iGuard网页防篡改系统
部署指南

图示目录
表格目录

第1章 基本部署
产品简介
iGuard网页防篡改系统是完全保护Web网站不发送被篡改内容并进行自动恢复的Web页面保护软件。
iGuard网页防篡改系统(以下简称iGuard)采用先进的Web服务器核心内嵌技术,将篡改检
测模块(数字水印技术)和应用防护模块(防注入攻击)内嵌于Web服务器内部,并辅助以增强型事件触发检测技术,不仅实现了对静态网页和脚本的实时检测和恢复,更可以保护数据库中的动态内容免受来自于Web的攻击和篡改,彻底解决网页防篡改问题。
iGuard的篡改检测模块使用密码技术,为网页对象计算出唯一性的数字水印。公众每次访问网页时,都将网页内容与数字水印进行对比;一旦发现网页被非法修改,即进行自动恢复,保证非法网页内容不被公众浏览。同时,iGuard的应用防护模块也对用户输入的URL地址和提交的表单内容进行检查,任何对数据库的注入式攻击都能够被实时阻断。
iGuard以国家863项目技术为基础,全面保护网站的静态网页和动态网页。iGuard支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、完整性检查、地址访问、表单提交、审计等各个环节的安全,完全实时地杜绝篡改后的网页被访问的可能性,也杜绝任何使用Web方式对后台数据库的篡改。
iGuard支持所有主流的操作系统,包括:Windows、Linux、FreeBSD、Unix(Solaris、HP-UX、AIX);支持常用的Web服务器软件,包括:IIS、Apache、SunONE、Weblogic、WebSphere等;保护所有常用的数据库系统,包括:SQL Server、Oracle、M
ySQL、Access等。
结构描述
两台服务器
部署iGuard至少需要两台服务器:
发布服务器:位于内网中,本身处在相对安全的环境中,其上部署iGuard的发布服务器软件。
Web服务器:位于公网/DMZ中,本身处在不安全的环境中,其上部署iGuard的Web服务器端软件。
它们之间的关系如图示1-1所示。
iGuard
发布服务器软件
发布服务器
HTTP
FTP
SSL
Intranet
DMZ
Internet
iGuard
Web服务器端软件
Web服务器
Internet
图示 11 iGuard两台服务器
发布服务器
发布服务器上运行iGuard的“发布服务器软件”(Staging Server)。所有网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行。
发布服务器上具有与Web服务器上的网页文件完全相同的目录结构,发布服务器上的任何文件/目录的变化都会自动和立即地反映到Web服务器的相应位置上,文件/目录变更的方法可以是任意方式的(例如:FTP、SFTP、RCP、NFS、文件共享等)。网页变更后,“发布服务器软件”将其同步到Web服务器上。
发布服务器是部署iGuard时新增添的机器,原则需要一台独立的服务器;对于网页更新不太频繁的网站,也可以用普通PC机或者与担任其他工作的服务器共用。
发布服务器为PC服务器,其本身的硬件配置无特定要求,操作系统可选择Windows(一般网站)或Linux(大型网站,需选加Linux企业发布模块)。
Web服务器
Web服务器上除了原本运行的Web服务器软件(如IIS、Apache、SunONE、Weblogic、Websphere等)外,还运行有iGuard的“Web服务器端软件”,“Web服务器端软件”由“同步服务器”(SyncServer)和“防篡改模块”(AntiTamper)组成。
iGuard同步服务器”负责与iGuard发布服务器通信,将发布服务器上的所有网页文件变更
同步到Web服务器本地;“iGuard防篡改模块”作为Web服务器软件的一个插件运行,负责对Web请求进行检查和对网页进行完整性检查,需要对Web服务器软件作适当配置,以使其生效。
Web服务器是用户网站原有的机器,iGuard可适应于任何硬件和操作系统。

标准部署
内容管理系统
目前,大部分网站都使用了内容管理系统(CMS)来管理网页产生的全过程,包括网页的编辑、审核、签发和合成等。在网站的网络拓扑中,发布服务器部署在原有的网页被篡改怎么办内容管理系统Web服务器之间,图示1-2表明了三者之间的关系。
Web服务器
(iGuard)
发布服务器
(iGuard)
内容管理系统
(第三方软件)
Internet
图示 12 标准部署图
为一个已有的Web站点部署iGuard时,Web服务器和内容管理系统都沿用原来的机器,而需要在其间增加一台发布服务器。iGuard的自动同步机制完全与内容管理系统无关的,适合与所有的内容管理系统协同工作,而内容管理系统本身无须作任何变动。
发布服务器上具有与Web服务器上的网站文件完全相同的目录结构,任何文件/目录的变化都会自动映射到Web服务器的相应位置上。
网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行,变更的手段可以是任意方式的(例如:FTP、SFTP、RCP、NFS、文件共享等)。网页变更后,发布服务器将其同步到Web服务器上。无论什么情况下,不允许直接变更Web服务器上的页面文件。
iGuard一般情况下与内容管理系统分开部署,当然它也可以与内容管理系统部署在一台机器上,在这种情形下,iGuard还可以提供接口,与内容管理系统进行互相的功能调用,以实现整合性更强的功能。
部署示例
一个标准的网站架构示意图如图示1-3所示。
HTTP
FTP
Intranet
DMZ
Internet
数据库
Web服务器软件
Web服务器
内容管理系统
内容管理