sangfor_ngaf_v66_2016年渠道高级认证培训03_网页防篡改10.pptVIP

SANGFOR NGAF 网页防篡改 1.0 培训内容 培训目标 NGAF 网页防篡改 2.0 1. 掌握网页防篡改 1.0 测试方法 2. 了解网页防篡改 1.0 排错及常见问题 网页防篡改 1.0 测试 深信服公司简介 网页防篡改 1.0 排错及常见问题 SANGFOR NGAF 1.1 网页防篡改 1.0 测试 1.2 网页防篡改 1.0 排错及常见问题 NGAF 网页防篡改 1.0 自 2003 年 CNCERT 便开始每日对中国大陆地区网站被篡改情 况进行跟踪监测，在发现被篡改网站后及时通知网站所在省份的 分中心协助解决，争取被篡改网站快速恢复。以 2011 年为例，中 国大陆地区被篡改网站各月累计为 36612 个，与 2010 年的 34858 个相比略增 5.1% 。另外最新 2012 年 11 月第 23 期的 CNCERT 互联 网安全威胁报告数据如下： NGAF 防篡改保存的本地缓 存不能用来恢复被篡改的 web 服务器页面； 服务器被篡改，如果绕过 NGAF ，还是会访问到被篡 改的页面。 1.1 网页防篡改 1.0 测试 网页防篡改 1.0 测试步骤如下： 1 、搭建网络拓扑； 2 、配置 AF 防篡改模块； 3 、图片篡改还原； 4 、精确匹配 - 非图片篡改重定向； 5 、模糊匹配 - 网页整体篡改重定向； 6 、模糊匹配 - 网站内网更新不判断篡改； 7 、模糊匹配 - 添加黑链判断篡改不重定向。 1 、搭建网络拓扑 此处以 NGAF 网关部署为例，地址转换配置服务器上网的代理上 网 SNAT 规则，配置服务器发布的 DNAT 规则，映射 TCP 70:80 至 00:80 ，配置服务器管理的 DNAT 规则 ，映射 TCP 70:22 至 00:22 。应用控制策略配 置为简化实验，所有区域全部放通 2 、配置 AF 防篡改模块 配置精确配置，深度 5 ，检测资源文件篡改，网站篡改后 - 阻止用户访 问 - 显示提示页面，记录日志。 注意： 1 、若网站必须使用域名才能正常访问，则起始 URL 必须 配置域名，其他情况下配置为服务器的真实 IP 即可 2 、 DNAT 发布的服务器，起始 URL 若填写 IP ，则填写内网 真实 IP ，不填写发布后的公网 IP 配置完成后可以看到抓取了 33 个缓存页面。 3 、图片篡改还原 访问网站首页上方大图为： 70/images/header.jpg 。删除 header.jpg 并上传一张本地篡改后的 header.jpg ， 清空浏览器缓存 ，并再次访问 网站，可见网页并未被篡改，查看 NGAF 控制台，发现有篡改提示，点击“篡改 网页”，可以看到是 /images/header.jpg 被篡改，说明防篡改作用生效。 4 、精确匹配 - 非图片篡改重定向 网站首页为 index.php ，下载 index.php ，篡改后上传至目录，篡改内 容为更改栏目名称为 Hacked By Helen 。 篡改前内容 篡改后内容 清空浏览器缓存，并再次访问网页，发现网页被重定向 登陆设备控制台和数据中心查看篡改记录 上传原始网页 index.php 修复，并重新浏览网页，建议多刷几次，并查看 NGAF 控制台，可见保护状态恢复正常 5 、模糊匹配 - 网页整体篡改重定向 更改防篡改保护配置为模糊匹配 - 高，并勾选“检测资源文件篡改”，“检 测黑链” 网站首页为 index.php ， SSH 下载 /var/www/index.php ，篡改后上传至 /var/www 目录，篡改内容为更改网站标题 修改 title 内容 为 Hacked By Helen ， 更改网站 body 内容为 Hacked By Helen 。 窜改前： 上传篡改后页面： 清空浏览器缓存，并再次访问网页，发现网页被重定向，防篡改生 效 篡改恢复步骤同 4 ，此处略 6 、模糊匹配 - 网站内网更新不判断篡改 通过 SSH 上传更改过栏目标题的 index.php ，更改内容为将“办事服务”标题 变更为“便民服务” 清空浏览器缓存，并再次访问网页，发现网页编辑后内容可以正常浏览 , 登 陆 NGAF 控制台，无篡改警告。 7 、模糊匹配 - 添加黑链判断篡改不重定向 通过上传被篡改的 index.php ，篡改内容为添加 a href 的黑链 篡改前 篡改后 清空浏览器缓存，并再次访问网页，发现网