計(jì)算機(jī)軟件及應(yīng)用iguard-安裝部署指南

TITLEiGuard網(wǎng)頁防篡改系統(tǒng)SUBJECT部署指南

目錄TOC\o"1-2"\h\z第1章根本部署 11.1產(chǎn)品簡(jiǎn)介 11.2結(jié)構(gòu)描述 21.3標(biāo)準(zhǔn)部署 41.4產(chǎn)品型號(hào) 7第2章多虛擬主機(jī)/多Web效勞器 92.1一對(duì)多支持 92.2多虛擬主機(jī) 102.3鏡像Web效勞器 112.4多Web效勞器 12第3章特殊情形部署 133.1本機(jī)Web內(nèi)容管理系統(tǒng) 133.2托管效勞器 153.3同機(jī)部署 173.4無內(nèi)容管理系統(tǒng) 17第4章發(fā)布效勞器平安 184.1問題的提出 184.2根本考慮 194.3Windows操作系統(tǒng)加固措施 204.4發(fā)布相關(guān)的平安加固措施 23第5章網(wǎng)站需提供的設(shè)備和準(zhǔn)備工作 265.1內(nèi)容管理系統(tǒng) 265.2發(fā)布效勞器 265.3Web效勞器 265.4工程準(zhǔn)備單 26第6章iGuard工程準(zhǔn)備單 276.1總體情況 276.2內(nèi)容管理系統(tǒng) 276.3iGuard發(fā)布效勞器 286.4Web效勞器〔編號(hào)1〕 296.5Web效勞器〔編號(hào)2〕 30

圖示目錄TOC\h\z\c"圖示"圖示11iGuard兩臺(tái)效勞器 2圖示12標(biāo)準(zhǔn)部署圖 4圖示13根本網(wǎng)站結(jié)構(gòu) 5圖示14部署iGuard后的網(wǎng)站結(jié)構(gòu) 6圖示21多虛擬主機(jī) 10圖示22鏡像Web效勞器 11圖示23多Web效勞器 12圖示31本地Web內(nèi)容管理系統(tǒng) 13圖示32本地Web內(nèi)容管理系統(tǒng)下的部署 14表格目錄TOC\h\z\c"表格"表格11產(chǎn)品型號(hào) 7表格12企業(yè)發(fā)布模塊 8根本部署產(chǎn)品簡(jiǎn)介iGuard網(wǎng)頁防篡改系統(tǒng)是完全保護(hù)Web網(wǎng)站不發(fā)送被篡改內(nèi)容并進(jìn)行自動(dòng)恢復(fù)的Web頁面保護(hù)軟件。iGuard網(wǎng)頁防篡改系統(tǒng)〔以下簡(jiǎn)稱iGuard〕采用先進(jìn)的Web效勞器核心內(nèi)嵌技術(shù)，將篡改檢測(cè)模塊〔數(shù)字水印技術(shù)〕和應(yīng)用防護(hù)模塊〔防注入攻擊〕內(nèi)嵌于Web效勞器內(nèi)部，并輔助以增強(qiáng)型事件觸發(fā)檢測(cè)技術(shù)，不僅實(shí)現(xiàn)了對(duì)靜態(tài)網(wǎng)頁和腳本的實(shí)時(shí)檢測(cè)和恢復(fù)，更可以保護(hù)數(shù)據(jù)庫(kù)中的動(dòng)態(tài)內(nèi)容免受來自于Web的攻擊和篡改，徹底解決網(wǎng)頁防篡改問題。iGuard的篡改檢測(cè)模塊使用密碼技術(shù)，為網(wǎng)頁對(duì)象計(jì)算出唯一性的數(shù)字水印。公眾每次訪問網(wǎng)頁時(shí)，都將網(wǎng)頁內(nèi)容與數(shù)字水印進(jìn)行比照；一旦發(fā)現(xiàn)網(wǎng)頁被非法修改，即進(jìn)行自動(dòng)恢復(fù)，保證非法網(wǎng)頁內(nèi)容不被公眾瀏覽。同時(shí)，iGuard的應(yīng)用防護(hù)模塊也對(duì)用戶輸入的URL地址和提交的表單內(nèi)容進(jìn)行檢查，任何對(duì)數(shù)據(jù)庫(kù)的注入式攻擊都能夠被實(shí)時(shí)阻斷。iGuard以國(guó)家863工程技術(shù)為根底，全面保護(hù)網(wǎng)站的靜態(tài)網(wǎng)頁和動(dòng)態(tài)網(wǎng)頁。iGuard支持網(wǎng)頁的自動(dòng)發(fā)布、篡改檢測(cè)、應(yīng)用保護(hù)、警告和自動(dòng)恢復(fù)，保證傳輸、鑒別、完整性檢查、地址訪問、表單提交、審計(jì)等各個(gè)環(huán)節(jié)的平安，完全實(shí)時(shí)地杜絕篡改后的網(wǎng)頁被訪問的可能性，也杜絕任何使用Web方式對(duì)后臺(tái)數(shù)據(jù)庫(kù)的篡改。iGuard支持所有主流的操作系統(tǒng)，包括：Windows、Linux、FreeBSD、Unix〔Solaris、HP-UX、AIX〕；支持常用的Web效勞器軟件，包括：IIS、Apache、SunONE、Weblogic、WebSphere等；保護(hù)所有常用的數(shù)據(jù)庫(kù)系統(tǒng)，包括：SQLServer、Oracle、MySQL、Access等。結(jié)構(gòu)描述兩臺(tái)效勞器部署iGuard至少需要兩臺(tái)效勞器：發(fā)布效勞器：位于內(nèi)網(wǎng)中，本身處在相對(duì)平安的環(huán)境中，其上部署iGuard的發(fā)布效勞器軟件。Web效勞器：位于公網(wǎng)/DMZ中，本身處在不平安的環(huán)境中，其上部署iGuard的Web效勞器端軟件。它們之間的關(guān)系如圖示1-1所示。iGuardiGuard發(fā)布效勞器軟件發(fā)布效勞器FTP…SSLIntranetDMZInternetiGuardWeb效勞器端軟件Web效勞器Internet圖示STYLEREF1\s1SEQ圖示\*ARABIC\s11iGuard兩臺(tái)效勞器Internet發(fā)布效勞器發(fā)布效勞器上運(yùn)行iGuard的“發(fā)布效勞器軟件〞〔StagingServer〕。所有網(wǎng)頁的合法變更〔包括增加、修改、刪除、重命名〕都在發(fā)布效勞器上進(jìn)行。發(fā)布效勞器上具有與Web效勞器上的網(wǎng)頁文件完全相同的目錄結(jié)構(gòu)，發(fā)布效勞器上的任何文件/目錄的變化都會(huì)自動(dòng)和立即地反映到Web效勞器的相應(yīng)位置上，文件/目錄變更的方法可以是任意方式的〔例如：FTP、SFTP、RCP、NFS、文件共享等〕。網(wǎng)頁變更后，“發(fā)布效勞器軟件〞將其同步到Web效勞器上。發(fā)布效勞器是部署iGuard時(shí)新增添的機(jī)器，原那么需要一臺(tái)獨(dú)立的效勞器；對(duì)于網(wǎng)頁更新不太頻繁的網(wǎng)站，也可以用普通PC機(jī)或者與擔(dān)任其他工作的效勞器共用。發(fā)布效勞器為PC效勞器，其本身的硬件配置無特定要求，操作系統(tǒng)可選擇Windows〔一般網(wǎng)站〕或Linux〔大型網(wǎng)站，需選加Linux企業(yè)發(fā)布模塊〕。Web效勞器Web效勞器上除了原本運(yùn)行的Web效勞器軟件〔如IIS、Apache、SunONE、Weblogic、Websphere等〕外，還運(yùn)行有iGuard的“Web效勞器端軟件〞，“Web效勞器端軟件〞由“同步效勞器〞〔SyncServer〕和“防篡改模塊〞〔AntiTamper〕組成?！癷Guard同步效勞器〞負(fù)責(zé)與iGuard發(fā)布效勞器通信，將發(fā)布效勞器上的所有網(wǎng)頁文件變更同步到Web效勞器本地；“iGuard防篡改模塊〞作為Web效勞器軟件的一個(gè)插件運(yùn)行，負(fù)責(zé)對(duì)Web請(qǐng)求進(jìn)行檢查和對(duì)網(wǎng)頁進(jìn)行完整性檢查，需要對(duì)Web效勞器軟件作適當(dāng)配置，以使其生效。Web效勞器是用戶網(wǎng)站原有的機(jī)器，iGuard可適應(yīng)于任何硬件和操作系統(tǒng)。

標(biāo)準(zhǔn)部署內(nèi)容管理系統(tǒng)目前，大局部網(wǎng)站都使用了內(nèi)容管理系統(tǒng)〔CMS〕來管理網(wǎng)頁產(chǎn)生的全過程，包括網(wǎng)頁的編輯、審核、簽發(fā)和合成等。在網(wǎng)站的網(wǎng)絡(luò)拓?fù)渲?，發(fā)布效勞器部署在原有的內(nèi)容管理系統(tǒng)和Web效勞器之間，圖示1-2說明了三者之間的關(guān)系。Web效勞器Web效勞器(iGuard)發(fā)布效勞器(iGuard)內(nèi)容管理系統(tǒng)(第三方軟件)Internet圖示STYLEREF1\s1SEQ圖示\*ARABIC\s12標(biāo)準(zhǔn)部署圖為一個(gè)已有的Web站點(diǎn)部署iGuard時(shí)，Web效勞器和內(nèi)容管理系統(tǒng)都沿用原來的機(jī)器，而需要在其間增加一臺(tái)發(fā)布效勞器。iGuard的自動(dòng)同步機(jī)制完全與內(nèi)容管理系統(tǒng)無關(guān)的，適合與所有的內(nèi)容管理系統(tǒng)協(xié)同工作，而內(nèi)容管理系統(tǒng)本身無須作任何變動(dòng)。發(fā)布效勞器上具有與Web效勞器上的網(wǎng)站文件完全相同的目錄結(jié)構(gòu)，任何文件/目錄的變化都會(huì)自動(dòng)映射到Web效勞器的相應(yīng)位置上。網(wǎng)頁的合法變更〔包括增加、修改、刪除、重命名〕都在發(fā)布效勞器上進(jìn)行，變更的手段可以是任意方式的〔例如：FTP、SFTP、RCP、NFS、文件共享等〕。網(wǎng)頁變更后，發(fā)布效勞器將其同步到Web效勞器上。無論什么情況下，不允許直接變更Web效勞器上的頁面文件。iGuard一般情況下與內(nèi)容管理系統(tǒng)分開部署，當(dāng)然它也可以與內(nèi)容管理系統(tǒng)部署在一臺(tái)機(jī)器上，在這種情形下，iGuard還可以提供接口，與內(nèi)容管理系統(tǒng)進(jìn)行互相的功能調(diào)用，以實(shí)現(xiàn)整合性更強(qiáng)的功能。部署例如一個(gè)標(biāo)準(zhǔn)的網(wǎng)站架構(gòu)示意圖如圖示1-3所示。FTP…IntranetDMZInternet數(shù)據(jù)庫(kù)Web效勞器軟件Web效勞器內(nèi)容管理系統(tǒng)內(nèi)容管理圖示STYLEREF1\s1SEQ圖示\*ARABIC\s13根本網(wǎng)站結(jié)構(gòu)在圖中，內(nèi)容管理系統(tǒng)將合成的網(wǎng)頁通過FTP或者其他方式上傳到Web效勞器上。部署iGuard后的網(wǎng)站結(jié)構(gòu)圖如圖示1-4所示。

FTP…IntranetDMZInternet數(shù)據(jù)庫(kù)SSLWeb效勞器軟件Web效勞器同步效勞器防篡改模塊內(nèi)容管理系統(tǒng)內(nèi)容管理發(fā)布效勞器發(fā)布效勞器圖示STYLEREF1\s1SEQ圖示\*ARABIC\s14部署iGuard后的網(wǎng)站結(jié)構(gòu)由上圖可以看出，為一個(gè)標(biāo)準(zhǔn)的Web站點(diǎn)部署iGuard時(shí)，Web效勞器和內(nèi)容管理系統(tǒng)都完全沿用原來的機(jī)器，而需要在其間增加一臺(tái)發(fā)布效勞器。iGuard的自動(dòng)同步機(jī)制與內(nèi)容管理系統(tǒng)無關(guān)的，適合與所有的內(nèi)容管理系統(tǒng)協(xié)同工作。對(duì)內(nèi)容管理系統(tǒng)唯一需要做的只是改變它的設(shè)置，將發(fā)布的目標(biāo)效勞器地址由Web效勞器地址改為發(fā)布效勞器地址即可，無須安裝iGuard任何組件。當(dāng)然，根據(jù)內(nèi)容管理系統(tǒng)所采用協(xié)議，發(fā)布效勞器上需要對(duì)應(yīng)安裝這些協(xié)議的效勞器端，例如：FTP/sftp效勞器、rcp效勞器或翻開文件共享等。Web效勞器使用SSL效勞和特定端口〔默認(rèn)為38888，可修改配置選擇其他端口〕來接收上傳的網(wǎng)頁文件，無須再開放內(nèi)容管理系統(tǒng)所需的端口〔例如FTP端口〕。為平安起見，強(qiáng)烈建議Web效勞器僅開放Web效勞端口和iGuard端口，關(guān)閉其他所有端口。產(chǎn)品型號(hào)根本產(chǎn)品iGuard分為根底版、標(biāo)準(zhǔn)版和動(dòng)態(tài)標(biāo)準(zhǔn)版，在標(biāo)準(zhǔn)版和動(dòng)態(tài)標(biāo)準(zhǔn)版上可選加企業(yè)發(fā)布模塊。所有版本均使用了數(shù)字水印技術(shù)對(duì)所有發(fā)送出去的網(wǎng)頁都進(jìn)行完整性檢查。根底版和標(biāo)準(zhǔn)版的差異在于發(fā)布功能和適用的網(wǎng)站規(guī)模，而動(dòng)態(tài)標(biāo)準(zhǔn)版還對(duì)注入式攻擊進(jìn)行防護(hù)。表格1-1列出了它們的適用范圍和特性。型號(hào)名稱根底版標(biāo)準(zhǔn)版標(biāo)準(zhǔn)動(dòng)態(tài)版適用情形內(nèi)容更新頻度低；

且：?jiǎn)蜽eb效勞器；

且：Intel/x86架構(gòu)。〔即：小規(guī)模網(wǎng)站〕內(nèi)容更新頻度正常；

或：多Web效勞器；

或：Unix小型機(jī)架構(gòu)。靜態(tài)頁面為主動(dòng)態(tài)頁面為主多Web效勞器支持不支持支持多虛擬主機(jī)支持不支持支持Web效勞器操作系統(tǒng)Windows/LinuxWindows/Linux/Unix發(fā)布功能手動(dòng)自動(dòng)/手動(dòng)選加企業(yè)發(fā)布模塊不可可以防止注入式攻擊不可不可可以表格STYLEREF1\s1SEQ表格\*ARABIC\s11產(chǎn)品型號(hào)根本產(chǎn)品中已包含有單CPU/單線程的Windows平臺(tái)發(fā)布效勞器。企業(yè)發(fā)布模塊在高更新率和高可靠性要求的網(wǎng)站中，可以增加企業(yè)發(fā)布模塊以提高發(fā)布性能、提高發(fā)布可靠性及輔助進(jìn)行發(fā)布管理和配置。企業(yè)發(fā)布模塊部署在發(fā)布效勞器上，須在標(biāo)準(zhǔn)版或標(biāo)準(zhǔn)動(dòng)態(tài)版根底上使用。表格1-2列出了企業(yè)發(fā)布模塊的名稱和功能。工程功能作用多CPU支持支持多處理器水印計(jì)算提高發(fā)布速度15%-35%多線程發(fā)布支持最多8線程發(fā)布提高發(fā)布速度80%-200%Linux采用Linux發(fā)布系統(tǒng)提高可靠性雙機(jī)雙機(jī)主備工作

〔無須第三方軟件支持〕冗余發(fā)布提供容錯(cuò)能力，防止單點(diǎn)失效發(fā)布權(quán)限管理器*統(tǒng)一發(fā)布權(quán)限管理和配置工具多用戶多站點(diǎn)環(huán)境下簡(jiǎn)化管理和配置工作*目前僅支持Windows平臺(tái)。表格STYLEREF1\s1SEQ表格\*ARABIC\s12企業(yè)發(fā)布模塊多虛擬主機(jī)/多Web效勞器一對(duì)多支持iGuard支持各種復(fù)雜形式的多虛擬主機(jī)/多Web效勞器網(wǎng)站。一臺(tái)iGuard發(fā)布效勞器支持多達(dá)64臺(tái)物理的Web效勞器，而對(duì)于每臺(tái)Web效勞器上的虛擬主機(jī)數(shù)量那么沒有任何限制。因此對(duì)大局部網(wǎng)站，安裝iGuard系統(tǒng)僅需要部署一臺(tái)發(fā)布效勞器，這樣給內(nèi)容管理和網(wǎng)站監(jiān)控帶來很大的方便。iGuard網(wǎng)頁防篡改系統(tǒng)內(nèi)置高效的多效勞器文件同步機(jī)制，它可以將海量的網(wǎng)頁文件/元素可靠和快速地發(fā)布到多臺(tái)Web效勞器上，確保多臺(tái)Web效勞器上內(nèi)容的一致性。其發(fā)布端支持Windows和Linux，接收端那么支持所有操作系統(tǒng)平臺(tái)。支持多虛擬主機(jī)和虛擬目錄，支持鏡像和非鏡像同步。iGuard的發(fā)布功能具備增量同步模式和精確同步模式：前者用于網(wǎng)站正常運(yùn)行時(shí)持續(xù)的發(fā)布網(wǎng)頁，后者那么可以用于諸如增加效勞器、網(wǎng)站改版、首次部署等特殊場(chǎng)合。所有模式都會(huì)先進(jìn)行文件比擬后上傳，兼顧了效率和準(zhǔn)確性。iGuard高效的發(fā)布協(xié)議可以支持每天十萬數(shù)量級(jí)別的網(wǎng)頁發(fā)布。iGuard發(fā)布功能特別為7*24小時(shí)運(yùn)行的大型新聞和門戶設(shè)計(jì)，支持自動(dòng)重連、失敗重傳和任務(wù)斷點(diǎn)續(xù)傳，重傳隊(duì)列可容納超過20萬的上傳任務(wù)，完全實(shí)現(xiàn)網(wǎng)頁上傳的無人值守和自動(dòng)恢復(fù)。iGuard發(fā)布效勞器還支持雙機(jī)冗余部署，實(shí)現(xiàn)自動(dòng)的主從切換。

多虛擬主機(jī)多虛擬主機(jī)的Web效勞器硬件只有一臺(tái)，但是它可以支持多個(gè)URL/IP地址，每個(gè)URL/IP的網(wǎng)站內(nèi)容是不一樣的。各個(gè)虛擬主機(jī)既可以共用一個(gè)內(nèi)容管理系統(tǒng)，也可以有各自的內(nèi)容管理系統(tǒng)或發(fā)布方式。部署iGuard后，各內(nèi)容管理系統(tǒng)將合成好的網(wǎng)頁上傳到發(fā)布效勞器上的不同目錄下，由發(fā)布效勞器根據(jù)管理員配置將其同步到Web效勞器的不同的目錄下〔圖示2-1〕。平安提示：這種情形下，多個(gè)內(nèi)容管理系統(tǒng)通常是通過公網(wǎng)連接到發(fā)布效勞器，第4章<HYPERLINK發(fā)布效勞器平安>描述了如何在這種情況下保證發(fā)布效勞器的平安。Web效勞器Web效勞器(iGuard)發(fā)布效勞器(iGuard)內(nèi)容管理系統(tǒng)1內(nèi)容管理系統(tǒng)n……圖示STYLEREF1\s2SEQ圖示\*ARABIC\s11多虛擬主機(jī)

鏡像Web效勞器對(duì)于訪問量大或者可靠性要求高的網(wǎng)站，通常使用2臺(tái)或以上的Web效勞器對(duì)外提供基于負(fù)載均衡的Web效勞，這些Web效勞器的硬件配置和操作系統(tǒng)通常相同，各臺(tái)效勞器上的內(nèi)容也完全相同。顯然，它們是用同一套內(nèi)容管理系統(tǒng)來管理網(wǎng)頁。部署iGuard后，內(nèi)容管理系統(tǒng)只需將合成好的網(wǎng)頁上傳到發(fā)布效勞器上，由發(fā)布效勞器將它們同步到各臺(tái)Web效勞器上〔圖示2-2〕。Web效勞器Web效勞器1(iGuard)發(fā)布效勞器(iGuard)內(nèi)容管理系統(tǒng)Web效勞器n(iGuard)……圖示STYLEREF1\s2SEQ圖示\*ARABIC\s12鏡像Web效勞器

多Web效勞器對(duì)于大型的門戶網(wǎng)站，網(wǎng)站有多臺(tái)獨(dú)立的Web效勞器，它們的網(wǎng)絡(luò)地址、網(wǎng)站內(nèi)容是不一樣的，甚至操作系統(tǒng)也不一樣。它們可能共用一套內(nèi)容管理系統(tǒng)，也可能使用不同的發(fā)布系統(tǒng)和發(fā)布形式。部署iGuard后，所有異種架構(gòu)的Web效勞器都納入了統(tǒng)一的文件同步上傳管理平臺(tái)即發(fā)布效勞器上，通過適當(dāng)?shù)呐渲眉纯蓪?shí)現(xiàn)m*n的復(fù)雜訪問結(jié)構(gòu)〔圖示2-3〕。Web效勞器Web效勞器1(iGuard)發(fā)布效勞器(iGuard)Web效勞器n(iGuard)……內(nèi)容管理系統(tǒng)1內(nèi)容管理系統(tǒng)n……圖示STYLEREF1\s2SEQ圖示\*ARABIC\s13多Web效勞器特殊情形部署本機(jī)Web內(nèi)容管理系統(tǒng)兩個(gè)功能區(qū)在前面的例子中，內(nèi)容管理系統(tǒng)都是部署在與Web效勞器獨(dú)立的效勞器上，它的合成網(wǎng)頁通過某種網(wǎng)絡(luò)協(xié)議〔例如FTP〕發(fā)布出去。但是對(duì)于一些站點(diǎn)，內(nèi)容管理系統(tǒng)可能就直接部署在Web效勞器上，內(nèi)容管理人員以Web方式進(jìn)行內(nèi)容管理操作〔例如發(fā)布新聞等〕，內(nèi)容管理系統(tǒng)合成網(wǎng)頁后直接寫本地文件。這樣，一臺(tái)Web效勞器從功能上區(qū)分成2局部，這兩局部功能可能對(duì)應(yīng)Web效勞中不同的虛擬目錄或虛擬主機(jī)〔圖示3-1〕：發(fā)布功能區(qū)：用于網(wǎng)站編輯發(fā)布信息，即運(yùn)行內(nèi)容管理系統(tǒng)〔CMS〕。瀏覽功能區(qū)：用于網(wǎng)民瀏覽信息，即對(duì)外提供網(wǎng)頁瀏覽。信息發(fā)布信息發(fā)布Web效勞器信息瀏覽瀏覽功能區(qū)發(fā)布功能區(qū)〔CMS〕+圖示STYLEREF1\s3SEQ圖示\*ARABIC\s11本地Web內(nèi)容管理系統(tǒng)信息發(fā)布過程如下：網(wǎng)站編輯使用瀏覽器訪問CMS系統(tǒng)來進(jìn)行內(nèi)容發(fā)布，內(nèi)容由CMS系統(tǒng)自動(dòng)合成成html靜態(tài)網(wǎng)頁后，存放在瀏覽功能區(qū)的目錄里?！睠MS也可能有發(fā)布到數(shù)據(jù)庫(kù)的動(dòng)態(tài)內(nèi)容，因?yàn)榕ciGuard部署無關(guān)，沒有在示意圖中給出?！承畔g覽過程如下：網(wǎng)民戶訪問瀏覽功能區(qū)，訪問靜態(tài)或動(dòng)態(tài)網(wǎng)頁。這些網(wǎng)頁和腳本也是iGuard的保護(hù)目標(biāo)。部署iGuard在這種情形下的部署方案如下〔圖示3-2〕：將內(nèi)容管理系統(tǒng)獨(dú)立部署到一臺(tái)Web效勞器〔即圖示3-2的中Web效勞器A〕上，專門用于內(nèi)容管理；同時(shí)這臺(tái)效勞器也作為iGuard的發(fā)布效勞器。原有的Web效勞器〔即圖示3-2的中Web效勞器B〕專門用于對(duì)公眾的信息瀏覽。信息發(fā)布信息發(fā)布Web效勞器Ｂ信息瀏覽瀏覽功能區(qū)Web效勞器Ａ+管理功能區(qū)〔CMS〕iGuard同步效勞器及防篡改模塊iGuard發(fā)布效勞器圖示STYLEREF1\s3SEQ圖示\*ARABIC\s12本地Web內(nèi)容管理系統(tǒng)下的部署信息發(fā)布過程如下：網(wǎng)站編輯訪問Web效勞器A上的CMS系統(tǒng)發(fā)布內(nèi)容；CMS系統(tǒng)將內(nèi)容合成成html靜態(tài)網(wǎng)頁，存放在本地的目錄里；Web效勞器A上的iGuard發(fā)布效勞器軟件檢測(cè)到文件更新，將新網(wǎng)頁平安地上傳到Web效勞器B上；Web效勞器B上的iGuard同步效勞器接收到文件，加上數(shù)字水印存放在本地。另外，如果Web效勞器B上存在不由CMS系統(tǒng)管理的頁面，也必須通過Web效勞器A上的iGuard發(fā)布效勞器來管理。這種部署增加了一臺(tái)Web效勞器，確保信息瀏覽效勞器上看到的信息只可能由發(fā)布效勞器的CMS系統(tǒng)發(fā)布，iGuard保護(hù)信息瀏覽效勞器上的內(nèi)容不被任何方式篡改。平安提示：這種情形下，信息發(fā)布用戶有可能是通過公網(wǎng)訪問發(fā)布效勞器，第4章<HYPERLINK發(fā)布效勞器平安>描述了如何在這種情況下保證發(fā)布效勞器的平安。托管效勞器一些網(wǎng)站的Web效勞器是托管在IDC處的，網(wǎng)站管理人員制作好網(wǎng)頁后通過公網(wǎng)〔Internet〕來發(fā)布網(wǎng)頁〔例如使用FTP協(xié)議來發(fā)布〕。本地部署發(fā)布效勞器在用戶的內(nèi)網(wǎng)〔Intranet〕出口處部署iGuard發(fā)布效勞器，用它來上傳網(wǎng)頁，并可保證網(wǎng)頁通過公網(wǎng)發(fā)布的全過程平安。Web效勞器Web效勞器(iGuard)發(fā)布效勞器(iGuard)內(nèi)容管理系統(tǒng)(第三方軟件)網(wǎng)站編輯部IDCSSLFTP圖表STYLEREF1\s3SEQ圖表\*ARABIC\s13托管主機(jī)-本地發(fā)布效勞器部署這種情形下，需要改變Web效勞器及其網(wǎng)絡(luò)的對(duì)外防火墻設(shè)置，翻開iGuard發(fā)布所需的端口〔默認(rèn)為38888〕；同時(shí)為平安起見，強(qiáng)烈建議關(guān)閉Web效勞器上原來的發(fā)布端口〔例如FTP端口〕。IDC部署發(fā)布效勞器在IDC處新增加一臺(tái)托管機(jī)器，其上部署iGuard發(fā)布效勞器。網(wǎng)頁的更新不再通過Web效勞器進(jìn)行，而是向這臺(tái)發(fā)布效勞器上進(jìn)行。Web效勞器Web效勞器(iGuard)發(fā)布效勞器(iGuard)內(nèi)容管理系統(tǒng)(第三方軟件)網(wǎng)站編輯部IDCSSLFTP圖表STYLEREF1\s3SEQ圖表\*ARABIC\s13托管主機(jī)-本地發(fā)布效勞器部署這種情形下，不需要改變發(fā)布效勞器所在網(wǎng)絡(luò)的對(duì)外防火墻設(shè)置〔亦即可以沿用原有端口和發(fā)布方式〕，但如果這臺(tái)發(fā)布效勞器和Web效勞器之間存在防火墻，那么需確保發(fā)布端口〔默認(rèn)為38888〕是翻開的；同時(shí)為平安起見，強(qiáng)烈建議關(guān)閉Web效勞器上原來的發(fā)布端口〔例如FTP端口〕。平安提示：這種情形下，信息發(fā)布用戶通過公網(wǎng)訪問發(fā)布效勞器，<第4章：HYPERLINK發(fā)布效勞器平安>描述了如何在這種情況下保證發(fā)布效勞器的平安。本機(jī)Web內(nèi)容管理系統(tǒng)如果使用的是基于本機(jī)Web方式的內(nèi)容管理系統(tǒng)〔即直接訪問Web效勞器的相關(guān)頁面來發(fā)布網(wǎng)頁〕，請(qǐng)先參考3.1節(jié)<HYPERLINK本機(jī)Web內(nèi)容管理系統(tǒng)>按功能拆分出單獨(dú)負(fù)責(zé)的發(fā)布功能的效勞器〔即圖示3-2中的Web效勞器A/iGuard發(fā)布效勞器〕，然后再選擇前述的2種方式部署這臺(tái)效勞器。

同機(jī)部署在特殊情形下，iGuard的所有部件可以僅部署在一臺(tái)機(jī)器即Web效勞器上。Web效勞器Web效勞器iGuard同步效勞器及防篡改模塊iGuard發(fā)布效勞器Web效勞器軟件信息發(fā)布信息瀏覽+圖表STYLEREF1\s3SEQ圖表\*ARABIC\s14同機(jī)部署這種部署時(shí)，在Web效勞器上有兩個(gè)目錄：一個(gè)是接收網(wǎng)頁發(fā)布的目錄A，另一個(gè)是提供Web效勞的目錄B。網(wǎng)站編輯或者內(nèi)容管理系統(tǒng)將作好的網(wǎng)頁放到目錄A下，由iGuard發(fā)布效勞器軟件自動(dòng)將它發(fā)布到目錄B下。在平安考慮上，由于Web效勞所在的網(wǎng)頁目錄更容易受到攻擊，因此這種部署能夠在一定程度上防止對(duì)網(wǎng)頁的直接篡改。但是，由于原始網(wǎng)頁也在同一臺(tái)機(jī)器上〔雖然在不同目錄下〕，手段高明的黑客有可能找到這個(gè)目錄并加以篡改，因此這種單機(jī)部署并不能完全發(fā)揮iGuard的防護(hù)作用，一般情況下不建議這樣部署。無內(nèi)容管理系統(tǒng)一些簡(jiǎn)單的網(wǎng)站可能沒有使用任何內(nèi)容管理系統(tǒng)，而僅僅使用諸如Dreamweaver制作和管理網(wǎng)站甚至直接編輯html文件。這種情形下，iGuard也完全適用，網(wǎng)頁制作人員無須改變?cè)瓉淼墓ぷ鞣绞?，僅僅只是由原來直接修改Web效勞器上的文件，改為修改發(fā)布效勞器上的文件。發(fā)布效勞器平安問題的提出就管理上而言，網(wǎng)站的內(nèi)容發(fā)布方式有兩種：集中式和分布式。集中式的發(fā)布方式：有一個(gè)統(tǒng)一的內(nèi)容制作部門〔例如：門戶網(wǎng)站編輯部〕，網(wǎng)站所有內(nèi)容由這個(gè)部門制作。分布式的發(fā)布方式：網(wǎng)站管理部門僅負(fù)責(zé)網(wǎng)站的架構(gòu)和局部?jī)?nèi)容的制作發(fā)布，其余大局部?jī)?nèi)容由下屬的各個(gè)部門獨(dú)立制作，并通過互聯(lián)網(wǎng)遠(yuǎn)程發(fā)布〔例如：基層政府網(wǎng)站下的各委辦局〕。我們知道，部署iGuard需要有一個(gè)發(fā)布效勞器。在集中式發(fā)布方式里，發(fā)布效勞器只能是由內(nèi)容制作部門內(nèi)部人員訪問，因此可以〔也應(yīng)該〕放在內(nèi)網(wǎng)中，僅使用一個(gè)防火墻就能夠保證其非常平安；而在分布式的發(fā)布方式里，由于需要接受發(fā)布人員的遠(yuǎn)程訪問，因此發(fā)布效勞器在一定程度上必須對(duì)外網(wǎng)開放。那么在分布式的發(fā)布方式下，發(fā)布效勞器的平安狀況如何呢？Web效勞器(iGuard)發(fā)布效勞器(iGuard)SSL？……圖表STYLEREF1\s4SEQ圖表\*ARABIC\s11發(fā)布效勞器的Web效勞器(iGuard)發(fā)布效勞器(iGuard)SSL？……根本考慮發(fā)布效勞器的特性事實(shí)上，發(fā)布效勞器有著與Web效勞器有著幾個(gè)不同的效勞特性：非知名地址。Web效勞器必須有個(gè)固定的域名以便網(wǎng)民訪問，而發(fā)布效勞器可以使用任意特定或可變的IP地址。非知名端口。Web效勞器為提供Web效勞，必須使用的端口，而發(fā)布效勞器可以使用任意特定的端口。非匿名訪問。Web效勞器為所有訪問者提供效勞，且訪問者都是匿名的，而發(fā)布效勞器僅對(duì)有限的人群開放。非通用協(xié)議。Web效勞器使用標(biāo)準(zhǔn)的協(xié)議，這個(gè)協(xié)議是公開的，而發(fā)布效勞器可以使用任意特別的傳輸協(xié)議。非通用系統(tǒng)。Web效勞器使用的Web效勞器軟件通常只有幾種，而發(fā)布效勞器可以使用任意的實(shí)現(xiàn)傳輸功能的軟件。因此，即使同樣放置在公網(wǎng)上，發(fā)布效勞器因?yàn)樗男谔匦远h(yuǎn)比Web效勞器平安，不容易受到攻擊。此外，基于這些特性，可以實(shí)現(xiàn)更強(qiáng)的平安手段，從而保證整個(gè)系統(tǒng)的平安。兩種解決方案由是否采用額外設(shè)備可以區(qū)分出兩種解決方案：采用VPN和僅作系統(tǒng)加固。如果選擇增加VPN設(shè)備，發(fā)布效勞器就可以放置于內(nèi)網(wǎng)中，用戶通過VPN訪問內(nèi)網(wǎng)中的發(fā)布效勞器。當(dāng)然，在出口處需要安裝VPN網(wǎng)關(guān)，而用戶桌面需要安裝VPN客戶端。這種方式的優(yōu)點(diǎn)是直接獲得了VPN的高平安性，缺點(diǎn)是需要額外的VPN投入和部署。VPN是一個(gè)成熟的技術(shù)，在市面上也有很多產(chǎn)品，本文不另介紹。以下所介紹的將發(fā)布效勞器放置在DMZ區(qū)里，如何利用操作系統(tǒng)本身的加固〔僅Windows〕和針對(duì)發(fā)布功能所作的特別軟件加固來提高發(fā)布效勞器平安。Windows操作系統(tǒng)加固措施概述用戶遠(yuǎn)程向iGuard發(fā)布效勞器發(fā)布網(wǎng)頁有兩種方式：通過FTP上傳和通過Web方式發(fā)布。不管采用哪種方式，對(duì)Windows效勞器的一些常規(guī)的平安加固措施是一樣的，以下就介紹它們。至于與發(fā)布方式相關(guān)的平安加固措施將在下一節(jié)介紹。第1步：修補(bǔ)程序和更新第2步：效勞第3步：協(xié)議第4步：帳號(hào)第5步：文件和目錄第6步：共享第7步：端口第8步：注冊(cè)表第9步：審核和日志修補(bǔ)程序和更新用最新的效勞包和修補(bǔ)程序更新效勞器。必須更新和修補(bǔ)所有Web效勞器組件，包括Windows、.NETFramework和Microsoft數(shù)據(jù)訪問組件(MDAC)。檢測(cè)和安裝必需的修補(bǔ)程序和更新。更新.NETFramework。效勞對(duì)客戶端不進(jìn)行身份驗(yàn)證的效勞、使用不平安協(xié)議的效勞，或者以過多特權(quán)運(yùn)行的效勞都存在風(fēng)險(xiǎn)。如果您不需要它們，就不要運(yùn)行它們。通過禁用不必要的效勞，能夠快速和容易地減小受攻擊面。還減少了維護(hù)方面的開銷〔修補(bǔ)程序、效勞帳號(hào)，等等?！橙绻\(yùn)行了一個(gè)效勞，應(yīng)該確保它是平安的和并且可維護(hù)。為此，可以使用最低特權(quán)帳號(hào)運(yùn)行效勞，通過應(yīng)用修補(bǔ)程序使效勞保持最新。禁用不必要的效勞。禁用FTP、SMTP和NNTP。禁用ASP.NET狀態(tài)效勞。協(xié)議通過防止使用不必要的協(xié)議，可以減少受攻擊的可能。禁用或者保護(hù)WebDav。加固TCP/IP堆棧。禁用NetBIOS和SMB。帳號(hào)您應(yīng)該刪除不使用的帳號(hào)，因?yàn)楣粽呖赡馨l(fā)現(xiàn)并使用它們。要求使用強(qiáng)密碼。脆弱的密碼將增加成功的蠻力或者字典攻擊的可能性。使用最低特權(quán)。攻擊者能夠使用具有過多特權(quán)的帳號(hào)獲取對(duì)未授權(quán)資源的訪問。刪除或者禁用未用的帳號(hào)。禁用Guest帳號(hào)。重命名管理員帳號(hào)。禁用IUSR帳號(hào)。創(chuàng)立自定義匿名Web帳號(hào)。強(qiáng)制鞏固的密碼策略。限制遠(yuǎn)程登錄。禁用空會(huì)話〔匿名登錄〕。更加嚴(yán)格的帳號(hào)管理措施：帳號(hào)委托需要許可。不使用共享帳號(hào)。限制本地管理員組的成員資格。要求管理員交互式地登錄。文件和目錄在用NTFS文件系統(tǒng)格式化的分區(qū)上安裝系統(tǒng)，可以使用NTFS權(quán)限對(duì)訪問權(quán)限進(jìn)行限制。使用較鞏固的訪問控制保護(hù)敏感的文件和目錄。在大多數(shù)情況下，允許訪問特定帳號(hào)的方法比拒絕訪問特定帳號(hào)的方法要更加有效。盡可能在目錄級(jí)設(shè)置訪問。當(dāng)文件添加到文件夾中時(shí)，它們將從文件夾繼承權(quán)限，因此您無需采取進(jìn)一步的操作。限制Everyone組。限制匿名Web帳號(hào)。保護(hù)或者刪除工具、實(shí)用工具和SDK。刪除例如文件。共享刪除任何未用的共享，并加固任何必要共享的NTFS權(quán)限。默認(rèn)情況下，所有用戶都對(duì)新建文件共享擁有完全控制。加固這些默認(rèn)的權(quán)限，以確保只有授權(quán)用戶能夠訪問共享所公開的文件。除了顯式共享權(quán)限之外，對(duì)共享公開的文件和文件夾使用NTFSACL。刪除不必要的共享。限制對(duì)必需共享的訪問。端口運(yùn)行在效勞器上的效勞使用特定的端口，這樣它們能夠?yàn)閭魅氲恼?qǐng)求提供效勞。應(yīng)該關(guān)閉所有不必要的端口，并執(zhí)行定期的審核，以檢測(cè)處于偵聽狀態(tài)的新端口，這樣能夠發(fā)現(xiàn)未授權(quán)的訪問和平安漏洞。將面對(duì)Internet的端口限制為發(fā)布實(shí)際需求的端口。加密或者限制intranet流量。注冊(cè)表注冊(cè)表是許多關(guān)鍵效勞器配置設(shè)置的儲(chǔ)存庫(kù)。因此，您必須確保只有得到授權(quán)的管理員能夠訪問它。如果攻擊者也能夠編輯注冊(cè)表，那么他或者她就能夠重新配置效勞器并且危及效勞器的平安。限制對(duì)注冊(cè)表的遠(yuǎn)程管理。保護(hù)SAM〔僅對(duì)獨(dú)立效勞器〕。審核和日志審核并不能防止系統(tǒng)攻擊，雖然它對(duì)于標(biāo)識(shí)入侵者和進(jìn)行中的攻擊能夠提供非常重要的幫助，而且能夠輔助您診斷攻擊足跡。在您的效勞器上啟用最小級(jí)的審核，并使用NTFS權(quán)限保護(hù)日志文件，使攻擊者無法通過以任何方式刪除或者更新日志文件來掩藏其蹤跡。日志記錄所有失敗的登錄企圖。日志記錄所有文件系統(tǒng)中的失敗操作。重新定位和保護(hù)Web效勞器日志文件。存檔日志文件供離線分析。審核對(duì)Metabase.bin文件的訪問。發(fā)布相關(guān)的平安加固措施額外措施由于發(fā)布效勞器僅對(duì)少數(shù)人開放使用，針對(duì)這一特點(diǎn)采用一些額外的措施能夠到達(dá)非常好的效果：改變默認(rèn)端口號(hào)。如將FTP/SFTP、/S效勞的監(jiān)聽端口號(hào)改為一個(gè)隨機(jī)5位的端口號(hào)，這將會(huì)使入侵黑客找不到門。使用端口映射。在網(wǎng)關(guān)上采用端口映射的方式迷惑黑客的攻擊對(duì)象，例如誘使黑客去攻擊一個(gè)路由器。限制訪問者IP。對(duì)于發(fā)布用戶位置相對(duì)固定的系統(tǒng)〔例如：政府網(wǎng)站內(nèi)容制作人員的發(fā)布都是在同城的工作單位里進(jìn)行〕，可以通過設(shè)置允許的IP地址或范圍列表來縮小發(fā)布效勞器的訪問許可。之所以能采取以上措施是因?yàn)榘l(fā)布效勞器的訪問需求是非公開的〔因此可以采用非默認(rèn)的端口〕和非公眾的〔因此可以限制IP地址〕，它和Web效勞器公開和公眾的特性完全不同，因此它的平安性也容易得到加固和加強(qiáng)。FTP發(fā)布方式我們建議，發(fā)布網(wǎng)頁時(shí)不使用FTP傳輸協(xié)議，而改為使用SFTP協(xié)議。SFTP是一種標(biāo)準(zhǔn)的基于SSL的平安文件傳輸協(xié)議，因此完全具有SSL協(xié)議的平安特性，即保證了傳輸過程中的防篡改和防偷竊。這樣，雖然公網(wǎng)可以訪問效勞器，但由于僅開放了SFTP端口〔特別是不開放80端口和Web效勞〕，攻擊成功的可能性幾乎沒有。另外，為加強(qiáng)對(duì)發(fā)布者的身份認(rèn)證，可選使用數(shù)字證書進(jìn)行身份認(rèn)證，SFTP協(xié)議支持?jǐn)?shù)字證書。效勞器：需要在發(fā)布效勞器上安裝SFTP效勞器軟件，一個(gè)較好的免費(fèi)SFTP效勞器軟件如下：

:///projects/filezilla/用戶端：目前常用FTP客戶端軟件〔如CuteFTP〕都支持SFTP功能，因此僅需對(duì)軟件作適當(dāng)配置，無須改變工作習(xí)慣。Web發(fā)布方式我們建議，發(fā)布網(wǎng)頁時(shí)不使用傳輸協(xié)議，而改為使用S協(xié)議。S是一種標(biāo)準(zhǔn)的基于SSL的傳輸協(xié)議。目前所有的Web效勞器軟件〔IIS、Apache、J2EE〕和Web瀏覽器〔IE、Firefox〕都支持S協(xié)議，僅需配置即可使用。另外，針對(duì)使用IIS作為發(fā)布效勞的系統(tǒng)，還有建議采取以下加固措施：站點(diǎn)和虛擬目錄將Web根目錄和虛擬目錄重新放置到一個(gè)非系統(tǒng)分區(qū)，以防范目錄遍歷攻擊。這些攻擊允許攻擊者執(zhí)行操作系統(tǒng)程序和實(shí)用工具?？珧?qū)動(dòng)器遍歷是不可能的。將Web站點(diǎn)移動(dòng)到非系統(tǒng)卷。禁用父路徑設(shè)置。刪除潛在危險(xiǎn)的虛擬目錄。刪除或者保護(hù)RDS。設(shè)置Web權(quán)限。刪除或者保護(hù)FrontPage效勞器擴(kuò)展。腳本映射腳本映射將一個(gè)特定的文件擴(kuò)展名〔例如.asp〕與處理它的ISAPI擴(kuò)展〔例如Asp.dll〕關(guān)聯(lián)起來。攻擊者能夠利用擴(kuò)展中的漏洞或者下載效勞器端資源。將不使用的IIS文件擴(kuò)展名映射到404.dll。將不使用的.NETFramework文件擴(kuò)展名映射到System.Web.ForbiddenHandler。ISAPI篩選器ISAPI篩選器中的漏洞將導(dǎo)致顯著的IIS利用。刪除未使用的ISAPI篩選器。IIS元數(shù)據(jù)庫(kù)平安和其他IIS配置設(shè)置在IIS元數(shù)據(jù)庫(kù)文件中維護(hù)。加固IIS元數(shù)據(jù)庫(kù)〔和備份元數(shù)據(jù)庫(kù)文件〕上的NTFS權(quán)限，以確保攻擊者無法以任何方式修改IIS配置〔例如，要禁用一個(gè)特殊虛擬目錄的身份驗(yàn)證〕。使用NTFS權(quán)限限制對(duì)元數(shù)據(jù)庫(kù)的訪問。限制IIS返回旗標(biāo)信息。效勞器證書如果您的Web應(yīng)用程序支持端口443上的S(SSL)，那么您必須安裝效勞器證書。當(dāng)客戶端建立平安S會(huì)話時(shí)，這是會(huì)話協(xié)商過程必需的一局部。有效的證書能夠提供平安的身份驗(yàn)證，從而使客戶端能夠信任與之通信的效勞器，并保護(hù)通信，使敏感的數(shù)據(jù)保持機(jī)密性，以防止在網(wǎng)絡(luò)上被篡改。驗(yàn)證效勞器證書。網(wǎng)站需提供的設(shè)備和準(zhǔn)備工作內(nèi)容管理系統(tǒng)確定內(nèi)容管理系統(tǒng)的上傳文件方式〔協(xié)議〕；確定知道如何修改網(wǎng)頁發(fā)布的目標(biāo)效勞器地址。發(fā)布效勞器需要一臺(tái)獨(dú)立的PC機(jī)作為發(fā)布效勞器，其軟硬件需求如下：CPU：IntelPIII或以上；內(nèi)存：256M或以上；硬盤：至少為整個(gè)Web網(wǎng)站容量+5G；操作系統(tǒng)：Windows2000ServerSP4或LinuxKernel2.4以上；網(wǎng)絡(luò)：與內(nèi)容系統(tǒng)和Web效勞器能夠建立連接。Web效勞器確定Web效勞器的操作系統(tǒng)及版本；確定Web效勞器軟件及版本；獲取Web效勞器軟件配置；Web效勞器前如有防火墻，請(qǐng)翻開38888端口〔也可設(shè)置iGuard使用其他端口〕。工程準(zhǔn)備單請(qǐng)?zhí)顚懕疚臋n附帶的表格?iGuard工程準(zhǔn)備清單?。iGuard工程準(zhǔn)備單總體情況1．使用單位全稱：?！曹浖⒆?cè)給此用戶，請(qǐng)正確填寫〕2．主網(wǎng)站URL：。3．我準(zhǔn)備部署：臺(tái)發(fā)布效勞器，臺(tái)Web效勞器。內(nèi)容管理系統(tǒng)1．我的內(nèi)容管理系統(tǒng)使用以下協(xié)議來發(fā)布網(wǎng)頁：□FTP □NFS □RCP □Windows文件共享/Samba□CVS □SFTP □本地發(fā)布 □全腳本2．我的內(nèi)容管理系統(tǒng)通過什么網(wǎng)絡(luò)連接Web效勞器：□本地發(fā)布 □通過內(nèi)網(wǎng)連接 □通過公網(wǎng)連接3．我知道如何修改內(nèi)容管理系統(tǒng)的目標(biāo)效勞器地址：□知道 □不知道

iGuard發(fā)布效勞器1．我已經(jīng)準(zhǔn)備了所需數(shù)量的發(fā)布效勞器：□發(fā)布效勞器1 □已安裝Windows_______ □已安裝Linux_______□發(fā)布效勞器2 □已安裝Windows_______ □已安裝Linux_______□發(fā)布效勞器3 □已安裝Windows_______ □已安裝Linux_______2．我的發(fā)布效勞器準(zhǔn)備連接以下Web效勞器：□發(fā)布效勞器1－Web效勞器〔編號(hào)〕□發(fā)布效勞器2－Web效勞器〔編號(hào)〕□發(fā)布效勞器3－Web效勞器〔編號(hào)〕3．發(fā)布效勞器的聯(lián)網(wǎng)狀況：□已經(jīng)能與內(nèi)容管理系統(tǒng)連網(wǎng) □已經(jīng)能與Web效勞器連網(wǎng)

Web效勞器〔編號(hào)1〕1．此Web效勞器操作系統(tǒng)是：Windows□2000□2003 □2003R2Linux□Redhat 版本_________ □紅旗版本_________□Debian 版本_________ □其他FreeBSD□FreeBSD6.___ □FreeBSD7.___Solaris□So