[计算机软件及应用]iguard-安装部署指南.doc

iGuard 网网页页防防篡篡改改系系统统 部部署署指指南南 ii 目目 录录 第第 1 章章 基基本本部部署署 .1 1.1 产品简介 .1 1.2 结构描述 .2 1.3 标准部署 .4 1.4 产品型号 .7 第第 2 章章 多多虚虚拟拟主主机机/多多 WEB 服服务务器器 9 2.1 一对多支持 9 2.2 多虚拟主机 10 2.3 镜像 WEB服务器 11 2.4 多 WEB服务器 .12 第第 3 章章 特特殊殊情情形形部部署署 .13 3.1 本机 WEB内容管理系统 .13 3.2 托管服务器 15 3.3 同机部署 .17 3.4 无内容管理系统 17 第第 4 章章 发发布布服服务务器器安安全全 18 4.1 问题的提出 18 4.2 基本考虑 .19 4.3 WINDOWS操作系统加固措施 .20 iii 4.4 发布相关的安全加固措施 .23 第第 5 章章 网网站站需需提提供供的的设设备备和和准准备备工工作作 .26 5.1 内容管理系统 .26 5.2 发布服务器 26 5.3 WEB服务器 26 5.4 工程准备单 26 第第 6 章章 IGUARD 工工程程准准备备单单 27 6.1 总体情况 .27 6.2 内容管理系统 .27 6.3 IGUARD发布服务器 28 6.4 WEB服务器（编号 1） 29 6.5 WEB服务器（编号 2） 30 iv 图图示示目目录录 图示 1-1 IGUARD两台服务器 .2 图示 1-2 标准部署图 4 图示 1-3 基本网站结构 5 图示 1-4 部署IGUARD后的网站结构 6 图示 2-1 多虚拟主机 10 图示 2-2 镜像 WEB服务器 11 图示 2-3 多 WEB服务器 .12 图示 3-1 本地 WEB内容管理系统 .13 图示 3-2 本地 WEB内容管理系统下的部署 14 表表格格目目录录 表格 1-1 产品型号 .7 表格 1-2 企业发布模块 8 1/32 章 1 章 基基本本部部署署 1.1 产产品品简简介介 iGuard 网页防篡改系统是完全保护 Web 网站不发送被篡改内容并进行自动 恢复的 Web 页面保护软件。 iGuard 网页防篡改系统（以下简称 iGuard）采用先进的 Web 服务器核心内嵌 技术，将篡改检测模块（数字水印技术）和应用防护模块（防注入攻击）内嵌 于 Web 服务器内部，并辅助以增强型事件触发检测技术，不仅实现了对静态 网页和脚本的实时检测和恢复，更可以保护数据库中的动态内容免受来自于 Web 的攻击和篡改，彻底解决网页防篡改问题。 iGuard 的篡改检测模块使用密码技术，为网页对象计算出唯一性的数字水印。 公众每次访问网页时，都将网页内容与数字水印进行对比；一旦发现网页被 非法修改，即进行自动恢复，保证非法网页内容不被公众浏览。同时，iGuard 的应用防护模块也对用户输入的 URL 地址和提交的表单内容进行检查，任何 对数据库的注入式攻击都能够被实时阻断。 iGuard 以国家 863 项目技术为基础，全面保护网站的静态网页和动态网页。 iGuard 支持网页的自动发布、篡改检测、应用保护、警告和自动恢复，保证传 输、鉴别、完整性检查、地址访问、表单提交、审计等各个环节的安全，完全 实时地杜绝篡改后的网页被访问的可能性，也杜绝任何使用 Web 方式对后台 数据库的篡改。 iGuard 支持所有主流的操作系统，包括： Windows、Linux、FreeBSD、Unix（Solaris、HP-UX、AIX）；支持常用的 Web 服务器软件，包括：IIS、Apache、SunONE、Weblogic、WebSphere 等；保护 所有常用的数据库系统，包括：SQL Server、Oracle、MySQL、Access 等。 2/32 1.2 结结构构描描述述 1.2.1 两两台台服服务务器器 部署 iGuard 至少需要两台服务器： 发发布布服服务务器器 ：位于内网中，本身处在相对安全的环境中，其上部署 iGuard 的发布服务器软件。 Web 服服务务器器 ：位于公网/DMZ 中，本身处在不安全的环境中，其上部 署 iGuard 的 Web 服务器端软件。 它们之间的关系如图示 1-1 所示。 iGuard 发布服务器软件 发布服务器 HTTPFTPSSL IntranetDMZInternet iGuard Web 服务器端软件 Web 服务器 图示 1-1 iGuard 两台服务器 1.2.2 发发布布服服务务器器 发布服务器上运行 iGuard 的“发发布布服服务务器器软软件件 ”（Staging Server）。所有网页 的合法变更（包括增加、修改、删除、重命名）都在发布服务器上进行。 发布服务器上具有与 Web 服务器上的网页文件完全相同的目录结构，发布服 务器上的任何文件/目录的变化都会自动和立即地反映到 Web 服务器的相应 Interne t 3/32 位置上，文件/目录变更的方法可以是任意方式的（例如： FTP、SFTP、RCP、NFS、文件共享等）。网页变更后，“发发布布服服务务器器软软件件 ”将其 同步到 Web 服务器上。 发布服务器是部署 iGuard 时新增添的机器，原则需要一台独立的服务器；对 于网页更新不太频繁的网站，也可以用普通 PC 机或者与担任其他工作的服 务器共用。 发布服务器为 PC 服务器，其本身的硬件配置无特定要求，操作系统可选择 Windows（一般网站）或 Linux（大型网站，需选加 Linux 企业发布模块）。 1.2.3 Web 服服务务器器 Web 服务器上除了原本运行的 Web 服务器软件（如 IIS、Apache、SunONE、Weblogic、Websphere 等）外，还运行有 iGuard 的 “Web 服务器端软件”，“Web 服务器端软件”由“同同步步服服务务器器 ”（SyncServer）和 “防防篡篡改改模模块块 ”（AntiTamper）组成。 “i iG Gu ua ar rd d 同同步步服服务务器器 ”负责与 iGuard 发布服务器通信，将发布服务器上的所 有网页文件变更同步到 Web 服务器本地；“i iG Gu ua ar rd d 防防篡篡改改模模块块 ”作为 Web 服 务器软件的一个插件运行，负责对 Web 请求进行检查和对网页进行完整性检 查，需要对 Web 服务器软件作适当配置，以使其生效。 Web 服务器是用户网站原有的机器，iGuard 可适应于任何硬件和操作系统。 4/32 1.3 标标准准部部署署 1.3.1 内内容容管管理理系系统统 目前，大部分网站都使用了内容管理系统（CMS）来管理网页产生的全过程， 包括网页的编辑、审核、签发和合成等。在网站的网络拓扑中，发发布布服服务务器器 部 署在原有的内内容容管管理理系系统统 和 W We eb b 服服务务器器 之间，图示 1-2 表明了三者之间的关 系。 Web 服务器 (iGuard) 发布服务器 (iGuard) 内容管理系统 (第三方软件) Internet 图示 1-2 标准部署图 为一个已有的 Web 站点部署 iGuard 时，Web 服务器和内容管理系统都沿用 原来的机器，而需要在其间增加一台发发布布服服务务器器 。iGuard 的自动同步机制完 全与内容管理系统无关的，适合与所有的内容管理系统协同工作，而内容管 理系统本身无须作任何变动。 发布服务器上具有与 Web 服务器上的网站文件完全相同的目录结构，任何文 件/目录的变化都会自动映射到 Web 服务器的相应位置上。 网页的合法变更（包括增加、修改、删除、重命名）都在发布服务器上进行，变 更的手段可以是任意方式的（例如：FTP、SFTP、RCP、NFS、文件共享等）。 网页变更后，发布服务器将其同步到 Web 服务器上。无论什么情况下，不允 许直接变更 Web 服务器上的页面文件。 iGuard 一般情况下与内容管理系统分开部署，当然它也可以与内容管理系统 部署在一台机器上，在这种情形下，iGuard 还可以提供接口，与内容管理系 统进行互相的功能调用，以实现整合性更强的功能。 5/32 1.3.2 部部署署示示例例 一个标准的网站架构示意图如图示 1-3 所示。 HTTPFTP IntranetDMZInternet 数据库 Web 服务器软件 Web 服务器 内容管理系统 内容管理 图示 1-3 基本网站结构 在图中，内容管理系统将合成的网页通过 FTP 或者其他方式上传到 Web 服 务器上。 部署 iGuard 后的网站结构图如图示 1-4 所示。 6/32 HTTPFTP IntranetDMZInternet 数据库 SSL Web 服务器软件 Web 服务器 同步服务器 防篡改模块 内容管理系统 内容管理 发布服务器 发布服务器 图示 1-4 部署 iGuard 后的网站结构 由上图可以看出，为一个标准的 Web 站点部署 iGuard 时，Web 服务器和内 容管理系统都完全沿用原来的机器，而需要在其间增加一台发布服务器。 iGuard 的自动同步机制与内容管理系统无关的，适合与所有的内容管理系统 协同工作。 对内容管理系统唯一需要做的只是改变它的设置，将发布的目标服务器地址 由 Web 服务器地址改为发布服务器地址即可，无须安装 iGuard 任何组件。 当然，根据内容管理系统所采用协议，发布服务器上需要对应安装这些协议 的服务器端，例如：FTP/sftp 服务器、rcp 服务器或打开文件共享等。 Web 服务器使用 SSL 服务和特定端口（默认为 38888，可修改配置选择其他 端口）来接收上传的网页文件，无须再开放内容管理系统所需的端口（例如 FTP 端口）。为安全起见，强烈建议 Web 服务器仅开放 Web 服务端口和 iGuard 端口，关闭其他所有端口。 7/32 1.4 产产品品型型号号 1.4.1 基基本本产产品品 iGuard 分为基础版、标准版和动态标准版，在标准版和动态标准版上可选加 企业发布模块。所有版本均使用了数字水印技术对所有发送出去的网页都进 行完整性检查。 基础版和标准版的差别在于发布功能和适用的网站规模，而动态标准版还对 注入式攻击进行防护。表格 1-1 列出了它们的适用范围和特性。 型型号号名名称称基基础础版版标标准准版版标标准准动动态态版版 内容更新频度正常； 或：多 Web 服务器； 或：Unix 小型机架构。 适用情形内容更新频度低； 且：单 Web 服务器； 且：Intel/x86 架构。 （即：小规模网站）静态页面为主动态页面为主 多 Web 服务器支持不支持支持 多虚拟主机支持不支持支持 Web 服务器操作系 统 Windows/LinuxWindows/Linux/Unix 发布功能手动自动/手动 选加企业发布模块不可可以 防止注入式攻击不可不可可以 表格 1-1 产品型号 基本产品中已包含有单 CPU /单线程的 Windows 平台发布服务器。 1.4.2 企企业业发发布布模模块块 在高更新率和高可靠性要求的网站中，可以增加企业发布模块以提高发布性 8/32 能、提高发布可靠性及辅助进行发布管理和配置。 企业发布模块部署在发布服务器上，须在标准版或标准动态版基础上使用。 表格 1-2 列出了企业发布模块的名称和功能。 项项目目功功能能作作用用 多 CPU 支持支持多处理器水印计算提高发布速度 15%-35% 多线程发布支持最多 8 线程发布提高发布速度 80%-200% Linux采用 Linux 发布系统提高可靠性 双机双机主备工作 （无须第三方软件支持） 冗余发布提供容错能力，避 免单点失效 发布权限管理器 * 统一发布权限管理和配 置工具 多用户多站点环境下简化管 理和配置工作 * 目 前 仅 支 持 Windows 平 台 。 表格 1-2 企业发布模块 9/32 章 2 章 多多虚虚拟拟主主机机/多多 Web 服服务务器器 2.1 一一对对多多支支持持 iGuard 支持各种复杂形式的多虚拟主机/多 Web 服务器网站。一台 iGuard 发布服务器支持多达 64 台物理的 Web 服务器，而对于每台 Web 服务器上的 虚拟主机数量则没有任何限制。因此对大部分网站，安装 iGuard 系统仅需要 部署一台发布服务器，这样给内容管理和网站监控带来很大的方便。 iGuard 网页防篡改系统内置高效的多服务器文件同步机制，它可以将海量的 网页文件/元素可靠和快速地发布到多台 Web 服务器上，确保多台 Web 服务 器上内容的一致性。其发布端支持 Windows 和 Linux，接收端则支持所有操 作系统平台。支持多虚拟主机和虚拟目录，支持镜像和非镜像同步。 iGuard 的发布功能具备增量同步模式和精确同步模式：前者用于网站正常运 行时持续的发布网页，后者则可以用于诸如增加服务器、网站改版、首次部署 等特殊场合。所有模式都会先进行文件比较后上传，兼顾了效率和准确性。 iGuard 高效的发布协议可以支持每天十万数量级别的网页发布。 iGuard 发布功能特别为 7*24 小时运行的大型新闻和门户设计，支持自动重 连、失败重传和任务断点续传，重传队列可容纳超过 20 万的上传任务，完全 实现网页上传的无人值守和自动恢复。iGuard 发布服务器还支持双机冗余部 署，实现自动的主从切换。 10/32 2.2 多多虚虚拟拟主主机机 多虚拟主机的 Web 服务器硬件只有一台，但是它可以支持多个 URL/IP 地址， 每个 URL/IP 的网站内容是不一样的。各个虚拟主机既可以共用一个内容管 理系统，也可以有各自的内容管理系统或发布方式。 部署 iGuard 后，各内容管理系统将合成好的网页上传到发布服务器上的不同 目录下，由发布服务器根据管理员配置将其同步到 Web 服务器的不同的目录 下（图示 2-1）。 安安全全提提示示 ：这种情形下，多个内容管理系统通常是通过公网连接到发布服务 器，第 4 章描述了如何在这种情况下保证发布服务器的安 全。 Web 服务器 (iGuard) 发布服务器 (iGuard) 内容管理系统 1 内容管理系统 n 图示 2-1 多虚拟主机 11/32 2.3 镜镜像像 Web 服服务务器器 对于访问量大或者可靠性要求高的网站，通常使用 2 台或以上的 Web 服务器 对外提供基于负载均衡的 Web 服务，这些 Web 服务器的硬件配置和操作系 统通常相同，各台服务器上的内容也完全相同。显然，它们是用同一套内容管 理系统来管理网页。 部署 iGuard 后，内容管理系统只需将合成好的网页上传到发布服务器上，由 发布服务器将它们同步到各台 Web 服务器上（图示 2-2）。 Web 服务器 1 (iGuard) 发布服务器 (iGuard) 内容管理系统 Web 服务器 n (iGuard) 图示 2-2 镜像 Web 服务器 12/32 2.4 多多 Web 服服务务器器 对于大型的门户网站，网站有多台独立的 Web 服务器，它们的网络地址、网 站内容是不一样的，甚至操作系统也不一样。它们可能共用一套内容管理系 统，也可能使用不同的发布系统和发布形式。 部署 iGuard 后，所有异种架构的 Web 服务器都纳入了统一的文件同步上传 管理平台即发布服务器上，通过适当的配置即可实现 m*n 的复杂访问结构 （图示 2-3）。 Web 服务器 1 (iGuard) 发布服务器 (iGuard) Web 服务器 n (iGuard) 内容管理系统 1 内容管理系统 n 图示 2-3 多 Web 服务器 13/32 章 3 章 特特殊殊情情形形部部署署 3.1 本本机机 Web 内内容容管管理理系系统统 3.1.1 两两个个功功能能区区 在前面的例子中，内容管理系统都是部署在与 Web 服务器独立的服务器上， 它的合成网页通过某种网络协议（例如 FTP）发布出去。 但是对于一些站点，内容管理系统可能就直接部署在 Web 服务器上，内容管 理人员以 Web 方式进行内容管理操作（例如发布新闻等），内容管理系统合 成网页后直接写本地文件。 这样，一台 Web 服务器从功能上区分成 2 部分，这两部分功能可能对应 Web 服务中不同的虚拟目录或虚拟主机（图示 3-1）： 发布功能区：用于网站编辑发布信息，即运行内容管理系统（CMS）。 浏览功能区：用于网民浏览信息，即对外提供网页浏览。 信息发布 Web 服务器 信息浏览 浏览功能区 发布功能区 （CMS） + HTT P HTT P 图示 3-1 本地 Web 内容管理系统 信息发布过程如下：网站编辑使用浏览器访问 CMS 系统来进行内容发布，内 容由 CMS 系统自动合成成 html 静态网页后，存放在浏览功能区的目录里。 （CMS 也可能有发布到数据库的动态内容，因为与 iGuard 部署无关，没有在 14/32 示意图中给出。） 信息浏览过程如下：网民户访问浏览功能区，访问静态或动态网页。这些网页 和脚本也是 iGuard 的保护目标。 3.1.2 部部署署 iGuard 在这种情形下的部署方案如下（图示 3-2）：将内容管理系统独立部署 到一台 Web 服务器（即图示 3-2 的中 Web 服务器 A）上，专门用于内容管理； 同时这台服务器也作为 iGuard 的发布服务器。原有的 Web 服务器（即图示 3-2 的中 Web 服务器 B）专门用于对公众的信息浏览。 信息发布 Web 服务器 信息浏览 浏览功能区 Web 服务器 + 管理功能区 （CMS） iGuard 同步服务器同步服务器 及防篡改模块及防篡改模块 iGuard 发布服务器发布服务器 HTT P HTT P 图示 3-2 本地 Web 内容管理系统下的部署 信息发布过程如下： 1) 网站编辑访问 Web 服务器 A 上的 CMS 系统发布内容； 2) CMS 系统将内容合成成 html 静态网页，存放在本地的目录里； 3) Web 服务器 A 上的 iGuard 发布服务器软件检测到文件更新，将新网 页安全地上传到 Web 服务器 B 上； 4) Web 服务器 B 上的 iGuard 同步服务器接收到文件，加上数字水印存 放在本地。 15/32 另外，如果 Web 服务器 B 上存在不由 CMS 系统管理的页面，也必须通过 Web 服务器 A 上的 iGuard 发布服务器来管理。 这种部署增加了一台 Web 服务器，确保信息浏览服务器上看到的信息只可能 由发布服务器的 CMS 系统发布，iGuard 保护信息浏览服务器上的内容不被 任何方式篡改。 安安全全提提示示 ：这种情形下，信息发布用户有可能是通过公网访问发布服务器， 第 4 章描述了如何在这种情况下保证发布服务器的安全。 3.2 托托管管服服务务器器 一些网站的 Web 服务器是托管在 IDC 处的，网站管理人员制作好网页后通 过公网（Internet）来发布网页（例如使用 FTP 协议来发布）。 3.2.1 本本地地部部署署发发布布服服务务器器 在用户的内网（Intranet）出口处部署 iGuard 发布服务器，用它来上传网页， 并可保证网页通过公网发布的全过程安全。 Web 服务器 (iGuard) 发布服务器 (iGuard) 内容管理系统 (第三方软件) 网站编辑部IDC SSL FTP 图表 3-1 托管主机 -本地发布服务器 部署 这种情形下，需要改变 Web 服务器及其网络的对外防火墙设置，打开 iGuard 发布所需的端口（默认为 38888）；同时为安全起见，强烈建议关闭 Web 服务 16/32 器上原来的发布端口（例如 FTP 端口）。 3.2.2 IDC 部部署署发发布布服服务务器器 在 IDC 处新增加一台托管机器，其上部署 iGuard 发布服务器。网页的更新不 再通过 Web 服务器进行，而是向这台发布服务器上进行。 Web 服务器 (iGuard) 发布服务器 (iGuard) 内容管理系统 (第三方软件) 网站编辑部IDC SSL FTP 图表 3-2 托管主机 -本地发布服务器部署 这种情形下，不需要改变发布服务器所在网络的对外防火墙设置（亦即可以 沿用原有端口和发布方式），但如果这台发布服务器和 Web 服务器之间存在 防火墙，则需确保发布端口（默认为 38888）是打开的；同时为安全起见，强烈 建议关闭 Web 服务器上原来的发布端口（例如 FTP 端口）。 安安全全提提示示 ：这种情形下，信息发布用户通过公网访问发布服务器，描述了如何在这种情况下保证发布服务器的安全。 3.2.3 本本机机 Web 内内容容管管理理系系统统 如果使用的是基于本机 Web 方式的内容管理系统（即直接访问 Web 服务器 的相关页面来发布网页），请先参考 3.1 节按功能 拆分出单独负责的发布功能的服务器（即图示 3-2 中的 Web 服务器 A / iGuard 发布服务器），然后再选择前述的 2 种方式部署这台服务器。 17/32 3.3 同同机机部部署署 在特殊情形下，iGuard 的所有部件可以仅部署在一台机器即 Web 服务器上。 Web 服务器 iGuard 同步服务器同步服务器 及防篡改模块及防篡改模块 iGuard 发布服务器发布服务器 Web 服务器软件 信息发布 信息浏览 + 图表 3-3 同机部署 这种部署时，在 Web 服务器上有两个目录：一个是接收网页发布的目录 A， 另一个是提供 Web 服务的目录 B。网站编辑或者内容管理系统将作好的网页 放到目录 A 下，由 iGuard 发布服务器软件自动将它发布到目录 B 下。 在安全考虑上，由于 Web 服务所在的网页目录更容易受到攻击，因此这种部 署能够在一定程度上防止对网页的直接篡改。但是，由于原始网页也在同一 台机器上（虽然在不同目录下），手段高明的黑客有可能找到这个目录并加以 篡改，因此这种单机部署并不能完全发挥 iGuard 的防护作用，一般情况下不 建议这样部署。 3.4 无无内内容容管管理理系系统统 一些简单的网站可能没有使用任何内容管理系统，而仅仅使用诸如 Dreamweaver 制作和管理网站甚至直接编辑 html 文件。这种情形下，iGuard 也完全适用，网页制作人员无须改变原来的工作方式，仅仅只是由原来直接 修改 Web 服务器上的文件，改为修改发布服务器上的文件。 18/32 章 4 章 发发布布服服务务器器安安全全 4.1 问问题题的的提提出出 就管理上而言，网站的内容发布方式有两种：集中式和分布式。 集中式的发布方式：有一个统一的内容制作部门（例如：门户网站编 辑部），网站所有内容由这个部门制作。 分布式的发布方式：网站管理部门仅负责网站的架构和部分内容的制 作发布，其余大部分内容由下属的各个部门独立制作，并通过互联网 远程发布（例如：基层政府网站下的各委办局）。 我们知道，部署 iGuard 需要有一个发布服务器。在集中式发布方式里，发布 服务器只能是由内容制作部门内部人员访问，因此可以（也应该）放在内网中， 仅使用一个防火墙就能够保证其非常安全；而在分布式的发布方式里，由于 需要接受发布人员的远程访问，因此发布服务器在一定程度上必须对外网开 放。 那么在分布式的发布方式下，发布服务器的安全状况如何呢？ Web 服务器 (iGuard) 发布服务器 (iGuard) SSL ？ 图表 4-1 发布服务器的 安全传输 需求 19/32 4.2 基基本本考考虑虑 4.2.1 发发布布服服务务器器的的特特性性 事实上，发布服务器有着与 Web 服务器有着几个不同的服务特性： 非知名地址。Web 服务器必须有个固定的域名以便网民访问，而发 布服务器可以使用任意特定或可变的 IP 地址。 非知名端口。Web 服务器为提供 Web 服务，必须使用已知的端口， 而发布服务器可以使用任意特定的端口。 非匿名访问。Web 服务器为所有访问者提供服务，且访问者都是匿 名的，而发布服务器仅对有限的人群开放。 非通用协议。Web 服务器使用标准的 http 协议，这个协议是公开的， 而发布服务器可以使用任意特别的传输协议。 非通用系统。Web 服务器使用的 Web 服务器软件通常只有几种，而 发布服务器可以使用任意的实现传输功能的软件。 因此，即使同样放置在公网上，发布服务器因为它的服务特性而远比 Web 服 务器安全，不容易受到攻击。此外，基于这些特性，可以实现更强的安全手段， 从而保证整个系统的安全。 4.2.2 两两种种解解决决方方案案 由是否采用额外设备可以区分出两种解决方案：采用 VPN 和仅作系统加固。 如果选择增加 VPN 设备，发布服务器就可以放置于内网中，用户通过 VPN 访问内网中的发布服务器。当然，在出口处需要安装 VPN 网关，而用户桌面 需要安装 VPN 客户端。这种方式的优点是直接获得了 VPN 的高安全性，缺 点是需要额外的 VPN 投入和部署。 VPN 是一个成熟的技术，在市面上也有很多产品，本文不另介绍。 以下所介绍的将发布服务器放置在 DMZ 区里，如何利用操作系统本身的加 固（仅 Windows）和针对发布功能所作的特别软件加固来提高发布服务器安 全。 20/32 4.3 Windows 操操作作系系统统加加固固措措施施 4.3.1 概概述述 用户远程向 iGuard 发布服务器发布网页有两种方式：通过 FTP 上传和通过 Web 方式发布。不管采用哪种方式，对 Windows 服务器的一些常规的安全加 固措施是一样的，以下就介绍它们。至于与发布方式相关的安全加固措施将 在下一节介绍。 1) 第 1 步：修补程序和更新 2) 第 2 步：服务 3) 第 3 步：协议 4) 第 4 步：帐号 5) 第 5 步：文件和目录 6) 第 6 步：共享 7) 第 7 步：端口 8) 第 8 步：注册表 9) 第 9 步：审核和日志 4.3.2 修修补补程程序序和和更更新新 用最新的服务包和修补程序更新服务器。必须更新和修补所有 Web 服务器 组件，包括 Windows、.NET Framework 和 Microsoft 数据访问组件 (MDAC)。 检测和安装必需的修补程序和更新。 更新.NETFramework。 4.3.3 服服务务 对客户端不进行身份验证的服务、使用不安全协议的服务，或者以过多特权 运行的服务都存在风险。如果您不需要它们，就不要运行它们。通过禁用不必 要的服务，能够快速和容易地减小受攻击面。还减少了维护方面的开销（修补 程序、服务帐号，等等。） 21/32 如果您运行了一个服务，应该确保它是安全的和并且可维护。为此，可以使用 最低特权帐号运行服务，通过应用修补程序使服务保持最新。 禁用不必要的服务。 禁用 FTP、SMTP 和 NNTP。 禁用 ASP.NET 状态服务。 4.3.4 协协议议 通过防止使用不必要的协议，可以减少受攻击的可能。 禁用或者保护 WebDav。 加固 TCP/IP 堆栈。 禁用 NetBIOS 和 SMB。 4.3.5 帐帐号号 您应该删除不使用的帐号，因为攻击者可能发现并使用它们。要求使用强密 码。脆弱的密码将增加成功的蛮力或者字典攻击的可能性。使用最低特权。攻 击者能够使用具有过多特权的帐号获取对未授权资源的访问。 删除或者禁用未用的帐号。 禁用 Guest 帐号。 重命名管理员帐号。 禁用 IUSR 帐号。 创建自定义匿名 Web 帐号。 强制坚固的密码策略。 限制远程登录。 禁用空会话（匿名登录）。 更加严格的帐号管理措施： 帐号委托需要许可。 不使用共享帐号。 限制本地管理员组的成员资格。 要求管理员交互式地登录。 22/32 4.3.6 文文件件和和目目录录 在用 NTFS 文件系统格式化的分区上安装系统，可以使用 NTFS 权限对访问 权限进行限制。使用较坚固的访问控制保护敏感的文件和目录。在大多数情 况下，允许访问特定帐号的方法比拒绝访问特定帐号的方法要更加有效。尽 可能在目录级设置访问。当文件添加到文件夹中时，它们将从文件夹继承权 限，因此您无需采取进一步的操作。 限制 Everyone 组。 限制匿名 Web 帐号。 保护或者删除工具、实用工具和 SDK。 删除示例文件。 4.3.7 共共享享 删除任何未用的共享，并加固任何必要共享的 NTFS 权限。默认情况下，所 有用户都对新建文件共享拥有完全控制。加固这些默认的权限，以确保只有 授权用户能够访问共享所公开的文件。除了显式共享权限之外，对共享公开 的文件和文件夹使用 NTFS ACL。 删除不必要的共享。 限制对必需共享的访问。 4.3.8 端端口口 运行在服务器上的服务使用特定的端口，这样它们能够为传入的请求提供服 务。应该关闭所有不必要的端口，并执行定期的审核，以检测处于侦听状态的 新端口，这样能够发现未授权的访问和安全漏洞。 将面对 Internet 的端口限制为发布实际需求的端口。 加密或者限制 intranet 流量。 4.3.9 注注册册表表 注册表是许多关键服务器配置设置的储存库。因此，您必须确保只有得到授 权的管理员能够访问它。如果攻击者也能够编辑注册表，则他或者她就能够 23/32 重新配置服务器并且危及服务器的安全。 限制对注册表的远程管理。 保护 SAM（仅对独立服务器）。 4.3.10 审审核核和和日日志志 审核并不能防止系统攻击，虽然它对于标识入侵者和进行中的攻击能够提供 非常重要的帮助，而且能够辅助您诊断攻击足迹。在您的服务器上启用最小 级的审核，并使用 NTFS 权限保护日志文件，使攻击者无法通过以任何方式 删除或者更新日志文件来掩藏其踪迹。 日志记录所有失败的登录企图。 日志记录所有文件系统中的失败操作。 重新定位和保护 Web 服务器日志文件。 存档日志文件供离线分析。 审核对 Metabase.bin 文件的访问。 4.4 发发布布相相关关的的安安全全加加固固措措施施 4.4.1 额额外外措措施施 由于发布服务器仅对少数人开放使用，针对这一特点采用一些额外的措施能 够达到非常好的效果： 改改变变默默认认端端口口号号。如将 FTP/SFTP、HTTP/HTTPS 服务的监听端口号 改为一个随机 5 位的端口号，这将会使入侵黑客找不到门。 使使用用端端口口映映射射。在网关上采用端口映射的方式迷惑黑客的攻击对象， 例如诱使黑客去攻击一个路由器。 限限制制访访问问者者 IP。对于发布用户位置相对固定的系统（例如：政府网站 内容制作人员的发布都是在同城的工作单位里进行），可以通过设置 允许的 IP 地址或范围列表来缩小发布服务器的访问许可。 之所以能采取以上措施是因为发布服务器的访问需求是非公开的（因此可以 采用非默认的端口）和非公众的（因此可以限制 IP 地址），它和 Web 服务器 24/32 公开和公众的特性完全不同，因此它的安全性也容易得到加固和加强。 4.4.2 FTP 发发布布方方式式 我们建议，发布网页时不使用 FTP 传输协议，而改为使用 SFTP 协议。 SFTP 是一种标准的基于 SSL 的安全文件传输协议，因此完全具有 SSL 协议 的安全特性，即保证了传输过程中的防篡改和防偷窃。 这样，虽然公网可以访问服务器，但由于仅开放了 SFTP 端口（特别是不开放 80 端口和 Web 服务），攻击成功的可能性几乎没有。另外，为加强对发布者 的身份认证，可选使用数字证书进行身份认证，SFTP 协议支持数字证书。 服务器：需要在发布服务器上安装 SFTP 服务器软件，一个较好的免 费 SFTP 服务器软件如下： /projects/filezilla/ 用户端：目前常用 FTP 客户端软件（如 CuteFTP）都支持 SFTP 功能， 因此仅需对软件作适当配置，无须改变工作习惯。 4.4.3 Web 发发布布方方式式 我们建议，发布网页时不使用 HTTP 传输协议，而改为使用 HTTPS 协议。 HTTPS 是一种标准的基于 SSL 的 HTTP 传输协议。目前所有的 Web 服务器 软件（IIS、Apache、J2EE）和 Web 浏览器（IE、Firefox）都支持 HTTPS 协议， 仅需配置即可使用。 另外，针对使用 IIS 作为发布服务的系统，还有建议采取以下加固措施： 1章站站点点和和虚虚拟拟目目录录 将 Web 根目录和虚拟目录重新放置到一个非系统分区，以防范目录遍历攻 击。这些攻击允许攻击者执行操作系统程序和实用工具。跨驱动器遍历是不 可能的。 将 Web 站点移动到非系统卷。 禁用父路径设置。 25/32 删除潜在危险的虚拟目录。 删除或者保护 RDS。 设置 Web 权限。 删除或者保护 FrontPage 服务器扩展。 2章脚脚本本映映射射 脚本映射将一个特定的文件扩展名（例如 .asp）与处理它的 ISAPI 扩展（例 如 Asp.dll）关联起来。攻击者能够利用扩展中的漏洞或者下载服务器端资源。 将不使用的 IIS 文件扩展名映射到 404.dll。 将不使用的.NETFramework 文件扩展名映射到 System.Web.HttpForbiddenHandler。 3章ISAPI 筛筛选选器器 ISAPI 筛选器中的漏洞将导致显著的 IIS 利用。 删除未使用的 ISAPI 筛选器。 4章IIS 元元数数据据库库 安全和其他 IIS 配置设置在 IIS 元数据库文件中维护。加固 IIS 元数据库 （和备份元数据库文件）上的 NTFS 权限，以确保攻击者无法以任何方式修 改 IIS 配置（例如，要禁用一个特殊虚拟目录的身份验证）。 使用 NTFS 权限限制对元数据库的访问。 限制 IIS 返回旗标信息。 5章服服务务器器证证书书 如果您的 Web 应用程序支持端口 443 上的 HTTPS (SSL)，则您必须安装 服务器证书。当客户端建立安全 HTTPS 会话时，这是会话协商过程必需的 一部分。 有效的证书能够提供安全的身份验证，从而使客户端能够信任与之通信的服 务器，并保护通信，使敏感的数据保持机密性，以防止在网络上被篡改。 26/32 验证服务器证书。 27/32 章 5 章 网网站站需需提提供供的的设设备备和和准准备备工工作作 5.1 内内容容管管理理系系统统 确定内容管理系统的上传文件方式（协议）； 确定知道如何修改网页发布的目标服务器地址。 5.2 发发布布服服务务器器 需要一台独立的 PC 机作为发布服务器，其软硬件需求如下： CPU：Intel PIII 或以上； 内存：256M 或以上； 硬盘：至少为整个 Web 网站容量 + 5G； 操作系统：Windows 2000 Server SP4 或 Linux Kernel 2.4 以上； 网络：与内容系统和 Web 服务器能够建立连接。 5.3 Web 服服务务器器 确定 Web 服务器的操作系统及版本； 确定 Web 服务器软件及版本； 获取 Web 服务器软件配置； Web 服务器前如有防火墙，请打开 38888 端口（也可设置 iGuard 使 用其他端口）。 5.4 工工程程准准备备单单 请填写本文档附带的表格iGuard 工程准备清单。 28/32 章 6 章 iGuard 工工程程准准备备单单 6.1 总总体体情情况况 1使用单位全称： 。 （软件将注册给此用户，请正确填写） 2主网站 URL： 。 3我准备部署： 台发布服务器， 台 Web 服务器。 6.2 内内容容管管理理系系统统 1我的内容管理系统使用下列协议来发布网页： FTP NFS RCP Windows 文件共享/Samba CVS SFTP 本地发布 全脚本 2我的内容管理系统通过什么网络连接 Web 服务器： 本地发布 通过内网连接 通过公网连接 3我知道如何修改内容管理系统的目标服务器地址： 知道 不知道 29/32 6.3 iGuard 发发布布服服务务器器 1我已经准备了所需数量的发布服务器： 发布服务器 1 已安装 Windows _ 已安装 Linux _ 发布服务器 2 已安装 Windows _ 已安装 Linux _ 发布服务器 3 已安装 Windows _ 已安装 Linux _ 2我的发布服务器准备连接下列 Web 服务器： 发布服务器 1 Web 服务器（编号） 发布服务器 2 Web 服务器（编号） 发布服务器 3 Web 服务器（编号） 3发布服务器的联网状况： 已经能与内容管理系统连网 已经能与 Web 服务器连网 30/32 6.4 Web 服服务务器器（ （编编号号 1） ） 1此 Web 服务器操作系统是： Windows 2000 2003 2003 R2 Linux Redhat 版本_ 红旗 版本_ Debian版本_ 其他 FreeBSD FreeBSD 6._ FreeBSD 7._ Solaris Solaris 7（5.7） Solaris 8（5.8） Solaris 9 Solaris 10 CPU : sparc x86 AIX AIX4._ AIX5._ HP-UX HP-UX 10._ HP-UX 11._ CPU : PA-RISC Itanium 2此 Web 服务器软件是： IIS 版本_ Apache 版本_ Weblogic版本_ Websphere 版本_ Resin 版本_ Tomcat 版本_ JRun 版本_ HP-AS 版本_ iPlanet 版本_ SunONE 版本_ 3（可选）此 Web 服务器的配置： 我知道如何找到配置文件并将它发给你们 我不知道怎么做或不能发给你们 31/32 6.5 Web 服服务务器