一种网页篡改防护装置及方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种网页篡改防护装置及方法。
【背景技术】
[0002]随着互联网好网络应用的普及与发展,大量网站的涌现以及网站建设的规模化,大量的黑客攻击也随之而来。网站的安全问题日益突出。其中,网页篡改就是最常见的攻击手段之一。由于网页篡改具有传布速度快、阅读人群多、预先检查难、难追究责任人等特点,网站主页一旦遭到黑客篡改,那么访问该网站的用户将不能获得正确的信息,且不良信息将给企业带来恶劣的影响,甚至造成巨大的经济损失。因此,如何防止网页篡改,保证网络安全运行,是运营商亟待解决的问题。
【发明内容】
[0003]有鉴于此,本发明提供一种网页篡改防护装置及方法对网页篡改实现实时有效的安全防护。
[0004]一种网页篡改防护装置,该装置应用于网络应用防火墙WAF设备上,所述WAF设备位于网站服务器和用户主机之间,所述装置包括:
[0005]域名检测单元,用于接收用户主机发送的第一请求报文,检测第一请求报文中的域名信息是否为受保护的域名信息,若是则将该第一请求报文所属会话中的预设标志位置位并发送至网站服务器;
[0006]标志判断单元,用于接收网站服务器发送的第一应答报文,判断该第一应答报文所属会话中的预设标志位是否被置位;
[0007]网页检测单元,用于在第一应答报文所属会话中的预设标志位被置位时,检测所述第一应答报文中的网页参数与预存的网页参数是否相同,若不同,则丢弃所述第一应答报文。
[0008]基于同样的构思,本发明还提供了一种网页篡改防护方法,所述方法应用于WAF设备上,所述WAF设备位于网站服务器和用户主机之间,所述方法包括步骤:
[0009]接收用户主机发送的第一请求报文,检测第一请求报文中的域名信息是否为受保护的域名信息,若是则将该第一请求报文所属会话中的预设标志位置位并发送至网站服务器;
[0010]接收网站服务器发送的第一应答报文,判断该第一应答报文所属会话中的预设标志位是否被置位;
[0011]在第一应答报文所属会话中的预设标志位被置位时,检测所述第一应答报文中的网页参数与预存的网页参数是否相同,若不同,则丢弃所述第一应答报文。
[0012]相对于现有技术,本发明通过在WAF设备中嵌入网页篡改防护装置,不间断的检测网络层中交互的请求报文和应答报文,并利用捕获的网页参数与预存的网页参数比较,排查出被篡改的网页信息,阻止被篡改的网页信息呈现给用户,从而实现对于网页篡改的有效防护。并且本发明与防火墙技术融合在一个独立系统中,简化了组网部署,减少了网络资源的占用以及网站服务器的运行负担。
【附图说明】
[0013]图1是一种防网页篡改的组网结构示意图;
[0014]图2是本发明提供的一种网页篡改防护装置的结构示意图;
[0015]图3是本发明实施例中一种网页篡改防护的组网结构示意图;
[0016]图4是本发明实施例中一种网页篡改防护方法的处理流程图。
【具体实施方式】
[0017]在现有技术一中是通过在网站服务器中安装页面篡改防护软件来实现的。但是这种篡改防护软件是要依靠网站服务器来运行的,若是网站服务器运行异常或是受到黑客攻击导致系统瘫痪,那么该篡改防护软件也就无法生效了。并且,该篡改防护软件是在网络的应用程序实现防护的,每个网络层的报文要上送到应用层处理,对服务器的处理效率造成很大影响。
[0018]此外,还有一种防止网页篡改的现有技术二,其结构如图1所示,该技术是通过在由数据服务器、网站服务器、防火墙组成的组网结构(如图中虚线框所示)中外置一个检测服务器,以轮询或事件触发的方式定期对网站服务器中的网页进行检测,一旦发现有网页被篡改,就通知管理员,并阻断访问。虽然这种方式可以将篡改检测系统与网站服务器分离,使篡改检测系统独立运行,减小网站服务器的运行压力,但采用轮询的方式定期检测时,本次轮询到下次轮询间隔的时间往往会被黑客利用,从而使用户访问到被篡改的网页。
[0019]为了解决上述问题,本发明提供了一种网页篡改防护装置及方法。
[0020]请参见图2,本发明提供的一种网页篡改防护装置,所述装置应用于WAF (网络应用防火墙)设备上,所述WAF设备位于网站服务器和用户主机之间,WAF设备是一个独立设备,包括CPU、非易失性存储器、内存以及其他硬件,其中所述装置包括:
[0021]域名检测单元用于接收用户主机发送的第一请求报文,提取第一请求报文中的域名信息,并在自身保存的受保护的域名信息表中查找,若查找命中,则说明第一请求报文中的域名信息属于受保护的域名信息,然后将在受保护的域名信息对应的所述第一请求报文所属会话中的预设标志位置位(通常标志位默认值为0,置位后则为I)并发送至网站服务器;若不命中,则说明该域名信息不受保护,对于不受保护的网页信息不属于本发明的业务范围,因此会将该报文发给网站服务器。
[0022]标志判断单元是接收网站服务器收到用户主机的第一请求报文后回复的第一应答报文,由于第一请求报文中有部分报文所属会话的预设标志位被置位,而其他的未置位,那么为了防止受保护的网页被篡改,就要判断回复的第一应答报文所属会话中的预设标志位是否被置位;并且对会话中预设标志位被置位的第一应答报文进行进一步检测,而未置位第一应答报文携带的网页属于非受保护网页,因此将其发送给用户主机。
[0023]网页检测单元对于会话中预设标志位被置位的第一应答报文,会提取出该报文的网页参数,并检测所述网页参数与预存的该网页原网页参数是否相同,若不同,则说明第一应答报文中的网页信息有可能被篡改,于是丢弃所述第一应答报文。
[0024]因此,本发明通过在WAF设备中嵌入网页篡改防护装置,不间断的检测网络层中交互的请求报文和应答报文,并利用捕获的网页参数与预存的网页参数比较,排查出被篡改的网页信息,阻止被篡改的网页信息呈现给用户,从而实现对于网页篡改的有效防护。相对于现有技术,本发明与防火墙技术融合在一个独立系统中,简化了组网部署,减少了网络资源的占用以及网站服务器的运行负担。
[0025]需要说明的是,所述网页篡改防护装置还包括网页学习单元,是用于学习管理员配置的网页信息及相应的网页参数和域名信息。所述网页学习单元包括第一子单元和第二子单元,其中所述第一子单元用于根据管理员配置的网站服务器信息及预置信息组成第二请求报文发送至网站服务器;所述第二子单元用于收到网站服务器的第二应答报文后分析并提取出网页信息,创建网页信息对应的的网页参数列表并下发到所述网页检测单元作为预存的网页参数。
[0026]在优选的实施例中,所述嵌入了网页篡改防护装置的WAF设备在接入组网后,管理员通过访问WAF设备,在所述网页学习单元中配置网站服务器的IP地址、域名、端口以及页面文件所在的路径(URL)等网站服务器信息及预置信息组成第二请求报文并发送到网站服务器;当所述网页学习单元收到网站服务器的第二应答报文后,提取网页信息分别以压缩和非压缩的形式存在应用层的文件中,等所有第二应答报文接收完毕后对应答报文进行解析,提取出其中的网页参数创建与网页信息对应的网页参数列表,将该列表下发到网络层。这样一来,当网页检测单元发现第一应答报文的网页参数可疑时,就将该第一应答报文的网页参数在预存的网页参数列表中进行查找,如果查找命中,就以命中表项中的网页参数为索引,到应用层的文件中提取相应的网页信息,再根据所述第一应答报文中网页信息的格式,将对应格式的预存的网页信息代替可疑的网页信息发送给用户主机。上述学习过程除了在初始化的时候进行,还可以在网站有正常改版时,由管理员控制学习。需要说明的是,由于用户访问网页时,通常使用网页的域名或是服务器的IP地址在访问,虽然访问的内容相同,但报文中的域名值(host)是不同的。为了应对黑客针对各种网页信息的攻击,本发明的网页学习单元要分别以配置的IP地址和域名进行两次学习。
[0027]通过管理员的人工管理,使本装置模拟用户访问的方式学习到所有正常的网页信息,以及正常的更新网页信息,因此可以确保网页备份和网页参数的真实性,从而为后续检测提供可靠的资源。
[0028]在优选的实施例中,所述网页参数包括:网页内容大小、修改时间和认证标签,所谓的认证标签就是该网页的唯一标识。在网页检测单元对第一应答报文进行检测