SANGFOR_NGAF_v6.6_2016年度渠道初级认证培训07_网页防篡改1.0

SANGFORNGAF防篡改1.0培训,注：防篡改1.0=网关型防篡改防篡改2.0=客户端型防篡改,目录,防篡改1.0（网关型）基本原理防篡改1.0（网关型）配置,防篡改基本原理,什么是网页篡改？,可能与网页篡改有关的网站变化,1、替换整个网页2、插入新链接3、替换网站图片文件（最常见）4、小规模编辑网页（仅精确）5、因网站运行出错导致结构畸变6、新增一个网页7、删除一个网页,防篡改基本原理,NGAF网页防篡改流程第一步：抓取正常网页内容并缓存,第二步：对比客户获取网页与缓存网页,防篡改基本原理,注：蜘蛛即网页爬虫，用于爬去网页页面元素的工具,1.防篡改原理,第三步：出现网页篡改，返回维护页面或者还原网站,注：蜘蛛即网页爬虫，用于爬去网页页面元素的工具,1.防篡改原理,第三步：出现网页篡改，返回维护页面或者还原网站,3：还原成网站的正常页面,注：蜘蛛即网页爬虫，用于爬去网页页面元素的工具,发现篡改后AF的动作-还原,第三步：当AF发现篡改发生，AF如何处理1.还原网站，客户访问的结果和原来一样2.返回维护页面，维护页面可以默认的，或者自定义html页面，或者重定向篡改前页面或者重定向到某个站点,邮件告警SMTP服务器配置,启用邮件告警,启用防篡改的邮件告警,发现篡改后的动作-告警,短信猫配置：1、短信猫使用USB接口2、短信猫仅支持GSM制式SIM卡3、短信猫支持热插拔4、短信猫无配置页面，无需任何配置5、查看系统日志并发送测试短信可确认短信猫工作状态,发现篡改后的动作-短信告警,设备自动检测USB接口方式的短信猫,网页防篡改的识别方式1、精确匹配：一般用于全静态网页网站，网页中任何一个元素的变化都将判断为被篡改。2、模糊匹配：灵敏度分为，高、中、低高、中：可以用于静态/动态网页都有的网站低：一般用于全动态网页网站，误判率最低，但会有一定的漏判,启用黑链的检测，只有在模糊匹配模式下使用,1.防篡改原理,防护深度：最大防护深度指通过几次链接找到页面，与url地址中目录，级数无关，主页的连接，深度都是1（可选范围：1-20）；要保护主页及主页上的图片至少设置深度为2,1.防篡改原理,NGAF能识别的网页篡改：1、替换整个网页2、插入新链接3、替换网站图片文件4、小规模编辑网页（仅精确）5、因网站运行出错导致结构畸变,1.防篡改原理,NGAF不能识别的网页篡改：1、新增一个网页新增网页无本地缓存对比，故无法识别2、删除一个网页删除网页服务器返回404错误，AF不处理404错误页面,1.防篡改原理,被动获取新增页面,1、服务器新增页面2、用户访问新增页面3、AF发现新增页面4、AF爬虫去爬取新增页面5、新增页面加入AF防篡改列表,1.防篡改原理,网站管理员为被保护网站指定网站管理员：1、网站管理员可以对分管网站禁用/启用网页防篡改2、网站管理员可更新缓存/添加例外3、网站管理员有单独登陆页面https:/AFIP:80004、网站管理员账号不可登陆防火墙控制台5、网站管理员不可新增防护网站,1.防篡改原理,网站管理员,1.防篡改原理,网站管理员自助页面2:8000,注意事项：,1、用户访问被篡改站点，数据需要经过AF，如果不经过AF，起不到防护效果，AF也发现不了网页被篡改（旁路模式，即使数据镜像过来也不支持的）2、新增页面或者删除页面，AF无法发现网页被篡改，新增网页无本地缓存对比，故无法识别，删除网页服务器返回404错误，AF不处理404错误页面3、图片文件篡改后第一次浏览篡改网页还原为原始图片（“还原站点”）4、网页小规模编辑和添加黑链，浏览篡改网页跳转到“维护页面”5、仅检测到黑链篡改不还原/不重定向到维护页面，仅支持告警，控制台告警，邮件告警，短信告警,目录,1、防篡改基本原理2、防篡改配置,1、开启网页防篡改功能,2.防篡改配置,2、新增防护网站,1、最大防护深度指通过几次链接找到页面，与url地址中目录级数无关2、模糊匹配优先使用高，若高过于敏感则降低敏感度再次测试3、检测资源文件篡改即检测图片文件篡改，AF会自动替换原始图片处理4、模糊匹配需额外勾选检测外链，否则不检查新增链接,3、篡改后动作,4、网站管理员,高级配置即web服务器常用默认页面，一般无需更改,5、更新本地缓存,6、记录日志并发送邮件短信告警,A、通过邮件或短信中链接B、通过AF控制台或网站管理员维护页面(1)非篡改问题，直接更新缓存(2)非篡