【正文】 服務(wù)器和Web應(yīng)用漏洞的攻擊已經(jīng)多達幾百種，常見的攻擊手段包括：注入式攻擊、跨站腳本攻擊、上傳假冒文件、不安全本地存儲、非法執(zhí)行腳本和系統(tǒng)命令、源代碼泄漏、URL訪問限制失效等。3． 產(chǎn)品特性1） 篡改檢測和恢復(fù)iGuard支持以下篡改檢測和恢復(fù)功能：n 支持安全散列檢測方法；n 可檢測靜態(tài)頁面/動態(tài)腳本/二進制實體；n 支持對注入式攻擊的防護；n 網(wǎng)頁發(fā)布同時自動更新水印值；n 網(wǎng)頁發(fā)送時比較網(wǎng)頁和水印值；n 支持斷線/連線狀態(tài)下篡改檢測；n 支持連線狀態(tài)下網(wǎng)頁恢復(fù)；n 網(wǎng)頁篡改時多種方式報警；n 網(wǎng)頁篡改時可執(zhí)行外部程序或命令；n 可以按不同容器選擇待檢測的網(wǎng)頁；n 支持增強型事件觸發(fā)檢測技術(shù)；n 加密存放水印值數(shù)據(jù)庫；n 支持各種私鑰的硬件存儲；n 支持使用外接安全密碼算法。2． 請求內(nèi)容限制iWall可以對HTTP請求的內(nèi)容進行以下過濾和限制：n URL過濾：對提交的URL請求中的字符進行限制。n 不安全的本地存儲。4） 內(nèi)容管理系統(tǒng)目前，大部分網(wǎng)站都使用了內(nèi)容管理系統(tǒng)（CMS）來管理網(wǎng)頁產(chǎn)生的全過程，包括網(wǎng)頁的編輯、審核、簽發(fā)和合成等。同時，它的失效也不影響iGuard發(fā)布服務(wù)器向其他正常工作的Web服務(wù)器提供內(nèi)容同步。它們的關(guān)系如圖示51所示。2) 如果是動態(tài)應(yīng)用網(wǎng)站，防篡改模塊對提交內(nèi)容進行檢查，如果是注入攻擊，則請求不交給Web應(yīng)用處理，直接返回錯誤。3） 發(fā)布流程1) CMS內(nèi)容管理系統(tǒng)將網(wǎng)頁文件發(fā)布到iGuard發(fā)布服務(wù)器上。n 配置管理模塊。CMS內(nèi)容管理系統(tǒng)iGuard發(fā)布服務(wù)器(主)iGuard發(fā)布服務(wù)器(備)主備通信Web服務(wù)器1Web服務(wù)器nIntranetDMZ…………圖示 3 集群和雙機部署示意圖6） Web服務(wù)器多機和集群iGuard發(fā)布服務(wù)器支持1對多達64臺Web服務(wù)器的內(nèi)容同步，這些Web服務(wù)器的操作系統(tǒng)、Web服務(wù)器系統(tǒng)軟件、應(yīng)用腳本及網(wǎng)頁內(nèi)容既可以相同也可以不同。發(fā)布服務(wù)器為PC服務(wù)器，其本身的硬件配置無特定要求，操作系統(tǒng)可選擇Windows（一般網(wǎng)站）或Linux（大型網(wǎng)站，需選加Linux企業(yè)發(fā)布模塊）。n 非法執(zhí)行系統(tǒng)命令。n 鑒別帳號過濾：限制對指定HTTP鑒別帳號的訪問。這些攻擊包括利用特殊字符修改數(shù)據(jù)的數(shù)據(jù)攻擊、設(shè)法執(zhí)行程序或腳本的命令攻擊等，黑客通過這些攻擊手段可以達到篡改數(shù)據(jù)庫和網(wǎng)頁、繞過身份認證和假冒用戶、竊取用戶和系統(tǒng)信息等嚴重危害網(wǎng)站內(nèi)容安全的目的。如圖示3所示，在目前安全投資中，只有10％花在了如何防護應(yīng)用安全漏洞，而這卻是75％的攻擊來源。Web應(yīng)用不僅給用戶提供一個方便和易用的交互手段，也給信息和服務(wù)提供者構(gòu)建一個標準技術(shù)開發(fā)和應(yīng)用平臺?？梢皂樌ㄟ^的這部分通訊，可能是善意的，也可能是惡意的，很難辨別。2． iWall應(yīng)用防火墻iWall應(yīng)用防火墻（Web應(yīng)用防護系統(tǒng)）是一款保護Web站點和應(yīng)用免受來自于應(yīng)用層攻擊的Web防護系統(tǒng)。n 請求客戶端過濾：限制對指定HTTP客戶端的訪問及完整性檢查。n 不同的主機頭名（即域名）。發(fā)布服務(wù)器上具有與Web服務(wù)器上的網(wǎng)頁文件完全相同的目錄結(jié)構(gòu)，發(fā)布服務(wù)器上的任何文件/目錄的變化都會自動和立即地反映到Web服務(wù)器的相應(yīng)位置上，文件/目錄變更的方法可以是任意方式的（例如：FTP、SFTP、RCP、NFS、文件共享等）。5） 集群和冗余部署Web站點運行的穩(wěn)定性是最關(guān)鍵的。因此，iGuard發(fā)布服務(wù)器的單點失效也不影響系統(tǒng)的完整性，并且在系統(tǒng)恢復(fù)時不需要對其余機器作任何手工操作。n 增加：在Web服務(wù)器上部署iGuard同步服務(wù)器和防篡改模塊以及iWall應(yīng)用防護模塊，并開放指定端口。5) 如果水印比對失敗即表明當(dāng)前網(wǎng)頁已被篡改，系統(tǒng)通知發(fā)布服務(wù)器重新發(fā)布網(wǎng)頁到Web服務(wù)器（自動恢復(fù)），同時向監(jiān)管者報警。n 在多個Web服務(wù)器鏡像時，可以快速生成統(tǒng)一配置。7） 發(fā)布服務(wù)器雙機iGuard支持發(fā)布服務(wù)器雙機協(xié)同工作，即一臺主發(fā)布服務(wù)器和一臺熱備發(fā)布服務(wù)器。