SANGFOR-NGAF-V6.6-2016年度渠道高级认证培训03-网页防篡改1.0

SANGFOR_NGAF_V6.6_2016年度渠道高级认证培训03_网页防篡改1.0第一页，共30页。培训内容培训目标NGAF网页防篡改2.0掌握网页防篡改1.0测试方法了解网页防篡改1.0排错及常见问题第二页，共30页。网页防篡改1.0测试深信服公司简介网页防篡改1.0排错及常见问题SANGFORNGAF第三页，共30页。1.1网页防篡改1.0测试1.2网页防篡改1.0排错及常见问题NGAF网页防篡改1.0第四页，共30页。自2003年CNCERT便开始每日对中国大陆地区网站被篡改情况进行跟踪监测，在发现被篡改网站后及时通知网站所在省份的分中心协助解决，争取被篡改网站快速恢复。以2011年为例，中国大陆地区被篡改网站各月累计为36612个，与2010年的34858个相比略增5.1%。另外最新2012年11月第23期的CNCERT互联网安全威胁报告数据如下：第五页，共30页。NGAF防篡改保存的本地缓存不能用来恢复被篡改的web服务器页面；服务器被篡改，如果绕过NGAF，还是会访问到被篡改的页面。第六页，共30页。1.1网页防篡改1.0测试网页防篡改1.0测试步骤如下：1、搭建网络拓扑；2、配置AF防篡改模块；3、图片篡改还原；4、精确匹配-非图片篡改重定向；5、模糊匹配-网页整体篡改重定向；6、模糊匹配-网站内网更新不判断篡改；7、模糊匹配-添加黑链判断篡改不重定向。第七页，共30页。1、搭建网络拓扑此处以NGAF网关部署为例，地址转换配置服务器上网的代理上网SNAT规则，配置服务器发布的DNAT规则，映射TCP70:80至00:80，配置服务器管理的DNAT规则，映射TCP70:22至00:22。应用控制策略配置为简化实验，所有区域全部放通第八页，共30页。2、配置AF防篡改模块配置精确配置，深度5，检测资源文件篡改，网站篡改后-阻止用户访问-显示提示页面，记录日志。注意：1、若网站必须使用域名才能正常访问，则起始URL必须配置域名，其他情况下配置为服务器的真实IP即可2、DNAT发布的服务器，起始URL若填写IP，则填写内网真实IP，不填写发布后的公网IP配置完成后可以看到抓取了33个缓存页面。第九页，共30页。3、图片篡改还原访问网站首页上方大图为：。删除header.jpg并上传一张本地篡改后的header.jpg，清空浏览器缓存，并再次访问网站，可见网页并未被篡改，查看NGAF控制台，发现有篡改提示，点击“篡改网页”，可以看到是/images/header.jpg被篡改，说明防篡改作用生效。第十页，共30页。4、精确匹配-非图片篡改重定向网站首页为index.php，下载index.php，篡改后上传至目录，篡改内容为更改栏目名称为HackedByHelen。篡改前内容篡改后内容清空浏览器缓存，并再次访问网页，发现网页被重定向第十一页，共30页。登陆设备控制台和数据中心查看篡改记录上传原始网页index.php修复，并重新浏览网页，建议多刷几次，并查看NGAF控制台，可见保护状态恢复正常第十二页，共30页。5、模糊匹配-网页整体篡改重定向更改防篡改保护配置为模糊匹配-高，并勾选“检测资源文件篡改”，“检测黑链”第十三页，共30页。网站首页为index.php，SSH下载/var/，篡改后上传至/var/www目录，篡改内容为更改网站标题修改title内容为HackedByHelen，更改网站body内容为HackedByHelen。窜改前：上传篡改后页面：第十四页，共30页。清空浏览器缓存，并再次访问网页，发现网页被重定向，防篡改生效篡改恢复步骤同4，此处略第十五页，共30页。6、模糊匹配-网站内网更新不判断篡改通过SSH上传更改过栏目标题的index.php，更改内容为将“办事服务”标题变更为“便民服务”清空浏览器缓存，并再次访问网页，发现网页编辑后内容可以正常浏览,登陆NGAF控制台，无篡改警告。第十六页，共30页。7、模糊匹配-添加黑链判断篡改不重定向通过上传被篡改的index.php，篡改内容为添加<ahref>的黑链篡改前篡改后第十七页，共30页。清空浏览器缓存，并再次访问网页，发现网页无明显变化，登陆NGAF控制台，看到有篡改事件并有篡改日志篡改恢复过程略第十八页，共30页。1.2网页防篡改1.0排错及常见问题常见的防篡改问题有如下两种1、防篡改状态显示“故障”；2、网页防篡改无效。第十九页，共30页。1、防篡改状态显示“故障”；说明：故障如上图所示，出现此提示的原因为NGAF无法访问被防护的服务器，无法获取网站缓存，从而导致提示故障。

由于部署在特殊环境，比如vlan环境中，错误的部署方法导致不通的，确认好客户网络环境拓扑，参考“2013年度渠道初级认证培训03_常见网络环境部署”。

另外还有路由或中间网络设备策略拦截导致的情况。通常出现在2.2及之前版本虚拟网线部署场景中的错误部署模式，此时升级2.2R1及更高版本。网桥部署不使用桥IP时也易造成同样的错误，更改部署模式即可。第二十页，共30页。2.2版本及之前版本的错误部署模式在2.2R1版本以后的不管是哪个部署模式都OK第二十一页，共30页。2、网页防篡改无效路由模式部署并DNAT发布服务器，服务器的url配置为外网IP，而域名IP对应关系中，又配置外网IP对应内网服务器真实IP时可能出现。故路由模式DNAT发布服务器场景下，请务必配置服务器URL和IP对应关系都为内网IP。除此之后，如果防篡改无效，还需确认检测方法为什么？模糊匹配对于从网页中提取title、meta等标签进行对比，若是修改其他内容则不做判定，因此对于客户有严格需求的环境下，建议修改为精确匹配。第二十二页，共30页。4.虚拟网线下防护不生效设备虚拟网线部署或网桥部署，防护不生效了，怎么回事？因为AF需要通过爬虫访问到防护网站，没有配置管理口IP，所以不能正常的防护。第二十三页，共30页。5.篡改图片后，默认不是还原网站么？AF的图片篡改测试，并没有还原为原来的网站，而是直接显示维护页面了,为什么？答复：改的是图片的引用代码，这就不是篡改图片了，应改变图片本身内容，而不改变图片的文件名。如图片的引用代码为：<imgsrc="/dedecms/uploads/allimg/4ec69e8105239.png">正确的测试方法为改4ec69e8105239.png的图片内容，如从兔子照片变成老虎照片，但是文件名不变。错误的测试方法为改代码为：<imgsrc="/dedecms/uploads/allimg/NGAFtest.png">，并放一个新的NGAFtest.png的图片到服务器上第二十四页，共30页。6.被防护的网站缓存怎么这么少？2.网页防护

，缓存才3个，太少了，不正常。原因是：填写的网页是首页跳转的，从跳转到，只填写首页就出现抓不到网页的现象，填写就好了高级配置中添加不了斜杠”/”第二十五页，共30页。7.收到的短信或邮件篡改提醒怎么这么多？网站本身就存在很多动态网页元素，却使用了精确匹配模式AF网站防篡改，模糊模式，总是报验证码被篡改图片。验证码这个东西每次都会变，不需要防篡“直接排除掉”第二十六页，共30页。8.AF