部署深空网页防篡改系统后

更新网站操作介绍

 

在部署网页防篡改后,网站目录下默认不可随意更新网页,用户可以通过下面介绍的9种方法来执行更新网站的操作,有关几种更新网站方法的对比,可以查看各种更新网站方法的对比.

用户亦可直接下载产品各操作演示视频而无需阅读后文.

如果用户无法判断最适合自身的更新方法,或者遇到其它困难,可以寻求技术支持.

快速导航

一、       方法1:设置指定IP才能更新... 2

二、       方法2:用产品客户端的FTP功能更新... 3

三、       方法3:配置第三方 FTP 软件更新... 4

四、       方法4:创建一个隐蔽的虚拟目录来更新... 4

五、       方法5:创建一个隐蔽的虚拟站点来更新... 5

六、       方法6:直接设置例外文件/文件夹来更新(最快捷,最简单) 7

七、       方法7:不创建备份目录时的更新方法... 7

八、       方法8:在网站目录中设置一个隧道文件来更新... 8

九、       方法9:有备份目录情形下的隧道文件更新法... 9

十、       各种更新方法对比... 17

十一、       技术支持及联系方式... 19

 


 

 

一、         方法1:设置指定IP才能更新

提示1:确认网站已经开启 集成Windows身份验证 功能.

如下图所示,左边树形列表"网页防篡改系统"->test->"备份目录"

单击上图红色圈起部分的"详细"按钮,弹出对话框中输入如下图所示信息:

上图中,设置了:

1.     允许更新网站的IP: 192.168.1.13

2.     进入更新模式的凭据信息: 用户名:updater,密码:updater.

注意:设置了更新网站的IP和认证凭据后,需分别点击"应用"按钮、"创建凭证"按钮方能生效.

生效后,IIS对来自 192.168.1.13 IP进行自动切换到备份目录中. 192.168.1.13的用户打开浏览器访问站点时,必须输入进入更新模式的用户名和密码,然后就可以直接在浏览器中更新网站.(在此过程中,不影响其它IP的正常用户访问网站)

二、         方法2:用产品客户端的FTP功能更新

用户在客户端中更新备份目录,备份目录中的任何变化都将自动同步更新到网站目录.

注意:网站目录中仅允许删除和下载操作,用户不可直接对网站目录进行其它类型的操作.

如下图所示,左边树形列表"网页防篡改系统"->test->"备份目录".

如上图所示,用户可以在客户端中,直接对备份目录进行:

1.   删除文件/文件夹(可批量操作)

2.   上传文件/文件夹(可批量操作)

3.   下载文件/文件夹(可批量操作)

4.   对选定的文件/文件夹同步到网站目录中去

5.   新建文件夹

6.   重命名文件/文件夹

三、         方法3:配置第三方 FTP 软件更新

首先使用产品客户端创建一个更新凭据(相关操作请参考方法1-指定更新IP和更新凭据法).

然后把FTP根目录指向到备份目录,如下图所示:

再把第三方FTP客户端软件连接的用户名和密码修改成之前创建的更新凭据的用户名和密码.

最后,就可以使用第三方FTP客户端软件对备份目录中的文件/文件夹进行更新,产品进程会自动把最新信息同步更新到网站目录中.

四、         方法4:创建一个隐蔽的虚拟目录来更新

首先使用产品客户端创建一个更新凭据(相关操作请参考方法1-指定更新IP和更新凭据法).

然后在需要防篡改保护的站点下创建一个虚拟目录,路径指向备份目录.

注意:建议用户把虚拟目录的别名设置得复杂些(增加非法用户猜解的难度),如下图所示设置的虚拟目录别名为 d8e98468f77b8d7f1f2c13172269d33a :

对应的虚拟目录网址为:

http://www.test.com/d8e98468f77b8d7f1f2c13172269d33a

提示1:用户可以把虚拟目录的网址路径链接保存在浏览器的收藏夹中,这样可以无需记忆复杂的虚拟目录网址.

提示2:新建的虚拟目录必须已经开启 集成Windows身份验证 功能.

提示3:如果用户的网站是ASP.NET站点,需要一些额外配置.

提示4:Tomcat 环境中新建虚拟目录的参考配置代码(添加到 conf/server.xml 文件的<host></host>之间)

<Context path="/fabu" docBase="d:\fabuml\hls" debug="0" reloadable="true"></Context>

最后,在浏览器中打开虚拟目录的网址,浏览器会提示用户输入用户名和密码,输入之前创建的更新凭据的用户名和密码,即可进入网站.

进入之后,用户在该网站中进行正常的网站更新,比如发布新闻,上传图片,附件等.产品进程会自动把最新信息同步更新到网站目录中.

提示5:如果用户希望打开虚拟目录的网址后即可直接更新网站,而不提示输入用户名和密码(:无需输入更新凭据),则可参考无需输入更新凭据的操作方式.

五、         方法5:创建一个隐蔽的虚拟站点来更新

首先使用产品客户端创建一个更新凭据(相关操作请参考方法1-指定更新IP和更新凭据法).

然后在IIS/Apache/Tomcat等中新建一个虚拟站点,配置好站点的IP、端口、主机头,如下IIS中的截图:

并把站点根路径指向备份目录.

注意:建议用户把主机头(即虚拟站点的网址)设置得复杂些(增加非法用户猜解的难度),:

d8e98468f77b8d7f1f2c13172269d33a.test.com

提示1:用户无需为新生成的虚拟站点网址申请正式域名,只需在C:\WINDOWS\system32\drivers\etc 目录下的hosts文件中添加一条记录,保存后即可在本机中正常打开虚拟站点的网址.如下图所示:

提示2:用户可以把虚拟站点的网址链接保存在浏览器的收藏夹中,这样可以无需记忆复杂的虚拟站点网址.

提示3:新建的虚拟站点必须已经开启 集成Windows身份验证 功能.

提示4:如果用户的网站是ASP.NET站点,需要一些额外配置.

提示5:Tomcat 环境中新建虚拟站点参考配置代码(添加到 conf/server.xml 文件中)

<Host name=" d8e98468f77b8d7f1f2c13172269d33a.test.com"  appBase="webapps"

       unpackWARs="true" autoDeploy="true"

       xmlValidation="false" xmlNamespaceAware="false">

       <Context docBase="d:\fabuml\hls\" path="" reloadable="true" />

</Host>

最后,在浏览器中打开新建虚拟站点的网址,浏览器会提示用户输入用户名和密码,输入之前创建的更新凭据的用户名和密码,即可进入网站.

进入之后,用户在该网站中进行正常的网站更新,比如发布新闻,上传图片,附件等.产品进程会自动把最新信息同步更新到网站目录中.

如果用户希望打开虚拟站点的网址后即可直接更新网站,而不提示输入用户名和密码(:无需输入更新凭据),则可参考无需输入更新凭据的操作方式.

六、         方法6:直接设置例外文件/文件夹来更新(最快捷,最简单)

首先,使用产品客户端程序或者本地控制中心程序配置网站目录中允许更改的文件(比如统计网页访问次数的计数文件,mdb文件等)或文件夹(比如bbs中的图片上传目录等),具体操作详见"设置例外子文件/子文件夹.

然后,在浏览器中打开网站进行网站更新.

注意:由于该方法是使用户直接在网站目录中更新,所以势必造成后期网站目录中的内容和备份目录中的内容不一致的情况,这时,可以把网站目录中的内容同步到备份目录中.

网站目录中的非例外文件和文件夹受到产品的保护与监控,对非例外文件/文件夹的任何非法篡改都将被拦截或立即恢复.

七、         方法7:不创建备份目录时的更新方法

使用本更新法之前,必须要确保:使用本更新方法的防篡改方案在创建时备份目录的路径和网站目录的路径一致.

本更新方法的特点是:

Ø  用户无需备份当前的网站目录,节省了磁盘空间;

Ø  对操作系统性能近乎0影响.

Ø  因为备份目录实际就是网站目录,因此不存在同步和一致性问题.

Ø  用户依然可以对网站目录进行上锁保护达到防篡改的目的;

Ø  网站目录不再具有篡改后用备份进行恢复的防篡改功能,但可以监控并移除例外文件夹中非法新增的文件类型.

Ø  用户可以通过虚拟目录/虚拟站点(把对应的虚拟目录路径/虚拟站点路径设置为网站目录的路径)的方法更新网站内容.

Ø  用户还可以配合使用隧道文件更新法更新网站内容:

八、         方法8:在网站目录中设置一个隧道文件来更新

首先设置网站目录中一个文件为隧道文件, 在浏览器中成功访问到这个文件(能够看到文件内容)的用户将被认为是合法用户,并允许其更新网站内容,如添加/修改/删除新闻,上传图片/文件等.

任何用户在浏览器中访问这个隧道文件时,将被提示输入用户名/密码,访问者必须在下图所示对话框中输入正确的用户名和密码凭据 (有关如何创建用户名和密码凭据的操作请参考这里).

如果访问者输入的用户名和密码凭据正确,则防篡改系统将认为当前会话是合法用户在操作,并允许其更新网站内容.因此,输入正确的用户名和密码凭据后,此时访问者只要修改浏览器地址栏中的地址到网站管理目录,即可按原有模式更新网站内容.注意:访问者关闭浏览器窗口后,当前会话就立即失效,再次打开浏览器时,必须再次访问隧道文件,重复上面的输入用户名和密码凭据的步骤才能再次更新网站.否则因为之前的认证会话已经失效,防篡改系统将无法识别当前的新会话是否是合法用户,从而阻止当前会话更新网站.

九、         方法9:有备份目录情形下的隧道文件更新法

如果用户希望在有备份目录情形下使用隧道文件更新法,则参照以下步骤:

效果:往网站目录中放一个隧道文件,以后更新网站(比如添加新闻),必须先访问这个隧道文件,并输入进入隧道模式的正确的用户名和密码才能更新网站.没有访问隧道文件的,一律拒绝更新,除非要修改的文件/文件夹已经被设置为例外项,而且已经执行了解锁操作.

1)  打开产品客户端,上传tunnel.html文件到备份目录(该文件用户可以自己创建,内容也可以任意),防篡改程序会自动同步这个tunnel.html文件到网站目录的根目录中.

2)  在产品客户端中,把网站目录下这个tunnel.html文件设置为例外,如下图所示:

3)  把网站目录下的tunnel.html文件设置为隧道文件,如下图所示:

具体步骤可参考设置网站目录中一个文件为隧道文件.

4)  把进入隧道模式后希望能更新修改的文件或文件夹添加设置为例外,如下图所示:

提示:如果在设置例外文件/文件夹时,没有对例外项进行解锁,则该例外文件/文件夹只有能进入隧道模式的用户才能修改.用户可以利用这一特性增强安全性.比如,设置images文件夹为例外项,而且执行解锁操作,设置html文件夹为例外,但不解锁,则效果是:用户进入网站后,可以上传图片,可以往数据库中添加内容,但是无法生成html页面.只有用户先访问tunnel.html这个隧道文件,并且输入了正确的用户名和密码(凭据),再进入网站后台才能生成html页面.

添加设置完后点击立即应用生效.

5)  创建一个进入隧道模式的凭据, news,如下图所示:

6)  检查news凭据是否有权限更新之前有执行解锁操作的例外文件或文件夹(没有执行解锁操作的例外项无须检测),如果没有,则主动添加(或者把news加入到有修改权限的组中),如下图所示:

7)  完毕,现在可以使用隧道文件更新法更新网站.


设置网站目录中一个文件为隧道文件:

如果用户选择隧道文件更新法,可以使用下面所述方法在网站目录中创建一个隧道文件:

首先,在服务器上打开本产品附带的设置隧道文件的工具,运行后如下图所示:

用户可以选择设置网站目录中一个已经存在的文件为隧道文件, 无备份目录时也可以选择在网站目录中新建一个空文件为隧道文件。

文件全路径输入好后,点击确定即可把该文件设置为隧道文件.

提示:用户可以把隧道文件名取复杂些,以减少被非法用户猜解到的概率.: 905caee8e15edd9b6973b095598c1382.htm 用户可以把这个文件名连带网站域名,:

http://www.test.com/905caee8e15edd9b6973b095598c1382.htm

保存到收藏夹/电子邮件中,这样就可以不用记忆此路径.


ASP.NET站点注意事项:

如果用户的网站是ASP.NET站点,需要执行如下额外操作:

首先,以原来站点所属的应用程序池为模板,创建一个以“本地系统”身份运行的新应用程序池.

如下图所示为一个名为Fabumulu_AppPool 的以“本地系统”身份运行的新应用程序池:

然后,把根目录为备份目录路径的虚拟目录/虚拟站点的应用程序池设为以“本地系统”身份运行的新创建的应用程序池,如下图所示:

要模拟初始(经过身份验证的)用户,请在 Web.config 文件中确保使用以下配置:

<authentication mode="Windows" />

<identity impersonate="true" />

完毕.


无需输入更新凭据的操作方式:

如果用户希望创建好更新凭据后,可根据虚拟目录/虚拟站点这两种方式直接更新网站,而且无需输入相关更新凭据,则可以按下列方法操作:

1.   确认已经创建好一个更新凭据;

2.   虚拟目录/虚拟站点的匿名访问身份替换成更新凭据的用户名和密码;

具体步骤:虚拟目录/虚拟站点->右键->属性->目录安全性,然后点击启用匿名访问”,再把原有的用户名和密码替换成更新凭据的用户名和密码.

下图所示为替换虚拟目录的匿名访问身份为更新凭据的示例:


开启集成Windows身份验证

具体步骤:

虚拟目录/虚拟站点->右键->属性->目录安全性->身份验证和访问控制->编辑->集成Windows身份验证

下列图示演示的是开启某虚拟站点上的集成Windows身份验证功能.

 

最后,确认本地安全策略中的下述配置:

1.   控制面板->管理工具->本地安全策略->用户权限分配 中

从网络访问此计算机的配置中,确认 everyone 在允许的列表中,如下图所示:

2.   控制面板->管理工具->本地安全策略->安全选项 中

a.    网络安全: LAN Manager 身份验证级别 的配置为仅发送 NTLM 响应

b.    网络访问: 本地帐户的共享和安全模式 的配置为经典 本地用户以自己的身份验证

如下图所示:


 

十、         各种更新方法对比

 

在浏览器中更新站点

批量更新网页文件/文件夹

需要使用客户端

便利性

安全性

方法1-指定更新IP和更新凭据法

一般不能

★★

★★

方法2-产品客户端直接更新法

不能

★★★

方法3-第三方 FTP 客户端软件更新法

不能

★★

★★

方法4-虚拟目录更新法

一般不能

★★★

★★

方法5-虚拟站点更新法

一般不能

★★★

★★

方法6-设置例外文件/文件夹更新法

一般不能

★★★

方法7-无备份目录更新法

一般不能

★★★

方法8-隧道文件更新法

一般不能

★★★

方法9-有备份目录模式下的隧道文件更新法

一般不能

★★★

★★

 


 

 

十一、  技术支持及联系方式

       用户在使用 深空®网页防篡改系统 过程中遇到任何技术问题,可以通过下列方式与本产品制造商 福建深空®信息技术有限公司 (FuJian SkyDeep Information Technology Co.,Ltd)取得联系.

统一客服热线: 400-0300-630                  Tel:    +86 400-0300-630

传真:    0591-22856511                         Fax:    +86-591-22856511

统一客服QQ:  652500285                      QQ:    652500285

电子邮件:        sales##sky-deep.com      (##替换成@)

■E-Mail: sales##sky-deep.com               (Replace ## as @)

公司网址:www.sky-deep.com              Website: www.sky-deep.com

邮编:    350002                                     Zip Code:350002

公司地址:中国 福建省 福州市 晋安区 儒江西路 东方名城 华郡25号楼 01-02单元 2502

■Addr: Room 2502, unit 01-02, building no. 25, hua jun, dongfang county, jin’an district, jinan district, fuzhou city, fujian province, China