【附】各种网页防篡改技术比较.docVIP

网页防篡改产品比较 网页防篡改产品的技术要求 Web应用的基本架构 Web应用是由动态脚本语言（如ASP、JSP和PHP等）和编译过的代码等组合而成。它通常架设在Web服务器上，用户在Web浏览器上发送请求，这些请求使用HTTP协议，经过因特网或内部网络与企业的Web应用交互，由Web应用与企业后台的数据库及其他动态内容通信。 尽管不同的企业会有不同的 Web 环境搭建方式，一个典型的 Web 应用通常是标准的三层架构模型，如图示1-1所示。 图示 11 标准Web应用架构 在这种最常见的模型中，客户端是第一层；使用动态Web技术的部分属于中间层；数据库是第三层。用户通过Web浏览器发送请求给中间层，由中间层将用户的请求转换为对后台数据的查询或是更新，并将最终的结果在浏览器上展示给用户。 黑客篡改网页的手段 网站的网页之所以存在被篡改的可能性，有客观和主观两方面的原因。 就客观而言，因为存在以下原因，现有技术架构下网站漏洞将长期存在： Web平台的复杂性 操作系统复杂性：已公布超过2万多个系统漏洞。一个漏洞从发现到被利用平均为5天，而相应补丁的发布时间平均为47天。 Web服务器软件漏洞：IIS、Apache、Tomcat、Weblogic都存在大量的已知漏洞，同时每天都有大量的新漏洞被报出。 第三方软件漏洞：由各类软件厂商提供的第三方软件存在各种漏洞。 应用系统漏洞：各种注入式攻击漏洞，多个应用系统不同的开发者。 就主观而言，过于苛刻的安全管理要求，通常网络管理员难以完全实现： 密码管理：合格密码需要8位以上复杂字符并定期改变。 配置管理：严格的、细粒度的权限控管；严谨的报错处理；配置文件、系统文件的管理等等。 漏洞补丁：操作系统、中间件、应用系统的定期更新。 上网控制：钓鱼、木马、间谍软件。 传统安全设备 Web网站通常使用了防火墙和IDS/IPS等网络安全设备来保护自身的安全，如图示1-2所示。 图示 12 传统网络安全设备 网络防火墙提供网络层访问控制和攻击保护服务，它们统一部署在网络边界和企业内部重要资源（例如Web应用）的前端，提供必要的保护以防御网络层黑客攻击。但是，网络防火墙规则集必须允许重要协议（如HTTP/HTTPS）不受限制地访问Web应用，即完全向外部网络开放HTTP/HTTPS应用端口。如果攻击代码被嵌入到Web通信中，则从协议角度来看这些通信是完全合法的，而此时网络防火墙对此类攻击没有任何的保护作用。 IDS/IPS入侵检测系统/入侵防御系统作为防火墙的有利补充，加强了网络的安全防御能力。入侵检测技术同样工作在网络层上，对应用协议的理解和作用存在相当的局限性，对于复杂的http会话和协议更是不能完整处理。如果需要防御更多的攻击，那么就需要很多的规则，但是随着规则的增多，系统出现的虚假报告率（对于入侵防御系统来说，会产生中断正常连接的问题）会上升，同时，系统的效率会降低。 一个最简单的例子就是在请求中包含SQL注入代码，这些数据不管是在传统防火墙所处理的网络层和传输层，还是在代理型防火墙所处理的协议会话层，或者是常规的入侵检测系统和增强的入侵防护系统，都会认为是合法的，无法被阻挡或检出。 专业网页防篡改系统 由前面的描述可以看出，Web网站防篡改的核心工作包括： 1．阻止对网页文件的篡改。 2．防止非法网页和信息被访问。 3．有效防御各种来自应用层的攻击，例如注入式攻击、跨站攻击、非法上传、身份仿冒等等。 因此Web网站和Web应用系统除了使用一般的网络安全设备外，还需要有效的网页防篡改系统来专门对页面内容和动态数据进行保护。 实现技术比较 目前，网页防篡改系统的相关技术有四种： 外挂轮询技术。独立工作，从一台外部机器轮询监测目标网站的网页完整性。主要保护对象为静态网页。 数字水印技术。作为Web服务器的核心内嵌模块在网页被浏览时进行完整性检查。主要保护对象为静态文件和脚本。 事件触发技术。通过Hook、驱动或其他操作系统专有接口监测文件系统的变化。主要保护对象为文件。 应用防护技术。通过Web服务器上的内嵌过滤模块接口监测HTTP请求。主要保护对象为后台数据库。 外挂轮询技术由于效率低、覆盖检查面小、对目标网站影响大，目前在市场上已很少使用，不再作讨论。以下仅讨论另外三种技术。 数字水印技术 原理 数字水印技术在文件发布时生成数字水印（HMAC单向鉴别散列值），在文件每次被Web服务器访问（含执行）时检查数字水印，并对结果进行相应处理。 实现 使用Web服务器核心内嵌技术，该技术在不同的Web服务器上采用不同的技术实现，与操作系统无关： IIS: ISAPI筛选器和扩展 Apache: Apache-Module Java: servelet-filter （Weblogic/Webspher