网站篡改防护功能.docx

网站篡改防护功能详解目录1.设计思路32.防篡改实现流程及原理32.1防篡改实现流程32.2检测原理32.3匹配方式32.4网站防护深度32.5可识别篡改类型32.6管理员维护界面32.7篡改后重定向32.8报警方式31.设计思路下一代防火墙NGAF是面向应用层设计，能识别用户、应用和内容，具备完整安全防护能力的高性能下一代防火墙。下一代防火墙NGAF，解决方案解决了传统防火墙不能防护应用层安全威胁的问题，弥补了IPS入侵防护系统无法防护web攻击的弱点，弥补了基于web应用的WAF无法防止底层漏洞攻击的缺陷，为用户提供完整的应用层安全防护解决方案：事前，快速的进行风险扫描，帮助用户快速定位安全风险，并智能更新防护策略；事中，有效防止引起网页篡改、网页挂马、敏感信息泄漏、无法响应正常服务及“拖库”、“暴库”等一系列问题的web攻击、漏洞攻击、系统扫描等攻击；事后，对服务器外发内容进行安全检测，防止攻击绕过安全防护体系，对互联网业务产生的网站篡改、数据泄漏问题。【网站篡改防护】功能是下一代防火墙NGAF-服务器防护中的一个子模块，其设计目的在于提供的一种事后补偿防护手段，即使黑客绕过安全防御体系修改了网站内容，其修改的内容也不会发布到最终用户处，从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题。2.防篡改实现流程及原理当网页被数据篡改后，用户看到的页面变成了非法页面或者损害企事业单位形象的网页，这种事故往往会给企事业单位造成很严重的影响，甚至造成严重的经济损失。下一代防火墙NGAF【网站篡改防护】功能可有效降低此类风险，当内部网站数据被篡改之后，设备可以重定向到备用网站服务器或者指定的其他页面，并且及时地通过短信或者邮件方式通知管理员。下一代防火墙NGAF【网站篡改防护】功能使用网关实现动静态网页防篡改功能。这种实现方式相对于主机部署类防篡改软件而言，客户无需在服务器上安装第三方软件，易于使用和维护，在防篡改部分基于网络字节流的检测与恢复，对服务器性能没有影响。2.1防篡改实现流程网站防篡改实现流程如下：管理员预先在控制台设置好需要防护的网站，设置后，NGAF设备会向该网站请求页面并且缓存到设备。当用户访问网站的时候，数据经过NGAF设备，NGAF设备根据预先缓存的页面与用户访问的页面进行比对，如有变动，则判断为篡改，跳转到指定页面并且通知管理员。第一步：抓取页面内容并缓存第二步：对比客户获取网页与缓存网页第三步：出现网页篡改，返回指定界面2.2检测原理【网站篡改防护】的样本采样模块会将首次获取到的防护页面作为基准页面，通过一定时间反复或者通过手动更新轮询方式更新采集网站的样本，再次之后获取的页面为轮询页面。采样得到的基准页面与轮询页面将通过【网站篡改防护】模块中的检测算法进行轮询的检测与匹配。若经过算法计算的基准页面与轮询页面出现不一致时，则判定网页存在篡改的风险，通过提交管理员审核的方式判定更新内容是合法更新还是非法篡改。2.3匹配方式【网站篡改防护】功能能实现动态、静态网页的篡改检测，通过两种匹配方式对网页篡改进行检测与匹配。一般情况下纯静态网页，则选择[精确匹配]，全动态页面的网站选择[模糊匹配-灵敏度低]，静/动态网页都有的网站可选择[模糊匹配-灵敏度高]或者[模糊匹配-灵敏度中]。方式一：精确匹配精确匹配模式适用于首页或者前几级更新内容较少、用户访问次数最多需要进行严格保障的页面。通过精确匹配的识别方式，网站框架、文字、图片等网站任何一个元素的变化均被判定为被非法篡改。方式二：模糊匹配模糊匹配适用于内容更新频发的动态更新的页面，网页中的文字会随着动态发布进行更新，而网站的整体框架不允许被篡改，否则被认定为是一种篡改事件。2.4网站防护深度防篡改功能模块防护深度默认值为5。当设定起始URL后，设备会请求该URL并且缓存该URL页面，如果该URL里有一个URL链接B，那么设备也会请求链接B并且缓存B页面，依此类推，设备也会请求链接B里面的链接并且继续缓存。防护深度范围为1-20。2.5可识别篡改类型1、替换整个网页NGAF可识别黑客对整个网页进行替换的篡改事件。2、插入新链接若攻击者篡改页面插入其他网站链接打广告，NGAF则可以通过检测外链的功能进行检验。3、替换网站图片文件若攻击者更改了网页中某些图片内容，NGAF可根据图片的特征精确识别图片的更改与否，防止攻击者替换网页中的图片信息。4、小规模编辑网页（仅精确模式使用）在精确检测模式下，NGAF可识别小规模的网页编辑，如小部分文字内容的修改实现严格的网页篡改防护要求。5、因网站运行出错导致结构畸变NGAF可实现网站更新、访问出错导致的网站结构发生畸变的篡改防护，保证网页不会因为出错使得网站结构与框架发生改变。2.6管理员维护界面为了方便网站业务维护人员