网页防篡改系统iGuard

网页防篡改系统iGuard 实验 实验名称 网页防篡改系统iGuard的运用 1、了解网页防篡改的原理; 实验目的 2、掌握 Web 网站的配置过程; 3、掌握 iGuard网页防篡改系统的配置及使用。 使用仪器 硬件;PC机三台 实验环境 软件;iGuard安装系统 实验 配置web网站，运用iGuard系统防止网页篡改 实验步骤: 第一步:安装IIS系统 1. 在控制面板中选择“添加/删除程序” ，在出现的对话框中选择“添 加/删除 Windows组件” 。 2. 在出现的复选框中选择安装Internet 信息服务(IIS)。 第二步:上传网页到web服务器(假设ip地址为192.168.13.8) 第三步:配置 Web 服务器 1、打开 IIS 服务器的配置窗口。选择开始?控制面板?管理工具?Internet 服务管理器。 2、在打开的窗口中鼠标右击“默认 Web 站点” ，选择“属性”菜单。 3、在出现的“默认 Web 站点属性”窗口中，选择“网站”标签，设置Web 服务器的IP 地址。 1 4、“主目录”标签，用以设置 Web 内容在硬盘中的位置，默认目录为 “C:\Inetpub\Wwwroo” ，你可根据需要自己设置。 2 5、在属性窗口处选择“文档”标签，添加自己默认的网站首页文件， 例如“a.html” 。 6、确认默认的 Web 站点是否已经启动，如果没有可以鼠标右键点击 “默认 Web 站点” ，选择“启动” ，在打开的 IE地址栏中键入本机的IP 地址，即可看到自己指定的主页已经开始在 Internet 上发布了。 第四步:iGuard系统的安装次序 先在一台单独的服务器上(ip地址为192.168.13.9)安装发布服务器 (Staging Server) 软件，然后再在 Web 服务器上(ip地址为192.168.13.8)安装同步服务器(SyncServer)软件和防篡改模块(AntiTamper Module)。 3 一.发布服务器安装时需要注意的几个地方: 1(选择安装目录 安装程序会给出一个默认的安装目录， 用户也可以自己指定别的目录，需要注意的是目录的名称中不能使用空格或者汉字。 2(生成数字证书 在安装的过程中，安装程序会自动为 iGuard 发布服务器生成一个数字证书，出现以下消息框后，请按“确定”等待数字证书签发完成，这个过程可能需要2-5秒钟。 3(MySql数据库 。本系统的日志存储需要 MySql 数据库系统的支持。如果安装程序检测到机器上已经安装了 MySql 数据库系统，提示用户输入root 用户的密码。如果安装程序没有检测到 MySql 数据库系统，则会在本机上安装并启动 MySql 数据库系统。 后续工作:安装完发布服务器后，需要在 Web 服务器上安装同步服务器。为保证通信体的身份鉴别， 安装同步服务器时需要发布服务器的证书摘要数据文件，这个文件的位置在: “发布服务器安装目录\iguard.dat” 例:如果安装在默认安装目录下，则该文件的存放位置为: C:\Tercel\iGuard\StagingServer\iguard.dat。 需要把这个文件拷贝到合适的载体(闪存或软盘)中，供安装同步服务器时使用。 二.同步服务器和防篡改模块的安装 同步服务器安装时需要注意的几个地方: 1(选择安装目录 安装程序会给出一个默认的安装目录， 用户也可以自己指定别的目录，需要注意的是目录的名称中不能使用空格或者汉字。 2(发布服务器证书摘要数据文件 为保证通信实体的身份鉴别， 安装同步服务器时需要发布服务器的证书摘要数据文件，这个文件在发布服务器的如下位置: “发布服务器安装目录\iguard.dat” 4 例:如果发布服务器安装时被安装在默认安装目录下，则该文件在发布服务器的存放位置为: C:\Tercel\iGuard\StagingServer\iguard.dat 需要把这个文件拷贝到合适的载体(闪存或软盘)中，并在出现如下的窗口时给出该文件所在的路径。 后续工作: 同步服务器及防篡改模块安装完毕后， 同步服务器就已经自动运行，但防篡改模块还未正式工作。 第五步:启动发布服务器 需注意以下几个方面: 1. 网站网页文件 检查在发布服务器的本地硬盘上是否已经保存有整个网站的页面文件的备份。 2. 数据库系统运行 发布服务器的运行需要 MySql 数据库系统的支持，所以要确认一下MySql 是否在工作。 MySql 在安装好后以系统服务的形式运行，如果MySql 不工作可以用系统的服务管理器来启动 MySql。 3 同步服务器运行 启动发布服务器运行之前需检查一下iGuard同步服务器是否已运行。 4 最后启动发布服务器 运行“开始?程序?iGuard?发布服务器?启动发布服务器”。 5 :初次使用向导 iGuard注册 第六步 第一次运行发布服务器的时候， 程序首先弹出“iGuard注册”窗口，完成iGuard软件的注册。 注册信息分别为: 注册用户名:中国地质大学 注册码:WASGK-5ZDC5-AGXUU-REAA7-4BIAA 第七步:输入 Web站点信息 Web站点名称:用这个名称来标识该Web站点，可以取任意简短明了的名字。 Web服务器的域名或IP地址:用这个域名/IP地址来连接Web服务器(同步服务器)。 第八步:输入主目录信息 在此输入Web主目录(有时也被称作Web文档根目录)的位置。 6 第九步:完成 发布服务器的基本配置至此完成，单击“完成”进入主程序。 第十步:启用防篡改模块 iGuard 防篡改模块是作为 IIS 的 ISAPI 筛选器来运行。 在 IIS 中添加它的步骤如下: 1(运行“开始?程序?管理工具?Internet 服务管理器”(或“开始?设置?控制面板?管理工具?Internet 服务管理器”)，选中本地计算机(图中为“COMPUTER”)中要保护的Web服务器(图中为“默认网站”)。 2(选择菜单“操作?属性”或点击右键快捷菜单中“属性”， 弹出该站点属性对话框。 选择其中的“ISAPI筛选器”选项卡。 单击“添加”，在筛选器属性窗口中输入: 筛选器名称:gg 可执行文件:“同步服务器安装目录\plugin\iGuard_iis.dll” 7 例如;如果安装在默认路径下，则可执行文件位置为: C:\Tercel\iGuard\SyncServer\plugin\iGuard_iis.dll 然后点击“确定”。 3(回到上一级窗口，可以在“ISAPI筛选器”中看到刚才添加的内容，点击“确认”。 4(重新启动IIS，然后检查刚才安装的ISAPI筛选器的状态是否为“已装载”(注意图中状态栏的绿色向上的箭头)。 至此，iGuard整个系统正常运行。 第十一步:进入系统在运行环境完备并且基本配置正确的情况下，系统将正常启动，并且与同步服务器通信成功。 注意:如果发布服务器与同步服务器通信成功，服务器小图标会显示绿色，否则会显示灰色。点击工具栏的“同步上传”按钮即可让本机主目录下的所有文件同步到Web服务器(同步服务器)的主目录下，并且保持完全相同的目录结构。 8 通过另一台主机访问如下图所示，证明网页上传成功。 第十二步:iGuard 系统工作 1、修改同步服务器上的某个网页 2. 在其它电脑上访问同步服务器上的相应网页， 此时该网页无法访问。 9 3. 发布服务器进行报警并自动恢复同步服务器上被篡改的网页。 4. 网页重新恢复正常，可以访问。 10 实验结果及理论: 外部网站因需要被公众访问而暴露于因特网上， 因此容易成为黑客的攻击目标。虽然目前已有防火墙、入侵检测等安全防范手段，但现代操作系统的复杂性和多样性导致系统漏洞层出不穷、防不胜防，黑客入侵和篡改页面的事件时有发生。 iGuard 网页防篡改系统通过服务器内嵌技术，使用密码技术，为每个需保护的对象(静态网页、执行脚本、二进制文件)计算出具有唯一性的数字水印。公众每次访问网页时，都将网页内容与数字水印进行对比计算;一旦发现网页被非法修改，则立即进行自动恢复，从而彻底地保证了非法网页内容不被公众浏览。 iGuard 的组成由以下三个部件组成:发布服务器(Statging Server) 、同步服务器(SyncServer)和防篡改模块(AntiTamper Module)。 在物理上它们部署在两台机器上: 发布服务器部署在内部网中的一台独立服务器上，同步服务器和防篡改模块部署在 Web 服务器上。通过各部件之间的协同工作，实现了网页的自动同步和篡改保护功能。 iGuard 工作流程 在没有使用 iGuard 网页防篡改系统的情况下，用户利用专门的网站发布系统或者使用 FTP 软件或者直接使用文件拷贝将网页文件放到网站 Web 服务器上。在使用 iGuard 网页防篡改系统的情况下，网页文件的传送由 iGuard来完成。 1.正常上传网页 11 (1) 用户使用自己的网页发布方式 (如网站发布系统、 FTP、 RCP、文件拷贝等)将网页发布到发布服务器上。 (2)发布服务器对同步服务器进行身份鉴别，鉴别无误后使用安全散列函数计算出更新网页的数字水印， 将网页和数字水印安全传输到同步服务器。 (3) 同步服务器对发布服务器进行身份鉴别，并对传输过来的内容进行完整性检查;一切无误后将数字水印密文存放在安全数据库里，同时完成网页的更新。 2.内容保护过程 (1) 浏览器发出网页浏览请求，Web 服务器取得网页内容后，交给防篡改模块进行监测。 (2) 防篡改模块使用安全散列函数计算出欲发出的网页的数字水印，并与安全数据库中的数字水印相比对。 (3) 如果没找到数字水印或数字水印比对失败，即是可疑或被非法篡改的网页，防篡改模块向发布服务器报警。 (4) 发布服务器向发送警告信息给管理员，并重新同步和恢复可疑网页。 (5) Web 服务器将正确的网页发送给网页浏览者。 完成实验时间:2010 年 11 月 06 日 12