SANGFOR_NGAF_V5.8_2015年度渠道高级认证培训03_网页防篡改

SANGFORNGAF网页防篡改,网页防篡改测试,深信服公司简介,网页防篡改排错及常见问题,SANGFORNGAF,1.1网页防篡改测试1.2网页防篡改排错及常见问题,NGAF网页防篡改,自2003年CNCERT便开始每日对中国大陆地区网站被篡改情况进行跟踪监测，在发现被篡改网站后及时通知网站所在省份的分中心协助解决，争取被篡改网站快速恢复。以2011年为例，中国大陆地区被篡改网站各月累计为36612个，与2010年的34858个相比略增5.1%。另外最新2012年11月第23期的CNCERT互联网安全威胁报告数据如下：,NGAF防篡改保存的本地缓存不能用来恢复被篡改的web服务器页面；服务器被篡改，如果绕过NGAF，还是会访问到被篡改的页面。,1.1网页防篡改测试,网页防篡改测试步骤如下：1、搭建网络拓扑；2、配置AF防篡改模块；3、图片篡改还原；4、精确匹配-非图片篡改重定向；5、模糊匹配-网页整体篡改重定向；6、模糊匹配-网站内网更新不判断篡改；7、模糊匹配-添加黑链判断篡改不重定向。,1、搭建网络拓扑,此处以NGAF网关部署为例，地址转换配置服务器上网的代理上网SNAT规则，配置服务器发布的DNAT规则，映射TCP70:80至00:80，配置服务器管理的DNAT规则，映射TCP70:22至00:22。应用控制策略配置为简化实验，所有区域全部放通,2、配置AF防篡改模块,配置精确配置，深度5，检测资源文件篡改，网站篡改后-阻止用户访问-显示提示页面，记录日志。,注意：1、若网站必须使用域名才能正常访问，则起始URL必须配置域名，其他情况下配置为服务器的真实IP即可2、DNAT发布的服务器，起始URL若填写IP，则填写内网真实IP，不填写发布后的公网IP,配置完成后可以看到抓取了33个缓存页面。,3、图片篡改还原,访问网站首页上方大图为：70/images/header.jpg。删除header.jpg并上传一张本地篡改后的header.jpg，清空浏览器缓存，并再次访问网站，可见网页并未被篡改，查看NGAF控制台，发现有篡改提示，点击“篡改网页”，可以看到是/images/header.jpg被篡改，说明防篡改作用生效。,4、精确匹配-非图片篡改重定向,网站首页为index.php，下载index.php，篡改后上传至目录，篡改内容为更改栏目名称为HackedByHelen。篡改前内容,篡改后内容,清空浏览器缓存，并再次访问网页，发现网页被重定向,登陆设备控制台和数据中心查看篡改记录,上传原始网页index.php修复，并重新浏览网页，建议多刷几次，并查看NGAF控制台，可见保护状态恢复正常,5、模糊匹配-网页整体篡改重定向,更改防篡改保护配置为模糊匹配-高，并勾选“检测资源文件篡改”，“检测黑链”,网站首页为index.php，SSH下载/var/www/index.php，篡改后上传至/var/www目录，篡改内容为更改网站标题修改title内容为HackedByHelen，更改网站body内容为HackedByHelen。窜改前：,上传篡改后页面：,清空浏览器缓存，并再次访问网页，发现网页被重定向，防篡改生效,篡改恢复步骤同4，此处略,6、模糊匹配-网站内网更新不判断篡改,通过SSH上传更改过栏目标题的index.php，更改内容为将“办事服务”标题变更为“便民服务”,清空浏览器缓存，并再次访问网页，发现网页编辑后内容可以正常浏览,登陆NGAF控制台，无篡改警告。,7、模糊匹配-添加黑链判断篡改不重定向,通过上传被篡改的index.php，篡改内容为添加的黑链篡改前,篡改后,清空浏览器缓存，并再次访问网页，发现网页无明显变化，登陆NGAF控制台，看到有篡改事件并有篡改日志,篡改恢复过程略,1.2网页防篡改排错及常见问题,常见的防篡改问题有如下两种1、防篡改状态显示“故障”；2、网页防篡改无效。,1、防篡改状态显示“故障”；,说明：故障如上图所示，出现此提示的原因为NGAF无法访问被防护的服务器，无法获取网站缓存，从而导致提示故障。由于部署在特殊环境，比如vlan环境中，错误的部署方法导致不通的，确认好客户网络环境拓扑，参考“2013年度渠道初级认证培训03_常见网络环境部署”。另外还有路由或中间网络设备策略拦截导致的情况。通常出现在2.2及之前版本虚拟网线部署场景中的错误部署模式，此时升级2.2R1及更高版本。网桥部署不使用桥IP时也易造成同样的错误，更改部署模式即可。,2.2版本及之前版本的错误部署模式,在2.2R1版本以后的不管是哪个部署模式都OK,2、网页防篡改无效,路由模式部署并DNAT发布服务器，服务器的url配置为外网IP，而域名IP对应关系中，又配置外网IP对应内网服务器真实IP时可能出现。故路由模式DNAT发布服务器场景下，请务必配置服务器URL和IP对应关系都为内网IP。,除此之后，确认防篡改无效的，还需确认检测方法为什么？模糊匹配还是精确匹配。模糊匹配对于从网页中提取title、meta等标签进行对比，若是修改其他内容则不做判定，因此对于客户有严格需求的环境下，建议修改为精确匹配。,防窜改功能是2.1才开始新增的功能，但2.0升级到2.1版本，发现找不到网站防篡改的功能。,3.网站防篡改功能找不到,4.虚拟网线下防护不生效,设备虚拟网线部署或网桥部署，防护不生效了，怎么回事？因为AF需要通过爬虫访问到防护网站，没有配置管理口IP，所以不能正常的防护。,5.篡改图片后，默认不是还原网站么？,AF的图片篡改测试，并没有还原为的网站，而是直接显示维护页面了,为什么？答复：改的是图片的引用代码，这就不是篡改图片了，应改变图片本身内容，而不改变图片的文件名。如图片的引用代码为：正确的测试方法为改4ec69e8105239.png的图片内容，如从兔子照片变成老虎照片，但是文件名不变。错误的测试方法为改代码为：，并放一个新的NGAFtest.png的图片到服务器上,6.被防护的网站缓存怎么这么少？,2.网页防护，缓存才3个，太少了，不正常。原因是：填写的网页是首页跳转的，从,高级配置中添加不了斜杠”/”,7.收到的短信或邮件篡改提醒怎么这么多？,1.网站本身就存在很多动态网页元素，却使用了精确匹配模式2.AF网站防篡改，模糊模式，总是报验证码被篡改图