计算机软件及应用iguard-安装部署指南

TITLEiGuard网页防篡改系统SUBJECT部署指南

目录TOC\o"1-2"\h\z第1章根本部署 11.1产品简介 11.2结构描述 21.3标准部署 41.4产品型号 7第2章多虚拟主机/多Web效劳器 92.1一对多支持 92.2多虚拟主机 102.3镜像Web效劳器 112.4多Web效劳器 12第3章特殊情形部署 133.1本机Web内容管理系统 133.2托管效劳器 153.3同机部署 173.4无内容管理系统 17第4章发布效劳器平安 184.1问题的提出 184.2根本考虑 194.3Windows操作系统加固措施 204.4发布相关的平安加固措施 23第5章网站需提供的设备和准备工作 265.1内容管理系统 265.2发布效劳器 265.3Web效劳器 265.4工程准备单 26第6章iGuard工程准备单 276.1总体情况 276.2内容管理系统 276.3iGuard发布效劳器 286.4Web效劳器〔编号1〕 296.5Web效劳器〔编号2〕 30

图示目录TOC\h\z\c"图示"图示11iGuard两台效劳器 2图示12标准部署图 4图示13根本网站结构 5图示14部署iGuard后的网站结构 6图示21多虚拟主机 10图示22镜像Web效劳器 11图示23多Web效劳器 12图示31本地Web内容管理系统 13图示32本地Web内容管理系统下的部署 14表格目录TOC\h\z\c"表格"表格11产品型号 7表格12企业发布模块 8根本部署产品简介iGuard网页防篡改系统是完全保护Web网站不发送被篡改内容并进行自动恢复的Web页面保护软件。iGuard网页防篡改系统〔以下简称iGuard〕采用先进的Web效劳器核心内嵌技术，将篡改检测模块〔数字水印技术〕和应用防护模块〔防注入攻击〕内嵌于Web效劳器内部，并辅助以增强型事件触发检测技术，不仅实现了对静态网页和脚本的实时检测和恢复，更可以保护数据库中的动态内容免受来自于Web的攻击和篡改，彻底解决网页防篡改问题。iGuard的篡改检测模块使用密码技术，为网页对象计算出唯一性的数字水印。公众每次访问网页时，都将网页内容与数字水印进行比照；一旦发现网页被非法修改，即进行自动恢复，保证非法网页内容不被公众浏览。同时，iGuard的应用防护模块也对用户输入的URL地址和提交的表单内容进行检查，任何对数据库的注入式攻击都能够被实时阻断。iGuard以国家863工程技术为根底，全面保护网站的静态网页和动态网页。iGuard支持网页的自动发布、篡改检测、应用保护、警告和自动恢复，保证传输、鉴别、完整性检查、地址访问、表单提交、审计等各个环节的平安，完全实时地杜绝篡改后的网页被访问的可能性，也杜绝任何使用Web方式对后台数据库的篡改。iGuard支持所有主流的操作系统，包括：Windows、Linux、FreeBSD、Unix〔Solaris、HP-UX、AIX〕；支持常用的Web效劳器软件，包括：IIS、Apache、SunONE、Weblogic、WebSphere等；保护所有常用的数据库系统，包括：SQLServer、Oracle、MySQL、Access等。结构描述两台效劳器部署iGuard至少需要两台效劳器：发布效劳器：位于内网中，本身处在相对平安的环境中，其上部署iGuard的发布效劳器软件。Web效劳器：位于公网/DMZ中，本身处在不平安的环境中，其上部署iGuard的Web效劳器端软件。它们之间的关系如图示1-1所示。iGuardiGuard发布效劳器软件发布效劳器FTP…SSLIntranetDMZInternetiGuardWeb效劳器端软件Web效劳器Internet图示STYLEREF1\s1SEQ图示\*ARABIC\s11iGuard两台效劳器Internet发布效劳器发布效劳器上运行iGuard的“发布效劳器软件〞〔StagingServer〕。所有网页的合法变更〔包括增加、修改、删除、重命名〕都在发布效劳器上进行。发布效劳器上具有与Web效劳器上的网页文件完全相同的目录结构，发布效劳器上的任何文件/目录的变化都会自动和立即地反映到Web效劳器的相应位置上，文件/目录变更的方法可以是任意方式的〔例如：FTP、SFTP、RCP、NFS、文件共享等〕。网页变更后，“发布效劳器软件〞将其同步到Web效劳器上。发布效劳器是部署iGuard时新增添的机器，原那么需要一台独立的效劳器；对于网页更新不太频繁的网站，也可以用普通PC机或者与担任其他工作的效劳器共用。发布效劳器为PC效劳器，其本身的硬件配置无特定要求，操作系统可选择Windows〔一般网站〕或Linux〔大型网站，需选加Linux企业发布模块〕。Web效劳器Web效劳器上除了原本运行的Web效劳器软件〔如IIS、Apache、SunONE、Weblogic、Websphere等〕外，还运行有iGuard的“Web效劳器端软件〞，“Web效劳器端软件〞由“同步效劳器〞〔SyncServer〕和“防篡改模块〞〔AntiTamper〕组成。“iGuard同步效劳器〞负责与iGuard发布效劳器通信，将发布效劳器上的所有网页文件变更同步到Web效劳器本地；“iGuard防篡改模块〞作为Web效劳器软件的一个插件运行，负责对Web请求进行检查和对网页进行完整性检查，需要对Web效劳器软件作适当配置，以使其生效。Web效劳器是用户网站原有的机器，iGuard可适应于任何硬件和操作系统。

标准部署内容管理系统目前，大局部网站都使用了内容管理系统〔CMS〕来管理网页产生的全过程，包括网页的编辑、审核、签发和合成等。在网站的网络拓扑中，发布效劳器部署在原有的内容管理系统和Web效劳器之间，图示1-2说明了三者之间的关系。Web效劳器Web效劳器(iGuard)发布效劳器(iGuard)内容管理系统(第三方软件)Internet图示STYLEREF1\s1SEQ图示\*ARABIC\s12标准部署图为一个已有的Web站点部署iGuard时，Web效劳器和内容管理系统都沿用原来的机器，而需要在其间增加一台发布效劳器。iGuard的自动同步机制完全与内容管理系统无关的，适合与所有的内容管理系统协同工作，而内容管理系统本身无须作任何变动。发布效劳器上具有与Web效劳器上的网站文件完全相同的目录结构，任何文件/目录的变化都会自动映射到Web效劳器的相应位置上。网页的合法变更〔包括增加、修改、删除、重命名〕都在发布效劳器上进行，变更的手段可以是任意方式的〔例如：FTP、SFTP、RCP、NFS、文件共享等〕。网页变更后，发布效劳器将其同步到Web效劳器上。无论什么情况下，不允许直接变更Web效劳器上的页面文件。iGuard一般情况下与内容管理系统分开部署，当然它也可以与内容管理系统部署在一台机器上，在这种情形下，iGuard还可以提供接口，与内容管理系统进行互相的功能调用，以实现整合性更强的功能。部署例如一个标准的网站架构示意图如图示1-3所示。FTP…IntranetDMZInternet数据库Web效劳器软件Web效劳器内容管理系统内容管理图示STYLEREF1\s1SEQ图示\*ARABIC\s13根本网站结构在图中，内容管理系统将合成的网页通过FTP或者其他方式上传到Web效劳器上。部署iGuard后的网站结构图如图示1-4所示。

FTP…IntranetDMZInternet数据库SSLWeb效劳器软件Web效劳器同步效劳器防篡改模块内容管理系统内容管理发布效劳器发布效劳器图示STYLEREF1\s1SEQ图示\*ARABIC\s14部署iGuard后的网站结构由上图可以看出，为一个标准的Web站点部署iGuard时，Web效劳器和内容管理系统都完全沿用原来的机器，而需要在其间增加一台发布效劳器。iGuard的自动同步机制与内容管理系统无关的，适合与所有的内容管理系统协同工作。对内容管理系统唯一需要做的只是改变它的设置，将发布的目标效劳器地址由Web效劳器地址改为发布效劳器地址即可，无须安装iGuard任何组件。当然，根据内容管理系统所采用协议，发布效劳器上需要对应安装这些协议的效劳器端，例如：FTP/sftp效劳器、rcp效劳器或翻开文件共享等。Web效劳器使用SSL效劳和特定端口〔默认为38888，可修改配置选择其他端口〕来接收上传的网页文件，无须再开放内容管理系统所需的端口〔例如FTP端口〕。为平安起见，强烈建议Web效劳器仅开放Web效劳端口和iGuard端口，关闭其他所有端口。产品型号根本产品iGuard分为根底版、标准版和动态标准版，在标准版和动态标准版上可选加企业发布模块。所有版本均使用了数字水印技术对所有发送出去的网页都进行完整性检查。根底版和标准版的差异在于发布功能和适用的网站规模，而动态标准版还对注入式攻击进行防护。表格1-1列出了它们的适用范围和特性。型号名称根底版标准版标准动态版适用情形内容更新频度低；

且：单Web效劳器；

且：Intel/x86架构。〔即：小规模网站〕内容更新频度正常；

或：多Web效劳器；

或：Unix小型机架构。静态页面为主动态页面为主多Web效劳器支持不支持支持多虚拟主机支持不支持支持Web效劳器操作系统Windows/LinuxWindows/Linux/Unix发布功能手动自动/手动选加企业发布模块不可可以防止注入式攻击不可不可可以表格STYLEREF1\s1SEQ表格\*ARABIC\s11产品型号根本产品中已包含有单CPU/单线程的Windows平台发布效劳器。企业发布模块在高更新率和高可靠性要求的网站中，可以增加企业发布模块以提高发布性能、提高发布可靠性及辅助进行发布管理和配置。企业发布模块部署在发布效劳器上，须在标准版或标准动态版根底上使用。表格1-2列出了企业发布模块的名称和功能。工程功能作用多CPU支持支持多处理器水印计算提高发布速度15%-35%多线程发布支持最多8线程发布提高发布速度80%-200%Linux采用Linux发布系统提高可靠性双机双机主备工作

〔无须第三方软件支持〕冗余发布提供容错能力，防止单点失效发布权限管理器*统一发布权限管理和配置工具多用户多站点环境下简化管理和配置工作*目前仅支持Windows平台。表格STYLEREF1\s1SEQ表格\*ARABIC\s12企业发布模块多虚拟主机/多Web效劳器一对多支持iGuard支持各种复杂形式的多虚拟主机/多Web效劳器网站。一台iGuard发布效劳器支持多达64台物理的Web效劳器，而对于每台Web效劳器上的虚拟主机数量那么没有任何限制。因此对大局部网站，安装iGuard系统仅需要部署一台发布效劳器，这样给内容管理和网站监控带来很大的方便。iGuard网页防篡改系统内置高效的多效劳器文件同步机制，它可以将海量的网页文件/元素可靠和快速地发布到多台Web效劳器上，确保多台Web效劳器上内容的一致性。其发布端支持Windows和Linux，接收端那么支持所有操作系统平台。支持多虚拟主机和虚拟目录，支持镜像和非镜像同步。iGuard的发布功能具备增量同步模式和精确同步模式：前者用于网站正常运行时持续的发布网页，后者那么可以用于诸如增加效劳器、网站改版、首次部署等特殊场合。所有模式都会先进行文件比拟后上传，兼顾了效率和准确性。iGuard高效的发布协议可以支持每天十万数量级别的网页发布。iGuard发布功能特别为7*24小时运行的大型新闻和门户设计，支持自动重连、失败重传和任务断点续传，重传队列可容纳超过20万的上传任务，完全实现网页上传的无人值守和自动恢复。iGuard发布效劳器还支持双机冗余部署，实现自动的主从切换。

多虚拟主机多虚拟主机的Web效劳器硬件只有一台，但是它可以支持多个URL/IP地址，每个URL/IP的网站内容是不一样的。各个虚拟主机既可以共用一个内容管理系统，也可以有各自的内容管理系统或发布方式。部署iGuard后，各内容管理系统将合成好的网页上传到发布效劳器上的不同目录下，由发布效劳器根据管理员配置将其同步到Web效劳器的不同的目录下〔图示2-1〕。平安提示：这种情形下，多个内容管理系统通常是通过公网连接到发布效劳器，第4章<HYPERLINK发布效劳器平安>描述了如何在这种情况下保证发布效劳器的平安。Web效劳器Web效劳器(iGuard)发布效劳器(iGuard)内容管理系统1内容管理系统n……图示STYLEREF1\s2SEQ图示\*ARABIC\s11多虚拟主机

镜像Web效劳器对于访问量大或者可靠性要求高的网站，通常使用2台或以上的Web效劳器对外提供基于负载均衡的Web效劳，这些Web效劳器的硬件配置和操作系统通常相同，各台效劳器上的内容也完全相同。显然，它们是用同一套内容管理系统来管理网页。部署iGuard后，内容管理系统只需将合成好的网页上传到发布效劳器上，由发布效劳器将它们同步到各台Web效劳器上〔图示2-2〕。Web效劳器Web效劳器1(iGuard)发布效劳器(iGuard)内容管理系统Web效劳器n(iGuard)……图示STYLEREF1\s2SEQ图示\*ARABIC\s12镜像Web效劳器

多Web效劳器对于大型的门户网站，网站有多台独立的Web效劳器，它们的网络地址、网站内容是不一样的，甚至操作系统也不一样。它们可能共用一套内容管理系统，也可能使用不同的发布系统和发布形式。部署iGuard后，所有异种架构的Web效劳器都纳入了统一的文件同步上传管理平台即发布效劳器上，通过适当的配置即可实现m*n的复杂访问结构〔图示2-3〕。Web效劳器Web效劳器1(iGuard)发布效劳器(iGuard)Web效劳器n(iGuard)……内容管理系统1内容管理系统n……图示STYLEREF1\s2SEQ图示\*ARABIC\s13多Web效劳器特殊情形部署本机Web内容管理系统两个功能区在前面的例子中，内容管理系统都是部署在与Web效劳器独立的效劳器上，它的合成网页通过某种网络协议〔例如FTP〕发布出去。但是对于一些站点，内容管理系统可能就直接部署在Web效劳器上，内容管理人员以Web方式进行内容管理操作〔例如发布新闻等〕，内容管理系统合成网页后直接写本地文件。这样，一台Web效劳器从功能上区分成2局部，这两局部功能可能对应Web效劳中不同的虚拟目录或虚拟主机〔图示3-1〕：发布功能区：用于网站编辑发布信息，即运行内容管理系统〔CMS〕。浏览功能区：用于网民浏览信息，即对外提供网页浏览。信息发布信息发布Web效劳器信息浏览浏览功能区发布功能区〔CMS〕+图示STYLEREF1\s3SEQ图示\*ARABIC\s11本地Web内容管理系统信息发布过程如下：网站编辑使用浏览器访问CMS系统来进行内容发布，内容由CMS系统自动合成成html静态网页后，存放在浏览功能区的目录里。〔CMS也可能有发布到数据库的动态内容，因为与iGuard部署无关，没有在示意图中给出。〕信息浏览过程如下：网民户访问浏览功能区，访问静态或动态网页。这些网页和脚本也是iGuard的保护目标。部署iGuard在这种情形下的部署方案如下〔图示3-2〕：将内容管理系统独立部署到一台Web效劳器〔即图示3-2的中Web效劳器A〕上，专门用于内容管理；同时这台效劳器也作为iGuard的发布效劳器。原有的Web效劳器〔即图示3-2的中Web效劳器B〕专门用于对公众的信息浏览。信息发布信息发布Web效劳器Ｂ信息浏览浏览功能区Web效劳器Ａ+管理功能区〔CMS〕iGuard同步效劳器及防篡改模块iGuard发布效劳器图示STYLEREF1\s3SEQ图示\*ARABIC\s12本地Web内容管理系统下的部署信息发布过程如下：网站编辑访问Web效劳器A上的CMS系统发布内容；CMS系统将内容合成成html静态网页，存放在本地的目录里；Web效劳器A上的iGuard发布效劳器软件检测到文件更新，将新网页平安地上传到Web效劳器B上；Web效劳器B上的iGuard同步效劳器接收到文件，加上数字水印存放在本地。另外，如果Web效劳器B上存在不由CMS系统管理的页面，也必须通过Web效劳器A上的iGuard发布效劳器来管理。这种部署增加了一台Web效劳器，确保信息浏览效劳器上看到的信息只可能由发布效劳器的CMS系统发布，iGuard保护信息浏览效劳器上的内容不被任何方式篡改。平安提示：这种情形下，信息发布用户有可能是通过公网访问发布效劳器，第4章<HYPERLINK发布效劳器平安>描述了如何在这种情况下保证发布效劳器的平安。托管效劳器一些网站的Web效劳器是托管在IDC处的，网站管理人员制作好网页后通过公网〔Internet〕来发布网页〔例如使用FTP协议来发布〕。本地部署发布效劳器在用户的内网〔Intranet〕出口处部署iGuard发布效劳器，用它来上传网页，并可保证网页通过公网发布的全过程平安。Web效劳器Web效劳器(iGuard)发布效劳器(iGuard)内容管理系统(第三方软件)网站编辑部IDCSSLFTP图表STYLEREF1\s3SEQ图表\*ARABIC\s13托管主机-本地发布效劳器部署这种情形下，需要改变Web效劳器及其网络的对外防火墙设置，翻开iGuard发布所需的端口〔默认为38888〕；同时为平安起见，强烈建议关闭Web效劳器上原来的发布端口〔例如FTP端口〕。IDC部署发布效劳器在IDC处新增加一台托管机器，其上部署iGuard发布效劳器。网页的更新不再通过Web效劳器进行，而是向这台发布效劳器上进行。Web效劳器Web效劳器(iGuard)发布效劳器(iGuard)内容管理系统(第三方软件)网站编辑部IDCSSLFTP图表STYLEREF1\s3SEQ图表\*ARABIC\s13托管主机-本地发布效劳器部署这种情形下，不需要改变发布效劳器所在网络的对外防火墙设置〔亦即可以沿用原有端口和发布方式〕，但如果这台发布效劳器和Web效劳器之间存在防火墙，那么需确保发布端口〔默认为38888〕是翻开的；同时为平安起见，强烈建议关闭Web效劳器上原来的发布端口〔例如FTP端口〕。平安提示：这种情形下，信息发布用户通过公网访问发布效劳器，<第4章：HYPERLINK发布效劳器平安>描述了如何在这种情况下保证发布效劳器的平安。本机Web内容管理系统如果使用的是基于本机Web方式的内容管理系统〔即直接访问Web效劳器的相关页面来发布网页〕，请先参考3.1节<HYPERLINK本机Web内容管理系统>按功能拆分出单独负责的发布功能的效劳器〔即图示3-2中的Web效劳器A/iGuard发布效劳器〕，然后再选择前述的2种方式部署这台效劳器。

同机部署在特殊情形下，iGuard的所有部件可以仅部署在一台机器即Web效劳器上。Web效劳器Web效劳器iGuard同步效劳器及防篡改模块iGuard发布效劳器Web效劳器软件信息发布信息浏览+图表STYLEREF1\s3SEQ图表\*ARABIC\s14同机部署这种部署时，在Web效劳器上有两个目录：一个是接收网页发布的目录A，另一个是提供Web效劳的目录B。网站编辑或者内容管理系统将作好的网页放到目录A下，由iGuard发布效劳器软件自动将它发布到目录B下。在平安考虑上，由于Web效劳所在的网页目录更容易受到攻击，因此这种部署能够在一定程度上防止对网页的直接篡改。但是，由于原始网页也在同一台机器上〔虽然在不同目录下〕，手段高明的黑客有可能找到这个目录并加以篡改，因此这种单机部署并不能完全发挥iGuard的防护作用，一般情况下不建议这样部署。无内容管理系统一些简单的网站可能没有使用任何内容管理系统，而仅仅使用诸如Dreamweaver制作和管理网站甚至直接编辑html文件。这种情形下，iGuard也完全适用，网页制作人员无须改变原来的工作方式，仅仅只是由原来直接修改Web效劳器上的文件，改为修改发布效劳器上的文件。发布效劳器平安问题的提出就管理上而言，网站的内容发布方式有两种：集中式和分布式。集中式的发布方式：有一个统一的内容制作部门〔例如：门户网站编辑部〕，网站所有内容由这个部门制作。分布式的发布方式：网站管理部门仅负责网站的架构和局部内容的制作发布，其余大局部内容由下属的各个部门独立制作，并通过互联网远程发布〔例如：基层政府网站下的各委办局〕。我们知道，部署iGuard需要有一个发布效劳器。在集中式发布方式里，发布效劳器只能是由内容制作部门内部人员访问，因此可以〔也应该〕放在内网中，仅使用一个防火墙就能够保证其非常平安；而在分布式的发布方式里，由于需要接受发布人员的远程访问，因此发布效劳器在一定程度上必须对外网开放。那么在分布式的发布方式下，发布效劳器的平安状况如何呢？Web效劳器(iGuard)发布效劳器(iGuard)SSL？……图表STYLEREF1\s4SEQ图表\*ARABIC\s11发布效劳器的Web效劳器(iGuard)发布效劳器(iGuard)SSL？……根本考虑发布效劳器的特性事实上，发布效劳器有着与Web效劳器有着几个不同的效劳特性：非知名地址。Web效劳器必须有个固定的域名以便网民访问，而发布效劳器可以使用任意特定或可变的IP地址。非知名端口。Web效劳器为提供Web效劳，必须使用的端口，而发布效劳器可以使用任意特定的端口。非匿名访问。Web效劳器为所有访问者提供效劳，且访问者都是匿名的，而发布效劳器仅对有限的人群开放。非通用协议。Web效劳器使用标准的协议，这个协议是公开的，而发布效劳器可以使用任意特别的传输协议。非通用系统。Web效劳器使用的Web效劳器软件通常只有几种，而发布效劳器可以使用任意的实现传输功能的软件。因此，即使同样放置在公网上，发布效劳器因为它的效劳特性而远比Web效劳器平安，不容易受到攻击。此外，基于这些特性，可以实现更强的平安手段，从而保证整个系统的平安。两种解决方案由是否采用额外设备可以区分出两种解决方案：采用VPN和仅作系统加固。如果选择增加VPN设备，发布效劳器就可以放置于内网中，用户通过VPN访问内网中的发布效劳器。当然，在出口处需要安装VPN网关，而用户桌面需要安装VPN客户端。这种方式的优点是直接获得了VPN的高平安性，缺点是需要额外的VPN投入和部署。VPN是一个成熟的技术，在市面上也有很多产品，本文不另介绍。以下所介绍的将发布效劳器放置在DMZ区里，如何利用操作系统本身的加固〔仅Windows〕和针对发布功能所作的特别软件加固来提高发布效劳器平安。Windows操作系统加固措施概述用户远程向iGuard发布效劳器发布网页有两种方式：通过FTP上传和通过Web方式发布。不管采用哪种方式，对Windows效劳器的一些常规的平安加固措施是一样的，以下就介绍它们。至于与发布方式相关的平安加固措施将在下一节介绍。第1步：修补程序和更新第2步：效劳第3步：协议第4步：帐号第5步：文件和目录第6步：共享第7步：端口第8步：注册表第9步：审核和日志修补程序和更新用最新的效劳包和修补程序更新效劳器。必须更新和修补所有Web效劳器组件，包括Windows、.NETFramework和Microsoft数据访问组件(MDAC)。检测和安装必需的修补程序和更新。更新.NETFramework。效劳对客户端不进行身份验证的效劳、使用不平安协议的效劳，或者以过多特权运行的效劳都存在风险。如果您不需要它们，就不要运行它们。通过禁用不必要的效劳，能够快速和容易地减小受攻击面。还减少了维护方面的开销〔修补程序、效劳帐号，等等。〕如果您运行了一个效劳，应该确保它是平安的和并且可维护。为此，可以使用最低特权帐号运行效劳，通过应用修补程序使效劳保持最新。禁用不必要的效劳。禁用FTP、SMTP和NNTP。禁用ASP.NET状态效劳。协议通过防止使用不必要的协议，可以减少受攻击的可能。禁用或者保护WebDav。加固TCP/IP堆栈。禁用NetBIOS和SMB。帐号您应该删除不使用的帐号，因为攻击者可能发现并使用它们。要求使用强密码。脆弱的密码将增加成功的蛮力或者字典攻击的可能性。使用最低特权。攻击者能够使用具有过多特权的帐号获取对未授权资源的访问。删除或者禁用未用的帐号。禁用Guest帐号。重命名管理员帐号。禁用IUSR帐号。创立自定义匿名Web帐号。强制巩固的密码策略。限制远程登录。禁用空会话〔匿名登录〕。更加严格的帐号管理措施：帐号委托需要许可。不使用共享帐号。限制本地管理员组的成员资格。要求管理员交互式地登录。文件和目录在用NTFS文件系统格式化的分区上安装系统，可以使用NTFS权限对访问权限进行限制。使用较巩固的访问控制保护敏感的文件和目录。在大多数情况下，允许访问特定帐号的方法比拒绝访问特定帐号的方法要更加有效。尽可能在目录级设置访问。当文件添加到文件夹中时，它们将从文件夹继承权限，因此您无需采取进一步的操作。限制Everyone组。限制匿名Web帐号。保护或者删除工具、实用工具和SDK。删除例如文件。共享删除任何未用的共享，并加固任何必要共享的NTFS权限。默认情况下，所有用户都对新建文件共享拥有完全控制。加固这些默认的权限，以确保只有授权用户能够访问共享所公开的文件。除了显式共享权限之外，对共享公开的文件和文件夹使用NTFSACL。删除不必要的共享。限制对必需共享的访问。端口运行在效劳器上的效劳使用特定的端口，这样它们能够为传入的请求提供效劳。应该关闭所有不必要的端口，并执行定期的审核，以检测处于侦听状态的新端口，这样能够发现未授权的访问和平安漏洞。将面对Internet的端口限制为发布实际需求的端口。加密或者限制intranet流量。注册表注册表是许多关键效劳器配置设置的储存库。因此，您必须确保只有得到授权的管理员能够访问它。如果攻击者也能够编辑注册表，那么他或者她就能够重新配置效劳器并且危及效劳器的平安。限制对注册表的远程管理。保护SAM〔仅对独立效劳器〕。审核和日志审核并不能防止系统攻击，虽然它对于标识入侵者和进行中的攻击能够提供非常重要的帮助，而且能够辅助您诊断攻击足迹。在您的效劳器上启用最小级的审核，并使用NTFS权限保护日志文件，使攻击者无法通过以任何方式删除或者更新日志文件来掩藏其踪迹。日志记录所有失败的登录企图。日志记录所有文件系统中的失败操作。重新定位和保护Web效劳器日志文件。存档日志文件供离线分析。审核对Metabase.bin文件的访问。发布相关的平安加固措施额外措施由于发布效劳器仅对少数人开放使用，针对这一特点采用一些额外的措施能够到达非常好的效果：改变默认端口号。如将FTP/SFTP、/S效劳的监听端口号改为一个随机5位的端口号，这将会使入侵黑客找不到门。使用端口映射。在网关上采用端口映射的方式迷惑黑客的攻击对象，例如诱使黑客去攻击一个路由器。限制访问者IP。对于发布用户位置相对固定的系统〔例如：政府网站内容制作人员的发布都是在同城的工作单位里进行〕，可以通过设置允许的IP地址或范围列表来缩小发布效劳器的访问许可。之所以能采取以上措施是因为发布效劳器的访问需求是非公开的〔因此可以采用非默认的端口〕和非公众的〔因此可以限制IP地址〕，它和Web效劳器公开和公众的特性完全不同，因此它的平安性也容易得到加固和加强。FTP发布方式我们建议，发布网页时不使用FTP传输协议，而改为使用SFTP协议。SFTP是一种标准的基于SSL的平安文件传输协议，因此完全具有SSL协议的平安特性，即保证了传输过程中的防篡改和防偷窃。这样，虽然公网可以访问效劳器，但由于仅开放了SFTP端口〔特别是不开放80端口和Web效劳〕，攻击成功的可能性几乎没有。另外，为加强对发布者的身份认证，可选使用数字证书进行身份认证，SFTP协议支持数字证书。效劳器：需要在发布效劳器上安装SFTP效劳器软件，一个较好的免费SFTP效劳器软件如下：

:///projects/filezilla/用户端：目前常用FTP客户端软件〔如CuteFTP〕都支持SFTP功能，因此仅需对软件作适当配置，无须改变工作习惯。Web发布方式我们建议，发布网页时不使用传输协议，而改为使用S协议。S是一种标准的基于SSL的传输协议。目前所有的Web效劳器软件〔IIS、Apache、J2EE〕和Web浏览器〔IE、Firefox〕都支持S协议，仅需配置即可使用。另外，针对使用IIS作为发布效劳的系统，还有建议采取以下加固措施：站点和虚拟目录将Web根目录和虚拟目录重新放置到一个非系统分区，以防范目录遍历攻击。这些攻击允许攻击者执行操作系统程序和实用工具。跨驱动器遍历是不可能的。将Web站点移动到非系统卷。禁用父路径设置。删除潜在危险的虚拟目录。删除或者保护RDS。设置Web权限。删除或者保护FrontPage效劳器扩展。脚本映射脚本映射将一个特定的文件扩展名〔例如.asp〕与处理它的ISAPI扩展〔例如Asp.dll〕关联起来。攻击者能够利用扩展中的漏洞或者下载效劳器端资源。将不使用的IIS文件扩展名映射到404.dll。将不使用的.NETFramework文件扩展名映射到System.Web.ForbiddenHandler。ISAPI筛选器ISAPI筛选器中的漏洞将导致显著的IIS利用。删除未使用的ISAPI筛选器。IIS元数据库平安和其他IIS配置设置在IIS元数据库文件中维护。加固IIS元数据库〔和备份元数据库文件〕上的NTFS权限，以确保攻击者无法以任何方式修改IIS配置〔例如，要禁用一个特殊虚拟目录的身份验证〕。使用NTFS权限限制对元数据库的访问。限制IIS返回旗标信息。效劳器证书如果您的Web应用程序支持端口443上的S(SSL)，那么您必须安装效劳器证书。当客户端建立平安S会话时，这是会话协商过程必需的一局部。有效的证书能够提供平安的身份验证，从而使客户端能够信任与之通信的效劳器，并保护通信，使敏感的数据保持机密性，以防止在网络上被篡改。验证效劳器证书。网站需提供的设备和准备工作内容管理系统确定内容管理系统的上传文件方式〔协议〕；确定知道如何修改网页发布的目标效劳器地址。发布效劳器需要一台独立的PC机作为发布效劳器，其软硬件需求如下：CPU：IntelPIII或以上；内存：256M或以上；硬盘：至少为整个Web网站容量+5G；操作系统：Windows2000ServerSP4或LinuxKernel2.4以上；网络：与内容系统和Web效劳器能够建立连接。Web效劳器确定Web效劳器的操作系统及版本；确定Web效劳器软件及版本；获取Web效劳器软件配置；Web效劳器前如有防火墙，请翻开38888端口〔也可设置iGuard使用其他端口〕。工程准备单请填写本文档附带的表格?iGuard工程准备清单?。iGuard工程准备单总体情况1．使用单位全称：。〔软件将注册给此用户，请正确填写〕2．主网站URL：。3．我准备部署：台发布效劳器，台Web效劳器。内容管理系统1．我的内容管理系统使用以下协议来发布网页：□FTP □NFS □RCP □Windows文件共享/Samba□CVS □SFTP □本地发布 □全脚本2．我的内容管理系统通过什么网络连接Web效劳器：□本地发布 □通过内网连接 □通过公网连接3．我知道如何修改内容管理系统的目标效劳器地址：□知道 □不知道

iGuard发布效劳器1．我已经准备了所需数量的发布效劳器：□发布效劳器1 □已安装Windows_______ □已安装Linux_______□发布效劳器2 □已安装Windows_______ □已安装Linux_______□发布效劳器3 □已安装Windows_______ □已安装Linux_______2．我的发布效劳器准备连接以下Web效劳器：□发布效劳器1－Web效劳器〔编号〕□发布效劳器2－Web效劳器〔编号〕□发布效劳器3－Web效劳器〔编号〕3．发布效劳器的联网状况：□已经能与内容管理系统连网 □已经能与Web效劳器连网

Web效劳器〔编号1〕1．此Web效劳器操作系统是：Windows□2000□2003 □2003R2Linux□Redhat 版本_________ □红旗版本_________□Debian 版本_________ □其他FreeBSD□FreeBSD6.___ □FreeBSD7.___Solaris□So