《新一代防火墻技術(shù)及應(yīng)用》課件第6章 網(wǎng)頁防篡改技術(shù)

6.1NGAF防篡改的基本原理6.2NGAF網(wǎng)關(guān)防篡改的基本原理6.3NGAF客戶端防篡改的基本原理6.4NGAF客戶端防篡改的基本配置6.5網(wǎng)頁防篡改應(yīng)用案例6.6本章小結(jié)新一代防火墻技術(shù)及應(yīng)用12學(xué)習(xí)目標掌握NGAF設(shè)備網(wǎng)頁防篡改的基本概念和原理掌握NGAF設(shè)備網(wǎng)頁防篡改2.0（客戶端型防篡改）的原理和配置了解NGAF設(shè)備網(wǎng)頁防篡改1.0（網(wǎng)關(guān)型防篡改）的原理本章重點NGAF設(shè)備網(wǎng)頁防篡改的基本概念和原理NGAF設(shè)備網(wǎng)頁防篡改2.0（客戶端型防篡改）的原理和配置本章難點NGAF設(shè)備網(wǎng)頁防篡改的基本概念和原理NGAF設(shè)備網(wǎng)頁防篡改2.0（客戶端型防篡改）的原理和配置新一代防火墻技術(shù)及應(yīng)用網(wǎng)站服務(wù)器容易被非法篡改數(shù)據(jù)，當數(shù)據(jù)篡改后用戶看到的頁面變成了非法頁面或者損害企事業(yè)單位形象的網(wǎng)頁，往往給企事業(yè)單位造成一定影響，甚至造成一定的經(jīng)濟損失。網(wǎng)站篡改防護可有效降低該風(fēng)險，當內(nèi)部網(wǎng)站數(shù)據(jù)被篡改之后，設(shè)備可以重定向到備用網(wǎng)站服務(wù)器或者指定的其他頁面，并且及時地通過短信或者郵件方式通知管理員。新一代防火墻技術(shù)及應(yīng)用36.1NGAF防篡改的基本原理新一代防火墻技術(shù)及應(yīng)用46.1NGAF防篡改的基本原理什么是網(wǎng)頁篡改？新一代防火墻技術(shù)及應(yīng)用56.1NGAF防篡改的基本原理可能與網(wǎng)頁篡改有關(guān)的網(wǎng)站變化1、替換整個網(wǎng)頁2、插入新鏈接3、替換網(wǎng)站圖片文件（最常見）4、小規(guī)模編輯網(wǎng)頁（僅精確）5、因網(wǎng)站運行出錯導(dǎo)致結(jié)構(gòu)畸變6、新增一個網(wǎng)頁7、刪除一個網(wǎng)頁防火墻技術(shù)與應(yīng)用66.2NGAF網(wǎng)關(guān)防篡改的基本原理新一代防火墻技術(shù)及應(yīng)用76.2NGAF網(wǎng)關(guān)防篡改的基本原理NGAF網(wǎng)關(guān)防篡改也就是防篡改1.0，深信服的網(wǎng)頁防篡改技術(shù)分為1.0和2.0,1.0為網(wǎng)關(guān)防篡改技術(shù)，2.0為客戶端防篡改技術(shù)，我們需要重點掌握的為客戶端防篡改技術(shù)，網(wǎng)關(guān)防篡改技術(shù)我們只需做了解即可。新一代防火墻技術(shù)及應(yīng)用86.2NGAF網(wǎng)關(guān)防篡改的基本原理NGAF網(wǎng)關(guān)防篡改流程第一步：在服務(wù)器端抓取正常網(wǎng)頁內(nèi)容并緩存，如圖所示。新一代防火墻技術(shù)及應(yīng)用96.2NGAF網(wǎng)關(guān)防篡改的基本原理第二步：對比客戶獲取網(wǎng)頁與緩存網(wǎng)頁，如圖所示。網(wǎng)頁獲取流程為：①客戶端請求服務(wù)器端的網(wǎng)頁；②服務(wù)器端會將服務(wù)器端產(chǎn)生的頁面保存到NGAF設(shè)備的緩存中，然后通過蜘蛛抓取將返回給客戶端的頁面與在NGAF設(shè)備緩存中的頁面進行比較；③比較后如果一致，則確認網(wǎng)頁未被篡改，將服務(wù)器頁面返回給客戶端。新一代防火墻技術(shù)及應(yīng)用106.2NGAF網(wǎng)關(guān)防篡改的基本原理第三步：出現(xiàn)網(wǎng)頁篡改，返回維護頁面或者還原網(wǎng)站，如圖所示。新一代防火墻技術(shù)及應(yīng)用116.2NGAF網(wǎng)關(guān)防篡改的基本原理

網(wǎng)頁發(fā)生篡改的工作流程為：①客戶端請求服務(wù)器端的網(wǎng)頁；②服務(wù)器端會將服務(wù)器端產(chǎn)生的頁面保存到NGAF設(shè)備的緩存中，然后通過蜘蛛抓取將返回給客戶端的頁面與在NGAF設(shè)備緩存中的頁面進行比較；③如果發(fā)現(xiàn)通過蜘蛛抓取返回給客戶端的頁面與NGAF設(shè)備緩存中的頁面不一致，則說明網(wǎng)頁被篡改，這時我們將向客戶端返回維護頁面或者返回服務(wù)器端的頁面(還原網(wǎng)站)。新一代防火墻技術(shù)及應(yīng)用126.2NGAF網(wǎng)關(guān)防篡改的基本原理網(wǎng)頁發(fā)生篡改后NGAF的動作：(1)還原：當AF發(fā)現(xiàn)篡改發(fā)生，AF的處理如下：①還原網(wǎng)站，客戶訪問的結(jié)果和原來一樣。②返回維護頁面，維護頁面可以是默認的，或者自定義HTML頁面，或者重定向篡改前的頁面，或者重定向到某個站點。(2)郵件告警：發(fā)生網(wǎng)頁篡改后，NGAF會出現(xiàn)郵件告警，具體配置后面會講到。(3)短信告警：短信告警需要配置短信貓。①短信貓使用USB接口。②短信貓僅支持GSM制式SIM卡。③短信貓支持熱插拔。④短信貓無配置頁面，無需任何配置。⑤查看系統(tǒng)日志并發(fā)送測試短信可確認短信貓工作狀態(tài)。新一代防火墻技術(shù)及應(yīng)用136.3NGAF客戶端防篡改的基本原理新一代防火墻技術(shù)及應(yīng)用146.3NGAF客戶端防篡改的基本原理為什么會出網(wǎng)頁防篡改2.0呢？深信服NGAF防篡改1.0解決方案是基于緩存網(wǎng)站的，會在設(shè)備中緩存客戶網(wǎng)站內(nèi)容，當檢測到訪問內(nèi)容與緩存不符即替換，此類方案的通病為：1、原有實現(xiàn)方式是事后階段并不能夠阻止黑客篡改網(wǎng)頁，客戶要求我們能夠在事中杜絕黑客修改網(wǎng)站。2、原有實現(xiàn)方式對于phpaspjsp類動態(tài)網(wǎng)頁防護效果有一定局限性。3、原有防篡改功能對設(shè)備型號有一定要求。新一代防火墻技術(shù)及應(yīng)用156.3NGAF客戶端防篡改的基本原理最新版深信服AF6.2網(wǎng)頁防篡改解決方案采用文件保護系統(tǒng)和下一代防火墻緊密結(jié)合，功能聯(lián)動，保證網(wǎng)站內(nèi)容不被篡改。采用二次認證方式對網(wǎng)站后臺進行認證加強，在訪問網(wǎng)站后臺前需要對訪問者進行IP認證或郵件認證，防止因網(wǎng)站后臺密碼泄露造成網(wǎng)站篡改。在服務(wù)端上安裝驅(qū)動級的文件監(jiān)控軟件，監(jiān)控服務(wù)器上的程序進程對網(wǎng)站目錄文件進行的操作，不允許的程序無法修改網(wǎng)站目錄內(nèi)的內(nèi)容。所以我們可以看出網(wǎng)頁防篡改2.0比網(wǎng)頁防篡改1.0技術(shù)更加先進，網(wǎng)頁防篡改2.0可以主動預(yù)防網(wǎng)頁防篡改，網(wǎng)頁防篡改1.0則是被動的，只能在被篡改后給客戶端返回維護頁面或者還原為正常的網(wǎng)頁。新一代防火墻技術(shù)及應(yīng)用166.3NGAF客戶端防篡改的基本原理防篡改2.0二次認證相關(guān)界面：新增網(wǎng)站后臺防護功能，防止黑客登錄網(wǎng)站管理后臺和FTP，如圖所示。新一代防火墻技術(shù)及應(yīng)用176.3NGAF客戶端防篡改的基本原理未使用二次認證防護時可以直接訪問到后臺，如圖所示。新一代防火墻技術(shù)及應(yīng)用186.3NGAF客戶端防篡改的基本原理而使用二次認證防護之后，訪問網(wǎng)站的管理路徑強制彈出二次認證頁面，只有認證通過，才能管理后臺，增強了網(wǎng)頁防篡改的能力，如圖所示。新一代防火墻技術(shù)及應(yīng)用196.3NGAF客戶端防篡改的基本原理防篡改2.0客戶端界面展示：新增Windows服務(wù)器防篡改客戶端，從底層保護網(wǎng)站文件系統(tǒng)，僅允許http服務(wù)器進程修改文件，攔截非Web方式篡改網(wǎng)站，如圖所示。新一代防火墻技術(shù)及應(yīng)用206.3NGAF客戶端防篡改的基本原理任何一個客戶端均可通過網(wǎng)站地址/tamper/進入深信服安全中心，然后下載防篡改2.0客戶端軟件。下載安裝后按圖所示界面進行配置，即開啟客戶端，關(guān)聯(lián)防火墻、添加網(wǎng)站目錄、添加允許修改的應(yīng)用程序幾項內(nèi)容。新一代防火墻技術(shù)及應(yīng)用216.3NGAF客戶端防篡改的基本原理假設(shè)一個場景:某客戶的經(jīng)常使用遠程桌面來維護某公司的web服務(wù)器由于使用遠程桌面使用了弱密碼被黑客暴力破解拿到了登陸權(quán)限，會發(fā)生什么？一個常規(guī)的入侵思路就是：遠程桌面到客戶的web服務(wù)器上修改客戶網(wǎng)站目錄下的網(wǎng)頁文件實現(xiàn)自己的篡改目的。如果說這臺服務(wù)器上安裝了深信服的防篡改2.0客戶端會有什么不一樣的效果呢？新一代防火墻技術(shù)及應(yīng)用226.3NGAF客戶端防篡改的基本原理黑客操作：1、暴力破解3389端口，拿到客戶的遠程桌面密碼。2、遠程到客戶的web服務(wù)器上。3、開始修改web代碼重新給網(wǎng)站做一個惡意主頁。我們使用了網(wǎng)頁防篡改2.0保護網(wǎng)站后會發(fā)生什么？結(jié)果截圖如圖，同學(xué)們想想原理是什么呢？新一代防火墻技術(shù)及應(yīng)用236.3NGAF客戶端防篡改的基本原理黑客繼續(xù)操作，按黑客的思維：肯定有一個軟件在做防護，找出這個軟件，原來是深信服的防篡改客戶端，那我就卸載掉它，先嘗試結(jié)束進程，然后再卸載程序，我們看看效果，如圖所示。新一代防火墻技術(shù)及應(yīng)用246.3NGAF客戶端防篡改的基本原理如果黑客找出文件防護程序的安裝路徑，要直接對安裝文件進行刪除，則需要輸入登錄密碼，如圖所示。新一代防火墻技術(shù)及應(yīng)用256.3NGAF客戶端防篡改的基本原理由此可見，網(wǎng)頁防篡改2.0對網(wǎng)站的防護是既全面又嚴格，所以深信服NGAF產(chǎn)品一般都使用網(wǎng)頁防篡改2.0來對網(wǎng)站進行防護。注意：(1)目前防篡改2.0只支持Windows2003以上的Web服務(wù)器，不支持Linux服務(wù)器。(2)防篡改2.0和1.0共享序列號，即開通了1.0之后2.0可以免費使用。新一代防火墻技術(shù)及應(yīng)用266.4NGAF客戶端防篡改的基本配置新一代防火墻技術(shù)及應(yīng)用276.4NGAF客戶端防篡改的基本配置下面我們來研究NGAF客戶端防篡改的基本配置，客戶端防篡改工作方式如下：管理員預(yù)先在控制臺設(shè)置好需要防護的網(wǎng)站，設(shè)置后，AF設(shè)備會向該網(wǎng)站請求頁面并且緩存到設(shè)備上。當用戶訪問網(wǎng)站的時候，數(shù)據(jù)經(jīng)過AF設(shè)備，AF設(shè)備根據(jù)預(yù)先緩存的頁面與用戶訪問的頁面進行比對，如有變動，則判斷為篡改，跳轉(zhuǎn)到指定頁面并且通知管理員。如圖所示。新一代防火墻技術(shù)及應(yīng)用286.4NGAF客戶端防篡改的基本配置勾選“啟用防篡改功能”，則啟用網(wǎng)站篡改防護。點擊“新增”，界面如圖所示。新一代防火墻技術(shù)及應(yīng)用296.4NGAF客戶端防篡改的基本配置“網(wǎng)站服務(wù)器”：用于設(shè)置起始URL域名和IP地址的對應(yīng)關(guān)系。IP地址是指用戶訪問網(wǎng)站的數(shù)據(jù)包經(jīng)過此設(shè)備時的目的IP地址。界面設(shè)置如圖所示。新一代防火墻技術(shù)及應(yīng)用306.4NGAF客戶端防篡改的基本配置“網(wǎng)站被篡改后/通知管理員”：設(shè)備檢測到篡改發(fā)生后，可以通過郵件和短信的方式通知管理員。最多可同時設(shè)置5個郵箱和5個手機。舉例如圖所示。新一代防火墻技術(shù)及應(yīng)用316.4NGAF客戶端防篡改的基本配置點擊“發(fā)送測試”，可以發(fā)送測試郵件或者短信到指定的郵箱和手機號碼，頁面如圖所示。注意：(1)必須在“系統(tǒng)”→“郵件服務(wù)器”中設(shè)置好相關(guān)選項才能進行郵件告警。(2)使用短信告警功能需要將SIM卡插入短信貓，將短信貓接到設(shè)備的USB口才能使用2.1版本，此功能僅支持GSM手機卡。新一代防火墻技術(shù)及應(yīng)用326.4NGAF客戶端防篡改的基本配置“網(wǎng)站被篡改后/阻止用戶訪問”：設(shè)備檢測到篡改發(fā)生后，通常情況需要阻止用戶訪問到被篡改的頁面，并且設(shè)備可以重定向到其他頁面或者使用設(shè)定好的頁面返回給用戶端。界面如圖所示?！熬W(wǎng)站被篡改后/記錄日志”：勾選該選項可以將日志信息記錄到設(shè)備的內(nèi)置數(shù)據(jù)中心。新一代防火墻技術(shù)及應(yīng)用336.4NGAF客戶端防篡改的基本配置“允許網(wǎng)站管理員維護此網(wǎng)站”：可以通過該選項實現(xiàn)不同的網(wǎng)站由不同的管理員進行維護，可做的操作有更新本地緩存、啟用禁用防篡改功能等。網(wǎng)站管理員通過設(shè)備的8000端口進入，如圖所示。新一代防火墻技術(shù)及應(yīng)用346.4NGAF客戶端防篡改的基本配置使用網(wǎng)站管理員登錄后僅能管理防火墻管理員授權(quán)的網(wǎng)站，維護頁面如圖所示。至此，客戶端網(wǎng)頁防篡改基本配置完成。新一代防火墻技術(shù)及應(yīng)用356.5網(wǎng)頁防篡改應(yīng)用案例新一代防火墻技術(shù)及應(yīng)用366.5網(wǎng)頁防篡改應(yīng)用案例某用戶拓撲如圖所示，按NGAF路由模式部署。新一代防火墻技術(shù)及應(yīng)用376.5網(wǎng)頁防篡改應(yīng)用案例內(nèi)網(wǎng)有兩個網(wǎng)站服務(wù)器，用戶需求如下：1.NGAF設(shè)備對網(wǎng)站服務(wù)器進行防護，發(fā)生非法篡改，則禁止外網(wǎng)用戶訪問被篡改的網(wǎng)頁，返回用戶端提示頁面。2.網(wǎng)站1和網(wǎng)站2分別給兩個管理員維護（管理員1與管理員2），例如網(wǎng)站1的管理員更新了網(wǎng)站1，則由管理員1登錄防篡改管理系統(tǒng)更新本地緩存。3.網(wǎng)站1發(fā)生篡改，則發(fā)送郵件告警(test1@)和短信告警通知管理員1。郵件服務(wù)器使用administrator@郵箱的SMTP信息。4.網(wǎng)站2發(fā)生篡改，則發(fā)送郵件告警(test2@)和短信告警通知管理員2。郵件服務(wù)器使用administrator@郵箱的SMTP信息。新一代防火墻技術(shù)及應(yīng)用386.5網(wǎng)頁防篡改應(yīng)用案例第一步：基礎(chǔ)網(wǎng)絡(luò)配置。（略）第二步：『服務(wù)器保護』→『網(wǎng)站篡改防護』，勾選“啟用防篡改功能”，點擊網(wǎng)站管理員，新建兩個網(wǎng)站管理員賬號，界面如圖所示：新一代防火墻技術(shù)及應(yīng)用396.5網(wǎng)頁防篡改應(yīng)用案例第三步：『系統(tǒng)』→『郵件服務(wù)器』，設(shè)置好SMTP服務(wù)器信息，界面如圖所示：新一代防火墻技術(shù)及應(yīng)用406.5網(wǎng)頁防篡改應(yīng)用案例第四步：“服務(wù)器保護”→“網(wǎng)站篡改防護”，點擊(新增)，新建兩個