??SSRF(Server Side Request Forgery)攻擊，又可以稱作內網(wǎng)穿越攻擊，是一種攻擊者可以利用服務器的內部網(wǎng)絡而發(fā)起的攻擊行為。由于受限于網(wǎng)絡安全機制，網(wǎng)站用戶無法直接訪問到內網(wǎng)中的資源，但攻擊者可以利用服務器來訪問內網(wǎng)中的資源。典型的SSRF攻擊有：HTTP響應攻擊，SSL證書信息泄露，SSH暴力破解，端口掃描等。

創(chuàng)新互聯(lián)憑借在網(wǎng)站建設、網(wǎng)站推廣領域領先的技術能力和多年的行業(yè)經(jīng)驗，為客戶提供超值的營銷型網(wǎng)站建設服務，我們始終認為：好的營銷型網(wǎng)站就是好的業(yè)務員。我們已成功為企業(yè)單位、個人等客戶提供了網(wǎng)站設計、成都網(wǎng)站設計服務，以良好的商業(yè)信譽，完善的服務及深厚的技術力量處于同行領先地位。

??Redis是一種開源、基于內存的、支持分布式數(shù)據(jù)庫，是當前非常流行的NoSQL數(shù)據(jù)庫，它支持多種數(shù)據(jù)類型，具有高性能，高可用性等優(yōu)勢，以實現(xiàn)多種應用。

??要安全防御SSRF攻擊，以Redis為例，首先需要限定Redis的訪問范圍，最好只允許指定的客戶端IP地址訪問Redis。例如，在Redis配置文件中可以加入如下代碼：

bind 172.19.0.100

??應當嚴格控制Redis的服務端?？梢酝ㄟ^修改Redis配置文件，讓Redis只允許在本地連接，如：

protected-mode yes

??第三，為Redis配置安全授權密碼，以防止SSRF攻擊者繞過主機限制，連接Redis。在Redis的配置文件中，可以添加如下代碼：

requirepass 123456

??此外，還可以通過iptables配置Linux系統(tǒng)的防火墻，拒絕外網(wǎng)對內網(wǎng)的訪問。針對某一特定端口可以執(zhí)行類似下列代碼實現(xiàn)：

 iptables -A INPUT -p tcp -d 127.0.0.1/8 --dport 6379 -j ACCEPT
 iptables -A INPUT -p tcp -d 172.19.0.100 --dport 6379 -j ACCEPT
 iptables -A INPUT -p tcp -d 0.0.0.0/0 --dport 6379 -j DROP

??從上面可以看出，采用上述的方法可以有效防御SSRF攻擊。雖然有局限性，但按照上述步驟進行配置，可以有效地降低SSRF攻擊的風險。

創(chuàng)新互聯(lián)服務器托管擁有成都T3+級標準機房資源，具備完善的安防設施、三線及BGP網(wǎng)絡接入帶寬達10T，機柜接入千兆交換機，能夠有效保證服務器托管業(yè)務安全、可靠、穩(wěn)定、高效運行；創(chuàng)新互聯(lián)專注于成都服務器托管租用十余年，得到成都等地區(qū)行業(yè)客戶的一致認可。

網(wǎng)站標題：安全防止SSRF攻擊的Redis安全建議（ssrf的redis）
轉載來源：http://uogjgqi.cn/article/djiseip.html