网神SecWAF 3600应用防火墙系统技术白皮书(防篡改)V2.2

第一篇：网神SecWAF 3600应用防火墙系统技术白皮书(防篡改)V2.2

应用防火墙系统

技术白皮书

Legendsec SecWAF 3600 Web Application Firewall

Technology Whitepaper

(LS-SP-T-WAF 1.0)

网御神州科技（北京）有限公司

网神 SecWAF 3600

网神 SecWAF 3600 应用防火墙系统技术白皮书

版权说明

本文的内容是网神 SecWAF 3600 应用防火墙系统技术白皮书。文中的资料、说明等相关内容的版权归网御神州科技（北京）有限公司所有和保留。本文中的任何部分未经网御神州科技（北京）有限公司（以下简称“网御神州”）许可，不得转印、影印或复印、发行。

2006-2010© 版权所有

网御神州科技（北京）有限公司

商标声明

本手册中所谈及的网御神州产品的名称是网御神州的商标。手册中涉及的其他公司的注册商标属各商标注册人所有，恕不逐一列明。

联系信息

北京海淀区上地开拓路 7 号先锋大厦二段 1 层

2Section 1F , Xianfeng Building , No.7 Kaituo Road , Shangdi Information Industray Base, Haidian District , Beijing 客服热线（Customer Service Hotline）：400-610-8220

010-87002000 传真（Fax）：010-62972896 邮编（Post Code）：100085

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

目录 前言........................................................................................................5 2 系统简介....................................................................................................5 3 系统组成及特点.........................................................................................6

3.1 3.2 3.3 系统组成...........................................................................................6 系统功能特点....................................................................................7 主要技术功能....................................................................................8

第三代内核驱动防篡改技术.....................................................8 Web站点安全运行保障...........................................................9 部署结构灵活..........................................................................9 安全可靠增量发布...................................................................9 日志事件报警........................................................................10 操作管理安全、方便..............................................................10 网站动态自适应攻击防护......................................................10 3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 4 主要技术实现...........................................................................................11 4.1 4.2 实现原理.........................................................................................11 核心优势描述..................................................................................13 基于内核驱动保护技术..........................................................13 动态网页脚本保护.................................................................14 连续篡改攻击保护.................................................................14 全方位兼容的安全自动增量发布............................................14 服务器安全运行可靠性管理...................................................15 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

4.2.6 4.2.7 4.2.8 4.2.9 部署实施操作简单.................................................................15 不影响原有网络结构..............................................................15 安全传输...............................................................................16 支持多虚拟目录.....................................................................16 4.2.10 支持多终端............................................................................16 4.2.11 支持日志导出查询.................................................................16 4.2.12 动态防护模块的实现..............................................................16 5 部署结构..................................................................................................18

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

声明

1.文中所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，网神恕不另行通知。2.网神保留在没有任何通知或提示的情况下对资料内容进行修改的权利。

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书 前言

网神SecWAF 3600应用防火墙系统（以下简称SecWAF）是北京网御神州科技有限公司（以下简称：网御神州）精心研发专门针对网站篡改攻击的一款防护产品，SecWAF的主要功能是通过微软文件底层驱动技术对Web 站点目录提供全方位的保护以及通过URL攻击过滤进行动态防护，防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏。SecWAF保护网站安全运行，维护政府和企业形象，保障互联网业务的正常运营，彻底解决了网站的非法修改的问题，是高效、安全、易用的新一代的网页防篡改系统。

本手册适合的对象：《网神SecWAF 3600应用防火墙系统技术白皮书》适用于希望了解本产品技术特性和使用的相关人员。本手册共五章，第一章 前言，第二章 系统简介，第三章 系统组成及特点，第四章 主要技术实现，第五章 部署结构。系统简介

近几年我国信息化发展迅猛，各行各业根据自身需要大都进行了网站建设，用于信息发布、网上电子商务、网上办公、信息查询等等，网站在实际应用中发挥着重要作用。尤其是我国电子政务、电子商务的大力开展，网站建设得到了空前发展，与此同时随着网民数量的快速增长，通过网站来了解新闻、在线处理业务、查询关键信息等对网站的发展也起到了关键性的促进作用，网站的社会舆论效益逐步显现，已经引起了社会的广泛关注。然而不幸的是，黑客强烈的表现欲望，国内外各种非法组织的不法企图，商业竞争对手的恶意攻击，不满情绪离职员工的泄愤等等各种原因都将导致网页被“变脸”。网页篡改攻击事件具有以下特点：篡改网站页面传播速度快、阅读人群多，复制容易，事后消除影响难，预先检查和实时防范较难，网络环境复杂难以追查责任。另外，攻击工具泛滥且向智能自动化趋势发展，据不完全统计，我国98%以上的站点都受到过不同程度的黑客攻击，攻击形式繁多，网站的安全防范日益成为大家关注的焦点，尤其是政府、金融类网站最易成为攻击目标。

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

网神SecWAF 3600应用防火墙系统由北京网御神州科技有限公司根据长期对Web站点进行安全研究成果自主研发的高可靠性、高安全性以及高易用性的软件系统。主要用于保护站点内容安全，防止黑客非法篡改网页，保护公众形象。该系统也是国内唯一通过国家严格检测的第三代网页防篡改技术，网页防篡改技术在近几年当中根据黑客攻击技术的发展也得到了较快的发展，第三代网页防篡改技术较之以前的技术有几个特点，响应速度快、判断准确、部署灵活等特点，集成度较高，不依赖于原有web系统架构、部署也不影响网站整体结构。经过广大用户实践表明，SecWAF 已经成为信息化建设中网站安全建设最佳解决方案。SecWAF 适用领域：政府门户、电子商务、金融证券、企业门户、教育高校等各行各业网站；

网页防篡改技术的发展经过几年的发展已经进入了第三代技术，多因子检测时代，较前两代技术，第三代技术在安全性以及效率方面更为可靠。

图2-1技术发展路线图 系统组成及特点

3.1 系统组成

SecWAF系统包含三个部分：监控客户端、管理中心服务器和管理客户端，各部分功能如下：

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

1.监控客户端（Monitor Client）安装在Web站点服务器上，安装完后即后台自动运行，无界面，主要用于监控站点攻击状态，执行管理中心所配置的策略，有效阻止各类篡改攻击；

2.管理中心服务器（Center Server）建议部署在独立PC服务器上，若所管理的web服务器数量较少，也可以同时部署在管理客户端；主要用于用户管理，策略下发，日志监控，以及发布各监控客户端安全策略；此程序以后台服务模式运行，无程序界面。3.管理控制台(Console)部署在网管员任意一台计算机，主要用于登录管理中心服务器，进行管理；

图3-1 系统结构示意图

各组件之间通信采取完全加密传输，包括数据传输，用户认证等，确保通信的保密性；

说明：备份可信端程序用于网站内容发布及更新，程序与监控客户端（Monitor Client）一样，根据策略进行角色定义。3.2 系统功能特点

所有的Web网站都需要进行页面内容的保护，防止非授权人员随意篡改内容，对于一些更新快、容量大、权威性的网站就更需如此。外部网站因需要被公众访问而暴露于因特网上，因此最容易成为黑客的攻击目标。虽然目网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

前已有防火墙、入侵检测等安全防范手段，但现代操作系统和业务应用系统的复杂性和多样性导致系统漏洞层出不穷、防不胜防，黑客入侵和篡改页面的事件时有发生。SecWAF 通过服务器文件访问底层驱动技术，对保护的对象（静态网页、动态执行脚本、文件夹）实时监测其属性，一旦发现更改立刻阻断非法篡改操作，阻止网页文件被修改，并实时通知管理客户端。此外，在系统遭受极限攻击发生文件篡改现象，系统也会自动从可信端进行有效文件恢复，彻底地保证了网页内容不被篡改。

该系统对于各类网站的安全，特别保证我国电子政务网站和企业门户网站内容的完整性及对外形象，有着重要意义。尤其是我国即将迎来60周年国庆、世博会等全球瞩目期间，各行各业的网站遭受不法份子的破坏以及国外黑客攻击的几率大大增加；各类金融银行、证券机构积极开展网上金融业务，如遭受篡改，不仅仅是形象受损信誉度降低，还会带来巨大的经济损失；尤其是在国家发生一些重大热点社会事件的时候，常常伴有大量相关网站遭受篡改并且发布虚假消息，带来严重的社会影响，而消除这些影响的经济和时间代价将巨大。因此，网页防篡改系统已经成为各行各业门户必备的一项有效安全措施。SecWAF系统具备多项核心技术，简单归纳如下：          技术先进，采用第三代防篡改技术，安全、稳定、可靠； 采取先进的多重防护技术，杜绝篡改；

完全基于内核级事件触发机制，对服务器资源占用极少，效率远高于同类产品； 汲取广大网管员建议，操作及其简便，大大提高工作人员效率； 对服务器安全性能实时监控，确保服务器安全稳定运行；

对Web服务运行状态进行安全监控，保证Web服务不受异常事件干扰； 不限制网站发布服务器类型，实现高可用性和高扩展性；

支持所有主流操作系统，与Web发布服务类型无关，与CMS系统无缝结合； 支持保护Web服务器配置文件，杜绝网站指向遭到修改；

3.3 主要技术功能

3.3.1 第三代内核驱动防篡改技术

 基于内核驱动级文件保护技术，支持各类网页格式，包含各类动态页面脚本；

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

     内核级事件触发技术，大大减少系统额外开支； 完全防护技术，支持大规模连续篡改攻击防护；

系统后台自动运行，支持断线状态下阻止篡改；

内核出站校验技术完全杜绝被篡改内容被外界浏览；

支持单独文件、文件夹及多级文件夹目录内容篡改保护；

3.3.2 Web站点安全运行保障

     保护Web服务器的相关重要配置文件不被篡改； 服务器性能监控阀值报警，预知攻击发生；

服务器系统服务运行状态监控，可提供服务异常响应，终止、重启等联动操作； 服务器进程黑白名单许可控制，防止挂马攻击或后门程序运行；

支持服务器多种远程管理功能，紧急情况下便于管理，如远程接管、远程唤醒、远程关机、远程用户注销等；

 支持监测服务器当前系统防火墙，防病毒的使用情况和版本，提高监测服务器的综合防护能力；

3.3.3 部署结构灵活

   支持多站点、跨平台分布式部署，统一集中管理功能； 支持大规模虚拟机、双机热备网站系统部署架构；

支持服务器冗余及负载均衡分布部署，支持web服务端、发布端一对多，多对多等各类灵活网站架构；

3.3.4 安全可靠增量发布

   支持网页文件自动上传功能和增量发布，无需人工干涉；

支持异地文件快速同步功能和断点续传功能，极大的增加网站可维护性；

支持网页自动同步新增、修改、删除、下载等功能；

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

3.3.5 日志事件报警

    自动检测文件攻击记录，并实时记入日志，支持导出excel报表；

支持服务运行状态记录，并实时记入日志，支持导出excel报表；

支持多种告警方式，日志告警、邮件告警或定制其他告警方式； 自身操作审计日志记录，详细记录操作管理员的操作管理行为；

3.3.6 操作管理安全、方便

      支持多用户分权管理功能，方便操作；

系统C/S结构，确保高可靠性；

支持多个策略管理，策略设置支持即时生效，无需重启；

数据传输采用加密传输，安全可靠；

支持网页格式类型分类，便于分类管理；

系统全中文界面，操作、配置方便，网络管理人员仅需十分钟即可熟练完成系统初始配置，大大提高工作效率；

3.3.7 网站动态自适应攻击防护

        支持SQL注入攻击防护；

支持跨站脚本攻击防护；

支持对系统文件的访问防护；

支持特殊字符构成的URL利用防护；

支持对危险系统路径的访问防护；

支持构造危险的Cookie攻击防护；

各类攻击的变种防护；

支持自定义检测库；

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书 主要技术实现

4.1 实现原理

我们将篡改监测的核心程序通过内核文件底层驱动内嵌到操作系统中，通过事件触发方式进行自动监测，对文件夹的所有文件内容（包含html、asp、jsp、php、jpeg、gif、bmp、psd、png、flash 等各类文件类型）对照其多个属性，经过内置散列快速算法，实时进行监测，若发现变更，实时阻断篡改行为。通过非协议方式，纯内核安全出站校验方式检查出站内容的完整性可靠性，使得公众无法看到被篡改页面，其运行性能和检测实时性都达到最高水准。

图4-２内核文件防护技术原理图

在整个系统功能设计在不同的层面实现各种功能，确保系统的有效运行。

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

图4-3 功能设计分层示意图

快速同步通道处理，主要用于网站内容更新及修复网页文件用途，在多服务器负载均衡应用时快速同步通道技术将显得尤为重要，确保网站的内容最迅速的更新至外网web服务器上。同步过程当中主要应用到文件加密传输技术、完整性交验、文件检索、快速传输技术等多项重要技术。

图4-4发布同步原理图

为了保证网站遭受各类攻击均不影响网站的正常运行和内容发布，SecWAF 在内部实现了一套完整的内容恢复机制，将参照以下示意图步骤进行同步和恢复。该功能将大大增强网站文件的真实可靠性。

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

图4-5 校验实现原理图

当发生网页遭受到意外恶意破坏时，系统将自动启用文件安全性校验模块，主要对比网页文件指纹ID，将包含文件内容、大小、创建修改时间、作者、关键词、所属权限等等。如校验发现文件属性发生变化，则从可信备份端进行实时恢复，确保文件的真实可靠性。

4.2 核心优势描述

4.2.1 基于内核驱动保护技术

内核事件触发保护机制，确保系统资源不被浪费，不同于其他防篡改软件的Web事件触发机制，SecWAF的页面防篡改模块采用的是与操作系统底层文件驱动级保护技术，与操作系统紧密结合的。即使服务器遭受黑客攻击取得操作管理员权限也无法对被保护内容实施保护，这样做完全杜绝了普通Web内嵌防篡改软件可能发生的计算校验占用系统资源过多，断线篡改后无法恢复等一系列风险。

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

4.2.2 动态网页脚本保护

目前的网站越来越多地使用动态技术（例如：ASP、JSP、PHP）来输出网页。动态网页由网页脚本和内容组成：网页脚本以文件形式存在于Web 服务器上；网页内容则取自于数据库。一般来说，数据库处在内部网中，没有外部地址，而且可以只接受来自内部指定地址的访问，因此一般不会受到攻击。而存在于Web 服务器上的动态网页脚本则与静态网页一样，容易受到攻击。

采用文件驱动级技术的系统，可以直接从Web 服务器上得到动态网页脚本，不受变化的内容影响，因而能够像静态网页一样保护动态网页脚本。

4.2.3 连续篡改攻击保护

对于大规模连续的篡改，SecWAF防篡改系统检测到首个非法操作后就会实时阻断其后续其他的篡改操作。系统针对来源和操作行为，提前终止其后续篡改操作请求。系统在底层完成这些防护措施并不会将这些大规模连续篡改请求发送到上层应用，极大的降低了应用程序的处理负担，有效的提高了应有工作效率。而普通的Web内嵌事件触发型防篡改软件在发生大规模连续篡改时，需要每次通过应用层插件计算校验匹配，由于不能阻止篡改发生，这些软件需要不停的重复恢复原始网页内容，极大的占用系统资源和网络资源，并可能造成显示错误页给访问用户。

4.2.4 全方位兼容的安全自动增量发布

SecWAF集成了页面自动发布功能。该服务器采用先进的算法将可信备份路径下的网页内容快速发布到相应文件夹，减少人工干预，并且支持传统的FTP、网络共享等，本系统支持高速上传功能，同样也支持网页备份到指定文件夹的功能，方便维护人员对网站进行日常维护。SecWAF可以无缝的和所有内容管理系统相结合并且不需要做任何修改，大大方便与用户管理和部署。

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

4.2.5 服务器安全运行可靠性管理

SecWAF系统可以监控服务器当前的运行状态，监视其cpu、内存、网络流量等性能。通过设置的阀值及时向用户提供报警信息，使用户能够及时响应意外事件，并通过设置进程的黑白名单来保障服务器被植入后门木马等程序。提供管理人员远程维护管理等功能。包括： 1)保护web服务器自身配置； 2)服务器cpu使用阀值报警； 3)服务器内存使用阀值报警；

4)监控服务运行状态，并提供应用服务发生异常后的停止，重启等联动操作； 5)服务器进程黑白名单设置，实现防止后门木马程序的运行；

6)支持服务器多种远程管理功能，远程接管、远程唤醒、远程关机、远程用户注销等； 7)可以实时监测服务器当前服务、进程、系统日志； 8)可以服务器当前系统防火墙，防病毒的使用情况和版本。

4.2.6 部署实施操作简单

具备基本windows操作系统使用人员，仅需要10分钟时间，即可按照使用说明书部署完整套网神Web应用防火墙系统，部署完毕后，进行简单配置即可运行；若在系统组建之间有防火墙或其他访问控制设备，建议与网管人员配合在防火墙上配置相应规则，实现安全通信，可以自由设定相应的端口，避免在Web服务器上开启其他端口。

4.2.7 不影响原有网络结构

该系统的架构采用C/S 方式，安全可靠，Center Server端和Console端可以安装在任意指定的系统上，管理告警客户端本地无存储数据，日志只在需要时进行导出excel 进行查询，可大大降低了用户投资；

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

4.2.8 安全传输

合法网页的安全传输是系统安全的一个重要环节，SecWAF使用了高安全强度的工业标准的128位加密技术，保证了信息传输过程中完整性和私密性，且用户登录认证且采用加密传输，防止传输过程中用户信息泄露。

4.2.9 支持多虚拟目录

SecWAF能够自动、实时监控多个子文件夹内容，各子文件夹包含多个网站可同时进行监测，网页文件支持数以万计，且对系统性能没有任何影响。

4.2.10 支持多终端

SecWAF支持同服务器端程序对多个web被监控服务器端网站进行维护，用户可以在任意时刻任意进行扩展，只需要购买相应的Monitor端License即可。

4.2.11 支持日志导出查询

系统支持对网站维护工作的查询与审计功能。为了便于用户及时了解管理员及操作员所做的日常维护工作。SecWAF除了对篡改记录进行记录外，还记录了操作日志，方便用户导出查询和统计。包括：

1.对受保护网页文件和目录进行添加、删除、修改的日志； 2.监控策略的开启和关闭的日志； 3.管理员的登录日志；

4.对监控策略进行更改的日志；

5.对管理员进行增加，删除和属性修改的操作日志； 6.对功能配置参数的修改日志。

4.2.12 动态防护模块的实现

动态防护模块通过嵌入web发布服务软件，对各类URL请求进行攻击代码过滤，可以抵挡网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

各类SQL注入、跨站、构造类代码攻击，防止对后台数据库进行猜解、破坏、挂马等攻击。

网御神州科技（北京）有限公司

/ 22

网神 SecWAF 3600 应用防火墙系统技术白皮书 部署结构

SecWAF 部署方式较为灵活，监控代理客户端（Monitor Client），管理中心服务器（Center Server）和管理客户端(Console)三部分，可以部署在三个不同的系统上，也可以部署在同一台系统上，用户根据需要灵活进行设计，以下介绍三种典型部署结构：

第一种部署方式见图“网神Web应用防火墙系统典型部署示意图-1”：这种部署为常见部署方式，常见于政府网站和大型企事业单位，WEB服务器位于内部网中，在防火墙DMZ区（非军事化区），第一步：在DMZ区任意一台服务器（可以是防病毒服务器或者防火墙管理服务器）安装管理中心服务器（Center Server，IP地址为：172.16.1.100）部分，并设定外部管理连接端口（默认为5366）；第二步：将监控端（Monitor Client）安装于多个WEB服务器（172.16.1.X）上，并制定管理中心服务器地址（如172.16.1.100），并设定管理端口（默认为5367）；第三步，在内部管理区域，任意pc安装管理客户端(Console)部分； 若要保证通信，还需要在防火墙上配置管理中心服务器（Center Server，IP地址为：172.16.1.100）端口（默认为5366），需将端口镜像到WEB外部。

第二种部署方式见图“网神Web应用防火墙系统典型部署示意图-2”，这类部署主要突出网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

了该系统部署的灵活性，将Center Server部分也同时部署在WEB站点上，在没有额外可用服务器的情况下，节省了服务器资源，保护了用户投资。但我们建议此时需要及时修改初始维护密码，并保持器一定的复杂度。

网御神州科技（北京）有限公司/ 22

网神 SecWAF 3600 应用防火墙系统技术白皮书

第三种部署方式见图“网神Web应用防火墙系统典型部署示意图-3”也常见于政府网站和大型企事业单位，WEB服务器位于IDC托管中心的防火墙DMZ区（非军事化区），第一步：在DMZ区数据库服务器（也可以是防病毒服务器或者防火墙管理服务器）安装管理中心服务器（Center Server，IP地址为：172.16.1.100）部分，并设定外部管理连接端口（默认为5366）；第二步：将监控端（Monitor Client）安装于多个WEB服务器（172.16.1.X）上，并制定管理中心服务器地址（如172.16.1.100），并设定管理端口（默认为5367）；第三步，在内网管理区域，任意pc安装管理客户端(Console)部分； 若要保证通信，还需要在防火墙上配置管理中心服务器（Center Server，IP地址为：172.16.1.100）端口（默认为5366）镜像到外部，便于Console登陆管理。（因WEB站点为了外部Internet访问，已经做IP地址转换，无需做额外配置）。

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

注：若将Center Server部分安装在内网时，则需要首先将管理中心Center Server端口（默认为5366）也需要镜像到外网部分，IP地址也需要做相应地址转换（NAT）；然后在 IDC托管中心的防火墙上将监控端（Monitor Client）的端口5367及IP地址镜像到外部，并指定远程管理的外部NAT转换后的地址。该部署比较复杂，需要网管员积极配合。

网御神州科技（北京）有限公司/ 22

第二篇：WebGuard网页防篡改技术白皮书-V15

WebGuard4.0网页防篡改保护系统

技术白皮书

2010年4月

WebGuard4.0技术白皮书

目 录

第1章 第2章 第3章 前 言.......................................................3 系统简介.....................................................4 系统组成及特点................................................6

3.1 系统组成.......................................................6 3.2 系统功能特点....................................................7 3.3 主要技术功能....................................................8 第4章 主要技术实现.................................................10

4.1 实现原理......................................................10 4.2 核心优势描述...................................................11 1.基于内核驱动保护技术...........................................11 2.动态网页脚本保护...............................................12 3.连续篡改攻击保护...............................................12 4.全方位兼容的安全自动增量发布....................................12 5.服务器安全运行可靠性管理........................................13 6.部署实施操作简单...............................................13 7.不影响原有网络结构.............................................13 8.安全传输......................................................13 9.支持多虚拟目录.................................................14 10.支持多终端...................................................14 11.支持日志导出查询.............................................14 第5章

部署结构....................................................15

Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18

WebGuard4.0技术白皮书

第1章 前 言

WebGuard网页防篡改保护系统（以下简称WebGuard）是北京智恒联盟科技有限公司（以下简称：智恒联盟）精心研发专门针对网站篡改攻击的一款防护产品，WebGuard的主要功能是通过微软文件底层驱动技术对Web 站点目录提供全方位的保护，防止黑客、病毒等对目录中的网页、电子文档、图片等任何类型的文件进行非法篡改和破坏。WebGuard保护网站安全运行，维护政府和企业形象，保障互联网业务的正常运营，彻底解决了网站的非法修改的问题，是高效、安全、易用的新一代的网页防篡改系统。智恒联盟全力打造业界最易用的安全软件产品！

本手册适合的对象：《WebGuard技术白皮书》适用于希望了解本产品技术特性和使用的相关人员。本手册共五章，第一章 前言，第二章 系统简介，第三章 系统组成及特点，第四章 主要技术实现，第五章 部署结构。

公司联系方式：用户可以通过如下的联系方式详细了解该产品： 销售热线：010-51626148 邮箱：sales@zhihengit.com 支持服务： support@zhihengit.com 传真：010-51727638 24 小时支持电话：（010）*** 联系人：杨先生 公司网址：http://www.xiexiebang.com

Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18

WebGuard4.0技术白皮书

第2章 系统简介

近几年我国信息化发展迅猛，各行各业根据自身需要大都进行了网站建设，用于信息发布、网上电子商务、网上办公、信息查询等等，网站在实际应用中发挥着重要作用。尤其是我国电子政务、电子商务的大力开展，网站建设得到了空前发展。然而不幸的是，黑客强烈的表现欲望，国内外非法组织的不法企图，商业竞争对手的恶意攻击，不满情绪离职员工的发泄等等都将导致网页被“变脸”。网页篡改攻击事件具有以下特点：篡改网站页面传播速度快、阅读人群多;复制容易，事后消除影响难，预先检查和实时防范较难，网络环境复杂难以追查责任。此外，攻击工具简单且向智能化趋势发展，据不完全统计，我国98%以上的站点都受到过不同程度的黑客攻击，攻击形式繁多，网站的安全防范日益成为大家关注的焦点，尤其是政府、金融类网站最易成为攻击目标。

WebGuard 4.0网页防篡改保护系统由北京智恒联盟科技有限公司根据长期对Web站点进行安全研究成果自主研发的高可靠性、高安全性以及高易用性的软件系统。主要用于保护站点内容安全，防止黑客非法篡改网页，保护公众形象。该系统也是国内唯一通过国家严格检测的第三代网页防篡改技术。网页防篡改技术在近几年当中根据黑客攻击技术的发展也得到了较快的发展，第三代网页防篡改技术较之以前的技术有几个特点，响应恢复速度快、判断准确、部署灵活等特点，集成度较高，不依赖于原有web系统架构、部署也不影响网站整体结构。经过广大用户实践表明，WebGuard 已经成为信息化建设中网站安全建设最佳解决方案。

WebGuard 适用领域：政府门户、电子商务、金融证券、企业门户、教育高校等各行各业网站；

网页防篡改技术的发展经过几年的发展已经进入了第三代技术，多因子检测时代，较前两代技术，第三代技术在安全性以及效率方面更为可靠。

Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18

WebGuard4.0技术白皮书

图2-1技术发展路线图

Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18

WebGuard4.0技术白皮书

第3章 系统组成及特点

3.1 系统组成

WebGuard系统包含三个部分：监控客户端、管理中心服务器和管理客户端，各部分功能如下：

1.监控客户端（Monitor Client）安装在Web站点服务器上，根据服务器数量购买客户端数量，主要用于监控站点状态，执行管理中心所配置的策略； 2.管理中心服务器（Center Server）建议部署在独立pc服务器上，若所管理的web服务器数量较少，也可以同时部署在管理客户端；主要用于用户管理，策略下发，日志监控，以及管理各代理客户端；

3.管理控制台(Console)部署在网管员任意一台计算机，可以由单台pc机替代，主要用于登录管理中心服务器进行配置管理WebGuard 中心服务器；

图3-1 系统结构示意图

各组件之间通信采取完全加密传输，包括数据传输，用户认证等，确保通信的保密性；

Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18

WebGuard4.0技术白皮书

3.2 系统功能特点

所有的Web网站都需要进行页面内容的保护，防止非授权人员随意篡改内容，对于一些更新快、容量大、权威性的网站就更需如此。

外部网站因需要被公众访问而暴露于因特网上，因此最容易成为黑客的攻击目标。虽然目前已有防火墙、入侵检测等安全防范手段，但现代操作系统和业务应用系统的复杂性和多样性导致系统漏洞层出不穷、防不胜防，黑客入侵和篡改页面的事件时有发生。WebGuard 通过服务器文件访问底层驱动技术，对保护的对象（静态网页、动态执行脚本、文件夹）实时监测其属性，一旦发现更改立刻阻断非法篡改操作，阻止网页文件被修改，并实时通知管理客户端，如果发生文件篡改现象，系统也会自动从可信端进行恢复，彻底地保证了网页内容不被篡改。

该系统对于各类网站的安全，特别保证我国电子政务网站和企业门户网站内容的完整性及对外形象，有着重要意义。尤其是我国即将迎来60周年国庆、世博会等全球瞩目期间，各行各业的网站遭受黑客攻击的几率大大增加，在中美黑客大战期间，我国政府企业的网站由于缺乏有力保护，政府网站就遭受上千起篡改，严重损害了政府的公众形象；各类金融机构积极开展网上业务，如遭受篡改，不仅仅是形象受损信誉度降低，还会带来巨大的经济损失；尤其是在国家发生一些重大事件的时候，常常有网站遭受篡改并且发布虚假消息，带来严重的社会影响。因此，网页防篡改系统已经成为各行各业门户必备的一项有效安全措施。

WebGuard系统具备多项核心技术，简单归纳如下：

 技术先进，采用第三代防篡改技术，安全、稳定、可靠；  采取先进的多重防护技术，杜绝篡改；  完全基于内核级事件触发机制，对服务器资源占用极少，效率远高于同类产品；  汲取广大网管员建议，操作及其简便，大大提高工作人员效率；  对服务器安全性能实时监控，确保服务器安全稳定运行；

 对Web服务运行状态进行安全监控，保证Web服务不受异常事件干扰；  不限制网站发布服务器类型，实现高可用性和高扩展性；

 支持所有主流操作系统，与Web发布服务类型无关，与CMS系统无缝结合；  支持保护Web服务器配置文件，杜绝网站指向遭到修改；

Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18

WebGuard4.0技术白皮书

3.3 主要技术功能

1)第三代内核驱动防篡改技术

      基于内核驱动级文件保护技术，支持各类网页格式，包含各类动态页面脚本； 内核级事件触发技术，大大减少系统额外开支； 完全防护技术，支持大规模连续篡改攻击防护； 系统后台自动运行，支持断线状态下阻止篡改；

内核出站校验技术完全杜绝被篡改内容被外界浏览；

支持单独文件、文件夹及多级文件夹目录内容篡改保护；

2)Web站点安全运行保障

     保护Web服务器的相关重要配置文件不被篡改； 服务器性能监控阀值报警，预知攻击发生； 服务器系统服务运行状态监控，可提供服务异常响应，终止、重启等联动操作； 服务器进程黑白名单许可控制，防止挂马攻击或后门程序运行； 支持服务器多种远程管理功能，紧急情况下便于管理，如远程接管、远程唤醒、远程关机、远程用户注销等；

 支持监测服务器当前系统防火墙，防病毒的使用情况和版本，提高监测服务器的综合防护能力；

3)部署结构灵活

 支持多站点、跨平台分布式部署，统一集中管理功能；  支持大规模虚拟机、双机热备网站系统部署架构；

 支持服务器冗余及负载均衡分布部署，支持web服务端、发布端一对多，多对多等各类灵活网站架构；

4)安全可靠增量发布

 支持网页文件自动上传功能和增量发布，无需人工干涉；

 支持异地文件快速同步功能和断点续传功能，极大的增加网站可维护性；  支持网页自动同步新增、修改、删除、下载等功能；

5)日志事件报警

 自动检测文件攻击记录，并实时记入日志，支持导出excel报表；

Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18

WebGuard4.0技术白皮书

 支持服务运行状态记录，并实时记入日志，支持导出excel报表；  支持多种告警方式，日志告警、邮件告警或定制其他告警方式；  自身操作审计日志记录，详细记录操作管理员的操作管理行为；

6)操作管理安全、方便

      支持多用户分权管理功能，方便操作； 系统C/S结构，确保高可靠性；

支持多个策略管理，策略设置支持即时生效，无需重启； 数据传输采用加密传输，安全可靠；

支持网页格式类型分类，便于分类管理；

系统全中文界面，操作、配置方便，网络管理人员仅需十分钟即可熟练完成系统初始配置，大大提高工作效率；

7)网站动态自适应攻击防护

         支持SQL注入攻击防护； 支持跨站脚本攻击防护；

支持对系统文件的访问防护；

支持特殊字符构成的URL利用防护； 支持对危险系统路径的访问防护； 支持构造危险的Cookie攻击防护； 各类攻击的变种防护； 支持自定义检测库；

规则库支持在线升级功能；

Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18

WebGuard4.0技术白皮书

第4章 主要技术实现

4.1 实现原理

我们将篡改监测的核心程序通过内核文件底层驱动内嵌到操作系统中，通过事件触发方式进行自动监测，对文件夹的所有文件内容（包含html、asp、jsp、php、jpeg、gif、bmp、psd、png、flash 等各类文件类型）对照其多个属性，经过内置散列快速算法，实时进行监测，若发现变更，实时阻断篡改行为。通过非协议方式，纯内核安全出站校验方式检查出站内容的完整性可靠性，使得公众无法看到被篡改页面，其运行性能和检测实时性都达到最高水准。

图4-２内核防护技术原理图

图4-２发布同步原理图

Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18

WebGuard4.0技术白皮书

快速同步通道处理，主要用于网站内容更新及修复网页文件用途，在多服务器负载均衡应用时快速同步通道技术将显得尤为重要，确保网站的内容最迅速的更新至外网web服务器上。同步过程当中主要应用到文件加密传输技术、完整性交验、文件检索、快速传输技术等多项重要技术。

图4-３ 校验实现原理图

当发生网页遭受到意外恶意破坏时，系统将自动启用文件安全性校验模块，主要对比网页文件指纹ID，将包含文件内容、大小、创建修改时间、作者、关键词、所属权限等等。如校验发现文件属性发生变化，则从可信备份端进行实时恢复，确保文件的真实可靠性。

4.2 核心优势描述 1.基于内核驱动保护技术

内核事件触发保护机制，确保系统资源不被浪费，不同于其他防篡改软件的Web事件触发机制，WebGuard的页面防篡改模块采用的是与操作系统底层文件驱动级保护技术，与操作系统紧密结合的。这样做完全杜绝了普通Web内嵌防篡改软件可能发生的计算校验占用系统资源过多，校验值计算不正确，篡改后无法恢复等一系列风险。

Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18

WebGuard4.0技术白皮书

2.动态网页脚本保护

目前的网站越来越多地使用动态技术（例如：ASP、JSP、PHP）来输出网页。动态网页由网页脚本和内容组成：网页脚本以文件形式存在于Web 服务器上；网页内容则取自于数据库。

一般来说，数据库处在内部网中，没有外部地址，而且可以只接受来自内部指定地址的访问，因此一般不会受到攻击。而存在于Web 服务器上的动态网页脚本则与静态网页一样，容易受到攻击。

采用文件驱动级技术的系统，可以直接从Web 服务器上得到动态网页脚本，不受变化的内容影响，因而能够像静态网页一样保护动态网页脚本。

3.连续篡改攻击保护

对于大规模连续的篡改，WebGuard防篡改系统检测到首个非法操作后就会实时阻断其后续其他的篡改操作。系统针对来源和操作行为，提前终止其后续篡改操作请求。系统在底层完成这些防护措施并不会将这些大规模连续篡改请求发送到上层应用，极大的降低了应用程序的处理负担，有效的提高了应有工作效率。

而普通的Web内嵌事件触发型防篡改软件在发生大规模连续篡改时，需要每次通过应用层插件计算校验匹配，由于不能阻止篡改发生，这些软件需要不停的重复恢复原始网页内容，极大的占用系统资源和网络资源，并可能造成显示错误页给访问用户。

4.全方位兼容的安全自动增量发布

WebGuard集成了页面自动发布功能。该服务器采用先进的算法将可信备份路径下的网页内容快速发布到相应文件夹，减少人工干预，并且支持传统的FTP、网络共享等，本系统支持高速上传功能，同样也支持网页备份到指定文件夹的功能，方便维护人员对网站进行日常维护。

WebGuard可以无缝的和所有内容管理系统相结合并且不需要做任何修改，大大方便与用户管理和部署。

Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18

WebGuard4.0技术白皮书

5.服务器安全运行可靠性管理

WebGuard系统可以监控服务器当前的运行状态，监视其cpu、内存、网络流量等性能。通过设置的阀值及时向用户提供报警信息，使用户能够及时响应意外事件，并通过设置进程的黑白名单来保障服务器被植入后门木马等程序。提供管理人员远程维护管理等功能。包括：

1)保护web服务器自身配置； 2)服务器cpu使用阀值报警； 3)服务器内存使用阀值报警；

4)监控服务运行状态，并提供应用服务发生异常后的停止，重启等联动操作； 5)服务器进程黑白名单设置，实现防止后门木马程序的运行；

6)支持服务器多种远程管理功能，远程接管、远程唤醒、远程关机、远程用户注销等；

7)可以实时监测服务器当前服务、进程、系统日志； 8)可以服务器当前系统防火墙，防病毒的使用情况和版本。

6.部署实施操作简单

具备基本windows操作系统使用人员，仅需要10分钟时间，即可按照使用说明书部署完整套网页防篡改保护系统，部署完毕后，进行简单配置即可运行；若在系统组建之间有防火墙或其他访问控制设备，建议与网管人员配合在防火墙上配置相应规则，实现安全通信，可以自由设定相应的端口，避免在Web服务器上开启其他端口。

7.不影响原有网络结构

该系统的架构采用C/S 方式，安全可靠，Center Server端和Console端可以安装在任意指定的系统上，管理告警客户端本地无存储数据，日志只在需要时进行导出excel 进行查询，可大大降低了用户投资；

8.安全传输

合法网页的安全传输是系统安全的一个重要环节，WebGuard使用了高安全强度的Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18

WebGuard4.0技术白皮书

工业标准的128位加密技术，保证了信息传输过程中完整性和私密性，且用户登录认证且采用加密传输，防止传输过程中用户信息泄露。

9.支持多虚拟目录

WebGuard能够自动、实时监控多个子文件夹内容，各子文件夹包含多个网站可同时进行监测，网页文件支持数以万计，且对系统性能没有任何影响。

10.支持多终端

WebGuard支持同服务器端程序对多个web被监控服务器端网站进行维护，用户可以在任意时刻任意进行扩展，只需要购买相应的Monitor端License即可。

11.支持日志导出查询

系统支持对网站维护工作的查询与审计功能。为了便于用户及时了解管理员及操作员所做的日常维护工作。WebGuard除了对篡改记录进行记录外，还记录了操作日志，方便用户导出查询和统计。包括：

1.对受保护网页文件和目录进行添加、删除、修改的日志； 2.监控策略的开启和关闭的日志； 3.管理员的登录日志；

4.对监控策略进行更改的日志；

5.对管理员进行增加，删除和属性修改的操作日志； 6.对功能配置参数的修改日志。

Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18

WebGuard4.0技术白皮书

第5章 部署结构

WebGuard 部署方式较为灵活，监控代理客户端（Monitor Client），管理中心服务器（Center Server）和管理客户端(Console)三部分，可以部署在三个不同的系统上，也可以部署在同一台系统上，用户根据需要灵活进行设计，以下介绍三种典型部署结构：

第一种部署方式见图“网页防篡改保护系统典型部署示意图-1”：这种部署为常见部署方式，常见于政府网站和大型企事业单位，WEB服务器位于内部网中，在防火墙DMZ区（非军事化区），第一步：在DMZ区任意一台服务器（可以是防病毒服务器或者防火墙管理服务器）安装管理中心服务器（Center Server，IP地址为：172.16.1.100）部分，并设定外部管理连接端口（默认为5366）；第二步：将监控端（Monitor Client）安装于多个WEB服务器（172.16.1.X）上，并制定管理中心服务器地址（如172.16.1.100），并设定管理端口（默认为5367）；第三步，在内部管理区域，任意pc安装管理客户端(Console)部分；

若要保证通信，还需要在防火墙上配置管理中心服务器（Center Server，IP地址为：172.16.1.100）端口（默认为5366），需将端口镜像到WEB外部。

Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18

WebGuard4.0技术白皮书

第二种部署方式见图“网页防篡改保护系统典型部署示意图-2”，这类部署主要突出了该系统部署的灵活性，将Center Server部分也同时部署在WEB站点上，在没有额外可用服务器的情况下，节省了服务器资源，保护了用户投资。但我们建议此时需要及时修改初始维护密码，并保持器一定的复杂度。

Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18

WebGuard4.0技术白皮书

第三种部署方式见图“网页防篡改保护系统典型部署示意图-3”也常见于政府网站和大型企事业单位，WEB服务器位于IDC托管中心的防火墙DMZ区（非军事化区），第一步：在DMZ区数据库服务器（也可以是防病毒服务器或者防火墙管理服务器）安装管理中心服务器（Center Server，IP地址为：172.16.1.100）部分，并设定外部管理连接端口（默认为5366）；第二步：将监控端（Monitor Client）安装于多个WEB服务器（172.16.1.X）上，并制定管理中心服务器地址（如172.16.1.100），并设定管理端口（默认为5367）；第三步，在内网管理区域，任意pc安装管理客户端(Console)部分；

若要保证通信，还需要在防火墙上配置管理中心服务器（Center Server，IP地址为：172.16.1.100）端口（默认为5366）镜像到外部，便于Console登陆管理。（因WEB站点为了外部Internet访问，已经做IP地址转换，无需做额外配置）。

Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18

WebGuard4.0技术白皮书

注：若将Center Server部分安装在内网时，则需要首先将管理中心Center Server端口（默认为5366）也需要镜像到外网部分，IP地址也需要做相应地址转换（NAT）；然后在 IDC托管中心的防火墙上将监控端（Monitor Client）的端口5367及IP地址镜像到外部，并指定远程管理的外部NAT转换后的地址。该部署比较复杂，需要网管员积极配合。

Copyright(c)2006 北京智恒联盟科技有限公司 版权所有/ 18

第三篇：防火墙技术在企业财务管理系统中的应用

防火墙技术在企业财务管理系统中的应用

2010-06-10 09:02:02 作者：韩晓 来源：万方数据 分享 | 摘要： 目前企业局域网上存在的安全隐患中，黑客恶意攻击和病毒感染的威胁最大，造成的破坏也最大。针对局域网中存在的众多隐患，企业必须实施了安全防御措施。主要包括防火墙技术，数据 关键词： 防火墙企业防火墙防火墙功能信息安全代理服务器

目前企业局域网上存在的安全隐患中，黑客恶意攻击和病毒感染的威胁最大，造成的破坏也最大。针对局域网中存在的众多隐患，企业必须实施了安全防御措施。主要包括防火墙技术，数据加密技术、认证技术等，其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。本文就防火墙技术在财务管理信息系统中的应用进行较为深入的探讨。

1、防火墙技术

1.1防火墙的基本概念

防火墙是保护内部网络安全的一道防护墙。从理论上讲，网络防火墙是用来防止外部网上的各类危险程序传播到某个受保护网内，财务上主要用于保护计算机和服务器不受攻击。确保数据安全。从逻辑上讲，防火墙是分离器，限制器和分析器；从物理角度看，各个防火墙的物理实现方式可以有所不同，但它通常是1组硬件设备(路由器、主机)和软件的多种组合，而从本质上看防火墙是1种保护装置，用来保护网络数据、资源和用户的声誉，从技术上来说，网络防火墙是1种访问控制技术，在某个机构的网络和不安垒的网络之间设置障碍，阻止对信息资源的非法访问，所以防火墙是一道门槛，控制进出2个方向的通信，防火墙主要用来保护安全网络免受来自不安全网络的入侵。

1.2防火墙的工作原理

防火墙的工作原理是按照事先规定好的配置和规则，监控所有通过防火墙的数据流，只允许授权的数据通过，同时记录有关的链接来源，服务器提供的通信量以及试图闯入者的任何企图，以方便管理员的监测和跟踪。

1.3防火墙的功能

防火墙主要有以下四种功能：(1)能够防止非法用户进入内部网络；(2)可以很方便地监视网络的安全性，并报警；(3)可以作为部署NAT(Network Address Translation，网络地址变换)的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来。用来缓解地址空间短缺的问题；(4)可以连接到1个单独的网段上，从物理上和内部网段隔开，并在此部署www.xiexiebang.com）原创之作品（文字、图片、图表），转载请务必注明出处，违者本网将依法追究责任。