《Ecology系统安全配置说明》由会员分享,可在线阅读,更多相关《Ecology系统安全配置说明(26页珍藏版)》请在金锄头文库上搜索。
1、Ecology系统安全配置说明设计说明书Ecology系统女全配置说明Submitted By Weaver文档版本控制文档主题(Title)Ecology系统安全配置说明作者eAuthoWa re柳炉审批者东耀华支App弄ve号泛微软件大厦说政编码ommen袴)Ecology系统安全配置说明传真: 序号+86 21 50942278 日期版本变更说明修改人审批人1.2015/03/201新建柳炉2.2015/03/222针对使用非UTF-8编码开发柳炉的页面配置3.2015/03/303增加webservice安全验证柳炉文件名称鮎咖孰眨微软件有眼2J司Weaver Software Go.
2、Ltci4.2015/04/024修正本文件说明格式,方便理 解阅读柳炉5.2015/04/075增加XSS过滤字符的说明柳炉6.2015/04/136增加log日志访问权限控制柳炉7.2015/04/227增加参数值检查最小长度限制柳炉8.2015/5/268增加httponly配置柳炉9.2015/6/1510增加一些必须配置的项柳炉10.2015/10/1911增加cookie检查柳炉11.2015/10/2712增加对攻击源IP进行告警和封 杀的功能柳炉12.2015/11/2413增加了 cookie+ip绑定、登录前 页面参数格式严格限制、登录 检查功能柳炉13.2016/3/31
3、14增强了文件上传格式检查,增 强了规则库,默认开启登录校 验柳炉14.2016/5/2715默认开启了 cookie重置、修复 了安全包被绕过的bug,增强了 安全规则库。柳炉15.2016/7/1416新增自动更新规则库,安全包 更新自动提醒,系统安全检测, 攻击检查等功能,并且完善了 规则库。柳炉Ecology系统安全配置说明Ecology系统安全配置说明目录1 引言41.1 编写目的41.2 定义41.3 修复的漏洞情况说明41.3.1 xss 过滤字符说明81.3.2 SQL注入过滤规则说明81.4 配置详细说明81.4.1 系统安全规则库文件配置说明81.4.2 其他事项23Eco
4、logy系统安全配置说明1.1编写目的本文档主要描述了Ecology系统安全补丁包配置说明。方便升级同事进行升级包部署1.2定义下文中提及到的 WEB-INF/securityXML/weaver_security_custom_rules_l.xml 与 WEB-INF/ weaver_security_rules.xml 文件的格式完全一样。1.3安全包使用说明部署安全包后,用sysadmin登录系统,访问如下地址:http:贵司 OA 访问地址/security/monitor/Monitorjsp131检测安全包是否生效点击【安全包概要】页签,如果三项都显示为【开启】,则表示安全包正常
5、生效。Ecology系统安全配置说明1.3.2开启安全包自动更新功能圧. R-r曲圧: EWAW M:r/EVi*:如曲1岬.可儿.bLiAZ-HHEtillBhHSb . L-frJftflcffiMSdkfltI曹1 靜工Eie诣01 驴MfKS!W-.*nM.賢|曲.rwiKR-ADifliBVeigiJAH i 畫工阿i可 | LSaMUiL点击【加入安全规则库自动更新服务】即可生效,每天凌晨1点-5点之间的某个时间 点会检查安全包是否有更新,如果有更新会自动更新规则库。1.3.3查看当前系统环境信息及安全包版本信息Bftlutfft ffisflip5?空 Htft-iFfeE-H
6、WMUJW Wl.业沁!4dLLN: uiiEvrEl*ft?5-X#EjfcT *7息.L4IJ? 44*3?空1$6曲甚.elD:W 赫*Eaw:E ac包含系统版本信息、ecology信息、中间件信息、JDK版本信息、安全包版本信息。Ecology系统安全配置说明1.3.4系统安全体检【检测】点击此按钮,会对系统的配置进行检查,针对各项给出结果,如果不符合,则可 以按照修复方式加以操作;【修复】点击【检测】后,会出现该按钮,点击此按钮,会对系统的配置进行修复,导出resin.conf和web.xm 1,并在界面上给出修复的详细步骤。1.3.5安全监控NH4HMFQsWdXlAL该页会对系
7、统存在的攻击行为进行监控,如果确实发现为恶意攻击,可以手动封杀该 IP地址访问系统。【更新安全规则库缓存】如果自定义了安全规则库,可以通过点击该按钮使安全规则 库生效;【查看攻击源IP详情】点击此按钮,可以看到当前系统遭受攻击的情况。136备份与恢复如果系统出现安全包更新失败导致系统出现问题,可以在此页面快速恢复,以尽快让系 统恢复到正常状态。Ecology系统安全配置说明欢主干attBHiy?y斗tfrn:血將壮anviHMg刃豐Xle-n-cprlB.m2fliS-MH4曲曲WM时恥酣riATjOd*7flpinhlUu-o?-n.m%WW-07-32曲-SwtiiiIttWdDl ftr
8、wmWMl M FJftBMUwWyjgffj .lFW- Bl W . jiIF* !*TOirr4Kidr=hF=GQfc甲FMlira aro?-FYrt*M. I3QKM寸5*、空此页会检查当前系统中所有可用的安全防护功能,并且会检查是否开启,如果没有开启, 会给出开启该功能的方式。1.4修复的漏洞情况说明1、解决XSS跨域攻击;2、解决高危险级SQL注入攻击;Ecology系统安全配置说明3、防范钓鱼风险;4、Host伪造攻击;5、referer 检查;6、webservice白名单机制;7、cookie 的 httponly 机制;8、http响应拆分漏洞;9、log文件、数据库连
9、接访问权限控制;10、文件上传安全检查;11、ip白名单机制;12、cookie+ip 绑定机制;13、攻击源IP封杀机制;14、cookie重置功能;15、系统超时设置功能141 xss过滤字符说明目前,xss过滤采用关键字过滤,过滤方式采用直接删除的方式。1.4.2 SQL注入过滤规则说明如果检查到存在SQL注入风险,则直接拦截,并给出提示信息。1.5配置详细说明151系统安全规则库文件配置说明1511规则库文件位置说明:以下涉及到的xml文件都不能使用记事本、笔记本编辑,需要使用Editplus、Ultra等 文本工具编辑保存。1、开关配置文件/ecology/WEB-INF/weaver_security_config.xml1 2 B345S9101112131415161718192021.2324252272S293031323334353C373S39404142Ecology系统安全配置说明lfal 3etruefal seial3e30truefalse!- enabled or disabled File MonitDr r default is enabledtrue3fa1se480!-Thread scdn timer deiault
