域名*解析_如何收回软件安装权限及公有云waf域名解析杂谈 | 总第234周

‍‍

‍‍

0x1本周主题

主题一：我们要收回在虚拟机上安装软件的权限，但有些开发应用程序必须需要管理员权限才能运行。 如何在满足特定软件运行要求的同时，收回安装软件的权限？

A1：如果不依赖外部帮助的话，可以看看组策略里是否有这样的东西。

A2：虚拟机应该是Linux系统。

问：不收回此许可有什么风险？ 有时实现这一目标的成本很高。

A3：风险主要与非正版软件有关。 律师函的发送越来越频繁，因此我们需要妥善处理它们。 所有终端虚拟机均用于开发。 通过组策略撤销权限后，有些软件就无法运行，这是相当令人头疼的。 一些开发终端虚拟机仍然连接到互联网。

A4：没有办法解决这个问题。 很多软件本身就是绿色版本。

问：是否可以在连接互联网时接受权限，但有权限则不连接互联网？

A5：我们先梳理一下网络情况，看看能不能清理干净。 基于互联网，防病毒、防盗版、防泄密防护共同实现。 没有上网的人并不害怕律师信。

A6：终端侧可以考虑几个方向： 1、互联网白名单（过滤某些软件的在线更新，防止信息泄露）。 2.使用白名单或黑名单（白名单可以提前做，黑名单需要定期扫描，但也可以事后做）。 3、采用瘦终端+数据上下行控制。 4、其实开发权是可以循环利用的。

问：我不太明白第三个。 请给我一些关于如何控制上下游数据的建议。 传入和传出以及互联网访问是否受到控制？

A7：数据传入和传出以及互联网访问受到控制。 我们的堡垒机使用的瘦终端无法复制数据。 开发VDI时，可以使用标准模板，无需更新。

问：您遇到过乱发律师函的人吗？ 其实我也不知道他们有没有证据。 一些利基软件只是不加区别地发送它们，甚至没有听说过它们。

A8：这个问题在群里讨论过很多次了。 您可以在每周报告中找到它。 只要没有提供证据，99%的律师信都会被忽视。

A9：是的，忽略它即可。 有些人会在线筛选您的新闻，看看您使用什么技术来发布它。 当然，你还是要自己查一下，看看他发给谁了。 现在头疼的事情就交给了管理层。

A10：一般不会一次性全部交给管理层，而是先交给IT或者相应的业务部门。 此时会在网关上进行拦截处理，后期不会上报给管理。

A11：我们专门分析了一些软件的环境采集+反盗版机制。 国外软件涉及到将主机系统信息传输到国外服务器的问题。 此外，一些专利流氓代理人已经抵达，并将该软件发送给所有可能使用该软件但不在客户名单上的公司。 能居于虎中者，乃一也。

主题二：一般系统如果部署在公有云，会将互联网域名cname改为公有云的waf域名。 根据大家的经验，这个waf域名解析的公网IP地址会发生变化吗？

A1：一般是的，这取决于其waf节点所在的公有云提供商。 一般来说，公有云企业会在多个不同IP的地方部署WAF。 如果是单个IP​​就有问题了。

A2：不能，不能从公网IP地址访问，是通过cname访问。

Q：有朋友接触过CDN waf吗？ 如果cdn waf要保护源站，某个厂家的回源IP地址会是一样的。 如果这个地址改变了，网站会不会瘫痪，无法访问？

A3：最好有多个回源IP，或者一个VIP后面有两个以上节点。 我还没遇到过，不过CDN也不是很多。

A4：我遇到过。 每个地区只有一个，但不应该只有一个。

Q：如果waf域名对应的公网IP发生变化，并且系统中同时有多个域名共享同一个waf公网IP，这种情况下，扫描该waf公网IP的漏洞是否就没有意义了？ ？ 我感觉我无法根据端口定位系统。

A8：这没有任何意义。 因为这个IP对应的是云提供商的WAF服务器，而不是你的Web服务器，所以如果你扫描不带域名的WAF公网IP，将无法扫描到对应的业务。 只有扫描源站点才有意义。

Q：如果政策要求WAF回源保护，理论上扫源站会扫描不到吗？

A9：如果您想自己定期扫描，只需对扫描的IP进行白化即可，可以同时发现WAF前后的漏洞。 只需添加白节点的IP和您自己的IP，其他IP将无法扫描您的源站。 但节点IP监控一定要做好。 如果IP发生变化，一定要及时白化，否则很容易陷入困境。

之前为了检测节点IP，我们写了一个脚本来实时监控。 供应商往往没有及时同步信息。

Q：这里的节点IP是指waf回源的节点吗？

A10：是的。

问：我不太明白这个。 例如，路径为waf-»alb/。 alb/云防火墙配置waf节点ip回源防护。 本例中，waf节点ip地址和waf对外提供的cname的ip地址。 是同一个吗？

A11：对于一半的云WAF，云厂商会提供汇源IP地址段。 只给你一个是不可能的。 cname 是域名。 将你的域名指向cname，解析就完成了。 您无需担心特定IP。 它可能是动态的。 不同地区的访问IP地址可能会发生变化。 返回源IP。 在您的网络业务中添加一个白色的返回地址，然后不允许其他IP直接访问。

A12：只需在防火墙上打开提供的IP地址段即可。 您可以参考以下两个帮助文档：

文档中的图片比较清晰，waf对源和目录都做了nat。

A13：WAF IP和回源IP是两个不同的概念。 前一种对用户侧几乎不可见，后一种需要将网络组添加到安全组中才能通信。 大型工厂一般都是集群形式。