交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
应用场景
开启服务器挂马监控后,WG会对网站进行检查,如果发现服务器已经被挂马,WG会对这个页面按照设定的动作进行处理,可以有效控制客户端查看到被挂马的内容,在一定程度上保护了服务器。
功能原理
网页挂马
是一种相对隐蔽的网页篡改方式,黑客通过各种攻击手段获得网站管理员账号,然后向叶面中加入恶意跳转代码。挂马后的页面从表面页面内容呈现上不易察觉,本质上却破坏了页面的完整性,其攻击目标为页面访问的最终用户,能够在访问者不知情的状态下,将木马植入访问主机,从而达到下一步获取用户机密信息,甚至达到发展botnet 傀儡机的目的。挂马网站作为木马的传播帮凶,严重影响了站点的信誉度。
挂马网站的特点,一般为在网页中嵌入代码实现恶意跳转,常见的如:
<iframe src=http: //xxx></iframe>
<script src=http: //xxx.js></script>
挂马监控
WG能对受保护的网站进行检测,当发现服务器回应的网站包含挂马网站特征时,将阻断此链接,客户端此时会返回一个空白页面。
注意:使用此功能前,一定要与客户沟通清楚,确认客户网站代码中,是否包含有正常的跳转的网站信息(如跳转到一些关联网站,但目的网站与本网站不在同一个主域名下),如果有,启用后要将所有正常的跳转网站域名加入到安全域名列表中,否则会导致这些含跳转链接的网站无法被访问。
一、组网需求
挂上WG之后,需要WG检测网站是否已经被挂马,如果被挂马,需要阻断客户端访问这些已经被挂马的网站。
二、配置要点
1、添加服务器安全组,在服务器列表中添加需要保护的服务器地址及对应的端口;
说明:
只有加到服务器安全组中的IP的端口才会被WG保护,如果服务器需要保护的端口未加全,则这部分端口对应的网站还是会被攻击。
设备使用反向代理方式接入时,服务器安全组配置时,要将反向代理服务器IP地址和服务器实际IP地址均加入服务器列表中。
2、勾选启用服务器挂马监控;
3、选择其他安全功能,并选择需要使用的URL安全策略,单击“应用”配置生效。
4、重新点编辑进入此服务器安全组,配置安全域名。
说明:部分网站访问时,网页内会有嵌入一些非本域名下的其他URL,开启此功能前,一定要与客户沟通清楚网站内嵌入哪些非本域名下的URL;然后将这些URL加入到安全域名列表中,防止该跳转被WG误判为挂马。
三、配置步骤
1、添加服务器安全组,在服务器列表中添加需要保护的服务器地址及对应的端口;
(1) 进入菜单 Web安全 > 服务器安全组,选择添加:
说明:服务器安全组的匹配顺序是从上往下,如果此服务器安全组和安全策略中有多个条目,则最上面的条目最优先匹配,而且匹配中之后,不会继续往下匹配其他的服务器安全组。
(2)在服务器列表中,输入要保护的服务器及其端口,单击“添加”后加入列表,如下图:
说明:
必须要单击"添加"才会把服务器加到服务器列表里。
由于一次只能添加一个HTTP或者HTTPS端口,如果同一台服务器有多个端口需要保护,需要添加多次。
2、将页面往下拉,找到服务器安全选项,可以看到"启用服务器挂马监控",勾选启用;
3、选择其他安全功能,并选择需要使用的URL安全策略,单击“应用”配置生效。
4、重新点编辑进入此服务器安全组,配置安全域名。
(1)找到"启用服务器挂马监控",单击“高级选项”:
(2)添加信任的安全域名列表:
说明:设备上已经将常见的流量统计、搜索引擎、推广链接加入到安全域名列表中;只需将客户处未包含在此安全域名列表中的信任域名加入即可。
四、配置验证
服务器安全组建立后,如果遇到对应的攻击,可以在报表和日志 > 日志 > 攻击日志 菜单中看到对应的日志。
也可以在攻击日志中设置如下过滤条件查看是否有匹配到此安全选项的日志: