修改网页防篡改配置

操作场景

本章节为您介绍网页防篡改防护开启后，如何修改防护配置。

可修改的防护配置内容如下：

• 调整防护目录：新增、修改、删除防护目录，适用于防护目录变更的场景。
• 设置定时开关：定时开关是指定时启停静态网页防篡改防护，适用于用户定时修改、更新、发布网页内容的场景。用户可根据实际需求选择开启或关闭。
• 启停动态网页防篡改：Linux服务器如有Tomcat动态网页防护的需求，可开启动态网页防篡改，它能够在应用运行期间实时检测并阻止针对数据库等动态数据的篡改行为。动态网页防篡改当前支持JDK 8、JDK 11和JDK 17的Tomcat应用。
• 设置特权进程：静态网页防篡改防护开启后，防护目录内的文件和文件夹将被设置为只读模式，禁止任何修改操作。如需修改，可添加特权进程进行修改。此功能兼容Linux和Windows操作系统，但Linux仅支持内核版本大于或等于5.10的系统。

修改网页防篡改防护设置

1. 登录企业主机安全控制台。
2. 在控制台左上角，单击图标，选择区域或项目。
3. 在左侧导航树中，选择“主机防御 > 网页防篡改”，进入“网页防篡改”界面。
   图1 网页防篡改
   

4. 在目标服务器所在行的“操作”列，单击“编辑”。
5. 在“编辑”页面中，修改网页防篡改配置。
   • 调整防护目录

     您可以添加、修改、删除防护目录。

     • 修改防护目录

       防护目录防护成功后，如需修改防护目录、排除子目录、排除文件路径、本地备份路径，可在目标防护目录所在行的“操作”列，单击“编辑”，进行修改；排除文件类型、防护模式可在编辑页面直接修改。相关参数说明请参见表1。

     • 删除防护目录

       如果随着业务调整，部分防护目录无需再进行防护，可在目标防护目录所在行的“操作”列，单击“删除”，删除该目录。

     • 添加防护目录

       单击“添加防护目录”，在弹出的对话框中填写防护目录信息，并单击“确定”，可添加一条新的防护目录。相关参数说明请参见表1。

     表1 防护目录设置参数说明

     参数	说明	取值样例
     防护目录	网页防篡改支持静态、动态网页防护，其中静态网页防护是对指定的目录进行防护，通过驱动级锁定Web文件目录下的文件，禁止攻击者修改。因此，在开启网页防篡改时，需要设置防护的指定目录。 将目录添加为防护目录后，目录内的文件和文件夹将被设置为只读模式，禁止任何修改操作。 防护目录添加规则如下： Linux系统： 目录名不能包含英文分号字符，不能以空格开头，不能以/结尾，防护目录长度不得超过256个字符。 每台服务器最多可添加50个防护目录。 每个防护目录下的文件夹层级不超过100。 所有防护目录下的文件夹个数不超过900000。 Windows系统： 目录名不能包含;/*?"<>|，不能以空格开头，不能以\结尾，防护目录长度不得超过256个字符。 每台服务器最多可添加50个防护目录。 请勿将网络目录添加为防护目录，主要原因如下： 检测效率低 网络目录通常包含大量文件，总容量可能达到上百TB，这将显著降低检测效率。 占用网络带宽 访问网络目录时需要占用网络带宽，大规模检测可能导致带宽被完全占满，进而影响到您正常业务的运行，包括但不限于网络速度变慢、网络延迟增加等。	Linux：/etc/lesuo Windows：d:\web
     排除子目录（可选）	如果防护目录内存在无需防护的子目录，可排除该子目录。 子目录添加规则如下： 可以直接输入子目录名称，或输入相对于防护目录的目录路径。当输入子目录名称时，所有与之匹配的子目录都会被排除，无论位于防护目录下的哪一层。 子目录的名称或路径不能以/开头或结尾，最大长度不能超过256个字符。 最多可添加10个子目录，多个子目录用英文分号（;）隔开。	Linux：data/cache或cache Windows：web\test或test
     排除文件路径列表（可选）	仅Linux服务器可设置此项。 如果防护目录内存在无需防护的文件，可排除该文件。 排除文件路径添加规则如下： 可以直接输入文件名称，或输入相对于防护目录的文件路径。当输入文件名称时，所有与之匹配的文件都会被排除，无论位于防护目录下的哪一层。 文件名称或路径不能以/开头或结尾，最大长度不能超过256个字符； 最多可添加50个文件，多个文件用英文分号（;）隔开。	data/ma.txt或ma.txt
     本地备份路径	仅Linux服务器可设置此项。 设置防护目录的本地备份路径，开启网页防篡改防护后，防护目录内的文件会自动备份到本地备份路径下，一旦检测到防护目录内的文件被篡改，系统会立即使用本地备份自动恢复被非法篡改的文件。 本地备份路径添加规则如下： 本地备份路径不能包含英文分号字符，不能以空格开头，不能以/结尾，本地备份路径长度不得超过256个字符。 由于系统关键目录更容易成为恶意攻击的目标，因此不允许将系统关键目录作为备份路径，包括但不限于“/etc/”、“/bin/”、“/var/spool/”、“/usr/bin/”、“/usr/sbin/”、“/sbin/”、“/usr/lib/”、“/lib/”、“/lib64/”、“/usr/lib64/”及其子目录。 本地备份规则说明： 本地备份路径须为合法路径，且本地备份路径不能与防护目录路径重叠。 被排除的子目录和文件类型不会进行备份。 防护目录内的文件大小不同，则备份时间不同，一般约10分钟完成备份。	/backup
     排除文件类型	如果防护目录内存在无需防护的文件类型，可排除该文件类型（无文件类型限制），例如log类型的文件。 为了实时记录主机中的运行情况，必须排除防护目录内的log类型文件，您可以为日志文件添加等级较高的读写权限，防止攻击者恶意查看或篡改日志文件。	log
     防护模式	监控到文件被篡改时的防护方式。 告警模式：仅发送告警通知。 拦截模式：发送告警通知，同时将文件还原至被篡改前的状态。	拦截

   • 设置定时开关

     如需定时修改、更新或发布网页，可设置定时开关，定时启停静态网页防篡改。定时关闭防护期间，文件存在被篡改的风险，请合理制定定时关闭的时间。

     • ：表示关闭定时开关。
     • ：表示开启定时开关，开启定时开关时，需要同步设置“关闭时段”和“自动关闭防护周期”，参数说明请参见表2

       表2 定时开关设置参数说明

       参数名称	参数说明	取值样例
       关闭时间段	一天内，关闭静态网页防篡改的时间段，例如10:05-15:35。 时间段设置要求如下： 每个时间段最短不能少于5分钟。 多个时间段之间不允许重叠，且两段时间间隔必须大于5分钟（时间00:00和23:59特例除外）。 所有时段以主机系统时间为准。	10:05-15:35
       自动关闭防护周期	一周内，固定周几自动关闭静态网页防篡改，例如周三、周四。	周三

   • 启停动态网页防篡改

     如有Linux服务器Tomcat动态网页防篡改需求，可开启动态网页防篡改。它能够在应用运行期间实时检测并阻止针对数据库等动态数据的篡改行为。

     • ：表示关闭动态网页防篡改。
     • ：表示开启动态网页防篡改。开启动态网页防篡改，需要填写Tomcat bin目录，例如“/usr/workspace/apache-tomcat-8.5.15/bin”，系统会将setenv.sh脚本预置在bin目录中，用于设置防篡改程序的启动参数。
   • 设置特权进程

     特权进程是指被授权可以修改防护目录的进程。

     • ：表示关闭特权进程。
     • ：表示开启特权进程。开启特权进程，需要设置“特权进程文件路径”和“子进程可信”。相关参数说明请参见表3。

       表3 特权进程设置参数说明

       参数名称	参数说明	取值样例
       特权进程文件路径	特权进程文件路径即进程完整路径，例如： Linux：/Path/Software.type Windows：C:\Path\Software.type 多个特权进程文件路径以换行符分隔，最多可添加10个特权进程。	/Path/Software.type
       子进程可信	开启“子进程可信”，企业主机安全将对添加的所有特权进程文件路径下5个层级内的子进程可信。允许子进程修改防护目录。	开启

6. 确认修改的配置无误，在“编辑”页面中，单击“确定”，完成修改。

   开启动态网页防篡改后，需要重启Tomcat，否则不会生效。

7. 验证修改结果。
   • 防护目录

     在目标服务器所在行的“防护目录数”列，单击数值，查看防护目录详情。

     查看添加或修改的防护目录信息正确，且“防护状态”为防护成功，表示添加或修改成功。

     查看删除的防护目录不在防护目录列表，表示删除防护目录成功。

   • 定时开关

     在设置的关闭时间时段，修改网页内容，修改成功，表示定时开关设置成功。

   • 动态网页防篡改

     查看动态防篡改状态为，表示开启动态网页防篡改成功。

   • 特权进程

     通过特权进程修改网页成功，表示特权进程设置成功。