文档首页/ 企业主机安全 HSS/ 快速入门/ 购买并开启网页防篡改防护
更新时间:2024-12-20 GMT+08:00
分享

购买并开启网页防篡改防护

操作场景

企业主机安全网页防篡改版提供静态+动态(Tomcat)网页防篡改功能,可实时监控网站目录,并支持通过备份恢复被篡改的文件或目录,从而保护重要系统的网站信息不被恶意篡改;此外还提供多项服务器安全防护功能,详细内容请参见产品功能

本文以如下配置为例,介绍购买并开启网页防篡改防护的操作指导。

  • 主机:EulerOS 2.9华为云弹性云服务器
  • 防护配额:
    • 计费模式:包年/包月
    • 版本规格:网页防篡改版
    • 数量:1

操作流程

操作步骤

说明

准备工作

注册华为账号并开通华为云,实名认证,为账户充值,为IAM用户授权以及准备需要防护的云服务器资源。

步骤一:购买防护配额

设置主机安全防护的计费模式、版本规格等信息,为目标云服务器购买防护配额。

步骤二:安装Agent

为目标云服务器安装Agent。

步骤三:开启防护

为目标云服务器开启防护。

准备工作

  1. 在购买网页防篡改防护之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云实名认证

    如果您已开通华为云并进行实名认证,请忽略此步骤。

  2. 请保证账户有足够的资金,以避免购买HSS防护配额失败。具体操作请参见账户充值
  3. 若使用IAM用户进行操作,请确保已为IAM用户赋予“HSS FullAccess”权限。具体操作请参见创建用户并授权使用HSS

    购买HSS防护配额时,还需要为IAM用户授予“BSS Administrator”权限。

  4. 已准备好用于开启网页防篡改防护的华为云弹性云服务器。

步骤一:购买防护配额

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 单击页面左上方的,选择“安全与合规 > 企业主机安全”,进入企业主机安全页面。
  4. “总览”页面右上角,单击“购买主机安全”,进入购买主机安全配额页面。
  5. 配置购买参数。

    参数

    示例

    说明

    计费模式

    包年/包月

    网页防篡改仅支持“包年/包月”计费模式。

    “包年/包月”是一种预付费模式,即先付费再使用,按照订单的购买周期进行结算。购买周期越长,享受的折扣越大。更多信息,请参见计费说明

    区域

    华北-北京四

    选择主机所在区域。购买后无法更换区域,请谨慎选择。

    版本规格

    网页防篡改版

    HSS提供基础版、专业版、企业版、旗舰版、网页防篡改版和容器版供您选择,不同版本之间功能有所差异,各版本的功能支持详情,请参见产品功能

    企业项目

    default

    仅当使用企业类型的账号购买防护配额时,会显示该参数。

    用于按项目统一管理云资源。

    标签

    暂不添加

    标签用于标识主机安全,方便分类及管理云资源。

    自动绑定

    暂不勾选

    勾选后,若有新增的主机或容器节点,在首次安装Agent成功但未绑定配额时,将为您自动绑定空闲可用包年/包月配额。

    仅自动绑定剩余可用配额,不会产生新增订单及费用

    购买时长

    1个月

    根据需求选择购买时长,购买周期越长,享受的折扣越大。

    自动续费

    暂不勾选

    勾选后,当服务期满时,系统会自动按照购买周期进行续费。

    购买数量

    1台

    根据实际的主机数量设置数值。

  6. 在页面右下角,单击“立即购买”,进入“订单确认”界面。
  7. 确认订单无误后,请阅读《主机安全免责声明》并勾选“我已阅读并同意《主机安全免责声明》”
  8. 单击“去支付”,进入付款页面,单击“确定”,完成支付,购买成功。
  9. 单击“返回企业主机安全控制台”,返回企业主机安全控制台。

步骤二:安装Agent

  1. 企业主机安全控制台左侧导航栏选择安装与配置 > 主机安装与配置,进入“主机安装与配置”页面。
  2. 选择Agent管理 > 未安装主机,进入“未安装主机”页面。
  3. 在目标服务器的“操作”列,单击“安装Agent”,弹出“安装Agent”对话框。

    图1 安装Agent

  4. 选择并填写服务器验证信息。

    表1 安装Agent参数设置

    参数

    示例

    说明

    选择服务器验证模式

    账号密码方式

    • 账号密码方式:通过服务器IP地址及密码验证安装。
    • 密钥方式:通过云密钥(DEW)或自建密钥(仅支持Linux)验证安装。

    允许以root权限直连

    勾选

    勾选后,表示服务器可以通过Root账号直接登录,您填写服务器Root密码、服务器登录端口后,HSS将通过您的Root账号为主机安装Agent。

    服务器root密码

    -

    根据服务器实际信息进行填写。

    服务器登录端口

    22

    根据服务器实际登录端口进行填写。

    图2 填写服务器验证信息。

  1. 单击“确定”,Agent开始安装。
  2. 选择“已安装主机”页面,筛选查看目标服务器Agent状态。

    Agent状态显示在线,表示Agent安装成功。

步骤三:开启防护

  1. 企业主机安全控制台左侧导航栏选择主机防御 > 网页防篡改,进入网页防篡改页面。
  2. “防护配置”页签,单击“添加防护服务器”
  3. “添加防护服务器”弹窗中,选择目标服务器并单击“添加并开启防护”

    图3 添加防护服务器

  4. 阅读添加防护目录的提示,然后单击关闭提示。

    图4 防护目录提示

  5. 在目标服务器所在行的“操作”列,单击“防护设置”,进入防护设置页面。

    图5 进入防护设置

  6. 添加防护目录。

    1. 在防护目录设置模块,单击“设置”
    2. “防护目录设置”弹窗中,单击“添加防护目录”
      图6 添加防护目录
    3. 设置防护目录。
      表2 添加防护目录参数设置

      参数

      示例

      说明

      防护目录

      /etc/lesuo

      添加需要防护的目录。

      • 请勿将操作系统目录添加为防护目录。
      • 添加为防护目录后,防护目录下的文件和文件夹将为只读状态,无法直接修改。

      排除子目录

      lesuo/test

      排除防护目录下不需要防护的子目录,例如临时文件目录。

      多个子目录请用英文分号隔开,最多可添加10个子目录。

      排除文件类型

      log;pid;text

      排除防护目录下不需要防护的文件类型,例如log类型的文件。

      为实时记录主机中的运行情况,请排除防护目录下log类型的文件,您可以为日志文件添加等级较高的读写权限,防止攻击者恶意查看或篡改日志文件。

      多个文件类型请用英文分号隔开。

      本地备份路径

      /etc/backup

      服务器操作系统为Linux的用户需要设置此项。

      设置防护目录文件的本地备份路径,开启网页防篡改防护后,防护目录下的文件会自动备份到设置的本地备份路径中。

      备份规则说明如下:

      • 本地备份路径须为合法路径,且本地备份路径不能与防护目录路径重叠。
      • 被排除的子目录和文件类型不会备份。
      • 防护目录下文件大小不同,备份时间也不同,一般约10分钟完成备份。
      • 当检测到防护目录下的文件被篡改时,系统将立即使用本地主机备份文件自动恢复被非法篡改的文件。

      排除文件路径列表

      lesuo/data;lesuo/list

      排除防护目录下不需要防护的文件。

      多个路径请用英文分号隔开,最多可添加50个路径, 路径最长字符限制为256;单个路径不能以空格开始,不能以/结束。

    4. 单击“确定”,完成添加。
    5. 在防护目录列表中,查看防护目录防护状态为“防护中”,表示防护目录添加成功。

  7. (可选)启动远端备份。

    仅Linux服务器支持远端备份功能,Windows服务器请跳过此项。
    1. “防护目录设置”弹窗中,单击“管理远端备份服务器”
      图7 管理远端备份服务器
    2. 单击“添加远端备份服务器”
    3. 设置远端备份服务器信息后,单击“确定”
      表3 添加远端备份服务器参数设置

      参数

      示例

      说明

      服务器名称

      test

      选择作为远端备份的服务器名称。

      地址

      192.168.1.1

      填写作为远端备份的华为云服务器的私网地址。

      端口

      8080

      填写服务器端口。请确保设置的端口未被安全组、防火墙等拦截,并且未被占用。

      备份路径

      /hss01

      填写备份路径,将需要备份的防护目录下的内容备份在该远端备份服务器的目录下。

      • 若多个主机的防护目录同时备份在同一远端备份服务器时,备份路径下生成以“Agentid”为目录的文件夹,存放各主机的防护文件,以便用户手动恢复被篡改的网页。

        例如:两台主机的防护目录分别为“/hss01”“/hss02”,主机Agentid分别为“f1fdbabc-6cdc-43af-acab-e4e6f086625f”“f2ddbabc-6cdc-43af-abcd-e4e6f086626f”,设置远端备份路径为“/hss01”

        备份后路径为“/hss01/f1fdbabc-6cdc-43af-acab-e4e6f086625f”“/hss01/f2ddbabc-6cdc-43af-abcd-e4e6f086626f”

      • 若设置为远端备份服务器的主机开启了“网页防篡改”防护,那么该备份路径与自身的“防护目录”不能重叠,否则会导致远端备份失败。
    4. 在防护目录设置模块,单击“设置”
    5. “防护目录设置”弹窗中,单击“启动远端备份”
    6. 选择添加的远端备份服务器,单击“确定”
    7. 远端备份显示“已启动”,表示启动远端备份成功。

  8. (可选)开启动态网页防篡改。

    Linux服务器JDK 8的Tomcat应用运行时自我保护,如果您没有Tomcat应用运行时防护的需求或服务器操作系统为Windows,请跳过此项。
    1. 在动态网页防篡改模块,单击
      图8 开启动态网页防篡改
    2. 在开启动态网页防篡改弹窗中,填写Tomcat bin目录并单击“确定”

      此处Tomcat bin目录示例“/usr/workspace/apache-tomcat-8.5.15/bin”

    3. 动态网页防篡改开关按钮显示为,表示开启动态网页防篡改成功。
    4. 重启Tomcat,生效动态网页防篡改功能。

相关操作

  • 修改防护目录下的文件/文件夹
    开启网页防篡改防护后,对应防护目录下的文件/文件夹为只读状态,不允许被修改,如果您需要修改防护目录下的文件/文件夹,请参考以下方式:
    • 添加特权进程:特权进程最多支持添加10个,详细操作请参见添加特权进程
    • 定时开启/关闭静态网页防篡改:除了添加特权进程外,您可以设置定时开启/关闭静态网页防篡改,在网页防篡改关闭时段修改文件/文件夹,详细操作请参见定时开启/关闭静态网页防篡改
  • 开启服务器主动防护功能
    企业主机安全网页防篡改版为服务器提供了一些主动防护功能,这些功能在开启网页防篡改防护时并未开启或未完全开启,您可以根据自身的业务情况综合考虑是否使用这些功能,需要您自行选择开启的功能及说明如表 服务器主动防护功能说明
    表4 服务器主动防护功能说明

    功能

    说明

    勒索病毒防护

    勒索病毒入侵主机后,会对主机数据进行加密勒索,导致主机业务中断、数据泄露或丢失,主机所有者即使支付赎金也可能难以挽回所有损失,因此勒索病毒是当今网络安全面临的最大挑战之一。企业主机安全支持静态、动态勒索病毒防护,定期备份主机数据,可以帮助您抵御勒索病毒,降低业务损失风险。

    开启网页防篡改防护会自动为您开启勒索病毒防护,在您的主机上部署诱饵文件,并对可疑加密程序执行自动隔离。您可以修改勒索病毒防护策略,同时建议您开启勒索备份以提升勒索事后恢复能力。

    应用防护

    应用防护功能旨在为运行时的应用提供安全防御。您无需修改应用程序文件,只需将探针注入到应用程序,即可为应用提供强大的安全防护能力。

    应用进程控制

    应用进程控制功能支持管控应用进程运行,通过学习服务器中运行的应用进程特征,将应用进程划分为可信进程、恶意进程和可疑进程,允许可疑、可信进程正常运行,对恶意进程运行进行告警,帮助用户构建安全的应用进程运行环境,避免服务器遭受不受信或恶意应用进程的破坏。

    病毒查杀

    病毒查杀功能使用特征病毒检测引擎,支持扫描服务器中的病毒文件,扫描文件类型覆盖可执行文件、压缩文件、脚本文件、文档、图片、音视频文件;用户可根据自身需要,自主对服务器执行“快速查杀”、“全盘查杀”、“自定义查杀”扫描任务,并及时处置检测到的病毒文件,增强业务系统的病毒防御能力。

    动态端口蜜罐

    动态端口蜜罐功能是一个攻击诱捕陷阱,利用真实端口作为诱饵端口诱导攻击者访问;在内网横向渗透场景下,可有效地检测到攻击者的扫描行为,识别失陷主机,延缓攻击者攻击真正目标,从而保护用户的真实资源。

相关文档