SANGFOR_AF_网页篡改防护解决方案V1..docx

不&SANGFOR深信服科技修业料技深信服网页篡改防护解决方案深信服科技有限公旬20XX年XX月XX日书目深信服网页篡改防护解决方案-1-1 应用背景-3-2 需求分析-3-3 深信服网页篡改防护解决方案-4-3.1 方案概述-4-3.2 解决方案-5-网关型的网页防篡改，对服务器零消耗、零影响-5-深度内容检测技术，可解析网站交互流量中隐藏的威逼.-5-典型的Web攻击防护，防止OWaSP十大Web平安威逼.-6-基于应用的漏洞防卫，有效防止服务器漏洞利用攻击-6-多种匹配方式，敏捷适合动静态网页篡改防护-6-网站防护深度自定义，适应各行业网站特点-7-丰富的篡改类型识别，可防护黑客的随意篡改形式-7-独立的网站更新通道，实现平安管理与业务更新两权分立-8-网站更新通道短信认证，提升网站更新通道的平安性-8-多种方式的篡改快照，可清楚界定网页内容合法性-8-多种篡改应急处理机制，确保用户访问网站连续性-8-快速刚好的报警方式，便于应急响应并刚好修复-9-4关于深信服-9-1应用背景近年来，网站平安事务数量不断攀升，网站成为了主要目标，国家互联网应急中心(CNCERT/CC)2023年我国互联网网络平安态势综述显示“网站平安类事务占到61.7%；境内被篡改网站数量为36612个，较2023年增加5.1%；4月-12月被植入网站后门的境内网站为12513个。CNVD接受的漏洞中，涉及网站相关的漏洞占22.7%,较2023年大幅上升，排名由第三位上升至其次位。而网站平安问题进一步引发网站用户信息和数据的平安问题。2023年底，CSDN天际等网站发生用户泄露事务引起社会广泛关注，被公开的疑似泄露数据库26个，涉及账号、密码信息2.78亿条，严峻威逼互联网用户的合法权益和互联网平安J2需求分析网站是网络中被访问最多的一种服务，也是最简洁遭遇攻击的。网站干脆代表着政府、企业的形象，一旦页面被篡改，将导致企业、政府形象和无形资产的巨大损失。这种攻击方式和攻击后果屡见不鲜。依据Gartner的调查，信息平安攻击有75%都是发生在Web应用层，2/3的Web站点都相当脆弱，易受攻击。而针对Web的攻击往往隐藏在大量的正常访问业务行为中，导致传统防火墙、入侵防卫系统无法发觉和阻挡这些攻击。即使部署了层层的应用平安防护设备，网页还是被篡改了！这是因为平安防护并不能百分之百的确保全部攻击都被拦截，因为也不能确保网页不被篡改。聪慧的黑客甚至会利用最新的“0”day漏洞获得服务器权限，篡改网页。基于此类现象和问题，依据各行业对网站及发布业务平安性的要求，对于网站的平安防护主要须要解决的问题和具备的防篡改措施如下：1、具备防护篡改网站各类攻击的完整平安防卫体系。包括针对Web应用程序的web攻击；针对承载网站应用的发布服务器漏洞攻击、数据库应用的漏洞利用攻击等；针对网站服务器群的系统漏洞利用攻击等攻击手段。防止网页篡改须要具备从网络到系统再到应用层面的各类平安威逼的防护实力；2、具备事后验证网页内容发布合法性的检查。一切发布于互联网或者内网用户的网页内容须要经过篡改与否的合规性检验，防止绕过防卫体系潜入网站篡改网页的风险和管理员账号被窃取后正常发布的非法内容发布；3、具备网站更新人员的强认证通道，也便于网站更新业务的正常运转。由于网站更新人员和平安设备管理人员通常不会是同一个部门，为了便利网站更新业务的正常运转，须要给网站内容维护人员一个特地的通道用于界定更新网站内容、界定网站内容是否为篡改行为。同时为了增加该通道的平安性，须要增加强认证机制，比如短信认证、2次认证等手段以保证网站更新人员的合法性。4、具备篡改后应急处理机制。网页被篡改后，须要有良好的善后保障措施和业务承接实力。以便于网站用户访问网站的连续性。因此网页篡改防护须要能够供应动态防护L2-L7层的攻击，被攻击了也有篡改判定机制做到事后补偿的爱护手段，确保网页不被篡改；同时须要具备篡改后应急响应的机制，即使网页内容被篡改了也不会发布与众。3深信服网页篡改防护解决方案3.1 方案概述深信服网页防篡改解决方案是网站的守护者，针对网站供应双重的防卫体系。深信服网页防篡改解决方案供应针对L2-L7层网站攻击的完整平安防卫实力。其攻击防护部分功能解决方案解决了传统防火墙不能防护应用层平安威逼的问题，弥补了IPS入侵防护系统无法防护Web攻击的弱点，弥补了基于Web应用的WAF无法防止底层漏洞攻击的缺陷，为用户供应完整的网站应用层平安防护方案；此外深信服网页防篡改解决方案供应的一种事后补偿防护手段，即使黑客绕过平安防卫体系修改了网站内容，其修改的内容也不会发布到最终用户处，从而避开因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题，爱护网站的完整性。3.2 解决方案3.2.1 网关型的网页防篡改，对服务器零消耗、零影响深信服网页防篡改解决方案无需在服务器上装任何插件，对服务器性能无任何损耗，对服务器本身的生产环境无需做任何修改，是通过集成在设备中的防篡改技术的完整解决方案。可适用于各种困难的网站建设场景，可通过路由、网桥部署于网络中，不变更网络及网站服务器的原有环境，对于网站己经建设完成须要增加平安防卫实力以及防篡改实力的网站尤为适合，针对安装于服务器上的防篡改软件或须要在服务器上平安插件的防篡改系统，具有很明显的优势。深信服防篡改解决方案只须要管理员预先在限制台设置好须要防护的网站，设置后，系统会向该网站恳求页面并且缓存到设备。当用户访问网站的时候，数据经过防篡改系统，防篡改系统会依据预先缓存的页面与用户访问的页面进行比对，如有变动，则推断为篡改，跳转到指定页面并且通知管理员。深信服防篡改系统的样本采样模块会将首次获得到的防护页面作为基准页面，通过肯定时间反复或者通过手动更新轮询方式更新采集网站的样本，再次之后获得的页面为轮询页面。采样得到的基准页面与轮询页面将通过模块中的检测算法进行轮询的检测与匹配。若经过算法计算的基准页面与轮询页面出现不一样时，则判定网页存在篡改的风险，通过提交管理员审核的方式判定更新内容是合法更新还是非法篡改。322深度内容检测技术，可解析网站交互流量中隐藏的威逼深信服防篡改解决方案具备深度的内容检测技术，通过该技术可以解析用户端到服务端完整的恳求，可解析在网站交互流量中隐藏的威逼并予以防卫。相对于纯软件的防篡改系统具有防攻击特性的优势，防止黑客入侵服务器获得服务器权限后，可随意将防篡改软件关闭，或者修改的风险。深度内容检测技术实现对/S协议的深化解析，精确识别出协议中的各种要素，如COOkie、Get参数、POSt表单等，并对这些数据进行快速的解析，以还原其原始通信的信息，依据这些解析后的原始信息，可以精确的检测其是否包含威逼内容。而传统的IPS基于DPl深度数据包解析技术，只能实现在网络层数据包层面进行重组还原及特征匹配，无法解析基于协议的内容分析，很难有效检测针对Web应用的攻击。而具备简洁Web攻击防护的IPS,仅仅是基于简洁的特征检测技术，存在大量的漏报误报的信息。SQL注入特征XSS攻击特征敏感信息特征深度内容检测作为web客户端与服务器恳求与响应的中间人，能够有效的避开web服务器干脆暴露在互联网之上，双向内容检测技术可检测过滤双向交互的数据流包括response报文，对恶意流量，以及服务器外发的有风险信息进行实时的清洗与过滤。3.2.3 典型的Web攻击防护，防止OWaSP十大web平安威逼该方案有效结合了web攻击的静态规则及基于黑客攻击过程的动态防卫机制，实现双向的内容检测，供应OWASP定义的十大平安威逼的攻击防护实力，有效防止常见的Web攻击。（如，SQL注入、XSS跨站脚本、CSRF跨站恳求伪造）从而爱护电子政务网站免受网站篡改、网页挂马、隐私侵扰、身份窃取、经济损失、名誉损失等问题。324基于应用的漏洞防卫，有效防止服务器漏洞利用攻击该方案漏洞防卫功能可有效防止利用Web服务器、数据库服务器、中间件服务器等网站服务器本身应用程序、操作系统、应用软件的漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击，使黑客获得更高的服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题。3.2.5 多种匹配方式，敏捷适合动静态网页篡改防护深信服网页篡改防护解决方案可能实现动态、静态网页的篡改检测，通过两种匹配方式对网页篡改进行检测与匹配。一般状况下纯静态网页，则选择精确匹配,全动态页面的网站选择模糊匹配-灵敏度低,静/动态网页都有的网站可选择模糊匹配灵敏度高或者模糊匹配-灵敏度中。方式一：精确匹配精确匹配模式适用于首页或者前几级更新内容较少、用户访问次数最多须要进行严格保障的页面。通过精确匹配的识别方式，网站框架、文字、图片等网站任何一个元素的变更均被判定为被非法篡改。方式二：模糊匹配模糊匹配适用于内容更新频发的动态更新的页面，网页中的文字会随着动态发布进行更新,而网站的整体框架不允许被篡改，否则被认定为是一种篡改事务。326网站防护深度自定义，适应各行业网站特点网站防护的深度可敏捷自定义，充分爱护关键页面同时提高网页防篡改检测的效率，保证用户访问的高效性。防护深度默认值为5。当设定起始URL后，设备会恳求该URL并且缓存该URL页面，假如该URL里有一个URL链接B,那么设备也会恳求链接B并且缓存B页面，依此类推，设备也会恳求链接B里面的链接并且接着缓存。防护深度范围为1-20。327丰富的篡改类型识别，可防护黑客的随意篡改形式深信服网页篡改防护解决方案可识别各种类型的篡改方式，覆盖黑客篡改网页的各种形式，达到严密防护的效果。其主要的几种篡改形式如下：1、替换整个网页可识别黑客对整个网页进行替换的篡改事务。2、插入新/黑链接若攻击者篡改页面插入其他网站链接打广告，则可以通过检测外链的功能进行检验。3、替换网站图片文件若攻击者更改了网页中某些图片内容，可依据图片的特征精确识别图片的更改与否，防止攻击者替换网页中的图片信息。4、小规模编辑网页（仅精确模式运用）在精确检测模式下，则可识别小规模的网页编辑，如小部分文字内容的修改实现严格的网页篡改防护要求。5、因网站运行出错导致结构畸变可实现网站更新、访问出错导致的网站结构发生畸变的篡改防护，保证网页不会因为出错使得网站结构与框架发生变更。3.2.8 独立的网站更新通道，实现平安管理与业务更新两权分立为了便利网站内容更新人员更新网站内容，防篡改系统为网站内容更新人员供应了单独维护的更新确认界面。该界面不同于系统管理界面，用于网站内容更新人员管理更新网站。实现业务更新人员与平安管理人员的维护的平安分别，实现两权分立。通过网站内容更新人员更新通道界面，可实现网站内容更新是否合法的判定，且能够实现通过该维护界面实现合法图片更新的还原。3.2.9 网站更新通道短信认证，提升网站更新通道的平安性为了增加该通道的平安性，深信服防篡改解决方案增加更新通道强认证机制。全部网站更新通道的授权须要经过短信进行二次认证，通过认证的人员才能正常的访问和更新网站的内容，从而增加了网站更新通道的平安性，确保网站内容发布真实、精确、合法。3.2.10 多种方式的篡改快照，可清楚界定网页内容合法性系统供应多种方式查看篡改快照，可帮助管理员快速清楚的界定网页内容篡改与否及其合法性。1、通过登录系统可以查看实时的篡改快照，系统会供应更改前以及更改后的界面快照，管理员对于篡改或更新信息一目了然，轻松界定网页合法性；2、通过网站内容更新通道亦可查看实时的篡改快照，通道界面会供应更改前以及更改后的界面快照，网站更新人员对于篡改或更新信息一目了然，轻松界定网页合法性；3、为了增加网页篡改快照的快速有效传递，系统还供应邮件、短信的方式发布快照内容，便利管理员确认网页内容的合法性。3.2.11 多种篡改应急处理机制，确保用户访问网站连续性为了提升用户访问网站的连续性，深信服网页篡改防护解决方窠供应网站篡改重定向的功能。当检测到篡改发生后，系统阻挡用户访问到被篡改的页面，同时能够供应两种重定向的方式，避开用户访问到被篡改的页面。一、指定网页检测到篡改事务时，可将用户的访问重定向引导到预先编辑的显示提示页面。该页面可由管理员预先设定，防止用户访问到被篡改的页面。二、web服务器用户可搭建一个备份服务器实现关键页面的实时备份。系统检测到篡改事务后，也可将用户的访问恳求重定向到备份的web服务器上，保证用户访问业务的永续性，防止用户访问到被篡改的页面。3.2.12 快速刚好的报警方式，便于应急响应并刚好修复系统检测到篡改发生后，可以通过邮件、短信的方式通知管理员。通过邮件进行实时的篡改界定，若属于正常更新则可通过连接防通更新内容；若更改属于篡改事务，则可通过连接防止篡改内容发布。4关于深信服深信服科技有限公司是中国规模最大、创新实力最强的前沿网络设备供应商，致力于通过供应品质卓越的Internet网络设备，帮助用户的业务向互联网胜利转型。深信服目前拥有IPSeCVPN、SSLVPN,上网行为管理、上网优化、应用交付、广域网加速、流量限制等多款产品，并在专业VPN、SSLVPN、内容平安和上网行为管理等领域排名市场第1位。截止2023年5月，已有超过16,000家用户成为深信服的合作伙伴，包括通用电气、壳牌石油、丰田汽车、中国移动等世界知名企业，以及中国人民银行、国资委、国土资源部、外交部等重要政府机构。目前，深信服公司人数达到1200人，在全球设有40个直属代表处，包括中国内地主要城市及英国、新加坡、马来西亚、泰国、香港等国家和地区。2023-2023年，深信服连续五届蝉联德勤“中国高科技高成长50强”及“亚太地区高科技高成长500强”，并被财宝杂志评为“中国卓越雇主”。深信服科技部分荣誉深信服科技（SANGFoR）不断为用户供应创新的解决方案，不仅得到了用户的认可和支持，也得到了媒体和国家有关部门的认可。2023、2023、2023、2023、2023连续五年入选德勤中国高科技、高成长50强。