《sangfor_ngaf_v6.6_2016年度渠道高级认证培训03_网页防篡改1.0》由会员分享,可在线阅读,更多相关《sangfor_ngaf_v6.6_2016年度渠道高级认证培训03_网页防篡改1.0(29页珍藏版)》请在金锄头文库上搜索。
1、SANGFOR NGAF 网页防篡改1.0,网页防篡改1.0测试,深信服公司简介,网页防篡改1.0排错及常见问题,SANGFOR NGAF,1.1网页防篡改1.0测试 1.2网页防篡改1.0排错及常见问题,NGAF 网页防篡改1.0,自2003年CNCERT便开始每日对中国大陆地区网站被篡改情况进行跟踪监测,在发现被篡改网站后及时通知网站所在省份的分中心协助解决,争取被篡改网站快速恢复。以2011年为例,中国大陆地区被篡改网站各月累计为36612个,与2010年的34858个相比略增5.1%。另外最新2012年11月第23期的CNCERT互联网安全威胁报告数据如下:,NGAF防篡改保存的本地缓
2、存不能用来恢复被篡改的web服务器页面; 服务器被篡改,如果绕过NGAF,还是会访问到被篡改的页面。,1.1 网页防篡改1.0测试,网页防篡改1.0测试步骤如下: 1、搭建网络拓扑; 2、配置AF防篡改模块; 3、图片篡改还原; 4、精确匹配-非图片篡改重定向; 5、模糊匹配-网页整体篡改重定向; 6、模糊匹配-网站内网更新不判断篡改; 7、模糊匹配-添加黑链判断篡改不重定向。,1、搭建网络拓扑,此处以NGAF网关部署为例,地址转换配置服务器上网的代理上网SNAT规则,配置服务器发布的DNAT规则,映射TCP 10.10.2.170:80至172.16.0.100:80,配置服务器管理的DNA
3、T规则,映射TCP 10.10.2.170:22至172.16.0.100:22。应用控制策略配置为简化实验,所有区域全部放通,2、配置AF防篡改模块,配置精确配置,深度5,检测资源文件篡改,网站篡改后-阻止用户访问-显示提示页面,记录日志。,注意: 1、若网站必须使用域名才能正常访问,则起始URL必须配置域名,其他情况下配置为服务器的真实IP即可 2、DNAT发布的服务器,起始URL若填写IP,则填写内网真实IP,不填写发布后的公网IP,配置完成后可以看到抓取了33个缓存页面。,3、图片篡改还原,访问网站首页上方大图为:http:/10.10.2.170/images/header.jpg。
4、删除header.jpg并上传一张本地篡改后的header.jpg,清空浏览器缓存,并再次访问网站,可见网页并未被篡改,查看NGAF控制台,发现有篡改提示,点击“篡改网页”,可以看到是/images/header.jpg被篡改,说明防篡改作用生效。,4、精确匹配-非图片篡改重定向,网站首页为index.php,下载index.php,篡改后上传至目录,篡改内容为更改栏目名称为Hacked By Helen。 篡改前内容,篡改后内容,清空浏览器缓存,并再次访问网页,发现网页被重定向,登陆设备控制台和数据中心查看篡改记录,上传原始网页index.php修复,并重新浏览网页,建议多刷几次,并查看NG
5、AF控制台,可见保护状态恢复正常,5、模糊匹配-网页整体篡改重定向,更改防篡改保护配置为模糊匹配-高,并勾选“检测资源文件篡改”,“检测黑链”,网站首页为index.php,SSH下载/var/www/index.php,篡改后上传至/var/www目录,篡改内容为更改网站标题修改title内容为Hacked By Helen,更改网站body内容为Hacked By Helen。 窜改前:,上传篡改后页面:,清空浏览器缓存,并再次访问网页,发现网页被重定向,防篡改生效,篡改恢复步骤同4,此处略,6、模糊匹配-网站内网更新不判断篡改,通过SSH上传更改过栏目标题的index.php,更改内容为
6、将“办事服务”标题变更为“便民服务”,清空浏览器缓存,并再次访问网页,发现网页编辑后内容可以正常浏览,登陆NGAF控制台,无篡改警告。,7、模糊匹配-添加黑链判断篡改不重定向,通过上传被篡改的index.php,篡改内容为添加的黑链 篡改前,篡改后,清空浏览器缓存,并再次访问网页,发现网页无明显变化,登陆NGAF控制台,看到有篡改事件并有篡改日志,篡改恢复过程略,1.2 网页防篡改1.0排错及常见问题,常见的防篡改问题有如下两种 1、防篡改状态显示“故障”; 2、网页防篡改无效。,1、防篡改状态显示“故障”;,说明: 故障如上图所示,出现此提示的原因为NGAF无法访问被防护的服务器,无法获取网
7、站缓存,从而导致提示故障。 由于部署在特殊环境,比如vlan环境中,错误的部署方法导致不通的,确认好客户网络环境拓扑,参考“2013年度渠道初级认证培训03_常见网络环境部署”。 另外还有路由或中间网络设备策略拦截导致的情况。 通常出现在2.2及之前版本虚拟网线部署场景中的错误部署模式,此时升级2.2R1及更高版本。网桥部署不使用桥IP时也易造成同样的错误,更改部署模式即可。,2.2版本及之前版本的错误部署模式,在2.2R1版本以后的不管是哪个部署模式都OK,2、网页防篡改无效,路由模式部署并DNAT发布服务器,服务器的url配置为外网IP,而域名IP对应关系中,又配置外网IP对应内网服务器真
8、实IP时可能出现。故路由模式DNAT发布服务器场景下,请务必配置服务器URL和IP对应关系都为内网IP。,除此之后,如果防篡改无效,还需确认检测方法为什么?模糊匹配对于从网页中提取title、meta等标签进行对比,若是修改其他内容则不做判定,因此对于客户有严格需求的环境下,建议修改为精确匹配。,4.虚拟网线下防护不生效,设备虚拟网线部署或网桥部署,防护不生效了,怎么回事?因为AF需要通过爬虫访问到防护网站,没有配置管理口IP,所以不能正常的防护。,5.篡改图片后,默认不是还原网站么?,AF的图片篡改测试,并没有还原为原来的网站,而是直接显示维护页面了,为什么? 答复:改的是图片的引用代码,这
9、就不是篡改图片了,应改变图片本身内容,而不改变图片的文件名。 如图片的引用代码为: 正确的测试方法为改4ec69e8105239.png的图片内容,如从兔子照片变成老虎照片,但是文件名不变。 错误的测试方法为改代码为: ,并放一个新的NGAFtest.png的图片到服务器上,6.被防护的网站缓存怎么这么少?,2.网页防护 ,缓存才3个,太少了,不正常。原因是:填写的网页是首页跳转的,从,高级配置中添加不了斜杠”/”,7.收到的短信或邮件篡改提醒怎么这么多?,网站本身就存在很多动态网页元素,却使用了精确匹配模式 AF网站防篡改,模糊模式,总是报验证码被篡改图片。验证码这个东西每次都会变,不需要防篡“直接排除掉”,8.AF支持防护HTTPS站点么?,1.AF能不能做https网站的防篡改? 此功能需要ssl卸载做内容解密,AF不支持,所以AF就不支持https站点的防护。,问题思考,防篡改状态显示故障的可能性? 图片被篡改后为什么不还原?,
