5.雙引擎防護
單獨的事件觸發機制是無法對網頁篡改做到完全防護的,但是,它是一種有益的補充檢測方式。對于常規黑客攻擊手段,事件觸發機制能夠及時檢測到這種攻擊并發出警告。
iGuard網頁防篡改系統使用了增強型事件觸發機制,截獲所有寫文件調用,對于其中的非法寫行為實施了實時阻斷,讓常規黑客的篡改行為即時落空,同時發出報警。比起一般的“檢測-恢復”方式的事件觸發機制,它對于網站保護的有效性有了更大的提高。
三、平臺支持
iGuard網頁防篡改系統支持所有主流的操作系統、常用的Web服務器軟件:
產品型號
基本型號
iGuard網頁防篡改系統(版本3.0)基本產品分為Lite版、標準版和標準動態版三個型號,它們的適用情形和特性如下:
| 型號名稱 |
Lite版 |
標準版 |
標準動態版 |
| 適合需求 |
滿足常規安全需求,突出的性價比
不增加額外的硬件,簡化產品部署 |
對安全的可靠性和有效性有較高要求
需要額外的一臺PC服務器作為發布服務器 |
| 靜態頁面為主 |
靜態頁面為主 |
動態頁面為主 |
| 防篡改引擎位置 |
操作系統 |
操作系統和Web服務器軟件 |
| 防篡改技術 |
文件驅動級防護技術 |
|
數字水印技術 |
|
|
請求檢測技術 |
Web服務器
操作系統 |
Windows/Linux |
Windows/Linux/Unix |
| 包含功能模塊 |
增強型事件觸發式檢測模塊 |
|
篡改檢測模塊、自動發布模塊、同步服務模塊 |
|
|
應用防護模塊 |
企業發布模塊
在高更新率和高可靠性要求的網站中,可以增加企業發布模塊以提高發布性能、提高發布可靠性及輔助進行發布管理和配置。
企業發布模塊部署在發布服務器上,須在標準版或標準動態版基礎上使用。下表列出了企業發布模塊的名稱和功能:
| 項目 |
功能 |
作用 |
| 多CPU支持 |
支持多處理器水印計算 |
提高發布速度15%-35% |
| 多線程發布 |
支持最多8線程發布 |
提高發布速度80%-200% |
| Linux |
采用Linux發布系統 |
提高可靠性 |
| 雙機 |
雙機主備工作(無須第三方軟件支持) |
冗余發布提供容錯能力,避免單點失效 |
管理監控平臺
在Web服務器集群上部署iGuard,可以增加管理監控平臺以實現對分散部署的iGuard進行集中監控管理的需求。
管理監控平臺采用B/S架構,為管理員進行遠程操控提供了便捷高效的工具。通常部署在iGuard發布服務器上,須在標準版或標準動態版基礎上使用。 管理監控平臺的詳細功能如下:
| 類別 |
功能 |
作用 |
| 運行狀態監控 |
監控自動發布和恢復功能的運行狀態。 |
確保自動發布和恢復功能的穩定可靠運行。 |
| 配置管理 |
可修改發布的同步規則。 |
為管理員提供直觀和便捷的配置工具。 |
| 可查看、更新許可證信息。 |
| 控制自動發布程序的運行。 |
| 日志管理 |
查詢報警日志、傳輸日志、系統日志。 |
為管理員遠程進提供方便的日志查看和分析工具。 |
| 提供報警日志、傳輸日志和系統日志的各種統計報表。 |
產品部署
iGuard網頁防篡改系統支持以下部署形式:
一、標準部署
部署iGuard至少需要兩臺服務器:
1.Web服務器:
用戶網站原有的機器,位于公網/DMZ中,本身處在不安全的環境中,其上部署iGuard的Web服務器端軟件。一方面,它負責與iGuard發布服務器通信,將發布服務器上的所有網頁文件變更同步到Web服務器本地;另一方面,它操作系統的驅動程序和作為Web服務器軟件的一個插件,使用多種方式保護網頁和數據。
2.發布服務器:
部署iGuard時新增添的機器,原則需要一臺獨立的服務器,位于內網中,本身處在相對安全的環境中,其上部署iGuard的發布服務器軟件。所有網頁的合法變更(包括增加、修改、刪除、重命名)都在發布服務器上進行。
部署示意圖如下所示:
二、復雜部署
更復雜的部署情形包括:
- * 多虛擬主機/Web服務器部署;
- * 本地內容管理系統;
- * Web服務器托管;
- * 同機部署。這些情形下的iGuard網頁防篡改系統的部署見《iGuard網頁防篡改系統部署指南》(W-008-0203-D)。
三、集群和冗余部署
Web站點運行的穩定性是最關鍵的。iGuard網頁防篡改系統支持所有部件的多機工作和熱備:可以有多臺安裝了iGuard防篡改模塊和同步服務軟件的Web服務器,也可以有兩臺安裝了iGuard發布服務軟件的發布服務器,如下圖所示。它實現了2Xn的同步機制(2為發布服務器,n為Web服務器),當2或n的單點失效完全不影響系統的正常運行,且在修復后自動工作。
