文档首页/ 企业主机安全 HSS/ 快速入门/ 购买并开启网页防篡改防护
更新时间:2025-07-24 GMT+08:00
查看PDF
分享

购买并开启网页防篡改防护

操作场景

企业主机安全网页防篡改版提供静态+动态(Tomcat)网页防篡改功能,可实时监控网站目录,并支持通过备份恢复被篡改的文件或目录,从而保护重要系统的网站信息不被恶意篡改;此外还提供多项服务器安全防护功能,详细内容请参见产品功能

本文以如下配置为例,介绍购买并开启网页防篡改防护的操作指导。

  • 主机:EulerOS 2.9华为云弹性云服务器
  • 防护配额:
    • 计费模式:包年/包月
    • 版本规格:网页防篡改版
    • 数量:1

操作流程

操作步骤

说明

准备工作

注册华为账号并开通华为云,实名认证,为账户充值,为IAM用户授权以及准备需要防护的云服务器资源。

步骤一:购买防护配额

设置主机安全防护的计费模式、版本规格等信息,为目标云服务器购买防护配额。

步骤二:安装Agent

为目标云服务器安装Agent。

步骤三:开启防护

为目标云服务器开启防护。

准备工作

  1. 在购买网页防篡改防护之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云实名认证

    如果您已开通华为云并进行实名认证,请忽略此步骤。

  2. 请保证账户有足够的资金,以避免购买HSS防护配额失败。具体操作请参见账户充值
  3. 若使用IAM用户进行操作,请确保已为IAM用户赋予“HSS FullAccess”权限。具体操作请参见创建用户并授权使用HSS

    购买HSS防护配额时,还需要为IAM用户授予“BSS Administrator”“Tenant Guest”权限。

  4. 已准备好用于开启网页防篡改防护的华为云弹性云服务器。

步骤一:购买防护配额

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 单击页面左上方的,选择“安全与合规 > 企业主机安全”,进入企业主机安全页面。
  4. “总览”页面右上角,单击“购买主机安全”,进入购买主机安全配额页面。
  5. 配置购买参数。

    参数

    示例

    说明

    区域

    华北-北京四

    选择主机所在区域。购买后无法更换区域,请谨慎选择。

    计费模式

    包年/包月

    网页防篡改仅支持“包年/包月”计费模式。

    “包年/包月”是一种预付费模式,即先付费再使用,按照订单的购买周期进行结算。购买周期越长,享受的折扣越大。更多信息,请参见计费说明

    版本规格

    网页防篡改版

    HSS提供基础版、专业版、企业版、旗舰版、网页防篡改版和容器版供您选择,不同版本之间功能有所差异,各版本的功能支持详情,请参见产品功能

    企业项目

    default

    仅当使用企业类型的账号购买防护配额时,会显示该参数。

    用于按项目统一管理云资源。

    标签

    暂不添加

    标签用于标识主机安全,方便分类及管理云资源。

    自动绑定

    暂不勾选

    勾选后,若有新增的主机或容器节点,在首次安装Agent成功但未绑定配额时,将为您自动绑定空闲可用包年/包月配额。

    仅自动绑定剩余可用配额,不会产生新增订单及费用

    购买时长

    1个月

    根据需求选择购买时长,购买周期越长,享受的折扣越大。

    自动续费

    暂不勾选

    勾选后,当服务期满时,系统会自动按照购买周期进行续费。

    购买数量

    1台

    根据实际的主机数量设置数值。

  6. 在页面右下角,单击“立即购买”,进入“订单确认”界面。
  7. 确认订单无误后,请阅读《主机安全免责声明》并勾选“我已阅读并同意《主机安全免责声明》”
  8. 单击“去支付”,进入付款页面,单击“确定”,完成支付,购买成功。
  9. 单击“返回企业主机安全控制台”,返回企业主机安全控制台。

步骤二:安装Agent

  1. 企业主机安全控制台左侧导航栏选择安装与配置 > 主机安装与配置,进入“主机安装与配置”页面。
  2. 在页面右上方单击“安装主机安全Agent”,弹出“安装主机安全Agent”对话框。
  3. 选择“弹性云服务器ECS安装”,并单击“开始配置”
  4. 选择安装方式,参数说明请参见表1

    图1 安装Agent
    表1 安装Agent参数设置

    参数

    示例

    说明

    选择安装模式

    命令行安装
    • 界面安装:需要您提供服务器账号密码或密钥,用于安装Agent,HSS不会保存您提交的密码文件。使用此方式前需确保同VPC内至少有一台Agent在线的ECS主机,因为安装Agent时会选择同VPC内的主机作为执行机。
    • 命令行安装:需要登录服务器执行命令行或脚本,首次安装Agent需采用此方式。

    选择服务器所在账号

    本账号
    • 本账号:指的是服务器和您购买的企业主机安全配额在同一个账号下,您登录该账号获取安装命令或脚本为目标服务器安装Agent。
    • 跨账号:指的是服务器和您购买的企业主机安全配额不在同一账号下,您登录A账号获取安装命令或脚本,为B账号下的目标服务器安装Agent,Agent安装成功后,可以在A账号的资产管理 > 主机管理页面查看到目标服务器。

    选择服务器操作系统

    Linux

    根据服务器的操作系统类型选择。

    选择安装数量

    单台

    根据需要安装Agent的服务器数量选择。

  1. (可选)选择需要打通网络安装Agent的服务器,并单击“下一步”

    • “华东二”“西南-贵阳一”区域,需要执行此操作。执行完成后,HSS会自动在VPCEP为您创建一个终端节点,这将占用一个您的虚拟私有云子网IP。每个虚拟私有云仅会为您创建一个终端节点,以确保服务器和HSS服务端能够正常通信。
    • 其他区域,请确保您的服务器已放通安全组出方向100.125.0.0/16网段的10180端口,该端口用于与HSS服务端通信。

  2. 根据界面提示,安装Agent。

    “华东二”“西南-贵阳一”区域请等待网络打通完成(即VPCEP创建完成)后执行如下操作。

    1. 单击控制台界面“安装主机安全Agent”对话框中复制安装命令。
      图2 复制安装命令
    2. 以Root账号登录服务器,并粘贴执行安装命令。

      界面回显如图 Agent安装完成所示,表示Agent安装完成。

      图3 Agent安装完成

  3. 等待5~10分钟,返回企业主机安全控制台,在主机安装与配置 > Agent管理 > 已安装主机页面,查看目标服务器Agent状态。

    Agent状态显示在线,表示Agent安装成功。

步骤三:开启防护

  1. 企业主机安全控制台左侧导航栏选择主机防御 > 网页防篡改,进入网页防篡改页面。
  2. “防护配置”页签,单击“添加防护服务器”,系统弹出“添加防护服务器”页面。
  3. “添加防护服务器”页面,选择防护服务器,并单击“下一步”。相关参数说明请参见表2

    图4 选择防护服务器
    表2 选择防护服务器参数说明

    参数名称

    示例

    参数说明

    操作系统

    Linux

    选择要开启网页防篡改防护的服务器操作系统类型。

    • Linux
    • Windows

    选择服务器

    -

    勾选目标服务器。

    可通过软件类型和其他属性筛选出目标服务器。

    选择配额

    包年/包月

    企业主机安全网页防篡改版支持“包年/包月”“按需计费”两种计费模式,以满足不同场景下的用户需求。

    • 包年/包月:一种预付费模式,即先付费再使用,按照订单的购买周期进行结算。购买周期越长,享受的折扣越大。
    • 按需计费:一种后付费模式,即先使用再付费,按照企业主机安全实际使用时长计费,秒级计费,按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用,无需提前预置资源,从而降低预置过多或不足的风险。

    选择包年/包月计费模式时,可以选择需要使用的目标配额,也可以保持默认“随机选择配额”。

    协议许可

    勾选

    在开启网页防篡改防护前,请确保您已充分阅读《主机安全免责声明》

    在阅读完成后,请勾选我已阅读并同意主机安全免责声明

  4. “添加防护服务器”页面,配置策略。相关参数说明请参见表3

    图5 配置策略
    表3 配置策略参数说明

    参数名称

    示例

    参数说明

    防护目录

    /etc/lesuo

    网页防篡改支持静态、动态网页防护,其中静态网页防护是对指定的目录进行防护,通过驱动级锁定Web文件目录下的文件,禁止攻击者修改。

    因此,在开启网页防篡改时,需要设置防护的指定目录。

    将目录添加为防护目录后,目录内的文件和文件夹将被设置为只读模式,禁止任何修改操作。

    防护目录添加规则如下:

    • Linux系统:
      • 目录名不能包含;字符,不能以空格开头,不能以/结尾,防护目录长度不得超过256个字符。
      • 每台服务器最多可添加50个防护目录。
      • 每个防护目录下的文件夹层级不超过100。
      • 所有防护目录下的文件夹个数不超过900000。
    • Windows系统:
      • 目录名不能包含;/*?"<>|,不能以空格开头,不能以\结尾,防护目录长度不得超过256个字符。
      • 每台服务器最多可添加50个防护目录。
    请勿将网络目录添加为防护目录,主要原因如下:
    • 检测效率低

      网络目录通常包含大量文件,总容量可能达到上百TB,这将显著降低检测效率。

    • 占用网络带宽

      访问网络目录时需要占用网络带宽,大规模检测可能导致带宽被完全占满,进而影响到您正常业务的运行,包括但不限于网络速度变慢、网络延迟增加等。

    排除子目录(可选)

    cache

    如果防护目录内存在无需防护的子目录,可排除该子目录。

    子目录添加规则如下:

    • 可以直接输入子目录名称,或输入相对于防护目录的目录路径。当输入子目录名称时,所有与之匹配的子目录都会被排除,无论位于防护目录下的哪一层。
    • 子目录的名称或路径不能以/开头或结尾,最大长度不能超过256个字符。
    • 最多可添加10个子目录,多个子目录用英文分号(;)隔开。

    排除文件路径列表(可选)

    ma.txt

    仅Linux服务器可设置此项。

    如果防护目录内存在无需防护的文件,可排除该文件。

    排除文件路径添加规则如下:

    • 可以直接输入文件名称,或输入相对于防护目录的文件路径。当输入文件名称时,所有与之匹配的文件都会被排除,无论位于防护目录下的哪一层。
    • 文件名称或路径不能以/开头或结尾,最大长度不能超过256个字符;
    • 最多可添加50个文件,多个文件用英文分号(;)隔开。

    本地备份路径

    /backup

    仅Linux服务器可设置此项。

    设置防护目录的本地备份路径,开启网页防篡改防护后,防护目录内的文件会自动备份到本地备份路径下,一旦检测到防护目录内的文件被篡改,系统会立即使用本地备份自动恢复被非法篡改的文件。

    本地备份路径添加规则如下:

    • 本地备份路径不能包含;字符,不能以空格开头,不能以/结尾,本地备份路径长度不得超过256个字符。
    • 由于系统关键目录更容易成为恶意攻击的目标,因此不允许将系统关键目录作为备份路径,包括但不限于“/etc/”“/bin/”“/usr/bin/”“/var/spool/”“/usr/bin/”“/usr/sbin/”“/sbin/”“/usr/lib/”“/lib/”“/lib64/”“/usr/lib64/”及其子目录。

    本地备份规则说明:

    • 本地备份路径须为合法路径,且本地备份路径不能与防护目录路径重叠。
    • 被排除的子目录和文件类型不会进行备份。
    • 防护目录内的文件大小不同,则备份时间不同,一般约10分钟完成备份。

    排除文件类型

    log

    如果防护目录内存在无需防护的文件类型,可排除该文件类型(无文件类型限制),例如log类型的文件。

    为了实时记录主机中的运行情况,必须排除防护目录内的log类型文件,您可以为日志文件添加等级较高的读写权限,防止攻击者恶意查看或篡改日志文件。

    防护模式

    拦截

    监控到文件被篡改时的防护方式。

    • 告警模式:仅发送告警通知。
    • 拦截模式:发送告警通知,同时将文件还原至被篡改前的状态。

    定时开关设置(可选)

    定时开关用于定时关闭静态网页防篡改,适用于用户定时修改/更新/发布网页内容的场景。

    单击开启定时开关,同时需要设置以下参数:

    • 关闭时间段

      一天内,关闭静态网页防篡改的时间段,例如10:05-15:35。

      时间段设置要求如下:

      • 每个时间段最短不能少于5分钟。
      • 多个时间段之间不允许重叠,且两段时间间隔必须大于5分钟(时间00:00和23:59特例除外)。
      • 所有时段以主机系统时间为准。
    • 自动关闭防护周期

      一周内,固定周几自动关闭静态网页防篡改,例如周三、周四。

    动态网页防篡改(可选)

    ,/usr/workspace/apache-tomcat-8.5.15/bin

    动态网页防篡改主要用于保护Linux系统上的Tomcat应用,它能够在应用运行期间实时检测并阻止针对数据库等动态数据的篡改行为。

    动态网页防篡改当前支持JDK 8、JDK 11和JDK 17的Tomcat应用。

    单击开启动态网页防篡改,开启动态网页防篡改时,需要填写完整的Tomcat bin目录路径,例如“/usr/workspace/apache-tomcat-8.5.15/bin”,系统会将setenv.sh脚本预置在bin目录中,用于设置防篡改程序的启动参数。

    特权进程设置(可选)

    特权进程是指被授权可以修改防护目录的进程。

    此功能兼容Linux和Windows操作系统,但Linux仅支持内核版本不低于5.10的系统。

    开启网页防篡改后,防护目录内的所有文件将被设置为只读模式,禁止任何修改操作;即使尝试更改内容,系统也会自动将相应的文件或网站恢复到修改前的状态,修改不会生效。

    如果您需要修改防护目录内的文件或更新网站,可添加特权进程进行修改。特权进程被授权访问防护目录,需确保特权进程安全可靠。

    单击开启特权进程,同时需要设置以下参数:

    • 特权进程文件路径

      特权进程文件路径即进程完整路径,多个特权进程文件路径以换行符分隔,最多可添加10个特权进程。

    • 子进程可信

      开启“子进程可信”,企业主机安全将对添加的所有特权进程文件路径下5个层级内的子进程可信。允许子进程修改防护目录。

  5. 配置策略完成后,单击“确定”,开启网页防篡改版防护。
  6. 在防护设置页签中,查看目标服务器的静态防篡改状态、动态防篡改状态。

    静态防篡改状态为“防护中”、动态防篡改状态为,表示静态、动态网页防篡改开启成功。动态网页防篡改开启后,需要重启Tomcat,否则不会生效。

相关操作

  • 修改防护目录下的文件/文件夹
    开启网页防篡改防护后,对应防护目录下的文件/文件夹为只读状态,不允许被修改,如果您需要修改防护目录下的文件/文件夹,请参考以下方式:
    • 添加特权进程:特权进程最多支持添加10个,详细操作请参见修改网页防篡改配置
    • 定时开启/关闭静态网页防篡改:除了添加特权进程外,您可以设置定时开启/关闭静态网页防篡改,在网页防篡改关闭时段修改文件/文件夹,详细操作请参见修改网页防篡改配置
  • 开启服务器主动防护功能
    企业主机安全网页防篡改版为服务器提供了一些主动防护功能,这些功能在开启网页防篡改防护时并未开启或未完全开启,您可以根据自身的业务情况综合考虑是否使用这些功能,需要您自行选择开启的功能及说明如表 服务器主动防护功能说明
    表4 服务器主动防护功能说明

    功能

    说明

    勒索病毒防护

    勒索病毒入侵主机后,会对主机数据进行加密勒索,导致主机业务中断、数据泄露或丢失,主机所有者即使支付赎金也可能难以挽回所有损失,因此勒索病毒是当今网络安全面临的最大挑战之一。企业主机安全支持静态、动态勒索病毒防护,定期备份主机数据,可以帮助您抵御勒索病毒,降低业务损失风险。

    开启容器版防护会自动为您开启勒索病毒防护,在您的主机上部署诱饵文件,并对可疑加密程序执行自动隔离。您可以修改勒索病毒防护策略,同时建议您开启勒索备份以提升勒索事后恢复能力。

    应用防护

    应用防护功能旨在为运行时的应用提供安全防御。您无需修改应用程序文件,只需将探针注入到应用程序,即可为应用提供强大的安全防护能力。

    应用进程控制

    应用进程控制功能支持管控应用进程运行,通过学习服务器中运行的应用进程特征,将应用进程划分为可信进程、恶意进程和可疑进程,允许可疑、可信进程正常运行,对恶意进程运行进行告警,帮助用户构建安全的应用进程运行环境,避免服务器遭受不受信或恶意应用进程的破坏。

    病毒查杀

    病毒查杀功能使用特征病毒检测引擎,支持扫描服务器中的病毒文件,扫描文件类型覆盖可执行文件、压缩文件、脚本文件、文档、图片、音视频文件;用户可根据自身需要,自主对服务器执行“快速查杀”、“全盘查杀”、“自定义查杀”扫描任务,并及时处置检测到的病毒文件,增强业务系统的病毒防御能力。

    策略管理

    企业主机安全提供了多个版本,包括基础版、专业版、企业版、旗舰版、网页防篡改版和容器版;除了基础版外,企业主机安全其他每个防护版本都有对应的默认防护策略组;策略组是多个策略的集合,这些策略应用于主机上,用于集中管理和配置企业主机安全检测和防护主机的灵敏度、规则、范围等。如果您在使用企业主机安全过程中,对资产管理、基线检查、入侵检测等检测策略有定制化需求,可以根据业务需求自定义配置策略。策略组中的部分策略未默认启用,您也可以结合自身需求,选择启用。

相关文档