【51CTO.com獨(dú)家特稿】目前，利用網(wǎng)上隨處可見(jiàn)的攻擊軟件，趙明所遇到的攻擊者很可能就是那些“腳本小子”（清除服務(wù)器日志的工具也很常見(jiàn)），這些人不需要的深厚技術(shù)基礎(chǔ)，即可完成諸如更換Web網(wǎng)站主頁(yè)，盜取管理員密碼，數(shù)據(jù)庫(kù)注入等，但這些人最恐怖的事情就是破壞整個(gè)網(wǎng)站數(shù)據(jù)等攻擊。而這些攻擊過(guò)程中產(chǎn)生的網(wǎng)絡(luò)層數(shù)據(jù)，和正常數(shù)據(jù)沒(méi)有什么區(qū)別。

網(wǎng)頁(yè)防篡改技術(shù)的優(yōu)勢(shì)

很多用戶(hù)認(rèn)為，在網(wǎng)絡(luò)中部署入侵檢測(cè)系統(tǒng)（IDS），入侵防御系統(tǒng)（IPS）等設(shè)備，就可以保障網(wǎng)絡(luò)的安全性，就能全面立體的防護(hù)WEB應(yīng)用了，但是為何基于WEB服務(wù)器頁(yè)面訪問(wèn)的應(yīng)用攻擊事件仍然不斷發(fā)生？其根本的原因在于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對(duì)于應(yīng)用層的攻擊防范，作用十分有限。也就是說(shuō)如果攻擊者不是通過(guò)網(wǎng)絡(luò)層，而是Web應(yīng)用層和數(shù)據(jù)庫(kù)注入過(guò)來(lái)的話(huà)，那么數(shù)據(jù)過(guò)濾（基于TCP/IP報(bào)文頭部的ACL）實(shí)現(xiàn)訪問(wèn)控制的功能就如同虛設(shè)了。  

◆針對(duì)本案例中網(wǎng)頁(yè)篡改的攻擊行為，具有以下特點(diǎn)：篡改網(wǎng)站頁(yè)面?zhèn)鞑ニ俣瓤?、閱讀人群多；復(fù)制容易，事后消除影響難；預(yù)先檢查和實(shí)時(shí)防范較難；網(wǎng)絡(luò)環(huán)境復(fù)雜難以追查責(zé)任，攻擊工具簡(jiǎn)單且向智能化趨勢(shì)發(fā)展。以上這些特點(diǎn)，趙明和運(yùn)營(yíng)總監(jiān)黃曉明兩人對(duì)于網(wǎng)站“被黑”事件考慮，很可能影響到公司對(duì)外的整體形象，因此我絕對(duì)在現(xiàn)有結(jié)構(gòu)中增加一套網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng)非常重要。  

網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展  

◆最早，針對(duì)網(wǎng)頁(yè)篡改的攻擊，作為運(yùn)維人員只能通過(guò)手工（人工）對(duì)比檢測(cè)，專(zhuān)門(mén)指派網(wǎng)絡(luò)管理人員，人工監(jiān)控需要保護(hù)的網(wǎng)站，一旦發(fā)現(xiàn)被篡改，然后以人力對(duì)其修改還原的手段。嚴(yán)格的說(shuō)來(lái)，人工對(duì)比檢測(cè)不能算是一種網(wǎng)頁(yè)防篡改系統(tǒng)采用的技術(shù)，而只能算安全管理中針對(duì)網(wǎng)頁(yè)被篡改的制度管理。這種手段非常原始且效果不佳，且不說(shuō)人力成本較高，其最致命的缺陷在于人力監(jiān)控不能達(dá)到即時(shí)性，也就是不能在第一時(shí)間發(fā)現(xiàn)網(wǎng)頁(yè)被篡改也不能在第一時(shí)間做出還原，當(dāng)管理人員發(fā)現(xiàn)網(wǎng)頁(yè)被篡改再做還原時(shí)，被篡改的網(wǎng)頁(yè)已在互聯(lián)網(wǎng)存在了一段時(shí)間，可能已經(jīng)被一定數(shù)量的網(wǎng)民瀏覽?！　?nbsp; 

◆隨著網(wǎng)絡(luò)防護(hù)技術(shù)的發(fā)展，后來(lái)的出現(xiàn)的網(wǎng)頁(yè)防篡技術(shù)中的“時(shí)間輪巡技術(shù)”被廣泛應(yīng)用于政府和教育網(wǎng)站。時(shí)間輪詢(xún)技術(shù)是利用一個(gè)網(wǎng)頁(yè)檢測(cè)程序，以輪詢(xún)方式讀出要監(jiān)控的網(wǎng)頁(yè)，與真實(shí)網(wǎng)頁(yè)相比較，來(lái)判斷網(wǎng)頁(yè)內(nèi)容的完整性，對(duì)于被篡改的網(wǎng)頁(yè)進(jìn)行報(bào)警和恢復(fù)。但后來(lái)隨著商業(yè)性網(wǎng)站在國(guó)內(nèi)的快速發(fā)展，采用時(shí)間輪詢(xún)式的網(wǎng)頁(yè)防篡改系統(tǒng)存在著網(wǎng)絡(luò)安全工程師無(wú)法接受的“時(shí)間間隔”，這種技術(shù)也逐漸被淘汰。

隨著“水印”和“非對(duì)稱(chēng)加密”技術(shù)的廣泛應(yīng)用，這些最新的技術(shù)也被推廣到網(wǎng)頁(yè)防篡產(chǎn)品領(lǐng)域，這包括了“事件觸發(fā)”和“核心內(nèi)遷嵌”技術(shù)的組合應(yīng)用。核心內(nèi)嵌技術(shù)（密碼水?。┑膶?shí)現(xiàn)，是先將網(wǎng)頁(yè)內(nèi)容采取非對(duì)稱(chēng)加密存放，在外來(lái)訪問(wèn)請(qǐng)求時(shí)將經(jīng)過(guò)加密驗(yàn)證過(guò)的，進(jìn)行解密對(duì)外發(fā)布；若未經(jīng)過(guò)驗(yàn)證，則拒絕對(duì)外發(fā)布，調(diào)用備份網(wǎng)站文件進(jìn)行驗(yàn)證解密后對(duì)外發(fā)布。此種技術(shù)通常要結(jié)合事件觸發(fā)機(jī)制對(duì)文件的部分屬性進(jìn)行對(duì)比，如大小，頁(yè)面生成時(shí)間等做判斷。核心內(nèi)嵌技術(shù)避免了時(shí)間輪巡技術(shù)的輪巡間隔這個(gè)缺點(diǎn)，但是由于這種技術(shù)是對(duì)每個(gè)流出網(wǎng)頁(yè)都進(jìn)行完整檢查，占用巨大的系統(tǒng)資源，給服務(wù)器造成較大負(fù)載。并且對(duì)網(wǎng)頁(yè)正常發(fā)布流程作了更改，針對(duì)本案例的拓?fù)?，整個(gè)網(wǎng)站需要重新架構(gòu)?！　?nbsp;  

網(wǎng)頁(yè)防篡在企業(yè)中的具體應(yīng)用

隨著技術(shù)發(fā)展以及網(wǎng)上各類(lèi)應(yīng)用的增多，對(duì)服務(wù)器的負(fù)載資源簡(jiǎn)直可以用“苛刻”來(lái)形容，任何占用服務(wù)器資源的部分都要淘汰，來(lái)確保網(wǎng)站的高訪問(wèn)效率，如此一來(lái)，內(nèi)嵌技術(shù)（即密碼技術(shù)）最終將被淘汰。

因此，現(xiàn)階段企業(yè)當(dāng)中主要是使用了“文件過(guò)濾驅(qū)動(dòng)技術(shù)＋事件觸發(fā)技術(shù)”的第三代產(chǎn)品。文件過(guò)濾驅(qū)動(dòng)技術(shù)的最初應(yīng)用于軍方和保密系統(tǒng)，作為文件保護(hù)技術(shù)和各類(lèi)審計(jì)技術(shù)。其原理是：將篡改監(jiān)測(cè)的核心程序通過(guò)文件底層驅(qū)動(dòng)技術(shù)應(yīng)用到Web服務(wù)器中，通過(guò)事件觸發(fā)方式進(jìn)行自動(dòng)監(jiān)測(cè)，對(duì)文件夾的所有文件內(nèi)容，對(duì)照其底層文件屬性，經(jīng)過(guò)內(nèi)置散列快速算法，實(shí)時(shí)進(jìn)行監(jiān)測(cè)，若發(fā)現(xiàn)屬性變更，通過(guò)非協(xié)議方式，純文件安全拷貝方式將備份路徑文件夾內(nèi)容拷貝到監(jiān)測(cè)文件夾相應(yīng)文件位置，通過(guò)底層文件驅(qū)動(dòng)技術(shù)，整個(gè)文件復(fù)制過(guò)程毫秒級(jí)。這樣的要求非常適合趙明負(fù)責(zé)的這家公司，也解決了公眾無(wú)法看到被篡改頁(yè)面，入侵者整個(gè)過(guò)程被記錄的最高水準(zhǔn)，如果黑客攻擊之后，可能連黑客自己都無(wú)法看到網(wǎng)頁(yè)是否被篡改的結(jié)果顯示。

網(wǎng)頁(yè)防篡系統(tǒng)的部署  

◆網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng)的品牌相當(dāng)多，這里列舉一個(gè)企業(yè)中常見(jiàn)的品牌：WebGurad ，此系統(tǒng)采用的就是目前系統(tǒng)驅(qū)動(dòng)級(jí)文件保護(hù)技術(shù)，并且基于事件觸發(fā)式監(jiān)測(cè)機(jī)制，高效實(shí)現(xiàn)了網(wǎng)頁(yè)監(jiān)測(cè)與防護(hù)功能，徹底杜絕了網(wǎng)站被非法篡改的可能。  

◆第一種部署方案（圖1）：無(wú)需增加任何服務(wù)器，這類(lèi)部署主要突出了該系統(tǒng)部署的靈活性，將Center Server部分也同時(shí)部署在Web站點(diǎn)上，在沒(méi)有額外可用服務(wù)器的情況下，節(jié)省了服務(wù)器資源，保護(hù)了用戶(hù)投資。  

網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng)典型部署示意圖1  

第二種部署方案（圖2），可分為三步：

第1步：在DMZ區(qū)任意一臺(tái)服務(wù)器安裝管理中心服務(wù)器（Center Server），并設(shè)定外部管理連接端口（默認(rèn)為5366）；

第2步：將監(jiān)控端（Moniter Client）安裝于多個(gè)Web服務(wù)器上，并在Web服務(wù)器商指定管理中心服務(wù)器地址，并設(shè)定管理端口（默認(rèn)為5367）；

第3步：在內(nèi)部管理區(qū)域，任意PC安裝管理客戶(hù)端(Console)部分。

網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng)典型部署示意圖2

采用此產(chǎn)品部署的方案優(yōu)點(diǎn)有很多，針對(duì)具體應(yīng)用該方案支持如下一些特殊功能： 

◆斷線(xiàn)狀態(tài)下篡改檢測(cè)和大規(guī)模連續(xù)篡改攻擊防護(hù)；  

◆支持進(jìn)程黑白名單管理，杜絕非法程序非法執(zhí)行； 

◆實(shí)時(shí)監(jiān)測(cè)，完全杜絕被篡改內(nèi)容被外界瀏覽；  

◆支持服務(wù)器性能監(jiān)測(cè)與閥值告警功能； 

◆支持單獨(dú)文件篡改保護(hù)；  

◆支持文件夾篡改保護(hù)；  

◆支持多級(jí)目錄文件夾內(nèi)容篡改保護(hù)；  

◆支持異地文件同步功能，異地目錄保護(hù)恢復(fù)功能； 

◆支持文件多種自動(dòng)方式上傳與人工同步方式；

而針對(duì)Web網(wǎng)站最新和最流行的攻擊可以提供如下防范： 

◆支持SQL注入攻擊防護(hù)；  

◆支持跨站腳本攻擊防護(hù)；  

◆支持對(duì)系統(tǒng)文件的訪問(wèn)防護(hù)；  

◆支持特殊字符構(gòu)成的URL利用防護(hù)； 

◆支持對(duì)危險(xiǎn)系統(tǒng)路徑的訪問(wèn)防護(hù)； 

◆支持構(gòu)造危險(xiǎn)的Cookie攻擊防護(hù)； 

◆各類(lèi)攻擊的變種防護(hù)；

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】  

【編輯推薦】

1. Barracuda-NC雙臂代理模式搞定網(wǎng)站安全(拯救趙明)
2. 防火墻加web應(yīng)用防火墻解決趙明問(wèn)題