【51CTO.com獨家特稿】目前，利用網上隨處可見的攻擊軟件，趙明所遇到的攻擊者很可能就是那些“腳本小子”（清除服務器日志的工具也很常見），這些人不需要的深厚技術基礎，即可完成諸如更換Web網站主頁，盜取管理員密碼，數據庫注入等，但這些人最恐怖的事情就是破壞整個網站數據等攻擊。而這些攻擊過程中產生的網絡層數據，和正常數據沒有什么區別。

網頁防篡改技術的優勢

很多用戶認為，在網絡中部署入侵檢測系統（IDS），入侵防御系統（IPS）等設備，就可以保障網絡的安全性，就能全面立體的防護WEB應用了，但是為何基于WEB服務器頁面訪問的應用攻擊事件仍然不斷發生？其根本的原因在于傳統的網絡安全設備對于應用層的攻擊防范，作用十分有限。也就是說如果攻擊者不是通過網絡層，而是Web應用層和數據庫注入過來的話，那么數據過濾（基于TCP/IP報文頭部的ACL）實現訪問控制的功能就如同虛設了。  

◆針對本案例中網頁篡改的攻擊行為，具有以下特點：篡改網站頁面傳播速度快、閱讀人群多；復制容易，事后消除影響難；預先檢查和實時防范較難；網絡環境復雜難以追查責任，攻擊工具簡單且向智能化趨勢發展。以上這些特點，趙明和運營總監黃曉明兩人對于網站“被黑”事件考慮，很可能影響到公司對外的整體形象，因此我絕對在現有結構中增加一套網頁防篡改保護系統非常重要。  

網頁防篡改技術的發展  

◆最早，針對網頁篡改的攻擊，作為運維人員只能通過手工（人工）對比檢測，專門指派網絡管理人員，人工監控需要保護的網站，一旦發現被篡改，然后以人力對其修改還原的手段。嚴格的說來，人工對比檢測不能算是一種網頁防篡改系統采用的技術，而只能算安全管理中針對網頁被篡改的制度管理。這種手段非常原始且效果不佳，且不說人力成本較高，其最致命的缺陷在于人力監控不能達到即時性，也就是不能在第一時間發現網頁被篡改也不能在第一時間做出還原，當管理人員發現網頁被篡改再做還原時，被篡改的網頁已在互聯網存在了一段時間，可能已經被一定數量的網民瀏覽。　　  

◆隨著網絡防護技術的發展，后來的出現的網頁防篡技術中的“時間輪巡技術”被廣泛應用于政府和教育網站。時間輪詢技術是利用一個網頁檢測程序，以輪詢方式讀出要監控的網頁，與真實網頁相比較，來判斷網頁內容的完整性，對于被篡改的網頁進行報警和恢復。但后來隨著商業性網站在國內的快速發展，采用時間輪詢式的網頁防篡改系統存在著網絡安全工程師無法接受的“時間間隔”，這種技術也逐漸被淘汰。

隨著“水印”和“非對稱加密”技術的廣泛應用，這些最新的技術也被推廣到網頁防篡產品領域，這包括了“事件觸發”和“核心內遷嵌”技術的組合應用。核心內嵌技術（密碼水印）的實現，是先將網頁內容采取非對稱加密存放，在外來訪問請求時將經過加密驗證過的，進行解密對外發布；若未經過驗證，則拒絕對外發布，調用備份網站文件進行驗證解密后對外發布。此種技術通常要結合事件觸發機制對文件的部分屬性進行對比，如大小，頁面生成時間等做判斷。核心內嵌技術避免了時間輪巡技術的輪巡間隔這個缺點，但是由于這種技術是對每個流出網頁都進行完整檢查，占用巨大的系統資源，給服務器造成較大負載。并且對網頁正常發布流程作了更改，針對本案例的拓撲，整個網站需要重新架構。　　   

網頁防篡在企業中的具體應用

隨著技術發展以及網上各類應用的增多，對服務器的負載資源簡直可以用“苛刻”來形容，任何占用服務器資源的部分都要淘汰，來確保網站的高訪問效率，如此一來，內嵌技術（即密碼技術）最終將被淘汰。

因此，現階段企業當中主要是使用了“文件過濾驅動技術＋事件觸發技術”的第三代產品。文件過濾驅動技術的最初應用于軍方和保密系統，作為文件保護技術和各類審計技術。其原理是：將篡改監測的核心程序通過文件底層驅動技術應用到Web服務器中，通過事件觸發方式進行自動監測，對文件夾的所有文件內容，對照其底層文件屬性，經過內置散列快速算法，實時進行監測，若發現屬性變更，通過非協議方式，純文件安全拷貝方式將備份路徑文件夾內容拷貝到監測文件夾相應文件位置，通過底層文件驅動技術，整個文件復制過程毫秒級。這樣的要求非常適合趙明負責的這家公司，也解決了公眾無法看到被篡改頁面，入侵者整個過程被記錄的最高水準，如果黑客攻擊之后，可能連黑客自己都無法看到網頁是否被篡改的結果顯示。

網頁防篡系統的部署  

◆網頁防篡改保護系統的品牌相當多，這里列舉一個企業中常見的品牌：WebGurad ，此系統采用的就是目前系統驅動級文件保護技術，并且基于事件觸發式監測機制，高效實現了網頁監測與防護功能，徹底杜絕了網站被非法篡改的可能。  

◆第一種部署方案（圖1）：無需增加任何服務器，這類部署主要突出了該系統部署的靈活性，將Center Server部分也同時部署在Web站點上，在沒有額外可用服務器的情況下，節省了服務器資源，保護了用戶投資。  

網頁防篡改保護系統典型部署示意圖1  

第二種部署方案（圖2），可分為三步：

第1步：在DMZ區任意一臺服務器安裝管理中心服務器（Center Server），并設定外部管理連接端口（默認為5366）；

第2步：將監控端（Moniter Client）安裝于多個Web服務器上，并在Web服務器商指定管理中心服務器地址，并設定管理端口（默認為5367）；

第3步：在內部管理區域，任意PC安裝管理客戶端(Console)部分。

網頁防篡改保護系統典型部署示意圖2

采用此產品部署的方案優點有很多，針對具體應用該方案支持如下一些特殊功能： 

◆斷線狀態下篡改檢測和大規模連續篡改攻擊防護；  

◆支持進程黑白名單管理，杜絕非法程序非法執行； 

◆實時監測，完全杜絕被篡改內容被外界瀏覽；  

◆支持服務器性能監測與閥值告警功能； 

◆支持單獨文件篡改保護；  

◆支持文件夾篡改保護；  

◆支持多級目錄文件夾內容篡改保護；  

◆支持異地文件同步功能，異地目錄保護恢復功能； 

◆支持文件多種自動方式上傳與人工同步方式；

而針對Web網站最新和最流行的攻擊可以提供如下防范： 

◆支持SQL注入攻擊防護；  

◆支持跨站腳本攻擊防護；  

◆支持對系統文件的訪問防護；  

◆支持特殊字符構成的URL利用防護； 

◆支持對危險系統路徑的訪問防護； 

◆支持構造危險的Cookie攻擊防護； 

◆各類攻擊的變種防護；

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】  

【編輯推薦】

1. Barracuda-NC雙臂代理模式搞定網站安全(拯救趙明)
2. 防火墻加web應用防火墻解決趙明問題