【導(dǎo)讀】WebGuard網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng)。©2020智恒科技-II-密級(jí)：公開(kāi)

　　

【正文】 術(shù)白皮書(shū) 169。 2020 智恒科技 13 密級(jí)：公開(kāi) 13. 部署實(shí)施操作簡(jiǎn)單 具備基本 windows操作系統(tǒng)使用人員，僅需要 10分鐘時(shí)間，即可按照使用說(shuō)明書(shū)部署完整套網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng)，部署完畢后，進(jìn)行簡(jiǎn)單配置即可運(yùn)行；若在系統(tǒng)組建之間有防火墻或其他訪問(wèn)控制設(shè)備，建議與網(wǎng)管人員配合在防火 墻上配置相應(yīng)規(guī)則，實(shí)現(xiàn)安全通信，可以自由設(shè)定相應(yīng)的端口，避免在 Web服務(wù)器上開(kāi)啟其他端口。 14. 不影響原有網(wǎng)絡(luò)結(jié)構(gòu) 該系統(tǒng)的架構(gòu)采用 C/S 方式，安全可靠， Center Server端和 Console端可以安裝在任意指定的系統(tǒng)上，管理告警客戶(hù)端本地?zé)o存儲(chǔ)數(shù)據(jù)，日志只在需要時(shí)進(jìn)行導(dǎo)出 excel 進(jìn)行查詢(xún)，可大大降低了用戶(hù)投資； 15. 安全傳輸 合法網(wǎng)頁(yè)的安全傳輸是系統(tǒng)安全的一個(gè)重要環(huán)節(jié)， WebGuard使用了高安全強(qiáng)度的工業(yè)標(biāo)準(zhǔn)的 128位加密技術(shù)，保證了信息傳輸過(guò)程中完整性和私密性，且用戶(hù)登錄認(rèn)證且采用加密傳輸，防止 傳輸過(guò)程中用戶(hù)信息泄露。 16. 支持多虛擬目錄 WebGuard能夠自動(dòng)、實(shí)時(shí)監(jiān)控多個(gè)子文件夾內(nèi)容，各子文件夾包含多個(gè)網(wǎng)站可同時(shí)進(jìn)行監(jiān)測(cè)，網(wǎng)頁(yè)文件支持?jǐn)?shù)以萬(wàn)計(jì)，且對(duì)系統(tǒng)性能沒(méi)有任何影響。 17. 支持多終端 WebGuard支持同服務(wù)器端程序?qū)Χ鄠€(gè) web被監(jiān)控服務(wù)器端網(wǎng)站進(jìn)行維護(hù)，用戶(hù)可以在任意時(shí)刻任意進(jìn)行擴(kuò)展，只需要購(gòu)買(mǎi)相應(yīng)的 Monitor端 License即可。 18. 支持日志導(dǎo)出查詢(xún) 系統(tǒng)支持對(duì)網(wǎng)站維護(hù)工作的查詢(xún)與審計(jì)功能。為了便于用戶(hù)及時(shí)了解管理員及操作員所做的日常維護(hù)工作。 WebGuard除了對(duì)篡改記錄進(jìn)行記錄外 ，還記錄了操作日志，方便用戶(hù)導(dǎo)出查詢(xún)和統(tǒng)計(jì)。包括： 1. 對(duì)受保護(hù)網(wǎng)頁(yè)文件和目錄進(jìn)行添加、刪除、修改的日志； 2. 監(jiān)控策略的開(kāi)啟和關(guān)閉的日志； WebGuard 網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng) 技術(shù)白皮書(shū) 169。 2020 智恒科技 14 密級(jí)：公開(kāi) 3. 管理員的登錄日志； 4. 對(duì)監(jiān)控策略進(jìn)行更改的日志； 5. 對(duì)管理員進(jìn)行增加，刪除和屬性修改的操作日志； 6. 對(duì)功能配置參數(shù)的修改日志。 19. 動(dòng)態(tài)防護(hù)模塊的實(shí)現(xiàn) 動(dòng)態(tài)防護(hù)模塊通過(guò)嵌入 web發(fā)布服務(wù)軟件，對(duì)各類(lèi) URL請(qǐng)求進(jìn)行攻擊代碼過(guò)濾，可以抵擋各類(lèi) SQL注入、跨站、構(gòu)造類(lèi)代碼攻擊，防止對(duì)后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行猜解、破壞、掛馬等攻擊。 WebGuard 網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng) 技術(shù)白皮書(shū) 169。 2020 智恒科技 15 密級(jí)：公開(kāi) 五． 部署結(jié)構(gòu) WebGuard 部署方式較為靈活，監(jiān)控代理客戶(hù)端（ Monitor Client），管理中心服務(wù)器（ Center Server）和管理客戶(hù)端 (Console)三部分，可以部署在三個(gè)不同的系統(tǒng)上，也可以部署在同一臺(tái)系統(tǒng)上，用戶(hù)根據(jù)需要靈活進(jìn)行設(shè)計(jì)，以下介紹三種典型部署結(jié)構(gòu)： 第一種部署方式見(jiàn)圖 “ Web網(wǎng)站安全防護(hù)系統(tǒng) 統(tǒng)典型部署示意圖 1” ：這種部署為常見(jiàn)部署方式，常見(jiàn)于政府網(wǎng)站和大型企事業(yè)單位， WEB服務(wù)器位于內(nèi)部網(wǎng)中，在防火墻 DMZ區(qū)（非軍事化區(qū)），第一步：在 DMZ區(qū)任意一臺(tái)服務(wù)器（可以是防病毒服務(wù)器或者防火墻管理服務(wù)器）安裝管理中心服務(wù)器（ Center Server， IP地址為： ）部分，并設(shè)定外部管理連接端口（默認(rèn)為 5366）；第二步：將監(jiān)控端（ Monitor Client）安裝于多個(gè) WEB服務(wù)器（ ）上，并制定管理中心服務(wù)器地址（如 ），并設(shè)定管理端口（默認(rèn)為 5367）；第三步，在內(nèi)部管理區(qū)域，任意 pc安裝管理客戶(hù)端 (Console)部分； 若要保證通信，還需要在防火墻上配置 管理中心服務(wù)器（ Center Server， IP地址為： ）端口（默認(rèn)為 5366），需將端口鏡像 到 WEB外部。 圖 5 1 Web 網(wǎng)站安全防護(hù)系統(tǒng) 典型部署示意圖 1 第二種部署方式見(jiàn)圖 “ Web網(wǎng)站安全防護(hù)系統(tǒng) 典型部署示意圖 2” ，這類(lèi)部署主要突出了該系統(tǒng)部署的靈活性，將 Center Server部分也同時(shí)部署在 WEB站點(diǎn)上，在沒(méi)有額外可用服務(wù)器的情況下，節(jié)省了服務(wù)器資源，保護(hù)了用戶(hù)投資。但我們建議此時(shí)需要及時(shí)修改初始維護(hù)密 WebGuard 網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng) 技術(shù)白皮書(shū) 169。 2020 智恒科技 16 密級(jí)：公開(kāi) 碼，并保持器一定的復(fù)雜度。 圖 5 2 Web 網(wǎng)站安全防護(hù)系統(tǒng) 典型部署示意圖 2 第三種部署方式見(jiàn)圖 “ Web網(wǎng)站安全防護(hù)系統(tǒng) 典型部署示意圖 3” 也常見(jiàn)于政府網(wǎng)站和大型企事業(yè)單位， WEB服務(wù)器位于 IDC托管中心的防火墻 DMZ區(qū)（非軍事化區(qū)），第一步：在DMZ區(qū)數(shù)據(jù)庫(kù)服務(wù)器（也可以是防病毒服務(wù)器或者防火墻管理服務(wù)器）安裝管理中心服務(wù)器（ Center Server， IP地址為： ）部分，并設(shè)定外部管理連接端口（默認(rèn)為 5366）；第二步：將監(jiān)控端（ Monitor Client）安裝于多個(gè) WEB服務(wù)器（ ）上，并制定管理中心服務(wù)器地址（如 ），并設(shè)定管理端口（默認(rèn)為 5367）；第三步，在內(nèi)網(wǎng)管理區(qū)域，任意 pc安裝管理客戶(hù)端 (Console)部分； 注： 若要保證通信，還需要在防火墻上配置管理中心服務(wù)器（ Center Server， IP地址為： ）端口（默認(rèn)為 5366）鏡像到外部，便于 Console登陸管理。（因 WEB站點(diǎn)為了外部 Inter訪問(wèn)，已經(jīng)做 IP地址轉(zhuǎn)換，無(wú)需做額外配置）。 WebGuard 網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng) 技術(shù)白皮書(shū) 169。 2020 智恒科技 17 密級(jí)：公開(kāi) 圖 5 3 Web 網(wǎng)站安全防護(hù)系統(tǒng) 典型部署示意圖 3 注：若將 Center Server部分安裝在內(nèi)網(wǎng)時(shí)，則需要首先將管理中心 Center Server端口（默認(rèn)為 5366）也需要鏡像到外網(wǎng)部分， IP地址也需要做相應(yīng)地址轉(zhuǎn)換（ NAT）；然后在 IDC托管中心的防火墻上將監(jiān)控端（ Monitor Client）的端口 5367及 IP地址鏡像到外部，并指定遠(yuǎn)程管理的外部 NAT轉(zhuǎn)換后的地址。該部署比較復(fù)雜，需要網(wǎng)管員積極配合。