一、概述互联网技术自发明以来已经走过了40多个年头，目前全球互联网用户总量已经达到20亿左右，相比之下，全球的总人口数则为70亿。

很显然，互联网在我们生活中占据了越来越重的地位，而网站则是互联网中的重中之重。

由于越来越多的用户加入，网站的社会影响力越来越大，随着这些Web应用及服务在功能和性能上不断的完善和提高，Web越来越多地承载了核心业务，如电子政务、电子商务、运营商的增值业务等。

然而在其安全性上，却没有得到足够的重视。

近年来，黑客强烈的表现欲望，国内外各种非法组织的不法企图，商业竞争对手的恶意攻击，不满情绪离职员工的泄愤等等各种原因都将导致网页被“变脸”。

网页篡改攻击事件具有以下特点：篡改网站页面传播速度快、阅读人群多，复制容易，事后消除影响难，预先检查和实时防范较难，网络环境复杂难以追查责任。

另外，攻击工具泛滥且向智能自动化趋势发展，据不完全统计，我国98%以上的站点都受到过不同程度的黑客攻击，攻击形式繁多，网站的安全防范日益成为大家关注的焦点，尤其是政府、金融类网站最易成为攻击目标。

针对这一情况，注重网页文件内容防护与用户动态交互的网站应用安全防护系统应运而生。

二、简介ieGuard网页防篡改安全系统采用先进的Web服务器核心内嵌技术，将篡改检测模块和应用防护模块内嵌于Web服务器系统内部，不仅实现了对静态网页和脚本的实时检测和恢复，更可以保护数据库中的动态内容免受来自于Web的攻击和篡改，彻底解决网页防篡改问题；并定时监控模块状态和Web服务器使用情况；以实现监控和防护一体化。

ieGuard网页防篡改安全系统目标是使网站安全最大化、维护便捷化、用户透明化和管理全面化。

2.1、技术原理ieGuard网页防篡改安全系统的篡改检测模块使用密码技术，为网页对象计算出唯一性的指纹。

公众每次访问网页时，都将网页内容与指纹进行对比；一旦发现网页被非法修改，即进行自动恢复，保证非法网页内容不被公众浏览。

并前置文件驱动过滤技术，在操作系统核心工作，直接对操作系统文件操作进行分析和判断，阻断保护文件或目录的写操作，达到被保护文件或目录不被建立、删除、移动、修改等。

同时，ieGuard的应用防护模块对用户输入的URL地址和提交的表单内容进行检查，任何对数据库的注入式攻击都能够被实时阻断。

ieGuard网页防篡改安全系统全面保护网站的静态网页和动态网页，其安全性从根本上大大优于同类产品。

支持网页的自动发布、篡改检测、应用保护、警告和自动恢复，保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全，完全实时地杜绝篡改后的网页被访问的可能性，也杜绝任何使用Web方式对后台数据库的篡改。

2.2、平台支持ieGuard网页防篡改系统支持安装在不同操作系统，支持Windows系列、Linux 系列、Unix系列等各种不同发行版本的操作系统。

例如：Windows Server2003、Windowsserver2008、RedHatLinux、SuseLinux、IBM AIX、HP Unix、Solaris等操作系统。

ieGuard网页防篡改系统支持多种Web应用程序。

支持主流的Web应用，如IIS、WebLogic、WebSphere、Apache、Tomcat、Nginx等各种Web应用。

二、功能特点3.1、多重篡改防护采用核心内嵌技术和应用防护对网站起多层次防护；一体化的安全防护和监测，保证网站正常运行；支持多网站，多服务器防护；支持断线状态下阻止篡改；支持连续性篡改防护；可靠的实时网页篡改检测；内嵌式与定时扫描两种方式共存；自身进程保护保障模块安全；3.2、自身安全防护自身进程安全防护，防止非法停止；防止自身程序文件、配置文件、日志文件非法修改和删除；水印库被删除后自动回复功能；通过用户的鉴权，防止备份库中的文件被非法删除、修改和添加；3.3、可靠高效的文件增量同步支持多服务器、多站点，跨平台分布式部署，统一集中管理功能；支持大规模网站服务器的部署架构；支持管理端集群，且支持Web客户端和管理端一对多，多对多等各类灵活网站架构；支持自动重连失败重连任务断点续传3.4、多层次用户管理ieGuard网页防篡改安全系统可依照管理员、审计员、操作员等进行多级用户权限管理，不同用户权限明确，也可以自定义管理员权限，满足管理需要。

管理员：拥有系统全部权限；审计员：拥有对系统进行监控和日志审计操作的权限；操作员：拥有任务编辑、配置下发、策略下发、执行任务等权限；3.5、状态监控实时监控网页防篡改系统各个模块状态，如被停用，及时报警；实时监控服务器运行状态，并提供性能监控阀值报警，预知故障发生；由管理平台垂直统一监控；使用曲线精准展示服务器使用率，系统软硬件信息清晰3.6、多层次多方位多方式告警可自定义设置告警级别；支持日志、邮件和短信告警；可第三方管理平台告警发送；多形式的告警统计；篡改告警可依条件查询筛选，可生成图表便于查看主程序异常终止叫醒服务3.7、安全、便捷管理系统B/S结构，且用https方式，确保安全性；服务器之间数据传输采用SSL加密传输，安全可靠；系统全中文界面，操作、配置方便，运维人员短时间即可熟练完成系统配置，大大提高工作效率；手动锁定/解锁用户可设定锁定时间到期自动解锁可配置管理端访问的ip规则复杂的密码设置功能错误输入密码次数满后自动锁定该用户3.8、高性能文件同步性能平均文件大小：>=10k平均发布速度：>=5MB/s访问性能监控延迟：实时恢复延迟：<1s网站访问延迟：使用产品前后，网站访问延迟偏差<5% Web服务器负载Web服务器负载，同等访问量相关服务（中间件等）消耗增加量:内存：<=5%CPU：<=3%在Web服务器上部署的相关防篡改守护进程最大占用资源量:内存：<=50M CPU：<=3%四、组成从逻辑上，ieGuard由管理服务、监控服务、文件发布服务和安全防护模块组成，如图表-1所示：图表-1ieGuard系统部件示意图4.1、安全防护模块安全防护模块是系统的核心，内嵌在Web系统里，包含应用防护模块和篡改检测模块。

应用防护模块对每个用户的请求进行安全性检查：如果正常则发送给Web系统；如果发现有攻击特征码，即刻中止此次请求并进行报警。

篡改检测模块对每个发送的网页进行即时的完整性检查：如果网页正常则对外发送；如果被篡改则阻断对外发送，并依照一定策略进行报警和恢复。

4.2、文件发布服务文件发布服务负责页面的自动发布，由发布和同步端组成：发布端位于管理服务器上，称之为自动发布程序，它监测到文件系统变化即进行计算该文件指纹（文件唯一HASH值），并进行SSL发送；接收端位于Web服务器上，称之为同步服务，它接收到网页和指纹值后，将网页存放在文件系统中，将指纹值存放到安全的水印库内。

所有合法网页的增加、修改和删除都通过自动发布子系统进行。

4.3、管理服务负责篡改后自动恢复，也提供系统管理员的使用界面。

其功能包括：手工上传、查看警告、检测系统运行情况、修改配置、查看和处理日志等。

日志记录所有系统、发布、篡改检测和自动恢复等信息，可以分类分日期查看，并根据管理员的要求实现转储。

4.4、监控服务负责监控整个ieGuard系统的运行状态，和各个服务器硬件运行状态，如CPU，内存，网络和硬盘等使用情况，如出现服务或模块停用和使用过高，及时向管理员发送告警信息。

五、部署5.1、标准部署1）内容管理系统目前，大部分网站都使用了内容管理系统（CMS）来管理网页产生的全过程，包括网页的编辑、审核、签发和合成等。

在网站的网络拓扑中，管理服务器部署在原有的内容管理系统和Web服务器之间，图表-2表明了三者之间的关系。

图表-2标准部署图为一个已有的Web站点部署ieGuard时，Web服务器和内容管理系统都沿用原来的机器，而需要在其间增加一台管理服务器。

ieGuard的自动同步机制完全与内容管理系统无关的，适合与所有的内容管理系统协同工作，而内容管理系统本身无须作任何变动。

管理服务器上具有与Web服务器上的网站文件完全相同的目录结构，任何文件/目录的变化都会自动映射到Web服务器的相应位置上。

网页的合法变更（包括增加、修改、删除、重命名）都在管理服务器上进行，变更的手段可以是任意方式的（例如：FTP、SFTP、RCP、NFS、文件共享等）。

网页变更后，管理服务器将其同步到Web服务器上。

无论什么情况下，不允许直接变更Web服务器上的页面文件。

ieGuard一般情况下与内容管理系统分开部署，当然它也可以与内容管理系统部署在一台机器上，在这种情形下，ieGuard还可以提供接口，与内容管理系统进行互相的功能调用，以实现整合性更强的功能。

部署示例一个标准的网站架构示意图如图表-3所示。

图表-3基本网站结构在图中，内容管理系统将合成的网页通过FTP或者其他方式上传到Web服务器上。

部署ieGuard后的网站结构图见图表-4。

图表-4部署ieGuard后的网站结构由上图可以看出，为一个标准的Web站点部署ieGuard时，Web服务器和内容管理系统都完全沿用原来的机器，而需要在其间增加一台发布服务器。

ieGuard的自动同步机制与内容管理系统无关的，适合与所有的内容管理系统协同工作。

对内容管理系统唯一需要做的只是改变它的设置，将发布的目标服务器地址由Web服务器地址改为发布服务器地址即可，无须安装ieGuard任何组件。

当然，根据内容管理系统所采用协议，发布服务器上需要对应安装这些协议的服务器端，例如：FTP/sftp服务器、rcp服务器或打开文件共享等。

Web服务器使用SSL服务和特定端口来接收上传的网页文件，无须再开放内容管理系统所需的端口（例如FTP端口）。

为安全起见，强烈建议Web服务器仅开放Web服务端口和ieGuard端口，关闭其他所有端口。

2）无内容管理系统一些简单的网站可能没有使用任何内容管理系统，而仅仅使用诸如Dreamweaver制作和管理网站甚至直接编辑html文件。

这种情形下，ieGuard也完全适用，网页制作人员无须改变原来的工作方式，仅仅只是由原来直接修改Web服务器上的文件，改为修改发布服务器上的文件。

5.2、复杂部署更复杂的部署情形包括：⏹多虚拟主机/Web服务器部署；⏹本地内容管理系统；⏹Web服务器托管；⏹同机部署。

这些情形下中根据实际交流情况，出具部署方案。

5.3、集群和冗余部署1）概况Web站点运行的稳定性是最关键的。

ieGuard支持所有部件的多机工作和热备：可以有多台安装了ieGuard安全防护模块和同步服务软件的Web服务器，也可以有两台安装了ieGuard管理服务软件的管理服务器，如图表-5所示。