网页防篡改安全系统
网页防篡改三家产品对比
网页防篡改试看三强争霸天下注:UnisGuard(北京国舜) InforGuard(济南中创)iGuard(上海天存)日前,一份来自国家互联网应急中心的报告显示,从5月10日开始的,至5月16日一周时间内,中国境内有81个政府网站被篡改。
至5月17日12时,仍有29个被篡改的政府网站没有恢复,其中不仅包括分别位于安徽、江苏、四川和西藏自治区的4个省部级网站,甚至还有25个地市级政府网站也遭到攻击。
由此可见,政府网站的安全意识和安全措施有待加强。
此次81个政府网站遭到攻击,再次敲响了网络安全警钟。
政府门户网站作为国家的行政管理机构发布的信息事关国计民生,一旦被篡改将造成多种严重的后果,主要表现在让政府形象受损,影响信息传达,甚至是恶意发布信息,还会造成木马病毒传播,严重者还会引发泄密事件。
互联网的无疆界性,不仅让电子政务遭受安全隐患,在电子商务尤为明显。
网页被篡改的后果是严重的,站点所在的服务器的稳定性和安全性就成了关键因素。
好在,有以国舜UnisGuard为代表的三大网页防篡改保护系统保驾护航,给了我们打好政府网站保卫战的信心。
一、软件介绍1、UnisGuard产品概述UnisGuard网页防篡改系统(以下简称UnisGuard)是一款网站页面级防护产品。
UnisGuard 的主要功能是通过文件底层驱动技术对Web 站点目录提供全方位的保护,防止入侵者或病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏。
UnisGuard 保护网站安全运行,维护政府和企业形象,保障互联网业务的正常运营,彻底解决了网站的非法修改的问题,是高效、安全、易用的新一代网页防篡改系统。
UnisGuard网页防篡改保护系统于第十届中国信息安全大会中得到了中国计算机学会计算机安全专业委员会、国家计算机病毒应急处理中心、中国电子信息产业发展研究院的一致认可,并凭借在业界广泛的影响力和良好的口碑荣获“09年度中国信息安全最值得信赖网页防篡改品牌奖”。
中创网页防篡改系统
产品概述WebShield 是专注于网站内容安全的网页防篡改系统。
WebShield产品在国内技术最先进、功能最全面、应用最广泛,且唯一能够支持多级管理及跨互联网统一监管功能。
WebShield坚持以技术创新为导向,以国家863技术成果为基础,以成熟的中间件产品和技术为支撑,历经多年的积累和沉淀,业已成为网站内容安全领域最具技术领导力的产品。
WebShield以不断满足用户需求为出发点,充分研究网站安全状况及发展趋势,经过8年的不懈努力,实现了包括网站监控保护、动态防护、同步与备份、告警与应急响应、安全统一监管、威胁分析与报告等一体化的网站安全保护及管理功能。
与同类产品相比具备的优势∙大品牌值得信赖:中国著名中间件产品提供商多年持续创新精心铸就,中国计算机学会计算机安全专业委员会认定的唯一中国信息安全值得信赖网页防篡改产品品牌;∙技术实力强大:上百人的研发、支持、服务团队,提供专业、完善的一条龙服务;∙核心技术全国领先:基于国家863重大网络安全项目成果研发,独具四重防护功能;∙同类产品资质最全,通过公安部、国家保密局和国家信息安全认证中心检测认证;∙……显著特点四重防护纵深防御一重防护——实时阻断:阻断所有非法进程对受保护文件的写操作,将篡改直接拒之于门外。
二重防护——事件触发:实时发现受保护文件的任何变更,并依据判断结果触发相应的后续保护性处理。
三重防护——核心内嵌:依据数字指纹技术,验证所有对外发布文件的合法性,确保无法浏览到被篡改网页。
四重防护——动态防护:屏蔽网站恶意扫描,有效地抵御针对网站数据库资源的注入式攻击。
环境普适全面支持支持所有主流操作系统,包括Windows、Linux、AIX、HP-UX、Solaris等;支持所有主流的Web/应用服务器软件,包括InforSuite AS、IIS、Apache、IBM Http Server、iPlanet、WebSphere、WebLogic、SunOne、Oracle IAS 、Resin、Tomcat、JBoss、TongWeb、Apusic等;支持所有主流的CMS发布系统,如TRS、方正翔宇、TurboCMS、PowerEasy CMS、大汉、南华中天、网达、颖源、ActiveContent、新锐开元KYCMS、风讯、FesendCMS、GPowerCMS、天创等。
网页防篡改系统技术指标要求
网页防篡改系统技术指标要求
1、产品描述
2、功能指标
⏹杜绝网站向外发送被篡改的页面内容;
⏹检测模块内嵌于Web服务器软件中;
⏹可检测静态页面/动态脚本/多媒体文件;
⏹可以按不同容器选择待检测的网页;
⏹网页发布同时自动更新水印值;
⏹网页发送时比较网页和水印值;
⏹★能够防范SQL注入式攻击;
⏹★支持增强型事件触发技术;
⏹支持断线/连线状态下篡改检测;
⏹支持连线状态下网页恢复;
⏹网页篡改时多种方式报警;
⏹能够保护动态脚本文件;
⏹同步和断线时都不影响检测;
⏹不影响原有的网页发布系统;
⏹自动检测文件系统任何变化;
⏹文件变化自动同步到多个Web服务器;
⏹支持虚拟目录/虚拟主机;
⏹可选支持双机冗余部署。
⏹支持各种私钥的硬件存储,如PKCS#11和CSP两种接口形式的任何密码设备
⏹支持使用外接安全密码算法⏹支持多种页面包含文件方式⏹支持短信接口
3、性能指标。
防篡改保护系统
SkyGuard网页防篡改保护系统一、系统简介“SkyGuard网页防篡改保护系统”是对网站服务器的数字资源(包括网页文件与数据库记录)与代码进行实时保护,防止被非法篡改的信息安全产品;系统设计的总体目标是最大限度保障网站内容的安全性,保证网站的正常运营。
系统能够对网站数字资源(静态内容的网页文件,动态内容的数据库记录等等)与代码的攻击(黑客的恶意篡改,病毒,木马攻击等等),按设置的策略与方式(实时软件消息,手机短信,E_Mail,语音电话等等)向管理员进行报警,同时自动屏蔽非法篡改,保障合法内容的正常服务;同时,对网站数字资源的正常更新,进行数字签名的,加密,增量式记录,可以回放网站内容的变更轨迹,显示每一步修改的责任人,并保证其不可否认性;系统使用简易便捷,对网站访问用户是透明,即完全不影响网络用户正常浏览网站、不改变网站的访问方式,不改变原有的网站结构。
该产品是北京空中点击科技有限责任公司设计开发的系列网站(包括B/S服务器)安全保障产品之一,严格遵循相关国家与行业标准协议。
该系统广泛应用于加强政府机关、企事业单位以及商业机构等各类Web 站点的安全,维护政府、权威机构网站的内容完整、形象与尊严,可以发挥至关重要的核心作用。
二、功能特性⏹监控进程不可见,不产生系统服务,监控进程无法查杀,具备极强隐蔽性和自我保护性;⏹自动实时监控多个网站;⏹监控端与管理中心实行双向连接认证,保证通信可靠;⏹自动实时监控多个文件目录(虚拟站点);⏹实时阻断篡改文件的请求从根本上杜绝文件被更改;⏹允许多客户端同时对不同网站进行维护;⏹基于系统文件驱动层监控技术,支持各种Web应用平台;⏹允许对动态网页文件在内的各种文件进行监控保护;⏹日志直观详细,可对文件篡改保护及网络攻击防护两种不同日志的统一查询审计能;⏹技术先进,安全、稳定、可靠;⏹采取先进的多重防护技术,杜绝篡改;⏹完全基于内核级事件触发机制,对服务器资源占用极少,效率远高于同类产品;⏹汲取广大网管员建议,操作及其简便,大大提高工作人员效率;⏹对服务器安全性能实时监控,确保服务器安全稳定运行;⏹对Web服务运行状态进行安全监控,保证Web服务不受异常事件干扰;⏹不限制网站发布服务器类型,实现高可用性和高扩展性;⏹支持所有主流操作系统,与Web发布服务类型无关,与CMS系统无缝结合;⏹支持保护Web服务器配置文件,杜绝网站指向遭到修改;三、技术特性3.1系统文件驱动级防篡改技术基于内核驱动级文件保护技术,支持各类网页格式,包含各类动态页面脚本;内核级事件触发技术,大大减少系统额外开支;完全防护技术,支持大规模连续篡改攻击防护;系统后台自动运行,支持断线状态下阻止篡改;操作系统文件驱动技术完全杜绝页面文件被篡改;支持单独文件、文件夹及多级文件夹目录内容篡改保护;3.2保障Web站点安全运行保护Web服务器的相关重要配置文件不被篡改;服务器性能监控阀值报警,预知攻击发生;服务器系统服务运行状态监控,可提供服务异常响应,终止、重启等联动操作;3.3网站动态自适应攻击防护支持SQL注入攻击防护;支持跨站脚本攻击防护;支持对系统文件的访问防护;支持特殊字符构成的URL利用防护;支持对危险系统路径的访问防护;支持构造危险的Cookie攻击防护;各类攻击的变种防护;支持自定义检测库;3.4增量发布安全可靠支持网页文件自动上传功能和增量发布;支持异地文件快速同步功能,极大的增加网站可维护性;支持网页自动同步新增、修改、删除、下载等功能;3.5日志事件报警自动检测文件攻击记录,并实时记入日志,支持导出excel报表;支持服务运行状态记录,并实时记入日志,支持导出excel报表;支持多种告警方式,日志告警、邮件告警或定制其他告警方式;自身操作审计日志记录,详细记录操作管理员的操作管理行为;3.6部署结构灵活支持多站点、跨平台分布式部署,统一集中管理功能;支持大规模虚拟机、双机热备网站系统部署架构;支持服务器冗余及负载均衡分布部署,支持web服务端、发布端一对多,多对多等各类灵活网站架构;3.7操作管理安全、方便支持多用户分权管理功能,方便操作;系统采用C/S结构,确保高可靠性;支持多个策略管理,策略设置支持即时生效,无需重启;数据传输采用加密传输,安全可靠;支持网页格式类型分类,便于分类管理;系统全中文界面,操作、配置方便,网络管理人员仅需十分钟即可熟练完成系统初始配置,大大提高工作效率;四、技术实现4.1系统文件驱动与事件触发技术对于当代的操作系统来说,所有硬件、软件程序以及操作系统本身对磁盘文件的操作都要通过操作系统的文件驱动部分来进行,也仅有文件驱动层才能最终将要进行的修改操作传达给磁盘存储设备,从而改变其内容。
网页防篡改系统实施方案
网页防篡改系统实施方案
首先,网页防篡改系统需要具备实时监测和报警功能。
通过实时监测网页内容
的变化情况,及时发现异常操作并立即报警,以便进行及时处理。
其次,系统需要具备数据备份和还原功能。
定期对网页数据进行备份,一旦发现篡改行为,可以及时还原到原始状态,避免信息丢失或被篡改。
另外,系统还应该具备权限管理功能,对网页内容的修改和发布进行严格管理,确保只有经过授权的人员才能进行操作,从源头上杜绝篡改行为的发生。
此外,网页防篡改系统还需要具备数据加密和安全传输功能。
对网页数据进行
加密处理,确保数据传输过程中不会被窃取或篡改,保障用户信息的安全性。
同时,系统还应该具备漏洞修复和安全更新功能,及时修复系统漏洞,保障系统的稳定性和安全性。
最后,系统需要具备日志记录和审计功能,对网页操作进行全程记录和审计,一旦发生篡改行为,可以通过日志追溯到操作人员,并进行相应的处理。
综上所述,建立一套完善的网页防篡改系统实施方案,需要具备实时监测和报警、数据备份和还原、权限管理、数据加密和安全传输、漏洞修复和安全更新、日志记录和审计等功能。
只有通过这些措施的综合应用,才能有效防范网页篡改行为,保障用户信息的安全,维护网络环境的稳定和健康发展。
希望各相关单位能够高度重视网页防篡改系统的建设,加强对系统的实施和管理,为用户提供更加安全可靠的网络环境。
网页防篡改系统
InforGuardV5网页防篡改系统常见问题处理方法中创软件商用中间件有限公司2012年05月变更记录目录第1章介绍11.1.概述11.2.架构11.3.技术21.4.环境21.5.版本31.6.参数61.7.V5与V3系列产品比较61.8.V5.3.5相比V5.3.0版本的变更内容8 1.9.V5.3.6相比V5.3.5版本的变更内容10第2章安装102.1.安装的准备102.2.部署方案12.3.L INUX,安装注意132.4.L INUX,常用的命令132.5.L INUX,解压和压缩152.6.L INUX,内核版本和系统位数162.7.L INUX,操作系统GCC环境162.8.L INUX,MC高版本安装报错172.9.L INUX,MA安装版本检测112.10.W INDOWS,安装注意17第3章启动203.1.启服务203.2.L INUX,开机启动203.3.L INUX,启MC,I NFOR B ROKE报错213.4.L INUX,MA、SA启动报错223.5.L INUX,V5.3.5版中启KEEPERCTL报错22 3.6.L INUX,非ROOT用户启动防篡改233.7.W INDOWS,停止服务报1053错233.8.启MC服务报1067错233.9.启MC报错,可修改配置文件243.10.MC心跳检测的关闭24第4章授权25第5章管理265.1.管理工具登录265.2.管理工具日志清除265.3.管理工具邮件报警配置265.4.管理工具短信报警问题315.5.IP和端口——查看、修改、保存31 5.6.端口号变更325.7.系统级错误325.8.驱动监控器(实时阻断)325.9.快速、增量和完全同步区别325.10.同步和防篡改测试325.11.向用户管理平台发送日志的配置355.12.运行日志(MC、SA、MA)365.13. CORBA异常295.14.GDW ORK P ATH错误!未定义书签。
网页防篡改系统
1.1 网页防篡改系统1.1.1系统概述随着各类机构的计算及业务资源逐渐向其数据中心高度集中,WEB成为一种普遍适用的平台,越来越多地承载了各类机构的核心业务,如电子政务、电子商务等。
当前网络上75%的攻击是针对WEB 应用的,这些攻击可致网站遭受声誉损失、经济损失甚至政治影响。
广西新闻出版局政务网站也将面临各类安全威胁,高效保障网站应用的可用性和可靠性、优化业务资源和提高应用系统敏捷性至关重要。
传统安全设备(防火墙/IPS)解决WEB应用安全问题存在局限性,而整改网码因需要付出较高代价而较难实现。
网页防篡改系统能够提供WEB应用安全防护功能,防御SQL注入、XSS及跨站请求伪造(CSRF)攻击;防御常规盗链和分布式盗链、恶意扫描;提供Cookie 安全机制,防止Cookie中敏感信息泄露,以及Cookie篡改;提供服务器信息伪装/过滤,避免出错信息暴露网站敏感信息,为攻击者利用、提升攻击成功概率等功能。
1.1.2WEB攻击方式常见的WEB攻击,分为两类:一是利用WEB服务器的漏洞进行攻击,如CGI缓冲区溢出、目录遍历漏洞利用等攻击;二是利用WEB 网页自身的安全漏洞进行攻击,如SQL注入、跨站脚本攻击等。
常见的针对网页即WEB应用的攻击有:⏹缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令⏹Cookie假冒——精心修改cookie数据进行用户假冒⏹认证逃避——攻击者利用不安全的许可证和身份管理⏹非法输入——在动态网页的输入中使用各种非法数据,获取服务器敏感数据⏹强制访问——访问未授权的网页⏹隐藏变量篡改——对网页中的隐藏变量进行修改,欺骗服务器程序⏹拒绝服务攻击——构造大量的非法请求,使WEB服务器不能响应正常用户的访问⏹跨站脚本攻击——提交非法脚本,其他用户浏览时盗取用户账号等信息⏹SQL注入——构造SQL代码让服务器执行,获取敏感数据本系统部署在WEB应用服务器前端,其设计目标为:准确监测、识别各类针对WEB应用的攻击型流量并进行实时阻断,缓解针对WEB应用的DDoS(Distributed Denial of Service)攻击,利用缓冲技术实现WEB内容篡改防护和WEB加速,提供实时的、深度的、主动的安全防御,为广西新闻出版局提供了一个完善的WEB应用防护解决方案。
网页防篡改系统iGuard
后续工作:安装完发布服务器后,需要在Web服务器上安装同步服务器。为保证通信体的身份鉴别,安装同步服务器时需要发布服务器的证书摘要数据文件,这个文件的位置在:
2、在打开的窗口中鼠标右击“默认Web站点”,选择“属性”菜单。
3、在出现的“默认Web站点属性”窗口中,选择“网站”标签,设置Web服务器的IP地址。
4、“主目录”标签,用以设置Web内容在硬盘中的位置,默认目录为“C:\Inetpub\Wwwroo”,你可根据需要自己设置。
5、在属性窗口处选择“文档”标签,添加自己默认的网站首页文件,
2.内容保护过程
(1)浏览器发出网页浏览请求,Web服务器取得网页内容后,交给防篡改模块进行监测。
(2)防篡改模块使用安全散列函数计算出欲发出的网页的数字水印,并与安全数据库中的数字水印相比对。
(3)如果没找到数字水印或数字水印比对失败,即是可疑或被非法篡改的网页,防篡改模块向发布服务器报警。
(4)发布服务器向发送警告信息给管理员,并重新同步和恢复可疑网页。
第九步:完成
发布服务器的基本配置至此完成,单击“完成”进入主程序。
第十步:启用防篡改模块iGuard
防篡改模块是作为IIS的ISAPI筛选器来运行。
在IIS中添加它的步骤如下:
1.运行“开始→程序→管理工具→Internet服务管理器”(或“开始→设置→控制面板→管理工具→Internet服务管理器”),选中本地计算机(图中为“COMPUTER”)中要保护的Web服务器(图中为“默认网站”)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、概述互联网技术自发明以来已经走过了40多个年头,目前全球互联网用户总量已经达到20亿左右,相比之下,全球的总人口数则为70亿。
很显然,互联网在我们生活中占据了越来越重的地位,而网站则是互联网中的重中之重。
由于越来越多的用户加入,网站的社会影响力越来越大,随着这些Web应用及服务在功能和性能上不断的完善和提高,Web越来越多地承载了核心业务,如电子政务、电子商务、运营商的增值业务等。
然而在其安全性上,却没有得到足够的重视。
近年来,黑客强烈的表现欲望,国内外各种非法组织的不法企图,商业竞争对手的恶意攻击,不满情绪离职员工的泄愤等等各种原因都将导致网页被“变脸”。
网页篡改攻击事件具有以下特点:篡改网站页面传播速度快、阅读人群多,复制容易,事后消除影响难,预先检查和实时防范较难,网络环境复杂难以追查责任。
另外,攻击工具泛滥且向智能自动化趋势发展,据不完全统计,我国98%以上的站点都受到过不同程度的黑客攻击,攻击形式繁多,网站的安全防范日益成为大家关注的焦点,尤其是政府、金融类网站最易成为攻击目标。
针对这一情况,注重网页文件内容防护与用户动态交互的网站应用安全防护系统应运而生。
二、简介ieGuard网页防篡改安全系统采用先进的Web服务器核心内嵌技术,将篡改检测模块和应用防护模块内嵌于Web服务器系统内部,不仅实现了对静态网页和脚本的实时检测和恢复,更可以保护数据库中的动态内容免受来自于Web的攻击和篡改,彻底解决网页防篡改问题;并定时监控模块状态和Web服务器使用情况;以实现监控和防护一体化。
ieGuard网页防篡改安全系统目标是使网站安全最大化、维护便捷化、用户透明化和管理全面化。
2.1、技术原理ieGuard网页防篡改安全系统的篡改检测模块使用密码技术,为网页对象计算出唯一性的指纹。
公众每次访问网页时,都将网页内容与指纹进行对比;一旦发现网页被非法修改,即进行自动恢复,保证非法网页内容不被公众浏览。
并前置文件驱动过滤技术,在操作系统核心工作,直接对操作系统文件操作进行分析和判断,阻断保护文件或目录的写操作,达到被保护文件或目录不被建立、删除、移动、修改等。
同时,ieGuard的应用防护模块对用户输入的URL地址和提交的表单内容进行检查,任何对数据库的注入式攻击都能够被实时阻断。
ieGuard网页防篡改安全系统全面保护网站的静态网页和动态网页,其安全性从根本上大大优于同类产品。
支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全,完全实时地杜绝篡改后的网页被访问的可能性,也杜绝任何使用Web方式对后台数据库的篡改。
2.2、平台支持ieGuard网页防篡改系统支持安装在不同操作系统,支持Windows系列、Linux 系列、Unix系列等各种不同发行版本的操作系统。
例如:Windows Server2003、Windowsserver2008、RedHatLinux、SuseLinux、IBM AIX、HP Unix、Solaris等操作系统。
ieGuard网页防篡改系统支持多种Web应用程序。
支持主流的Web应用,如IIS、WebLogic、WebSphere、Apache、Tomcat、Nginx等各种Web应用。
二、功能特点3.1、多重篡改防护采用核心内嵌技术和应用防护对网站起多层次防护;一体化的安全防护和监测,保证网站正常运行;支持多网站,多服务器防护;支持断线状态下阻止篡改;支持连续性篡改防护;可靠的实时网页篡改检测;内嵌式与定时扫描两种方式共存;自身进程保护保障模块安全;3.2、自身安全防护自身进程安全防护,防止非法停止;防止自身程序文件、配置文件、日志文件非法修改和删除;水印库被删除后自动回复功能;通过用户的鉴权,防止备份库中的文件被非法删除、修改和添加;3.3、可靠高效的文件增量同步支持多服务器、多站点,跨平台分布式部署,统一集中管理功能;支持大规模网站服务器的部署架构;支持管理端集群,且支持Web客户端和管理端一对多,多对多等各类灵活网站架构;支持自动重连失败重连任务断点续传3.4、多层次用户管理ieGuard网页防篡改安全系统可依照管理员、审计员、操作员等进行多级用户权限管理,不同用户权限明确,也可以自定义管理员权限,满足管理需要。
管理员:拥有系统全部权限;审计员:拥有对系统进行监控和日志审计操作的权限;操作员:拥有任务编辑、配置下发、策略下发、执行任务等权限;3.5、状态监控实时监控网页防篡改系统各个模块状态,如被停用,及时报警;实时监控服务器运行状态,并提供性能监控阀值报警,预知故障发生;由管理平台垂直统一监控;使用曲线精准展示服务器使用率,系统软硬件信息清晰3.6、多层次多方位多方式告警可自定义设置告警级别;支持日志、邮件和短信告警;可第三方管理平台告警发送;多形式的告警统计;篡改告警可依条件查询筛选,可生成图表便于查看主程序异常终止叫醒服务3.7、安全、便捷管理系统B/S结构,且用https方式,确保安全性;服务器之间数据传输采用SSL加密传输,安全可靠;系统全中文界面,操作、配置方便,运维人员短时间即可熟练完成系统配置,大大提高工作效率;手动锁定/解锁用户可设定锁定时间到期自动解锁可配置管理端访问的ip规则复杂的密码设置功能错误输入密码次数满后自动锁定该用户3.8、高性能文件同步性能平均文件大小:>=10k平均发布速度:>=5MB/s访问性能监控延迟:实时恢复延迟:<1s网站访问延迟:使用产品前后,网站访问延迟偏差<5% Web服务器负载Web服务器负载,同等访问量相关服务(中间件等)消耗增加量:内存:<=5%CPU:<=3%在Web服务器上部署的相关防篡改守护进程最大占用资源量:内存:<=50M CPU:<=3%四、组成从逻辑上,ieGuard由管理服务、监控服务、文件发布服务和安全防护模块组成,如图表-1所示:图表-1ieGuard系统部件示意图4.1、安全防护模块安全防护模块是系统的核心,内嵌在Web系统里,包含应用防护模块和篡改检测模块。
应用防护模块对每个用户的请求进行安全性检查:如果正常则发送给Web系统;如果发现有攻击特征码,即刻中止此次请求并进行报警。
篡改检测模块对每个发送的网页进行即时的完整性检查:如果网页正常则对外发送;如果被篡改则阻断对外发送,并依照一定策略进行报警和恢复。
4.2、文件发布服务文件发布服务负责页面的自动发布,由发布和同步端组成:发布端位于管理服务器上,称之为自动发布程序,它监测到文件系统变化即进行计算该文件指纹(文件唯一HASH值),并进行SSL发送;接收端位于Web服务器上,称之为同步服务,它接收到网页和指纹值后,将网页存放在文件系统中,将指纹值存放到安全的水印库内。
所有合法网页的增加、修改和删除都通过自动发布子系统进行。
4.3、管理服务负责篡改后自动恢复,也提供系统管理员的使用界面。
其功能包括:手工上传、查看警告、检测系统运行情况、修改配置、查看和处理日志等。
日志记录所有系统、发布、篡改检测和自动恢复等信息,可以分类分日期查看,并根据管理员的要求实现转储。
4.4、监控服务负责监控整个ieGuard系统的运行状态,和各个服务器硬件运行状态,如CPU,内存,网络和硬盘等使用情况,如出现服务或模块停用和使用过高,及时向管理员发送告警信息。
五、部署5.1、标准部署1)内容管理系统目前,大部分网站都使用了内容管理系统(CMS)来管理网页产生的全过程,包括网页的编辑、审核、签发和合成等。
在网站的网络拓扑中,管理服务器部署在原有的内容管理系统和Web服务器之间,图表-2表明了三者之间的关系。
图表-2标准部署图为一个已有的Web站点部署ieGuard时,Web服务器和内容管理系统都沿用原来的机器,而需要在其间增加一台管理服务器。
ieGuard的自动同步机制完全与内容管理系统无关的,适合与所有的内容管理系统协同工作,而内容管理系统本身无须作任何变动。
管理服务器上具有与Web服务器上的网站文件完全相同的目录结构,任何文件/目录的变化都会自动映射到Web服务器的相应位置上。
网页的合法变更(包括增加、修改、删除、重命名)都在管理服务器上进行,变更的手段可以是任意方式的(例如:FTP、SFTP、RCP、NFS、文件共享等)。
网页变更后,管理服务器将其同步到Web服务器上。
无论什么情况下,不允许直接变更Web服务器上的页面文件。
ieGuard一般情况下与内容管理系统分开部署,当然它也可以与内容管理系统部署在一台机器上,在这种情形下,ieGuard还可以提供接口,与内容管理系统进行互相的功能调用,以实现整合性更强的功能。
部署示例一个标准的网站架构示意图如图表-3所示。
图表-3基本网站结构在图中,内容管理系统将合成的网页通过FTP或者其他方式上传到Web服务器上。
部署ieGuard后的网站结构图见图表-4。
图表-4部署ieGuard后的网站结构由上图可以看出,为一个标准的Web站点部署ieGuard时,Web服务器和内容管理系统都完全沿用原来的机器,而需要在其间增加一台发布服务器。
ieGuard的自动同步机制与内容管理系统无关的,适合与所有的内容管理系统协同工作。
对内容管理系统唯一需要做的只是改变它的设置,将发布的目标服务器地址由Web服务器地址改为发布服务器地址即可,无须安装ieGuard任何组件。
当然,根据内容管理系统所采用协议,发布服务器上需要对应安装这些协议的服务器端,例如:FTP/sftp服务器、rcp服务器或打开文件共享等。
Web服务器使用SSL服务和特定端口来接收上传的网页文件,无须再开放内容管理系统所需的端口(例如FTP端口)。
为安全起见,强烈建议Web服务器仅开放Web服务端口和ieGuard端口,关闭其他所有端口。
2)无内容管理系统一些简单的网站可能没有使用任何内容管理系统,而仅仅使用诸如Dreamweaver制作和管理网站甚至直接编辑html文件。
这种情形下,ieGuard也完全适用,网页制作人员无须改变原来的工作方式,仅仅只是由原来直接修改Web服务器上的文件,改为修改发布服务器上的文件。
5.2、复杂部署更复杂的部署情形包括:⏹多虚拟主机/Web服务器部署;⏹本地内容管理系统;⏹Web服务器托管;⏹同机部署。
这些情形下中根据实际交流情况,出具部署方案。
5.3、集群和冗余部署1)概况Web站点运行的稳定性是最关键的。
ieGuard支持所有部件的多机工作和热备:可以有多台安装了ieGuard安全防护模块和同步服务软件的Web服务器,也可以有两台安装了ieGuard管理服务软件的管理服务器,如图表-5所示。