WebGuard网页防篡改技术白皮书V15_网页防篡改白皮书

2020-02-26 其他范文下载本文

WebGuard网页防篡改技术白皮书V15由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“网页防篡改白皮书”。

WebGuard4.0网页防篡改保护系统

技术白皮书

2010年4月

WebGuard4.0技术白皮书

第1章第2章第3章前言.......................................................3 系统简介.....................................................4 系统组成及特点................................................6

3.1 系统组成.......................................................6 3.2 系统功能特点....................................................7 3.3 主要技术功能....................................................8 第4章主要技术实现.................................................10

4.1 实现原理......................................................10 4.2 核心优势描述...................................................11 1.基于内核驱动保护技术...........................................11 2.动态网页脚本保护...............................................12 3.连续篡改攻击保护...............................................12 4.全方位兼容的安全自动增量发布....................................12 5.服务器安全运行可靠性管理........................................13 6.部署实施操作简单...............................................13 7.不影响原有网络结构.............................................13 8.安全传输......................................................13 9.支持多虚拟目录.................................................14 10.支持多终端...................................................14 11.支持日志导出查询.............................................14 第5章

部署结构....................................................15

WebGuard4.0技术白皮书

第1章前言

WebGuard网页防篡改保护系统（以下简称WebGuard）是北京智恒联盟科技有限公司（以下简称：智恒联盟）精心研发专门针对网站篡改攻击的一款防护产品，WebGuard的主要功能是通过微软文件底层驱动技术对Web 站点目录提供全方位的保护，防止黑客、病毒等对目录中的网页、电子文档、图片等任何类型的文件进行非法篡改和破坏。WebGuard保护网站安全运行，维护政府和企业形象，保障互联网业务的正常运营，彻底解决了网站的非法修改的问题，是高效、安全、易用的新一代的网页防篡改系统。智恒联盟全力打造业界最易用的安全软件产品！

本手册适合的对象：《WebGuard技术白皮书》适用于希望了解本产品技术特性和使用的相关人员。本手册共五章，第一章前言，第二章系统简介，第三章系统组成及特点，第四章主要技术实现，第五章部署结构。

公司联系方式：用户可以通过如下的联系方式详细了解该产品：销售热线：010-51626148 邮箱：sales@zhihengit.com 支持服务： support@zhihengit.com 传真：010-51727638 24 小时支持电话：（010）*** 联系人：杨先生公司网址：http://www.daodoc.com

WebGuard4.0技术白皮书

第2章系统简介

近几年我国信息化发展迅猛，各行各业根据自身需要大都进行了网站建设，用于信息发布、网上电子商务、网上办公、信息查询等等，网站在实际应用中发挥着重要作用。尤其是我国电子政务、电子商务的大力开展，网站建设得到了空前发展。然而不幸的是，黑客强烈的表现欲望，国内外非法组织的不法企图，商业竞争对手的恶意攻击，不满情绪离职员工的发泄等等都将导致网页被“变脸”。网页篡改攻击事件具有以下特点：篡改网站页面传播速度快、阅读人群多;复制容易，事后消除影响难，预先检查和实时防范较难，网络环境复杂难以追查责任。此外，攻击工具简单且向智能化趋势发展，据不完全统计，我国98%以上的站点都受到过不同程度的黑客攻击，攻击形式繁多，网站的安全防范日益成为大家关注的焦点，尤其是政府、金融类网站最易成为攻击目标。

WebGuard 4.0网页防篡改保护系统由北京智恒联盟科技有限公司根据长期对Web站点进行安全研究成果自主研发的高可靠性、高安全性以及高易用性的软件系统。主要用于保护站点内容安全，防止黑客非法篡改网页，保护公众形象。该系统也是国内唯一通过国家严格检测的第三代网页防篡改技术。网页防篡改技术在近几年当中根据黑客攻击技术的发展也得到了较快的发展，第三代网页防篡改技术较之以前的技术有几个特点，响应恢复速度快、判断准确、部署灵活等特点，集成度较高，不依赖于原有web系统架构、部署也不影响网站整体结构。经过广大用户实践表明，WebGuard 已经成为信息化建设中网站安全建设最佳解决方案。

WebGuard 适用领域：政府门户、电子商务、金融证券、企业门户、教育高校等各行各业网站；

网页防篡改技术的发展经过几年的发展已经进入了第三代技术，多因子检测时代，较前两代技术，第三代技术在安全性以及效率方面更为可靠。

WebGuard4.0技术白皮书

图2-1技术发展路线图

WebGuard4.0技术白皮书

第3章系统组成及特点

3.1 系统组成WebGuard系统包含三个部分：监控客户端、管理中心服务器和管理客户端，各部分功能如下：

1.监控客户端（Monitor Client）安装在Web站点服务器上，根据服务器数量购买客户端数量，主要用于监控站点状态，执行管理中心所配置的策略； 2.管理中心服务器（Center Server）建议部署在独立pc服务器上，若所管理的web服务器数量较少，也可以同时部署在管理客户端；主要用于用户管理，策略下发，日志监控，以及管理各代理客户端；

3.管理控制台(Console)部署在网管员任意一台计算机，可以由单台pc机替代，主要用于登录管理中心服务器进行配置管理WebGuard 中心服务器；

图3-1 系统结构示意图

各组件之间通信采取完全加密传输，包括数据传输，用户认证等，确保通信的保密性；

WebGuard4.0技术白皮书

3.2 系统功能特点

所有的Web网站都需要进行页面内容的保护，防止非授权人员随意篡改内容，对于一些更新快、容量大、权威性的网站就更需如此。

外部网站因需要被公众访问而暴露于因特网上，因此最容易成为黑客的攻击目标。虽然目前已有防火墙、入侵检测等安全防范手段，但现代操作系统和业务应用系统的复杂性和多样性导致系统漏洞层出不穷、防不胜防，黑客入侵和篡改页面的事件时有发生。WebGuard 通过服务器文件访问底层驱动技术，对保护的对象（静态网页、动态执行脚本、文件夹）实时监测其属性，一旦发现更改立刻阻断非法篡改操作，阻止网页文件被修改，并实时通知管理客户端，如果发生文件篡改现象，系统也会自动从可信端进行恢复，彻底地保证了网页内容不被篡改。

该系统对于各类网站的安全，特别保证我国电子政务网站和企业门户网站内容的完整性及对外形象，有着重要意义。尤其是我国即将迎来60周年国庆、世博会等全球瞩目期间，各行各业的网站遭受黑客攻击的几率大大增加，在中美黑客大战期间，我国政府企业的网站由于缺乏有力保护，政府网站就遭受上千起篡改，严重损害了政府的公众形象；各类金融机构积极开展网上业务，如遭受篡改，不仅仅是形象受损信誉度降低，还会带来巨大的经济损失；尤其是在国家发生一些重大事件的时候，常常有网站遭受篡改并且发布虚假消息，带来严重的社会影响。因此，网页防篡改系统已经成为各行各业门户必备的一项有效安全措施。

WebGuard系统具备多项核心技术，简单归纳如下：

 技术先进，采用第三代防篡改技术，安全、稳定、可靠；  采取先进的多重防护技术，杜绝篡改；  完全基于内核级事件触发机制，对服务器资源占用极少，效率远高于同类产品；  汲取广大网管员建议，操作及其简便，大大提高工作人员效率；  对服务器安全性能实时监控，确保服务器安全稳定运行；

 对Web服务运行状态进行安全监控，保证Web服务不受异常事件干扰；  不限制网站发布服务器类型，实现高可用性和高扩展性；

 支持所有主流操作系统，与Web发布服务类型无关，与CMS系统无缝结合；  支持保护Web服务器配置文件，杜绝网站指向遭到修改；

WebGuard4.0技术白皮书

3.3 主要技术功能

1)第三代内核驱动防篡改技术

      基于内核驱动级文件保护技术，支持各类网页格式，包含各类动态页面脚本；内核级事件触发技术，大大减少系统额外开支；完全防护技术，支持大规模连续篡改攻击防护；系统后台自动运行，支持断线状态下阻止篡改；

内核出站校验技术完全杜绝被篡改内容被外界浏览；

支持单独文件、文件夹及多级文件夹目录内容篡改保护；

2)Web站点安全运行保障

     保护Web服务器的相关重要配置文件不被篡改；服务器性能监控阀值报警，预知攻击发生；服务器系统服务运行状态监控，可提供服务异常响应，终止、重启等联动操作；服务器进程黑白名单许可控制，防止挂马攻击或后门程序运行；支持服务器多种远程管理功能，紧急情况下便于管理，如远程接管、远程唤醒、远程关机、远程用户注销等；

 支持监测服务器当前系统防火墙，防病毒的使用情况和版本，提高监测服务器的综合防护能力；

3)部署结构灵活

 支持多站点、跨平台分布式部署，统一集中管理功能；  支持大规模虚拟机、双机热备网站系统部署架构；

 支持服务器冗余及负载均衡分布部署，支持web服务端、发布端一对多，多对多等各类灵活网站架构；

4)安全可靠增量发布

 支持网页文件自动上传功能和增量发布，无需人工干涉；

 支持异地文件快速同步功能和断点续传功能，极大的增加网站可维护性；  支持网页自动同步新增、修改、删除、下载等功能；

5)日志事件报警

 自动检测文件攻击记录，并实时记入日志，支持导出excel报表；

WebGuard4.0技术白皮书

 支持服务运行状态记录，并实时记入日志，支持导出excel报表；  支持多种告警方式，日志告警、邮件告警或定制其他告警方式；  自身操作审计日志记录，详细记录操作管理员的操作管理行为；

6)操作管理安全、方便

      支持多用户分权管理功能，方便操作；系统C/S结构，确保高可靠性；

支持多个策略管理，策略设置支持即时生效，无需重启；数据传输采用加密传输，安全可靠；

支持网页格式类型分类，便于分类管理；

系统全中文界面，操作、配置方便，网络管理人员仅需十分钟即可熟练完成系统初始配置，大大提高工作效率；

7)网站动态自适应攻击防护

         支持SQL注入攻击防护；支持跨站脚本攻击防护；

支持对系统文件的访问防护；

支持特殊字符构成的URL利用防护；支持对危险系统路径的访问防护；支持构造危险的Cookie攻击防护；各类攻击的变种防护；支持自定义检测库；

规则库支持在线升级功能；

WebGuard4.0技术白皮书

第4章主要技术实现

4.1 实现原理

我们将篡改监测的核心程序通过内核文件底层驱动内嵌到操作系统中，通过事件触发方式进行自动监测，对文件夹的所有文件内容（包含html、asp、jsp、php、jpeg、gif、bmp、psd、png、flash 等各类文件类型）对照其多个属性，经过内置散列快速算法，实时进行监测，若发现变更，实时阻断篡改行为。通过非协议方式，纯内核安全出站校验方式检查出站内容的完整性可靠性，使得公众无法看到被篡改页面，其运行性能和检测实时性都达到最高水准。

图4-２内核防护技术原理图

图4-２发布同步原理图

WebGuard4.0技术白皮书

快速同步通道处理，主要用于网站内容更新及修复网页文件用途，在多服务器负载均衡应用时快速同步通道技术将显得尤为重要，确保网站的内容最迅速的更新至外网web服务器上。同步过程当中主要应用到文件加密传输技术、完整性交验、文件检索、快速传输技术等多项重要技术。

图4-３校验实现原理图

当发生网页遭受到意外恶意破坏时，系统将自动启用文件安全性校验模块，主要对比网页文件指纹ID，将包含文件内容、大小、创建修改时间、作者、关键词、所属权限等等。如校验发现文件属性发生变化，则从可信备份端进行实时恢复，确保文件的真实可靠性。

4.2 核心优势描述 1.基于内核驱动保护技术

内核事件触发保护机制，确保系统资源不被浪费，不同于其他防篡改软件的Web事件触发机制，WebGuard的页面防篡改模块采用的是与操作系统底层文件驱动级保护技术，与操作系统紧密结合的。这样做完全杜绝了普通Web内嵌防篡改软件可能发生的计算校验占用系统资源过多，校验值计算不正确，篡改后无法恢复等一系列风险。

WebGuard4.0技术白皮书

2.动态网页脚本保护

目前的网站越来越多地使用动态技术（例如：ASP、JSP、PHP）来输出网页。动态网页由网页脚本和内容组成：网页脚本以文件形式存在于Web 服务器上；网页内容则取自于数据库。

一般来说，数据库处在内部网中，没有外部地址，而且可以只接受来自内部指定地址的访问，因此一般不会受到攻击。而存在于Web 服务器上的动态网页脚本则与静态网页一样，容易受到攻击。

采用文件驱动级技术的系统，可以直接从Web 服务器上得到动态网页脚本，不受变化的内容影响，因而能够像静态网页一样保护动态网页脚本。

3.连续篡改攻击保护

对于大规模连续的篡改，WebGuard防篡改系统检测到首个非法操作后就会实时阻断其后续其他的篡改操作。系统针对来源和操作行为，提前终止其后续篡改操作请求。系统在底层完成这些防护措施并不会将这些大规模连续篡改请求发送到上层应用，极大的降低了应用程序的处理负担，有效的提高了应有工作效率。

而普通的Web内嵌事件触发型防篡改软件在发生大规模连续篡改时，需要每次通过应用层插件计算校验匹配，由于不能阻止篡改发生，这些软件需要不停的重复恢复原始网页内容，极大的占用系统资源和网络资源，并可能造成显示错误页给访问用户。

4.全方位兼容的安全自动增量发布

WebGuard集成了页面自动发布功能。该服务器采用先进的算法将可信备份路径下的网页内容快速发布到相应文件夹，减少人工干预，并且支持传统的FTP、网络共享等，本系统支持高速上传功能，同样也支持网页备份到指定文件夹的功能，方便维护人员对网站进行日常维护。

WebGuard可以无缝的和所有内容管理系统相结合并且不需要做任何修改，大大方便与用户管理和部署。

WebGuard4.0技术白皮书

5.服务器安全运行可靠性管理

WebGuard系统可以监控服务器当前的运行状态，监视其cpu、内存、网络流量等性能。通过设置的阀值及时向用户提供报警信息，使用户能够及时响应意外事件，并通过设置进程的黑白名单来保障服务器被植入后门木马等程序。提供管理人员远程维护管理等功能。包括：

1)保护web服务器自身配置； 2)服务器cpu使用阀值报警； 3)服务器内存使用阀值报警；

4)监控服务运行状态，并提供应用服务发生异常后的停止，重启等联动操作； 5)服务器进程黑白名单设置，实现防止后门木马程序的运行；

6)支持服务器多种远程管理功能，远程接管、远程唤醒、远程关机、远程用户注销等；

7)可以实时监测服务器当前服务、进程、系统日志； 8)可以服务器当前系统防火墙，防病毒的使用情况和版本。

6.部署实施操作简单

具备基本windows操作系统使用人员，仅需要10分钟时间，即可按照使用说明书部署完整套网页防篡改保护系统，部署完毕后，进行简单配置即可运行；若在系统组建之间有防火墙或其他访问控制设备，建议与网管人员配合在防火墙上配置相应规则，实现安全通信，可以自由设定相应的端口，避免在Web服务器上开启其他端口。

7.不影响原有网络结构

该系统的架构采用C/S 方式，安全可靠，Center Server端和Console端可以安装在任意指定的系统上，管理告警客户端本地无存储数据，日志只在需要时进行导出excel 进行查询，可大大降低了用户投资；

8.安全传输

WebGuard4.0技术白皮书

工业标准的128位加密技术，保证了信息传输过程中完整性和私密性，且用户登录认证且采用加密传输，防止传输过程中用户信息泄露。

9.支持多虚拟目录

WebGuard能够自动、实时监控多个子文件夹内容，各子文件夹包含多个网站可同时进行监测，网页文件支持数以万计，且对系统性能没有任何影响。

10.支持多终端

WebGuard支持同服务器端程序对多个web被监控服务器端网站进行维护，用户可以在任意时刻任意进行扩展，只需要购买相应的Monitor端License即可。

11.支持日志导出查询

系统支持对网站维护工作的查询与审计功能。为了便于用户及时了解管理员及操作员所做的日常维护工作。WebGuard除了对篡改记录进行记录外，还记录了操作日志，方便用户导出查询和统计。包括：

1.对受保护网页文件和目录进行添加、删除、修改的日志； 2.监控策略的开启和关闭的日志； 3.管理员的登录日志；

4.对监控策略进行更改的日志；

5.对管理员进行增加，删除和属性修改的操作日志； 6.对功能配置参数的修改日志。

WebGuard4.0技术白皮书

第5章部署结构

WebGuard 部署方式较为灵活，监控代理客户端（Monitor Client），管理中心服务器（Center Server）和管理客户端(Console)三部分，可以部署在三个不同的系统上，也可以部署在同一台系统上，用户根据需要灵活进行设计，以下介绍三种典型部署结构：

第一种部署方式见图“网页防篡改保护系统典型部署示意图-1”：这种部署为常见部署方式，常见于政府网站和大型企事业单位，WEB服务器位于内部网中，在防火墙DMZ区（非军事化区），第一步：在DMZ区任意一台服务器（可以是防病毒服务器或者防火墙管理服务器）安装管理中心服务器（Center Server，IP地址为：172.16.1.100）部分，并设定外部管理连接端口（默认为5366）；第二步：将监控端（Monitor Client）安装于多个WEB服务器（172.16.1.X）上，并制定管理中心服务器地址（如172.16.1.100），并设定管理端口（默认为5367）；第三步，在内部管理区域，任意pc安装管理客户端(Console)部分；

若要保证通信，还需要在防火墙上配置管理中心服务器（Center Server，IP地址为：172.16.1.100）端口（默认为5366），需将端口镜像到WEB外部。

WebGuard4.0技术白皮书

第二种部署方式见图“网页防篡改保护系统典型部署示意图-2”，这类部署主要突出了该系统部署的灵活性，将Center Server部分也同时部署在WEB站点上，在没有额外可用服务器的情况下，节省了服务器资源，保护了用户投资。但我们建议此时需要及时修改初始维护密码，并保持器一定的复杂度。

WebGuard4.0技术白皮书

第三种部署方式见图“网页防篡改保护系统典型部署示意图-3”也常见于政府网站和大型企事业单位，WEB服务器位于IDC托管中心的防火墙DMZ区（非军事化区），第一步：在DMZ区数据库服务器（也可以是防病毒服务器或者防火墙管理服务器）安装管理中心服务器（Center Server，IP地址为：172.16.1.100）部分，并设定外部管理连接端口（默认为5366）；第二步：将监控端（Monitor Client）安装于多个WEB服务器（172.16.1.X）上，并制定管理中心服务器地址（如172.16.1.100），并设定管理端口（默认为5367）；第三步，在内网管理区域，任意pc安装管理客户端(Console)部分；

若要保证通信，还需要在防火墙上配置管理中心服务器（Center Server，IP地址为：172.16.1.100）端口（默认为5366）镜像到外部，便于Console登陆管理。（因WEB站点为了外部Internet访问，已经做IP地址转换，无需做额外配置）。

WebGuard4.0技术白皮书

注：若将Center Server部分安装在内网时，则需要首先将管理中心Center Server端口（默认为5366）也需要镜像到外网部分，IP地址也需要做相应地址转换（NAT）；然后在 IDC托管中心的防火墙上将监控端（Monitor Client）的端口5367及IP地址镜像到外部，并指定远程管理的外部NAT转换后的地址。该部署比较复杂，需要网管员积极配合。

《WebGuard网页防篡改技术白皮书V15.docx》

将本文的Word文档下载，方便收藏和打印

推荐度：

点击下载文档

相关专题网页防篡改白皮书白皮书网页技术网页防篡改白皮书白皮书网页技术

[其他范文]相关推荐

[其他范文]热门文章