5.双引擎防护
单独的事件触发机制是无法对网页篡改做到完全防护的,但是,它是一种有益的补充检测方式。对于常规黑客攻击手段,事件触发机制能够及时检测到这种攻击并发出警告。
iGuard网页防篡改系统使用了增强型事件触发机制,截获所有写文件调用,对于其中的非法写行为实施了实时阻断,让常规黑客的篡改行为即时落空,同时发出报警。比起一般的“检测-恢复”方式的事件触发机制,它对于网站保护的有效性有了更大的提高。
三、平台支持
iGuard网页防篡改系统支持所有主流的操作系统、常用的Web服务器软件:
产品型号
基本型号
iGuard网页防篡改系统(版本3.0)基本产品分为Lite版、标准版和标准动态版三个型号,它们的适用情形和特性如下:
型号名称 |
Lite版 |
标准版 |
标准动态版 |
适合需求 |
满足常规安全需求,突出的性价比 不增加额外的硬件,简化产品部署 |
对安全的可靠性和有效性有较高要求 需要额外的一台PC服务器作为发布服务器 |
静态页面为主 |
静态页面为主 |
动态页面为主 |
防篡改引擎位置 |
操作系统 |
操作系统和Web服务器软件 |
防篡改技术 |
文件驱动级防护技术 |
|
数字水印技术 |
|
|
请求检测技术 |
Web服务器 操作系统 |
Windows/Linux |
Windows/Linux/Unix |
包含功能模块 |
增强型事件触发式检测模块 |
|
篡改检测模块、自动发布模块、同步服务模块 |
|
|
应用防护模块 |
企业发布模块
在高更新率和高可靠性要求的网站中,可以增加企业发布模块以提高发布性能、提高发布可靠性及辅助进行发布管理和配置。
企业发布模块部署在发布服务器上,须在标准版或标准动态版基础上使用。下表列出了企业发布模块的名称和功能:
项目 |
功能 |
作用 |
多CPU支持 |
支持多处理器水印计算 |
提高发布速度15%-35% |
多线程发布 |
支持最多8线程发布 |
提高发布速度80%-200% |
Linux |
采用Linux发布系统 |
提高可靠性 |
双机 |
双机主备工作(无须第三方软件支持) |
冗余发布提供容错能力,避免单点失效 |
管理监控平台
在Web服务器集群上部署iGuard,可以增加管理监控平台以实现对分散部署的iGuard进行集中监控管理的需求。
管理监控平台采用B/S架构,为管理员进行远程操控提供了便捷高效的工具。通常部署在iGuard发布服务器上,须在标准版或标准动态版基础上使用。 管理监控平台的详细功能如下:
类别 |
功能 |
作用 |
运行状态监控 |
监控自动发布和恢复功能的运行状态。 |
确保自动发布和恢复功能的稳定可靠运行。 |
配置管理 |
可修改发布的同步规则。 |
为管理员提供直观和便捷的配置工具。 |
可查看、更新许可证信息。 |
控制自动发布程序的运行。 |
日志管理 |
查询报警日志、传输日志、系统日志。 |
为管理员远程进提供方便的日志查看和分析工具。 |
提供报警日志、传输日志和系统日志的各种统计报表。 |
产品部署
iGuard网页防篡改系统支持以下部署形式:
一、标准部署
部署iGuard至少需要两台服务器:
1.Web服务器:
用户网站原有的机器,位于公网/DMZ中,本身处在不安全的环境中,其上部署iGuard的Web服务器端软件。一方面,它负责与iGuard发布服务器通信,将发布服务器上的所有网页文件变更同步到Web服务器本地;另一方面,它操作系统的驱动程序和作为Web服务器软件的一个插件,使用多种方式保护网页和数据。
2.发布服务器:
部署iGuard时新增添的机器,原则需要一台独立的服务器,位于内网中,本身处在相对安全的环境中,其上部署iGuard的发布服务器软件。所有网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行。
部署示意图如下所示:
二、复杂部署
更复杂的部署情形包括:
- * 多虚拟主机/Web服务器部署;
- * 本地内容管理系统;
- * Web服务器托管;
- * 同机部署。这些情形下的iGuard网页防篡改系统的部署见《iGuard网页防篡改系统部署指南》(W-008-0203-D)。
三、集群和冗余部署
Web站点运行的稳定性是最关键的。iGuard网页防篡改系统支持所有部件的多机工作和热备:可以有多台安装了iGuard防篡改模块和同步服务软件的Web服务器,也可以有两台安装了iGuard发布服务软件的发布服务器,如下图所示。它实现了2Xn的同步机制(2为发布服务器,n为Web服务器),当2或n的单点失效完全不影响系统的正常运行,且在修复后自动工作。