售前咨询:0513-51005988 | 售后服务:400-0513-878
  • 点击这里给我发消息
 
深信服科技
威盾
盈高准入管理
天存
iGuard网页防篡改系统
iWall应用防火墙
iAudit Web应用侵入审计系统
守内安
 
当前位置:首页 > 天存 > iGuard网页防篡改系统

产品简介

一、产品概述

iGuard网页防篡改系统采用先进的Web服务器核心内嵌机制,将篡改检测模块(数字水印技术)和应用防护模块(请求检测攻击)内嵌于Web服务器内部,并辅助以增强型事件触发检测技术,不仅实现了对静态网页和脚本的实时检测和恢复,更可以保护数据库中的动态内容免受来自于Web的攻击和篡改,彻底解决网页防篡改问题。

二、工作原理

从逻辑上,iGuard网页防篡改系统由页面保护子系统、自动发布子系统和监控管理子系统组成。

1.页面保护子系统

系统的核心,内嵌在Web服务器软件里(即前述的核心内嵌模块),包含应用防护模块和篡改检测模块:

  • A.应用防护模块对每个用户的请求进行安全性检查:如果正常则发送给Web服务器软件;如果发现有攻击特征码,即刻中止此次请求并进行报警。
  • B.篡改检测模块对每个发送的网页进行即时的完整性检查:如果网页正常则对外发送;如果被篡改则阻断对外发送,并依照一定策略进行报警和恢复。
  • C.对于Windows系统和Linux系统,页面保护子系统还包括一个增强型事件触发式检测模块,该模块驻留于操作系统内核,阻止大部分常规篡改手段。

2.自动发布子系统

负责页面的自动发布,由发送端和接收端组成:

  • A.发送端位于发布服务器上,称之为自动发布程序,它监测到文件系统变化即进行计算该文件水印,并进行SSL发送;
  • B.接收端位于Web服务器上,称之为同步服务器,它接收到网页和水印后,将网页存放在文件系统中,将水印存放在安全数据库里。
  • C.所有合法网页的增加、修改和删除都通过自动发布子系统进行。

3.监控管理子系统

负责篡改后自动恢复,也提供系统管理员的使用界面。其功能包括:手工上传、查看警告、检测系统运行情况、修改配置、查看和处理日志等。

4.工作过程

5.双引擎防护

单独的事件触发机制是无法对网页篡改做到完全防护的,但是,它是一种有益的补充检测方式。对于常规黑客攻击手段,事件触发机制能够及时检测到这种攻击并发出警告。

iGuard网页防篡改系统使用了增强型事件触发机制,截获所有写文件调用,对于其中的非法写行为实施了实时阻断,让常规黑客的篡改行为即时落空,同时发出报警。比起一般的“检测-恢复”方式的事件触发机制,它对于网站保护的有效性有了更大的提高。

三、平台支持

iGuard网页防篡改系统支持所有主流的操作系统、常用的Web服务器软件:

产品型号

基本型号

iGuard网页防篡改系统(版本3.0)基本产品分为Lite版、标准版和标准动态版三个型号,它们的适用情形和特性如下:

型号名称 Lite版 标准版 标准动态版
适合需求 满足常规安全需求,突出的性价比
不增加额外的硬件,简化产品部署
对安全的可靠性和有效性有较高要求
需要额外的一台PC服务器作为发布服务器
静态页面为主 静态页面为主 动态页面为主
防篡改引擎位置 操作系统 操作系统和Web服务器软件
防篡改技术 文件驱动级防护技术
数字水印技术
请求检测技术
Web服务器
操作系统
Windows/Linux Windows/Linux/Unix
包含功能模块 增强型事件触发式检测模块
篡改检测模块、自动发布模块、同步服务模块
应用防护模块

企业发布模块

在高更新率和高可靠性要求的网站中,可以增加企业发布模块以提高发布性能、提高发布可靠性及辅助进行发布管理和配置。

企业发布模块部署在发布服务器上,须在标准版或标准动态版基础上使用。下表列出了企业发布模块的名称和功能:

项目 功能 作用
多CPU支持 支持多处理器水印计算 提高发布速度15%-35%
多线程发布 支持最多8线程发布 提高发布速度80%-200%
Linux 采用Linux发布系统 提高可靠性
双机 双机主备工作(无须第三方软件支持) 冗余发布提供容错能力,避免单点失效

管理监控平台

在Web服务器集群上部署iGuard,可以增加管理监控平台以实现对分散部署的iGuard进行集中监控管理的需求。

管理监控平台采用B/S架构,为管理员进行远程操控提供了便捷高效的工具。通常部署在iGuard发布服务器上,须在标准版或标准动态版基础上使用。 管理监控平台的详细功能如下:

类别 功能 作用
运行状态监控 监控自动发布和恢复功能的运行状态。 确保自动发布和恢复功能的稳定可靠运行。
配置管理 可修改发布的同步规则。 为管理员提供直观和便捷的配置工具。
可查看、更新许可证信息。
控制自动发布程序的运行。
日志管理 查询报警日志、传输日志、系统日志。 为管理员远程进提供方便的日志查看和分析工具。
提供报警日志、传输日志和系统日志的各种统计报表。

产品部署

iGuard网页防篡改系统支持以下部署形式:

一、标准部署

部署iGuard至少需要两台服务器:

1.Web服务器:

用户网站原有的机器,位于公网/DMZ中,本身处在不安全的环境中,其上部署iGuard的Web服务器端软件。一方面,它负责与iGuard发布服务器通信,将发布服务器上的所有网页文件变更同步到Web服务器本地;另一方面,它操作系统的驱动程序和作为Web服务器软件的一个插件,使用多种方式保护网页和数据。

2.发布服务器:

部署iGuard时新增添的机器,原则需要一台独立的服务器,位于内网中,本身处在相对安全的环境中,其上部署iGuard的发布服务器软件。所有网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行。

部署示意图如下所示:

二、复杂部署

    更复杂的部署情形包括:
  • * 多虚拟主机/Web服务器部署;
  • * 本地内容管理系统;
  • * Web服务器托管;
  • * 同机部署。这些情形下的iGuard网页防篡改系统的部署见《iGuard网页防篡改系统部署指南》(W-008-0203-D)。

三、集群和冗余部署

Web站点运行的稳定性是最关键的。iGuard网页防篡改系统支持所有部件的多机工作和热备:可以有多台安装了iGuard防篡改模块和同步服务软件的Web服务器,也可以有两台安装了iGuard发布服务软件的发布服务器,如下图所示。它实现了2Xn的同步机制(2为发布服务器,n为Web服务器),当2或n的单点失效完全不影响系统的正常运行,且在修复后自动工作。


 
  联系我们 | 服务支持  南通易通网络科技有限公司版权所有 |苏ICP备05007700号-1