文档首页/ Web应用防火墙 WAF/ 最佳实践/ 使用WAF和HSS提升网页防篡改能力
更新时间:2024-12-19 GMT+08:00
分享

使用WAF和HSS提升网页防篡改能力

应用场景

网页篡改是一种通过网页应用中的漏洞获取权限,通过非法篡改Web应用中的内容、植入暗链等,传播恶意信息,危害社会安全并牟取暴利的网络攻击行为。

如果网页被篡改,可能导致网页被植入色情、诈骗等非法信息的链接;发表反动言论,从而造成不良社会影响,损害企业品牌形象;对政府、高校、企事业单位等有影响力的单位来说,页面被恶意篡改将无意间成为传播危害社会安全等信息的帮凶,无形中错误引导大众,造成难以挽回的损失。

本章节介绍如何通过WAF和HSS实现动静态网页的防篡改。

方案架构及方案优势

当攻击者企图通过SQL注入等攻击手段篡改网页时,WAF通过对HTTP(S)请求进行检测,及时识别并阻断攻击,防止攻击渗透进入系统层。

即使攻击突破了第一层防护也不用慌,主机安全服务网页防篡改早已提前帮您驱动及锁定Web文件目录下的文件,只有网站管理员可通过特权进程更新网站内容;除了锁定文件,主机安全服务网页防篡改还同时在本地主机和远端做了备份,一旦发生非法篡改,可以立即通过备份目录进行恢复;对于web服务器里的应用程序等动态网页,主机安全服务网页防篡改采用RASP检测应用程序行为,能够检测针对数据库等动态数据的篡改行为,实时阻断攻击者通过应用程序篡改网页内容的行为。

主机安全服务网页防篡改和Web应用防火墙双剑合璧,杜绝网页篡改事件发生。

表1 HSS和WAF网页防篡改的区别

类别

HSS

WAF

静态网页

锁定驱动级文件目录、Web文件目录下的文件,禁止攻击者修改。

缓存服务端静态网页

动态网页

  • 动态数据防篡改

    提供tomcat应用运行时自我保护,能够检测针对数据库等动态数据的篡改行为。

  • 特权进程管理

    配置特权进程白名单后,网页防篡改功能将主动放行可信任的进程,确保正常业务进程的运行。

不支持

备份恢复

  • 主动备份恢复

    若检测到防护目录下的文件被篡改时,将立即使用本地主机备份文件自动恢复被非法篡改的文件。

  • 远端备份恢复

    若本地主机上的文件目录和备份目录失效,可通过远端备份服务恢复被篡改的网页。

不支持

防护对象

支持预防篡改和恢复篡改能力,适用于对网站防护要求高的用户。

适用于对网站防护要求低,仅需要对应用层进行防护的用户。

资源与成本规划

表2 资源和成本规划

资源

资源说明

每月费用

主机安全服务

  • 计费模式:包年/包月
  • 版本选择:网页防篡改版
  • 防护主机数量:1

具体的计费方式及标准请参考计费说明

Web应用防火墙

云模式-标准版:

  • 计费模式:包年/包月
  • 域名数量:10个防护域名
  • QPS配额:2,000QPS业务请求
  • 支持带宽峰值:云内100Mbps/云外30Mbps

具体的计费方式及标准请参考计费说明

步骤一:配置WAF网页防篡改规则

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全与合规 > Web应用防火墙 WAF
  4. 在左侧导航树中,选择“防护策略”,进入“防护策略”页面。
  5. 单击目标策略名称,进入目标策略的防护配置页面。
  6. 选择“网页防篡改”配置框,用户可根据自己的需要开启或关闭网页防篡改策略。

    • :开启状态。
    • :关闭状态。

  7. “网页防篡改”规则配置列表的左上方,单击“添加规则”
  8. 在弹出的对话框中,添加网页防篡改规则,参数说明如表3所示。

    图1 添加网页防篡改规则
    表3 参数说明

    参数

    参数说明

    取值样例

    域名

    设置防篡改的域名。

    www.example.com

    路径

    设置防篡改的URL链接中的路径(不包含域名)。

    URL用来定义网页的地址。基本的URL格式如下:

    协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。

    例如,URL为“http://www.example.com/admin”,则“路径”设置为“/admin”

    说明:
    • 该路径不支持正则。
    • 路径里不能含有连续的多条斜线的配置,如“///admin”,WAF引擎会将“///”转为“/”

    /admin

    规则描述

    可选参数,设置该规则的备注信息。

    --

  9. 单击“确定”,添加的网页防篡改规则展示在网页防篡改规则列表中。

步骤二:开启HSS网页防篡改

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全合规 > 企业主机安全”,进入企业主机安全界面。
  3. 在左侧导航树中,选择主机防御 > 网页防篡改,进入“网页防篡改”界面,单击“添加防护服务器”

    图2 添加防护服务器

  4. “添加防护服务器”页面,选择“可添加服务器”页签,勾选需要开启防护的服务器,选择目标配额,可默认随机选择,单击“添加并开启防护”
  5. 开启“网页防篡改”防护服务后,请在控制台上查看企业主机安全的开启状态。

    • 选择主机防御 > 网页防篡改,目标服务器所在行的“防护状态”“防护中”,则表示网页防篡改版已开启。
    • 选择资产管理 > 主机管理 > 云服务器,目标主机所在行的“防护状态”“防护中”,且“版本/到期时间”“网页防篡改版”,则表示网页防篡改防护已开启。

  • 关闭网页防篡改防护服务前,请对主机执行全面的检测,处理已知风险并记录操作信息,避免运维失误,使您的主机遭受攻击。
  • 关闭网页防篡改防护服务后,网页应用被篡改的可能性将大大提高,请及时清理主机中的重要数据、关停主机中的重要业务并断开主机与外部网络的连接,避免因主机遭受攻击而承担不必要的损失。
  • 执行关闭网页防篡改操作后,防护目录下的文件将不再受“网页防篡改”功能的防护,建议您提前处理防护目录下的文档,再对文档执行暂停防护、编辑或删除的相关操作。
  • 执行关闭网页防篡改操作后,若您的文档不慎被删除,请在主机本地备份或远端主机的备份路径中查找。
  • 当用户关闭网页防篡改时会同步关闭旗舰版防护。

相关文档