5.雙引擎防護(hù)
單獨的事件觸發(fā)機制是無法對網(wǎng)頁篡改做到完全防護(hù)的,但是,它是一種有益的補充檢測方式。對于常規(guī)黑客攻擊手段,事件觸發(fā)機制能夠及時檢測到這種攻擊并發(fā)出警告。
iGuard網(wǎng)頁防篡改系統(tǒng)使用了增強型事件觸發(fā)機制,截獲所有寫文件調(diào)用,對于其中的非法寫行為實施了實時阻斷,讓常規(guī)黑客的篡改行為即時落空,同時發(fā)出報警。比起一般的“檢測-恢復(fù)”方式的事件觸發(fā)機制,它對于網(wǎng)站保護(hù)的有效性有了更大的提高。
三、平臺支持
iGuard網(wǎng)頁防篡改系統(tǒng)支持所有主流的操作系統(tǒng)、常用的Web服務(wù)器軟件:
產(chǎn)品型號
基本型號
iGuard網(wǎng)頁防篡改系統(tǒng)(版本3.0)基本產(chǎn)品分為Lite版、標(biāo)準(zhǔn)版和標(biāo)準(zhǔn)動態(tài)版三個型號,它們的適用情形和特性如下:
型號名稱 |
Lite版 |
標(biāo)準(zhǔn)版 |
標(biāo)準(zhǔn)動態(tài)版 |
適合需求 |
滿足常規(guī)安全需求,突出的性價比 不增加額外的硬件,簡化產(chǎn)品部署 |
對安全的可靠性和有效性有較高要求 需要額外的一臺PC服務(wù)器作為發(fā)布服務(wù)器 |
靜態(tài)頁面為主 |
靜態(tài)頁面為主 |
動態(tài)頁面為主 |
防篡改引擎位置 |
操作系統(tǒng) |
操作系統(tǒng)和Web服務(wù)器軟件 |
防篡改技術(shù) |
文件驅(qū)動級防護(hù)技術(shù) |
|
數(shù)字水印技術(shù) |
|
|
請求檢測技術(shù) |
Web服務(wù)器 操作系統(tǒng) |
Windows/Linux |
Windows/Linux/Unix |
包含功能模塊 |
增強型事件觸發(fā)式檢測模塊 |
|
篡改檢測模塊、自動發(fā)布模塊、同步服務(wù)模塊 |
|
|
應(yīng)用防護(hù)模塊 |
企業(yè)發(fā)布模塊
在高更新率和高可靠性要求的網(wǎng)站中,可以增加企業(yè)發(fā)布模塊以提高發(fā)布性能、提高發(fā)布可靠性及輔助進(jìn)行發(fā)布管理和配置。
企業(yè)發(fā)布模塊部署在發(fā)布服務(wù)器上,須在標(biāo)準(zhǔn)版或標(biāo)準(zhǔn)動態(tài)版基礎(chǔ)上使用。下表列出了企業(yè)發(fā)布模塊的名稱和功能:
項目 |
功能 |
作用 |
多CPU支持 |
支持多處理器水印計算 |
提高發(fā)布速度15%-35% |
多線程發(fā)布 |
支持最多8線程發(fā)布 |
提高發(fā)布速度80%-200% |
Linux |
采用Linux發(fā)布系統(tǒng) |
提高可靠性 |
雙機 |
雙機主備工作(無須第三方軟件支持) |
冗余發(fā)布提供容錯能力,避免單點失效 |
管理監(jiān)控平臺
在Web服務(wù)器集群上部署iGuard,可以增加管理監(jiān)控平臺以實現(xiàn)對分散部署的iGuard進(jìn)行集中監(jiān)控管理的需求。
管理監(jiān)控平臺采用B/S架構(gòu),為管理員進(jìn)行遠(yuǎn)程操控提供了便捷高效的工具。通常部署在iGuard發(fā)布服務(wù)器上,須在標(biāo)準(zhǔn)版或標(biāo)準(zhǔn)動態(tài)版基礎(chǔ)上使用。 管理監(jiān)控平臺的詳細(xì)功能如下:
類別 |
功能 |
作用 |
運行狀態(tài)監(jiān)控 |
監(jiān)控自動發(fā)布和恢復(fù)功能的運行狀態(tài)。 |
確保自動發(fā)布和恢復(fù)功能的穩(wěn)定可靠運行。 |
配置管理 |
可修改發(fā)布的同步規(guī)則。 |
為管理員提供直觀和便捷的配置工具。 |
可查看、更新許可證信息。 |
控制自動發(fā)布程序的運行。 |
日志管理 |
查詢報警日志、傳輸日志、系統(tǒng)日志。 |
為管理員遠(yuǎn)程進(jìn)提供方便的日志查看和分析工具。 |
提供報警日志、傳輸日志和系統(tǒng)日志的各種統(tǒng)計報表。 |
產(chǎn)品部署
iGuard網(wǎng)頁防篡改系統(tǒng)支持以下部署形式:
一、標(biāo)準(zhǔn)部署
部署iGuard至少需要兩臺服務(wù)器:
1.Web服務(wù)器:
用戶網(wǎng)站原有的機器,位于公網(wǎng)/DMZ中,本身處在不安全的環(huán)境中,其上部署iGuard的Web服務(wù)器端軟件。一方面,它負(fù)責(zé)與iGuard發(fā)布服務(wù)器通信,將發(fā)布服務(wù)器上的所有網(wǎng)頁文件變更同步到Web服務(wù)器本地;另一方面,它操作系統(tǒng)的驅(qū)動程序和作為Web服務(wù)器軟件的一個插件,使用多種方式保護(hù)網(wǎng)頁和數(shù)據(jù)。
2.發(fā)布服務(wù)器:
部署iGuard時新增添的機器,原則需要一臺獨立的服務(wù)器,位于內(nèi)網(wǎng)中,本身處在相對安全的環(huán)境中,其上部署iGuard的發(fā)布服務(wù)器軟件。所有網(wǎng)頁的合法變更(包括增加、修改、刪除、重命名)都在發(fā)布服務(wù)器上進(jìn)行。
部署示意圖如下所示:
二、復(fù)雜部署
更復(fù)雜的部署情形包括:
- * 多虛擬主機/Web服務(wù)器部署;
- * 本地內(nèi)容管理系統(tǒng);
- * Web服務(wù)器托管;
- * 同機部署。這些情形下的iGuard網(wǎng)頁防篡改系統(tǒng)的部署見《iGuard網(wǎng)頁防篡改系統(tǒng)部署指南》(W-008-0203-D)。
三、集群和冗余部署
Web站點運行的穩(wěn)定性是最關(guān)鍵的。iGuard網(wǎng)頁防篡改系統(tǒng)支持所有部件的多機工作和熱備:可以有多臺安裝了iGuard防篡改模塊和同步服務(wù)軟件的Web服務(wù)器,也可以有兩臺安裝了iGuard發(fā)布服務(wù)軟件的發(fā)布服務(wù)器,如下圖所示。它實現(xiàn)了2Xn的同步機制(2為發(fā)布服務(wù)器,n為Web服務(wù)器),當(dāng)2或n的單點失效完全不影響系統(tǒng)的正常運行,且在修復(fù)后自動工作。