网页防篡改使用详解及体会

最近有个客户需要使用网页防篡改服务，顺道学习了天翼云上网页防篡改产品的部署及使用，本文对网页防篡改服务的工作原理及部署过程及部署中需要注意的方面进行回顾。

一、网页防篡改工作原理

1、系统架构

网页防篡改服务的经典场景如上图，在客户需要防护的vpc内新建一台云主机，使用网页防篡改镜像加载即可，保证防篡改服务器云主机与准备防护的客户网站云主机在同一个vpc内，网页防篡改架构是标准的c/s架构。

防篡改服务器侧的用户接口通过apache提供图形化的网页接口供用户注册服务及进行服务使用，后端使用public_server响应网页的调用及协调dlsync服务，数据库使用mongdb；

防篡改客户端在用户的网站云主机上安装一个代理程序，该代理分两块km、dlsync组成，dlsync与服务器端配合完成文件的同步确保防篡改服务器与保护客户端文件的一致，dlsync的文件上传使用ftp的60000-60010端口，对客户端的网站路径进行防护使用km组件，km通过antitamper_km将模块注入linux内核，通过内核监控保护指定的目录文件，使保护范围内的文件处于无法修改及删除状态除非通过dlsync从防篡改服务端的命令实现文件的增删改。

2、文件防篡改原理

网站目录文件保护功能：

通过网页交互将网页监控目录信息注入到网页服务器的agent中，agent通过km进入linux内核对指定的监控目录进行权限限制，对指定目录下的文件无法进行增删改操作，实现了对网站目录下文件的保护功能；

网站目录下文件同步功能：

因为无法对源网站目录下文件进行增删改操作，所以需要对网站的源目录在防篡改服务器端的默认目录/var/www/ftp下新建一个网站备份目录并将源站的文件全部复制到此位置，系统通过dlsync对文件进行监控及同步，今后对客户网站的增删改操作都通过对防篡改服务器备份目录下的文件进行操作后自动同步实现；

存在的缺陷：

如果你通过数据库的形式直接修改内容或通过网站后台管理页面还是可以修改网站内容，绕过网站防篡改系统的监管。

二、防篡改服务部署主要流程

1、在网站vpc内新建一台ecs，镜像选择公有镜像-网页防篡改；

2、新建或修改网页防篡改及网页服务器所在的安全组策略，新增tcp8011、tcp60000-60010，tcp 1443,udp8020端口的访问

3、在网页服务器上系统防火墙上新增tcp8011、tcp60000-60010的端口访问

4、通过网页防篡改服务器互联网ip地址：1443端口访问防篡改服务器网页控制端

5、在网页服务器上下载安装防篡改agent客户端，wget http://oos-cn.ctyunapi.cn/downfile/2020%20download/antitamper_client_v4.5.56.84_centos_redhat_20200307.tar.gz

6、在网页服务器上解压安装agent客户端，主要注意填写的服务器ip为防篡改服务器的内网ip地址

7、确定agent安装成功后在防篡改服务器网页上添加管理服务器，服务器的ip也要填写内网ip地址

8、至此如果你上面的几部都正确，可以在5秒时间内看到添加后的管理服务器图标由灰变绿，如果没有变绿重点检查网络安全配置及ip地址是否填写正确

9、ssh进入网页服务器将源站的网页目录文件全部备份进入防篡改服务器的/var/www/ftp/源站名目录下，备份完成后通过du -h对比一下源站目录及备份目录下的文件大小是否一致，确定是否备份完整；

10、确定原站备份完整后进行防篡改网页操作，添加站点，这里需要注意的是对网站中的一些不能防护的目录必须要添加进例外中，否则会出现用户源站不能访问的重大故障，还有如果没有将用户的源站文件完整备份过来至防篡改服务器下添加站点后会出现删除源站的重大故障；

11、排除目录的输入格式不能是全路径只能是相对路径，比如全路径是/www/wwwroot/demo1 排除的目录就应该是runtime/*，不能写成/www/wwwroot/demo1/runtime/*;

三、防篡改产品的使用心得

一、安装部署过程对用户的要求比较高，如果操作失误会导致用户的源站挂掉，风险很大；

二、防护效果有限，仅仅针对网站的指定目录下文件进行防护，如果网站有其他的漏洞还是会被改掉，只能算是具备防文件篡改功能；

三、产品支撑需要对客户网站的目录结构及网站架构非常了解，最好在安装部署时争取用户网站的建设商配合，需要明确把网站运行时需要动态变化的目录排除掉，需要在数据库外保持的上传目录也排除掉，否则用户安装了防篡改服务后网站的正常数据更新将不能使用；

四、安装完成后用户的网站程序更新需要告知网站程序维护商不能采用原来的维护模式，需要从防篡改服务器的备份目录下进行修改自动同步；

网页防篡改使用详解及体会相关推荐

江翰网页防篡改系统解决方案--前言
前言在电子商务.电子政务日益普及的今天,网站已成为企事业单位.政府机关的形象窗口,也是对外开展业务.提供服务的重要手段.网站页面被篡改,不仅将影响正常业务的开展,而且对企业形象.政府信誉带来极其不好 ...
Linux 创建网页服务,Linux使用Node.js建立访问静态网页的服务实例详解
Linux使用Node.js建立访问静态网页的服务实例详解一.安装node.js运行所需要的环境,: 二.创建node目录(/node/www),并在目录下创建node.js服务文件server.j ...
网页防篡改技术_阿里云云安全中心和web应用防火墙的网页防篡改功能有什么不同...
阿里云云安全中心和web应用防火墙(WAF)产品都具备网页防篡改的功能,但两者实现防篡改的原理不同,导致用户在使用时需要根据自身业务情况选择. 我们先看看阿里云官方对此功能的说明: 云安全中心:&qu ...
华为云企业主机安全服务之“网页防篡改”：拒绝网页变脸，服务实时在线
网页篡改不息,不良影响连连 2019年上半年,国家互联网应急中心(简称"CNCERT")监测发现并协调处置我国境内遭篡改的网站近4万个,其中被篡改的政府网站有222个.与2018年 ...
2010——满地遍是网页防篡改和WAF
其实网站防护类产品中间的空挡很长了--从2002年SQL注入漏洞开始在国内流行,到后来的跨站泛滥,中间几年的时间都没有几个安全公司推出一个好的解决方案.依然是靠防火墙封IP.封端口,装杀毒,装IDS. ...
网页防篡改测试报告（2008版）
2008年底,对网页防篡改产品做的测试报告. 有兴趣的朋友,可以参考看一下. 其中技术描述的比较通俗易懂. 转载于:https://blog.51cto.com/tombook/339997
网页防篡改系统的使用体验
年初上线一款市场占有率很高的网页防篡改系统,一个目的是真正了解一下防篡改系统的结构,二.当然提高网站的防篡改防护能力.三.合规.下面来简单说一下整体感受; (1)防篡改系统的结构如图,防篡改系统分为 ...
服务器网页篡改,网站服务器网页防篡改系统
网页防篡改系统设计理念网页防篡改系统在站点采用了两种防范方法,实现对静态区域文件和动态区域文件的保护.动态区域文件保护主要是在站点架设Web防火墙,通过设定关键字.IP.时间过滤规则,对扫描,非法访 ...
深入解析网页防篡改技术
目前,网页防篡改产品(后面简称"防篡改产品")市场如火如荼,产品质量良莠不齐,品牌多而繁杂,让人看了不知所措.本文着重从技术角度分析各种类型的网页防篡改技术(后面简称"防 ...

网页防篡改使用详解及体会

网页防篡改使用详解及体会相关推荐

最新文章

热门文章