當前,網站被“黑”的現象屢屢發生,尤其是一些企業官網、政府網站、教育網站等,經常成為惡意黑客攻擊的目標,為瞭避免造成經濟損失及惡意影響,各網站不斷加強安全防護。其中,網頁防篡改系統最為常見,它能夠保護網站代碼文件不被篡改,是得到一致認可的有效手段。什麼是網頁防篡改系統?網頁防篡改系統是用於保護網站安全、防止黑客入侵、篡改網站的網站防護設備、網頁防篡改工作原理一般一個完整的系統應由如下部分組成:發佈服務器程序、同步服務器程序、交互頁面遠程控制臺,同時還可以選擇配置防篡改模塊。各部分主要功能如下:發佈服務器程序(更新端)安裝在內網的獨立服務器上,其遠程訪問一般限制由某些指定段IP機器進行,負責將合法的網頁文件通過安全通信發送到WEB服務器,它也是系統的管理中心。發佈服務器程序必須能夠自動發現網站文件發佈文件夾下被更新的文件;傳輸本地修改的文件及對方請求的文件;更新上傳合法文件水印信息;記錄上傳、更新、篡改、恢復等日志信息;發送報警郵件。同步服務器程序(監控端)安裝在WEB服務器上,負責接收發佈服務器發送來的合法網頁變化,並保存其數字水印,監視本機未經許可的文件變化並向服務器請求恢復變化的文件。同步服務器必須能夠循環監控被保護文件變化,對當前文件計算的水印與其保存的水印比對不一致的,向發佈服務器請求重新傳輸;自動更新接收文件水印信息。遠程控制臺(管理端)運行在管理員桌面上,提供遠程方式對發佈服務器的管理及日志內容查看。防篡改模塊(IIS Filter)內嵌在IIS WEB服務器軟件裡,對所有的網頁文件請求進行合法性檢查,並對所有發送的網頁進行數字水印比對。內容保護過程對瀏覽器的網頁瀏覽請求,防篡改模塊檢查其頭部信息,檢查請求的文件是否在監視列表中,如果存在於監視列表中,則將文件數字水印與保存在數據庫中的有效水印比對,一致則允許訪問,否則拒絕訪問。同步服務器對監視到的非法文件變化,向發佈服務器請求重新傳輸和恢復該文件。文件恢復後,WEB服務器將正確的網頁內容發送給瀏覽器。網頁防篡改三種技術外掛輪詢技術用一個網頁讀取和檢測程序,以輪詢方式讀出要監控的網頁,與真實網頁相比較,來判斷網頁內容的完整性,對於被篡改的網頁進行報警和恢復。核心內嵌技術將篡改檢測模塊內嵌在Web服務器軟件裡,它在每一個網頁流出時都進行完整性檢查,對於篡改網頁進行實時訪問阻斷,並予以報警和恢復。事件觸發技術利用操作系統的文件系統或驅動程序接口,在網頁文件的被修改時進行合法性檢查,對於非法操作進行報警和恢復。三種技術對比我們可以形象的把Web服務器看成是一個美術館大樓,目錄是大樓的樓層和房間,每個網頁文件都是房間掛著的畫作。這些畫作每天由工作人員不斷更新,每天也有成千上萬的借閱者通過借閱口來取出和閱讀這些畫作。網頁防篡改系統的目標就是保證人們看到的是真實的畫作,而不是贗品,甚至反動宣傳品。三種技術對比如下:【外掛輪詢技術】:大樓配備瞭一個檢查員進行巡檢,他以一個普通借閱者的身份不停地在借閱處調取每個房間的每副畫作,與手裡的真實畫作相比較進行檢查,發現有可疑物品即進行報警。 這種方式的顯著弱點是:當大樓規模很大,房間和畫作很多時,他會忙不過來。對於特定的一幅畫作,兩次檢查的時間間隔會很長,不法分子完全有機會更換畫作,對借閱者造成嚴重影響。【事件觸發技術】:大樓在正門進口處配備一個檢查員,他對每一個進入的畫作進行檢查,發現有可疑物品即進行報警。 這種方式的顯著優點是:防范成本很低,但缺點是:美術館大樓的結構非常復雜,不法分子通常不會選擇正門進來,他會從天花板、下水道甚至利用大樓結構的薄弱處自己挖個洞進來,並且還不斷會有新的門路被發現,可見防守進口的策略是不能做到萬無一失的。另外,非法畫作一旦混進瞭大樓,就再也沒有機會進行安全檢查瞭。【核心內嵌技術】:大樓在借閱口處配備一個檢查員,他對每一個調出的畫作進行檢查,發現有可疑畫作即阻止它的流出。 這種方式的顯著優點是:每副畫作在流出時都進行檢查,因此可疑畫作完全沒有被借閱者看到的可能;相應弱點是,由於存在檢查手續,畫作在流出時會耽誤時間。網頁防篡改系統三種技術各有優劣,各廠商在設計和實現網頁防篡改系統時,通過技術手段盡量發揮各種技術的優勢,彌補或降低其缺點的影響,以實現高效、實時、精準的防護功能。感謝您的閱讀,喜歡的話就轉發並關註小編吧。上一篇:「網絡安全」安全設備篇(16)——下一代防火墻下一篇:「網絡安全」安全設備篇(18)——安全配置核查系統
本文出自快速备案,转载时请注明出处及相应链接。