渠道高级认证培训03_网页防篡改课件.ppt

路由或中间网络设备策略拦截导致的情况,确认这种可以通过控制台页面【系统维护】-【命令控制台】-ping/telnet测试路由和端口联通性。 * 培训内容 培训目标 NGAF网页防篡改 掌握网页防篡改测试 了解网页防篡改排错及常见问题 网页防篡改测试 深信服公司简介 网页防篡改排错及常见问题 SANGFOR NGAF 1.1网页防篡改测试 1.2网页防篡改排错及常见问题 NGAF 网页防篡改 自2003年CNCERT便开始每日对中国大陆地区网站被篡改情况进行跟踪监测，在发现被篡改网站后及时通知网站所在省份的分中心协助解决，争取被篡改网站快速恢复。以2011年为例，中国大陆地区被篡改网站各月累计为36612个，与2010年的34858个相比略增5.1%。另外最新2012年11月第23期的CNCERT互联网安全威胁报告数据如下： NGAF防篡改保存的本地缓存不能用来恢复被篡改的web服务器页面； 服务器被篡改，如果绕过NGAF，还是会访问到被篡改的页面。 1.1 网页防篡改测试 网页防篡改测试步骤如下： 1、搭建网络拓扑； 2、配置AF防篡改模块； 3、图片篡改还原； 4、精确匹配-非图片篡改重定向； 5、模糊匹配-网页整体篡改重定向； 6、模糊匹配-网站内网更新不判断篡改； 7、模糊匹配-添加黑链判断篡改不重定向。 1、搭建网络拓扑 此处以NGAF网关部署为例，地址转换配置服务器上网的代理上网SNAT规则，配置服务器发布的DNAT规则，映射TCP 70:80至00:80，配置服务器管理的DNAT规则，映射TCP 70:22至00:22。应用控制策略配置为简化实验，所有区域全部放通 2、配置AF防篡改模块 配置精确配置，深度5，检测资源文件篡改，网站篡改后-阻止用户访问-显示提示页面，记录日志。 注意： 1、若网站必须使用域名才能正常访问，则起始URL必须配置域名，其他情况下配置为服务器的真实IP即可 2、DNAT发布的服务器，起始URL若填写IP，则填写内网真实IP，不填写发布后的公网IP 配置完成后可以看到抓取了33个缓存页面。 3、图片篡改还原 访问网站首页上方大图为：70/images/header.jpg。删除header.jpg并上传一张本地篡改后的header.jpg，清空浏览器缓存，并再次访问网站，可见网页并未被篡改，查看NGAF控制台，发现有篡改提示，点击“篡改网页”，可以看到是/images/header.jpg被篡改，说明防篡改作用生效。 4、精确匹配-非图片篡改重定向 网站首页为index.php，下载index.php，篡改后上传至目录，篡改内容为更改栏目名称为Hacked By Helen。 篡改前内容 篡改后内容 清空浏览器缓存，并再次访问网页，发现网页被重定向 登陆设备控制台和数据中心查看篡改记录 上传原始网页index.php修复，并重新浏览网页，建议多刷几次，并查看NGAF控制台，可见保护状态恢复正常 5、模糊匹配-网页整体篡改重定向 更改防篡改保护配置为模糊匹配-高，并勾选“检测资源文件篡改”，“检测黑链” 网站首页为index.php，SSH下载/var/www/index.php，篡改后上传至/var/www目录，篡改内容为更改网站标题修改title内容为Hacked By Helen，更改网站body内容为Hacked By Helen。 窜改前： 上传篡改后页面： 清空浏览器缓存，并再次访问网页，发现网页被重定向，防篡改生效 篡改恢复步骤同4，此处略 6、模糊匹配-网站内网更新不判断篡改 通过SSH上传更改过栏目标题的index.php，更改内容为将“办事服务”标题变更为“便民服务” 清空浏览器缓存，并再次访问网页，发现网页编辑后内容可以正常浏览,登陆NGAF控制台，无篡改警告。 7、模糊匹配-添加黑链判断篡改不重定向 通过上传被篡改的index.php，篡改内容为添加a href的黑链 篡改前 篡改后 清空浏览器缓存，并再次访问网页，发现网页无明显变化，登陆NGAF控制台，看到有篡改事件并有篡改日志 篡改恢复过程略 1.2 网页防篡改排错及常见问题 常见的防篡改问题有如下两种 1、防篡改状态显示“故障”； 2、网页防篡改无效。 1、防篡改状态显示“故障”； 说明： 故障如上图所示，出现此提示的原因为NGAF无法访问被防护的服务器，无法获取网站缓存，从而导致提示故障。 由于部署在特殊环境，比如vlan环境中，错误的部署方法导致不通的，确认好客户网络环境拓扑，参考“2013年度渠道初级认证培训03_常见网络环境部署”。 另外还有路由或中间网络设备策略拦截导致的情况。 通常出现在2.2