌شده” subtitle=”توضیحات کامل”]حذف بدافزارهای شناسایی‌شده یکی از مراحل مهم در فرآیند محافظت از سرور در برابر تهدیدات امنیتی است. این فرآیند می‌تواند به‌صورت دستی یا خودکار انجام شود و در هر دو حالت هدف، حفظ امنیت سرور و جلوگیری از گسترش تهدیدات به سایر بخش‌های سیستم است. در این بخش، روش‌های حذف بدافزارهای شناسایی‌شده در سرور با استفاده از ابزارهایی مانند Immunify360 را بررسی خواهیم کرد.

1. حذف دستی بدافزارهای شناسایی‌شده

در برخی از موارد، ممکن است نیاز به حذف دستی بدافزارها باشد، به‌ویژه زمانی که اسکن خودکار نتوانسته است به‌طور مؤثر تهدیدات را شناسایی کند یا شما بخواهید به‌صورت دقیق‌تری اقدام به حذف فایل‌های آلوده کنید. در این حالت، می‌توان از ابزارها و دستورات مختلفی برای شناسایی و حذف بدافزار استفاده کرد.

مراحل حذف دستی:
  1. مشاهده گزارش اسکن:قبل از حذف هر فایل آلوده، باید گزارشی از اسکن قبلی بدافزارها دریافت کنید. در این گزارش، فهرستی از فایل‌های آلوده همراه با جزئیات مربوط به تهدیدات شناسایی‌شده نمایش داده می‌شود. می‌توانید گزارش اسکن اخیر را با استفاده از دستور زیر مشاهده کنید: 
    cat /var/log/imunify360/scan.log
  2. شناسایی فایل‌های آلوده:در گزارش اسکن، فایل‌های آلوده به‌طور دقیق ذکر شده‌اند. به‌طور معمول، این فایل‌ها در مسیرهایی مانند /var/www/html یا /home/username/public_html قرار دارند.
  3. حذف فایل‌های آلوده:پس از شناسایی فایل‌های آلوده، می‌توانید به‌صورت دستی آن‌ها را با دستور rm حذف کنید. برای مثال: 
    rm /home/username/public_html/suspicious_file.php

    این دستور فایل آلوده را از سرور حذف می‌کند.

  4. بررسی و اطمینان از پاک شدن فایل‌ها:پس از حذف فایل، بهتر است مجدداً اسکن انجام دهید تا مطمئن شوید که هیچ فایل آلوده‌ای باقی نمانده است. دستور اسکن دوباره به شکل زیر است: 
    /usr/bin/imunify-antivirus malware scan /home/username/public_html

2. حذف خودکار بدافزارهای شناسایی‌شده

برای بهبود فرآیند حذف بدافزار و جلوگیری از نیاز به اقدام دستی، می‌توان حذف خودکار فایل‌های آلوده را با استفاده از قابلیت‌های ابزارهای امنیتی مانند Immunify360 فعال کرد. این ویژگی به‌طور خودکار فایل‌های آلوده را پس از شناسایی حذف می‌کند و نیازی به دخالت دستی ندارد.

مراحل حذف خودکار:
  • پیکربندی حذف خودکار در Immunify360:برای فعال‌سازی حذف خودکار فایل‌های آلوده در Immunify360، باید تنظیمات مربوطه را از طریق پنل مدیریتی Immunify360 پیکربندی کنید.
    • وارد پنل مدیریتی Immunify360 شوید.
    • به بخش Settings بروید.
    • در بخش Malware Removal, گزینه Automatic Removal را فعال کنید.

    پس از فعال‌سازی این گزینه، فایل‌های آلوده به‌طور خودکار پس از شناسایی حذف خواهند شد.

  • تنظیم اسکن خودکار برای حذف فایل‌های آلوده:برای انجام اسکن خودکار و حذف بدافزارها به‌طور مرتب، می‌توانید یک Cron Job تنظیم کنید که به‌طور خودکار اسکن‌ها را اجرا کرده و در صورت شناسایی بدافزار، آن‌ها را حذف کند.برای تنظیم یک Cron Job که به‌طور روزانه اسکن انجام دهد و فایل‌های آلوده را حذف کند، دستور زیر را در فایل کرون وارد کنید: 
    crontab -e

    سپس خط زیر را برای انجام اسکن روزانه و حذف خودکار بدافزارها اضافه کنید:

30 2 * * * \
/usr/bin/imunify-antivirus malware scan \
/home/username/public_html --auto-remove \
>> /var/log/imunify360/daily-scan.log 2>&1

 

این دستور اسکن را هر روز ساعت 2 صبح انجام می‌دهد و فایل‌های آلوده را به‌طور خودکار حذف می‌کند.

  • بررسی گزارش‌های حذف خودکار:پس از فعال‌سازی حذف خودکار، گزارش‌های مربوط به این عملیات در فایل لاگ ثبت می‌شوند. برای مشاهده این گزارش‌ها و بررسی صحت عملیات حذف، از دستور زیر استفاده کنید: 
    cat /var/log/imunify360/daily-scan.log

    این دستور گزارش‌های اسکن روزانه و حذف خودکار فایل‌های آلوده را نشان می‌دهد.

3. مدیریت قرنطینه بدافزارها

گاهی اوقات ممکن است بخواهید فایل‌های آلوده را به‌جای حذف، به‌صورت موقت در حالت قرنطینه قرار دهید تا بعداً آن‌ها را بررسی یا بازگردانی کنید. این کار می‌تواند مفید باشد تا از اشتباهات احتمالی جلوگیری شود. Immunify360 این قابلیت را فراهم می‌کند که بدافزارها را به قرنطینه منتقل کنید تا هیچ‌گونه آسیبی به سیستم وارد نشود.

  1. انتقال به قرنطینه:برای انتقال فایل‌های آلوده به قرنطینه، ابتدا باید اسکن را انجام داده و سپس فایل‌های آلوده شناسایی‌شده را به قرنطینه منتقل کنید.برای انتقال فایل‌های آلوده به قرنطینه از دستور زیر استفاده کنید: 
    /usr/bin/imunify-antivirus malware quarantine /home/username/public_html/suspicious_file.php
  2. مشاهده و مدیریت فایل‌های قرنطینه‌شده:برای مشاهده فایل‌های قرنطینه‌شده، دستور زیر را وارد کنید: 
    /usr/bin/imunify-antivirus quarantine list

    اگر می‌خواهید فایلی را از قرنطینه بازیابی کنید، می‌توانید از دستور زیر استفاده کنید:

    /usr/bin/imunify-antivirus quarantine restore /home/username/public_html/suspicious_file.php

جمع‌بندی

حذف بدافزار از سرور یکی از اقدامات ضروری در حفظ امنیت سرور است. این فرآیند می‌تواند به‌صورت دستی یا خودکار انجام شود. استفاده از ابزارهایی مانند Immunify360 برای حذف خودکار بدافزارها و همچنین استفاده از قابلیت قرنطینه می‌تواند امنیت سرور را تقویت کند و از تهدیدات جلوگیری نماید. به‌طور کلی، تنظیمات خودکار و ایجاد Cron Jobs برای انجام اسکن‌های منظم و حذف بدافزارها به‌طور مؤثر، مدیریت امنیت سرور را تسهیل می‌کند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بازیابی فایل‌های قرنطینه‌شده (Restore)” subtitle=”توضیحات کامل”]در برخی مواقع، ممکن است فایل‌هایی به‌طور اشتباهی به قرنطینه منتقل شوند یا پس از بررسی دقیق‌تر متوجه شوید که آن‌ها آلوده نبوده‌اند. در این موارد، نیاز به بازیابی فایل‌های قرنطینه‌شده به وضعیت اصلی خود وجود دارد. ابزارهای امنیتی مانند Immunify360 قابلیت بازیابی فایل‌های قرنطینه‌شده را فراهم می‌کنند تا این فایل‌ها به‌طور امن به سیستم بازگردانده شوند.

1. شناسایی فایل‌های قرنطینه‌شده

قبل از بازیابی هر فایل قرنطینه‌شده، ابتدا باید لیست فایل‌های قرنطینه‌شده را مشاهده کنید تا فایل‌هایی که نیاز به بازیابی دارند، شناسایی شوند. برای این کار، از دستور زیر استفاده کنید:

/usr/bin/imunify-antivirus quarantine list

این دستور فهرستی از تمام فایل‌هایی که به‌طور موقت در قرنطینه قرار دارند، همراه با مسیر دقیق و جزئیات آن‌ها نمایش می‌دهد. هر فایل در این لیست به‌طور مشخص شناسایی شده است.

2. بازیابی فایل‌های قرنطینه‌شده

پس از شناسایی فایل‌های قرنطینه‌شده، می‌توانید فایل‌های مورد نظر را به‌طور مستقیم بازیابی کنید. برای بازیابی فایل‌های قرنطینه‌شده از دستور زیر استفاده کنید:

/usr/bin/imunify-antivirus quarantine restore /path/to/quarantined/file

مثال: اگر فایل suspicious_file.php در مسیر /home/username/public_html/ قرنطینه شده باشد، دستور بازیابی به شکل زیر خواهد بود:

/usr/bin/imunify-antivirus quarantine restore /home/username/public_html/suspicious_file.php

این دستور فایل را از قرنطینه خارج کرده و به محل اصلی خود بازمی‌گرداند.

3. بررسی وضعیت فایل‌های بازیابی‌شده

پس از بازیابی فایل‌ها، بهتر است بررسی کنید که فایل‌ها به‌طور صحیح بازیابی شده‌اند و هیچ مشکلی ندارند. برای این کار، می‌توانید اسکن مجدد انجام دهید تا از سالم بودن فایل‌ها اطمینان حاصل کنید. دستور زیر برای اسکن مجدد فایل‌ها و بررسی مشکلات امنیتی آن‌ها استفاده می‌شود:

/usr/bin/imunify-antivirus malware scan /home/username/public_html

اگر فایل بازیابی‌شده سالم باشد، باید دیگر تهدیدی نشان داده نشود و از خطاهای امنیتی جلوگیری شود.

4. بازیابی همه فایل‌های قرنطینه‌شده

اگر نیاز به بازیابی تمام فایل‌های قرنطینه‌شده داشته باشید، می‌توانید از دستور زیر استفاده کنید:

/usr/bin/imunify-antivirus quarantine restore-all

این دستور تمامی فایل‌های قرنطینه‌شده را از قرنطینه بازیابی کرده و به سیستم باز می‌گرداند. اما باید توجه داشته باشید که بازیابی تمام فایل‌ها می‌تواند خطرناک باشد و تنها در صورتی که مطمئن شوید همه فایل‌ها سالم هستند، باید این روش را انتخاب کنید.

5. پیشگیری از قرنطینه اشتباهی

برای جلوگیری از انتقال فایل‌های سالم به قرنطینه، می‌توانید از قابلیت لیست سفید (whitelist) استفاده کنید. به این صورت که فایل‌ها یا مسیرهای مشخصی را از اسکن و قرنطینه خودکار خارج می‌کنید. تنظیم این گزینه‌ها می‌تواند به کاهش تعداد فایل‌های قرنطینه‌شده اشتباهی کمک کند.

برای افزودن فایل‌ها به لیست سفید، از دستور زیر استفاده کنید:

/usr/bin/imunify-antivirus whitelist add /path/to/file

جمع‌بندی

بازیابی فایل‌های قرنطینه‌شده یک فرآیند مهم در مدیریت امنیت سرور است که می‌تواند به‌ویژه در مواردی که فایل‌های سالم به اشتباه به قرنطینه منتقل شده‌اند، مفید باشد. ابزارهایی مانند Immunify360 این امکان را فراهم می‌آورند تا به‌راحتی فایل‌ها را از قرنطینه بازیابی کرده و همچنین اسکن‌های بعدی برای اطمینان از سالم بودن آن‌ها انجام دهید. همچنین، استفاده از لیست سفید برای جلوگیری از قرنطینه اشتباهی فایل‌ها، می‌تواند روند مدیریت امنیت را ساده‌تر و کارآمدتر کند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”حذف دائمی فایل‌های آلوده برای جلوگیری از آلودگی مجدد” subtitle=”توضیحات کامل”]برای جلوگیری از آلودگی مجدد و به‌منظور حفظ امنیت سرور، در بسیاری از مواقع نیاز است تا فایل‌های آلوده شناسایی‌شده به‌طور دائمی از سیستم حذف شوند. در این بخش به بررسی نحوه حذف دائمی فایل‌های آلوده و جلوگیری از آلودگی مجدد خواهیم پرداخت.

نحوه حذف دائمی فایل‌های آلوده

برای حذف فایل‌های آلوده به‌صورت دائمی، می‌توانید از ابزار Immunify360 و دستورات مربوطه استفاده کنید. این فرآیند به‌صورت خودکار یا دستی قابل انجام است.

  1. حذف خودکار فایل‌های آلوده: برای حذف خودکار فایل‌های آلوده شناسایی‌شده می‌توانید از گزینه --auto-remove در دستورات اسکن استفاده کنید. این گزینه به‌طور خودکار فایل‌های آلوده را پس از شناسایی حذف می‌کند.دستور زیر به‌طور خودکار فایل‌های آلوده در مسیر مشخص‌شده را حذف می‌کند: 
    /usr/bin/imunify-antivirus malware scan /home/username/public_html --auto-remove \
>> /var/log/imunify360/daily-scan.log 2>&1

    در این دستور:

    • /home/username/public_html مسیری است که باید برای اسکن فایل‌ها در نظر گرفته شود.
    • --auto-remove فایل‌های آلوده شناسایی‌شده را به‌طور خودکار حذف می‌کند.
    • گزارش‌ها به‌طور خودکار در فایل daily-scan.log ذخیره می‌شود.
  2. حذف دستی فایل‌های آلوده: اگر نیاز دارید که فایل‌های آلوده را به‌صورت دستی حذف کنید، ابتدا باید گزارش اسکن و فایل‌های آلوده شناسایی‌شده را مشاهده کنید.برای مشاهده فایل‌های آلوده پس از اجرای اسکن، دستور زیر را وارد کنید: 
    /usr/bin/imunify-antivirus malware scan /home/username/public_html

    پس از اجرای اسکن، لیستی از فایل‌های آلوده نمایش داده خواهد شد. حالا می‌توانید با استفاده از دستور rm (حذف فایل) این فایل‌ها را به‌طور دائمی حذف کنید. به‌عنوان مثال:

    rm /home/username/public_html/path_to_infected_file

جلوگیری از آلودگی مجدد

  1. استفاده از WAF (Web Application Firewall): برای جلوگیری از آلودگی مجدد، فعال‌سازی WAF می‌تواند موثر باشد. این فایروال وب از سرور در برابر حملات مختلف مانند SQL Injection، Cross-site Scripting (XSS)، و دیگر تهدیدات محافظت می‌کند.
  2. به‌روزرسانی‌های امنیتی خودکار: به‌روزرسانی نرم‌افزارهای موجود بر روی سرور و سیستم‌عامل به‌طور منظم، از بروز آسیب‌پذیری‌ها جلوگیری می‌کند. برای انجام این کار، می‌توانید به‌طور خودکار به‌روزرسانی‌ها را با استفاده از دستورات cron زمان‌بندی کنید.
  3. پیکربندی تنظیمات اسکن: برای اطمینان از اینکه فایل‌های جدید به‌طور مداوم اسکن می‌شوند، اسکن‌های خودکار را به‌طور دوره‌ای زمان‌بندی کنید و از تنظیمات مناسب در Immunify360 استفاده کنید تا فایل‌های آلوده شناسایی و حذف شوند.

جمع‌بندی

حذف دائمی فایل‌های آلوده یکی از مهم‌ترین گام‌ها برای جلوگیری از آلودگی مجدد سرور است. با استفاده از ابزارهایی مانند Immunify360 و تنظیمات مناسب اسکن و حذف خودکار، می‌توانید از امنیت سرور خود اطمینان حاصل کنید. علاوه بر این، با بهره‌گیری از تکنیک‌هایی مانند WAF، به‌روزرسانی‌های امنیتی و پیکربندی اسکن خودکار، می‌توان از تهدیدات آینده جلوگیری کرد.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 7. استفاده از اسکنر‌های خارجی در کنار Immunify360″][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی امکان ترکیب Immunify360 با ClamAV” subtitle=”توضیحات کامل”]Immunify360 و ClamAV هر دو ابزارهای امنیتی هستند که به طور خاص برای شناسایی و مقابله با بدافزارها در سرورها طراحی شده‌اند. در حالی که هرکدام ویژگی‌های خاص خود را دارند، ترکیب این دو می‌تواند به تقویت امنیت سرور کمک کند. در این بخش، به بررسی امکان و روش‌های ترکیب این دو ابزار خواهیم پرداخت.

Immunify360 و ClamAV: مقدمه‌ای بر ویژگی‌ها

  • Immunify360: این ابزار یک راهکار امنیتی جامع است که شامل فایروال وب (WAF)، سیستم پیشگیری از نفوذ (IPS)، ضد بدافزار، مدیریت تهدیدات، و ابزارهای ضد اسپم است. Immunify360 با تحلیل رفتار و ویژگی‌های فایل‌ها، تهدیدات جدید را شناسایی و از سرور در برابر حملات محافظت می‌کند.
  • ClamAV: ClamAV یک آنتی‌ویروس متن‌باز است که به‌طور خاص برای شناسایی بدافزارهایی مانند ویروس‌ها، تروجان‌ها، و انواع دیگر کدهای مخرب طراحی شده است. این ابزار به‌طور ویژه برای اسکن فایل‌ها و ارسال هشدار در مورد فایل‌های آلوده کاربرد دارد.

امکان ترکیب Immunify360 با ClamAV

ترکیب Immunify360 با ClamAV می‌تواند یک لایه اضافی از محافظت برای سرور فراهم کند. در حالی که Immunify360 تمرکز بیشتری بر روی نظارت و محافظت از سرور در برابر تهدیدات فعال و حملات در لحظه دارد، ClamAV می‌تواند در شناسایی بدافزارهایی که ممکن است از طریق ایمیل‌ها یا فایل‌های دیگر وارد سیستم شوند، مفید باشد.

از آنجا که Immunify360 و ClamAV ویژگی‌های متفاوتی دارند، می‌توانند به طور مکمل یکدیگر عمل کنند.

مزایای ترکیب Immunify360 با ClamAV

  1. تشخیص دقیق‌تر بدافزارها: ترکیب این دو ابزار می‌تواند تشخیص بهتری از بدافزارهای مختلف، از جمله ویروس‌ها و تروجان‌ها، ارائه دهد.
  2. حفاظت از همه لایه‌ها: Immunify360 از لایه‌های شبکه، سرور، و فایل‌های سیستم محافظت می‌کند، در حالی که ClamAV می‌تواند به طور خاص فایل‌ها را برای بدافزار اسکن کند.
  3. پوشش بهتر تهدیدات جدید: در حالی که Immunify360 به‌طور فعال از تهدیدات پیشرفته محافظت می‌کند، ClamAV می‌تواند به‌طور دوره‌ای فایل‌ها را برای تهدیدات جدید و ناشناخته بررسی کند.
  4. کارایی بالا: از آنجا که Immunify360 یک راهکار جامع است، استفاده از ClamAV برای اسکن‌های ویژه فایل‌ها و ایمیل‌ها می‌تواند لایه حفاظتی اضافی به سیستم بدهد بدون اینکه بار اضافی بر سرور وارد کند.

نحوه ترکیب Immunify360 با ClamAV

برای ترکیب این دو ابزار، ابتدا باید مطمئن شوید که هر دو به درستی روی سرور نصب و پیکربندی شده‌اند. پس از آن، می‌توان تنظیمات ترکیب آن‌ها را انجام داد.

  1. نصب ClamAV: ابتدا باید ClamAV را بر روی سرور نصب کنید. برای نصب آن بر روی سرورهای مبتنی بر توزیع‌های لینوکس مانند CentOS، Ubuntu و AlmaLinux از دستورات زیر استفاده کنید.برای نصب ClamAV در سیستم‌های مبتنی بر Ubuntu/Debian: 
    sudo apt-get update
sudo apt-get install clamav clamav-daemon

    برای نصب ClamAV در سیستم‌های مبتنی بر CentOS/RHEL:

    sudo yum install epel-release
sudo yum install clamav clamav-update
  2. پیکربندی ClamAV برای اسکن دوره‌ای: پس از نصب، می‌توانید ClamAV را برای اسکن خودکار فایل‌ها و دایرکتوری‌ها پیکربندی کنید.برای انجام اسکن خودکار از طریق کران جاب‌ها: 
    sudo crontab -e

    سپس دستور زیر را برای اسکن خودکار وارد کنید:

    0 2 * * * /usr/bin/clamscan -r /home/username --log=/var/log/clamav/scan.log
  3. ترکیب با Immunify360: پس از نصب ClamAV، شما می‌توانید آن را در کنار Immunify360 برای افزایش امنیت سرور خود استفاده کنید. Immunify360 به طور پیش‌فرض دارای اسکن بدافزار قدرتمندی است که می‌تواند از حملات مخرب جلوگیری کند. برای اطمینان از ترکیب این دو ابزار، در صورتی که Immunify360 تشخیص دهد که فایلی آلوده است، می‌توانید دستوراتی برای استفاده از ClamAV برای اسکن دقیق‌تر این فایل‌ها استفاده کنید.برای این کار، می‌توانید اسکریپتی بسازید که فایل‌های مشکوک را از Immunify360 به ClamAV ارسال کند تا اسکن دقیق‌تری از آنها انجام شود.

جمع‌بندی

ترکیب Immunify360 با ClamAV می‌تواند یک لایه محافظتی اضافی و جامع برای سرور ایجاد کند. در حالی که Immunify360 بر محافظت از سرور در برابر حملات پیشرفته و تهدیدات شبکه تمرکز دارد، ClamAV می‌تواند به‌طور ویژه فایل‌ها و ایمیل‌ها را برای بدافزارهای شناخته‌شده بررسی کند. با تنظیمات مناسب، این دو ابزار می‌توانند به طور مؤثر در کنار هم عمل کنند و سطح امنیتی بالاتری را برای سرور شما فراهم آورند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه اجرای اسکن‌های مکمل برای بهبود امنیت” subtitle=”توضیحات کامل”]اجرای اسکن‌های مکمل برای بهبود امنیت سرور یکی از بهترین روش‌ها برای شناسایی تهدیدات ناشناخته و تقویت لایه‌های امنیتی موجود است. این اسکن‌ها می‌توانند از ابزارهای مختلف امنیتی، شامل آنتی‌ویروس‌ها، ابزارهای ضدبدافزار، و سیستم‌های مدیریت امنیتی وب (WAF)، استفاده کنند تا انواع مختلف تهدیدات را شناسایی و خنثی نمایند.

در این بخش، نحوه اجرای اسکن‌های مکمل با استفاده از ابزارهای مختلف و تکنیک‌های متنوع برای بهبود امنیت سرور بررسی خواهد شد.

انواع اسکن‌های مکمل

  1. اسکن بدافزار (Malware Scan): اسکن‌های بدافزار برای شناسایی ویروس‌ها، تروجان‌ها، کرم‌ها، و سایر کدهای مخرب در سیستم‌های سرور بسیار ضروری هستند. این اسکن‌ها به شناسایی تهدیدات در فایل‌ها، برنامه‌ها، و ارتباطات شبکه‌ای کمک می‌کنند.
  2. اسکن امنیت وب (Web Security Scan): این اسکن‌ها به شناسایی آسیب‌پذیری‌های موجود در وب‌سایت‌ها و برنامه‌های تحت وب کمک می‌کنند. این شامل تست‌هایی برای SQL Injection، Cross-Site Scripting (XSS)، Cross-Site Request Forgery (CSRF)، و آسیب‌پذیری‌های امنیتی معروف در کدهای وب است.
  3. اسکن پیکربندی‌های امنیتی (Security Configuration Scan): اسکن‌های پیکربندی امنیتی برای بررسی و شناسایی تنظیمات اشتباه یا ضعیف در سرور، برنامه‌ها، و پایگاه‌های داده طراحی شده‌اند. این اسکن‌ها می‌توانند از بروز آسیب‌پذیری‌های امنیتی جلوگیری کنند.

نحوه اجرای اسکن‌های مکمل با استفاده از ابزارهای مختلف

برای بهبود امنیت سرور، می‌توان از ابزارهای مختلف برای انجام اسکن‌های مکمل استفاده کرد. در ادامه نحوه اجرای اسکن‌های مختلف با ابزارهای رایج توضیح داده خواهد شد.

  1. اسکن بدافزار با استفاده از Immunify360:Immunify360 یک ابزار امنیتی قدرتمند است که به طور خودکار فایل‌ها و دایرکتوری‌ها را برای بدافزار اسکن می‌کند. این ابزار همچنین از ویژگی‌هایی مانند WAF، IPS و فایروال وب برای شناسایی و جلوگیری از حملات استفاده می‌کند.برای اجرای اسکن بدافزار در یک مسیر خاص با استفاده از Immunify360، از دستور زیر در خط فرمان استفاده کنید: 
    sudo imunify-antivirus malware scan /home/username/public_html

    تنظیم اسکن خودکار (Cron job): برای اجرای اسکن‌های خودکار به صورت دوره‌ای، می‌توانید یک Cron job تنظیم کنید:

    sudo crontab -e

    و سپس دستور زیر را برای تنظیم اسکن روزانه وارد کنید:

    0 2 * * * /usr/bin/imunify-antivirus malware scan /home/username/public_html --auto-remove >> /var/log/imunify360/daily-scan.log 2>&1
  2. اسکن امنیت وب با استفاده از OWASP ZAP:OWASP ZAP (Zed Attack Proxy) یک ابزار رایگان و متن‌باز است که برای انجام اسکن امنیتی وب طراحی شده است. این ابزار به‌ویژه برای شناسایی آسیب‌پذیری‌های امنیتی در اپلیکیشن‌های تحت وب مفید است.برای اجرای اسکن امنیت وب، ابتدا باید OWASP ZAP را نصب کنید و سپس یک اسکن را برای تست آسیب‌پذیری‌ها شروع کنید: 
    sudo apt-get install zaproxy
zap-baseline.py -t http://yourwebsite.com

    اسکن دستی: همچنین می‌توانید از رابط گرافیکی OWASP ZAP برای انجام اسکن دستی استفاده کنید. کافی است وب‌سایت خود را وارد کرده و گزینه‌های اسکن را انتخاب کنید.

  3. اسکن پیکربندی‌های امنیتی با استفاده از Lynis:Lynis یک ابزار امنیتی است که برای بررسی تنظیمات امنیتی سیستم‌های لینوکسی طراحی شده است. این ابزار به شما کمک می‌کند که پیکربندی‌ها را برای تهدیدات امنیتی بررسی کرده و اصلاحات لازم را انجام دهید.برای اجرای اسکن پیکربندی‌های امنیتی با Lynis، دستور زیر را وارد کنید: 
    sudo lynis audit system

    این دستور سیستم شما را برای پیکربندی‌های ضعیف و آسیب‌پذیری‌های امنیتی اسکن می‌کند و گزارشی از مشکلات احتمالی را به شما ارائه می‌دهد.

ادغام و استفاده هم‌زمان از ابزارها

برای بهینه‌سازی امنیت سرور، می‌توانید از ترکیب چند ابزار به طور هم‌زمان استفاده کنید. به‌طور مثال، شما می‌توانید به صورت هم‌زمان از Immunify360 برای اسکن بدافزارها، OWASP ZAP برای اسکن امنیت وب و Lynis برای بررسی پیکربندی‌های امنیتی استفاده کنید.

اسکریپت ترکیبی برای اسکن هم‌زمان:

در صورتی که بخواهید یک اسکریپت خودکار برای اجرای هم‌زمان این اسکن‌ها ایجاد کنید، می‌توانید از دستور زیر استفاده کنید:

#!/bin/bash
# اسکن بدافزار با Immunify360
/usr/bin/imunify-antivirus malware scan /home/username/public_html

# اسکن امنیت وب با OWASP ZAP
zap-baseline.py -t http://yourwebsite.com

# اسکن پیکربندی‌های امنیتی با Lynis
sudo lynis audit system

این اسکریپت می‌تواند به صورت خودکار در ساعات مختلف اجرا شده و از سرور شما محافظت کند.

جمع‌بندی

اجرای اسکن‌های مکمل یکی از مؤثرترین روش‌ها برای بهبود امنیت سرور است. با استفاده از ابزارهای مختلف مانند Immunify360 برای اسکن بدافزار، OWASP ZAP برای اسکن امنیت وب و Lynis برای بررسی پیکربندی‌های امنیتی، می‌توانید از تهدیدات جدید جلوگیری کرده و سرور خود را در برابر انواع حملات محافظت کنید. همچنین، ادغام این ابزارها و تنظیم اسکن‌های خودکار می‌تواند به‌طور قابل توجهی امنیت سرور را افزایش دهد.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 8. بهینه‌سازی عملکرد اسکن و کاهش مصرف منابع”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”جلوگیری از کند شدن سرور هنگام اجرای اسکن‌های سنگین” subtitle=”توضیحات کامل”]اجرای اسکن‌های سنگین و جامع برای شناسایی بدافزارها و تهدیدات امنیتی می‌تواند به شدت منابع سرور را مصرف کرده و در نتیجه منجر به کاهش عملکرد و کند شدن سرور شود. این مشکل به ویژه در سرورهایی با منابع محدود یا بار کاری بالا می‌تواند بسیار جدی باشد. برای جلوگیری از کند شدن سرور هنگام اجرای اسکن‌های سنگین، می‌توان از روش‌ها و تکنیک‌های مختلفی استفاده کرد که هم‌زمان امنیت را حفظ کرده و منابع سرور را به‌طور بهینه مدیریت کنند.

در این بخش، روش‌هایی برای جلوگیری از کند شدن سرور هنگام اجرای اسکن‌های سنگین توضیح داده می‌شود.

1. تنظیم اسکن در ساعات کم ترافیک (Off-Peak Hours)

بهترین روش برای کاهش تأثیر منفی اسکن‌های سنگین بر عملکرد سرور، انجام این اسکن‌ها در ساعات کم‌ترافیک است. در این ساعات، بار کاری سرور کمتر است و منابع آزاد بیشتری برای اجرای اسکن در دسترس قرار دارند.

برای تنظیم اسکن در ساعات خاص، می‌توانید از Cron job استفاده کنید. برای مثال، اجرای اسکن روزانه در ساعت 3 بامداد، زمانی که ترافیک کمتری بر روی سرور است:

sudo crontab -e

سپس دستور زیر را اضافه کنید:

0 3 * * * \
/usr/bin/imunify-antivirus malware scan \
/home/username/public_html >> \
/var/log/imunify360/scheduled-scan.log 2>&1

این دستور اسکن را به صورت روزانه در ساعت 3 صبح اجرا خواهد کرد.

2. تنظیم اولویت پایین برای فرآیند اسکن

یکی از روش‌های مؤثر برای کاهش تأثیر اسکن‌های سنگین بر روی عملکرد سرور، تنظیم اولویت پایین برای فرآیند اسکن است. این کار می‌تواند با استفاده از دستور nice در لینوکس انجام شود که به فرآیند اسکن اجازه می‌دهد که منابع کمتری مصرف کند.

برای اجرای اسکن با اولویت پایین، از دستور زیر استفاده کنید:

nice -n 19 /usr/bin/imunify-antivirus malware scan /home/username/public_html

در اینجا، -n 19 به معنای تنظیم حداقل اولویت برای فرآیند اسکن است. عدد 19 کمترین اولویت ممکن است، به این معنی که فرآیند اسکن کمترین تأثیر را بر سایر فرآیندهای در حال اجرا خواهد داشت.

3. استفاده از اسکن‌های انتخابی و هدفمند

در بسیاری از مواقع، اسکن کامل سرور یا سایت ممکن است بیش از حد سنگین باشد. به جای انجام اسکن کامل، می‌توان از اسکن‌های انتخابی و هدفمند استفاده کرد که تنها بخش‌های خاصی از سرور یا سایت را اسکن می‌کنند.

به عنوان مثال، به جای اسکن کل دایرکتوری /home/username/public_html، می‌توانید تنها یک پوشه خاص را اسکن کنید:

/usr/bin/imunify-antivirus malware scan /home/username/public_html/specific-folder

این کار باعث می‌شود که منابع کمتری مصرف شود و بار کمتری بر روی سرور ایجاد گردد.

4. اجرای اسکن در پس‌زمینه با استفاده از ابزارهای مدیریت فرآیند

اجرای اسکن‌های سنگین در پس‌زمینه می‌تواند به کاهش تأثیر آن‌ها بر عملکرد سرور کمک کند. ابزارهایی مانند nohup یا screen می‌توانند به شما این امکان را بدهند که فرآیند اسکن را در پس‌زمینه اجرا کرده و بدون متوقف شدن آن را ترک کنید.

برای اجرای اسکن در پس‌زمینه، از دستور nohup استفاده کنید:

nohup /usr/bin/imunify-antivirus malware scan \
/home/username/public_html &> \
/var/log/imunify360/scheduled-scan.log &

این دستور اسکن را در پس‌زمینه اجرا کرده و نتیجه را در فایل لاگ ذخیره می‌کند.

5. تقسیم‌بندی اسکن‌ها به بخش‌های کوچک

اگر اسکن‌های سنگین خیلی طولانی و منابع زیادی مصرف می‌کنند، می‌توانید اسکن را به بخش‌های کوچک‌تر تقسیم کنید. این کار باعث می‌شود که هر بخش از اسکن منابع کمتری مصرف کرده و در نتیجه بار کمتری بر روی سرور قرار گیرد.

برای تقسیم اسکن، می‌توانید مسیرهایی خاص را به صورت جداگانه اسکن کنید. به عنوان مثال:

/usr/bin/imunify-antivirus malware scan /home/username/public_html/folder1
/usr/bin/imunify-antivirus malware scan /home/username/public_html/folder2
/usr/bin/imunify-antivirus malware scan /home/username/public_html/folder3

این دستورها به طور جداگانه هر یک از پوشه‌ها را اسکن می‌کنند و به سرور فشار کمتری وارد می‌شود.

6. استفاده از منابع بهینه برای اجرای اسکن

در سرورهایی با منابع محدود، می‌توانید منابع بیشتری برای انجام اسکن‌ها اختصاص دهید. به عنوان مثال، با تغییر برخی از پارامترهای پیکربندی در ابزارهای اسکن، می‌توانید منابع را به‌طور بهینه تخصیص دهید تا اسکن سریع‌تر و با تأثیر کمتری انجام شود.

برای انجام تنظیمات بهینه‌سازی منابع در ابزار Immunify360، می‌توانید از تنظیمات اسکن با اولویت پایین و محدود کردن عمق اسکن استفاده کنید:

/usr/bin/imunify-antivirus malware scan /home/username/public_html --max-scan-depth 3 --low-priority

این دستور اسکن را با عمق کم و اولویت پایین اجرا می‌کند تا منابع کمتری مصرف شود.

جمع‌بندی

برای جلوگیری از کند شدن سرور هنگام اجرای اسکن‌های سنگین، می‌توان از روش‌هایی مانند تنظیم اسکن در ساعات کم‌ترافیک، کاهش اولویت اسکن، انجام اسکن‌های انتخابی و هدفمند، استفاده از ابزارهای مدیریت فرآیند برای اجرای اسکن در پس‌زمینه، تقسیم اسکن به بخش‌های کوچک‌تر و بهینه‌سازی منابع استفاده کرد. این اقدامات می‌توانند به‌طور چشمگیری تأثیر منفی اسکن‌ها را بر روی عملکرد سرور کاهش دهند و سرور را از آسیب‌های احتمالی محافظت کنند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”زمان‌بندی مناسب برای اجرای اسکن‌ها” subtitle=”توضیحات کامل”]اجرای اسکن‌های امنیتی بر روی سرور و سایت‌ها، یکی از مهم‌ترین بخش‌های فرآیند امنیتی است. با این حال، زمان‌بندی مناسب برای اجرای این اسکن‌ها می‌تواند تأثیر زیادی در عملکرد کلی سرور و همچنین کارایی سیستم داشته باشد. انجام اسکن‌های سنگین در زمان‌های نادرست می‌تواند منجر به کند شدن عملکرد سرور، از دست دادن منابع و تأخیر در دسترسی به وب‌سایت‌ها یا خدمات شود.

در این بخش، به بررسی زمان‌بندی‌های مناسب برای اجرای اسکن‌های امنیتی پرداخته می‌شود و راهکارهایی برای بهینه‌سازی این زمان‌بندی‌ها ارائه می‌شود.

1. اجرای اسکن‌ها در ساعات کم‌ترافیک

بهترین زمان برای اجرای اسکن‌های سنگین زمانی است که ترافیک سایت یا سرور کم است. این زمان‌ها معمولاً در شب یا در ساعات اولیه صبح (زمانی که بیشتر کاربران آنلاین نیستند) اتفاق می‌افتند.

برای مثال، اجرای اسکن در ساعت 3 بامداد یا 4 بامداد زمانی که بیشترین حجم بار سرور در کمترین حالت خود است، می‌تواند انتخاب مناسبی باشد.

برای تنظیم این اسکن‌ها در کران جاب (Cron job)، دستور زیر را می‌توانید استفاده کنید:

0 3 * * * \
/usr/bin/imunify-antivirus malware scan \
/home/username/public_html \
>> /var/log/imunify360/scheduled-scan.log \
2>&1

این دستور اسکن را روزانه در ساعت 3 صبح اجرا می‌کند.

2. اجرای اسکن‌های سبک و انتخابی در طول روز

اگر نیاز به اجرای اسکن‌های سنگین نیست، می‌توان اسکن‌های سبک‌تر را در طول روز و در زمان‌های شلوغ‌تر انجام داد. این اسکن‌ها باید به گونه‌ای تنظیم شوند که تأثیر کمتری بر منابع سرور و ترافیک سایت بگذارند.

برای مثال، اسکن انتخابی از پوشه‌ها یا فایل‌های خاص می‌تواند در طول روز انجام شود:

/usr/bin/imunify-antivirus malware scan /home/username/public_html/specific-folder

این کار باعث می‌شود که بار کمتری به سرور وارد شود و از کندی سایت جلوگیری گردد.

3. تعیین زمان‌های منظم برای اسکن‌های خودکار

یکی از بهترین روش‌ها برای اطمینان از امنیت مداوم، تنظیم زمان‌بندی منظم برای اسکن‌های خودکار است. این کار می‌تواند به صورت روزانه، هفتگی یا ماهانه باشد.

اگر نیاز به اسکن روزانه دارید، می‌توانید از زمان‌بندی روزانه مانند مثال‌های بالا استفاده کنید. اگر می‌خواهید اسکن‌ها را کمتر انجام دهید، مثلاً هر هفته یک بار، می‌توانید زمان‌بندی کرون جاب را به این صورت تغییر دهید:

0 3 * * 0 \
/usr/bin/imunify-antivirus malware scan \
/home/username/public_html \
>> /var/log/imunify360/scheduled-scan.log \
2>&1

این دستور اسکن را هر یکشنبه ساعت 3 صبح انجام می‌دهد.

4. استفاده از اسکن‌های دوره‌ای برای پایش به‌روز رسانی‌ها

اسکن‌های خودکار نباید تنها به اسکن‌های معمولی محدود شوند، بلکه باید با به‌روز رسانی پایگاه داده ویروس‌ها و تهدیدات امنیتی نیز هماهنگ باشند. این کار می‌تواند باعث بهبود تشخیص تهدیدات جدید و افزایش کارایی اسکن‌ها شود.

برای مثال، اسکن بعد از هر به‌روزرسانی پایگاه داده یا نصب یک بسته جدید، می‌تواند اطمینان حاصل کند که هیچ گونه تهدید جدیدی وجود ندارد.

برای انجام این کار، می‌توانید از اسکن‌های خودکار استفاده کنید که به طور دوره‌ای بعد از هر به‌روزرسانی انجام شوند:

@reboot \
/usr/bin/imunify-antivirus malware scan \
/home/username/public_html >> \
/var/log/imunify360/scheduled-scan.log 2>&1

این دستور اسکن را هر بار که سرور راه‌اندازی می‌شود، اجرا خواهد کرد.

5. تنظیم اسکن‌های پس از تغییرات مهم در سیستم

اگر تغییرات عمده‌ای در سیستم یا سایت انجام می‌دهید، مانند نصب یا حذف پلاگین‌ها، به‌روزرسانی‌های بزرگ یا تغییرات کد، مهم است که بلافاصله پس از این تغییرات اسکن‌های امنیتی انجام دهید. این کار می‌تواند از خطرات احتمالی ناشی از آسیب‌پذیری‌های جدید جلوگیری کند.

برای این نوع اسکن‌ها، از کران جاب استفاده کنید تا پس از هر تغییر مهم، اسکن امنیتی اجرا شود:

0 0 * * 1 \
/usr/bin/imunify-antivirus malware scan \
/home/username/public_html >> \
/var/log/imunify360/scheduled-scan.log 2>&1

این دستور اسکن را هر دوشنبه ساعت 12 شب انجام می‌دهد.

6. تنظیم هشدارهای و اطلاع‌رسانی از زمان‌بندی اسکن‌ها

برای اطمینان از اینکه اسکن‌ها به درستی انجام می‌شوند و هیچ مشکلی وجود ندارد، باید سیستم هشداردهی برای اطلاع‌رسانی‌های مربوط به وضعیت اسکن‌ها تنظیم کنید. این هشدارها می‌توانند شامل موفقیت یا شکست اسکن، وضعیت فایل‌های آلوده، و دیگر اطلاعات مربوط به اسکن باشند.

برای ارسال گزارش‌های اسکن به ایمیل، می‌توانید از دستور زیر در کران جاب استفاده کنید:

0 3 * * * \
/usr/bin/imunify-antivirus malware scan \
/home/username/public_html | \
mail -s "Daily Scan Report" \
admin@example.com

این دستور اسکن را اجرا کرده و گزارش آن را به ایمیل مشخص‌شده ارسال خواهد کرد.

جمع‌بندی

زمان‌بندی مناسب برای اجرای اسکن‌ها از اهمیت ویژه‌ای برخوردار است تا تأثیر منفی بر عملکرد سرور و تجربه کاربری نگذارد. با تنظیم اسکن‌ها در ساعات کم‌ترافیک، استفاده از اسکن‌های انتخابی، و به‌روزرسانی‌های منظم، می‌توان اطمینان حاصل کرد که امنیت سرور به‌طور مؤثر حفظ می‌شود. همچنین، استفاده از سیستم‌های هشداردهی می‌تواند به مدیران کمک کند تا به‌سرعت از مشکلات احتمالی باخبر شوند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیم محدودیت‌های پردازشی برای جلوگیری از استفاده بیش از حد از CPU و RAM” subtitle=”توضیحات کامل”]برای جلوگیری از استفاده بیش از حد منابع پردازشی (مانند CPU و RAM) هنگام اجرای اسکن‌های Immunify360 و جلوگیری از کند شدن سرور، می‌توان از ابزارهایی مانند nice و cpulimit برای تنظیم محدودیت‌های پردازشی استفاده کرد. این تنظیمات به شما کمک می‌کنند تا اطمینان حاصل کنید که اسکن‌های امنیتی تأثیر منفی بر عملکرد سرور نخواهند داشت.

استفاده از دستور nice

دستور nice برای تنظیم اولویت اجرای فرآیندها استفاده می‌شود. با استفاده از این دستور می‌توان اولویت پردازش را به‌گونه‌ای تنظیم کرد که اسکن‌ها منابع کمتری از CPU مصرف کنند. برای اجرای دستور imunify-antivirus با اولویت پایین‌تر (و به تبع آن مصرف کمتر از CPU)، می‌توان از دستور زیر استفاده کرد:

nice -n 19 \
/usr/bin/imunify-antivirus malware scan \
/home/username/public_html &> \
/var/log/imunify360/scheduled-scan.log &
  • در اینجا، -n 19 به فرآیند دستور می‌دهد که کمترین اولویت را در دسترس داشته باشد. مقادیر nice بین -20 (بیشترین اولویت) و 19 (کمترین اولویت) متغیر است.

استفاده از دستور cpulimit

ابزار cpulimit به شما این امکان را می‌دهد که محدودیت خاصی برای میزان استفاده از CPU برای یک فرآیند تنظیم کنید. این ابزار اجازه می‌دهد که مصرف CPU به‌طور مؤثر محدود شود تا سایر فرآیندهای سیستم همچنان عملکرد مناسبی داشته باشند.

برای استفاده از cpulimit، ابتدا باید این ابزار را نصب کنید. در صورتی که بر روی سرور شما نصب نیست، می‌توانید آن را با استفاده از دستور زیر نصب کنید:

sudo apt-get install cpulimit

بعد از نصب، می‌توانید از دستور زیر برای محدود کردن استفاده از CPU فرآیند imunify-antivirus به 50٪ از ظرفیت CPU استفاده کنید:

cpulimit -l 50 -- \
/usr/bin/imunify-antivirus malware scan \
/home/username/public_html &> \
/var/log/imunify360/scheduled-scan.log &
  • در اینجا، -l 50 نشان می‌دهد که فرآیند تنها می‌تواند 50٪ از ظرفیت CPU را مصرف کند.

استفاده از ulimit برای محدود کردن RAM

برای محدود کردن استفاده از حافظه (RAM) برای فرآیند خاصی، می‌توان از دستور ulimit استفاده کرد. این دستور برای تنظیم محدودیت‌های منابع مانند حافظه مجازی و stack size کاربرد دارد.

برای محدود کردن استفاده از حافظه برای فرآیند imunify-antivirus، می‌توانید از دستور زیر استفاده کنید:

ulimit -v 1048576 && \
/usr/bin/imunify-antivirus malware scan \
/home/username/public_html &> \
/var/log/imunify360/scheduled-scan.log &
  • در اینجا، -v 1048576 محدودیت حافظه را به 1 گیگابایت (1048576 کیلوبایت) تنظیم می‌کند.

جمع‌بندی

استفاده از ابزارهای nice, cpulimit و ulimit به شما این امکان را می‌دهد که منابع سیستم را به‌طور مؤثر کنترل کرده و از استفاده بیش از حد از CPU و RAM هنگام اجرای اسکن‌های امنیتی جلوگیری کنید. این اقدامات باعث می‌شوند که فرآیندهای حساس به‌ویژه اسکن‌های سنگین بدون تأثیر منفی بر عملکرد سرور انجام شوند.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 9. رفع مشکلات رایج در اسکن و قرنطینه بدافزارها”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”مشکل False Positive و نحوه مدیریت آن” subtitle=”توضیحات کامل”]در سیستم‌های امنیتی، False Positive به وضعیت‌هایی گفته می‌شود که یک ابزار امنیتی (مانند آنتی‌ویروس یا فایروال) به اشتباه یک فایل یا فعالیت بی‌خطر را به‌عنوان تهدید یا بدافزار شناسایی می‌کند. این اشتباهات می‌توانند منجر به حذف یا قرنطینه فایل‌های معتبر شوند که ممکن است عملکرد سرور یا نرم‌افزارها را مختل کند. در این بخش، به بررسی نحوه مدیریت مشکلات False Positive در سیستم‌های امنیتی و به‌ویژه در Immunify360 خواهیم پرداخت.

تشخیص و شناسایی False Positive

  1. گزارش‌های اسکن: در اکثر موارد، زمانی که یک فایل به‌عنوان تهدید شناسایی می‌شود، باید گزارش اسکن را به‌دقت بررسی کنید تا ببینید آیا هشدار مربوطه واقعی است یا خیر. به‌عنوان مثال، Immunify360 یا هر سیستم مشابه، اطلاعات دقیق‌تری در مورد نوع تهدید و فایل شناسایی‌شده فراهم می‌آورد.
  2. استفاده از ابزارهای آنلاین برای بررسی فایل‌ها: برای اطمینان از صحت هشدار، می‌توانید از خدمات آنلاین معتبر مانند VirusTotal برای بررسی فایل‌های مشکوک استفاده کنید. این سرویس‌ها از چندین موتور آنتی‌ویروس استفاده می‌کنند و می‌توانند کمک کنند تا تشخیص‌های اشتباه را کاهش دهید.

نحوه مدیریت False Positive در Immunify360

  1. استفاده از گزینه Whitelist (لیست سفید): هنگامی که یک فایل به‌طور مکرر به‌عنوان تهدید شناسایی می‌شود اما می‌دانید که این فایل امن است، می‌توانید آن را به لیست سفید (Whitelist) اضافه کنید. این کار به Immunify360 می‌گوید که این فایل باید از اسکن‌های بعدی مستثنی شود.برای اضافه کردن یک فایل به لیست سفید، می‌توانید از دستور زیر در CLI استفاده کنید: 
    imunify360 whitelist add --file /path/to/your/file

    یا در صورتی که فایل از یک مسیر خاص باشد:

    imunify360 whitelist add --path /home/username/public_html/safe-directory
  2. قرنطینه فایل‌های مشکوک به‌صورت موقت: اگر مطمئن نیستید که آیا یک فایل در حقیقت تهدید است یا خیر، می‌توانید آن را به‌صورت موقت قرنطینه کنید تا از اجرای آن جلوگیری شود، ولی همچنان برای بررسی بیشتر در دسترس باشد.برای قرنطینه یک فایل، از دستور زیر استفاده کنید: 
    imunify360 quarantine --file /path/to/your/file
  3. گزارش و تماس با تیم پشتیبانی: اگر یک فایل به‌طور مکرر به‌عنوان تهدید شناسایی می‌شود و مطمئن نیستید که آیا این یک False Positive است، می‌توانید آن را به تیم پشتیبانی Immunify360 گزارش دهید. این تیم معمولاً قادر به بررسی و رفع مشکل خواهد بود.

نحوه حذف یک فایل از لیست سفید (Whitelist)

اگر بعد از بررسی‌های بیشتر به این نتیجه رسیدید که فایل اضافه‌شده به لیست سفید، تهدیدی نیست، می‌توانید آن را از لیست سفید حذف کنید تا در اسکن‌های بعدی دوباره بررسی شود. برای حذف یک فایل از لیست سفید، دستور زیر را وارد کنید:

imunify360 whitelist remove --file /path/to/your/file

به‌روزرسانی و نظارت بر پایگاه داده ویروس‌ها

گاهی اوقات False Positive‌ها ممکن است ناشی از پایگاه داده قدیمی یا ناقص ویروس‌ها باشند. برای جلوگیری از این مشکل، باید پایگاه داده ویروس‌ها را به‌طور منظم به‌روزرسانی کنید. Immunify360 معمولاً به‌صورت خودکار پایگاه داده را به‌روزرسانی می‌کند، اما شما می‌توانید به‌صورت دستی این کار را نیز انجام دهید.

برای به‌روزرسانی پایگاه داده ویروس‌ها از دستور زیر استفاده کنید:

imunify360 update --av-database

جمع‌بندی

  • False Positive‌ها هنگامی رخ می‌دهند که ابزارهای امنیتی به‌طور اشتباهی فایل‌های بی‌خطر را به‌عنوان تهدید شناسایی می‌کنند.
  • برای مدیریت این مشکلات، می‌توان از گزینه‌های Whitelist و Quarantine در Immunify360 استفاده کرد.
  • به‌روزرسانی منظم پایگاه داده ویروس‌ها و استفاده از سرویس‌های آنلاین برای بررسی فایل‌ها می‌تواند از False Positive‌ها جلوگیری کند.
  • در صورت نیاز، می‌توانید با تیم پشتیبانی تماس گرفته تا مشکلات False Positive خود را گزارش دهید و راه‌حل‌های مناسب دریافت کنید.

[/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”جلوگیری از قرنطینه اشتباه فایل‌های سالم” subtitle=”توضیحات کامل”]قرنطینه اشتباهی فایل‌های سالم، یا همان False Positive در سیستم‌های امنیتی، یکی از چالش‌های رایج است. هنگامی که یک سیستم آنتی‌ویروس یا ابزار امنیتی، فایل‌های بی‌خطر را به‌طور اشتباهی به‌عنوان بدافزار شناسایی کرده و آن‌ها را قرنطینه می‌کند، این امر می‌تواند به عملکرد غیرعادی سرور یا برنامه‌ها منجر شود. در این بخش، به نحوه جلوگیری از قرنطینه اشتباه فایل‌های سالم خواهیم پرداخت و روش‌های مختلف مدیریت این موضوع را بررسی می‌کنیم.

روش‌های جلوگیری از قرنطینه اشتباه فایل‌های سالم

  1. استفاده از Whitelist (لیست سفید): یکی از ساده‌ترین روش‌ها برای جلوگیری از قرنطینه اشتباه فایل‌های سالم، افزودن فایل‌ها یا مسیرهای خاص به لیست سفید است. زمانی که یک فایل یا مسیر خاص به لیست سفید افزوده می‌شود، سیستم امنیتی از اسکن و قرنطینه آن صرف‌نظر می‌کند.در Immunify360، شما می‌توانید از دستور زیر برای افزودن فایل‌ها یا مسیرها به لیست سفید استفاده کنید: 
    imunify360 whitelist add --file /path/to/your/file

    یا اگر یک مسیر خاص را می‌خواهید مستثنی کنید:

    imunify360 whitelist add --path /home/username/public_html/safe-directory

    این کار باعث می‌شود که فایل یا مسیر مورد نظر در اسکن‌های بعدی بررسی نشود و از قرنطینه اشتباهی جلوگیری شود.

  2. بررسی دقیق گزارش‌های اسکن: قبل از اقدام به قرنطینه یک فایل، بررسی دقیق گزارش‌های اسکن ضروری است. بررسی دقیق هشدارها و تحلیل آن‌ها می‌تواند کمک کند تا از قرنطینه اشتباه فایل‌های سالم جلوگیری شود. معمولاً سیستم‌های امنیتی گزارشی دقیق در مورد نوع تهدید و محتوای فایل ارائه می‌دهند که می‌توانید با توجه به آن‌ها اقدام کنید.گزارش‌ها معمولاً شامل اطلاعاتی مانند نام فایل، موقعیت آن، و نوع تهدید شناسایی‌شده هستند. این اطلاعات می‌تواند کمک کند تا بفهمید آیا هشدار مربوطه درست است یا خیر.
  3. استفاده از ابزارهای بررسی آنلاین: برای اطمینان بیشتر، می‌توانید از ابزارهای آنلاین مانند VirusTotal برای بررسی فایل‌های مشکوک استفاده کنید. این ابزارها فایل‌ها را با چندین موتور آنتی‌ویروس مختلف اسکن کرده و اطلاعات دقیق‌تری در مورد تهدیدات ارائه می‌دهند.اگر فایل به‌عنوان بی‌خطر در نظر گرفته شد، می‌توانید آن را از قرنطینه خارج کنید و اطمینان حاصل کنید که سیستم امنیتی اشتباهی این فایل را تهدید شناسایی نکرده باشد.
  4. آموزش به سیستم امنیتی و پایگاه داده ویروس‌ها: یکی دیگر از روش‌ها برای جلوگیری از قرنطینه اشتباه فایل‌های سالم، به‌روزرسانی و آموزش مداوم سیستم امنیتی است. به‌روزرسانی پایگاه داده ویروس‌ها و فایل‌های شناخته‌شده می‌تواند از اشتباهات شناسایی جلوگیری کند.به‌طور خاص، در Immunify360 می‌توانید پایگاه داده ویروس‌ها را به‌صورت دستی به‌روزرسانی کنید: 
    imunify360 update --av-database

    این به‌روزرسانی‌ها می‌توانند دقت سیستم در شناسایی تهدیدات را بهبود بخشند و از تشخیص‌های اشتباه جلوگیری کنند.

  5. استفاده از گزینه‌های اسکن دقیق‌تر و تنظیمات خاص: در صورتی که ابزار امنیتی به‌طور مکرر فایل‌های خاصی را اشتباهی شناسایی کند، می‌توانید تنظیمات اسکن را دقیق‌تر و سفارشی‌تر کنید. بسیاری از ابزارهای امنیتی مانند Immunify360 این امکان را دارند که اسکن‌های پیشرفته‌تری را با تنظیمات دقیق‌تر انجام دهند تا از شناسایی اشتباه جلوگیری کنند.برای مثال، تنظیم سطح حساسیت اسکن به‌گونه‌ای که متناسب با نوع فایل‌ها و فعالیت‌های سرور باشد، می‌تواند از قرنطینه اشتباه جلوگیری کند.
  6. استفاده از ابزارهای مدیریت امنیت با قابلیت خطایابی: ابزارهایی که قابلیت خطایابی (debugging) دارند می‌توانند کمک کنند تا تشخیص‌های نادرست شناسایی و اصلاح شوند. با استفاده از ابزارهای پیشرفته، می‌توانید خطاهای سیستم امنیتی را شناسایی کرده و آنها را اصلاح کنید تا از تکرار چنین مشکلاتی جلوگیری شود.

جمع‌بندی

  • Whitelist کردن فایل‌ها یا مسیرهای خاص یکی از بهترین روش‌ها برای جلوگیری از قرنطینه اشتباهی فایل‌های سالم است.
  • بررسی دقیق گزارش‌های اسکن و استفاده از ابزارهای آنلاین می‌تواند به شما کمک کند تا از قرنطینه اشتباه جلوگیری کنید.
  • به‌روزرسانی پایگاه داده ویروس‌ها و تنظیمات دقیق اسکن نیز به جلوگیری از مشکلات False Positive کمک می‌کند.
  • استفاده از ابزارهای پیشرفته برای خطایابی و تنظیمات سفارشی می‌تواند دقت سیستم امنیتی را افزایش داده و از شناسایی اشتباه جلوگیری کند.

با رعایت این نکات، می‌توانید از بروز مشکلات قرنطینه اشتباهی فایل‌های سالم جلوگیری کرده و امنیت سرور خود را بهبود بخشید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی مشکلات عدم شناسایی برخی بدافزارها و راهکارهای رفع آن” subtitle=”توضیحات کامل”]یکی از چالش‌های اصلی در حوزه امنیت سرورها، عدم شناسایی برخی بدافزارها توسط ابزارهای امنیتی است. این مشکل می‌تواند ناشی از ضعف در الگوریتم‌های تشخیص، پایگاه داده ناقص یا حتی بدافزارهای پیشرفته‌ای باشد که قادر به فریب سیستم‌های امنیتی هستند. در این بخش، به بررسی مشکلات شایع عدم شناسایی بدافزارها و راهکارهای رفع آن خواهیم پرداخت.

مشکلات شایع عدم شناسایی بدافزارها

  1. پایگاه داده ویروس‌ها و بدافزارهای ناقص: یکی از دلایل اصلی عدم شناسایی بدافزارها، استفاده از پایگاه داده ویروس‌ها یا تهدیدات قدیمی یا ناقص است. اگر پایگاه داده به‌روز نباشد، ابزار امنیتی قادر به شناسایی تهدیدات جدید یا پیچیده‌تر نخواهد بود.
  2. بدافزارهای پیشرفته و پیچیده (Advanced Malware): برخی بدافزارها از تکنیک‌های پیشرفته مانند رمزگذاری، مخفی‌سازی (Stealth) یا استفاده از روش‌های polymorphic و metamorphic برای مخفی شدن از ابزارهای امنیتی استفاده می‌کنند. این نوع بدافزارها می‌توانند به‌راحتی از سیستم‌های آنتی‌ویروس و ضدبدافزار عبور کنند.
  3. نحوه رفتار بدافزارها (Behavioral-based threats): بعضی بدافزارها به‌جای اینکه به‌صورت مستقیم شناسایی شوند، از روش‌های رفتاری استفاده می‌کنند که ممکن است از نظر سیستم‌های تشخیص معمولی پنهان بمانند. این بدافزارها به‌جای اینکه از طریق امضا یا مشخصات شناخته‌شده شناسایی شوند، بر اساس فعالیت‌های غیرعادی در سیستم عمل می‌کنند.
  4. False Negatives (تشخیص منفی اشتباه): گاهی اوقات سیستم‌های امنیتی ممکن است بدافزارها را به‌طور اشتباه به‌عنوان فایل‌های سالم شناسایی کنند. این پدیده به نام False Negative شناخته می‌شود و یکی از مشکلات رایج در سیستم‌های امنیتی است.
  5. کدهای مخرب در برنامه‌های مجاز: بدافزارها ممکن است در برنامه‌های مجاز و معتبر (Whitelisted) پنهان شوند. در این صورت، ابزارهای امنیتی به‌دلیل شناسایی آن‌ها به‌عنوان برنامه‌های قانونی، قادر به شناسایی و حذف آن‌ها نخواهند بود.

راهکارهای رفع مشکل عدم شناسایی بدافزارها

  1. به‌روزرسانی منظم پایگاه داده ویروس‌ها و بدافزارها: به‌روزرسانی منظم پایگاه داده ویروس‌ها و تهدیدات، مهم‌ترین راهکار برای رفع مشکل عدم شناسایی بدافزارها است. اکثر ابزارهای آنتی‌ویروس و ضدبدافزار مانند Immunify360 به‌طور خودکار پایگاه داده خود را به‌روزرسانی می‌کنند.برای به‌روزرسانی پایگاه داده در Immunify360، می‌توانید از دستور زیر استفاده کنید: 
    imunify360 update --av-database

    این به‌روزرسانی‌ها به‌طور دوره‌ای و خودکار انجام می‌شوند و به سیستم کمک می‌کنند تا جدیدترین تهدیدات را شناسایی کند.

  2. استفاده از تکنیک‌های تشخیص مبتنی بر رفتار (Behavioral Detection): برای شناسایی بدافزارهای پیشرفته‌ای که از تکنیک‌های مخفی‌سازی یا تغییر ظاهر استفاده می‌کنند، بهتر است از سیستم‌های امنیتی که تشخیص مبتنی بر رفتار (Behavioral Detection) را نیز انجام می‌دهند، استفاده کنید. این سیستم‌ها می‌توانند فعالیت‌های مشکوک در سیستم را شناسایی کنند، حتی اگر بدافزارها قادر به مخفی شدن از الگوریتم‌های شناسایی مبتنی بر امضا باشند.این تکنیک‌ها قادر به شناسایی تغییرات ناگهانی در رفتار برنامه‌ها، ارتباطات مشکوک با سرورهای خارجی، یا دسترسی‌های غیرمجاز به داده‌ها هستند.
  3. استفاده از چندین لایه امنیتی: به‌جای اتکا به یک ابزار امنیتی، استفاده از ترکیب چندین لایه امنیتی می‌تواند به شناسایی و مقابله با تهدیدات کمک کند. به‌عنوان مثال، استفاده از ابزارهای مختلف آنتی‌ویروس، فایروال، IDS/IPS (سیستم‌های شناسایی و پیشگیری از نفوذ) و ابزارهای خاص بررسی رفتار می‌تواند به شناسایی بهتر بدافزارها کمک کند.
  4. اسکن‌های منظم و اسکن چندمرحله‌ای: اجرای اسکن‌های منظم و چندمرحله‌ای می‌تواند کمک کند تا از شناسایی ناکافی بدافزارها جلوگیری شود. به‌عنوان مثال، اسکن‌های کامل و عمیق که در فواصل زمانی مشخص انجام می‌شوند، می‌توانند اطمینان حاصل کنند که تمام فایل‌ها و فرآیندهای سیستم بررسی شده‌اند.اسکن‌های منظم به‌ویژه زمانی که از سیستم‌های متنوع استفاده می‌شود، می‌توانند شانس شناسایی بدافزارهای پنهان را افزایش دهند.
  5. بررسی و شناسایی فایل‌های مشکوک به‌صورت دستی: گاهی اوقات نیاز به بررسی دستی فایل‌های مشکوک است. برای مثال، اگر ابزارهای امنیتی نتوانسته‌اند تهدید خاصی را شناسایی کنند، می‌توانید از ابزارهای تحلیل فایل و بررسی آن‌ها استفاده کنید. ابزارهایی مانند VirusTotal یا حتی تحلیل دستی کدهای اسکریپت می‌توانند در شناسایی تهدیدات کمک کنند.
  6. استفاده از روش‌های پیشرفته تحلیل بدافزار: در صورت عدم شناسایی بدافزارهای پیچیده، استفاده از روش‌های پیشرفته تحلیل بدافزار مانند تحلیل دینامیک (Dynamic Analysis) و تحلیل ایستا (Static Analysis) می‌تواند مفید باشد. این تحلیل‌ها معمولاً توسط متخصصان امنیتی انجام می‌شود و می‌تواند به شناسایی تهدیدات پیشرفته کمک کند.

جمع‌بندی

  • به‌روزرسانی پایگاه داده ویروس‌ها و استفاده از تکنیک‌های تشخیص مبتنی بر رفتار، دو روش کلیدی برای شناسایی بدافزارهای پیشرفته و جدید هستند.
  • استفاده از چندین لایه امنیتی و اجرای اسکن‌های منظم می‌تواند به شناسایی بهتر تهدیدات کمک کند.
  • تحلیل دستی فایل‌های مشکوک و استفاده از ابزارهای پیشرفته تحلیل بدافزار می‌تواند به شناسایی بدافزارهای پیچیده کمک کند.

با رعایت این روش‌ها، می‌توانید به‌طور موثری مشکلات عدم شناسایی بدافزارها را رفع کنید و امنیت سرور خود را بهبود بخشید.

 

 

 [/cdb_course_lesson][/cdb_course_lessons]

[cdb_course_lessons title=”بخش 5. پیکربندی WAF (Web Application Firewall)”][cdb_course_lesson title=”فصل 1. معرفی و اهمیت WAF در Immunify360″][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تعریف Web Application Firewall (WAF)” subtitle=”توضیحات کامل”]Web Application Firewall (WAF) یک سیستم امنیتی است که برای محافظت از برنامه‌های وب در برابر تهدیدات و حملات مختلف طراحی شده است. این فایروال به‌طور خاص برای نظارت بر ترافیک HTTP و HTTPS ورودی و خروجی طراحی شده و قادر است تهدیدات شناخته‌شده مانند حملات SQL Injection، Cross-Site Scripting (XSS)، حملات DDoS، و سایر حملات مبتنی بر وب را شناسایی و مسدود کند.

WAF بین کاربران و سرورهای وب قرار می‌گیرد و تمامی درخواست‌ها و پاسخ‌ها را تجزیه و تحلیل می‌کند. در صورتی که ترافیک حاوی رفتارهای مشکوک یا شبیه به حملات باشد، WAF آن را مسدود کرده و از سرور وب محافظت می‌کند. این سیستم به‌ویژه برای جلوگیری از نفوذ به برنامه‌های وب که ممکن است آسیب‌پذیر باشند، اهمیت دارد.

نحوه عملکرد WAF

  1. تجزیه و تحلیل ترافیک ورودی: WAF با بررسی درخواست‌های ورودی، آسیب‌پذیری‌های بالقوه را شناسایی می‌کند. این درخواست‌ها می‌توانند شامل حملات متداولی مانند SQL Injection یا Cross-Site Scripting (XSS) باشند که از طریق فرم‌ها، URLها یا هدرهای HTTP ارسال می‌شوند.
  2. مقابله با حملات از طریق قوانین پیش‌فرض یا سفارشی: اکثر WAFها به همراه یک مجموعه قوانین پیش‌فرض عرضه می‌شوند که به آن‌ها امکان شناسایی و مسدودسازی تهدیدات رایج را می‌دهند. این قوانین می‌توانند شامل فیلترهایی برای جلوگیری از حملات Cross-Site Request Forgery (CSRF)، Remote File Inclusion (RFI) و سایر انواع آسیب‌پذیری‌ها باشند. علاوه بر قوانین پیش‌فرض، برخی از WAFها به شما این امکان را می‌دهند که قوانین سفارشی نیز ایجاد کنید تا متناسب با نیاز خاص شما باشند.
  3. ردیابی و مسدودسازی درخواست‌های مخرب: در صورتی که یک درخواست از نظر WAF مشکوک تشخیص داده شود، بسته به پیکربندی سیستم، می‌تواند آن را مسدود کرده یا به شما هشدار دهد. این کار از دسترسی مهاجمان به منابع حساس جلوگیری می‌کند.
  4. پشتیبانی از تحلیل‌های پیشرفته و گزارش‌گیری: بسیاری از WAFها قابلیت گزارش‌گیری پیشرفته دارند که به شما امکان می‌دهد تا الگوهای حملات، آی‌پی‌های مسدودشده، و تهدیدات احتمالی را تجزیه و تحلیل کنید. این اطلاعات به شما کمک می‌کند تا بهتر از برنامه‌های خود محافظت کنید و پاسخ مناسبی به حملات بدهید.

انواع WAF

  1. WAF مبتنی بر شبکه (Network-based WAF): این نوع WAF به صورت سخت‌افزاری یا نرم‌افزاری در شبکه قرار می‌گیرد و تمامی ترافیک شبکه را بررسی می‌کند. این نوع WAF معمولاً عملکرد بهتری از نظر سرعت دارد زیرا در سطح شبکه کار می‌کند.
  2. WAF مبتنی بر وب (Cloud-based WAF): این نوع WAF به‌طور کامل در فضای ابری میزبانی می‌شود و ترافیک وب را از طریق سرورهای ابری بررسی می‌کند. این نوع WAF برای وب‌سایت‌های با ترافیک بالا و منابع محدود مناسب است. همچنین به‌راحتی می‌توان آن را مقیاس‌پذیر کرد.
  3. WAF مبتنی بر برنامه (Host-based WAF): این نوع WAF به‌طور مستقیم روی سرور وب نصب می‌شود و ترافیک ورودی به سرور را بررسی می‌کند. این نوع WAF می‌تواند شخصی‌سازی بیشتری نسبت به WAFهای مبتنی بر شبکه یا ابری داشته باشد.

مزایای استفاده از WAF

  • حفاظت در برابر تهدیدات وب: WAF قادر است از حملات رایج و پیچیده وب محافظت کند و سرورهای وب را از تهدیدات مستقیم محافظت نماید.
  • حفظ دسترسی به برنامه‌های وب: WAF به شما کمک می‌کند تا از دسترسی غیرمجاز به برنامه‌های وب خود جلوگیری کنید و در نتیجه از خرابکاری، دستکاری و سرقت داده‌ها جلوگیری نمایید.
  • بهبود عملکرد سایت: با کاهش تهدیدات و جلوگیری از حملات، WAF می‌تواند عملکرد کلی سایت شما را بهبود بخشد.
  • پشتیبانی از گواهینامه‌های امنیتی: WAF می‌تواند از پروتکل‌های امنیتی مانند SSL/TLS پشتیبانی کند و امنیت انتقال داده‌ها را تضمین نماید.

جمع‌بندی

WAF یک ابزار ضروری برای محافظت از برنامه‌های وب است که با شناسایی و مسدودسازی حملات مختلف، امنیت وب‌سایت‌ها را تأمین می‌کند. با توجه به تهدیدات روزافزون در فضای آنلاین، استفاده از WAF می‌تواند از بروز مشکلات امنیتی جلوگیری کرده و به شما در حفظ یک برنامه وب ایمن و مقاوم کمک کند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نقش WAF در جلوگیری از حملات تحت وب” subtitle=”توضیحات کامل”]Web Application Firewall (WAF) یکی از ابزارهای حیاتی در دنیای امنیت سایبری است که برای محافظت از برنامه‌های وب در برابر حملات تحت وب طراحی شده است. این سیستم با شناسایی و مسدودسازی حملات مختلف، از سرورها و برنامه‌های وب در برابر آسیب‌پذیری‌ها و تهدیدات مختلف محافظت می‌کند. در این قسمت، نقش WAF در جلوگیری از حملات تحت وب را بررسی خواهیم کرد.

جلوگیری از حملات SQL Injection

SQL Injection یکی از متداول‌ترین انواع حملات تحت وب است که در آن مهاجم با وارد کردن کدهای SQL مخرب در ورودی‌های وب‌سایت، سعی در دسترسی به پایگاه داده یا حتی دستکاری آن دارد. WAF قادر است این نوع حملات را شناسایی کرده و مسدود کند. با استفاده از مجموعه قوانین و الگوریتم‌های شناسایی پیشرفته، WAF قادر است درخواست‌هایی که شامل دستورهای SQL مشکوک هستند را شناسایی کرده و از ارسال آن‌ها به پایگاه داده جلوگیری کند.

مثال از نحوه مسدود کردن SQL Injection در WAF:
# فیلتر کردن درخواست‌های SQL Injection

SecRule REQUEST_URI|ARGS|REQUEST_HEADERS \
    "@rx union.*select.*from" \
    "id:'1000001',\
    phase:2,\
    deny,\
    status:403,\
    msg:'SQL Injection Detected'"

این دستور در فایل پیکربندی WAF، درخواست‌هایی که حاوی کلمات کلیدی مشکوک SQL Injection هستند، شناسایی کرده و از ادامه فرآیند جلوگیری می‌کند.

جلوگیری از حملات Cross-Site Scripting (XSS)

Cross-Site Scripting (XSS) یکی دیگر از حملات رایج است که در آن مهاجم تلاش می‌کند کدهای جاوااسکریپت مخرب را در صفحات وب تزریق کند. این کدها می‌توانند برای سرقت کوکی‌ها، تغییر محتوای صفحات یا ارسال درخواست‌های مخرب به سرورهای دیگر استفاده شوند. WAF با شناسایی اسکریپت‌های مخرب و فیلتر کردن آن‌ها از ورود به سایت، از این نوع حملات جلوگیری می‌کند.

مثال از نحوه مسدود کردن XSS در WAF:
# فیلتر کردن درخواست‌های XSS

SecRule ARGS|REQUEST_HEADERS|REQUEST_URI \
    "@rx <script.*>.*</script>" \
    "id:'1000002',\
    phase:2,\
    deny,\
    status:403,\
    msg:'XSS Detected'"

این دستور از تزریق کدهای اسکریپت جاوااسکریپت جلوگیری می‌کند و درخواست‌های مشکوک را مسدود می‌کند.

جلوگیری از حملات Cross-Site Request Forgery (CSRF)

Cross-Site Request Forgery (CSRF) حمله‌ای است که در آن مهاجم تلاش می‌کند از نام یک کاربر معتبر برای ارسال درخواست‌های مخرب به سرور استفاده کند. این حمله معمولاً از طریق مرورگر قربانی انجام می‌شود. WAF می‌تواند با استفاده از روش‌های مختلفی از جمله بررسی هدرها و توکن‌های CSRF، از این نوع حملات جلوگیری کند.

مثال از نحوه جلوگیری از CSRF در WAF:
# فیلتر کردن درخواست‌های CSRF
SecRule REQUEST_METHOD "@rx POST" "chain,phase:2,deny,status:403,msg:'CSRF Detected'"
SecRule REQUEST_HEADERS:Referer "@rx ^https?://(www\.)?example\.com" "chain"
SecRule REQUEST_HEADERS:X-Csrf-Token "!@rx ^[a-f0-9]{32}$"

این دستور بررسی می‌کند که آیا هدرهای مربوط به توکن CSRF به درستی تنظیم شده‌اند یا خیر و از حملات احتمالی جلوگیری می‌کند.

جلوگیری از حملات Remote File Inclusion (RFI)

Remote File Inclusion (RFI) یک آسیب‌پذیری است که به مهاجم امکان می‌دهد فایل‌های خارجی را بر روی سرور بارگذاری کند. این فایل‌ها می‌توانند حاوی کدهای مخرب باشند که باعث نفوذ به سیستم می‌شوند. WAF با مسدود کردن درخواست‌هایی که سعی در بارگذاری فایل‌های خارجی دارند، از این حملات جلوگیری می‌کند.

مثال از نحوه مسدود کردن RFI در WAF:
# فیلتر کردن درخواست‌های RFI

SecRule ARGS|REQUEST_URI \
    "@rx (http|ftp)://[a-zA-Z0-9\-\.]+/" \
    "id:'1000003',\
    phase:2,\
    deny,\
    status:403,\
    msg:'RFI Detected'"

این دستور از بارگذاری فایل‌های خارجی از منابع مشکوک جلوگیری می‌کند و امنیت سرور را افزایش می‌دهد.

جلوگیری از حملات Denial of Service (DoS) و Distributed Denial of Service (DDoS)

WAF می‌تواند در مقابله با حملات Denial of Service (DoS) و Distributed Denial of Service (DDoS) که هدف آن‌ها از کار انداختن یک سرویس وب از طریق ارسال حجم بالای درخواست‌ها به سرور است، کمک کند. WAF قادر است درخواست‌های غیرمجاز و بیش از حد را شناسایی و مسدود کند و بار اضافی را از سرور بردارد.

مثال از نحوه مسدود کردن حملات DDoS در WAF:
# مسدود کردن درخواست‌های مشکوک به DDoS
SecRule REQUEST_METHOD "@rx GET|POST" "chain,phase:2,deny,status:403,msg:'DDoS Detected'"
SecRule IP:REQUEST_COUNT "@gt 1000" "chain"
SecRule REQUEST_URI "@rx /xmlrpc.php"

این دستور بررسی می‌کند که آیا درخواست‌های بیش از حد از یک آی‌پی واحد به سرور ارسال می‌شود یا خیر و در صورت لزوم از ارسال آن‌ها جلوگیری می‌کند.

جمع‌بندی

Web Application Firewall (WAF) یک لایه امنیتی حیاتی است که از برنامه‌های وب در برابر حملات مختلفی مانند SQL Injection، XSS، CSRF، RFI و DDoS محافظت می‌کند. با شناسایی و مسدودسازی تهدیدات به‌طور آنی، WAF به افزایش امنیت و کاهش آسیب‌پذیری‌های برنامه‌های وب کمک می‌کند. با پیکربندی مناسب WAF، می‌توان از دسترسی‌های غیرمجاز، دستکاری داده‌ها و آسیب‌پذیری‌های دیگر جلوگیری کرد و امنیت کلی سیستم را افزایش داد.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تفاوت WAF و سایر روش‌های امنیتی مانند IPS و IDS” subtitle=”توضیحات کامل”]در دنیای امنیت سایبری، ابزارهای مختلفی برای محافظت از سیستم‌ها و شبکه‌ها در برابر تهدیدات وجود دارد. WAF، IPS و IDS از جمله این ابزارها هستند که هرکدام نقش خاصی در حفظ امنیت دارند. در این بخش، به بررسی تفاوت‌ها و ویژگی‌های این سه ابزار خواهیم پرداخت.

1. Web Application Firewall (WAF)

WAF به‌طور خاص برای محافظت از برنامه‌های وب طراحی شده است. این سیستم درخواست‌های ورودی به سرورهای وب را فیلتر کرده و تلاش می‌کند تا حملات تحت وب مانند SQL Injection، Cross-Site Scripting (XSS)، Cross-Site Request Forgery (CSRF) و Remote File Inclusion (RFI) را شناسایی و مسدود کند. WAF به‌طور کلی روی لایه اپلیکیشن تمرکز دارد و از ورود داده‌های مخرب به برنامه‌های وب جلوگیری می‌کند.

ویژگی‌های WAF:
  • محافظت از برنامه‌های وب در برابر تهدیدات و حملات اپلیکیشن‌محور.
  • تمرکز بر بررسی درخواست‌ها و پاسخ‌های HTTP/S.
  • قابلیت اعمال قوانین و سیاست‌های امنیتی برای شناسایی و مسدود کردن حملات.
  • فیلتر کردن محتوای ورودی، از جمله داده‌های فرم‌ها و پارامترهای URL.

2. Intrusion Detection System (IDS)

IDS یک سیستم نظارتی است که به شناسایی فعالیت‌های مشکوک و تهدیدات امنیتی در شبکه یا سیستم می‌پردازد. این سیستم معمولاً از الگوریتم‌های شناسایی مبتنی بر امضاء و تجزیه و تحلیل رفتار برای شناسایی حملات استفاده می‌کند. برخلاف WAF، IDS تنها به شناسایی حملات پرداخته و هیچ اقدامی برای مسدود کردن آن‌ها انجام نمی‌دهد. این سیستم به‌طور عمده برای شناسایی نفوذ و هشدار به مدیران سیستم مورد استفاده قرار می‌گیرد.

ویژگی‌های IDS:
  • نظارت بر فعالیت‌ها و ترافیک شبکه برای شناسایی حملات.
  • شناسایی حملات بر اساس امضاء و رفتار.
  • عدم امکان مسدودسازی تهدیدات؛ تنها هشدار می‌دهد.
  • قابلیت شناسایی حملات شناخته‌شده و ناشناخته.

3. Intrusion Prevention System (IPS)

IPS مشابه IDS است، اما تفاوت اصلی آن در این است که IPS علاوه بر شناسایی حملات، قادر به مسدود کردن آن‌ها نیز هست. این سیستم به‌طور فعالانه تلاش می‌کند تا حملات را پیش از وقوع خسارات جدی شناسایی و متوقف کند. IPS معمولاً درون شبکه قرار دارد و درخواست‌های مخرب را به‌طور آنی مسدود می‌کند. IPS به‌طور کلی در لایه شبکه فعالیت می‌کند و قادر است تهدیدات را در سطح پروتکل شناسایی کند.

ویژگی‌های IPS:
  • شناسایی و مسدود کردن حملات در لایه شبکه.
  • پیشگیری از نفوذ و جلوگیری از تهدیدات به‌طور آنی.
  • استفاده از امضاء، تحلیل رفتار و تکنیک‌های دیگر برای شناسایی حملات.
  • مسدود کردن تهدیدات به‌طور فعال و جلوگیری از آسیب به سیستم.

تفاوت‌های کلیدی بین WAF، IDS و IPS

ویژگی WAF IDS IPS
تمرکز اصلی محافظت از برنامه‌های وب شناسایی تهدیدات شبکه و سیستم شناسایی و مسدود کردن تهدیدات
عملکرد فیلتر کردن درخواست‌ها و پاسخ‌های HTTP/S شناسایی تهدیدات و هشدار به مدیران شناسایی و مسدود کردن تهدیدات به‌طور فعال
لایه عملیات لایه اپلیکیشن لایه شبکه و سیستم لایه شبکه
مسدود کردن حملات مسدود کردن حملات وب‌سایت‌ها تنها شناسایی حملات و هشدار شناسایی و مسدود کردن تهدیدات
مقابله با حملات SQL Injection, XSS, CSRF, RFI DoS, DDoS, تهدیدات شبکه DoS, DDoS, حملات شناخته‌شده و ناشناخته
حفاظت در برابر حملات جدید محدود به قوانین و الگوریتم‌های تعریف‌شده شناسایی تهدیدات جدید از طریق رفتار شناسایی و مسدود کردن حملات جدید

جمع‌بندی

در حالی که WAF، IDS و IPS هرکدام برای حفاظت از سیستم‌ها و شبکه‌ها در برابر تهدیدات مختلف طراحی شده‌اند، تفاوت‌های کلیدی در نحوه عملکرد و اهداف این سیستم‌ها وجود دارد. WAF به‌طور خاص از برنامه‌های وب در برابر تهدیدات مختلفی مانند SQL Injection و XSS محافظت می‌کند. IDS بیشتر به‌عنوان یک ابزار نظارتی برای شناسایی تهدیدات و ارسال هشدار به مدیران عمل می‌کند، در حالی که IPS قادر است تهدیدات را نه تنها شناسایی بلکه مسدود نیز کند. برای ایجاد امنیت جامع، بسیاری از سازمان‌ها از ترکیب این سیستم‌ها استفاده می‌کنند تا بتوانند از تهدیدات مختلف در سطوح مختلف شبکه و برنامه‌های وب محافظت کنند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه عملکرد WAF در Immunify360″ subtitle=”توضیحات کامل”]WAF یکی از اجزای اصلی سیستم امنیتی Immunify360 است که برای محافظت از سرورهای وب در برابر حملات مختلف طراحی شده است. این سیستم با استفاده از قوانینی خاص، به صورت خودکار درخواست‌های مشکوک را شناسایی و مسدود می‌کند. عملکرد WAF در Immunify360 به‌گونه‌ای است که می‌تواند حملات پیچیده و خطرناک همچون SQL Injection، Cross-Site Scripting (XSS)، Remote File Inclusion (RFI) و سایر حملات تحت وب را شناسایی و از سرور شما محافظت کند. در ادامه به جزئیات نحوه عملکرد WAF در Immunify360 پرداخته می‌شود:

۱. شناسایی و مسدودسازی حملات

WAF در Immunify360 از تکنیک‌های پیشرفته‌ای برای شناسایی و مسدود کردن حملات تحت وب استفاده می‌کند. این سیستم درخواست‌های ورودی به سرور را بررسی می‌کند و هر گونه درخواست مشکوک یا حملات شناخته‌شده را شناسایی و مسدود می‌نماید. برای این کار، Immunify360 از یک مجموعه قوانین (ruleset) پیش‌فرض استفاده می‌کند که حملات معمول مانند SQL Injection، XSS، و RFI را شناسایی می‌کند.

۲. تحلیل درخواست‌های ورودی

درخواست‌های HTTP به‌طور مداوم توسط WAF در Immunify360 بررسی می‌شود. درخواست‌ها از نظر متدهای HTTP، پارامترهای URL، هدرها، و محتوای بدنه درخواست تحلیل می‌شوند. Immunify360 از تحلیل محتوای درخواست‌ها برای شناسایی تهدیدات و آسیب‌پذیری‌ها استفاده می‌کند.

۳. تنظیمات و پیکربندی قوانین

Immunify360 به مدیر سرور این امکان را می‌دهد که قوانین سفارشی برای WAF تعریف کنند. این قابلیت به شما این امکان را می‌دهد که فیلترهایی برای شناسایی و مسدودسازی حملات خاص مطابق با نیازهای خود تنظیم کنید. برای مثال، شما می‌توانید قوانین سفارشی برای شناسایی حملات XSS با استفاده از دستور زیر ایجاد کنید:

SecRule ARGS|REQUEST_HEADERS|REQUEST_URI "@rx <script.*>.*</script>" \
    "id:'1000002',phase:2,deny,status:403,msg:'XSS Detected'"

۴. بررسی و مدیریت گزارش‌ها

Immunify360 گزارش‌های دقیقی از حملات و تهدیدات شناسایی‌شده توسط WAF تولید می‌کند. این گزارش‌ها می‌توانند شامل جزئیات دقیقی از درخواست‌های مسدودشده، نوع حمله، و اقدامات انجام‌شده باشند. مدیر سرور می‌تواند این گزارش‌ها را برای تحلیل و بررسی امنیتی بیشتر مشاهده کند.

۵. هماهنگی با دیگر ابزارهای امنیتی

WAF در Immunify360 به‌طور یکپارچه با سایر ابزارهای امنیتی این نرم‌افزار مانند ضد ویروس و ضد بدافزار همکاری می‌کند. به این ترتیب، اگر یک تهدید در یکی از لایه‌های امنیتی شناسایی نشود، ممکن است در لایه‌های دیگر شناسایی و مسدود شود. این هماهنگی باعث افزایش سطح امنیت کلی سرور می‌شود.

۶. قابلیت جلوگیری از حملات DDoS

Immunify360 همچنین از حفاظت در برابر حملات DDoS پشتیبانی می‌کند. WAF به‌طور مؤثری درخواست‌های مشکوک یا بیش از حد را مسدود می‌کند که ممکن است به‌عنوان بخشی از حملات DDoS به سرور ارسال شوند.

۷. قابلیت تنظیمات پیشرفته

در Immunify360 شما می‌توانید سطح حساسیت و نوع عملکرد WAF را تنظیم کنید. این تنظیمات شامل:

  • حساسیت بالا: برای مسدود کردن حملات شدید و پیچیده.
  • حساسیت معمولی: برای شناسایی حملات متداول.
  • حساسیت مجاز: برای جلوگیری از مسدودسازی‌های نادرست و حملات کم‌خطر.

این تنظیمات به شما این امکان را می‌دهد که بسته به نیاز امنیتی خود، سیستم WAF را بهینه‌سازی کنید.

۸. نظارت و پشتیبانی

Immunify360 نظارت مداوم بر عملکرد WAF را فراهم می‌کند و به‌صورت خودکار قوانین را به‌روزرسانی می‌کند تا با تهدیدات جدید سازگار باشد. همچنین، این نرم‌افزار به‌طور منظم اطلاعات امنیتی خود را به‌روزرسانی می‌کند تا حملات جدید را شناسایی و مسدود کند.

جمع‌بندی

WAF در Immunify360 نقش حیاتی در محافظت از سرورهای وب در برابر حملات تحت وب ایفا می‌کند. این ابزار با استفاده از قوانین سفارشی و از پیش تعریف‌شده، می‌تواند تهدیدات مختلف را شناسایی و مسدود کند. علاوه بر این، امکان پیکربندی حساسیت سیستم و هماهنگی با سایر ابزارهای امنیتی باعث می‌شود تا سطح امنیت سرور شما به‌طور قابل توجهی افزایش یابد.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 2. نحوه فعال‌سازی و مدیریت WAF در Immunify360″][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی وضعیت فعلی WAF و فعال بودن آن” subtitle=”توضیحات کامل”]برای اطمینان از فعال بودن WAF و بررسی وضعیت فعلی آن در Immunify360، شما می‌توانید چندین روش مختلف را به کار ببرید. این فرآیند شامل بررسی وضعیت پیکربندی، بررسی لاگ‌ها و استفاده از دستورات CLI برای تایید فعال بودن WAF است. در این بخش، نحوه انجام این بررسی‌ها را به‌طور کامل شرح می‌دهیم.

۱. بررسی وضعیت WAF از طریق رابط کاربری

یکی از ساده‌ترین روش‌ها برای بررسی وضعیت WAF در Immunify360، استفاده از رابط کاربری گرافیکی (GUI) این نرم‌افزار است. در این رابط، می‌توانید وضعیت WAF و پیکربندی‌های آن را به‌راحتی مشاهده کنید.

  1. ورود به پنل مدیریت Immunify360: ابتدا وارد پنل مدیریت Immunify360 شوید.
  2. دسترسی به بخش Web Application Firewall (WAF): از منوی اصلی، به بخش WAF یا Security بروید تا تنظیمات و وضعیت آن را مشاهده کنید.
  3. بررسی وضعیت فعال بودن WAF: در این بخش، وضعیت WAF به‌طور واضح نمایش داده می‌شود. شما می‌توانید ببینید که WAF فعال است یا خیر، همچنین می‌توانید تنظیمات و قوانین موجود را مشاهده و تغییر دهید.

۲. بررسی وضعیت WAF از طریق CLI

اگر شما دسترسی به خط فرمان سرور دارید و ترجیح می‌دهید وضعیت WAF را از طریق CLI بررسی کنید، می‌توانید از دستورات زیر استفاده کنید:

  1. بررسی وضعیت WAF با استفاده از دستور imunify360: در صورتی که دستور imunify360 در دسترس باشد، شما می‌توانید وضعیت WAF را به‌راحتی با اجرای دستور زیر بررسی کنید: 
    sudo imunify360 waf status

    این دستور وضعیت فعلی WAF را نمایش می‌دهد و به شما می‌گوید که آیا WAF فعال است یا خیر.

  2. بررسی وضعیت با استفاده از فایل‌های لاگ: یکی دیگر از روش‌های مفید برای بررسی وضعیت WAF، بررسی لاگ‌های مربوط به آن است. معمولا فایل‌های لاگ مربوط به WAF در مسیر /var/log/imunify360/ قرار دارند. شما می‌توانید با استفاده از دستور cat یا tail این فایل‌ها را مشاهده کنید: 
    tail -f /var/log/imunify360/waf.log

    با مشاهده این فایل‌ها، می‌توانید اطلاعاتی در مورد فعالیت‌های اخیر WAF و مسدودسازی درخواست‌ها بدست آورید.

  3. بررسی وضعیت با دستور ps: شما همچنین می‌توانید با استفاده از دستور ps مطمئن شوید که فرایندهای مربوط به WAF در حال اجرا هستند: 
    ps aux | grep imunify

    این دستور به شما کمک می‌کند تا بررسی کنید که آیا فرآیندهای WAF فعال هستند یا خیر.

۳. بررسی پیکربندی قوانین WAF

برای اطمینان از اینکه قوانین WAF به درستی تنظیم شده‌اند و فعال هستند، شما باید تنظیمات آن را بررسی کنید. پیکربندی‌های WAF در Immunify360 معمولاً در فایل‌های کانفیگ مرتبط با این نرم‌افزار ذخیره می‌شوند.

  1. مکان فایل‌های پیکربندی: فایل‌های پیکربندی و قوانین معمولاً در مسیر /etc/imunify360/ قرار دارند. شما می‌توانید این فایل‌ها را با استفاده از ویرایشگر متن مانند nano یا vim مشاهده کنید: 
    sudo nano /etc/imunify360/waf.conf

    در این فایل‌ها می‌توانید وضعیت فعال بودن برخی از قوانین یا ماژول‌های WAF را مشاهده کرده و تغییرات دلخواه خود را اعمال کنید.

۴. بررسی وضعیت WAF از طریق وب‌سرور

اگر WAF در سطح وب‌سرور (مانند Nginx یا Apache) پیکربندی شده باشد، شما می‌توانید وضعیت آن را از طریق پیکربندی وب‌سرور نیز بررسی کنید. برای مثال:

  1. برای Nginx: بررسی کنید که تنظیمات مربوط به WAF در فایل پیکربندی Nginx به درستی قرار گرفته است. معمولاً این تنظیمات در مسیر /etc/nginx/nginx.conf یا در فایل‌های مربوط به virtual host موجود است.
  2. برای Apache: در Apache، پیکربندی WAF معمولاً در فایل‌های .htaccess یا در فایل‌های پیکربندی مربوط به سرور (مثل /etc/httpd/httpd.conf) قرار می‌گیرد.

جمع‌بندی

برای بررسی وضعیت فعلی WAF و فعال بودن آن در Immunify360، شما می‌توانید از رابط کاربری گرافیکی، دستورات CLI، بررسی فایل‌های لاگ و پیکربندی‌ها استفاده کنید. این روش‌ها به شما این امکان را می‌دهند تا مطمئن شوید که WAF به درستی پیکربندی و فعال است و از سرور شما در برابر حملات تحت وب محافظت می‌کند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”فعال‌سازی WAF از طریق رابط گرافیکی (GUI) در cPanel، Plesk و DirectAdmin” subtitle=”توضیحات کامل”]WAF یکی از ابزارهای ضروری برای حفاظت از وب‌سایت‌ها در برابر حملات تحت وب است. در این بخش، نحوه فعال‌سازی WAF از طریق رابط گرافیکی در سه کنترل پنل محبوب یعنی cPanel، Plesk و DirectAdmin شرح داده خواهد شد.

فعال‌سازی WAF در cPanel

در cPanel، ابزار امنیتی Immunify360 به‌طور پیش‌فرض برای فعال‌سازی WAF در دسترس است. برای فعال‌سازی آن از طریق رابط کاربری گرافیکی (GUI)، مراحل زیر را دنبال کنید:

  1. ورود به cPanel: ابتدا وارد پنل مدیریت cPanel خود شوید.
  2. دسترسی به بخش Immunify360: از بخش Security، گزینه Imunify360 را پیدا کنید. اگر این گزینه موجود نیست، ممکن است نیاز باشد که پلاگین Immunify360 را از طریق WHM (WebHost Manager) نصب کنید.
  3. فعال‌سازی WAF: در صفحه اصلی Immunify360، به قسمت WAF یا Web Application Firewall بروید. در اینجا، شما می‌توانید تنظیمات مربوط به WAF را مشاهده کنید و آن را فعال یا غیرفعال کنید.
    • اگر WAF غیرفعال باشد، دکمه Enable WAF را فشار دهید تا این ویژگی فعال شود.
    • پس از فعال‌سازی، تنظیمات مربوط به قوانین و فیلترینگ‌های WAF به‌طور خودکار در سرور اعمال خواهند شد.
  4. پیکربندی قوانین WAF: شما می‌توانید به صورت دستی تنظیمات و قوانین فیلترینگ WAF را تغییر دهید. این تنظیمات معمولاً از بخش Rules قابل دسترسی هستند، جایی که می‌توانید قوانین سفارشی اضافه کنید یا قوانین پیش‌فرض را اصلاح کنید.

فعال‌سازی WAF در Plesk

در Plesk، برای فعال‌سازی WAF، شما باید از بخش امنیتی استفاده کنید. مراحل زیر را دنبال کنید:

  1. ورود به Plesk: وارد پنل مدیریت Plesk شوید.
  2. دسترسی به بخش “Security”: در منوی اصلی، به بخش Tools & Settings بروید و سپس زیرمجموعه Security را انتخاب کنید.
  3. فعال‌سازی Immunify360: اگر Immunify360 به‌طور پیش‌فرض نصب شده باشد، باید گزینه‌ای به نام Imunify360 یا Web Application Firewall (WAF) در این قسمت وجود داشته باشد.
    • اگر Immunify360 نصب نشده است، باید آن را از طریق بخش Extensions نصب کنید.
  4. فعال‌سازی WAF: پس از دسترسی به بخش Imunify360، به قسمت WAF بروید. در اینجا می‌توانید WAF را فعال کنید و تنظیمات آن را مطابق با نیاز خود تنظیم نمایید.
  5. پیکربندی قوانین WAF: در Plesk، شما می‌توانید تنظیمات و قوانین مربوط به WAF را در بخش WAF Rules پیکربندی کنید. این امکان به شما می‌دهد که قوانین خاص برای فیلتر کردن درخواست‌ها را اضافه کنید.

فعال‌سازی WAF در DirectAdmin

برای فعال‌سازی WAF در DirectAdmin، معمولاً به ماژول‌های امنیتی نظیر Immunify360 نیاز است. مراحل زیر را برای فعال‌سازی آن دنبال کنید:

  1. ورود به DirectAdmin: ابتدا وارد پنل مدیریت DirectAdmin شوید.
  2. دسترسی به بخش امنیتی: در صفحه اصلی DirectAdmin، به قسمت Extra Features بروید.
  3. نصب و فعال‌سازی Immunify360: اگر Immunify360 نصب نیست، از طریق Plugins این پلاگین را نصب کنید. بعد از نصب، به بخش Imunify360 وارد شوید.
  4. فعال‌سازی WAF: در صفحه Imunify360, به قسمت WAF بروید. در این قسمت شما می‌توانید WAF را فعال کنید.
  5. پیکربندی قوانین WAF: پس از فعال‌سازی WAF، شما می‌توانید قوانین آن را به‌طور دلخواه تنظیم کنید. از بخش WAF Rules می‌توانید قوانین مختلف را برای جلوگیری از حملات تحت وب تنظیم نمایید.

جمع‌بندی

فعال‌سازی WAF از طریق رابط گرافیکی (GUI) در cPanel، Plesk و DirectAdmin فرآیندی ساده و سریع است که به شما این امکان را می‌دهد تا وب‌سایت خود را از حملات مختلف مانند SQL Injection، XSS، RFI و غیره محافظت کنید. برای هرکدام از این کنترل پنل‌ها، مراحل مشخصی وجود دارد که به شما اجازه می‌دهد WAF را فعال کنید و قوانین آن را مطابق با نیازهای خود پیکربندی کنید. این کار به‌شدت به امنیت وب‌سایت شما کمک کرده و تهدیدات احتمالی را کاهش می‌دهد.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”فعال‌سازی و مدیریت WAF از طریق دستورات خط فرمان (CLI)” subtitle=”توضیحات کامل”]برای مدیران سرور که به استفاده از خط فرمان (CLI) تسلط دارند، فعال‌سازی و مدیریت WAF از طریق محیط ترمینال، یک راه سریع و قابل‌اتکا برای کنترل امنیت وب اپلیکیشن‌هاست. در این بخش، به‌صورت کاملاً عملی و با جزئیات کامل، نحوه فعال‌سازی و مدیریت WAF در محیط CLI با ابزار Imunify360 شرح داده می‌شود.

مسیر فایل‌های مربوط به پیکربندی

فایل‌های اصلی پیکربندی WAF در سرورهای لینوکسی معمولاً در مسیرهای زیر قرار دارند:

/etc/sysconfig/imunify360/
/etc/imunify360-webshield/
/etc/apache2/conf.d/modsec2.conf          (برای Apache)
/etc/nginx/modsec/modsecurity.conf        (برای Nginx با ModSecurity)
بررسی وضعیت WAF از طریق CLI

برای مشاهده وضعیت فعلی WAF در Imunify360 از دستور زیر استفاده کنید:

imunify360-agent waf status

خروجی این دستور نشان می‌دهد که WAF فعال است یا خیر، چه نوع سروری (Apache/Nginx) استفاده می‌شود و قوانین WAF بارگذاری شده‌اند یا نه.

فعال‌سازی WAF

برای فعال‌سازی WAF در Imunify360، از دستور زیر استفاده کنید:

imunify360-agent feature-management enable waf

اگر قبلاً فعال نبوده باشد، این دستور آن را فعال می‌کند. پس از فعال‌سازی، قوانین پایه‌ای به‌صورت خودکار اعمال می‌شوند.

غیرفعال‌سازی WAF

در صورتی که بخواهید به‌صورت موقت یا دائم WAF را غیرفعال کنید، از دستور زیر استفاده نمایید:

imunify360-agent feature-management disable waf
ریست تنظیمات WAF به حالت اولیه

در مواقعی که نیاز به بازگردانی تنظیمات WAF به حالت اولیه باشد:

imunify360-agent waf reset-config

این دستور فایل‌های پیکربندی WAF را به حالت پیش‌فرض بازمی‌گرداند.

به‌روزرسانی قوانین WAF به‌صورت دستی

برای بروزرسانی قوانین WAF (ModSecurity rules) به‌صورت دستی می‌توانید از دستور زیر استفاده کنید:

imunify360-agent update-modsec-rules

این فرمان جدیدترین قوانین را از سرورهای Imunify بارگذاری و اعمال می‌کند.

فعال‌سازی حالت تشخیص (Detection Mode)

برای جلوگیری از ایجاد اختلال، می‌توانید ابتدا WAF را در حالت “فقط تشخیص” فعال کنید تا فقط لاگ‌گیری انجام شود و بلاک صورت نگیرد. برای این کار فایل پیکربندی مربوط به ModSecurity را ویرایش کنید:

مسیر فایل برای Apache:

/etc/apache2/conf.d/modsec2.conf

یا برای Nginx:

/etc/nginx/modsec/modsecurity.conf

و مقدار زیر را تنظیم کنید:

SecRuleEngine DetectionOnly

سپس سرویس وب‌سرور را ری‌استارت کنید:

systemctl restart apache2

یا

systemctl restart nginx
مشاهده لاگ‌ فعالیت‌های WAF

برای بررسی لاگ‌های مرتبط با عملکرد WAF و بررسی حملات شناسایی‌شده:

tail -f /var/log/imunify360/modsec_audit.log

در این فایل، حملات شناسایی‌شده توسط قوانین WAF ثبت می‌شوند.

اضافه کردن قوانین سفارشی WAF

برای افزودن یک قانون دستی به ModSecurity در Apache:

مسیر فایل:

/etc/apache2/conf.d/modsec2.user.conf

نمونه قانون برای جلوگیری از XSS:

SecRule ARGS|REQUEST_HEADERS|REQUEST_URI "@rx <script.*>.*</script>" \
"id:'1000002',phase:2,deny,status:403,msg:'XSS Detected'"

سپس سرویس Apache را ری‌استارت کنید:

systemctl restart apache2

برای Nginx نیز مسیر مشابه با پیکربندی Nginx خواهد بود.

جمع‌بندی

مدیریت WAF از طریق CLI با استفاده از ابزار Imunify360 و ModSecurity این امکان را فراهم می‌کند که با دقت و سرعت بالا، امنیت برنامه‌های تحت وب را کنترل کنید. تمامی عملیات از جمله فعال‌سازی، غیرفعال‌سازی، بروزرسانی قوانین و ثبت لاگ‌ها به‌صورت کامل از طریق دستورات خط فرمان قابل انجام است. استفاده از فایل‌های پیکربندی اختصاصی برای تعریف قوانین سفارشی نیز قابلیت انعطاف‌پذیری بالایی را در حفاظت از وب‌سایت فراهم می‌سازد. این روش برای مدیران حرفه‌ای سرور لینوکسی یک گزینه قدرتمند و قابل‌اتکا محسوب می‌شود.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی و تأیید عملکرد WAF بعد از فعال‌سازی” subtitle=”توضیحات کامل”]پس از فعال‌سازی WAF در Imunify360، بررسی و اطمینان از عملکرد صحیح آن بسیار حیاتی است. فعال بودن صرفاً کافی نیست؛ باید مطمئن شد که قوانین WAF اجرا می‌شوند، حملات به‌درستی شناسایی و مسدود می‌گردند و هیچ‌گونه اثر منفی روی عملکرد سایت‌های میزبانی‌شده ایجاد نمی‌شود. در این بخش از آموزش های ارائه شده توسط فرازنتورک، روش‌های تخصصی و کاربردی برای بررسی عملکرد WAF ارائه می‌گردد.

بررسی وضعیت عملکرد WAF

برای مشاهده وضعیت کلی WAF و تایید فعال بودن آن از CLI، دستور زیر را وارد کنید:

imunify360-agent waf status

نمونه خروجی صحیح:

WAF status: enabled
Web server: apache
ModSecurity engine status: On
Total rules loaded: 1354
تست عملی شناسایی حملات (مثال XSS و SQLi)

می‌توانید با ارسال درخواست‌های مشکوک تستی به وب‌سایت، بررسی کنید که آیا WAF به‌درستی آن‌ها را مسدود می‌کند یا خیر.

مثال: شبیه‌سازی XSS برای تست WAF

در مرورگر باز کنید یا با ابزار curl درخواست زیر را ارسال کنید:

curl -I "http://yourdomain.com/?test=<script>alert(1)</script>"

اگر WAF فعال باشد و قوانین به‌درستی اعمال شده باشند، باید پاسخ HTTP 403 Forbidden دریافت کنید.

مثال: شبیه‌سازی SQL Injection

curl -I "http://yourdomain.com/?id=1 union select username,password from users"

در این حالت نیز، WAF باید این درخواست را به‌عنوان حمله SQL Injection شناسایی کرده و با وضعیت 403 مسدود کند.

بررسی لاگ‌های WAF برای تحلیل عملکرد

یکی از مهم‌ترین راه‌ها برای بررسی دقیق عملکرد WAF، تحلیل فایل‌های لاگ است. بسته به نوع وب‌سرور، لاگ‌ها ممکن است در مسیرهای متفاوتی باشند:

برای Apache:

/var/log/apache2/modsec_audit.log

برای Nginx:

/var/log/nginx/modsec_audit.log

برای Imunify360:

/var/log/imunify360/console.log
/var/log/imunify360/waf.log

برای مشاهده آخرین لاگ‌ها از دستور زیر استفاده کنید:

tail -f /var/log/imunify360/waf.log

در این فایل می‌توانید اطلاعاتی درباره نوع حمله، IP مهاجم، rule ID، و URL هدف مشاهده کنید.

بررسی آمار فعالیت WAF از CLI

برای بررسی خلاصه‌ای از عملکرد WAF، شامل تعداد تهدیدات مسدودشده و IPهای بلاک‌شده:

imunify360-agent log-viewer --type waf
مشاهده قوانین فعال در WAF

برای لیست کردن تمامی قوانین فعال در WAF:

imunify360-agent waf list-rules
اعمال مجدد قوانین (در صورت شک به نقص در اجرا)

اگر احساس می‌کنید برخی قوانین اجرا نمی‌شوند، می‌توانید با دستور زیر تمامی قوانین را مجدداً اعمال نمایید:

imunify360-agent waf reload

جمع‌بندی

پس از فعال‌سازی WAF در Imunify360، بررسی عملکرد آن از طریق تست عملی، مشاهده لاگ‌ها، مانیتورینگ پاسخ سرور به درخواست‌های مشکوک، و ارزیابی اجرای قوانین ضروری است. این اقدامات کمک می‌کنند تا مطمئن شوید که سیستم امنیتی نه‌تنها فعال، بلکه مؤثر نیز هست. ابزارهایی مانند curl، تحلیل لاگ‌ها و گزارش‌های داخلی Imunify360 بهترین روش برای بررسی دقیق و حرفه‌ای عملکرد WAF هستند.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 3. بررسی و تنظیم قوانین پیش‌فرض WAF”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی لیست قوانین (Rulesets) پیش‌فرض WAF” subtitle=”توضیحات کامل”]در Imunify360، فایروال WAF بر اساس ModSecurity طراحی شده و از مجموعه‌ای از قوانین (Rulesets) استفاده می‌کند که وظیفه آن‌ها شناسایی و مسدود کردن حملات رایج تحت وب است. این Rulesets به‌صورت پیش‌فرض توسط Imunify360 از منابع معتبر امنیتی مانند OWASP، Atomicorp و قواعد اختصاصی Imunify360 تهیه شده‌اند.

در این بخش، به بررسی جامع لیست قوانین پیش‌فرض WAF، نحوه مشاهده، ویرایش، فعال‌سازی یا غیرفعال‌سازی آن‌ها از طریق خط فرمان (CLI) و رابط گرافیکی (GUI) می‌پردازیم.

مسیر ذخیره‌سازی قوانین پیش‌فرض WAF

قوانین WAF معمولاً در مسیر زیر قرار دارند:

/etc/apache2/conf.d/modsec2/

یا:

/etc/modsecurity.d/

در سرورهایی که Imunify360 نصب است، قوانین اختصاصی Imunify360 در مسیر زیر قابل‌دسترسی هستند:

/etc/imunify360-webshield/
مشاهده لیست قوانین فعال از طریق CLI

برای مشاهده لیست تمامی قوانین فعال WAF، از دستور زیر استفاده کنید:

imunify360-agent waf list-rules

این دستور لیستی از Rule IDها، وضعیت (فعال یا غیرفعال)، و توضیح کوتاهی از هر قانون را نمایش می‌دهد.

نمونه خروجی:

Rule ID     Status    Description
1000001     Enabled   Detects SQL Injection using 'union select'
1000002     Enabled   Detects Cross-site Scripting (XSS)
1000003     Enabled   Detects Remote File Inclusion (RFI)
...
فعال‌سازی یا غیرفعال‌سازی یک Rule خاص

اگر به دلایلی نیاز به غیرفعال‌کردن یک Rule خاص دارید (مثلاً در شرایط False Positive)، می‌توانید از دستور زیر استفاده کنید:

غیرفعال‌کردن یک قانون:

imunify360-agent waf disable-rule --id 1000002

فعال‌سازی مجدد همان قانون:

imunify360-agent waf enable-rule --id 1000002
ویرایش دستی قوانین خاص

برای تغییر یا اضافه‌کردن قانون خاص به صورت دستی، ابتدا فایل مربوط به custom rules را باز کنید:

nano /etc/imunify360-webshield/custom.rules

در این فایل می‌توانید قوانینی مانند زیر را تعریف یا ویرایش کنید:

SecRule REQUEST_URI|ARGS|REQUEST_HEADERS "@rx union.*select.*from" \
    "id:'1000001',phase:2,deny,status:403,msg:'SQL Injection Detected'"

پس از اعمال تغییرات، WAF را reload کنید:

imunify360-agent waf reload
بررسی فعال بودن Rulesets معروف (OWASP و غیره)

Imunify360 از مجموعه قوانین OWASP ModSecurity Core Rule Set (CRS) استفاده می‌کند. برای بررسی اینکه این Ruleset فعال است یا نه:

grep "IncludeOptional" /etc/apache2/conf.d/modsec2.conf

خروجی باید شامل قوانین فعال‌شده مانند زیر باشد:

IncludeOptional /etc/modsecurity.d/owasp-crs/*.conf
مشاهده لاگ اجرا و تشخیص Ruleها در فایل‌های گزارش

برای پیگیری اینکه کدام Rule فعال شده و چه کاری انجام داده، فایل لاگ زیر را بررسی کنید:

/var/log/imunify360/waf.log

برای مشاهده خطوط خاصی از لاگ که به یک Rule خاص مرتبط هستند:

grep "id 1000002" /var/log/imunify360/waf.log

جمع‌بندی

قوانین پیش‌فرض WAF در Imunify360 نقش مهمی در شناسایی و جلوگیری از حملات رایج تحت وب دارند. این قوانین از منابع معتبر امنیتی انتخاب شده‌اند و می‌توانند به‌صورت کامل، نیمه‌فعال یا سفارشی تنظیم شوند. با استفاده از ابزار CLI، مدیر سرور قادر خواهد بود این قوانین را بررسی، فعال یا غیرفعال، و حتی ویرایش کند. بررسی منظم لاگ‌ها و ارزیابی قوانین مشکوک به False Positive نیز از الزامات حیاتی حفظ عملکرد بهینه WAF محسوب می‌شود.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه‌ی فعال و غیرفعال کردن قوانین خاص ” subtitle=”توضیحات کامل”]در Imunify360، ممکن است به دلایل مختلفی نیاز به غیرفعال‌سازی یا فعال‌سازی برخی از قوانین خاص فایروال برنامه‌های وب (WAF) داشته باشید. این کار معمولاً در مواقعی که یک قانون باعث شناسایی اشتباه (False Positive) شود یا زمانی که نیاز به بررسی دقیق‌تری روی عملکرد خاصی از برنامه وب دارید انجام می‌شود.

در این بخش، روش‌های کاربردی برای مدیریت فعال یا غیرفعال بودن قوانین WAF به‌صورت خط فرمان (CLI) و ویرایش دستی فایل‌ها را بررسی می‌کنیم. تمامی مراحل به‌صورت عملی، با ذکر مسیر فایل‌ها و دستورات قابل اجرا ارائه شده‌اند.

بررسی وضعیت قوانین موجود

برای بررسی وضعیت قوانین موجود در WAF و شناسایی Rule ID مورد نظر:

imunify360-agent waf list-rules

این دستور لیست تمامی قوانین فعال و غیرفعال WAF را نمایش می‌دهد و شامل ستون‌هایی مانند Rule ID، وضعیت و توضیح کوتاه است.

غیرفعال کردن یک قانون خاص

برای غیرفعال‌سازی یک Rule خاص، از دستور زیر استفاده کنید:

imunify360-agent waf disable-rule --id RULE_ID

نمونه عملی:

برای غیرفعال کردن قانون مربوط به تشخیص XSS:

imunify360-agent waf disable-rule --id 1000002
فعال‌سازی مجدد یک قانون خاص

برای فعال‌سازی قانونی که قبلاً غیرفعال شده:

imunify360-agent waf enable-rule --id RULE_ID

نمونه عملی:

imunify360-agent waf enable-rule --id 1000002
مشاهده قوانین غیرفعال‌شده

اگر می‌خواهید فقط لیست قوانین غیرفعال‌شده را مشاهده کنید:

imunify360-agent waf list-rules --status disabled
روش جایگزین: ویرایش فایل قوانین سفارشی

اگر مایل باشید قوانین سفارشی‌سازی‌شده یا غیرفعال‌سازی را به صورت دستی مدیریت کنید، فایل مربوطه را ویرایش نمایید:

nano /etc/imunify360-webshield/custom.rules

برای غیرفعال‌سازی یک قانون، می‌توانید آن را کامنت کنید (با اضافه کردن # در ابتدای خط) یا خط را حذف کرده و WAF را مجدداً بارگذاری نمایید:

imunify360-agent waf reload

نمونه قانون سفارشی:

SecRule REQUEST_URI|ARGS "@rx union.*select.*from" \
    "id:'1000001',phase:2,deny,status:403,msg:'SQL Injection Detected'"

برای غیرفعال‌سازی موقت، آن را به شکل زیر کامنت کنید:

# SecRule REQUEST_URI|ARGS "@rx union.*select.*from" ...
ثبت مجدد تغییرات و بارگذاری مجدد WAF

پس از اعمال هرگونه تغییر دستی در فایل قوانین یا اجرای دستور فعال‌سازی/غیرفعال‌سازی، لازم است WAF بارگذاری مجدد شود:

imunify360-agent waf reload

جمع‌بندی

مدیریت قوانین خاص در WAF Imunify360 یک بخش کلیدی از استراتژی امنیتی پیشرفته محسوب می‌شود. با استفاده از ابزار CLI، مدیر سرور به‌سادگی می‌تواند قوانین خاص را فعال یا غیرفعال کند. همچنین، از طریق ویرایش مستقیم فایل‌های custom.rules امکان سفارشی‌سازی و کنترل دقیق‌تر فراهم است. برای جلوگیری از ایجاد اختلال در عملکرد صحیح سایت، هرگونه تغییر در قوانین باید با دقت و پس از بررسی لاگ‌ها انجام شود. بارگذاری مجدد WAF پس از تغییر قوانین نیز از الزامات حیاتی در مدیریت این تنظیمات محسوب می‌شود.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تغییر سطح سخت‌گیری (Strictness Level) در تنظیمات WAF” subtitle=”توضیحات کامل”]در Imunify360، سطح سخت‌گیری (WAF Strictness Level) تعیین می‌کند که قوانین WAF با چه شدتی بر ترافیک ورودی نظارت و محدودیت اعمال کنند. تنظیم دقیق این سطح می‌تواند بین امنیت و عملکرد متعادل ایجاد کند. سطح سخت‌گیری بالا ممکن است امنیت بیشتری فراهم کند، اما در عین حال باعث ایجاد False Positive برای برخی کاربران یا اپلیکیشن‌ها شود.

در این بخش، روش‌های تغییر سطح سخت‌گیری WAF به‌صورت گرافیکی و خط فرمان بررسی می‌شود، همراه با مسیر فایل‌ها و دستورات کامل برای کاربرد عملی.

انواع سطح سخت‌گیری در WAF

Imunify360 سه سطح پیش‌فرض برای WAF ارائه می‌دهد:

  • Low: حداقل سطح بررسی و محدودسازی – برای وب‌سایت‌های حساس به false positive.
  • Medium: سطح تعادلی که امنیت و عملکرد را در نظر دارد (پیش‌فرض).
  • High: بالاترین سطح سخت‌گیری برای امنیت حداکثری.

تغییر سطح سخت‌گیری از طریق رابط گرافیکی (GUI)

برای کاربرانی که از cPanel، DirectAdmin یا Plesk استفاده می‌کنند:

  1. وارد پنل مدیریت شوید.
  2. در بخش Imunify360 روی گزینه “Settings” کلیک کنید.
  3. وارد تب “Web Application Firewall” شوید.
  4. از منوی کشویی “WAF Strictness Level”، یکی از گزینه‌ها (Low / Medium / High) را انتخاب کنید.
  5. تغییرات را ذخیره کنید.

تغییر سطح سخت‌گیری از طریق خط فرمان (CLI)

برای اعمال این تنظیمات از طریق ترمینال، از فایل تنظیمات imunify360.config استفاده می‌کنیم.

مسیر فایل تنظیمات:

/etc/imunify360/imunify360.config

ویرایش فایل:

nano /etc/imunify360/imunify360.config

جستجو کنید:

"WAF": {
    "strict_mode": "medium"
}

مقدار strict_mode را به یکی از گزینه‌های low، medium یا high تغییر دهید.

نمونه تنظیم سخت‌گیری بالا:

"WAF": {
    "strict_mode": "high"
}

ذخیره و بستن فایل، سپس اجرای دستور ری‌استارت سرویس WAF برای اعمال تنظیمات:

imunify360-agent reload-limits
imunify360-agent waf reload

بررسی سطح سخت‌گیری فعلی

برای بررسی تنظیمات فعلی WAF از CLI، از دستور زیر استفاده کنید:

imunify360-agent config show --json | grep strict_mode

خروجی نمونه:

"strict_mode": "medium"

جمع‌بندی

تغییر سطح سخت‌گیری در WAF یکی از ابزارهای کلیدی در کنترل دقیق رفتار فایروال وب در Imunify360 است. بسته به نوع وب‌سایت، حجم کاربران، و میزان حساسیت به شناسایی اشتباه، می‌توان از سطوح مختلف سخت‌گیری استفاده کرد. تنظیم این سطح هم از طریق پنل گرافیکی کنترل پنل‌های مختلف و هم از طریق ویرایش فایل‌های پیکربندی امکان‌پذیر است. بعد از اعمال تغییرات، بارگذاری مجدد سرویس WAF ضروری است تا تنظیمات جدید فعال شود. انتخاب سطح مناسب می‌تواند تعادل مناسبی بین امنیت و عملکرد ایجاد کند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیم قوانین WAF بر اساس نوع حمله (مانند جلوگیری از SQL Injection و XSS)” subtitle=”توضیحات کامل”]یکی از مزایای اصلی استفاده از Web Application Firewall (WAF) در Imunify360، توانایی آن در شناسایی و مسدودسازی انواع مختلف حملات رایج تحت وب مانند SQL Injection، XSS (Cross-Site Scripting)، Remote File Inclusion و سایر تهدیدهاست. این بخش به‌صورت تخصصی به روش‌های تنظیم و شخصی‌سازی قوانین WAF برای مقابله با این حملات می‌پردازد، هم در سطح گرافیکی (GUI) و هم از طریق خط فرمان (CLI)، با مثال‌ها و مسیر فایل‌های موردنیاز.

ساختار کلی قوانین WAF در Imunify360

Imunify360 از ModSecurity به‌عنوان موتور اصلی WAF استفاده می‌کند. قوانین در قالب دستورات SecRule تعریف می‌شوند که مشخص می‌کنند چه نوع داده‌ای در کجا بررسی شود و در صورت تشخیص تهدید، چه عملی انجام گیرد.

تنظیم قوانین برای جلوگیری از SQL Injection

برای جلوگیری از حملات SQL Injection، می‌توان قوانین خاصی را بر اساس الگوهای مشکوک در پارامترهای URL، آرگومان‌ها یا هدرها نوشت.

مسیر و فایل تنظیم قوانین سفارشی ModSecurity:

/etc/apache2/conf.d/modsec_imunify360_custom.conf

نمونه قانون برای شناسایی کوئری‌های مشکوک:

SecRule REQUEST_URI|ARGS|REQUEST_HEADERS "@rx union.*select.*from" \
    "id:'1000001', \
    phase:2, \
    deny, \
    status:403, \
    msg:'SQL Injection Detected: UNION SELECT usage'"

نکات:

  • @rx برای استفاده از regex است.
  • phase:2 یعنی بررسی پس از دریافت کامل داده‌های درخواست.
  • status:403 یعنی در صورت تطبیق، پاسخ 403 ارسال شود.

تنظیم قوانین برای جلوگیری از XSS (Cross-Site Scripting)

حملات XSS معمولاً شامل تزریق تگ‌های جاوااسکریپت مانند <script> در پارامترهای کاربر است. می‌توان قوانینی برای شناسایی چنین الگوهایی تنظیم کرد.

نمونه قانون XSS:

SecRule ARGS|REQUEST_HEADERS|REQUEST_URI "@rx <script.*>.*</script>" \
    "id:'1000002', \
    phase:2, \
    deny, \
    status:403, \
    msg:'XSS Attack Detected: Script Tag Injection'"

تنظیم قوانین برای جلوگیری از Remote File Inclusion (RFI)

در این نوع حمله، مهاجم سعی می‌کند فایل‌هایی از منابع خارجی در سرور بارگذاری کند.

نمونه قانون برای شناسایی RFI:

SecRule ARGS|REQUEST_URI "@rx (http|ftp)://[a-zA-Z0-9\-\.]+/" \
    "id:'1000003', \
    phase:2, \
    deny, \
    status:403, \
    msg:'RFI Attack Detected: External Resource Inclusion Attempt'"

بارگذاری مجدد قوانین پس از ویرایش

پس از اعمال تغییرات در فایل قوانین، لازم است سرویس WAF ری‌استارت شود:

systemctl reload apache2

یا برای Nginx:

systemctl reload nginx

در صورت استفاده از Imunify360 CLI:

imunify360-agent waf reload

بررسی اینکه قوانین اجرا می‌شوند یا خیر

می‌توانید لاگ فایل ModSecurity را بررسی کنید تا مطمئن شوید قوانین سفارشی فعال شده‌اند.

مسیر لاگ:

/var/log/apache2/modsec_audit.log

یا برای Nginx (در صورت استفاده):

/var/log/modsec_audit.log

فعال یا غیرفعال کردن قانون خاص با ID

اگر بخواهید قانون خاصی را غیرفعال کنید:

فایل مسیر برای استثناء قوانین:

/etc/apache2/conf.d/modsec_imunify360_exclude.conf

نمونه برای غیرفعال کردن یک Rule:

SecRuleRemoveById 1000001

جمع‌بندی

تنظیم قوانین WAF بر اساس نوع حمله، یکی از کارآمدترین روش‌ها برای محافظت از اپلیکیشن‌های تحت وب در برابر تهدیدات امنیتی است. با استفاده از قوانین دقیق در ModSecurity می‌توان حملاتی مانند SQL Injection، XSS و RFI را در مراحل اولیه مسدود کرد. این قوانین را می‌توان به‌صورت دستی در فایل‌های پیکربندی اضافه و سپس از طریق CLI یا GUI مدیریت کرد. توجه به ساختار درست دستورات، تست قوانین در محیط‌های آزمایشی و نظارت بر لاگ‌ها، برای حفظ امنیت و جلوگیری از خطاهای انسانی ضروری است.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 4. ایجاد و تنظیم قوانین سفارشی در WAF”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه تعریف و اضافه کردن قوانین امنیتی سفارشی” subtitle=”توضیحات کامل”]در محیط‌های امن مبتنی بر WAF مانند Imunify360، گاهی لازم است که قوانین خاصی متناسب با نیازها، ساختار وب‌سایت یا الگوهای حمله دیده‌شده به‌صورت دستی نوشته و اضافه شوند. این قوانین سفارشی می‌توانند مکمل قوانین پیش‌فرض باشند یا برای مقابله با سناریوهای خاصی که در تنظیمات عمومی پوشش داده نمی‌شوند، مورد استفاده قرار گیرند.

در این بخش، نحوه نوشتن، اضافه کردن و تست قوانین امنیتی سفارشی را با مثال‌های عملی و کامل بررسی می‌کنیم.

مسیر فایل مخصوص قوانین سفارشی در Imunify360

قوانین سفارشی باید در فایل جداگانه‌ای نوشته شوند تا هنگام به‌روزرسانی هسته یا قوانین پیش‌فرض Imunify360 پاک نشوند.

مسیر پیشنهادی برای قرارگیری فایل قوانین سفارشی:

/etc/apache2/conf.d/modsec_imunify360_custom.conf

در سرورهایی که از Nginx استفاده می‌کنند:

/etc/nginx/modsec/modsec_imunify360_custom.conf

اگر فایل فوق وجود نداشت، می‌توانید آن را ایجاد کنید.

ساختار کلی یک قانون سفارشی در ModSecurity

SecRule [فیلد مورد نظر] "[عبارت منطبق]" \
    "id:'[شناسه یکتا]', \
    phase:[شماره فاز], \
    t:none, \
    deny, \
    status:403, \
    msg:'[پیام مورد نظر]'"

مثال عملی ۱: جلوگیری از ارسال درخواست حاوی IP به‌جای دامنه

برخی ربات‌ها یا ابزارهای اتوماتیک از IP سرور برای ارسال درخواست استفاده می‌کنند. این درخواست‌ها می‌توانند مشکوک باشند.

کد قانون سفارشی:

SecRule REQUEST_HEADERS:Host "@rx ^\d{1,3}(\.\d{1,3}){3}$" \
    "id:'1001001', \
    phase:1, \
    t:none, \
    deny, \
    status:403, \
    msg:'Blocked request with IP in Host header'"

مثال عملی ۲: مسدودسازی درخواست‌های حاوی دستور system()

در صورت استفاده از توابع مشکوک در پارامترهای ورودی، این قانون می‌تواند درخواست را مسدود کند.

SecRule ARGS "@rx system\s*\(" \
    "id:'1001002', \
    phase:2, \
    t:none, \
    deny, \
    status:403, \
    msg:'Possible command execution attempt using system()'"

نکات مهم در طراحی قوانین سفارشی

1. شناسه یکتا (ID):

همیشه از بازه‌ای مشخص و جدا برای ID قوانین سفارشی استفاده کنید تا با قوانین پیش‌فرض تداخل نداشته باشد. مثلاً: از 1001000 به بالا برای قوانین سفارشی خودتان استفاده کنید.

2. فاز بررسی (Phase):
  • phase:1: پیش از پردازش محتوای بدنه (برای هدرها مفید است)
  • phase:2: پس از پردازش کامل بدنه (برای POST و فرم‌ها مناسب است)
3. گزینه t:none:

بدون هیچ پردازش اضافی روی ورودی (مثلاً تبدیل به lowercase)

بارگذاری مجدد WAF پس از ویرایش فایل قوانین

پس از ایجاد یا ویرایش فایل قوانین سفارشی، برای اعمال آن باید سرویس Apache یا Nginx را ری‌استارت یا reload کنید:

در Apache:

systemctl reload apache2

در Nginx:

systemctl reload nginx

یا از ابزار CLI Imunify360 استفاده کنید:

imunify360-agent waf reload

تست صحت فایل قانون قبل از ری‌استارت

برای جلوگیری از بروز خطا، بهتر است قوانین جدید را قبل از اعمال، تست کنید:

apachectl -t

برای Nginx:

nginx -t

بررسی فعال بودن قانون و لاگ‌گیری

برای بررسی اینکه آیا قوانین سفارشی شما اجرا می‌شوند، فایل لاگ ModSecurity را بررسی کنید:

tail -f /var/log/apache2/modsec_audit.log

یا در Nginx:

tail -f /var/log/modsec_audit.log

می‌توانید با ارسال یک درخواست آزمایشی که به‌صورت عمدی با قانون نوشته‌شده تطابق دارد، عملکرد آن را تست کنید.

جمع‌بندی

اضافه‌کردن قوانین امنیتی سفارشی به WAF در Imunify360 یک لایه امنیتی بسیار قدرتمند و منعطف ایجاد می‌کند. با نوشتن دقیق و تست‌شده‌ی این قوانین، می‌توان حملات خاصی را هدف قرار داد که ممکن است توسط قوانین پیش‌فرض پوشش داده نشوند. لازم است این قوانین را در مسیر مناسب ذخیره کرده، شناسه یکتای مجزا برای هر قانون در نظر بگیرید، و بعد از اعمال، سرویس مربوطه را reload کنید. بررسی لاگ‌ها برای اطمینان از عملکرد صحیح قوانین نیز ضروری است.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بلاک کردن IPهای مشکوک و جلوگیری از دسترسی‌های غیرمجاز” subtitle=”توضیحات کامل”]یکی از اقدامات کلیدی در افزایش امنیت سرور و کاهش خطر حملات، شناسایی و مسدودسازی IPهای مشکوک است. این IPها ممکن است از طرف مهاجمین، ربات‌های اسکن‌کننده یا منابعی که رفتارهای غیرعادی دارند ارسال شوند. در این بخش به روش‌های شناسایی، بلاک و مدیریت IPهای مشکوک در سطح WAF و سیستم‌عامل خواهیم پرداخت.

شناسایی IPهای مشکوک از لاگ‌های امنیتی

ابتدا باید از طریق لاگ‌های موجود، IPهایی که درخواست‌های مشکوک ارسال کرده‌اند را شناسایی کنید.

فایل‌های لاگ رایج:

  • Apache: 
    /var/log/apache2/access.log
/var/log/apache2/error.log
/var/log/apache2/modsec_audit.log
  • Nginx: 
    /var/log/nginx/access.log
/var/log/nginx/error.log
/var/log/modsec_audit.log
  • Imunify360: 
    /var/log/imunify360/console.log

مثال بررسی لاگ:

grep "403" /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head

این دستور IPهایی را که بیشترین خطای 403 دریافت کرده‌اند، نمایش می‌دهد.

بلاک کردن IP در سطح WAF (ModSecurity + Imunify360)

برای بلاک دستی یک IP مشخص:

افزودن به فایل custom rules:

SecRule REMOTE_ADDR "@ipMatch 192.168.1.100" \
    "id:'1002001', \
    phase:1, \
    deny, \
    status:403, \
    msg:'Blocked suspicious IP manually'"

مسیر فایل سفارشی:

/etc/apache2/conf.d/modsec_imunify360_custom.conf

پس از افزودن قانون، WAF را reload کنید:

imunify360-agent waf reload

بلاک کردن IP از طریق Imunify360 CLI

Imunify360 دارای سیستم قدرتمند IP Management است.

افزودن IP به بلاک‌لیست:

imunify360-agent blacklist ip add 192.168.1.100 --comment "Suspicious activity"

مشاهده لیست بلاک‌شده‌ها:

imunify360-agent blacklist ip list

حذف از بلاک‌لیست:

imunify360-agent blacklist ip delete 192.168.1.100

بلاک کردن IP از طریق فایروال CSF (اگر نصب باشد)

CSF یکی از فایروال‌های رایج در سرورهای cPanel است.

بلاک IP:

csf -d 192.168.1.100 "Suspicious IP - manual block"

مشاهده لیست بلاک‌شده‌ها:

csf -g 192.168.1.100

حذف از بلاک:

csf -dr 192.168.1.100

بلاک IP در سطح سیستم با iptables (برای سرورهای ساده)

دستور بلاک:

iptables -A INPUT -s 192.168.1.100 -j DROP

برای ذخیره‌سازی دائمی (در Debian/Ubuntu):

iptables-save > /etc/iptables/rules.v4

مسدودسازی رنج IP (CIDR) در قوانین سفارشی

برای بلاک یک رنج کامل IP:

SecRule REMOTE_ADDR "@ipMatch 192.168.0.0/24" \
    "id:'1002002', \
    phase:1, \
    deny, \
    status:403, \
    msg:'Blocked IP range 192.168.0.0/24'"

مشاهده درخواست‌های مشکوک در Imunify360 GUI

در نسخه گرافیکی Imunify360:

  • وارد تب Security → Incidents شوید.
  • روی هر IP کلیک کرده و آن را به‌صورت دائم یا موقت بلاک کنید.
  • می‌توانید برای آن توضیح نیز اضافه کنید.

جمع‌بندی

برای افزایش امنیت سرور، بلاک کردن IPهای مشکوک از طریق ابزارهایی مانند Imunify360، ModSecurity، CSF یا حتی iptables یکی از روش‌های مؤثر است. شناسایی این IPها از طریق بررسی لاگ‌ها و تحلیل رفتار آن‌ها انجام می‌شود. می‌توان به‌صورت دستی یا خودکار IPها را بلاک کرد و این تنظیمات را به‌گونه‌ای اعمال نمود که حتی در به‌روزرسانی‌ها نیز باقی بمانند. هرگونه تغییر پس از اعمال باید تست و در لاگ‌ها بررسی شود.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیم Rate Limiting برای کنترل درخواست‌های مخرب” subtitle=”توضیحات کامل”]Rate Limiting یکی از مهم‌ترین تکنیک‌ها برای مقابله با حملات خودکار مانند Brute Force، DDoS، اسکن آسیب‌پذیری، یا سوءاستفاده از فرم‌ها است. با استفاده از Rate Limiting می‌توان تعداد درخواست‌هایی که از یک IP خاص در بازه‌ی زمانی مشخص ارسال می‌شوند را کنترل کرد و در صورت تجاوز از حد مجاز، دسترسی را محدود یا مسدود نمود.

مفاهیم پایه Rate Limiting

در این روش، محدودیتی برای تعداد درخواست‌ها در بازه زمانی معین (مانند ۱۰ درخواست در ۶۰ ثانیه) تعریف می‌شود. اگر IP یا کاربر خاصی از این آستانه عبور کند، می‌توان پاسخ 403 Forbidden یا حتی 503 Service Unavailable ارسال کرد.

روش‌های اعمال Rate Limiting

Rate Limiting را می‌توان در سطوح مختلف اعمال کرد:

  • در سطح وب‌سرور (Apache یا Nginx)
  • در سطح WAF (مانند ModSecurity یا Imunify360)
  • در سطح فایروال (مانند CSF یا iptables)
  • با استفاده از ابزارهای تخصصی مانند fail2ban یا mod_evasive

تنظیم Rate Limiting در ModSecurity (Imunify360)

برای پیاده‌سازی Rate Limiting با ModSecurity می‌توان از Persistent Collection Variables استفاده کرد.

نمونه قانون برای محدود کردن ۵ درخواست در ۶۰ ثانیه:

SecAction \
    "id:1003001, \
    phase:1, \
    nolog, \
    pass, \
    initcol:ip=%{REMOTE_ADDR}, \
    expirevar:ip.counter=60"

SecRule ip:counter "@gt 5" \
    "id:1003002, \
    phase:1, \
    deny, \
    status:429, \
    msg:'Rate Limit Exceeded: More than 5 requests in 60 seconds'"

SecAction \
    "id:1003003, \
    phase:1, \
    pass, \
    nolog, \
    setvar:ip.counter=+1"

مسیر پیشنهادی برای ذخیره این قوانین:

/etc/apache2/conf.d/modsec_imunify360_custom.conf

نکته: پس از اعمال تغییرات، سرویس WAF را reload کنید:

imunify360-agent waf reload

Rate Limiting در Nginx با ماژول limit_req

Nginx دارای ماژول داخلی برای پیاده‌سازی Rate Limiting است.

تعریف در فایل پیکربندی:

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;

    server {
        location / {
            limit_req zone=one burst=20 nodelay;
        }
    }
}

توضیح:

  • rate=10r/s: محدودیت ۱۰ درخواست در ثانیه
  • burst=20: امکان پذیرش حداکثر ۲۰ درخواست ناگهانی
  • nodelay: عدم تأخیر در اعمال Rate Limit

مکان فایل تنظیمات:

/etc/nginx/nginx.conf
یا
/etc/nginx/conf.d/default.conf

پس از ذخیره، سرویس را reload کنید:

systemctl reload nginx

Rate Limiting در CSF با استفاده از PORTFLOOD

در فایل پیکربندی CSF:

PORTFLOOD = "80;tcp;10;60"

معنی: اگر از یک IP بیشتر از ۱۰ اتصال در ۶۰ ثانیه به پورت ۸۰ برقرار شود، آن IP بلاک خواهد شد.

مسیر فایل:

/etc/csf/csf.conf

سپس CSF را ری‌استارت کنید:

csf -r

مشاهده و مدیریت محدودیت‌ها در Imunify360

در پنل گرافیکی Imunify360:

  • به بخش WAF → Settings → Rate Limiting بروید.
  • می‌توانید محدودیت‌های پیش‌فرض را فعال یا تغییر دهید.
  • امکان تعریف رفتارهای مختلف بر اساس نوع حمله (GET flood, POST flood, XML-RPC, Brute Force) وجود دارد.

جمع‌بندی

Rate Limiting به‌عنوان یک لایه محافظتی مؤثر، جلوی بسیاری از حملات خودکار را می‌گیرد. این تنظیمات باید متناسب با نوع وب‌سایت، ترافیک عادی کاربران، و نوع سرویس‌دهی اعمال شوند. ترکیب Rate Limiting در سطح وب‌سرور، WAF و فایروال باعث امنیت چندلایه می‌شود. پس از فعال‌سازی، حتماً عملکرد وب‌سایت را تست و لاگ‌ها را بررسی کنید تا مشکلی برای کاربران واقعی ایجاد نشود.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”استفاده از WhiteList و BlackList در WAF” subtitle=”توضیحات کامل”]در ساختار Web Application Firewall (WAF)، استفاده از WhiteList (لیست سفید) و BlackList (لیست سیاه) یکی از ابزارهای قدرتمند برای کنترل دسترسی و مدیریت امنیت وب‌سایت در برابر ترافیک ناخواسته یا مشکوک است. این قابلیت‌ها به شما امکان می‌دهند تا بر اساس IP، User-Agent، مسیر URI، کشور، و سایر پارامترها تصمیم‌گیری کنید که چه کسی به چه چیزی دسترسی داشته باشد.

تعریف لیست سفید (WhiteList)

لیست سفید شامل IPها یا الگوهایی است که به‌طور کامل از بررسی و فیلترهای WAF مستثنی می‌شوند. این گزینه معمولاً برای IPهای داخلی، توسعه‌دهندگان، یا سیستم‌های مانیتورینگ استفاده می‌شود که باید بدون محدودیت به سرور دسترسی داشته باشند.

نمونه تعریف IP در WhiteList در ModSecurity:
SecRule REMOTE_ADDR "@ipMatch 192.168.0.10" \
    "id:1004001, \
    phase:1, \
    pass, \
    nolog, \
    ctl:ruleEngine=Off"

توضیح:

  • این قانون بررسی تمامی قوانین WAF را برای IP 192.168.0.10 غیرفعال می‌کند.

مسیر پیشنهادی برای اضافه‌کردن قانون:

/etc/apache2/conf.d/modsec_imunify360_custom.conf

تعریف لیست سیاه (BlackList)

لیست سیاه برای مسدودسازی IPها، کشورها، یا User-Agentهای مخرب استفاده می‌شود. این آیتم‌ها به‌محض شناسایی، بلافاصله درخواستشان توسط WAF مسدود شده و پاسخ 403 Forbidden یا مشابه آن ارسال می‌شود.

نمونه مسدودسازی یک IP خاص:
SecRule REMOTE_ADDR "@ipMatch 203.0.113.55" \
    "id:1004002, \
    phase:1, \
    deny, \
    status:403, \
    msg:'Blacklisted IP Blocked'"
نمونه مسدودسازی یک User-Agent:
SecRule REQUEST_HEADERS:User-Agent "@contains sqlmap" \
    "id:1004003, \
    phase:1, \
    deny, \
    status:403, \
    msg:'Malicious User-Agent Blocked'"

استفاده از Blacklist و Whitelist در Imunify360

Imunify360 امکان مدیریت لیست‌ها را از طریق پنل گرافیکی و همچنین CLI فراهم می‌کند.

اضافه‌کردن IP به لیست سفید:
imunify360-agent whitelist ip add 192.168.1.10
مشاهده لیست سفید:
imunify360-agent whitelist ip list
اضافه‌کردن IP به لیست سیاه:
imunify360-agent blacklist ip add 203.0.113.55
مشاهده لیست سیاه:
imunify360-agent blacklist ip list
حذف IP از لیست سیاه:
imunify360-agent blacklist ip delete 203.0.113.55

لیست سفید برای URI خاص یا نوع درخواست

گاهی اوقات لازم است بخشی از اپلیکیشن مانند API خاص یا فرم خاص را از فیلترهای WAF مستثنی کنید.

نمونه قانون برای مستثنی‌کردن مسیر خاص:
SecRule REQUEST_URI "@beginsWith /api/public" \
    "id:1004004, \
    phase:1, \
    pass, \
    nolog, \
    ctl:ruleEngine=Off"

جمع‌بندی

استفاده از WhiteList و BlackList در WAF به شما اجازه می‌دهد تا کنترل دقیقی روی دسترسی کاربران و درخواست‌ها داشته باشید. این دو قابلیت باید با دقت استفاده شوند، زیرا:

  • لیست سفید اگر به درستی تنظیم نشود، می‌تواند باعث عبور ترافیک مخرب شود.
  • لیست سیاه در صورت گستردگی بیش‌ازحد ممکن است به کاربران قانونی آسیب بزند.

ترکیب این دو روش با لاگ‌گیری دقیق، مانیتورینگ ترافیک، و تحلیل لاگ‌ها می‌تواند امنیت وب‌سایت را به شکل مؤثری تقویت کند.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 5. بررسی و مدیریت لاگ‌های WAF”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”مشاهده لاگ‌های مربوط به حملات مسدود شده” subtitle=”توضیحات کامل”]برای نظارت و تحلیل وضعیت امنیتی وب‌سایت، بررسی لاگ‌های مربوط به حملات مسدود شده یکی از مهم‌ترین اقداماتی است که مدیران سیستم باید انجام دهند. این لاگ‌ها به شما کمک می‌کنند تا متوجه شوید که چه نوع حملاتی به سایت شما انجام شده است و چه درخواست‌هایی توسط WAF (Web Application Firewall) مسدود شده‌اند. همچنین، این لاگ‌ها اطلاعاتی درباره نوع و جزئیات حملات و میزان موفقیت یا شکست آن‌ها فراهم می‌آورند.

در این بخش از آموزش های ارائه شده توسط فرازنتورک، نحوه مشاهده و بررسی لاگ‌های حملات مسدود شده در سیستم‌هایی مانند Imunify360 و ModSecurity بررسی می‌شود.

1. مشاهده لاگ‌های حملات در Imunify360

Imunify360 یک راهکار امنیتی قدرتمند است که قادر به شناسایی و مسدود کردن حملات مختلف مانند SQL Injection، XSS، RFI، و غیره است. این نرم‌افزار تمامی فعالیت‌های مشکوک را در لاگ‌ها ثبت کرده و به شما امکان می‌دهد تا گزارش‌های دقیقی از حملات مسدود شده مشاهده کنید.

مشاهده لاگ‌های حملات مسدود شده:

برای مشاهده لاگ‌های مربوط به حملات مسدود شده در Imunify360 می‌توانید از دستور زیر استفاده کنید:

imunify360-agent logs list --filter blocked

این دستور لاگ‌هایی که در آن‌ها درخواست‌های مشکوک مسدود شده‌اند را نمایش می‌دهد.

مشاهده جزئیات بیشتر از یک لاگ خاص:

برای مشاهده جزئیات کامل‌تر یک لاگ خاص می‌توانید از دستور زیر استفاده کنید:

imunify360-agent logs show <log_id>

در این دستور، <log_id> شناسه لاگ خاصی است که می‌خواهید جزئیات آن را بررسی کنید.

مشاهده لاگ‌های مربوط به یک IP خاص:

برای مشاهده لاگ‌های مربوط به یک IP خاص که ممکن است حملات از آنجا صورت گرفته باشد، دستور زیر را وارد کنید:

imunify360-agent logs list --filter ip=203.0.113.55

2. مشاهده لاگ‌های حملات در ModSecurity

ModSecurity یک ابزار دیگر برای مسدودسازی حملات وب است که معمولاً همراه با سرورهای وب Apache و Nginx استفاده می‌شود. این ابزار همچنین قابلیت لاگ‌گیری حملات مسدود شده را دارد.

مشاهده لاگ‌های حملات مسدود شده:

در صورتی که از ModSecurity برای مسدودسازی حملات استفاده می‌کنید، لاگ‌های مربوط به حملات در مسیر مشخصی ذخیره می‌شوند. به‌طور پیش‌فرض، این لاگ‌ها در مسیر /var/log/apache2/modsec_audit.log ذخیره می‌شوند.

برای مشاهده لاگ‌ها از دستور زیر استفاده کنید:

cat /var/log/apache2/modsec_audit.log
مشاهده لاگ‌ها با فیلتر خاص:

برای مشاهده لاگ‌های مربوط به حملات خاص، می‌توانید از دستور grep استفاده کنید:

grep "SecRule" /var/log/apache2/modsec_audit.log

این دستور تمامی لاگ‌هایی که حاوی عبارت SecRule هستند (که معمولاً مربوط به قوانین ModSecurity هستند) را نمایش می‌دهد.

مشاهده لاگ‌های در زمان واقعی:

برای مشاهده لاگ‌ها به صورت زنده و در زمان واقعی می‌توانید از دستور tail استفاده کنید:

tail -f /var/log/apache2/modsec_audit.log

این دستور تمامی لاگ‌های جدیدی که در فایل modsec_audit.log اضافه می‌شوند را به‌طور لحظه‌ای نمایش می‌دهد.

3. بررسی لاگ‌ها در کنترل پنل‌ها

در صورتی که از کنترل پنل‌هایی مانند cPanel، Plesk، یا DirectAdmin برای مدیریت وب‌سایت‌ها استفاده می‌کنید، معمولاً این پنل‌ها ابزارهایی برای مشاهده و تحلیل لاگ‌ها فراهم می‌کنند. در اینجا به نحوه مشاهده لاگ‌ها در cPanel و Plesk پرداخته می‌شود:

مشاهده لاگ‌های حملات در cPanel:
  1. وارد cPanel شوید.
  2. به بخش Imunify360 بروید.
  3. در این بخش، گزینه‌هایی برای مشاهده لاگ‌ها و تحلیل حملات موجود است. می‌توانید به قسمت Security Logs بروید تا لیست کاملی از حملات مسدود شده را مشاهده کنید.
مشاهده لاگ‌های حملات در Plesk:
  1. وارد Plesk شوید.
  2. به بخش Imunify360 بروید.
  3. از منوی Logs استفاده کنید تا لاگ‌های مربوط به حملات مسدود شده را مشاهده کنید.

جمع‌بندی

مشاهده و تحلیل لاگ‌های حملات مسدود شده برای شناسایی تهدیدات و بهبود امنیت وب‌سایت بسیار مهم است. ابزارهایی مانند Imunify360 و ModSecurity به شما این امکان را می‌دهند که حملات و درخواست‌های مشکوک را شناسایی کنید و در صورت نیاز اقدامات اصلاحی انجام دهید. استفاده از دستورات خط فرمان یا ابزارهای موجود در پنل‌های مدیریتی مانند cPanel و Plesk می‌تواند در این روند به شما کمک کند تا امنیت سایت خود را تقویت کنید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه استخراج و تجزیه‌وتحلیل گزارش‌ها از طریق GUI و CLI” subtitle=”توضیحات کامل”]در مدیریت امنیت وب‌سایت‌ها، تجزیه‌وتحلیل دقیق گزارش‌های امنیتی برای شناسایی تهدیدات و بهبود سیستم امنیتی بسیار اهمیت دارد. در این بخش، به نحوه استخراج و تجزیه‌وتحلیل گزارش‌ها از طریق رابط کاربری گرافیکی (GUI) و رابط خط فرمان (CLI) پرداخته می‌شود. ابزارهای مختلف مانند Imunify360 و ModSecurity امکان تجزیه‌وتحلیل و استخراج گزارش‌های امنیتی را به‌راحتی فراهم می‌آورند.

1. استخراج و تجزیه‌وتحلیل گزارش‌ها از طریق رابط گرافیکی (GUI)

Imunify360 و دیگر ابزارهای امنیتی معمولاً قابلیت نمایش گزارش‌ها از طریق رابط گرافیکی را فراهم می‌کنند. در این قسمت، نحوه استخراج و تجزیه‌وتحلیل گزارش‌ها از طریق GUI در کنترل پنل‌های مختلف توضیح داده می‌شود.

استخراج گزارش‌ها در cPanel با Imunify360:
  1. وارد cPanel شوید.
  2. به بخش Imunify360 بروید.
  3. در این بخش، گزینه‌هایی برای مشاهده گزارش‌ها و تجزیه‌وتحلیل تهدیدات مختلف موجود است.
  4. برای مشاهده گزارش‌های مربوط به حملات و درخواست‌های مسدود شده، به بخش Security Logs بروید.
  5. در این قسمت، شما می‌توانید گزارش‌ها را بر اساس تاریخ، نوع حمله، و وضعیت حملات فیلتر کنید.
  6. علاوه بر آن، می‌توانید گزارش‌ها را به فرمت‌های مختلف (مانند CSV یا PDF) برای تجزیه‌وتحلیل‌های بیشتر استخراج کنید.
استخراج گزارش‌ها در Plesk با Imunify360:
  1. وارد Plesk شوید.
  2. به بخش Imunify360 بروید.
  3. در قسمت Logs، می‌توانید گزارش‌های امنیتی مربوط به حملات و درخواست‌های مسدود شده را مشاهده کنید.
  4. این گزارش‌ها می‌توانند شامل اطلاعاتی مانند نوع حمله (SQL Injection، XSS، و غیره)، زمان حمله، و وضعیت مسدودسازی باشند.
  5. همچنین، می‌توانید گزارشی خاص را بر اساس فیلترهای مختلف مشاهده کرده و یا به‌طور دستی آن را به فرمت‌های مختلف (CSV، JSON) دانلود کنید.

2. استخراج و تجزیه‌وتحلیل گزارش‌ها از طریق رابط خط فرمان (CLI)

برای مدیران سیستم و کارشناسان امنیت، تجزیه‌وتحلیل دقیق گزارش‌ها از طریق CLI (رابط خط فرمان) یک گزینه کاربردی است. این امکان به شما اجازه می‌دهد تا با استفاده از دستورات خاص، گزارش‌های دقیق‌تری را استخراج کرده و تحلیل‌های پیشرفته‌تری انجام دهید.

استخراج گزارش‌ها از Imunify360 با استفاده از CLI:

در Imunify360، شما می‌توانید با استفاده از دستورات CLI گزارش‌ها را به‌صورت دقیق استخراج کنید. برای مشاهده گزارش‌های مسدود شده یا حملات شناسایی‌شده، می‌توانید از دستور زیر استفاده کنید:

imunify360-agent logs list

این دستور لیستی از تمامی گزارش‌های مربوط به حملات شناسایی‌شده و مسدود شده را نمایش می‌دهد. برای مشاهده جزئیات بیشتر هر گزارش، از دستور زیر استفاده کنید:

imunify360-agent logs show <log_id>

در این دستور، <log_id> شناسه لاگ خاصی است که می‌خواهید جزئیات آن را بررسی کنید.

فیلتر کردن گزارش‌ها بر اساس نوع حمله:

برای استخراج گزارش‌ها بر اساس نوع حمله خاص، می‌توانید از فیلتر استفاده کنید. به‌عنوان مثال، برای استخراج گزارش‌های مربوط به SQL Injection، دستور زیر را وارد کنید:

imunify360-agent logs list --filter "SQL Injection"
تجزیه‌وتحلیل گزارش‌های ModSecurity با CLI:

در صورتی که از ModSecurity استفاده می‌کنید، گزارش‌ها معمولاً در مسیر /var/log/apache2/modsec_audit.log ذخیره می‌شوند. برای مشاهده گزارش‌ها، می‌توانید از دستور cat یا grep استفاده کنید:

cat /var/log/apache2/modsec_audit.log

برای فیلتر کردن گزارش‌ها بر اساس نوع خاص حمله، مانند SQL Injection یا XSS، از دستور grep استفاده کنید:

grep "SQL Injection" /var/log/apache2/modsec_audit.log
مشاهده لاگ‌ها به‌صورت زنده:

برای مشاهده گزارش‌های جدید در زمان واقعی و به‌طور لحظه‌ای، می‌توانید از دستور tail استفاده کنید:

tail -f /var/log/apache2/modsec_audit.log

این دستور تمامی لاگ‌های جدیدی که به فایل گزارش اضافه می‌شوند را به‌صورت زنده نشان می‌دهد.

3. تجزیه‌وتحلیل گزارش‌ها

بعد از استخراج گزارش‌ها، شما باید به تحلیل آن‌ها بپردازید. برخی از جنبه‌هایی که باید در هنگام تجزیه‌وتحلیل گزارش‌ها به آن توجه کنید، عبارتند از:

  • نوع حمله: بررسی کنید که کدام نوع حمله (مانند SQL Injection، XSS، CSRF و غیره) شناسایی و مسدود شده است.
  • IP مهاجم: شناسایی IPهایی که از آن‌ها حملات صورت گرفته است. اگر IP خاصی مکرراً مورد استفاده قرار گرفته باشد، می‌توانید آن را در BlackList قرار دهید.
  • زمان حمله: بررسی زمان دقیق حملات می‌تواند به شناسایی حملات هماهنگ‌شده یا حملات در ساعات خاص کمک کند.
  • دستورات خاص در حملات: تجزیه‌وتحلیل نوع دستورات و پارامترهایی که در حملات استفاده می‌شوند، می‌تواند به شما کمک کند تا از حملات مشابه جلوگیری کنید.

جمع‌بندی

استخراج و تجزیه‌وتحلیل گزارش‌های امنیتی یک فرآیند ضروری برای شناسایی و جلوگیری از تهدیدات است. استفاده از رابط گرافیکی (GUI) در کنترل پنل‌ها و رابط خط فرمان (CLI) به مدیران سیستم کمک می‌کند تا به‌طور مؤثر گزارش‌ها را بررسی کنند و از تهدیدات امنیتی آگاه شوند. ابزارهایی مانند Imunify360 و ModSecurity این امکان را به شما می‌دهند که گزارش‌ها را به‌طور دقیق استخراج کرده و بر اساس فیلترهای مختلف تجزیه‌وتحلیل کنید تا امنیت سیستم‌های خود را بهبود بخشید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی Real-Time Logs برای مانیتورینگ لحظه‌ای حملات” subtitle=”توضیحات کامل”]مانیتورینگ لحظه‌ای حملات وب‌سایت از اهمیت ویژه‌ای برخوردار است، زیرا به مدیران سیستم کمک می‌کند تا تهدیدات و حملات را در زمان واقعی شناسایی کرده و بلافاصله اقدامات امنیتی لازم را اتخاذ کنند. استفاده از Real-Time Logs برای مشاهده و تحلیل حملات در زمان واقعی به این معنی است که مدیران می‌توانند به سرعت تهدیدات را شناسایی و واکنش‌های امنیتی لازم را انجام دهند. این بخش به بررسی نحوه عملکرد Real-Time Logs در WAF، Imunify360 و دیگر ابزارهای امنیتی پرداخته و روش‌های تجزیه‌وتحلیل لحظه‌ای حملات را شرح می‌دهد.

1. Real-Time Logs در Imunify360

Imunify360 یکی از ابزارهای پیشرفته امنیتی است که برای مانیتورینگ لحظه‌ای و گزارش‌دهی حملات در زمان واقعی طراحی شده است. این ابزار گزارش‌های کاملی از انواع حملات و تهدیدات در سرور شما ایجاد کرده و در لحظه به شما اطلاع می‌دهد.

مشاهده Real-Time Logs در Imunify360:
  1. وارد محیط cPanel خود شوید.
  2. به بخش Imunify360 بروید.
  3. در پنل Imunify360، گزینه‌ای به نام Security Logs یا Logs وجود دارد که گزارش‌هایی از حملات و درخواست‌های مشکوک را در خود نگه می‌دارد.
  4. در این بخش، شما می‌توانید لیست Real-Time Logs را مشاهده کنید. این گزارش‌ها معمولاً شامل اطلاعات زیر هستند:
    • نوع حمله (SQL Injection، XSS، RFI و غیره)
    • IP مهاجم
    • زمان دقیق وقوع حمله
    • وضعیت مسدودسازی (مسدود شده یا مجاز)
استخراج Real-Time Logs از CLI:

برای مشاهده Real-Time Logs از طریق خط فرمان، دستور زیر را اجرا کنید:

tail -f /var/log/imunify360/antivirus.log

این دستور، جدیدترین لاگ‌های مربوط به Imunify360 را به‌صورت لحظه‌ای نمایش می‌دهد و به شما این امکان را می‌دهد که حملات و تهدیدات جدید را در زمان واقعی مشاهده کنید.

تجزیه‌وتحلیل Real-Time Logs:

در هنگام تجزیه‌وتحلیل Real-Time Logs، به موارد زیر توجه کنید:

  • IP‌های مشکوک: شناسایی IPهایی که به‌طور مکرر حملات مشابهی را انجام می‌دهند. می‌توانید این IPها را در BlackList قرار دهید.
  • نوع حملات: بررسی کنید که کدام نوع حمله در حال وقوع است (مثلاً SQL Injection یا XSS). این به شما کمک می‌کند تا قوانین امنیتی خود را بر اساس نوع حملات به‌روزرسانی کنید.
  • گزارش‌های لحظه‌ای: این گزارش‌ها به شما کمک می‌کنند تا به‌سرعت واکنش نشان دهید و از خطرات احتمالی جلوگیری کنید.

2. مشاهده Real-Time Logs در ModSecurity

ModSecurity یکی از محبوب‌ترین WAFهای متن‌باز است که قابلیت مشاهده و ثبت گزارش‌های لحظه‌ای را دارد. این ابزار به‌ویژه برای شناسایی و مسدود کردن حملات در زمان واقعی بسیار مفید است.

مشاهده Real-Time Logs در ModSecurity:

لاگ‌های ModSecurity معمولاً در مسیر /var/log/apache2/modsec_audit.log یا مشابه آن ذخیره می‌شوند. برای مشاهده گزارش‌ها در زمان واقعی، می‌توانید از دستور tail استفاده کنید:

tail -f /var/log/apache2/modsec_audit.log

این دستور تمامی لاگ‌های جدید مربوط به ModSecurity را در زمان واقعی نشان می‌دهد.

فیلتر کردن گزارش‌ها:

برای فیلتر کردن حملات خاص مانند SQL Injection یا XSS از دستور grep استفاده کنید:

grep "SQL Injection" /var/log/apache2/modsec_audit.log

این دستور فقط حملات مربوط به SQL Injection را از لاگ‌ها فیلتر کرده و نمایش می‌دهد.

3. مزایای استفاده از Real-Time Logs برای مانیتورینگ لحظه‌ای

استفاده از Real-Time Logs مزایای متعددی برای امنیت سرور و وب‌سایت دارد:

  • شناسایی سریع تهدیدات: با دسترسی به گزارش‌های لحظه‌ای، مدیران سیستم می‌توانند به سرعت تهدیدات را شناسایی کرده و اقدامات پیشگیرانه را انجام دهند.
  • پاسخ سریع به حملات: در صورت شناسایی یک حمله، می‌توان اقدامات فوری مانند مسدودسازی IP مهاجم یا تغییر قوانین امنیتی را انجام داد.
  • تحلیل دقیق‌تر حملات: با مشاهده گزارش‌ها به‌طور مستقیم و در زمان واقعی، می‌توان حملات را بهتر تجزیه‌وتحلیل کرد و از وقوع مجدد آن‌ها جلوگیری کرد.
  • مدیریت بهتر امنیت سرور: این امکان را می‌دهد که بتوانید وضعیت امنیتی سرور را در هر لحظه بررسی کنید و هرگونه تهدید جدید را بلافاصله مدیریت کنید.

4. تجزیه‌وتحلیل Real-Time Logs با ابزارهای اضافی

برای تجزیه‌وتحلیل دقیق‌تر Real-Time Logs، می‌توانید از ابزارهای زیر استفاده کنید:

  • GoAccess: ابزاری برای تجزیه‌وتحلیل و مشاهده لاگ‌های سرور در زمان واقعی.
  • Graylog: برای تجزیه‌وتحلیل و ذخیره‌سازی گزارش‌های بزرگ.
  • ELK Stack (Elasticsearch, Logstash, Kibana): مجموعه‌ای از ابزارهای تجزیه‌وتحلیل لاگ که می‌تواند به شما کمک کند تا لاگ‌ها را تجزیه‌وتحلیل کرده و داشبوردهای گرافیکی برای مشاهده حملات بسازید.

جمع‌بندی

Real-Time Logs ابزاری حیاتی برای مانیتورینگ و شناسایی لحظه‌ای حملات در وب‌سایت‌ها و سرورها است. با استفاده از این گزارش‌ها در ابزارهایی مانند Imunify360 و ModSecurity، مدیران سیستم می‌توانند به‌سرعت تهدیدات جدید را شناسایی کرده و اقدامات امنیتی لازم را انجام دهند. علاوه بر این، تجزیه‌وتحلیل دقیق گزارش‌های لحظه‌ای به شما کمک می‌کند تا امنیت سرور خود را به‌طور مؤثر مدیریت کنید و حملات را در همان مراحل اولیه شناسایی و مسدود نمایید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”مدیریت و اعمال تغییرات بر اساس تحلیل لاگ‌ها” subtitle=”توضیحات کامل”]تحلیل لاگ‌ها یکی از بخش‌های کلیدی در مدیریت امنیت وب‌سایت‌ها و سرورها است. با استفاده از تحلیل دقیق لاگ‌ها، مدیران سرور می‌توانند تهدیدات را شناسایی کرده، روندهای مشکوک را شبیه‌سازی کرده و تنظیمات امنیتی خود را بر اساس اطلاعات به‌دست‌آمده از لاگ‌ها به‌روزرسانی کنند. این بخش به بررسی نحوه تحلیل لاگ‌ها و اعمال تغییرات امنیتی بر اساس آن‌ها پرداخته و نشان می‌دهد که چگونه می‌توان از این داده‌ها برای بهبود امنیت استفاده کرد.

1. اهمیت تحلیل لاگ‌ها

لاگ‌ها اطلاعات مفیدی در مورد فعالیت‌های مشکوک در سیستم و وب‌سایت شما فراهم می‌آورند. از طریق این اطلاعات، می‌توان به موارد زیر پی برد:

  • شناسایی حملات و تهدیدات: حملات مانند SQL Injection، XSS، RFI و DoS معمولاً در لاگ‌ها ثبت می‌شوند و می‌توانند به‌عنوان هشدار برای اقدامات بعدی عمل کنند.
  • ردیابی تلاش‌های نفوذ: بررسی تلاش‌های متعددی برای نفوذ به سیستم می‌تواند به شناسایی رفتارهای مشکوک و اعمال محدودیت‌ها کمک کند.
  • نظارت بر عملکرد سیستم: لاگ‌ها می‌توانند اطلاعاتی درباره عملکرد سیستم و میزان بارگذاری آن فراهم کنند.

با تحلیل دقیق این لاگ‌ها می‌توان به‌شکل مؤثری تنظیمات امنیتی را تغییر داد و سیستم را به‌روزرسانی کرد.

2. نحوه تحلیل لاگ‌ها

برای تحلیل لاگ‌ها به‌طور مؤثر، می‌توان از روش‌های مختلف استفاده کرد که در ادامه به برخی از آن‌ها اشاره می‌شود:

مشاهده لاگ‌ها از طریق CLI:

برای مشاهده و تحلیل لاگ‌ها از خط فرمان، دستورات زیر می‌توانند مفید باشند:

  • مشاهده لاگ‌های Imunify360:
tail -f /var/log/imunify360/antivirus.log
  • مشاهده لاگ‌های ModSecurity:
tail -f /var/log/apache2/modsec_audit.log

این دستورات به شما این امکان را می‌دهند که جدیدترین لاگ‌ها را در زمان واقعی مشاهده کرده و هر گونه تهدید جدید را شناسایی کنید.

فیلتر کردن لاگ‌ها:

برای جستجو و فیلتر کردن لاگ‌ها، می‌توانید از دستور grep استفاده کنید. به‌طور مثال:

grep "SQL Injection" /var/log/apache2/modsec_audit.log

این دستور فقط حملات مربوط به SQL Injection را از لاگ‌ها فیلتر کرده و نمایش می‌دهد.

تجزیه‌وتحلیل با ابزارهای اضافی:
  • GoAccess: این ابزار برای تجزیه‌وتحلیل لاگ‌ها به‌طور لحظه‌ای طراحی شده و نتایج را به‌صورت گرافیکی نمایش می‌دهد.
  • ELK Stack: مجموعه‌ای از ابزارهای تجزیه‌وتحلیل لاگ است که شامل Elasticsearch برای جستجو، Logstash برای پردازش و Kibana برای تجزیه‌وتحلیل گرافیکی است.

3. اعمال تغییرات بر اساس تحلیل لاگ‌ها

پس از شناسایی تهدیدات از طریق تحلیل لاگ‌ها، می‌توان تنظیمات امنیتی را بر اساس آن‌ها تغییر داد. این تغییرات ممکن است شامل موارد زیر باشد:

3.1. مسدود کردن IP‌های مشکوک

در صورتی که یک IP به‌طور مکرر درخواست‌های مشکوک ارسال کند، باید این IP را مسدود کنید. به‌طور مثال، برای مسدود کردن یک IP در Imunify360 از دستور زیر استفاده کنید:

imunify360-agent ip-blacklist --add <IP_ADDRESS>

همچنین می‌توان از ابزار iptables برای مسدود کردن IP در سرورهای لینوکسی استفاده کرد:

iptables -A INPUT -s <IP_ADDRESS> -j DROP
3.2. تنظیم قوانین جدید بر اساس حملات

بر اساس اطلاعاتی که از تحلیل لاگ‌ها به دست می‌آید، ممکن است نیاز به ایجاد یا تغییر قوانین در ModSecurity یا Imunify360 داشته باشید. برای اضافه کردن یک قانون جدید برای SQL Injection در ModSecurity، می‌توانید از دستور زیر استفاده کنید:

SecRule ARGS|REQUEST_URI "@rx (union.*select.*from)" \
    "id:'1000004',phase:2,deny,status:403,msg:'SQL Injection Detected'"

این قانون از ارسال درخواست‌های حاوی SQL Injection جلوگیری می‌کند.

3.3. *تنظیمات Rate Limiting

اگر در لاگ‌ها مشاهده کنید که درخواست‌های زیادی از یک IP یا ناحیه جغرافیایی خاص ارسال می‌شود، ممکن است این نشانه‌ای از یک حمله DDoS باشد. در این صورت، تنظیمات Rate Limiting می‌تواند مفید باشد. برای تنظیم محدودیت درخواست‌ها در Imunify360 از دستور زیر استفاده کنید:

imunify360-agent set rate-limit --ip <IP_ADDRESS> --max-requests <NUMBER> --time-window <SECONDS>

این دستور حداکثر تعداد درخواست‌ها را برای یک IP خاص در یک بازه زمانی محدود می‌کند.

3.4. بروزرسانی WAF (Web Application Firewall)

با توجه به تهدیداتی که در لاگ‌ها شناسایی می‌شود، ممکن است نیاز به به‌روزرسانی قوانین WAF داشته باشید. به‌عنوان مثال، ممکن است لازم باشد قوانین مربوط به XSS، RFI یا SQL Injection را تغییر دهید و قوانین جدیدی اضافه کنید.

4. پیگیری تغییرات و نظارت مستمر

پس از اعمال تغییرات در تنظیمات امنیتی، نظارت مستمر بر عملکرد آن‌ها بسیار مهم است. برای پیگیری اثرات تغییرات می‌توانید از ابزارهای زیر استفاده کنید:

  • Monitoring Tools: ابزارهایی مانند Zabbix و Nagios برای نظارت بر عملکرد سرور و امنیت آن مفید هستند.
  • Alerts: از سیستم‌های هشداردهی استفاده کنید تا در صورت بروز حملات جدید یا مشکلات امنیتی، بلافاصله مطلع شوید.
  • Log Rotation: از ابزارهای logrotate برای مدیریت حجم زیاد لاگ‌ها استفاده کنید تا فضای دیسک به‌طور مؤثر مدیریت شود.

جمع‌بندی

تحلیل لاگ‌ها یکی از بخش‌های اساسی در مدیریت امنیت سرور و وب‌سایت است که به شما کمک می‌کند تهدیدات را شناسایی کرده و تغییرات لازم را برای جلوگیری از آن‌ها اعمال کنید. با تجزیه‌وتحلیل دقیق لاگ‌ها و اعمال تغییرات امنیتی بر اساس آن‌ها، می‌توان از حملات پیشرفته و تهدیدات مختلف جلوگیری کرد. استفاده از ابزارهایی مانند Imunify360، ModSecurity و Rate Limiting به شما این امکان را می‌دهد که وب‌سایت و سرور خود را در برابر تهدیدات محافظت کرده و امنیت آن را به‌طور مؤثر مدیریت کنید.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 6. بهینه‌سازی WAF برای کاهش False Positive (تشخیص اشتباه حمله)”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه شناسایی و جلوگیری از بلاک شدن اشتباه درخواست‌های مجاز” subtitle=”توضیحات کامل”]یکی از چالش‌های مهم در استفاده از Web Application Firewall (WAF)، شناسایی و جلوگیری از بلاک شدن درخواست‌های مجاز به‌طور اشتباهی است. در برخی مواقع، قوانین امنیتی سخت‌گیرانه و تشخیص‌های نادرست ممکن است باعث مسدود شدن درخواست‌های مشروع و قانونی شوند. این وضعیت که به‌عنوان false positive شناخته می‌شود، می‌تواند بر عملکرد وب‌سایت یا برنامه تأثیر منفی بگذارد. در این بخش، روش‌هایی برای شناسایی و جلوگیری از بلاک شدن اشتباهی درخواست‌های مجاز بررسی می‌شود.

1. درک مفهوم False Positive

False positive به وضعیت‌هایی اطلاق می‌شود که سیستم امنیتی، مانند WAF، درخواست‌های مشروع و قانونی را به‌طور اشتباهی شناسایی کرده و آن‌ها را به‌عنوان حملات یا تهدیدات مخرب مسدود می‌کند. این وضعیت ممکن است به دلایل مختلفی از جمله تنظیمات غلط قوانین، استفاده از اسکریپت‌ها یا نرم‌افزارهای خاص، یا درخواست‌هایی با پارامترهای مشابه حملات رایج رخ دهد.

2. شناسایی درخواست‌های مسدود شده به‌طور اشتباهی

برای شناسایی درخواست‌های مسدود شده به‌طور اشتباهی، باید فرآیندهای مختلفی را انجام دهید:

2.1. مشاهده لاگ‌های WAF

یکی از بهترین روش‌ها برای شناسایی درخواست‌های مسدود شده، بررسی لاگ‌های WAF است. در این لاگ‌ها معمولاً دلیل مسدود شدن درخواست‌ها ذکر می‌شود. به‌طور مثال، در Imunify360 یا ModSecurity، لاگ‌ها می‌توانند جزئیات حملات و مسدود شدن درخواست‌ها را نشان دهند.

برای مشاهده لاگ‌ها از طریق خط فرمان (CLI):

tail -f /var/log/imunify360/antivirus.log
tail -f /var/log/apache2/modsec_audit.log

در این لاگ‌ها، معمولاً پیامی مانند “SQL Injection Detected” یا “XSS Detected” وجود دارد. اگر مشاهده کردید که درخواست‌های معمولی به‌طور مداوم مسدود می‌شوند، ممکن است دلیل آن یک false positive باشد.

2.2. بررسی قوانین WAF

بررسی قوانین (rules) موجود در WAF نیز می‌تواند به شناسایی علت مسدود شدن درخواست‌های اشتباهی کمک کند. برخی از قوانین ممکن است به‌طور غیرقابل انتظاری درخواست‌های مشروع را شناسایی کنند. به‌عنوان مثال، استفاده از پارامترهای خاص در URL یا هدرهای HTTP که به‌شدت مشابه الگوهای حملات هستند، می‌تواند باعث بروز false positive شود.

3. جلوگیری از بلاک شدن اشتباه درخواست‌های مجاز

برای جلوگیری از مسدود شدن اشتباهی درخواست‌های مجاز، می‌توانید اقداماتی را انجام دهید:

3.1. استفاده از Whitelist برای درخواست‌های مشروع

یکی از روش‌های جلوگیری از بلاک شدن درخواست‌های مجاز، استفاده از Whitelist است. با اضافه کردن آدرس‌های IP یا URLهای خاص به لیست سفید (Whitelist)، می‌توانید درخواست‌های مشروع را از قوانین مسدودسازی مستثنی کنید.

برای اضافه کردن یک آدرس IP به Whitelist در Imunify360:

imunify360-agent ip-whitelist --add <IP_ADDRESS>

در ModSecurity نیز می‌توانید با استفاده از دستورات زیر، درخواست‌های خاصی را از مسدود شدن مستثنی کنید:

SecRule REQUEST_URI "@rx ^/allowed/path/" "phase:1,allow,ctl:ruleEngine=Off"
3.2. بررسی دقیق قوانین امنیتی

برای کاهش احتمال بروز false positive، قوانین امنیتی خود را به‌دقت بررسی کرده و فقط قوانینی را فعال کنید که واقعا ضروری هستند. در صورت نیاز، قوانین را به‌گونه‌ای تغییر دهید که درخواست‌های مشروع شبیه حملات را نادیده بگیرند.

برای مثال، اگر یک قانون برای SQL Injection وجود دارد که باعث مسدود شدن درخواست‌های مشروع می‌شود، می‌توانید آن را به‌طور خاص به برخی از پارامترها محدود کنید:

SecRule ARGS|REQUEST_URI "@rx union.*select.*from" \
    "id:1000001,phase:2,deny,status:403,msg:'SQL Injection Detected',t:none,t:urlDecodeUni"

در این قانون، از فیلترهای اضافی استفاده می‌شود تا حملات واقعی شناسایی شوند و درخواست‌های مشروع که ممکن است شامل این الگوها باشند، مسدود نشوند.

3.3. تنظیمات دقیق‌تر برای جلوگیری از False Positive

بسیاری از سیستم‌های WAF به شما امکان می‌دهند که حساسیت قوانین را تنظیم کنید. با کاهش سطح حساسیت یا تنظیم دقیق‌تر قوانین، می‌توانید احتمال شناسایی اشتباهی درخواست‌های مشروع را کاهش دهید.

در ModSecurity، می‌توانید حساسیت یک قانون خاص را تغییر دهید:

SecRule REQUEST_URI "@rx <script.*>.*</script>" \
    "id:1000002,phase:2,deny,status:403,msg:'XSS Detected',t:none,t:urlDecodeUni,severity:2"
3.4. استفاده از Rate Limiting

در صورتی که حملات DDoS یا درخواست‌های زیادی از یک IP خاص باعث شلوغی لاگ‌ها و مسدود شدن درخواست‌ها شوند، می‌توانید از Rate Limiting استفاده کنید. این کار تعداد درخواست‌های مجاز را در یک بازه زمانی محدود می‌کند و از مسدود شدن اشتباهی درخواست‌های مشروع جلوگیری می‌کند.

برای تنظیم Rate Limiting در Imunify360:

imunify360-agent set rate-limit --ip <IP_ADDRESS> --max-requests <NUMBER> --time-window <SECONDS>

4. بررسی و مدیریت تغییرات در قوانین WAF

4.1. تست قوانین پیش از اعمال

قبل از اعمال تغییرات در قوانین WAF، بهتر است آن‌ها را در محیط آزمایشی (staging) تست کنید تا از عملکرد صحیح آن‌ها اطمینان حاصل کنید. در صورت امکان، از قابلیت dry-run برای تست قوانین جدید بدون اعمال آن‌ها استفاده کنید.

4.2. نظارت مستمر

نظارت مستمر بر عملکرد WAF و لاگ‌ها به شما این امکان را می‌دهد که بلافاصله به هر گونه مسدود شدن اشتباهی واکنش نشان دهید. ابزارهایی مانند ELK Stack یا GoAccess می‌توانند به شما در نظارت بر لاگ‌ها کمک کنند.

جمع‌بندی

شناسایی و جلوگیری از بلاک شدن اشتباهی درخواست‌های مجاز از اهمیت بالایی برخوردار است. با استفاده از ابزارهای مناسب و تنظیم دقیق قوانین امنیتی، می‌توان احتمال بروز false positive را کاهش داد و از عملکرد صحیح وب‌سایت و برنامه اطمینان حاصل کرد. استفاده از Whitelist، Rate Limiting، و تنظیم دقیق قوانین می‌تواند به شما کمک کند که درخواست‌های مشروع را از مسدود شدن غیرضروری نجات دهید. همچنین، نظارت مستمر و تست قوانین پیش از اعمال آن‌ها از اهمیت بالایی برخوردار است.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”راه‌های کاهش False Positive بدون کاهش امنیت” subtitle=”توضیحات کامل”]false positive به مواردی گفته می‌شود که قوانین امنیتی به اشتباه درخواست‌های مشروع را به‌عنوان تهدید شناسایی و مسدود می‌کنند. این امر می‌تواند باعث اختلال در عملکرد سایت و تجربه کاربری منفی شود. کاهش false positive در حالی که سطح امنیتی حفظ می‌شود، چالشی است که نیاز به دقت و تنظیمات مناسب دارد. در این بخش، به بررسی روش‌هایی می‌پردازیم که به کاهش false positive کمک می‌کنند بدون اینکه از امنیت سیستم کاسته شود.

1. استفاده از تنظیمات دقیق‌تر و خاص‌تر برای قوانین WAF

یکی از راه‌های کاهش false positive این است که قوانین WAF را به‌صورت دقیق‌تر و خاص‌تر تنظیم کنید. قوانینی که خیلی عمومی و وسیع هستند، احتمالاً درخواست‌های مشروع را مسدود می‌کنند. به‌جای استفاده از الگوهای عمومی برای شناسایی حملات، بهتر است الگوهای خاص‌تری را برای شناسایی تهدیدات به کار ببرید.

مثال:

به‌جای استفاده از یک قانون عمومی برای شناسایی SQL Injection:

SecRule ARGS|REQUEST_URI \
    "@rx union.*select.*from" \
    "id:1000001,phase:2,deny,status:403,msg:'SQL Injection Detected'"

می‌توانید این قانون را به شکلی خاص‌تر تنظیم کنید که تنها در صورتی فعال شود که مشخصه‌های خاصی در درخواست وجود داشته باشد.

برای مثال، بررسی درخواست‌های POST که احتمالاً از سمت فرم‌های ارسال اطلاعات است، به‌جای بررسی تمامی درخواست‌ها:

SecRule REQUEST_METHOD "@streq POST" \
    "id:1000001,phase:2,deny,status:403,msg:'SQL Injection Detected'"

این تغییر، دامنه شناسایی حملات را محدودتر می‌کند و احتمال false positive کاهش می‌یابد.

2. استفاده از قابلیت Learning Mode (حالت یادگیری)

بسیاری از WAFها، به ویژه در سیستم‌هایی مانند ModSecurity و Imunify360، دارای قابلیت “حالت یادگیری” (Learning Mode) هستند که می‌تواند به شناسایی صحیح درخواست‌ها کمک کند. در این حالت، WAF ابتدا به‌طور موقت به بررسی درخواست‌ها می‌پردازد و تمامی درخواست‌های معمولی و مشروع را می‌شناسد. سپس، قوانین را به‌گونه‌ای تنظیم می‌کند که فقط حملات واقعی شناسایی شوند.

با استفاده از Learning Mode، می‌توانید به WAF کمک کنید تا false positive را به حداقل برساند بدون اینکه نیاز به تنظیمات پیچیده دستی داشته باشید.

3. استفاده از WhiteList و BlackList

WhiteList و BlackList ابزارهای بسیار مفیدی برای مدیریت دقیق‌تر درخواست‌ها هستند. با اضافه کردن آدرس‌های IP، URLها یا پارامترهای خاص به لیست سفید، می‌توانید درخواست‌های مشروع را از مسدود شدن غیرضروری جلوگیری کنید. از طرف دیگر، با استفاده از BlackList می‌توانید دسترسی به منابع مشکوک را محدود کنید.

مثال:

اگر یک API خاص دارید که معمولاً درخواست‌های خاصی را می‌فرستد، می‌توانید آدرس‌های IP این API را به WhiteList اضافه کنید تا از بلاک شدن آن‌ها جلوگیری کنید.

SecRule REMOTE_ADDR "@ipMatch 192.168.1.10" \
    "phase:1,allow,ctl:ruleEngine=Off"

4. تنظیم حساسیت قوانین (Adjusting Rule Sensitivity)

بسیاری از سیستم‌های WAF به شما این امکان را می‌دهند که حساسیت قوانین را تنظیم کنید. با کاهش حساسیت برخی از قوانین، می‌توانید از false positive جلوگیری کنید. در عین حال، این تغییرات باید با دقت انجام شود تا سطح امنیتی حفظ گردد.

برای مثال، در ModSecurity، می‌توانید حساسیت یک قانون خاص را تنظیم کنید:

SecRule ARGS "@rx select.*from" \
    "id:1000002,phase:2,deny,status:403,msg:'SQL Injection Detected',severity:2"

در اینجا، با کاهش سطح حساسیت، احتمال شناسایی اشتباهی درخواست‌های مشروع کاهش می‌یابد.

5. استفاده از ابزارهای تحلیل و گزارش‌دهی برای شناسایی False Positive

استفاده از ابزارهایی که لاگ‌ها و گزارش‌های دقیقی از درخواست‌های مسدود شده ارائه می‌دهند، می‌تواند به شما کمک کند که بهتر درک کنید چرا درخواست‌های خاص مسدود شده‌اند. از این گزارش‌ها می‌توانید برای تنظیم دقیق‌تر قوانین استفاده کنید و false positive را کاهش دهید.

برای مثال، در Imunify360، می‌توانید به گزارش‌های WAF نگاه کنید و بررسی کنید که چرا برخی درخواست‌ها مسدود شده‌اند و آن‌ها را به طور دقیق‌تر تنظیم کنید.

6. استفاده از الگوریتم‌های هوش مصنوعی و یادگیری ماشین

برخی از سیستم‌های WAF از الگوریتم‌های هوش مصنوعی و یادگیری ماشین برای تحلیل رفتار ترافیک استفاده می‌کنند. این الگوریتم‌ها می‌توانند با دقت بیشتری درخواست‌های واقعی را از درخواست‌های مخرب شناسایی کنند. در نتیجه، می‌توانند false positive را کاهش دهند بدون اینکه از امنیت سیستم کاسته شود.

اگر سیستم WAF شما از چنین قابلیت‌هایی پشتیبانی می‌کند، می‌توانید از آن‌ها برای تحلیل ترافیک و شناسایی بهتر درخواست‌های مشروع استفاده کنید.

7. تست دقیق قوانین پیش از اعمال آن‌ها

قبل از اعمال هرگونه تغییر در قوانین WAF، بهتر است که قوانین را در محیط‌های staging و آزمایشی بررسی کنید تا از عدم بروز false positive اطمینان حاصل کنید. این روش به شما کمک می‌کند تا قوانین جدید را در محیطی کنترل‌شده امتحان کنید و مشکلات احتمالی را قبل از اعمال در محیط اصلی شناسایی کنید.

جمع‌بندی

برای کاهش false positive بدون کاهش امنیت، لازم است که قوانین WAF را به‌طور دقیق و خاص تنظیم کرده، از قابلیت‌های Learning Mode و Whitelisting بهره ببرید و حساسیت قوانین را با دقت تنظیم کنید. همچنین، استفاده از ابزارهای تحلیل لاگ‌ها و گزارش‌ها، همراه با الگوریتم‌های هوش مصنوعی و یادگیری ماشین می‌تواند به شناسایی بهتر تهدیدات و کاهش false positive کمک کند. در نهایت، با انجام تست‌های دقیق در محیط‌های آزمایشی می‌توان از مشکلات احتمالی جلوگیری کرد.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”افزودن استثناها (Exceptions) برای درخواست‌های مجاز” subtitle=”توضیحات کامل”]در WAF، گاهی اوقات لازم است که برخی از درخواست‌های مشروع یا درخواست‌های خاص که به‌طور معمول به‌عنوان حمله شناسایی می‌شوند، به‌عنوان استثنا (Exception) تعریف شوند. این کار به جلوگیری از false positive و کاهش مسدودسازی درخواست‌های قانونی کمک می‌کند، بدون اینکه امنیت کلی سیستم به خطر بیافتد. در این بخش، به بررسی نحوه افزودن استثناها برای درخواست‌های مجاز در WAF خواهیم پرداخت.

1. استفاده از WhiteList برای IPهای خاص

یکی از رایج‌ترین روش‌ها برای افزودن استثنا، استفاده از WhiteList است. این قابلیت به شما این امکان را می‌دهد که آدرس‌های IP یا URL خاصی را از قوانین WAF مستثنی کنید. به این ترتیب، اگر درخواست از این منابع خاص باشد، قوانین WAF برای آن‌ها اعمال نخواهد شد و دسترسی به سرور بدون هیچ‌گونه مسدودی انجام خواهد شد.

مثال:

اگر بخواهید درخواست‌هایی که از IP خاص می‌آیند را مستثنی کنید و از قوانین SQL Injection محافظت نکنید، می‌توانید به‌صورت زیر عمل کنید:

SecRule REMOTE_ADDR "@ipMatch 192.168.1.100" \
    "phase:1,allow,ctl:ruleEngine=Off"

در اینجا، درخواست‌هایی که از IP 192.168.1.100 می‌آیند، بدون اعمال قوانین WAF مورد بررسی قرار می‌گیرند و از مسدود شدن جلوگیری می‌شود.

2. استفاده از ExcludeRules برای قوانین خاص

در بسیاری از سیستم‌های WAF مانند ModSecurity و Imunify360، این امکان وجود دارد که rules خاصی را برای درخواست‌های خاص استثنا کنید. با استفاده از دستوراتی مانند SecRuleRemoveById می‌توان قوانینی را که به‌طور خاص باعث مسدود شدن درخواست‌های مجاز می‌شوند، غیرفعال کرد.

مثال:

اگر بخواهید قانونی که برای شناسایی SQL Injection ایجاد کرده‌اید را برای یک درخواست خاص غیرفعال کنید، از دستور زیر استفاده کنید:

SecRuleRemoveById 1000001

این دستور باعث می‌شود که قانون با شناسه 1000001 (که مربوط به SQL Injection است) برای درخواست‌های خاص غیرفعال شود.

3. استفاده از Conditionals برای ایجاد استثناها

برای دقیق‌تر کردن استثناها، می‌توانید از شرایط خاص در WAF خود استفاده کنید. برای مثال، می‌توانید تنها در صورتی که برخی شرایط خاص در درخواست برقرار باشد، یک استثنا اعمال کنید.

مثال:

اگر بخواهید درخواست‌هایی که حاوی user-agent خاص هستند را مستثنی کنید، می‌توانید از دستور زیر استفاده کنید:

SecRule REQUEST_HEADERS:User-Agent "@contains BadBot" \
    "phase:1,allow,ctl:ruleEngine=Off"

در این مثال، درخواست‌هایی که شامل عبارت BadBot در هدر User-Agent هستند، بدون اعمال قوانین WAF پردازش می‌شوند.

4. استفاده از Variable Exclusions در ModSecurity

در ModSecurity، می‌توانید برای برخی متغیرها مانند ARGS (آرگومان‌های درخواست)، REQUEST_URI (آدرس درخواست) یا REQUEST_METHOD استثناهایی تعیین کنید. این امر به شما این امکان را می‌دهد که قوانینی را که باعث مسدود شدن درخواست‌های خاص می‌شوند، با توجه به محتوای درخواست، غیرفعال کنید.

مثال:

اگر بخواهید قوانین خاص را برای درخواست‌هایی که از نوع GET هستند، فعال کنید و برای POST درخواست‌ها غیرفعال کنید، می‌توانید از دستور زیر استفاده کنید:

SecRule REQUEST_METHOD "@streq GET" \
    "id:1000001,phase:2,deny,status:403,msg:'SQL Injection Detected'"

SecRule REQUEST_METHOD "@streq POST" \
    "id:1000001,phase:2,allow,ctl:ruleEngine=Off"

در این مثال، فقط درخواست‌های GET تحت نظارت قوانین WAF قرار می‌گیرند، در حالی که درخواست‌های POST مستثنی شده و بررسی نمی‌شوند.

5. استفاده از Exception در URLهای خاص

در برخی مواقع، ممکن است بخواهید درخواست‌های مربوط به URLهای خاص را از قوانین WAF مستثنی کنید. برای این کار می‌توانید از URL Exclusion استفاده کنید.

مثال:

اگر بخواهید درخواست‌هایی که به URL خاصی ارسال می‌شوند را مستثنی کنید، می‌توانید از دستور زیر استفاده کنید:

SecRule REQUEST_URI "@beginsWith /safe-url/" \
    "phase:1,allow,ctl:ruleEngine=Off"

در این مثال، درخواست‌هایی که به URL /safe-url/ ارسال می‌شوند، از تمامی قوانین WAF مستثنی خواهند شد.

6. استفاده از Custom Rules برای استثناهای پیچیده‌تر

اگر شرایط استثنای شما پیچیده است و نیاز به منطق دقیق‌تری برای اعمال استثنا دارید، می‌توانید از قوانین سفارشی (Custom Rules) استفاده کنید که شامل شرایط پیچیده‌ای برای شناسایی درخواست‌های مجاز و مسدود نکردن آن‌ها است.

مثال:

اگر بخواهید فقط درخواست‌هایی که حاوی مشخصه خاص در پارامترهای POST هستند را از قوانین WAF مستثنی کنید، می‌توانید از دستور زیر استفاده کنید:

SecRule ARGS_POST "@contains allow_this" \
    "phase:2,allow,ctl:ruleEngine=Off"

این قانون تنها درخواست‌هایی که حاوی پارامتر allow_this در POST هستند، از قوانین WAF مستثنی می‌کند.

جمع‌بندی

افزودن استثناها (Exceptions) برای درخواست‌های مجاز در WAF یک فرایند دقیق است که می‌تواند به جلوگیری از false positive و بهبود تجربه کاربری کمک کند. استفاده از WhiteList برای IPهای خاص، حذف قوانین با استفاده از SecRuleRemoveById، افزودن شرایط خاص برای درخواست‌ها و استفاده از URL Exclusion و Custom Rules برخی از روش‌های معمول برای تعریف استثناها هستند. با استفاده از این روش‌ها می‌توانید درخواست‌های مشروع را از مسدود شدن جلوگیری کنید و همزمان امنیت سرور را حفظ کنید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه بهینه‌سازی تنظیمات WAF برای وب‌سایت‌های وردپرسی و CMSهای دیگر” subtitle=”توضیحات کامل”]وب‌سایت‌های وردپرسی و سایر سیستم‌های مدیریت محتوا (CMS) به دلیل استفاده گسترده، اهداف جذابی برای حملات تحت وب مانند SQL Injection، Cross-Site Scripting (XSS)، Remote File Inclusion (RFI) و سایر تهدیدات هستند. برای تأمین امنیت این نوع وب‌سایت‌ها، پیکربندی صحیح و بهینه‌سازی تنظیمات Web Application Firewall (WAF) ضروری است. در این بخش، به بررسی نحوه بهینه‌سازی WAF برای وب‌سایت‌های وردپرسی و CMSهای دیگر می‌پردازیم.

1. فعال‌سازی WAF به صورت کامل

ابتدا مطمئن شوید که WAF به طور کامل بر روی وب‌سایت شما فعال است. این کار معمولاً از طریق رابط گرافیکی (GUI) یا دستورات خط فرمان (CLI) انجام می‌شود.

برای وب‌سایت‌های وردپرسی، اکثر WAF ها مانند Imunify360 از بخش‌های مختلف برای محافظت از CMS و پلاگین‌های آن استفاده می‌کنند. اطمینان حاصل کنید که تمام ماژول‌های WAF فعال و پیکربندی شده‌اند.

2. تنظیمات خاص برای CMS وردپرس

برای جلوگیری از حملات به وردپرس، برخی از تنظیمات خاص باید فعال شوند:

  • قوانین خاص برای WordPress: وردپرس دارای آسیب‌پذیری‌های شناخته شده‌ای است. قوانینی مانند جلوگیری از SQL Injection و XSS باید برای این CMS تنظیم شوند.

    برای مثال، کد زیر برای شناسایی و جلوگیری از SQL Injection در درخواست‌های وردپرس می‌تواند استفاده شود:

    SecRule ARGS|REQUEST_URI \
    "@rx union.*select.*from" \
    "id:1000001,phase:2,deny,status:403,msg:'SQL Injection Detected'"
  • مسدود کردن دسترسی به فایل‌ها و پوشه‌های خاص وردپرس: مانند wp-config.php و پوشه‌های wp-includes و wp-content. 
    SecRule REQUEST_URI \
    "@rx wp-config.php" \
    "id:1000002,phase:2,deny,status:403,msg:'Access to wp-config.php blocked'"

    همچنین، برای جلوگیری از دسترسی به فایل‌هایی که معمولاً برای حملات استفاده می‌شوند، تنظیمات مشابه را باید انجام داد.

3. تنظیم قوانین جلوگیری از حملات رایج

برای هر CMS، برخی حملات مشترک وجود دارند که به راحتی می‌توانند آسیب‌پذیر باشند. تنظیم قوانین برای جلوگیری از این حملات ضروری است:

  • SQL Injection: به‌عنوان یک حمله رایج، باید قوانینی برای شناسایی و مسدود کردن این نوع حملات تنظیم شود. 
    SecRule ARGS|REQUEST_URI \
    "@rx (select.*from|union.*select.*from)" \
    "id:1000003,phase:2,deny,status:403,msg:'SQL Injection Detected'"
  • Cross-Site Scripting (XSS): XSS نیز یکی از حملات رایج است. باید قوانینی برای شناسایی و جلوگیری از ارسال اسکریپت‌ها از طریق URL یا درخواست‌ها تنظیم شود. 
    SecRule ARGS|REQUEST_URI \
    "@rx <script.*>.*</script>" \
    "id:1000004,phase:2,deny,status:403,msg:'XSS Attack Detected'"
  • File Inclusion: حملات Remote File Inclusion (RFI) نیز ممکن است تهدیدی برای وب‌سایت‌های CMS باشند. باید قوانینی برای مسدود کردن درخواست‌های مشکوک به این نوع حملات تنظیم کرد. 
    SecRule ARGS|REQUEST_URI \
    "@rx (http|ftp)://[a-zA-Z0-9\-\.]+/" \
    "id:1000005,phase:2,deny,status:403,msg:'RFI Attack Detected'"

4. تنظیم محدودیت‌های درخواست (Rate Limiting)

برای جلوگیری از حملات Distributed Denial of Service (DDoS) و brute-force attacks که در بسیاری از CMS‌ها رایج هستند، استفاده از محدودیت درخواست‌ها (Rate Limiting) ضروری است. تنظیمات مربوط به محدود کردن تعداد درخواست‌ها برای هر IP یا کاربر در زمان مشخص، می‌تواند به کاهش حملات کمک کند.

برای مثال، می‌توان تعداد درخواست‌های ورودی از یک IP را به ۵۰ درخواست در 10 ثانیه محدود کرد:

SecRule IP:REQUESTS_PER_SEC "@gt 50" \
    "id:1000006,phase:2,deny,status:403,msg:'Rate Limiting Triggered'"

5. استفاده از WhiteList و BlackList

برای برخی کاربران یا منابع خاص، می‌توان از WhiteList برای مجاز کردن درخواست‌ها استفاده کرد. در صورتی که نیاز به مسدود کردن آدرس‌های IP خاص داشته باشید، می‌توانید از BlackList بهره‌برداری کنید.

SecRule REMOTE_ADDR "@ipMatch 192.168.1.100" \
    "id:1000007,phase:1,allow,msg:'Allowed IP address'"

در اینجا، تنها آدرس IP 192.168.1.100 اجازه دسترسی به وب‌سایت را دارد.

6. مسدود کردن پلاگین‌ها و افزونه‌های آسیب‌پذیر

بسیاری از پلاگین‌های وردپرس و سایر CMS‌ها ممکن است آسیب‌پذیری‌هایی داشته باشند که می‌توانند توسط مهاجمین مورد استفاده قرار گیرند. با استفاده از WAF، باید قوانینی تنظیم کنید که درخواست‌های مشکوک به پلاگین‌های آسیب‌پذیر را مسدود کند. به‌عنوان مثال، برای جلوگیری از حملات به پلاگین‌های معروف مانند Yoast SEO یا Contact Form 7، باید قوانین خاص ایجاد شود.

SecRule REQUEST_URI \
    "@rx /wp-content/plugins/yoast-seo/" \
    "id:1000008,phase:2,deny,status:403,msg:'Blocked Access to Vulnerable Plugin'"

7. استفاده از لیست‌های سیاه و سفید (Blacklist & Whitelist)

برای جلوگیری از دسترسی‌های غیرمجاز، می‌توان از لیست‌های سیاه و سفید استفاده کرد تا درخواست‌هایی که به‌طور خاص مسدود شده‌اند یا اجازه دسترسی دارند، مدیریت شوند. این امر به کاهش False Positive کمک می‌کند.

جمع‌بندی

بهینه‌سازی WAF برای وب‌سایت‌های وردپرسی و CMSهای دیگر شامل پیکربندی صحیح قوانین، استفاده از محدودیت‌های نرخ، مسدود کردن حملات رایج مانند SQL Injection و XSS، و تنظیم استثناها برای درخواست‌های مجاز است. همچنین، باید به‌طور منظم وضعیت WAF را بررسی کرده و تنظیمات آن را بر اساس نیازهای خاص وب‌سایت خود تغییر دهید. این اقدامات باعث بهبود امنیت وب‌سایت و جلوگیری از تهدیدات متداول می‌شود.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 7. ادغام WAF با ModSecurity و سایر ابزارهای امنیتی”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نقش ModSecurity در تکمیل عملکرد WAF” subtitle=”توضیحات کامل”]ModSecurity یک فایروال برنامه وب (WAF) قدرتمند و متن‌باز است که به‌طور ویژه برای شناسایی و مسدود کردن حملات تحت وب طراحی شده است. این ابزار به‌عنوان یک ماژول برای سرورهای وب Apache، Nginx و LiteSpeed عمل می‌کند و می‌تواند به‌طور مؤثری از وب‌سایت‌ها در برابر تهدیدات مختلفی مانند SQL Injection، Cross-Site Scripting (XSS)، Remote File Inclusion (RFI) و سایر حملات محافظت کند.

در این بخش، به نقش ModSecurity در تکمیل عملکرد WAF و مزایای استفاده از آن خواهیم پرداخت.

1. ModSecurity به‌عنوان یک لایه امنیتی اضافی

ModSecurity به‌عنوان یک لایه امنیتی اضافی به WAF کمک می‌کند تا قدرت و دقت آن افزایش یابد. با استفاده از ModSecurity، قوانین پیچیده‌تری برای شناسایی انواع مختلف حملات اعمال می‌شود. این ابزار می‌تواند رفتارهای مشکوک را شبیه‌سازی کرده و بر اساس الگوهای خاص حمله، درخواست‌های ورودی را تجزیه‌وتحلیل کند.

ModSecurity از قوانین OWASP CRS (Core Rule Set) بهره می‌برد که مجموعه‌ای از قوانین پیش‌فرض برای شناسایی تهدیدات رایج وب است. این قوانین به‌طور پیش‌فرض شامل شناسایی حملات SQL Injection، XSS و RFI هستند.

2. شناسایی و مسدودسازی حملات پیشرفته

ModSecurity با استفاده از قوانین خود می‌تواند حملات پیچیده‌تری را که سایر WAFها قادر به شناسایی آن‌ها نیستند، شبیه‌سازی و مسدود کند. این ابزار قادر است درخواست‌ها را در مرحله‌ای بسیار ابتدایی، قبل از رسیدن به سرور، بررسی کند و در صورت شناسایی هرگونه تهدید، آن را مسدود کند.

حملات شایع که ModSecurity می‌تواند مسدود کند:

  • SQL Injection (SQLi): تلاش برای اجرای دستورات SQL خطرناک در پایگاه داده از طریق ورودی‌های کاربر.
  • Cross-Site Scripting (XSS): تلاش برای تزریق اسکریپت‌های جاوااسکریپت به سایت‌های دیگر برای به‌دست آوردن اطلاعات حساس از کاربران.
  • Cross-Site Request Forgery (CSRF): حملاتی که در آن یک مهاجم می‌تواند درخواست‌هایی جعلی برای یک کاربر ارسال کند.
  • Remote File Inclusion (RFI): تلاش برای وارد کردن فایل‌های خارجی به سیستم از طریق ورودی‌های وب.

3. قابلیت سفارشی‌سازی قوانین امنیتی

ModSecurity به شما این امکان را می‌دهد که قوانین امنیتی را برای نیازهای خاص وب‌سایت خود تنظیم کنید. این ویژگی می‌تواند در تکمیل عملکرد WAF و ارائه حفاظت دقیق‌تر و بهینه‌تر کمک کند. به‌عنوان‌مثال، شما می‌توانید قوانینی برای مسدود کردن درخواست‌های خاص یا اجازه‌دادن به درخواست‌های خاص بر اساس شناسه IP، نوع محتوا یا URL اضافه کنید.

این قوانین می‌توانند به‌طور خودکار یا دستی ایجاد شوند تا آسیب‌پذیری‌ها را در سطح دقیق‌تری هدف قرار دهند.

4. مدیریت دقیق‌تر تهدیدات و جلوگیری از False Positive

ModSecurity به شما امکان می‌دهد که دقیق‌تر از دیگر WAF‌ها تهدیدات را شبیه‌سازی و مدیریت کنید و در عین حال از False Positive (شناسایی اشتباه حملات) جلوگیری کنید. این ویژگی در کنار WAF می‌تواند منجر به شناسایی دقیق‌تر تهدیدات واقعی و جلوگیری از مسدود شدن اشتباه درخواست‌های مجاز شود.

مدیریت استثناها و قوانین خاص با استفاده از ModSecurity به شما کمک می‌کند که حملات را دقیق‌تر شناسایی کنید و درخواست‌های قانونی که ممکن است اشتباهی مسدود شوند را مجاز کنید.

5. هماهنگی با WAFهای دیگر

ModSecurity می‌تواند با WAFهای دیگر مانند Imunify360 و Cloudflare همکاری داشته باشد و عملکرد آن‌ها را تکمیل کند. این ابزار به‌عنوان یک ماژول می‌تواند در پشت WAFهای موجود نصب شود تا لایه امنیتی دیگری را به‌وجود آورد. همچنین، ModSecurity از قابلیت فیلتر کردن و ثبت لاگ برای درخواست‌های مسدود شده و مشکوک بهره می‌برد که می‌تواند برای تحلیل و اصلاح تنظیمات WAF کمک کند.

این هماهنگی می‌تواند به شما این امکان را بدهد که به‌طور همزمان از چندین لایه حفاظتی بهره‌مند شوید، که نتیجه آن امنیت بیشتری برای وب‌سایت‌ها است.

6. عملکرد در زمان واقعی (Real-Time Protection)

ModSecurity قادر به تجزیه‌وتحلیل درخواست‌ها در زمان واقعی است و به‌طور مستمر از وب‌سایت شما در برابر تهدیدات جدید و ناشناخته محافظت می‌کند. این ابزار می‌تواند در لایه سرور وب قرار گیرد و تهدیدات را قبل از اینکه به سرور شما آسیب برسانند، شناسایی و مسدود کند.

7. کاهش بار سرور

ModSecurity به‌دلیل بررسی درخواست‌ها قبل از رسیدن به سرور، می‌تواند بار اضافی را از روی سرور شما کاهش دهد. این عمل باعث افزایش سرعت و عملکرد کلی سرور و کاهش تأخیر می‌شود، زیرا فقط درخواست‌های مجاز به سرور شما می‌رسند.

جمع‌بندی

ModSecurity به‌عنوان یک فایروال برنامه وب قدرتمند، می‌تواند نقش بسیار مهمی در تکمیل عملکرد WAF ایفا کند. با توانایی شناسایی و مسدود کردن حملات پیچیده، تنظیم قوانین امنیتی سفارشی، کاهش False Positive، و هماهنگی با WAFهای دیگر، ModSecurity به یک ابزار حیاتی برای تأمین امنیت وب‌سایت‌ها تبدیل می‌شود. این ابزار باعث می‌شود که وب‌سایت‌های شما نه‌تنها در برابر تهدیدات رایج، بلکه در برابر حملات پیچیده‌تر و جدیدتر نیز محافظت شوند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه‌ی ادغام WAF Immunify360 با ModSecurity” subtitle=”توضیحات کامل”]ادغام WAF Immunify360 با ModSecurity می‌تواند سطح امنیتی وب‌سایت شما را به‌طور چشمگیری افزایش دهد. Immunify360 یک راهکار امنیتی جامع است که ویژگی‌هایی مانند WAF، Antivirus، Anti-Bot و سایر قابلیت‌های حفاظتی را در کنار یکدیگر قرار می‌دهد. از طرف دیگر، ModSecurity یک ماژول قدرتمند فایروال برنامه وب است که به‌عنوان یک لایه اضافی در محافظت از وب‌سایت‌ها عمل می‌کند. ترکیب این دو می‌تواند عملکرد بهتری برای شناسایی و مسدودسازی حملات فراهم کند.

در این بخش، نحوه‌ی ادغام این دو ابزار را به‌طور گام‌به‌گام بررسی خواهیم کرد.

1. آماده‌سازی محیط

قبل از شروع به ادغام، مطمئن شوید که Immunify360 و ModSecurity به‌درستی نصب و پیکربندی شده‌اند. در اینجا، فرض می‌شود که شما از یک سرور لینوکسی (به‌ویژه توزیع‌هایی مانند CentOS یا Ubuntu) استفاده می‌کنید و هر دو ابزار در آن نصب هستند.

نصب Immunify360:
  1. نصب Immunify360 بر روی سرور از طریق دستورات زیر: 
    curl -s https://repo.imunify360.cloudlinux.com/install.sh | bash
  2. بعد از نصب، شما می‌توانید از طریق cPanel یا WHM مدیریت Immunify360 را انجام دهید.
نصب ModSecurity:
  1. برای نصب ModSecurity در سرورهای مبتنی بر Apache یا Nginx، می‌توانید از دستورات زیر استفاده کنید:

    برای Apache:

    yum install mod_security

    برای Nginx:

    yum install mod_security_nginx
  2. پس از نصب، ModSecurity را با استفاده از دستورات خاص پیکربندی و فعال کنید.

2. پیکربندی ModSecurity برای کار با Immunify360

برای اینکه Immunify360 و ModSecurity به‌درستی با هم کار کنند، باید تنظیمات ModSecurity را طوری تغییر دهید که از قوانین امنیتی Immunify360 استفاده کند و آن‌ها را در پروسه‌های بررسی و مسدودسازی درخواست‌ها به‌کار گیرد.

فعال‌سازی ModSecurity در WHM/cPanel:
  1. وارد WHM شوید و به بخش Security Center بروید.
  2. روی گزینه ModSecurity کلیک کنید.
  3. از این بخش، شما می‌توانید ModSecurity را فعال کنید و آن را برای استفاده از قوانین OWASP CRS پیکربندی کنید.
  4. حالا، در این صفحه، برای هماهنگی با Immunify360، باید تنظیمات قوانین خاص را فعال کنید تا بتوانید از سیستم‌های حفاظتی پیشرفته‌تری مانند Immunify360 استفاده کنید.
تنظیم قوانین ModSecurity به‌طور دستی:
  1. در فایل تنظیمات ModSecurity (معمولاً در مسیر /etc/httpd/modsecurity.d/ یا /etc/nginx/modsec.d/) فایل‌های قوانین را ویرایش کنید.
  2. اطمینان حاصل کنید که قوانین OWASP CRS و قوانین امنیتی Immunify360 در ModSecurity به‌درستی بارگذاری شده‌اند.
  3. برای اضافه کردن قوانین Immunify360 به ModSecurity، می‌توانید مسیر فایل قوانین Immunify360 را به فایل پیکربندی ModSecurity اضافه کنید. به‌طور معمول، این فایل‌ها در مسیر /etc/imunify360/ قرار دارند.

3. تست و بررسی عملکرد ادغام

پس از پیکربندی و فعال‌سازی هر دو ابزار، باید عملکرد آن‌ها را بررسی کنید تا مطمئن شوید که هماهنگی لازم بین Immunify360 و ModSecurity برقرار است. برای انجام این کار می‌توانید از مراحل زیر استفاده کنید:

  1. بررسی لاگ‌ها: پس از اینکه درخواست‌ها به سرور رسیدند و توسط ModSecurity و Immunify360 مورد بررسی قرار گرفتند، شما می‌توانید لاگ‌ها را برای اطمینان از شناسایی و مسدودسازی صحیح تهدیدات بررسی کنید. برای این کار، لاگ‌های ModSecurity معمولاً در مسیر /var/log/httpd/modsec_audit.log یا مشابه آن قرار دارند.
  2. آزمایش حملات شبیه‌سازی‌شده: با استفاده از ابزارهایی مانند OWASP ZAP یا Burp Suite، حملات شبیه‌سازی‌شده مانند SQL Injection، XSS و سایر حملات رایج را ارسال کنید و ببینید که آیا توسط هر دو ابزار شناسایی و مسدود می‌شوند یا خیر.
  3. بررسی صحت عملکرد WAF: از طریق داشبورد Immunify360 و cPanel، وضعیت WAF را بررسی کرده و مطمئن شوید که درخواست‌های مشکوک یا مخرب مسدود شده‌اند.

4. پیکربندی به‌روزسانی‌های خودکار

یکی از مزایای مهم Immunify360 این است که به‌طور خودکار قوانین و پیکربندی‌های امنیتی خود را به‌روزرسانی می‌کند. برای اینکه مطمئن شوید که قوانین ModSecurity و Immunify360 همیشه به‌روز هستند، به‌ویژه در برابر حملات جدید، می‌توانید به‌صورت دوره‌ای تنظیمات و قوانین امنیتی را بررسی کرده و از به‌روزرسانی‌های خودکار استفاده کنید.

در WHM، به مسیر Security Center بروید و اطمینان حاصل کنید که Immunify360 و ModSecurity در حال دریافت به‌روزرسانی‌های منظم هستند.

جمع‌بندی

ادغام Immunify360 با ModSecurity می‌تواند لایه‌های امنیتی وب‌سایت شما را تقویت کند و از آن در برابر تهدیدات پیچیده و روزافزون محافظت کند. با تنظیم صحیح این دو ابزار، می‌توانید از قوانین پیشرفته‌تری برای شناسایی و مسدودسازی حملات، مانند SQL Injection، XSS، RFI و دیگر تهدیدات، بهره‌مند شوید. همچنین، نظارت دقیق بر لاگ‌ها و آزمایش حملات شبیه‌سازی‌شده به شما کمک می‌کند تا مطمئن شوید این سیستم‌ها به‌درستی با هم همکاری می‌کنند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”استفاده از تنظیمات Advanced Rules در ترکیب با ModSecurity” subtitle=”توضیحات کامل”]در ModSecurity، یکی از ویژگی‌های مهم برای تقویت امنیت، تنظیمات Advanced Rules یا “قوانین پیشرفته” است. این تنظیمات به شما این امکان را می‌دهند که قوانین خاص و پیچیده‌ای را برای شناسایی و مسدودسازی تهدیدات پیشرفته طراحی و پیاده‌سازی کنید. زمانی که این قوانین با یک WAF قدرتمند مانند Immunify360 ترکیب می‌شوند، سطح امنیت وب‌سایت شما به‌طور چشمگیری ارتقاء می‌یابد.

در این بخش، نحوه‌ی استفاده از تنظیمات Advanced Rules در ترکیب با ModSecurity و Immunify360 را بررسی خواهیم کرد.

1. مفهوم تنظیمات Advanced Rules در ModSecurity

Advanced Rules در ModSecurity به شما اجازه می‌دهند که قوانین پیچیده‌ای برای شناسایی حملات جدید و پیشرفته ایجاد کنید. این قوانین می‌توانند به‌طور خاص درخواست‌ها را بر اساس پارامترهای مختلف مانند رشته‌ها، مقادیر HTTP، نوع حمله، و سایر ویژگی‌ها بررسی کنند. هدف این است که موارد مشکوک یا حملات ناشناخته را شناسایی کرده و از آنها جلوگیری کنید.

در ModSecurity، شما می‌توانید این قوانین را به‌صورت دستی یا از طریق قوانین OWASP CRS (Core Rule Set) یا حتی قوانین Immunify360 تنظیم کنید.

2. افزودن قوانین پیشرفته در ModSecurity

برای افزودن قوانین پیشرفته در ModSecurity، ابتدا باید به فایل تنظیمات آن دسترسی پیدا کرده و آن را ویرایش کنید.

2.1. ویرایش فایل پیکربندی ModSecurity
  1. وارد سرور خود شوید و به مسیر پیکربندی ModSecurity بروید (معمولاً در مسیر /etc/httpd/conf.d/mod_security.conf یا مشابه آن در سرورهای Apache قرار دارد).
  2. برای افزودن یک قانون پیشرفته جدید، شما می‌توانید از دستور SecRule استفاده کنید. به‌عنوان مثال، در اینجا یک قانون پیشرفته برای شناسایی SQL Injection را می‌بینید: 
    SecRule ARGS|REQUEST_URI|REQUEST_HEADERS "@rx union.*select.*from" \
"id:1000001,phase:2,deny,status:403,msg:'SQL Injection Detected',severity:2"

    این قانون درخواست‌هایی که شامل رشته‌هایی مشابه با union select from هستند، شناسایی و مسدود می‌کند.

2.2. قوانین پیشرفته برای شناسایی XSS

به همین صورت، می‌توانید قوانینی برای شناسایی حملات Cross-Site Scripting (XSS) اضافه کنید:

SecRule ARGS|REQUEST_URI "@rx <script.*>.*</script>" \
"id:1000002,phase:2,deny,status:403,msg:'XSS Detected',severity:2"
2.3. ایجاد قوانین بر اساس درخواست‌های خاص

یکی دیگر از ویژگی‌های مفید در تنظیمات Advanced Rules این است که شما می‌توانید درخواست‌های خاص را شبیه‌سازی و پیگیری کنید. به‌عنوان مثال، اگر بخواهید حملات RFI (Remote File Inclusion) را شناسایی کنید، از قانونی مشابه این استفاده خواهید کرد:

SecRule ARGS|REQUEST_URI "@rx (http|ftp)://[a-zA-Z0-9\-\.]+/" \
"id:1000003,phase:2,deny,status:403,msg:'RFI Detected',severity:3"
2.4. استفاده از متغیرهای مخصوص در قوانین پیشرفته

در قوانین پیشرفته، شما می‌توانید از متغیرهای خاص برای انجام عملیات پیچیده‌تر استفاده کنید. به‌عنوان مثال، استفاده از متغیرهای ARGS_NAMES و REQUEST_METHOD برای شناسایی درخواست‌های غیرعادی:

SecRule ARGS_NAMES "@rx (cmd|exec|system)" \
"id:1000004,phase:2,deny,status:403,msg:'Command Injection Attempt Detected',severity:3"

این قوانین از ویژگی‌های متغیرهای خاص استفاده می‌کنند تا به‌طور دقیق‌تر و هدفمندتری حملات را شناسایی کنند.

3. ترکیب Advanced Rules با Immunify360

بعد از اضافه کردن قوانین پیشرفته به ModSecurity، نوبت به ترکیب این قوانین با Immunify360 می‌رسد. Immunify360 به‌طور خودکار بسیاری از تهدیدات را شناسایی می‌کند، اما شما می‌توانید قوانین خاص خود را برای شناسایی تهدیدات پیچیده‌تر و به‌روزرسانی آنها به‌طور دستی اضافه کنید.

3.1. افزودن قوانین پیشرفته در Immunify360

در Immunify360، شما می‌توانید از رابط کاربری (GUI) برای افزودن قوانین سفارشی استفاده کنید. برای انجام این کار:

  1. وارد پنل Immunify360 شوید.
  2. به بخش WAF (Web Application Firewall) بروید.
  3. در قسمت قوانین WAF، گزینه‌ی Custom Rules را پیدا کنید.
  4. از اینجا شما می‌توانید قوانین ModSecurity را که به‌صورت سفارشی ساخته‌اید، وارد کرده و فعال کنید.
3.2. فعال‌سازی همزمان قوانین ModSecurity و Immunify360

یکی از مزایای ترکیب ModSecurity و Immunify360 این است که این دو ابزار می‌توانند قوانین مشابهی را برای شناسایی و مسدودسازی حملات اجرا کنند. این دو ابزار به‌طور خودکار می‌توانند تداخلات احتمالی بین قوانین را شبیه‌سازی کرده و از کارایی بهتری برخوردار شوند.

برای اطمینان از عملکرد بهینه، شما باید مطمئن شوید که قوانین در هر دو سیستم (Immunify360 و ModSecurity) همخوانی دارند و به‌درستی مسدودسازی حملات را انجام می‌دهند.

4. آزمایش و بررسی عملکرد قوانین پیشرفته

پس از پیکربندی و افزودن قوانین پیشرفته به ModSecurity و Immunify360، باید عملکرد آن‌ها را از طریق آزمایشات مختلف بررسی کنید. این کار می‌تواند شامل مراحل زیر باشد:

  1. ارسال درخواست‌های تست: برای آزمایش قوانین پیشرفته می‌توانید از ابزارهای امنیتی مانند OWASP ZAP یا Burp Suite استفاده کنید. این ابزارها به شما کمک می‌کنند تا حملات شبیه‌سازی‌شده را روی وب‌سایت خود آزمایش کنید و بررسی کنید که آیا توسط هر دو ابزار شناسایی و مسدود می‌شوند یا خیر.
  2. بررسی لاگ‌ها: پس از آزمایش، باید لاگ‌های ModSecurity و Immunify360 را بررسی کنید تا مطمئن شوید که حملات به‌درستی شناسایی شده و مسدود شده‌اند. لاگ‌های ModSecurity معمولاً در مسیر /var/log/httpd/modsec_audit.log قرار دارند.
  3. بررسی سطح خطا و هشدارها: اطمینان حاصل کنید که سطح خطاهای موردنظر در هر قانون (مثلاً severity) مناسب باشد تا در صورت شناسایی حملات، به‌درستی هشدار داده شود.

جمع‌بندی

استفاده از Advanced Rules در ModSecurity به شما این امکان را می‌دهد که قوانین پیچیده‌تری برای شناسایی و مسدودسازی حملات طراحی کنید. ترکیب این قوانین با Immunify360 یک راهکار امنیتی قدرتمند برای وب‌سایت شما فراهم می‌آورد که می‌تواند تهدیدات پیچیده و ناشناخته را شناسایی و مسدود کند. با آزمایش مداوم، بررسی لاگ‌ها و به‌روزرسانی قوانین، می‌توانید امنیت وب‌سایت خود را به سطح بالاتری ارتقاء دهید.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی تفاوت‌های WAF داخلی Immunify360 و WAF ارائه‌شده توسط ModSecurity” subtitle=”توضیحات کامل”]Web Application Firewall (WAF) یکی از اجزای اصلی امنیت وب‌سایت‌ها است که وظیفه شناسایی و مسدودسازی حملات تحت وب را بر عهده دارد. دو ابزار محبوب برای پیاده‌سازی WAF عبارتند از Immunify360 و ModSecurity. هرکدام از این ابزارها ویژگی‌ها و قابلیت‌های خاص خود را دارند که در این بخش به بررسی تفاوت‌های آن‌ها خواهیم پرداخت.

1. معرفی Immunify360 WAF

Immunify360 یک راهکار امنیتی پیشرفته برای سرورها و وب‌سایت‌ها است که با هدف حفاظت از سرورهای لینوکسی و وب‌سایت‌ها در برابر تهدیدات و حملات پیچیده طراحی شده است. یکی از ویژگی‌های مهم Immunify360، WAF داخلی آن است که قابلیت شناسایی و مسدودسازی انواع مختلف حملات مانند SQL Injection، Cross-Site Scripting (XSS)، Remote File Inclusion (RFI) و سایر تهدیدات را دارد.

  • حفاظت چندلایه: Immunify360 از چندین لایه امنیتی برای محافظت در برابر تهدیدات مختلف استفاده می‌کند.
  • هوش مصنوعی: این ابزار از الگوریتم‌های یادگیری ماشین و هوش مصنوعی برای شناسایی حملات جدید و پیشرفته استفاده می‌کند.
  • مدیریت آسان: Immunify360 یک رابط کاربری گرافیکی (GUI) ساده برای مدیریت امنیت وب‌سایت‌ها و سرورها ارائه می‌دهد.
  • ارتباط با دیگر ابزارهای امنیتی: Immunify360 به‌طور یکپارچه با دیگر ابزارهای امنیتی مانند Malware Scanner و IDS/IPS کار می‌کند.

2. معرفی ModSecurity

ModSecurity یکی از ابزارهای متن‌باز و رایگان برای پیاده‌سازی WAF است که به‌طور گسترده‌ای برای شناسایی و جلوگیری از حملات مختلف به وب‌سایت‌ها و وب‌سرورها استفاده می‌شود. این ابزار معمولاً به‌عنوان یک ماژول برای وب‌سرورهایی مانند Apache، Nginx و LiteSpeed عمل می‌کند و می‌تواند به‌طور مؤثر در برابر انواع حملات تحت وب مقاومت کند.

  • قوانین پیش‌فرض (OWASP CRS): ModSecurity به همراه مجموعه‌ای از قوانین پیش‌فرض به نام OWASP Core Rule Set (CRS) ارائه می‌شود که مجموعه‌ای از قوانین امنیتی را برای شناسایی انواع حملات شناخته‌شده فراهم می‌آورد.
  • تنظیمات سفارشی: به‌عنوان یک ابزار متن‌باز، ModSecurity به کاربران این امکان را می‌دهد که قوانین سفارشی خود را تعریف کنند و کنترل دقیقی بر رفتار WAF داشته باشند.
  • مدیریت از طریق CLI: بیشتر تنظیمات و مدیریت ModSecurity از طریق خط فرمان (CLI) انجام می‌شود که برای برخی از کاربران می‌تواند پیچیده باشد.

3. تفاوت‌ها در عملکرد و ویژگی‌ها

3.1. رابط کاربری (GUI) vs. CLI
  • Immunify360: دارای یک رابط کاربری گرافیکی (GUI) است که مدیریت WAF را بسیار ساده‌تر می‌کند. این رابط برای کاربران غیر فنی یا کسانی که ترجیح می‌دهند مدیریت امنیتی را از طریق رابط گرافیکی انجام دهند، مناسب است.
  • ModSecurity: بیشتر تنظیمات و مدیریت ModSecurity از طریق خط فرمان (CLI) انجام می‌شود، که برای افرادی که با سرورهای لینوکسی و دستورهای CLI آشنا هستند مناسب است. این ویژگی ممکن است برای برخی کاربران مبتدی یا غیر فنی چالش‌برانگیز باشد.
3.2. قابلیت‌های هوش مصنوعی و یادگیری ماشین
  • Immunify360: از قابلیت‌های هوش مصنوعی (AI) و یادگیری ماشین برای شناسایی تهدیدات جدید و پیشرفته استفاده می‌کند. این ویژگی به Immunify360 کمک می‌کند که حملات جدید که ممکن است در مجموعه قوانین پیش‌فرض وجود نداشته باشند را شناسایی و مسدود کند.
  • ModSecurity: ModSecurity از یک سیستم قواعد ثابت (مانند OWASP CRS) استفاده می‌کند که بیشتر بر روی شناسایی حملات شناخته‌شده تمرکز دارد. در نتیجه، نیاز به به‌روزرسانی مداوم قوانین و افزودن قوانین سفارشی برای شناسایی حملات جدید وجود دارد.
3.3. سفارشی‌سازی قوانین
  • Immunify360: قابلیت‌های سفارشی‌سازی محدودی در مقایسه با ModSecurity دارد. اگرچه می‌توانید برخی تنظیمات را تغییر دهید، اما برای افزودن قوانین پیچیده و خاص، محدودیت‌هایی وجود دارد.
  • ModSecurity: به‌عنوان یک ابزار متن‌باز، ModSecurity این امکان را به شما می‌دهد که قوانین سفارشی و پیشرفته ایجاد کنید. شما می‌توانید قوانینی برای شناسایی تهدیدات خاص یا حتی کدهای حملات جدید اضافه کنید.
3.4. یکپارچگی با سایر ابزارهای امنیتی
  • Immunify360: Immunify360 به‌طور یکپارچه با سایر ابزارهای امنیتی مانند IDS/IPS، Antivirus و Malware Scanner کار می‌کند و به شما این امکان را می‌دهد که یک راهکار امنیتی جامع داشته باشید.
  • ModSecurity: این ابزار به‌تنهایی عمل می‌کند، اما می‌توانید آن را با سایر ابزارهای امنیتی برای ایجاد یک لایه امنیتی چندگانه ترکیب کنید.
3.5. پشتیبانی و به‌روزرسانی
  • Immunify360: Immunify360 یک سرویس پشتیبانی فعال و به‌روزرسانی مداوم دارد. به‌طور مرتب به‌روزرسانی‌های امنیتی جدید منتشر می‌شود که به شما این امکان را می‌دهد که از جدیدترین تهدیدات محافظت کنید.
  • ModSecurity: به‌عنوان یک ابزار متن‌باز، به‌روزرسانی‌های ModSecurity به‌طور دستی انجام می‌شود و نیاز به مدیریت فعال توسط مدیر سرور دارد.

4. مقایسه در زمینه‌های مختلف

ویژگی Immunify360 ModSecurity
رابط کاربری GUI ساده و کاربرپسند CLI، پیچیده‌تر برای کاربران مبتدی
قابلیت‌های هوش مصنوعی دارد، شناسایی حملات جدید با AI ندارد، نیاز به به‌روزرسانی قوانین دستی
سفارشی‌سازی قوانین محدودتر، تنظیمات از پیش‌تعریف‌شده سفارشی‌سازی گسترده‌تر، متن‌باز
یکپارچگی با ابزارهای دیگر یکپارچگی کامل با ابزارهای دیگر امنیتی نیاز به تنظیمات دستی برای یکپارچگی
پشتیبانی و به‌روزرسانی پشتیبانی فعال و به‌روزرسانی منظم به‌روزرسانی دستی و محدودتر

جمع‌بندی

در نهایت، انتخاب بین Immunify360 و ModSecurity بستگی به نیازها و محیط کاری شما دارد. اگر به دنبال یک راهکار امنیتی جامع با رابط کاربری ساده و قابلیت‌های پیشرفته مانند هوش مصنوعی هستید، Immunify360 می‌تواند گزینه بهتری باشد. از سوی دیگر، اگر به دنبال سفارشی‌سازی دقیق و کنترل کامل بر قوانین امنیتی هستید و آشنایی با CLI دارید، ModSecurity می‌تواند انتخاب مناسبی باشد.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 8. بررسی حملات رایج و نحوه مقابله با آن‌ها از طریق WAF”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”SQL Injection: نحوه تشخیص و جلوگیری از حملات SQL Injection” subtitle=”توضیحات کامل”]SQL Injection یکی از رایج‌ترین حملات در وب‌سایت‌ها است که به مهاجمین این امکان را می‌دهد که دستورات SQL را به پایگاه داده وب‌سایت ارسال کنند و داده‌ها را مشاهده، تغییر یا حذف کنند. این نوع حمله می‌تواند به‌طور جدی امنیت داده‌ها را تهدید کند و دسترسی به اطلاعات حساس مانند شناسه‌های کاربران، رمزهای عبور و داده‌های مالی را فراهم سازد. خوشبختانه، Web Application Firewall (WAF) ابزار موثری برای شناسایی و جلوگیری از این نوع حملات است.

1. SQL Injection چیست؟

SQL Injection (SQLi) زمانی اتفاق می‌افتد که یک مهاجم بتواند به‌طور غیرمجاز داده‌های ورودی را وارد کند که مستقیماً در یک کوئری SQL پردازش می‌شوند. این حمله می‌تواند باعث اجرای دستوراتی شود که به پایگاه داده دسترسی پیدا کرده و اطلاعات حساس را استخراج یا حتی تغییر دهد.

1.1 مثال حمله SQL Injection:

فرض کنید یک فرم جستجو در وب‌سایت شما وجود دارد که از ورودی‌های کاربر برای ساخت یک کوئری SQL استفاده می‌کند:

SELECT * FROM users WHERE username = 'input_user' AND password = 'input_pass';

اگر مهاجم ورودی‌های زیر را وارد کند:

' OR 1=1 --

کوئری SQL به‌شکل زیر تبدیل می‌شود:

SELECT * FROM users WHERE username = '' OR 1=1 --' AND password = '';

این دستور همیشه درست است و باعث می‌شود که مهاجم به تمام داده‌های موجود در پایگاه داده دسترسی پیدا کند.

2. نحوه تشخیص و جلوگیری از SQL Injection با WAF

WAF ابزار حیاتی برای جلوگیری از SQL Injection است. با استفاده از قوانین مشخص و فیلتر کردن درخواست‌ها، WAF می‌تواند بسیاری از حملات SQL Injection را شناسایی و مسدود کند. در اینجا به چند روش کلیدی برای مقابله با این نوع حمله اشاره می‌کنیم.

2.1 شناسایی حملات SQL Injection

WAF می‌تواند حملات SQL Injection را از طریق بررسی الگوهای خاص که در حملات رایج SQL Injection مشاهده می‌شود، شناسایی کند. این الگوها شامل موارد زیر می‌باشند:

  • وجود کلمات خاص مانند UNION, SELECT, INSERT, DROP, -- (کامنت در SQL)
  • الگوهای خاص مانند OR 1=1, --, # که برای دور زدن احراز هویت استفاده می‌شوند.
  • استفاده از دستورات شرطی مانند OR, AND, =, LIKE که در حملات SQL Injection معمول هستند.
  • استفاده از کاراکترهای خاص مانند ', ", ; که ممکن است برای بسته‌بندی یا تغییر دستور SQL استفاده شوند.
2.2 تنظیم قوانین پیش‌فرض برای جلوگیری از SQL Injection

در اکثر سیستم‌های WAF مانند ModSecurity یا Immunify360، می‌توان قوانینی برای شناسایی و مسدودسازی SQL Injection تعریف کرد. یکی از نمونه‌های این قوانین به شرح زیر است:

SecRule ARGS|REQUEST_URI|REQUEST_HEADERS "@rx union.*select.*from" \
"id:1000001,phase:2,deny,status:403,msg:'SQL Injection Detected'"

این قانون به‌طور خاص به‌دنبال کلمات کلیدی مانند union و select می‌گردد که معمولاً در حملات SQL Injection استفاده می‌شوند.

2.3 فیلتر کردن ورودی‌ها

WAF می‌تواند از فیلتر کردن ورودی‌ها برای جلوگیری از SQL Injection استفاده کند. این فیلترها می‌توانند به‌طور خودکار درخواست‌های مشکوک را مسدود کنند که ممکن است حاوی SQL Injection باشند. به‌عنوان مثال:

  • Escaping Input: تمامی ورودی‌ها از کاربران باید escape شوند تا از تبدیل داده‌های ورودی به دستورات SQL جلوگیری شود.
  • Validating Input: تمامی ورودی‌های کاربران باید تایید شوند تا فقط داده‌های معتبر وارد سیستم شوند.
2.4 استفاده از قوانینی برای مسدودسازی رشته‌های خاص SQLi

WAF می‌تواند به‌طور خودکار تمامی ورودی‌ها را برای بررسی وجود رشته‌های خطرناک نظیر UNION SELECT, DROP TABLE, -- و موارد مشابه بررسی کند و از اجرا شدن کوئری‌های مخرب جلوگیری کند.

نمونه‌ای از یک قانون ساده برای مسدود کردن SQL Injection:

SecRule ARGS|REQUEST_URI|REQUEST_HEADERS "@rx ' OR 1=1" \
"phase:2,deny,status:403,msg:'SQL Injection Attempt Detected'"

این قانون در صورت مشاهده هرگونه تلاش برای ارسال کدهایی با ساختار OR 1=1، آن را مسدود می‌کند.

3. نحوه پیکربندی WAF برای جلوگیری از SQL Injection

برای جلوگیری از SQL Injection، ابتدا باید WAF را به‌طور صحیح پیکربندی کنید تا به‌طور مؤثر از این نوع حملات محافظت کند. مراحل پیکربندی عبارتند از:

3.1 فعال‌سازی قوانینی برای SQL Injection

در بسیاری از ابزارهای WAF مانند Immunify360، شما می‌توانید قوانین امنیتی پیش‌فرض مانند OWASP CRS را فعال کنید که شامل مجموعه‌ای از قوانین برای جلوگیری از SQL Injection است.

3.2 شخصی‌سازی قوانین WAF برای وب‌سایت خود

بسته به نیازهای خاص وب‌سایت، می‌توانید قوانین سفارشی برای SQL Injection ایجاد کنید. این قوانین باید به‌طور خاص به دقت الگوهای SQL Injection را شناسایی کنند.

3.3 فعال‌سازی امکانات Logging و نظارت بر لاگ‌ها

برای شناسایی و پاسخ‌دهی سریع به حملات SQL Injection، مهم است که قابلیت ثبت لاگ‌ها در WAF فعال باشد تا بتوانید درخواست‌های مشکوک را بررسی و تجزیه و تحلیل کنید.

جمع‌بندی

حملات SQL Injection یکی از تهدیدات رایج برای وب‌سایت‌ها هستند که می‌توانند به‌طور جدی امنیت داده‌ها را به خطر بیندازند. استفاده از WAF یک روش مؤثر برای جلوگیری از این حملات است. با استفاده از قوانین پیش‌فرض، فیلتر کردن ورودی‌ها و شخصی‌سازی قوانین امنیتی می‌توان به‌طور مؤثری از SQL Injection جلوگیری کرد. علاوه بر این، بررسی منظم لاگ‌ها و اعمال تغییرات بر اساس تهدیدات شناسایی‌شده می‌تواند امنیت وب‌سایت را در برابر این نوع حملات بهبود بخشد.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”XSS (Cross-Site Scripting) : تنظیمات WAF برای جلوگیری از حملات XSS” subtitle=”توضیحات کامل”]Cross-Site Scripting (XSS) یک نوع حمله امنیتی است که در آن مهاجم می‌تواند کدهای جاوا اسکریپت مخرب را در صفحات وب قرار دهد که سپس توسط مرورگر کاربران اجرا می‌شود. این حملات می‌توانند منجر به سرقت کوکی‌ها، تزریق کدهای مخرب به صفحه، یا حتی سرقت اطلاعات حساس شوند.

Web Application Firewall (WAF) می‌تواند با شناسایی و مسدود کردن تلاش‌ها برای اجرای کدهای جاوا اسکریپت مخرب، از حملات XSS جلوگیری کند. در اینجا روش‌هایی برای تنظیم WAF جهت جلوگیری از حملات XSS بررسی خواهیم کرد.

1. XSS چیست؟

XSS زمانی اتفاق می‌افتد که مهاجم قادر باشد کدهای جاوا اسکریپت را در ورودی‌های وب‌سایت ارسال کند، به‌طوری که این کدها در مرورگر کاربر اجرا شوند. این نوع حمله معمولاً به دو صورت Stored XSS و Reflected XSS انجام می‌شود:

  • Stored XSS: در این نوع حمله، کد جاوا اسکریپت مخرب در سرور ذخیره می‌شود و سپس هر بار که کاربران صفحه موردنظر را بارگذاری می‌کنند، این کد اجرا می‌شود.
  • Reflected XSS: در این حمله، کد جاوا اسکریپت در درخواست کاربر منعطف می‌شود و بلافاصله در پاسخ سرور به کاربر باز می‌گردد.
1.1 مثال حمله XSS:

فرض کنید یک وب‌سایت فرم جستجویی دارد که ورودی کاربر را به‌طور مستقیم در صفحه نمایش می‌دهد. اگر مهاجم وارد کند:

<script>alert('Hacked');</script>

این کد در مرورگر کاربر اجرا شده و پیام هشدار (alert) را نشان می‌دهد، که می‌تواند به‌عنوان نقطه شروع برای حملات پیچیده‌تر استفاده شود.

2. نحوه جلوگیری از XSS با WAF

برای جلوگیری از حملات XSS، WAF باید درخواست‌ها و پاسخ‌ها را تجزیه و تحلیل کند و ورودی‌های مشکوک حاوی کد جاوا اسکریپت مخرب را شناسایی و مسدود نماید. در اینجا به روش‌های مختلفی که WAF برای جلوگیری از XSS استفاده می‌کند، اشاره می‌کنیم:

2.1 شناسایی الگوهای XSS

WAF می‌تواند به‌طور خودکار ورودی‌هایی که حاوی الگوهای خاصی از کدهای جاوا اسکریپت یا HTML مخرب هستند را شناسایی کند. برخی از این الگوها شامل:

  • <script>...</script>
  • <img src="javascript:...">
  • <iframe src="...">
  • onerror=, onload=, onclick=, onmouseover=

این الگوها می‌توانند به‌عنوان شاخص‌هایی برای شناسایی حملات XSS استفاده شوند.

2.2 استفاده از قوانین پیش‌فرض برای جلوگیری از XSS

بسیاری از WAF‌ها، از جمله ModSecurity و Immunify360، قوانین پیش‌فرضی دارند که به‌طور خودکار حملات XSS را شناسایی و مسدود می‌کنند. یکی از این قوانین می‌تواند به شرح زیر باشد:

SecRule ARGS|REQUEST_URI "@rx <script.*>.*</script>" \
"phase:2,deny,status:403,msg:'XSS Detected'"

این قانون به‌دنبال هرگونه تگ <script> در ورودی‌ها می‌گردد و درخواست‌های حاوی این تگ‌ها را مسدود می‌کند.

2.3 پاک‌سازی ورودی‌ها (Input Sanitization)

WAF می‌تواند به‌طور خودکار ورودی‌های کاربر را پاک‌سازی کند تا تمامی کدهای جاوا اسکریپت و تگ‌های HTML از ورودی‌های کاربر حذف شوند. این فرآیند می‌تواند شامل اقدامات زیر باشد:

  • تبدیل کاراکترهای خاص HTML مانند < و > به موجودیت‌های HTML امن مانند &lt; و &gt;.
  • حذف تگ‌های HTML مخرب مانند <script>, <iframe>, و <img>.
2.4 فیلتر کردن درخواست‌ها

WAF همچنین می‌تواند درخواست‌هایی که حاوی رشته‌های مشکوک مانند onload=, onclick=, onerror=, javascript: یا data: هستند را مسدود کند.

3. تنظیم قوانین WAF برای جلوگیری از XSS

یکی از مهم‌ترین ویژگی‌های WAF این است که می‌توانید قوانین امنیتی را به‌طور خاص برای جلوگیری از XSS تنظیم کنید. به‌طور معمول، قوانین WAF برای XSS به‌صورت زیر تنظیم می‌شوند:

3.1 استفاده از قوانین ModSecurity برای شناسایی XSS

ModSecurity، که یکی از WAF‌های معروف است، دارای مجموعه‌ای از قوانین برای شناسایی و مسدود کردن حملات XSS است. به‌عنوان مثال، می‌توانید از دستور زیر برای شناسایی و مسدود کردن حملات XSS استفاده کنید:

SecRule ARGS|REQUEST_URI "@rx <script.*>.*</script>" \
"phase:2,deny,status:403,msg:'XSS Detected'"
3.2 قوانین پیچیده‌تر برای XSS

در برخی موارد، ممکن است نیاز باشد که قوانین پیچیده‌تری برای شناسایی حملات XSS ایجاد کنید. به‌عنوان مثال، اگر بخواهید از تمامی درخواست‌ها که شامل کدهای جاوا اسکریپت مخرب هستند جلوگیری کنید، می‌توانید چنین قانونی تنظیم کنید:

SecRule ARGS|REQUEST_URI|REQUEST_HEADERS|REQUEST_COOKIES "@rx <.*(script|onload|onerror|alert|javascript).*>" \
"phase:2,deny,status:403,msg:'XSS Attempt Blocked'"

این قانون به‌دنبال هرگونه درخواست که شامل کدهای جاوا اسکریپت یا رویدادهای HTML است، می‌گردد و آن‌ها را مسدود می‌کند.

3.3 استفاده از امکانات WhiteList

در بعضی مواقع ممکن است بخواهید درخواست‌های خاصی را که به‌طور غیرمستقیم شامل کدهای جاوا اسکریپت هستند ولی بی‌خطر هستند، نادیده بگیرید. برای این کار می‌توانید از WhiteList در WAF استفاده کنید تا درخواست‌های خاص از این قانون مستثنی شوند.

4. نظارت و گزارش‌گیری بر روی حملات XSS

یکی از مهم‌ترین مراحل پس از پیاده‌سازی WAF این است که به‌طور مداوم نظارت کنید که آیا حملات XSS شناسایی و مسدود شده‌اند یا نه. WAF معمولاً لاگ‌هایی از درخواست‌های مسدود شده ایجاد می‌کند که می‌توانید از آن‌ها برای بررسی و تحلیل حملات استفاده کنید.

4.1 تنظیم گزارش‌گیری در WAF

WAF معمولاً گزارش‌های دقیقی از درخواست‌های مسدود شده تولید می‌کند که شامل اطلاعاتی از جمله زمان حمله، IP مهاجم، و دلیل مسدودسازی می‌باشد. این گزارش‌ها می‌توانند به شما کمک کنند تا روند حملات XSS را شناسایی کرده و از آن‌ها برای تقویت امنیت سیستم استفاده کنید.

5. جمع‌بندی

حملات XSS یکی از خطرناک‌ترین تهدیدات برای وب‌سایت‌ها هستند، زیرا می‌توانند به مهاجمین این امکان را بدهند که کدهای مخرب را در صفحات وب اجرا کنند. استفاده از WAF برای شناسایی و مسدود کردن تلاش‌ها برای تزریق کدهای جاوا اسکریپت مخرب یکی از بهترین روش‌ها برای مقابله با این نوع حملات است. تنظیم قوانین مناسب برای شناسایی XSS، فیلتر کردن ورودی‌ها، و استفاده از گزارش‌گیری برای نظارت بر حملات، به شما کمک می‌کند که از وب‌سایت خود در برابر حملات XSS محافظت کنید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”DDoS Attacks: نحوه کاهش تأثیر حملات DDoS با استفاده از WAF” subtitle=”توضیحات کامل”]Distributed Denial of Service (DDoS) یکی از تهدیدات بزرگ برای امنیت وب‌سایت‌ها و سرورها است. در حملات DDoS، مهاجمین از شبکه‌ای گسترده از کامپیوترها برای ارسال درخواست‌های زیاد و بی‌وقفه به سرور هدف استفاده می‌کنند تا منابع آن سرور را به حد اشباع برسانند و باعث شوند که سرور نتواند به کاربران واقعی پاسخ دهد.

یکی از ابزارهای مؤثر در کاهش تأثیر حملات DDoS استفاده از Web Application Firewall (WAF) است. WAF‌ها می‌توانند به شناسایی و مسدود کردن درخواست‌های مخرب، به ویژه زمانی که تعداد زیادی درخواست به‌طور ناگهانی به سرور ارسال می‌شود، کمک کنند.

1. DDoS چیست؟

حمله DDoS زمانی اتفاق می‌افتد که مهاجمین تعداد زیادی از دستگاه‌ها را تحت کنترل خود در می‌آورند و از این دستگاه‌ها برای ارسال درخواست‌های مکرر و بی‌وقفه به سرور هدف استفاده می‌کنند. هدف این است که منابع سرور (مانند پردازنده، حافظه، و پهنای باند شبکه) را مصرف کرده و سرور را از دسترس خارج کنند.

حملات DDoS معمولاً به یکی از دو روش زیر انجام می‌شود:

  • Layer 3 & 4 DDoS Attacks: حملاتی که در لایه‌های شبکه (مانند TCP یا UDP) و حملات حجم‌محور انجام می‌شود. این حملات به طور معمول با ارسال حجم زیادی از درخواست‌ها سرور را تحت فشار قرار می‌دهند.
  • Layer 7 DDoS Attacks: حملاتی که در لایه کاربرد (Application Layer) رخ می‌دهند و به درخواست‌های HTTP یا HTTPS هدف می‌زنند. این نوع حملات پیچیده‌تر بوده و شبیه به رفتار طبیعی کاربران به نظر می‌رسند، بنابراین شناسایی آن‌ها دشوارتر است.

2. نحوه کاهش تأثیر حملات DDoS با استفاده از WAF

WAF می‌تواند در کاهش تأثیر حملات DDoS به طرق مختلف کمک کند:

2.1 شناسایی و فیلتر کردن درخواست‌های مشکوک

یکی از ویژگی‌های اصلی WAF این است که می‌تواند درخواست‌هایی که از منابع مشکوک می‌آیند را شناسایی کرده و مسدود کند. در حملات DDoS، اغلب درخواست‌ها از IP‌های مختلف و در حجم‌های زیاد ارسال می‌شوند. WAF می‌تواند این درخواست‌ها را شناسایی کرده و آن‌ها را مسدود کند.

قانون نمونه WAF برای شناسایی درخواست‌های DDoS:

SecRule REQUEST_HEADERS:User-Agent "@rx ^(Mozilla|Chrome|Opera)" \
"phase:2,deny,status:403,msg:'Potential DDoS Attack Detected'"

این قانون می‌تواند به شناسایی و مسدود کردن درخواست‌هایی که از آژانس‌های کاربری مشکوک می‌آیند، کمک کند.

2.2 Rate Limiting

یکی از روش‌های مؤثر برای جلوگیری از حملات DDoS، محدود کردن تعداد درخواست‌هایی است که از یک منبع (IP) خاص در یک زمان معین پذیرفته می‌شود. این فرآیند به Rate Limiting معروف است.

در WAF می‌توان قوانینی تنظیم کرد که تعداد درخواست‌ها را از هر IP به‌طور معقول محدود کند. به‌عنوان مثال:

SecRule IP:request_count "@gt 100" \
"phase:2,deny,status:403,msg:'Too many requests from this IP address'"

در این قانون، تعداد درخواست‌ها از یک آدرس IP مشخص در یک دوره زمانی معین محدود می‌شود. این روش می‌تواند از حملات DDoS جلوگیری کند، زیرا مهاجم نمی‌تواند درخواست‌های زیادی ارسال کند.

2.3 Geo-blocking

در حملات DDoS، مهاجمین ممکن است از IP‌های مختلف در سراسر جهان استفاده کنند. یکی از روش‌های کاهش تأثیر این حملات استفاده از Geo-blocking است. این تکنیک به شما این امکان را می‌دهد که درخواست‌ها را بر اساس کشور یا منطقه جغرافیایی مسدود کنید.

برای مثال، اگر متوجه شدید که حملات DDoS از یک منطقه خاص جغرافیایی می‌آید، می‌توانید از WAF برای مسدود کردن درخواست‌های ورودی از آن منطقه استفاده کنید.

نمونه کد برای Geo-blocking:

SecRule REQUEST_HEADERS:CF-IPCountry "@streq US" \
"phase:2,deny,status:403,msg:'Blocking requests from the United States'"
2.4 Challenge-Response (Captcha)

یکی از روش‌های دیگر مقابله با حملات DDoS استفاده از چالش‌های CAPTCHA است. WAF می‌تواند درخواست‌هایی که رفتار مشکوک دارند را به چالش CAPTCHA هدایت کند. این تکنیک به‌ویژه برای شناسایی و مسدود کردن ربات‌ها مؤثر است، زیرا ربات‌ها معمولاً قادر به حل CAPTCHA نیستند.

2.5 توزیع بار (Load Balancing)

WAF‌ها می‌توانند درخواست‌های ورودی را به‌طور مؤثر بین چندین سرور تقسیم کنند تا از بار اضافی بر روی یک سرور جلوگیری کنند. این ویژگی به‌ویژه در حملات DDoS که سعی در مصرف منابع سرور دارند، مفید است.

روش توزیع بار می‌تواند به صورت زیر انجام شود:

  • درخواست‌ها به‌طور خودکار به سرورهای مختلف تقسیم می‌شوند.
  • درخواست‌های سنگین‌تر از کاربران مشکوک به سرورهای کم‌بارتر هدایت می‌شوند.

3. نظارت و گزارش‌گیری بر روی حملات DDoS

نظارت دقیق بر ترافیک وب‌سایت به‌ویژه در هنگام وقوع حملات DDoS اهمیت زیادی دارد. بسیاری از WAF‌ها می‌توانند گزارش‌های دقیق و لاگ‌های لحظه‌ای ایجاد کنند که شامل اطلاعات مفیدی مانند تعداد درخواست‌ها، IP‌های مهاجم، نوع حمله و غیره است.

با استفاده از این گزارش‌ها، می‌توانید روند حملات DDoS را تجزیه و تحلیل کنید و از آن‌ها برای تنظیم بهینه‌تر قوانین استفاده کنید.

جمع‌بندی

حملات DDoS یکی از بزرگترین تهدیدات برای وب‌سایت‌ها و سرورها هستند که می‌توانند منابع سرور را تحت فشار قرار دهند و آن را از دسترس خارج کنند. استفاده از Web Application Firewall (WAF) به‌ویژه با تنظیم قوانینی برای شناسایی و مسدود کردن درخواست‌های مشکوک، محدود کردن نرخ درخواست‌ها (Rate Limiting)، Geo-blocking و چالش‌های CAPTCHA می‌تواند به‌طور مؤثر از حملات DDoS جلوگیری کرده یا تأثیر آن‌ها را کاهش دهد.

در نهایت، یک WAF می‌تواند بخشی از استراتژی جامع امنیتی شما برای مقابله با حملات DDoS باشد و به شما کمک کند تا از منابع وب‌سایت خود در برابر حملات محافظت کنید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”Brute Force Attacks: تنظیمات WAF برای جلوگیری از حملات حدس رمز عبور” subtitle=”توضیحات کامل”]حملات Brute Force یکی از رایج‌ترین و ساده‌ترین روش‌های نفوذ به وب‌سایت‌ها و سیستم‌ها است که در آن مهاجم به‌طور مکرر تلاش می‌کند رمز عبور حساب‌های کاربری را حدس بزند. این حملات معمولاً با استفاده از ابزارهای خودکار انجام می‌شوند که تعداد زیادی از ترکیب‌های مختلف رمز عبور را به‌طور مداوم وارد می‌کنند تا به رمز عبور صحیح دست پیدا کنند.

در این بخش از آموزش های ارائه شده توسط فرازنتورک، به نحوه مقابله با حملات Brute Force از طریق Web Application Firewall (WAF) خواهیم پرداخت. WAF‌ها می‌توانند با استفاده از چندین تکنیک امنیتی از جمله محدود کردن تعداد درخواست‌ها، کشف رفتارهای مشکوک و توسعه قوانین خاص، از این نوع حملات جلوگیری کنند.

1. Brute Force Attack چیست؟

حمله Brute Force به فرآیندی گفته می‌شود که در آن مهاجم به‌طور مکرر ترکیب‌های مختلف رمز عبور را وارد می‌کند تا به رمز عبور صحیح دست یابد. این حملات معمولاً خودکار هستند و می‌توانند از روش‌های مختلفی مانند Dictionary Attacks یا Hybrid Attacks برای حدس رمز عبور استفاده کنند.

حملات Brute Force معمولاً برای دسترسی به حساب‌های کاربری مانند ایمیل‌ها، پنل‌های مدیریتی وب‌سایت‌ها و سیستم‌های دیگر استفاده می‌شود.

2. نحوه جلوگیری از حملات Brute Force با استفاده از WAF

WAF‌ها می‌توانند با تنظیم قوانینی خاص، اقدامات مؤثری برای مقابله با حملات Brute Force انجام دهند. این اقدامات شامل محدود کردن تعداد درخواست‌ها، مراجعه به چالش CAPTCHA و شناسایی الگوهای درخواست غیرعادی هستند.

2.1 محدود کردن تعداد درخواست‌ها (Rate Limiting)

یکی از مؤثرترین روش‌ها برای مقابله با حملات Brute Force، محدود کردن تعداد درخواست‌های وارد شده از یک IP خاص در یک دوره زمانی است. این فرآیند به Rate Limiting معروف است.

با استفاده از WAF، می‌توان قوانینی تنظیم کرد که تعداد درخواست‌های ورودی را از یک IP خاص محدود کند. این روش موجب می‌شود که مهاجم نتواند تعداد زیادی درخواست در مدت زمان کوتاه ارسال کند و در نتیجه حمله Brute Force ناکام بماند.

نمونه قانون برای Rate Limiting در WAF:

SecRule IP:request_count "@gt 10" \
"phase:2,deny,status:403,msg:'Too many login attempts from this IP address'"

این قانون به‌طور خودکار IP‌هایی که بیش از حد مجاز درخواست وارد می‌کنند را مسدود می‌کند.

2.2 تشخیص و مسدود کردن رفتار مشکوک

حملات Brute Force معمولاً ویژگی‌هایی مشترک دارند، مانند ارسال درخواست‌های ورودی با سرعت بالا به صفحه ورود (login page). WAF‌ها می‌توانند رفتارهای مشکوک مانند تعداد زیادی تلاش برای ورود به سیستم از یک آدرس IP خاص را شناسایی کرده و آن را مسدود کنند.

نمونه قانون برای شناسایی رفتارهای مشکوک:

SecRule REQUEST_URI "@contains /login" \
"phase:1,deny,status:403,msg:'Possible Brute Force Attack Detected'"

این قانون بررسی می‌کند که آیا درخواست واردشده به صفحه ورود مربوط است و در صورتی که تعداد زیادی درخواست از یک IP به این صفحه ارسال شود، آن را مسدود می‌کند.

2.3 استفاده از CAPTCHA برای چالش دادن به کاربران

یکی از روش‌های موثر برای جلوگیری از حملات Brute Force، استفاده از چالش‌های CAPTCHA است. این روش می‌تواند از ربات‌ها و ابزارهای خودکار که در حملات Brute Force استفاده می‌شوند جلوگیری کند.

زمانی که یک IP تعداد زیادی درخواست وارد می‌کند، WAF می‌تواند درخواست‌هایی که مشکوک به نظر می‌رسند را به یک چالش CAPTCHA هدایت کند. این کار موجب می‌شود که تنها کاربران واقعی قادر به وارد کردن رمز عبور صحیح باشند و ربات‌ها نتوانند از این حملات استفاده کنند.

نمونه قانون برای استفاده از CAPTCHA:

SecRule IP:request_count "@gt 5" \
"phase:2,allow,msg:'Redirect to CAPTCHA challenge'"

این قانون به‌طور خودکار کاربر را به صفحه CAPTCHA هدایت می‌کند در صورتی که تعداد درخواست‌ها از یک IP خاص از حد مجاز فراتر رود.

2.4 قوانین امنیتی مبتنی بر هشدار (Alerting Rules)

گاهی اوقات نیاز است که مدیر سایت را از وقوع حملات Brute Force آگاه سازیم. WAF‌ها می‌توانند به‌طور خودکار هشدارهایی برای شناسایی حملات Brute Force ارسال کنند تا مدیر سیستم بتواند سریعاً واکنش نشان دهد.

نمونه قانون برای هشدار دادن به مدیر:

SecRule IP:request_count "@gt 5" \
"phase:2,alert,msg:'Brute Force Attack Detected: Multiple Login Attempts'"

این قانون به‌محض شناسایی تعداد زیادی درخواست واردشده به صفحه ورود، به مدیر سیستم هشدار ارسال می‌کند.

2.5 مسدود کردن IP‌های مخرب

WAF‌ها می‌توانند به‌طور خودکار IP‌هایی که در حملات Brute Force نقش دارند را شناسایی و مسدود کنند. این کار می‌تواند از طریق رصد تعداد درخواست‌ها از یک IP و مسدود کردن آن‌ها پس از حد مشخصی انجام شود.

نمونه قانون برای مسدود کردن IP‌های مخرب:

SecRule IP:request_count "@gt 100" \
"phase:2,deny,status:403,msg:'IP Blocked due to Brute Force Attack'"

این قانون از تکرار حملات Brute Force جلوگیری می‌کند و IP مهاجم را پس از تعداد زیادی درخواست مسدود می‌کند.

جمع‌بندی

حملات Brute Force یک تهدید جدی برای امنیت وب‌سایت‌ها و سیستم‌های آنلاین هستند. استفاده از Web Application Firewall (WAF) به‌ویژه با تنظیم محدودیت نرخ درخواست‌ها (Rate Limiting)، شناسایی رفتارهای مشکوک، استفاده از CAPTCHA و مسدود کردن IP‌های مخرب می‌تواند از موفقیت حملات Brute Force جلوگیری کند. همچنین، استفاده از قوانین هشداردهی به مدیران وب‌سایت این امکان را می‌دهد که سریعاً به حملات پاسخ دهند و اقدامات حفاظتی لازم را اتخاذ کنند.

WAF‌ها ابزار قدرتمندی برای محافظت در برابر این نوع حملات هستند و با تنظیم صحیح قوانین و نظارت دقیق بر ترافیک وب‌سایت می‌توانند تأثیر حملات Brute Force را به حداقل برسانند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”File Upload Exploits: بررسی و جلوگیری از بارگذاری فایل‌های مخرب” subtitle=”توضیحات کامل”]بارگذاری فایل‌ها یکی از ویژگی‌های رایج وب‌سایت‌ها و اپلیکیشن‌ها است که به کاربران این امکان را می‌دهد تا فایل‌هایی مانند تصاویر، مستندات، ویدیئوها و غیره را ارسال کنند. با این حال، این ویژگی اگر به‌طور صحیح مدیریت نشود، می‌تواند یک حفره امنیتی بزرگ به‌ویژه در برابر حملات بارگذاری فایل‌های مخرب (File Upload Exploits) ایجاد کند. حملات بارگذاری فایل‌های مخرب به مهاجمین این امکان را می‌دهد که فایل‌های مخربی مانند ویروس‌ها، کدهای اجرا شونده یا اسکریپت‌های مخرب را بر روی سرور آپلود کرده و از آن‌ها برای نفوذ به سیستم یا انجام حملات مختلف استفاده کنند.

در این بخش، به نحوه شناسایی و جلوگیری از حملات بارگذاری فایل‌های مخرب از طریق Web Application Firewall (WAF) خواهیم پرداخت.

1. حملات بارگذاری فایل‌های مخرب چیست؟

حمله بارگذاری فایل‌های مخرب معمولاً زمانی رخ می‌دهد که یک مهاجم از قابلیت بارگذاری فایل برای ارسال فایل‌های مخرب استفاده می‌کند. این فایل‌ها ممکن است شامل موارد زیر باشند:

  • اسکریپت‌های اجرایی ( مانند PHP، ASP، JSP): این اسکریپت‌ها می‌توانند به مهاجمین این امکان را بدهند که کد دلخواه خود را اجرا کنند.
  • ویروس‌ها و بدافزارها: فایل‌هایی که حاوی بدافزار هستند ممکن است پس از بارگذاری، به سیستم آسیب برسانند.
  • کدهای شل (Shell Code): این کدها می‌توانند به مهاجمین دسترسی به سرور بدهند و از آن برای انجام فعالیت‌های مخرب استفاده کنند.

در نتیجه، باید اقداماتی برای جلوگیری از بارگذاری چنین فایل‌هایی انجام شود.

2. راه‌های جلوگیری از بارگذاری فایل‌های مخرب از طریق WAF

WAF‌ها می‌توانند با اعمال سیاست‌های امنیتی مناسب از بارگذاری فایل‌های مخرب جلوگیری کنند. در این بخش، به برخی از تکنیک‌های موثر برای حفاظت در برابر این حملات خواهیم پرداخت.

2.1 محدود کردن انواع فایل‌های مجاز (Whitelist)

یکی از روش‌های ابتدایی و مؤثر برای جلوگیری از بارگذاری فایل‌های مخرب، محدود کردن انواع فایل‌هایی است که می‌توانند بارگذاری شوند. به‌عنوان مثال، ممکن است فقط فایل‌های تصویری مانند JPEG، PNG یا GIF مجاز باشند.

نمونه قانون برای محدود کردن نوع فایل‌ها در WAF:

SecRule FILES_TMPNAMES "@rx \.(jpg|jpeg|png|gif)$" \
"phase:2,deny,status:403,msg:'Only image files are allowed'"

این قانون فقط فایل‌هایی که پسوند آنها jpg، jpeg، png و gif است را مجاز می‌شمارد و سایر فایل‌ها را مسدود می‌کند.

2.2 بررسی MIME Type و Extension فایل‌ها

گاهی اوقات، مهاجمان ممکن است فایل‌هایی با پسوند مجاز (مانند .jpg) را بارگذاری کنند که در حقیقت نوع MIME آن‌ها (که نوع واقعی فایل را نشان می‌دهد) چیزی دیگر است (مانند application/x-php). برای جلوگیری از این موضوع، می‌توان نوع MIME فایل‌ها را بررسی کرد و فقط اجازه داد که فایل‌هایی با MIME Type معتبر بارگذاری شوند.

نمونه قانون برای بررسی MIME Type در WAF:

SecRule FILES_CONTENT_TYPE "!@rx ^(image|application/octet-stream)$" \
"phase:2,deny,status:403,msg:'Invalid file type'"

این قانون فایل‌هایی که نوع MIME آن‌ها غیر از تصویر یا رایج (مثلاً فایل‌های اجرایی یا اسکریپت‌ها) است را مسدود می‌کند.

2.3 محدود کردن اندازه فایل‌ها

یکی از روش‌های دیگر برای کاهش خطر بارگذاری فایل‌های مخرب، محدود کردن اندازه فایل‌های بارگذاری‌شده است. این امر می‌تواند مانع از بارگذاری فایل‌های حجیم یا پیچیده‌ای شود که می‌توانند برای ارسال کد مخرب مورد استفاده قرار گیرند.

نمونه قانون برای محدود کردن اندازه فایل‌ها در WAF:

SecRule FILES "@gt 1048576" \
"phase:2,deny,status:403,msg:'File size exceeds limit'"

این قانون از بارگذاری فایل‌هایی که بزرگتر از 1 مگابایت (1048576 بایت) هستند جلوگیری می‌کند.

2.4 استفاده از چک‌های امنیتی برای فایل‌های اجرایی

یک راه دیگر برای جلوگیری از بارگذاری فایل‌های مخرب، شناسایی و مسدود کردن فایل‌های اجرایی است. مهاجمان معمولاً تلاش می‌کنند فایل‌هایی مانند PHP یا Shell Script را بارگذاری کنند تا به سرور دسترسی پیدا کنند. WAF می‌تواند با استفاده از قوانین مشخص، از بارگذاری این نوع فایل‌ها جلوگیری کند.

نمونه قانون برای جلوگیری از بارگذاری فایل‌های PHP و مشابه آن‌ها:

SecRule FILES_TMPNAMES "@rx \.(php|php3|php4|pl|jsp)$" \
"phase:2,deny,status:403,msg:'Executable file types are not allowed'"

این قانون از بارگذاری هرگونه فایل با پسوند php، pl و jsp جلوگیری می‌کند.

2.5 استفاده از نام‌های تصادفی برای فایل‌های آپلود شده

یکی از روش‌های دیگر برای کاهش خطر حملات، استفاده از نام‌های تصادفی برای فایل‌هایی است که کاربر بارگذاری می‌کند. این کار می‌تواند به جلوگیری از دسترسی به فایل‌های حساس از طریق نام‌های پیش‌بینی‌پذیر کمک کند.

برای این منظور، می‌توانید تنظیمات امنیتی خاصی برای تغییر نام فایل‌ها پس از بارگذاری پیاده‌سازی کنید.

جمع‌بندی

حملات بارگذاری فایل‌های مخرب می‌توانند خطرات جدی برای امنیت وب‌سایت‌ها و سرورهای آنلاین ایجاد کنند. برای جلوگیری از این نوع حملات، می‌توان از روش‌های مختلفی استفاده کرد که مهم‌ترین آن‌ها شامل:

  • محدود کردن نوع فایل‌های مجاز به استفاده از لیست سفید (Whitelist).
  • بررسی نوع MIME و پسوند فایل‌ها.
  • محدود کردن اندازه فایل‌ها برای جلوگیری از بارگذاری فایل‌های حجیم.
  • جلوگیری از بارگذاری فایل‌های اجرایی مانند PHP و Shell Scripts.
  • استفاده از نام‌های تصادفی برای فایل‌ها به‌منظور جلوگیری از دسترسی غیرمجاز به فایل‌ها.

با استفاده از تنظیمات مناسب Web Application Firewall (WAF)، می‌توان از این نوع حملات جلوگیری کرد و امنیت وب‌سایت را افزایش داد.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 9. انجام تست امنیتی پس از پیکربندی WAF”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی عملکرد WAF با ابزارهای تست نفوذ” subtitle=”توضیحات کامل”]Web Application Firewall (WAF) ابزار امنیتی است که برای محافظت از وب‌سایت‌ها و برنامه‌های تحت وب در برابر انواع حملات تحت وب طراحی شده است. برای اطمینان از کارایی و عملکرد صحیح WAF، ضروری است که عملکرد آن را با استفاده از ابزارهای تست نفوذ (Penetration Testing) بررسی کنیم. این ابزارها به شبیه‌سازی حملات مخرب کمک می‌کنند تا نقاط ضعف ممکن در سیستم شناسایی و رفع شوند. در این بخش، به بررسی نحوه عملکرد WAF با استفاده از ابزارهای تست نفوذ می‌پردازیم.

1. آشنایی با تست نفوذ و اهداف آن

تست نفوذ فرایندی است که طی آن یک مهاجم (با مجوز) به شبیه‌سازی حملات می‌پردازد تا نقاط ضعف امنیتی یک سیستم را شناسایی کند. این تست‌ها معمولاً شامل شبیه‌سازی انواع مختلف حملات مانند SQL Injection، XSS (Cross-Site Scripting)، CSRF (Cross-Site Request Forgery) و Brute Force هستند.

هدف اصلی از تست نفوذ بررسی قابلیت دفاعی یک سیستم در برابر انواع حملات است. بنابراین، آزمایش عملکرد WAF در مقابل این حملات برای اطمینان از حفاظت کامل وب‌سایت ضروری است.

2. چرا باید عملکرد WAF را با ابزارهای تست نفوذ بررسی کنیم؟

  • شبیه‌سازی حملات واقعی: تست نفوذ به شبیه‌سازی واقعی حملات کمک می‌کند و به‌طور دقیق‌تر نشان می‌دهد که آیا WAF قادر است در برابر حملات مختلف ایستادگی کند یا خیر.
  • شناسایی نقاط ضعف: این ابزارها می‌توانند نقاط ضعف و تنظیمات اشتباه در WAF را شناسایی کنند و اطمینان حاصل شود که قوانین WAF به‌درستی اعمال شده‌اند.
  • بروزرسانی قوانین WAF: تست نفوذ می‌تواند به شناسایی قوانین ناکارآمد کمک کرده و به مدیران سیستم اجازه دهد تا آن‌ها را اصلاح کنند.

3. ابزارهای رایج برای تست نفوذ و بررسی عملکرد WAF

در اینجا به برخی از ابزارهای معروف برای بررسی عملکرد WAF اشاره می‌کنیم:

3.1 OWASP ZAP (Zed Attack Proxy)

OWASP ZAP یک ابزار متن‌باز برای تست نفوذ و شبیه‌سازی حملات است که به‌ویژه برای شبیه‌سازی حملات Cross-Site Scripting (XSS)، SQL Injection و سایر حملات تحت وب مفید است. این ابزار می‌تواند به‌طور خودکار و دستی وب‌سایت‌ها را برای آسیب‌پذیری‌ها بررسی کرده و نتایج آن‌ها را گزارش کند.

  • نحوه استفاده: می‌توانید OWASP ZAP را برای تست عملکرد WAF خود در برابر حملات مختلف استفاده کنید. این ابزار با شبیه‌سازی انواع حملات و گزارش نتایج، می‌تواند نقاط ضعف WAF را شناسایی کند.
3.2 Burp Suite

Burp Suite یکی از ابزارهای قدرتمند در تست نفوذ است که توسط بسیاری از متخصصین امنیتی برای شبیه‌سازی حملات استفاده می‌شود. این ابزار می‌تواند حملات SQL Injection، XSS، CSRF و Session Fixation را شبیه‌سازی کرده و به مدیران کمک کند تا عملکرد WAF را ارزیابی کنند.

  • نحوه استفاده: Burp Suite امکان استفاده از Spider و Scanner را برای اسکن کردن آسیب‌پذیری‌های تحت وب فراهم می‌کند. با انجام این کار، می‌توانید عملکرد WAF را در برابر حملات مختلف آزمایش کنید و نتایج را برای بهبود WAF بررسی کنید.
3.3 Nikto

Nikto یک اسکنر آسیب‌پذیری وب است که می‌تواند به‌طور خودکار وب‌سایت‌ها را برای نقاط ضعف رایج (مانند آسیب‌پذیری‌های XSS و SQL Injection) اسکن کند. این ابزار به‌ویژه برای آزمایش وب‌سایت‌ها و سرورها برای آسیب‌پذیری‌های اولیه مفید است.

  • نحوه استفاده: با استفاده از Nikto می‌توانید درخواست‌های HTTP را به سمت WAF ارسال کرده و واکنش‌های آن را مشاهده کنید. این ابزار همچنین گزارش‌های دقیقی درباره نقاط ضعف پیدا شده ارائه می‌دهد.
3.4 Wfuzz

Wfuzz یک ابزار بر اساس Python است که برای انجام حملات Brute Force، Fuzzing و WAF Bypassing طراحی شده است. این ابزار می‌تواند به شبیه‌سازی حملات مختلفی کمک کند و بررسی کند که آیا WAF قادر به مسدود کردن درخواست‌های مخرب است یا خیر.

  • نحوه استفاده: با استفاده از Wfuzz می‌توان حملات Fuzzing را بر روی درخواست‌های HTTP انجام داد و به‌طور خاص به بررسی نحوه رفتار WAF در برابر انواع درخواست‌های غیرمجاز پرداخت.

4. بررسی عملکرد WAF با استفاده از ابزارهای تست نفوذ

برای بررسی صحیح عملکرد WAF، باید روش‌های تست مختلفی را در نظر گرفت:

4.1 تست حملات SQL Injection

یکی از رایج‌ترین حملات تحت وب، SQL Injection است. برای بررسی عملکرد WAF در برابر این حمله، می‌توان از ابزارهایی مانند OWASP ZAP یا Burp Suite برای ارسال درخواست‌های SQL Injection به وب‌سایت استفاده کرد.

  • بررسی عملکرد WAF: اگر WAF به درستی پیکربندی شده باشد، باید بتواند این درخواست‌ها را شناسایی کرده و مسدود کند. به‌عنوان مثال، پس از ارسال درخواست‌هایی مانند UNION SELECT یا DROP TABLE، WAF باید درخواست‌ها را رد کند.
4.2 تست حملات Cross-Site Scripting (XSS)

حملات XSS به مهاجمین این امکان را می‌دهند که اسکریپت‌های مخرب را در صفحات وب وارد کنند. برای تست WAF در برابر XSS می‌توان از OWASP ZAP یا Burp Suite استفاده کرد.

  • بررسی عملکرد WAF: WAF باید درخواست‌هایی که حاوی کدهای اسکریپتی هستند را مسدود کند. به‌عنوان مثال، اگر مهاجم تلاش کند که اسکریپتی مانند <script>alert('XSS');</script> را در فرم ورودی وارد کند، WAF باید آن را شناسایی و مسدود کند.
4.3 تست حملات Brute Force

حملات Brute Force تلاش برای حدس رمز عبور با استفاده از تعداد زیادی تلاش است. این حملات معمولاً با ارسال تعداد زیادی درخواست برای ورود به سایت انجام می‌شوند.

  • بررسی عملکرد WAF: WAF باید قادر به شناسایی تعداد زیاد درخواست‌ها از یک IP خاص باشد و آن‌ها را مسدود کند. استفاده از ابزارهایی مانند Burp Suite برای انجام تست‌های Brute Force می‌تواند کمک کند تا اثربخشی WAF در این زمینه ارزیابی شود.
4.4 تست حملات File Upload Exploits

حملات File Upload Exploits به مهاجمان این امکان را می‌دهند که فایل‌های مخربی را بارگذاری کنند. برای بررسی عملکرد WAF در برابر این حملات می‌توان از ابزارهایی مانند Burp Suite و Nikto برای ارسال درخواست‌های آپلود فایل استفاده کرد.

  • بررسی عملکرد WAF: WAF باید قادر به شناسایی انواع فایل‌های مخرب باشد و از بارگذاری فایل‌هایی که حاوی کدهای اجرایی یا ویروس‌ها هستند جلوگیری کند.

جمع‌بندی

برای اطمینان از عملکرد صحیح WAF، باید آن را با استفاده از ابزارهای تست نفوذ مانند OWASP ZAP، Burp Suite، Nikto و Wfuzz مورد آزمایش قرار داد. این ابزارها می‌توانند حملات مختلف را شبیه‌سازی کرده و عملکرد WAF در مسدود کردن حملات را ارزیابی کنند. با انجام این تست‌ها، می‌توان نقاط ضعف و تنظیمات اشتباه را شناسایی کرد و اقدامات لازم برای تقویت امنیت وب‌سایت را انجام داد.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”اجرای Security Audit برای اطمینان از عملکرد صحیح WAF” subtitle=”توضیحات کامل”]Security Audit یکی از مهم‌ترین فرایندها در ارزیابی و تقویت امنیت یک سیستم است. این فرآیند شامل بررسی دقیق تمامی لایه‌های امنیتی از جمله Web Application Firewall (WAF) است. هدف از این بررسی‌ها، اطمینان از عملکرد صحیح WAF و شناسایی هرگونه آسیب‌پذیری یا تنظیمات اشتباه است که ممکن است امنیت وب‌سایت یا برنامه تحت وب را به خطر بیندازد.

در این بخش، نحوه اجرای Security Audit برای بررسی عملکرد صحیح WAF توضیح داده می‌شود. این پروسه می‌تواند شامل بررسی پیکربندی، تست حملات، بررسی لاگ‌ها، و شبیه‌سازی شرایط واقعی باشد تا مطمئن شویم WAF به‌درستی کار می‌کند و از وب‌سایت در برابر تهدیدات مختلف محافظت می‌کند.

1. آماده‌سازی و تنظیمات اولیه

قبل از شروع Security Audit، باید اطمینان حاصل کنید که WAF به درستی نصب و پیکربندی شده باشد. این شامل موارد زیر است:

  • بررسی پیکربندی اولیه WAF: اطمینان حاصل کنید که قوانین اولیه WAF به درستی تنظیم شده‌اند و آن‌ها به‌طور مناسب از حملات رایج مانند SQL Injection، XSS، CSRF و غیره جلوگیری می‌کنند.
  • پیکربندی دقیق قوانین: قوانین WAF باید به‌گونه‌ای تنظیم شوند که تمام نقاط آسیب‌پذیر را پوشش دهند و از هر گونه تداخل با عملکرد طبیعی سایت جلوگیری شود.
  • فعال‌سازی حالت شبیه‌سازی (Simulation Mode): در صورتی که WAF این حالت را پشتیبانی می‌کند، می‌توانید از آن برای شبیه‌سازی حملات و ارزیابی واکنش WAF استفاده کنید.

2. شبیه‌سازی حملات و بررسی واکنش WAF

یکی از روش‌های اصلی برای بررسی عملکرد صحیح WAF، شبیه‌سازی حملات و مشاهده واکنش WAF است. این مرحله می‌تواند شامل استفاده از ابزارهای مختلف برای انجام تست‌های نفوذ و ارزیابی نحوه عملکرد WAF باشد.

2.1 SQL Injection Test

یکی از رایج‌ترین حملات وب، SQL Injection است. برای تست عملکرد WAF در برابر SQL Injection، می‌توانید از ابزارهایی مانند OWASP ZAP یا Burp Suite استفاده کنید.

  • گام‌ها:
    • حملات SQL Injection مانند UNION SELECT یا DROP TABLE را به وب‌سایت ارسال کنید.
    • بررسی کنید که WAF قادر به شناسایی و مسدود کردن این درخواست‌ها باشد.
    • اگر درخواست‌ها مسدود شدند، اطمینان حاصل کنید که هیچ اطلاعات حساس در لاگ‌ها ثبت نشده است.
2.2 Cross-Site Scripting (XSS) Test

حملات XSS به مهاجمان این امکان را می‌دهند که کدهای مخرب را در صفحات وب اجرا کنند. برای آزمایش عملکرد WAF در برابر این حملات، می‌توانید از Burp Suite یا OWASP ZAP استفاده کنید.

  • گام‌ها:
    • اسکریپت‌های مخرب مانند <script>alert('XSS');</script> را در فرم‌ها و ورودی‌های مختلف وب‌سایت وارد کنید.
    • بررسی کنید که WAF این درخواست‌ها را شناسایی و مسدود کند.
    • پس از مسدود شدن، بررسی کنید که WAF هیچ گزارشی از این درخواست‌های غیرمجاز تولید نکرده باشد.
2.3 Brute Force Test

Brute Force حملاتی هستند که در آن‌ها مهاجم سعی می‌کند پسوردها را حدس بزند. برای تست عملکرد WAF در برابر این حملات، از ابزارهایی مانند Burp Suite و Hydra استفاده کنید.

  • گام‌ها:
    • ارسال تعداد زیادی درخواست ورود با ترکیب‌های مختلف پسورد برای بررسی واکنش WAF.
    • بررسی کنید که WAF قادر باشد درخواست‌های مشکوک را شناسایی کرده و دسترسی را محدود کند.
2.4 File Upload Test

حملات File Upload Exploits ممکن است به مهاجمان این امکان را بدهد که فایل‌های مخرب را بر روی سرور آپلود کنند. برای تست عملکرد WAF در برابر این حملات، می‌توانید از ابزارهایی مانند Burp Suite یا Nikto استفاده کنید.

  • گام‌ها:
    • تلاش برای آپلود فایل‌های مخرب (مثل فایل‌های با پسوند .php یا .exe) از طریق فرم‌های آپلود.
    • بررسی کنید که WAF قادر به شناسایی و مسدود کردن این درخواست‌ها باشد.

3. بررسی و تحلیل لاگ‌ها

یکی از مهم‌ترین بخش‌های امنیتی در فرایند Security Audit بررسی لاگ‌های WAF است. این لاگ‌ها باید حاوی اطلاعاتی درباره درخواست‌های مسدود شده، نوع حمله و اقدامات انجام‌شده توسط WAF باشند.

  • بررسی لاگ‌ها: اطمینان حاصل کنید که تمامی حملات شبیه‌سازی شده به‌درستی در لاگ‌ها ثبت شده‌اند و اطلاعات حساس و مهمی در آن‌ها از دست نرفته است.
  • بررسی تداخل‌ها و خطاها: بررسی کنید که آیا تداخل یا خطایی در تنظیمات WAF وجود دارد که باعث مسدود شدن درخواست‌های مجاز شود.
  • تجزیه‌وتحلیل وضعیت: لاگ‌ها را بررسی کنید تا از اینکه WAF تمامی حملات را به‌طور مؤثر مسدود کرده است، اطمینان حاصل کنید.

4. بررسی تأثیر WAF بر عملکرد سایت

یکی از مسائل مهم در ارزیابی عملکرد WAF بررسی تأثیر آن بر عملکرد سایت است. به‌ویژه در سایت‌های پربازدید، باید از این نظر اطمینان حاصل کنید که WAF باعث کاهش سرعت و کارایی سایت نمی‌شود.

  • تست بار (Load Testing): پس از فعال‌سازی WAF، تست‌های بارگذاری انجام دهید تا بررسی کنید که آیا هیچ کاهش سرعت قابل توجهی در بارگذاری صفحات وجود دارد یا خیر.
  • بررسی مصرف منابع: نظارت بر مصرف منابع سرور پس از فعال‌سازی WAF برای اطمینان از کارایی مطلوب.

5. تست False Positives (کاهش تشخیص اشتباه)

یکی دیگر از مراحل مهم در اجرای Security Audit بررسی False Positives است. یعنی بررسی این که آیا WAF درخواست‌های مجاز را به اشتباه مسدود می‌کند یا خیر.

  • بررسی ورودی‌های مجاز: آزمایش‌های مختلفی را با استفاده از ورودی‌های معمولی و مجاز انجام دهید تا از اینکه هیچ درخواست مجازی توسط WAF مسدود نمی‌شود، اطمینان حاصل کنید.

جمع‌بندی

اجرای Security Audit برای ارزیابی عملکرد صحیح WAF یک فرایند چندمرحله‌ای است که شامل شبیه‌سازی حملات، تحلیل لاگ‌ها، بررسی تأثیر بر عملکرد سایت و کاهش False Positives است. با استفاده از ابزارهایی مانند OWASP ZAP، Burp Suite و Nikto می‌توان عملکرد WAF را در برابر حملات رایج تست کرد. پس از انجام این تست‌ها و تجزیه‌وتحلیل دقیق، می‌توان اطمینان حاصل کرد که WAF به درستی پیکربندی شده است و وب‌سایت به‌طور مؤثر در برابر تهدیدات محافظت می‌شود.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”استفاده از Penetration Testing Tools برای شبیه‌سازی حملات و بررسی کارایی WAF” subtitle=”توضیحات کامل”]Penetration Testing یا تست نفوذ، یکی از بهترین روش‌ها برای ارزیابی امنیت سیستم‌ها و زیرساخت‌های IT است. در این روش، ابزارهای مختلفی برای شبیه‌سازی حملات سایبری به کار گرفته می‌شوند تا ضعف‌ها و آسیب‌پذیری‌ها شناسایی شوند. در این بخش، نحوه استفاده از ابزارهای تست نفوذ (Penetration Testing Tools) برای شبیه‌سازی حملات و ارزیابی کارایی Web Application Firewall (WAF) شرح داده می‌شود.

استفاده از این ابزارها به شما این امکان را می‌دهد که بررسی کنید آیا WAF به‌درستی تنظیم شده است و قادر به شناسایی و مسدود کردن حملات مختلف است یا خیر.

1. OWASP ZAP (Zed Attack Proxy)

OWASP ZAP یکی از محبوب‌ترین ابزارهای تست نفوذ رایگان است که به‌طور خاص برای ارزیابی امنیت برنامه‌های تحت وب طراحی شده است. این ابزار به شما کمک می‌کند تا حملات رایج وب را شبیه‌سازی کرده و نحوه واکنش WAF را بررسی کنید.

نحوه استفاده از OWASP ZAP برای تست WAF:
  • مرحله اول: نصب و راه‌اندازی OWASP ZAP.
  • مرحله دوم: انجام پروکسی کردن ترافیک از طریق ZAP به سرور وب شما که WAF در آن فعال است.
  • مرحله سوم: شبیه‌سازی حملات مختلف مانند SQL Injection، XSS، File Inclusion و غیره با استفاده از ابزارهایی که ZAP ارائه می‌دهد.
  • مرحله چهارم: بررسی واکنش WAF به این حملات و اطمینان از مسدود شدن درخواست‌های مخرب.
  • مرحله پنجم: تجزیه و تحلیل گزارش‌های تولید شده توسط ZAP برای مشاهده حملات شبیه‌سازی‌شده و بررسی نحوه شناسایی و مسدود شدن آن‌ها توسط WAF.

2. Burp Suite

Burp Suite یکی از قوی‌ترین و شناخته‌شده‌ترین ابزارهای تست نفوذ وب است که می‌تواند برای شبیه‌سازی انواع حملات استفاده شود. این ابزار علاوه بر فراهم کردن امکانات آزمایش دستی، قابلیت انجام حملات خودکار را نیز دارد.

نحوه استفاده از Burp Suite برای تست WAF:
  • مرحله اول: نصب و پیکربندی Burp Suite و تنظیم پروکسی برای رهگیری ترافیک HTTP/HTTPS به سرور موردنظر.
  • مرحله دوم: استفاده از Burp Intruder برای ارسال درخواست‌های حملات مختلف به سمت سرور و شبیه‌سازی حملات SQL Injection، XSS، Brute Force و غیره.
  • مرحله سوم: بررسی پاسخ‌های دریافت شده از سرور و اطمینان از مسدود شدن درخواست‌های مشکوک توسط WAF.
  • مرحله چهارم: تحلیل گزارش‌های Burp Suite و شناسایی حملات موفق یا مسدودشده.

Burp Suite از ابزارهایی مانند Burp Scanner برای شناسایی آسیب‌پذیری‌ها و Burp Intruder برای انجام حملات خودکار استفاده می‌کند که می‌توانند در شبیه‌سازی انواع حملات به‌کار گرفته شوند.

3. Nikto

Nikto یک ابزار متن‌باز برای اسکن وب است که قادر است تا آسیب‌پذیری‌های معروف وب‌سایت‌ها را شبیه‌سازی کرده و شبیه حملات مختلف را شبیه‌سازی کند. این ابزار می‌تواند اطلاعات مربوط به SQL Injection، XSS، Directory Traversal و سایر آسیب‌پذیری‌ها را بررسی کند.

نحوه استفاده از Nikto برای تست WAF:
  • مرحله اول: نصب Nikto و راه‌اندازی آن.
  • مرحله دوم: اجرای اسکن بر روی وب‌سایت هدف برای شبیه‌سازی حملات.
  • مرحله سوم: بررسی این که آیا WAF قادر به شناسایی و مسدود کردن درخواست‌ها بوده یا خیر.
  • مرحله چهارم: تجزیه و تحلیل گزارش‌ها و ارزیابی واکنش WAF به درخواست‌های مخرب.

Nikto همچنین می‌تواند اطلاعات دقیق‌تری از تنظیمات WAF و نحوه عملکرد آن در برابر انواع مختلف حملات فراهم کند.

4. Acunetix

Acunetix یک ابزار تست نفوذ خودکار است که برای اسکن وب‌سایت‌ها و برنامه‌های تحت وب طراحی شده است. این ابزار قادر است به‌طور خودکار آسیب‌پذیری‌های وب را شبیه‌سازی کرده و WAF را از نظر شناسایی و مسدود کردن حملات مختلف بررسی کند.

نحوه استفاده از Acunetix برای تست WAF:
  • مرحله اول: نصب و پیکربندی Acunetix.
  • مرحله دوم: انجام اسکن خودکار برای شبیه‌سازی حملات مختلف.
  • مرحله سوم: بررسی این که آیا WAF قادر به شناسایی و مسدود کردن آسیب‌پذیری‌ها و حملات است.
  • مرحله چهارم: تجزیه و تحلیل گزارش‌ها و نتیجه‌گیری در مورد اثر بخشی WAF در مسدود کردن حملات.

5. Wfuzz

Wfuzz یک ابزار حمله است که به‌طور ویژه برای تست آسیب‌پذیری‌های وب‌سایت‌ها و وب‌اپلیکیشن‌ها طراحی شده است. این ابزار از روش‌های مختلفی برای شبیه‌سازی حملات مانند SQL Injection و Brute Force استفاده می‌کند.

نحوه استفاده از Wfuzz برای تست WAF:
  • مرحله اول: نصب Wfuzz و آماده‌سازی آن برای ارسال درخواست‌ها به سرور هدف.
  • مرحله دوم: انتخاب حملات مناسب مانند Directory Traversal، SQL Injection، XSS و ارسال آن‌ها به سرور هدف.
  • مرحله سوم: بررسی واکنش WAF به درخواست‌های ارسال‌شده و تجزیه‌وتحلیل گزارش‌ها برای شناسایی حملات مسدودشده.
  • مرحله چهارم: ارزیابی کارایی WAF در برابر حملات پیچیده‌تر و شناسایی نقطه ضعف‌های آن.

6. OWASP Amass

OWASP Amass یکی دیگر از ابزارهای امنیتی است که بیشتر برای شناسایی زیرساخت‌های مرتبط با یک وب‌سایت و یا سازمان به‌کار می‌رود. این ابزار به شبیه‌سازی حملات Reconnaissance و ارزیابی آسیب‌پذیری‌های زیرساخت کمک می‌کند.

نحوه استفاده از Amass برای تست WAF:
  • مرحله اول: نصب و راه‌اندازی OWASP Amass.
  • مرحله دوم: استفاده از آن برای شبیه‌سازی حملات اطلاعاتی و شناسایی وب‌سایت‌های آسیب‌پذیر.
  • مرحله سوم: تجزیه‌وتحلیل و بررسی این که آیا WAF توانسته جلوی شناسایی زیرساخت‌ها و آسیب‌پذیری‌ها را بگیرد یا خیر.

جمع‌بندی

برای ارزیابی عملکرد صحیح Web Application Firewall (WAF) و اطمینان از قدرت و کارایی آن در برابر حملات سایبری، ابزارهای Penetration Testing ابزاری حیاتی هستند. با استفاده از ابزارهایی مانند OWASP ZAP، Burp Suite، Nikto، Acunetix و Wfuzz، می‌توانید حملات مختلف را شبیه‌سازی کرده و بررسی کنید که آیا WAF قادر به شناسایی و مسدود کردن آن‌هاست یا خیر.

تست نفوذ و شبیه‌سازی حملات به‌طور مداوم به شما این امکان را می‌دهد که امنیت وب‌سایت خود را بهبود بخشید و نقاط ضعف موجود در WAF را شناسایی کرده و برطرف کنید.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 10. نگهداری و به‌روزرسانی تنظیمات WAF”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه بروزرسانی قوانین امنیتی WAF” subtitle=”توضیحات کامل”]برای حفظ امنیت وب‌سایت‌ها و جلوگیری از حملات جدید، بروزرسانی قوانین امنیتی WAF به‌طور منظم اهمیت زیادی دارد. این قوانین شامل قواعد پیش‌فرض، تنظیمات سفارشی و به‌روزرسانی‌های مربوط به تهدیدات جدید هستند. در اینجا مراحل مختلف بروزرسانی قوانین امنیتی WAF آورده شده است.

۱. بروزرسانی قوانین WAF از طریق رابط گرافیکی (GUI)

1.1 بروزرسانی قوانین از طریق پنل کاربری cPanel

  1. ورود به cPanel:
    • وارد cPanel شوید و به بخش Imunify360 یا Security بروید (بسته به اینکه کدام نسخه از WAF استفاده می‌کنید).
  2. دسترسی به تنظیمات WAF:
    • در بخش Imunify360 یا Security، گزینه Web Application Firewall (WAF) را انتخاب کنید.
    • در اینجا می‌توانید تنظیمات WAF را مشاهده کرده و بروزرسانی قوانین را انجام دهید.
  3. بروزرسانی قواعد:
    • در صورتی که بروزرسانی خودکار برای WAF فعال باشد، این قوانین به‌طور اتوماتیک به‌روز می‌شوند.
    • در غیر این صورت، می‌توانید با کلیک بر روی Update Rules، قوانین جدید را بارگذاری کنید.
  4. بررسی قوانین جدید:
    • پس از بروزرسانی، بررسی کنید که قوانین به‌طور صحیح به‌روزرسانی شده‌اند.
    • تغییرات اعمال‌شده ممکن است شامل قوانین جدید برای جلوگیری از تهدیدات تازه باشد.

1.2 بروزرسانی قوانین در Plesk

  1. ورود به Plesk:
    • وارد Plesk شوید و به بخش Imunify360 یا Security بروید.
  2. دسترسی به تنظیمات WAF:
    • در قسمت Imunify360، به تنظیمات WAF بروید.
  3. بروزرسانی قوانین:
    • گزینه Update Rules را برای به‌روزرسانی قوانین انتخاب کنید. در اینجا، می‌توانید قوانین جدید را دانلود کرده و به‌روزرسانی کنید.
  4. اعمال تغییرات:
    • پس از بروزرسانی، مطمئن شوید که قوانین جدید به درستی اعمال شده‌اند.

1.3 بروزرسانی قوانین در DirectAdmin

  1. ورود به DirectAdmin:
    • وارد پنل مدیریتی DirectAdmin شوید.
  2. دسترسی به تنظیمات WAF:
    • به بخش Imunify360 بروید و گزینه WAF را انتخاب کنید.
  3. بروزرسانی قوانین:
    • برای به‌روزرسانی قوانین WAF، گزینه Update Rules را انتخاب کنید و تغییرات جدید را اعمال کنید.

۲. بروزرسانی قوانین WAF از طریق دستورات خط فرمان (CLI)

برای بروزرسانی قوانین WAF از طریق دستورات خط فرمان، می‌توانید از ابزارهایی که در سیستم‌عامل‌های لینوکسی برای مدیریت WAF‌ها استفاده می‌شود، استفاده کنید.

2.1 بروزرسانی قوانین در Imunify360 از طریق CLI

  1. وارد شدن به سرور:
    • وارد سرور خود شوید (با دسترسی root یا sudo).
  2. بروزرسانی قواعد WAF:
    • برای بروزرسانی قوانین Imunify360، دستور زیر را اجرا کنید: 
      imunify360-agent update
  3. تأیید بروزرسانی:
    • پس از اجرا، می‌توانید با دستور زیر تأیید کنید که قوانین به‌روزرسانی شده‌اند: 
      imunify360-agent status
  4. بررسی وضعیت قوانین:
    • با اجرای دستور زیر می‌توانید قوانین WAF را بررسی کرده و مطمئن شوید که به‌روزرسانی‌ها به درستی اعمال شده‌اند: 
      imunify360-agent firewall status

2.2 بروزرسانی قوانین در ModSecurity

  1. وارد شدن به سرور:
    • به سرور وارد شوید (با دسترسی root یا sudo).
  2. بروزرسانی قوانین ModSecurity:
    • برای بروزرسانی قوانین ModSecurity از یک دستور مشابه زیر استفاده کنید: 
      yum update mod_security

    یا اگر از apt-get استفاده می‌کنید:

    apt-get update mod-security
  3. نصب قوانین جدید:
    • قوانین جدید ModSecurity معمولاً به‌صورت بسته‌های جدید از طریق مخازن به‌روزرسانی می‌شوند. بنابراین پس از بروزرسانی، با استفاده از دستور زیر می‌توانید قوانین جدید را نصب کنید: 
      yum install mod_security-rules
  4. بارگذاری مجدد تنظیمات ModSecurity:
    • پس از بروزرسانی، برای اعمال قوانین جدید، باید سرور را مجدداً راه‌اندازی کنید: 
      systemctl restart httpd

      یا در صورتی که از Nginx استفاده می‌کنید:

      systemctl restart nginx

2.3 بررسی وضعیت پس از بروزرسانی

برای بررسی وضعیت WAF و تأیید اینکه قوانین به‌درستی به‌روز شده‌اند، از دستورات زیر استفاده کنید:

  • برای بررسی وضعیت Imunify360: 
    imunify360-agent status
  • برای بررسی وضعیت ModSecurity: 
    tail -f /var/log/apache2/modsec_audit.log

۳. نکات مهم در بروزرسانی قوانین WAF

  • زمان‌بندی بروزرسانی:
    • بروزرسانی قوانین باید به‌طور منظم انجام شود، به‌ویژه زمانی که تهدیدات جدید کشف می‌شوند.
  • آزمایش پس از بروزرسانی:
    • پس از اعمال بروزرسانی، باید تست‌هایی برای اطمینان از عملکرد صحیح WAF انجام شود.
  • پشتیبان‌گیری قبل از بروزرسانی:
    • همیشه پیش از بروزرسانی، از تنظیمات و پیکربندی‌های WAF نسخه پشتیبان تهیه کنید.
  • اطلاع از تغییرات در قوانین:
    • قبل از بروزرسانی، اطلاع از تغییرات جدید در قوانین و تنظیمات بسیار مهم است. از توسعه‌دهندگان WAF برای دریافت اطلاعات کامل در مورد به‌روزرسانی‌ها استفاده کنید.

جمع‌بندی

بروزرسانی منظم قوانین WAF یکی از اقدامات کلیدی برای حفاظت از وب‌سایت‌ها در برابر تهدیدات جدید است. این فرآیند می‌تواند از طریق رابط گرافیکی (GUI) یا دستورات خط فرمان (CLI) انجام شود و نیازمند بررسی و آزمون پس از به‌روزرسانی است تا از عملکرد صحیح آن اطمینان حاصل شود.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”فعال‌سازی بروزرسانی‌های خودکار برای حفاظت از تهدیدات جدید” subtitle=”توضیحات کامل”]برای حفاظت از تهدیدات جدید و به‌روز نگه‌داشتن سیستم، فعال‌سازی بروزرسانی‌های خودکار یک گزینه بسیار حیاتی است. با توجه به اینکه تهدیدات سایبری به‌طور مداوم تغییر کرده و بهبود می‌یابند، نرم‌افزارها و ابزارهای امنیتی نیز باید به‌طور منظم بروزرسانی شوند تا بتوانند به‌خوبی در برابر تهدیدات جدید مقابله کنند. در این بخش، نحوه فعال‌سازی بروزرسانی‌های خودکار برای WAF و سایر بخش‌های امنیتی سیستم مانند ModSecurity یا Immunify360 بررسی می‌شود.

1. بروزرسانی خودکار در Immunify360

Immunify360 به‌طور پیش‌فرض قابلیت بروزرسانی خودکار برای دیتابیس‌های شناسایی بدافزارها و قوانین WAF را دارد. برای فعال‌سازی یا اطمینان از فعال بودن بروزرسانی‌های خودکار، می‌توانید از رابط گرافیکی یا CLI استفاده کنید.

فعال‌سازی بروزرسانی خودکار از طریق رابط گرافیکی (GUI):
  1. وارد پنل مدیریتی Immunify360 شوید.
  2. از بخش Settings، گزینه Updates را انتخاب کنید.
  3. در قسمت Automatic Updates, گزینه Enable Automatic Updates را فعال کنید.

این تنظیمات باعث می‌شود که بروزرسانی‌ها به‌طور خودکار دانلود و نصب شوند.

فعال‌سازی بروزرسانی خودکار از طریق CLI:

در صورت تمایل به مدیریت این ویژگی از طریق خط فرمان، دستورات زیر را می‌توانید اجرا کنید:

imunify360-agent update --auto

این دستور بروزرسانی خودکار را برای Immunify360 فعال می‌کند.

2. بروزرسانی خودکار در ModSecurity

ModSecurity نیز قابلیت بروزرسانی خودکار قوانین امنیتی را دارد. برای به‌روز نگه داشتن قوانین ModSecurity، می‌توانید از بروزرسانی‌های خودکار بهره ببرید.

فعال‌سازی بروزرسانی خودکار در ModSecurity:
  1. وارد سرور خود شوید.
  2. فایل پیکربندی ModSecurity را ویرایش کنید. معمولاً این فایل در مسیر /etc/modsecurity/modsecurity.conf قرار دارد.
  3. خط زیر را در فایل پیکربندی اضافه یا اصلاح کنید:
SecUpdateRemoteRules    On
SecRuleEngine           On

این تنظیمات باعث می‌شود که ModSecurity به‌طور خودکار قوانین خود را از منابع معتبر دریافت کرده و به‌روز کند.

3. تنظیمات بروزرسانی خودکار برای سیستم‌عامل

گاهی ممکن است نیاز باشد که برای اطمینان از بروزرسانی‌های خودکار سیستم‌عامل، تنظیماتی را انجام دهید. برای سیستم‌های لینوکسی معمولاً از ابزار unattended-upgrades استفاده می‌شود که بروزرسانی‌های خودکار امنیتی را مدیریت می‌کند.

فعال‌سازی بروزرسانی خودکار در سیستم‌عامل لینوکس:
  1. اطمینان حاصل کنید که پکیج unattended-upgrades نصب است:
sudo apt-get install unattended-upgrades
  1. فایل پیکربندی آن را ویرایش کنید:
sudo nano /etc/apt/apt.conf.d/50unattended-upgrades
  1. اطمینان حاصل کنید که گزینه‌های زیر فعال هستند:
Unattended-Upgrade::Allowed-Origins {
    "o=Ubuntu,a=stable";
    "o=Ubuntu,a=security";
};

این تنظیمات باعث می‌شود که بروزرسانی‌های امنیتی به‌طور خودکار اعمال شوند.

4. بررسی وضعیت بروزرسانی‌های خودکار

برای اطمینان از فعال بودن بروزرسانی‌های خودکار، می‌توانید وضعیت آن‌ها را بررسی کنید. به‌عنوان مثال، برای بررسی وضعیت بروزرسانی‌های خودکار در Immunify360، می‌توانید از دستور زیر استفاده کنید:

imunify360-agent update --status

این دستور وضعیت آخرین بروزرسانی‌ها را به شما نشان می‌دهد و به‌طور دقیق می‌توانید متوجه شوید که آیا بروزرسانی خودکار به‌درستی انجام می‌شود یا نه.

جمع‌بندی

فعال‌سازی بروزرسانی‌های خودکار به‌ویژه در ابزارهای امنیتی مانند Immunify360 و ModSecurity، امری حیاتی برای حفظ امنیت سرور و وب‌سایت است. این بروزرسانی‌ها تضمین می‌کنند که سیستم شما همواره از جدیدترین تهدیدات و آسیب‌پذیری‌ها محافظت می‌شود. با استفاده از تنظیمات خودکار بروزرسانی، می‌توانید به‌راحتی از محافظت مداوم در برابر تهدیدات جدید بهره‌مند شوید، بدون اینکه نیاز به نظارت دستی بر فرآیند بروزرسانی‌ها باشد.

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی مشکلات رایج در پیکربندی WAF و روش‌های رفع آنها” subtitle=”توضیحات کامل”]پیکربندی مناسب WAF (Web Application Firewall) یکی از مراحل کلیدی برای محافظت از وب‌سایت‌ها در برابر تهدیدات و حملات سایبری است. اما ممکن است در فرایند تنظیم و پیکربندی WAF مشکلاتی پیش بیاید که بر عملکرد آن تأثیر بگذارد. در این بخش از آموزش های ارائه شده توسط فرازنتورک، مشکلات رایج در پیکربندی WAF و روش‌های رفع آن‌ها را بررسی می‌کنیم.

۱. مسدود شدن درخواست‌های مجاز (False Positives)

یکی از مشکلات رایج در WAF، شناسایی نادرست درخواست‌های قانونی به‌عنوان حمله است که به آن false positive گفته می‌شود. این مشکل معمولاً زمانی رخ می‌دهد که WAF به اشتباه برخی از درخواست‌های قانونی را به‌عنوان حملات شناسایی کرده و آن‌ها را مسدود می‌کند.

روش‌های رفع:
  • تنظیم استثناها (Exceptions): برای درخواست‌های مجاز که به‌طور اشتباه مسدود می‌شوند، می‌توان استثنائات ایجاد کرد. این کار با اضافه کردن IP‌های مجاز یا تنظیم قوانین برای برخی درخواست‌ها به‌صورت سفارشی انجام می‌شود.
  • تنظیم دقیق قوانین: برای جلوگیری از false positive‌ها، باید قوانین WAF به‌طور دقیق و متناسب با نوع ترافیک سایت تنظیم شود. این شامل بررسی دقیق الگوهای درخواست‌های ورودی و تنظیم پارامترهای حساس است.
  • فعال‌سازی سطح سخت‌گیری پایین‌تر: در برخی موارد، تنظیم سطح سخت‌گیری WAF به میزان کمتر (مانند حالت «گزارش‌دهی» یا «شبیه‌سازی») می‌تواند به شناسایی دقیق‌تر مشکلات کمک کند.

۲. عملکرد ضعیف یا کاهش سرعت وب‌سایت

WAF‌ها در فرآیند فیلتر کردن ترافیک ممکن است باعث کاهش سرعت بارگذاری صفحات وب شوند. این مشکل به‌ویژه در سایت‌های با ترافیک بالا یا سرورهایی که منابع محدودی دارند، رایج است.

روش‌های رفع:
  • بهینه‌سازی تنظیمات WAF: برخی از تنظیمات WAF ممکن است بار زیادی بر روی سرور ایجاد کنند. با بهینه‌سازی قوانین و تعیین اولویت‌ها می‌توان عملکرد WAF را بهبود بخشید.
  • استفاده از کش کردن: فعال کردن کش برای محتوای ایستا و استفاده از CDN می‌تواند به کاهش بار بر روی سرور کمک کرده و سرعت بارگذاری صفحات را افزایش دهد.
  • محدود کردن دامنه قوانینی که به سایت وارد می‌شود: برای سایت‌هایی که تنها نیاز به محافظت در برابر حملات خاص دارند، می‌توان قوانین را به‌طور خاص و محدود اعمال کرد.

۳. مسدود شدن حملات از دست رفته (False Negatives)

False negatives زمانی رخ می‌دهند که WAF قادر به شناسایی و مسدود کردن یک حمله نمی‌شود. این مشکل معمولاً زمانی پیش می‌آید که قوانین WAF به‌طور دقیق به‌روزرسانی نشده باشند یا تنظیمات به‌درستی اعمال نشده باشد.

روش‌های رفع:
  • بروزرسانی قوانین: یکی از روش‌های اصلی برای رفع این مشکل، به‌روزرسانی مداوم قوانین WAF است. این به‌روزرسانی‌ها شامل اضافه کردن و اصلاح قواعد برای شناسایی حملات جدید است.
  • استفاده از ماژول‌های اضافی امنیتی: برخی از WAF‌ها مانند ModSecurity قابلیت استفاده از ماژول‌های اضافی برای شناسایی بهتر حملات را دارند. این ماژول‌ها می‌توانند شناسایی دقیق‌تر تهدیدات را ممکن سازند.
  • پیکربندی دقیق‌تر: در صورتی که حملات خاصی شناسایی نمی‌شوند، می‌توان با بررسی دقیق‌تر درخواست‌ها و تنظیم قوانین برای جلوگیری از آن‌ها اقدام کرد.

۴. مشکلات در پیکربندی فایروال

در برخی موارد، پیکربندی نادرست فایروال می‌تواند باعث اختلال در عملکرد WAF شود. این می‌تواند شامل مسدود شدن نادرست پورت‌ها، پروتکل‌ها یا ترافیک قانونی باشد که به اشتباه مسدود می‌شود.

روش‌های رفع:
  • بررسی دقیق تنظیمات فایروال: اطمینان حاصل کنید که تنظیمات فایروال با WAF سازگار باشد و تداخل نداشته باشد. برای مثال، ممکن است فایروال به‌طور نادرست ترافیک ورودی را قبل از رسیدن به WAF مسدود کند.
  • پیکربندی مجدد پورت‌ها و پروتکل‌ها: برای اطمینان از اینکه پورت‌ها و پروتکل‌های صحیح باز هستند و تداخل ایجاد نمی‌کنند، باید پیکربندی فایروال و WAF را به‌دقت بررسی کرد.

۵. پیکربندی نادرست IP Whitelist/Blacklist

مراحل پیکربندی نادرست در تعیین IP‌های مجاز (Whitelist) یا مسدود (Blacklist) می‌تواند باعث مسدود شدن اشتباهی کاربران قانونی یا اجازه دسترسی به مهاجمان شود.

روش‌های رفع:
  • بررسی دقیق لیست‌ها: اطمینان حاصل کنید که آدرس‌های IP به‌درستی در لیست سفید و سیاه قرار دارند. همچنین از تنظیم دقیق لیست‌ها برای محدود کردن دسترسی‌های غیرمجاز استفاده کنید.
  • استفاده از ابزارهای خودکار برای شناسایی IP‌های مشکوک: ابزارهای مختلفی وجود دارند که می‌توانند IP‌های مشکوک را شناسایی کرده و به‌طور خودکار آن‌ها را به لیست سیاه اضافه کنند.

۶. مشکلات با پیکربندی فیلتر URL و درخواست‌های خاص

در برخی موارد، تنظیمات WAF برای فیلتر کردن درخواست‌های خاص یا URL‌ها می‌تواند باعث مسدود شدن درخواست‌های معتبر یا جلوگیری از عملکرد صحیح سایت شود.

روش‌های رفع:
  • استفاده از Regular Expressions دقیق‌تر: استفاده از الگوهای منظم (Regular Expressions) به‌دقت می‌تواند باعث کاهش مشکلات در مسدود شدن درخواست‌ها شود. این الگوها باید به‌طور خاص و متناسب با نیاز سایت تنظیم شوند.
  • پیکربندی مجدد URL‌ها و پارامترها: باید URL‌ها و پارامترهایی که قرار است فیلتر شوند، با دقت بررسی و پیکربندی شوند تا از مسدود شدن درخواست‌های قانونی جلوگیری شود.

جمع‌بندی

پیکربندی صحیح WAF و مدیریت مشکلات رایج آن یک بخش حیاتی از حفظ امنیت وب‌سایت‌ها است. به‌روزرسانی منظم، تنظیم دقیق قوانین، و استفاده از استثناها برای جلوگیری از false positive‌ها، می‌تواند عملکرد WAF را بهبود بخشد و در مقابله با تهدیدات سایبری مؤثرتر باشد. همچنین بررسی مداوم عملکرد WAF و تنظیمات آن به کاهش مشکلات و افزایش امنیت وب‌سایت کمک می‌کند.

 [/cdb_course_lesson][/cdb_course_lessons]

[cdb_course_lessons title=”پاسخ به سوالات فنی کاربران”][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”free” title=”پشتیبانی دائمی و در لحظه” subtitle=”توضیحات کامل”]ما در این دوره تمام تلاش خود را کرده‌ایم تا محتوایی جامع و کاربردی ارائه دهیم که شما را برای ورود به دنیای حرفه‌ای آماده کند. اما اگر در طول دوره یا پس از آن با سوالات فنی، چالش‌ها یا حتی مشکلاتی در اجرای مطالب آموزشی مواجه شدید، نگران نباشید!

  1. پرسش‌های شما، بخش مهمی از دوره است:
    هر سوال یا مشکلی که مطرح کنید، با دقت بررسی شده و پاسخ کامل و کاربردی برای آن ارائه می‌شود. علاوه بر این، سوالات و پاسخ‌های شما به دوره اضافه خواهند شد تا برای سایر کاربران نیز مفید باشد.
  2. پشتیبانی دائمی و در لحظه:
    تیم ما همواره آماده پاسخگویی به سوالات شماست. هدف ما این است که شما با خیالی آسوده بتوانید مهارت‌های خود را به کار بگیرید و پروژه‌های واقعی را با اعتماد به نفس کامل انجام دهید.
  3. آپدیت دائمی دوره:
    این دوره به طور مداوم به‌روزرسانی می‌شود تا همگام با نیازهای جدید و سوالات کاربران تکمیل‌تر و بهتر گردد. هر نکته جدید یا مشکل رایج، در نسخه‌های بعدی دوره قرار خواهد گرفت.

حرف آخر

با ما همراه باشید تا نه تنها به مشکلات شما پاسخ دهیم، بلکه در مسیر یادگیری و پیشرفت حرفه‌ای، شما را پشتیبانی کنیم. هدف ما این است که شما به یک متخصص حرفه‌ای و قابل‌اعتماد تبدیل شوید و بتوانید با اطمینان پروژه‌های واقعی را بپذیرید و انجام دهید.

📩 اگر سوالی دارید یا به مشکلی برخوردید، همین حالا مطرح کنید!
ما در کوتاه‌ترین زمان ممکن پاسخ شما را ارائه خواهیم داد. 🙌[/cdb_course_lesson][/cdb_course_lessons]

نقد و بررسی‌ها

نقد و بررسی وجود ندارد.

فقط مشتریانی که وارد سیستم شده اند و این محصول را خریداری کرده اند می توانند نظر بدهند.

تمامی حقوق برای سایت فراز نتورک محفوظ است.
سبد خرید

مجموع: ۱۹۶,۰۰۰تومان

مشاهده سبد خریدتسویه حساب

ورود به سایت