实验中心主页防篡改系统的研究及实现

赵维佺 魏小锐 刘永波 熊辉

1 东莞理工学院 广东 523808

2 深圳昂楷科技有限公司 广东 518034

3长安大学信息工程学院 陕西 710064

0 序言

高等院校实验中心随着开放实验室建设、对外交流的扩大和海量信息频繁发布的需要，大多数实验中心都建立了完善的网络基础设施，并不断在加快网络信息系统建设，构建综合型实验教学信息平台。随着中心主页访问量的增加，安全问题摆在了我们面前，构建一个高效的实验中心主页防篡改系统是保证实验中心信息平台安全稳定运行的有效途径。本文从网页防篡改系统的设计原理入手，论述了适用于实验中心主页的网页防篡改系统的关键实现技术，主要包括防篡改系统的典型部署方式、Web防火墙、实时阻断模块和BI智能分析模块三大模块的设计。

1 网页防篡改系统的设计原理

1.1 网页防篡改系统组成

网页防篡改系统由管理控制端、监控端和发布端组成。管理控制端可安装在任何一台服务器上，主要负责配置、管理和查看监控端和发布端的各种信息，并下发站点安全规则到监控端；监控端安装在Web服务器上，主要是对站点进行保护备份和监测；发布端安装在更新服务器上，主要对站点文件进行更新。

管理控制端主要用来配置和下发安全策略，提供管理员管理操作监控端和发布端的Web管理界面，并通过传输服务模块和通讯模块负责和监控端的文件传输、日志报警、系统状态等数据。监控端主要包含实时阻断模块和Web防火墙模块。实时阻断模块主要对站点网页文件或文件夹进行实时保护，实现站点静态区域文件的保护；Web防火墙模块主要对网页访问进行保护，如防止非法网页请求和SQL注入攻击等，实现站点动态区域文件的保护。

1.2 网页防篡改系统部署

在部署网页防篡改系统时，首先需要架设管理控制端，然后，在Web服务器上安装监控端软件，通过在管理控制端的配置监控端认证信息，即可实现管理控制端和监控端之间的安全连接。站点管理员通过管理控制端可以查看监控端的运行情况及日志信息。发布端部署在更新服务器上，负责所有网页内容的更新。

由于管理控制端具有管理控制、站点备份的权力，一般在管理控制端前架设一台应用网关设备，用于站点管理员安全地连到管理控制端。根据用户状况、需求、提供环境的不同，网页防篡改系统可采用六种不同的部署方式，分述如下。

(1) 简单部署方式

如图1所示，简单部署方式把网页防篡改系统的监控端、发布端和管理控制端软件部署在一台Web服务器上。Web服务器既接收网页发布，也对外提供Web服务。另外，如果网站管理员需要远程到Web服务器进行维护和更新，可以采用VPN或FTP的方式。该部署方式比较适合那些小型的、需要租用专门机构的Web服务器的机构。

图1 简单部署方式示例

在安全考虑上，由于Web服务器对外提供Web服务，需要暴露在外网中。因此，Web服务所在的网页目录更容易遭到攻击。这种部署方式能够在一定程度上防止对网页的直接篡改。但是，由于发布目录和Web服务目录都在Web服务器上(虽然在不同目录下)，有可能会被黑客发现并加以篡改。因此，这种部署方式并不能完全发挥网页防篡改系统的安全防护作用。一般情况下，并不建议这种部署方式。

(2) 基本部署方式

如图2所示，基本部署方式需要两台服务器，把网页防篡改系统的监控端软件安装在一台Web服务器上，发布端和管理控制端软件安装在另一台服务器上，用来发布、更新站点文件的内容。一般来说，发布服务器位于内网中，处于相对安全的环境中。所有网页的合法变更(包括增加、修改、删除、重命名)都在发布端进行，启用监控端的自动发布功能，发布服务器上的任何文件/目录的变化都会自动并立即反映到Web服务器上的相应位置。因此，这种方式具有很好的Web安全防护效果。如果网站管理员需要远程到Web服务器进行维护和更新，可以采用VPN或FTP的方式。这样，发布服务器会自动对前段站点进行更新，同时也保证了数据传输的安全性。

图2 基本部署方式示例

基本部署方式既可以实现具有统一网站编辑部门的组织或机构的集中发布，也可以满足具有多个下属部门独立制作，需要通过互联网远程发布的组织或机构的分布式发布要求。

(3) 扩展部署方式

如图3所示，扩展部署方式是基本部署方式的扩展，网页防篡改系统的发布端和管理控制端软件分别安装在两台独立服务器上。

图3 扩展部署方式示例

(4) 标准部署方式

由于现今大多数网站都使用了内容管理系统(Content Management System)进行网页的编辑、审核、签发和合成等工作，为了满足这些机构组织的需求，提供了适应该环境的标准部署方式。如图4所示，该部署方式把网页防篡改系统的监控端软件安装在一台Web服务器上，发布端和管理控制端直接安装在CMS上，把CMS发布的目录作为发布端的发布目录，这样，无需更改CMS的端口，即可实现发布端对Web服务器文件/目录的更新。

图4 标准部署方式示例

(5) 多Web服务器部署方式

多Web服务器部署方式适合于大型门户网站，它具有多台独立的Web服务器，其网络地址、网络内容不同，操作系统也可以不同。它们可以使用同一套或不同套CMS。部署方式如图5所示，在CMS上安装网页防篡改系统的发布端和管理控制端，用于更新主站点Web服务器上的内容；在主站点的Web服务器上安装发布端和监控端，其中的发布端用来更新分站点上Web服务器上的内容；在各个分站点上需要安装网页防篡改系统的监控端。

图5 多Web服务器部署方式示例

(6) 多CMS部署方式

如图6所示，多CMS部署方式适合大型的门户网站，具有多个CMS和多个独立、异构的Web服务器。在各CMS上分别安装网页防篡改系统的发布端和管理控制端软件，多个发布端合成并更新主站点Web服务器上的内容；在主站点的Web服务器上安装发布端和监控端软件，主站点Web服务器上的发布端用来更新分站点上Web服务器上的内容；同样，需要在各个分站点安装网页防篡改系统的监控端。

图6 多CMS部署方式示例

1.3 网页防篡改系统工作流程

用户访问网站时，首先要经过Web防火墙的监控，对非法请求、恶意扫描及数据库注入攻击等进行拦截，只有合法的请求被传到Web站点；然后，由Web站点进行网页文件请求，同时，实时阻断模块开始工作，对访问网页进行实时规则检查、对网页的篡改及删除等操作进行拦截，并产生日志及报警；合法的请求被通过后，最终结果返回给用户。网页防篡改系统工作流程如图7所示。

1.4 网页防篡改系统三大核心模块设计

1.4.1 Web防火墙

Web防火墙模块主要对站点动态区域文件进行保护，是分析和拦截非法用户访问请求的第一道门槛。通过Web防火墙中的SQL防注入、关键字过滤、IP范围过滤、访问时间过滤，可以防止SQL注入攻击、恶意扫描、非法网页请求等Web安全事件的发生。Web防火墙的作用如图8所示。

图8 Web防火墙的作用

(1) 防SQL注入攻击

SQL的注入式攻击主要是服务器端暴露的访问SQL的方法和手段被客户端所利用，进而对SQL数据库进行非法操作的攻击行为，由于数据库本身的系统漏洞和网站编程人员的安全意识薄弱，数据库存在注入攻击的可能是很大的，因此，防止SQL注入攻击成为网站安全的重中之重。

Web防火墙模块中的SQL防注入功能，通过设定正则表达式的规则，可以有效的防止黑客通过注入SQL语句的方式从网站关联的数据库中获取、修改数据信息或攻击数据库，如拦截mdb文件上传/下载、一般SQL注入猜测、SQL写操作关键字、SQL存储过程关键字、一般1=1注入测试及系统shell关键字等。

(2) 关键字过滤

通过设定关键字过滤规则，可以对站点访问路径、访问文件、查询串、提交内容(POST)、主机域、浏览器(User-Agent串)、Cookie串等进行限制。其中，设定访问路径过滤规则，可以过滤通过非法访问路径访问网站的用户非法访问请求；设定访问文件过滤规则，可以对用户的非法文件上传和下载进行限制；设定查询串过滤规则，可以对用户的非法查询行为进行限制；设定POST过滤规则，可以对用户提交的非法内容进行限制；设定主机域过滤规则，可以对用户访问的域名、IP地址进行限制；设定浏览器过滤规则，可以对用户访问所使用的浏览器进行限制；设定Cookie值，可以对用户访问记录的保存情况进行限制。

(3) IP范围和访问时间过滤

IP范围过滤规则主要对访问用户的来源地址的IP范围进行限定，访问时间过滤规则主要对用户访问站点的时间范围进行限定。

需要指出的是，关键字过滤、IP范围和访问时间过滤规则之间是与的关系，即当这三个规则同时成立时，过滤规则才生效。各种规则设置界面如图9所示。

图9 规则设置界面示例

1.4.2 实时阻断模块

实时阻断模块内嵌于Web服务器中，是一种主动和直接的网站文件保护方式，它不仅可以实现多个站点文件的保护，还可以实现单个站点中文件夹或文件夹中单个文件的保护。采用该技术，可以预先把站点或站点目录文件保护起来，除了指定的合法进程和端口服务之外，禁止其它任何进程和端口访问对保护的目录及文件的所有更改操作，在非法进程开始侵入系统之前就切断其连接，禁止其下一步行为。实时阻断模块的作用如图10所示。

图10 实时阻断模块作用

1.4.3 BI智能分析模块

BI智能分析摸块，是一种商业智能的网站分析模块，它在网站日志分析的基础上，应用商业智能领域中的数据库、在线分析处理以及数据挖掘三大技术，对网站进行数据测量、评价预测，以及综合性的分析，是一套先进的交互式专业日志分析软件。

2 总结

实验中心主页作为实验中心信息发布、资源共享和对外交流的平台，是中心的窗口和门户，面对目前越来越多的网络威胁，防止中心主页被篡改已成为保护中心网站安全稳定运行必不可少的措施。本文设计了一类网页防篡改系，通过对网页防篡改系统设计原理、典型模块设计原理及过程的分析，指出了该类系统实现的原理和关键技术，希望对相关系统设计起到借鉴作用。

[1] CNCERT/CC.2010年中国互联网网络安全报告[EB/OL].http://www.cert.org.cn/articles/docs/common/2011042225342.s html.心建设—以东莞理工学院为例[J].实验室研究与探索.2011.

[2] 盖玲.防网页篡改技术比较分析[J].图书与情报.2007.

[3] 陈宁江,杜凡远.网页防篡改应用技术分析[J].现代机械.2009.

[4] 张建华,李涛,张楠.Web页面防篡改及防重放机制[J].计算机应用.2006.

[5] 杨飞.网页防篡改技术[J].计算机安全.2008.

[6] 姚滢.网页防篡改系统的研究与设计方案[J].计算机安全.2010.