提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
前言
Rookie学习记录
一、需求背景
1.,《GB/T 29765-2021》可以看一下,完全替代《GB/T 29766-2013》;
二、技术原理
0、初代:人工监测;
1、第一代:时间轮巡:
原理:网页检测软件、定时轮巡、备份对比;
缺陷:占用服务器资源高,存在时间间隔,不支持频繁的访问,网页数量日渐增多;
2、第二代:事件触发+密码水印(Web服务器核心内嵌):
原理:操作系统文件或驱动程序接口,合法性检查;非对称加密校验, 即时读取检查;
缺陷:占用服务器资源高,改变了网页发布流程,需重新架构;
工作协议层:应用层(Web端)
PS:属于被篡改后再恢复,需要有外部请求;
3、第三代:增强型事件触发+文件过滤驱动保护
原理:自动触发(增强型);内置散列算法监测文件属性变更;备份:OS底层的网站文件目录;
缺陷:(即使以数据库形式修改内容或在站点后台管理页面)可修改站点内容来绕过站点对防篡改系统的监管
PS:实时地基于触发机制覆盖恢复;
工作协议层:系统层
三、架构
1、基于B/S的管理架构;
2、C/S架构:监控代理(防篡改agent)、同步代理(发布agent),管理中心;
3、双机热备、负载均衡分布式部署;
四、部署
1、一般和CMS整合部署:在CMS前置发布服务器,增删改查都在发布服务器上进行,同步代理会将文件目录映射给web服务器;
2、标准化部署:支持 【软件嵌入模式(支持Apache,Java,IIS)和代理模式】;
五、一些注意点
1、备份目录下需要排除数据库外维护的上传目录、动态变化的目录;
2、 站点路径填写所要保护文件的绝对路径;
3、忽略目录、文件时填写相对路径;
4、忽略进程时需取消自动同步,进程 通过Agent自动化采集获取-Web服务器中防护目录下文件的进程列表
5、防篡改模块不依赖于网络通信;即使发布服务器和Web服务器断开也不影响功能
六、性能指标
1、文件同步性能:①平均文件大小 ②平均发布速度;
2、访问性能:①监控延时②恢复延迟③网站访问延迟;
3、资源占用率:①Web服务器占用内存、CPU②防篡改守护进程占用内存、CPU;
4、最大保护目录深度:站点的最长文件路径;
七、常见端口需求
1、Client访问Server端的UDP/8020,为通知端口;
2、Server端访问Client的TCP/8011端口,为同步文件端口;
3、堡垒机访问Server端的443端口,安全口;
总结
个人感觉是比较简单的一款产品;
698
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
