IGUARD网页防篡改培训资料.ppt

iGuard网页防篡改系统,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,2,网页篡改的动机和目的,纯粹炫耀黑客技术增加自己网站点击率加入木马和病毒程序发布虚假信息获利骗取用户资料政治性的宣传,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,3,网页篡改的特点和危害,网页篡改的特点传播速度快、阅读人群多复制容易，事后消除影响难作案环境和工具相对简单预先检查和实时防范较难网页篡改的危害破坏政府和公共机构形象间接成为非法牟利的工具影响和谐社会的建设,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,4,产生原因-客观,操作系统的复杂性已公布超过1万多个系统漏洞漏洞与补丁系统漏洞从发现到被利用最短为5天系统补丁的平均发布时间为47天应用漏洞注入式攻击多个应用系统不同的开发者现有技术架构下，网站漏洞长期存在,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,5,产生原因-主观,密码管理合格密码：8位以上，定期改变35的人与其他人共享密码67的人用同一密码访问多个程序漏洞补丁定期更新上网控制钓鱼、木马、间谍软件为业务服务还是为安全服务？,核心内嵌式网页防篡改,iGuard网页防篡改系统,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,7,iGuard网页防篡改系统,第二代核心内嵌技术数字水印技术：保护静态内容的完整性应用防护技术：保护动态内容的完整性可靠的防护效果杜绝非法网页被访问的可能性杜绝利用脚本实施注入式攻击跨平台全系列支持操作系统：支持Windows、Linux、UnixWeb服务器：支持IIS、Apache、J2EE,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,8,核心内嵌模块的位置,iGuard核心内嵌模块,Web服务器,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,9,核心内嵌-数字水印技术,Web服务器软件,SSL,=,X,1.上传正常网页,2.浏览正常网页,3.篡改网页,4.浏览篡改网页,5.自动恢复,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,10,工作过程,发布过程发布内嵌模块检测到文件创建/变化为文件产生加密和不可逆转数字水印通过加密通道传送到Web服务器检测过程公众发出请求浏览网页应用防护子系统检查请求的合法性页面保护子系统检查数字水印完整性辅助以增强型事件触发技术防护,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,11,同步特性详述,实时的文件检测，高效的上传同步发布端支持Windows/Linux操作系统接收端支持所有常见操作系统平台支持多服务器，镜像同步和非镜像同步支持多虚拟主机和多虚拟目录支持精确同步和增量同步支持自动重连，失败重传和任务断点续传支持企业级双机发布模式，主从自动切换支持应用/服务两种模式选择128位安全连接，通信双方数字证书认证完整和全面的日志查询,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,12,防篡改特性详述,可靠的实时网页篡改检测严密的安全水印密码算法内嵌式检查恶意请求即时的报警和页面恢复篡改网页快照留影支持所有操作平台和Web服务器支持各种动态网页技术支持特殊目录和文件忽略自定义出错页面邮件报警和第三方报警与安全管理平台整合,iGuard网页防篡改系统,安装过程,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,14,部署需求,准备工作增加一台发布服务器备份完整的基准网站文件安装进程每台Web服务器基本用时2小时每1G容量额外用时45分钟-90分钟测试和培训功能测试用时0.5小时培训用时1-1.5小时,部署流程,了解用户的环境（操作系统、网站服务器、现有发布方式）了解安装所需的环境是否具备（硬件、人员、时间）上门安装（详见安装步骤）安装报告测试报告,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,15,环境了解,越详细越好！操作系统：Windows,Linux,Unix?unamea？是否64位操作系统？是否安腾芯片？网站服务器：IIS,Apache,Java?是否Servlet2.3以上？是否使用Framework?更新方式：FTP，纯动态，生成静态,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,16,iGuard软件架构,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,17,1、发布服务器stagingsvc（端口：52347）,2、同步服务器syncsvc（端口：38888）,备份网站,网站,防篡改模块,3、远程控制台,1、StagingServer.exe:发布服务器2、Syncserver.exe：同步服务器3、StagingCtl.exe：远程控制台,软件安装步骤,备份网站安装发布服务器安装同步服务器安装远程控制台用水印工具初始化网站配置发布服务器添加防篡改模块配置触发保护（可选）必须遵守顺序！,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,18,步骤1-备份网站,从网站服务器到发布服务器；完整备份；如小文件众多，可使用非压缩方式的winrar或tar先打包再解压；可放置在发布服务器的任意目录下。,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,19,步骤2-安装发布服务器,安装完后：默认端口：52347,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,20,步骤3-安装同步服务器,安装在网站服务器上；安装完后,netstat-an：默认端口：38888触发保护可选项,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,21,步骤4-安装远程控制台,安装在任何一台机器上；安装完后：第一次需要导入许可证系统-发布服务器信息,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,22,步骤5-用水印工具初始化网站,在网站上执行；安装同步服务器完后，修改安装目录下的a.conf，填入网站目录；执行wmktool.exe，扫描所有文件，做水印初始化。,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,23,步骤6-配置发布服务器,在远程控制台里执行；第一次先要导入许可证；配置步骤1中的监控目录和远程目录映射关系；修改设置需要重启发布服务。,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,24,步骤7-添加防篡改模块,在网站上执行；必须在“步骤5-水印扫描”后执行；先配置需要忽略的目录列表（重要！）；根据手册，配置不同的防篡改模块；加载模块；测试，访问和篡改是否正常,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,25,步骤8-触发保护的配置,可选项了解清楚需要忽略的文件和目录需要管理员权限,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,26,需要忽略的文件,计数器通过Web方式上传的文件Access数据库日志文件临时文件。,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,27,辽移安装状态,门户网站（2套，Linux-Linux）彩铃（套，Windows-Windows)网上营业厅（2套，Windows-Linux）LBMP（1套，Windows-Linux）,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,28,日常维护,远程控制台文件更新重启服务重启机器系统迁移状态巡检系统回退,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,29,日常维护-远程控制台,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,30,日常维护-远程控制台,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,31,日常维护-远程控制台,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,32,日常维护-远程控制台,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,33,日常维护之文件更新,文件更新连接状态是否正常文件是否被正常上传日志察看,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,34,重启发布服务(备份机)Windows:netstopstagingsvcUnix:/opt/iguard/stagingd/admtoolstop|start重启同步服务（网站）Windows:netstopsyncsvcUnix:/opt/iguard/syncserver/admtoolstop|start防篡改模块随Web服务器启动自动加载,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,35,日常维护之服务重启,日常维护之机器重启,也许什么也不需要做检查状态Netstatantelnetipport必要的话手工启服务,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,36,日常维护-系统迁移,保留发布服务器/同步服务器安装目录；同样地部署到新机器上；把启动加成服务（win32）或自启动脚本里,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,37,日常维护-状态巡检,进程是否正常（ps-ef）连接是否正常(netstat-an)文件更新日志察看,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,38,日常维护-回退,恢复原有配置文件Apache:httpd.confJ2EE：web.xmlIIS:ISAPI重启Web服务,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,39,iGuard网页防篡改系统,常见问题,常见问题1,Q：发布服务器连接同步服务器失败？A1：检查发布服务器目录下的iguard.dat文件，比较其中的第三行字符串与同步服务器的配置文件（conf/syncserver.conf）中的配置项Auth字段是否一致;A2：网卡、网络连接、防火墙等原因，使发布服务器无法连接同步服务器。在发布服务器端，运行telnet同步服务器ip38888，确定能接到同步服务器的38888端口A3：检查同步服务是否启动。如为Windows系统，任务管理器查看进程syncserver，如为Unix，psef查看。,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,41,常见问题2,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,42,Q：控制台连接发布服务器失败？A1:检查许可证是否到期。详见“事件查看器”;A2：网卡、网络连接、防火墙等原因，使控制台无法连接远程发布服务器。在控制台端，运行telnet发布服务器ip52347，确定能连接；A3：检查发布服务器是否启动：如为Windows系统，任务管理器查看进程stagingd，如为Unix，psef查看。,常见问题3,Q：文件的更改操作无法自动上传到同步服务器上？A1:目标目录/文件没有写权限，如不是CD驱动盘，不是只读属性，同步进程属主对该目录可写;A2：使用的是测试版许可证，当前日期已超过使用期限；A3：使用的是基础版许可证，请将许可证升级为标准版；A4：如果发布服务器安装在Linux平台下，没有加载必要的文件系统或虚拟目录链接没有生效；A5：如果发布服务器安装在Linux平台下，没有采用Linux许可证。,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.CopyrightShanghaiTercelInfoTech.Co.,Ltd.2003-2006.Allrightsreserved.,43,常见问题3,Q：访问某些网页文件时，在远程控制台的“报警”类别窗口里，显示“checkcodeisNOTfound”。？A1：网站服务器空间里的确有未经发布服务器更新上去的文件；A2：该文件是动态脚本产生的，如通过Web方式上传或生成的文件，需要设置忽略；A3：文件是通过发布服务器正常更新的，但还是报“无校验码”，请检查网站上是否有空余空间，可能是硬盘空间已满，更新了文件之后已无法再更新水印库。,版权所有,上海天存信息技术有限公司,2003-2006.保留所有权利.Copy