實驗中心主頁防篡改系統的研究及實現

趙維佺 魏小銳 劉永波 熊輝

1 東莞理工學院 廣東 523808

2 深圳昂楷科技有限公司 廣東 518034

3長安大學信息工程學院 陜西 710064

0 序言

高等院校實驗中心隨著開放實驗室建設、對外交流的擴大和海量信息頻繁發布的需要，大多數實驗中心都建立了完善的網絡基礎設施，并不斷在加快網絡信息系統建設，構建綜合型實驗教學信息平臺。隨著中心主頁訪問量的增加，安全問題擺在了我們面前，構建一個高效的實驗中心主頁防篡改系統是保證實驗中心信息平臺安全穩定運行的有效途徑。本文從網頁防篡改系統的設計原理入手，論述了適用于實驗中心主頁的網頁防篡改系統的關鍵實現技術，主要包括防篡改系統的典型部署方式、Web防火墻、實時阻斷模塊和BI智能分析模塊三大模塊的設計。

1 網頁防篡改系統的設計原理

1.1 網頁防篡改系統組成

網頁防篡改系統由管理控制端、監控端和發布端組成。管理控制端可安裝在任何一臺服務器上，主要負責配置、管理和查看監控端和發布端的各種信息，并下發站點安全規則到監控端；監控端安裝在Web服務器上，主要是對站點進行保護備份和監測；發布端安裝在更新服務器上，主要對站點文件進行更新。

管理控制端主要用來配置和下發安全策略，提供管理員管理操作監控端和發布端的Web管理界面，并通過傳輸服務模塊和通訊模塊負責和監控端的文件傳輸、日志報警、系統狀態等數據。監控端主要包含實時阻斷模塊和Web防火墻模塊。實時阻斷模塊主要對站點網頁文件或文件夾進行實時保護，實現站點靜態區域文件的保護；Web防火墻模塊主要對網頁訪問進行保護，如防止非法網頁請求和SQL注入攻擊等，實現站點動態區域文件的保護。

1.2 網頁防篡改系統部署

在部署網頁防篡改系統時，首先需要架設管理控制端，然后，在Web服務器上安裝監控端軟件，通過在管理控制端的配置監控端認證信息，即可實現管理控制端和監控端之間的安全連接。站點管理員通過管理控制端可以查看監控端的運行情況及日志信息。發布端部署在更新服務器上，負責所有網頁內容的更新。

由于管理控制端具有管理控制、站點備份的權力，一般在管理控制端前架設一臺應用網關設備，用于站點管理員安全地連到管理控制端。根據用戶狀況、需求、提供環境的不同，網頁防篡改系統可采用六種不同的部署方式，分述如下。

(1) 簡單部署方式

如圖1所示，簡單部署方式把網頁防篡改系統的監控端、發布端和管理控制端軟件部署在一臺Web服務器上。Web服務器既接收網頁發布，也對外提供Web服務。另外，如果網站管理員需要遠程到Web服務器進行維護和更新，可以采用VPN或FTP的方式。該部署方式比較適合那些小型的、需要租用專門機構的Web服務器的機構。

圖1 簡單部署方式示例

在安全考慮上，由于Web服務器對外提供Web服務，需要暴露在外網中。因此，Web服務所在的網頁目錄更容易遭到攻擊。這種部署方式能夠在一定程度上防止對網頁的直接篡改。但是，由于發布目錄和Web服務目錄都在Web服務器上(雖然在不同目錄下)，有可能會被黑客發現并加以篡改。因此，這種部署方式并不能完全發揮網頁防篡改系統的安全防護作用。一般情況下，并不建議這種部署方式。

(2) 基本部署方式

如圖2所示，基本部署方式需要兩臺服務器，把網頁防篡改系統的監控端軟件安裝在一臺Web服務器上，發布端和管理控制端軟件安裝在另一臺服務器上，用來發布、更新站點文件的內容。一般來說，發布服務器位于內網中，處于相對安全的環境中。所有網頁的合法變更(包括增加、修改、刪除、重命名)都在發布端進行，啟用監控端的自動發布功能，發布服務器上的任何文件/目錄的變化都會自動并立即反映到Web服務器上的相應位置。因此，這種方式具有很好的Web安全防護效果。如果網站管理員需要遠程到Web服務器進行維護和更新，可以采用VPN或FTP的方式。這樣，發布服務器會自動對前段站點進行更新，同時也保證了數據傳輸的安全性。

圖2 基本部署方式示例

基本部署方式既可以實現具有統一網站編輯部門的組織或機構的集中發布，也可以滿足具有多個下屬部門獨立制作，需要通過互聯網遠程發布的組織或機構的分布式發布要求。

(3) 擴展部署方式

如圖3所示，擴展部署方式是基本部署方式的擴展，網頁防篡改系統的發布端和管理控制端軟件分別安裝在兩臺獨立服務器上。

圖3 擴展部署方式示例

(4) 標準部署方式

由于現今大多數網站都使用了內容管理系統(Content Management System)進行網頁的編輯、審核、簽發和合成等工作，為了滿足這些機構組織的需求，提供了適應該環境的標準部署方式。如圖4所示，該部署方式把網頁防篡改系統的監控端軟件安裝在一臺Web服務器上，發布端和管理控制端直接安裝在CMS上，把CMS發布的目錄作為發布端的發布目錄，這樣，無需更改CMS的端口，即可實現發布端對Web服務器文件/目錄的更新。

圖4 標準部署方式示例

(5) 多Web服務器部署方式

多Web服務器部署方式適合于大型門戶網站，它具有多臺獨立的Web服務器，其網絡地址、網絡內容不同，操作系統也可以不同。它們可以使用同一套或不同套CMS。部署方式如圖5所示，在CMS上安裝網頁防篡改系統的發布端和管理控制端，用于更新主站點Web服務器上的內容；在主站點的Web服務器上安裝發布端和監控端，其中的發布端用來更新分站點上Web服務器上的內容；在各個分站點上需要安裝網頁防篡改系統的監控端。

圖5 多Web服務器部署方式示例

(6) 多CMS部署方式

如圖6所示，多CMS部署方式適合大型的門戶網站，具有多個CMS和多個獨立、異構的Web服務器。在各CMS上分別安裝網頁防篡改系統的發布端和管理控制端軟件，多個發布端合成并更新主站點Web服務器上的內容；在主站點的Web服務器上安裝發布端和監控端軟件，主站點Web服務器上的發布端用來更新分站點上Web服務器上的內容；同樣，需要在各個分站點安裝網頁防篡改系統的監控端。

圖6 多CMS部署方式示例

1.3 網頁防篡改系統工作流程

用戶訪問網站時，首先要經過Web防火墻的監控，對非法請求、惡意掃描及數據庫注入攻擊等進行攔截，只有合法的請求被傳到Web站點；然后，由Web站點進行網頁文件請求，同時，實時阻斷模塊開始工作，對訪問網頁進行實時規則檢查、對網頁的篡改及刪除等操作進行攔截，并產生日志及報警；合法的請求被通過后，最終結果返回給用戶。網頁防篡改系統工作流程如圖7所示。

1.4 網頁防篡改系統三大核心模塊設計

1.4.1 Web防火墻

Web防火墻模塊主要對站點動態區域文件進行保護，是分析和攔截非法用戶訪問請求的第一道門檻。通過Web防火墻中的SQL防注入、關鍵字過濾、IP范圍過濾、訪問時間過濾，可以防止SQL注入攻擊、惡意掃描、非法網頁請求等Web安全事件的發生。Web防火墻的作用如圖8所示。

圖8 Web防火墻的作用

(1) 防SQL注入攻擊

SQL的注入式攻擊主要是服務器端暴露的訪問SQL的方法和手段被客戶端所利用，進而對SQL數據庫進行非法操作的攻擊行為，由于數據庫本身的系統漏洞和網站編程人員的安全意識薄弱，數據庫存在注入攻擊的可能是很大的，因此，防止SQL注入攻擊成為網站安全的重中之重。

Web防火墻模塊中的SQL防注入功能，通過設定正則表達式的規則，可以有效的防止黑客通過注入SQL語句的方式從網站關聯的數據庫中獲取、修改數據信息或攻擊數據庫，如攔截mdb文件上傳/下載、一般SQL注入猜測、SQL寫操作關鍵字、SQL存儲過程關鍵字、一般1=1注入測試及系統shell關鍵字等。

(2) 關鍵字過濾

通過設定關鍵字過濾規則，可以對站點訪問路徑、訪問文件、查詢串、提交內容(POST)、主機域、瀏覽器(User-Agent串)、Cookie串等進行限制。其中，設定訪問路徑過濾規則，可以過濾通過非法訪問路徑訪問網站的用戶非法訪問請求；設定訪問文件過濾規則，可以對用戶的非法文件上傳和下載進行限制；設定查詢串過濾規則，可以對用戶的非法查詢行為進行限制；設定POST過濾規則，可以對用戶提交的非法內容進行限制；設定主機域過濾規則，可以對用戶訪問的域名、IP地址進行限制；設定瀏覽器過濾規則，可以對用戶訪問所使用的瀏覽器進行限制；設定Cookie值，可以對用戶訪問記錄的保存情況進行限制。

(3) IP范圍和訪問時間過濾

IP范圍過濾規則主要對訪問用戶的來源地址的IP范圍進行限定，訪問時間過濾規則主要對用戶訪問站點的時間范圍進行限定。

需要指出的是，關鍵字過濾、IP范圍和訪問時間過濾規則之間是與的關系，即當這三個規則同時成立時，過濾規則才生效。各種規則設置界面如圖9所示。

圖9 規則設置界面示例

1.4.2 實時阻斷模塊

實時阻斷模塊內嵌于Web服務器中，是一種主動和直接的網站文件保護方式，它不僅可以實現多個站點文件的保護，還可以實現單個站點中文件夾或文件夾中單個文件的保護。采用該技術，可以預先把站點或站點目錄文件保護起來，除了指定的合法進程和端口服務之外，禁止其它任何進程和端口訪問對保護的目錄及文件的所有更改操作，在非法進程開始侵入系統之前就切斷其連接，禁止其下一步行為。實時阻斷模塊的作用如圖10所示。

圖10 實時阻斷模塊作用

1.4.3 BI智能分析模塊

BI智能分析摸塊，是一種商業智能的網站分析模塊，它在網站日志分析的基礎上，應用商業智能領域中的數據庫、在線分析處理以及數據挖掘三大技術，對網站進行數據測量、評價預測，以及綜合性的分析，是一套先進的交互式專業日志分析軟件。

2 總結

實驗中心主頁作為實驗中心信息發布、資源共享和對外交流的平臺，是中心的窗口和門戶，面對目前越來越多的網絡威脅，防止中心主頁被篡改已成為保護中心網站安全穩定運行必不可少的措施。本文設計了一類網頁防篡改系，通過對網頁防篡改系統設計原理、典型模塊設計原理及過程的分析，指出了該類系統實現的原理和關鍵技術，希望對相關系統設計起到借鑒作用。

[1] CNCERT/CC.2010年中國互聯網網絡安全報告[EB/OL].http://www.cert.org.cn/articles/docs/common/2011042225342.s html.心建設—以東莞理工學院為例[J].實驗室研究與探索.2011.

[2] 蓋玲.防網頁篡改技術比較分析[J].圖書與情報.2007.

[3] 陳寧江,杜凡遠.網頁防篡改應用技術分析[J].現代機械.2009.

[4] 張建華,李濤,張楠.Web頁面防篡改及防重放機制[J].計算機應用.2006.

[5] 楊飛.網頁防篡改技術[J].計算機安全.2008.

[6] 姚瀅.網頁防篡改系統的研究與設計方案[J].計算機安全.2010.