SANGFOR NGAF v6.度渠道初级认证培训07 网页防篡改1.0.ppt

* * * * * * * * * * * * * SANGFOR NGAF 防篡改1.0培训 培训内容 培训目标 防篡改基本原理 了解NGAF网关防篡改基本原理 防篡改配置 掌握网关防篡改的简单配置 目录 防篡改1.0（网关型）基本原理 防篡改1.0（网关型）配置 防篡改基本原理 什么是网页篡改？ 可能与网页篡改有关的网站变化 1、替换整个网页 2、插入新链接 3、替换网站图片文件（最常见） 4、小规模编辑网页（仅精确） 5、因网站运行出错导致结构畸变 6、新增一个网页 7、删除一个网页 防篡改基本原理 NGAF网页防篡改流程 第一步：抓取正常网页内容并缓存 第二步：对比客户获取网页与缓存网页 防篡改基本原理 1.防篡改原理 第三步：出现网页篡改，返回维护页面或者还原网站 1.防篡改原理 第三步：出现网页篡改，返回维护页面或者还原网站 3：还原成网站的正常页面 发现篡改后AF的动作-还原 第三步：当AF发现篡改发生，AF如何处理 1.还原网站，客户访问的结果和原来一样 2.返回维护页面，维护页面可以默认的，或者自定义html页面，或者重定向篡改前页面或者重定向到某个站点 邮件告警SMTP服务器配置 启用邮件告警 启用防篡改的邮件告警 发现篡改后的动作-告警 短信猫配置： 1、短信猫使用USB接口 2、短信猫仅支持GSM制式SIM卡 3、短信猫支持热插拔 4、短信猫无配置页面，无需任何配置 5、查看系统日志并发送测试短信可确认短信猫工作状态 发现篡改后的动作-短信告警 设备自动检测USB接口方式的短信猫 网页防篡改的识别方式 1、精确匹配：一般用于全静态网页网站，网页中任何一个元素的变化都将判断为被篡改。 2、模糊匹配：灵敏度分为，高、中、低 高、中：可以用于静态/动态网页都有的网站 低：一般用于全动态网页网站，误判率最低，但会有一定的漏判 启用黑链的检测，只有在模糊匹配模式下使用 1.防篡改原理 防护深度：最大防护深度指通过几次链接找到页面，与url地址中目录，级数无关，主页的连接，深度都是1（可选范围：1-20）；要保护主页及主页上的图片至少设置深度为2 1.防篡改原理 NGAF能识别的网页篡改： 1、替换整个网页 2、插入新链接 3、替换网站图片文件 4、小规模编辑网页（仅精确） 5、因网站运行出错导致结构畸变 1.防篡改原理 NGAF不能识别的网页篡改： 1、新增一个网页 新增网页无本地缓存对比，故无法识别 2、删除一个网页 删除网页服务器返回404错误，AF不处理404错误页面 1.防篡改原理 被动获取新增页面 1、服务器新增页面 2、用户访问新增页面 3、AF发现新增页面 4、AF爬虫去爬取新增页面 5、新增页面加入AF防篡改列表 1.防篡改原理 网站管理员 为被保护网站指定网站管理员： 1、网站管理员可以对分管网站禁用/启用网页防篡改 2、网站管理员可更新缓存/添加例外 3、网站管理员有单独登陆页面https://AFIP:8000 4、网站管理员账号不可登陆防火墙控制台 5、网站管理员不可新增防护网站 1.防篡改原理 网站管理员 1.防篡改原理 网站管理员自助页面2:8000 注意事项： 1、用户访问被篡改站点，数据需要经过AF，如果不经过AF，起不到防护效果，AF也发现不了网页被篡改（旁路模式，即使数据镜像过来也不支持的） 2、新增页面或者删除页面，AF无法发现网页被篡改，新增网页无本地缓存对比，故无法识别，删除网页服务器返回404错误，AF不处理404错误页面 3、图片文件篡改后第一次浏览篡改网页还原为原始图片（“还原站点”） 4、网页小规模编辑和添加黑链，浏览篡改网页跳转到“维护页面” 5、仅检测到黑链篡改不还原/不重定向到维护页面，仅支持告警，控制台告警，邮件告警，短信告警 目录 1、防篡改基本原理 2、防篡改配置 1、开启网页防篡改功能 2.防篡改配置 2、新增防护网站 1、最大防护深度指通过几次链接找到页面，与url地址中目录级数无关 2、模糊匹配优先使用高，若高过于敏感则降低敏感度再次测试 3、检测资源文件篡改既检测图片文件篡改，AF会自动替换原始图片处理 4、模糊匹配需额外勾选检测外链，否则不检查新增链接 3、篡改后动作 4、网站管理员 高级配置既web服务器常用默认页面，一般无需更改 5、更新本地缓存 6、记录日志并发送邮件短信告警 A、通过邮件或短信中链接 B、通过AF控制台或网站管理员维护页面 (1)非篡改问题，直接更新缓存 (2)非篡改问题，无需做篡改保护，添加例外 (3)篡改问题，修复网站后更新缓存 7、网站管理员确认篡改信息，并采取动作 1.简单描述防篡改原理的数据流程图或