使用网页防篡改功能对您的网站进行防护之前,您需要为部署该网站的服务器创建防护规则,在防护规则中添加需要防护的网站文件目录,并开启防护开关。

前提条件

  • 已开通网页防篡改增值服务。
  • 确保您当前阿里云账号有足够的网页防篡改配额。

    1个网页防篡改配额可防护1台服务器。已使用的网页防篡改配额也就是开启防篡改防护的服务器数量。您可在云安全中心控制台网页防篡改页面右上角,查看您当前的配额数、已消耗的配额数和配额有效期(即云安全中心产品有效期)。如果配额不足,需要购买防篡改授权数。更多信息,请参见扩充配额

    网页防篡改配额
说明 网页防篡改配额的到期时间等同于云安全中心服务的到期时间。云安全中心服务到期后,网页防篡改服务将无法继续使用,防篡改配额也将自动失效。

背景信息

基础版用户需升级到基础杀毒版、高级版或企业版,才能使用网页防篡改服务。

配置完成防护目录后网页防篡改未立即生效,并且此时仍然可以对该防护目录写入文件。这种情况下,您需在防护管理列表中对该目录所在的服务器关闭防护状态开关,然后重新打开防护状态开关。

说明 如何打开防护状态开关,请参见步骤9开启防护状态

限制条件

  • 如果待防护的服务器系统和内核版本在防护限制列表范围内,将受到以下限制:
    • 每台服务器最多可添加10个防护目录。
    • 每个被防护的文件或目录的完整路径长度不能超过1000个英文字符或500中文字符。
  • 如果待防护的服务器系统和内核版本不在防护限制列表范围内,将受到以下限制:
    • 每台服务器最多可添加10个防护目录。
    • 每个被防护的目录大小不超过20 GB。
    • 每个被防护的目录下的文件夹个数不超过20,000个。
    • 每个被防护的目录文件夹层级不超过20个。
    • 每个被防护的文件大小不超过20 GB。
  • 可使用的授权配额为0时,您将无法添加新的防护服务器。

    如果有无需防护的服务器,可以暂时关闭该服务器的防护状态。关闭防护后,将会释放出对应数量的可用授权配额,以便您添加新的服务器。关闭1台服务器的防护状态开关,将会释放出1个可用授权配额。

说明
  • 建议您开启防护前检查文件夹目录层级、文件夹个数和防护目录大小是否超过限制。
  • 建议您排除 LOGPNGJPGMP4AVIMP3等无需防护的文件类型。

操作步骤

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择主动防御 > 网页防篡改
  3. 网页防篡改页面,单击防护管理页签。
  4. 防护管理页签单击为服务器添加防护,将需要保护的服务器添加到网页防篡改防护列表中。 为服务器添加防护
  5. 创建网页防篡改对话框中选择目标服务器。创建网页防篡改
    注意 可使用的授权配额为0时,您将无法添加新的防护服务器。
  6. 单击下一步,进入添加防护目录页签。
  7. 添加防护目录页签中,完成以下配置。添加防护目录
    选择防护模式。可选白名单模式黑名单模式。白名单模式下,会对添加的防护目录和文件类型进行保护;黑名单模式下,会防护目录下所有未排除的子目录、文件类型和指定文件。默认开启白名单模式。
    • 白名单模式配置:
      配置项 描述
      防护目录 手动输入该服务器下需要开启防篡改保护的目录路径。
      说明 Linux服务器和Windows服务器防护目录路径的格式不同,请根据页面提示输入正确的格式。
      防护文件类型 单击下拉列表,选择该目录中需要防护的文件类型,例如:JSHTMLXMLJPG等。

      您也可以在此处手动输入下拉列表中未列出的文件类型。
      本地备份目录 展示防护目录的默认备份存储路径。

      云安全中心为您指定的默认备份目录为/usr/local/aegis/bak(Linux服务器)和C:\Program Files (x86)\Alibaba\Aegis\bak(Windows服务器),您可手动修改默认的备份路径。

    • 黑名单防护模式:
      配置项 描述
      防护目录 手动输入该服务器下需要开启防篡改保护的目录路径。
      排除子目录 手动输入无需开启网页防篡改的子目录路径。

      单击添加子目录,支持添加多个子目录。

      添加排除子目录后,云安全中心将不会对该子目录中的文件进行防护。
      排除文件类型 选择无需进行网页防篡改检测的文件格式。

      可选值包含logtxtldb。您也可以手动输入这3类文件格式以外的其他文件类型。

      选择排除文件类型后,云安全中心将不会对该防护目录下该类型的文件进行防护。
      排除指定文件 手动输入无需开启网页防篡改的文件目录路径。

      单击添加文件,支持添加多个文件。

      输入指定文件后,云安全中心将不会对该指定文件进行防护。
      本地备份目录 展示防护目录的默认备份存储路径。

      云安全中心为您指定的默认备份目录为/usr/local/aegis/bak(Linux服务器)和C:\Program Files (x86)\Alibaba\Aegis\bak(Windows服务器),您可手动修改默认的备份路径。

  8. 单击开启防护,完成添加服务器和目录的操作。
    添加服务器完成后,该服务器将显示在网页防篡改页面的防护服务器列表中。
    说明 添加服务器后,服务器的网页防篡改防护是默认关闭状态的。您需要在网页防篡改页面,开启目标服务器的防护状态。
  9. 在防篡改防护列表中,单击目标服务器防护状态开关,为该服务器开启防护服务。防护状态
    说明 添加服务器后,服务器的网页防篡改防护是默认关闭状态的。您需要在网页防篡改列表中开启目标服务器的防护状态。
    首次开启防护时,目标主机的服务状态将会显示为启动中,并显示启动进度条。请耐心等待数秒,启动成功后服务状态将会显示为正在运行启动中
    当防护服务状态为异常时,在目标服务器服务状态栏单击异常,显示异常状态的详细原因并单击重试异常

后续操作

为服务器开启网页防篡改保护后,您可在网页防篡改页面,查看云安全中心为您检测到的网页篡改事件和告警信息。安全告警处理
说明

配置完成防护目录后网页防篡改未立即生效,并且此时仍然可以对该防护目录写入文件。这种情况下,您需在防护管理列表中对该目录所在的服务器关闭防护状态开关,然后重新打开防护状态开关。

网页防篡改服务状态

服务状态 说明 建议
启动中 网页防篡改防护服务正在开启。 首次开启防护时,目标主机的服务状态将会显示为启动中。请耐心等待数秒。
正在运行 防护状态已成功开启,服务正常运行中。
异常 防护开启异常。 将鼠标移动到目标服务器的服务状态上,查看发生异常的原因并单击重试
未启动 防护状态为未开启。 需将防护状态设置为开启