在構(gòu)建全面的Web安全防護體系時，部署防篡改系統(tǒng)是不可或缺的關(guān)鍵環(huán)節(jié)。防篡改系統(tǒng)按部署架構(gòu)分為專業(yè)級和輕量級，哪種級別更適合你呢？下面我們就來慢慢分析！

一、 什么是專業(yè)級，什么是輕量級

1、 專業(yè)級

專業(yè)級是指符合國家網(wǎng)絡(luò)安全產(chǎn)品標準的防篡改軟件，此類軟件特點是部署比較復雜，費用也昂貴，動輒幾萬元的起步價。此類系統(tǒng)至少需要兩臺服務(wù)器，一臺做發(fā)布用途，一臺做Web訪問用途，系統(tǒng)架構(gòu)如下圖一。

（圖一：專業(yè)級防篡改系統(tǒng)架構(gòu)圖）

如上圖所示，防篡改系統(tǒng)將發(fā)布服務(wù)器上的網(wǎng)頁文件實時同步到Web服務(wù)器。當用戶訪問時，輸出Web服務(wù)器上未被篡改的內(nèi)容給用戶。如果黑客進行篡改，先會攔截篡改操作，攔截不住就從發(fā)布服務(wù)器還原文件。

從該系統(tǒng)架構(gòu)分析可以看出，并非所有網(wǎng)站都適用專業(yè)級防篡改系統(tǒng)。比如允許用戶上傳文件的網(wǎng)站（例如discuz論壇），或者需要生成緩存文件的CMS系統(tǒng)（大部分CMS系統(tǒng)都會生成緩存文件，例如wordpress、帝國CMS、織夢），這些都不能使用專業(yè)級防篡改系統(tǒng)。該類型防篡改系統(tǒng)主要適用于政府網(wǎng)站（一般都是針對性開發(fā)），內(nèi)容均為純靜態(tài)頁面，或有少量動態(tài)腳本，例如搜索框。

2、 輕量級

輕量級防篡改系統(tǒng)只需要一臺服務(wù)器，在Web服務(wù)器上安裝防篡改系統(tǒng)，即可攔截黑客篡改行為，典型代表有：『護衛(wèi)神.防入侵系統(tǒng)』。

特點：部署簡單、費用低廉，缺點：不帶篡改還原功能。

如果文件一旦被篡改，系統(tǒng)不會進行還原。例如關(guān)閉防篡改系統(tǒng)期間文件被篡改了，再開啟防篡改系統(tǒng)，系統(tǒng)無法識別出文件被篡改了。不過根據(jù)我們多年的安全防護經(jīng)驗以及為上萬客戶提供防篡改服務(wù)的實踐分析得出，只要防篡改系統(tǒng)夠優(yōu)秀，出現(xiàn)此類問題的幾率極低，幾乎可以忽略不計。

對于允許用戶上傳文件或是需要生成緩存文件的網(wǎng)站，只要防篡改系統(tǒng)有白名單功能，就可以使用。

（圖二：護衛(wèi)神.入侵的防篡改模塊）

二、 防篡改副作用問題如何解決

大部分防篡改系統(tǒng)都有副作用，因為在底層驅(qū)動攔截時，無法識別出是黑客還是管理員在修改文件，只有統(tǒng)統(tǒng)攔截。例如緩存目錄，網(wǎng)站正常運行需要寫入文件到此目錄，黑客也可以往此目錄寫入非法文件，但防篡改系統(tǒng)無法區(qū)分是黑客寫入的還是管理員寫入的。針對此種情況，需要搭配腳本防護功能才能解決問題（『護衛(wèi)神.防入侵系統(tǒng)』有此功能）。讓臨時目錄禁止執(zhí)行PHP腳本，即使黑客植入了webshell，也無法執(zhí)行，也就解決了安全問題。

總的來說，防篡改需要多重措施聯(lián)合防護才能有效，才能解決副作用問題�？梢允褂谩鹤o衛(wèi)神.防入侵系統(tǒng)』輕松解決網(wǎng)站防篡改問題，其內(nèi)置國內(nèi)大部分CMS的防篡改規(guī)則，一鍵即可開啟強大的防篡改功能，并且還沒有副作。同時對數(shù)據(jù)庫防篡改也有很強的防護能力。

如下圖所示，護衛(wèi)神.防入侵系統(tǒng)內(nèi)置大部分CMS的防篡改規(guī)則，只需要選擇與網(wǎng)站匹配的安全模板就可以了。

（圖三：護衛(wèi)神.防入侵系統(tǒng)內(nèi)置CMS防篡改規(guī)則）

如下圖所示，護衛(wèi)神.防入侵系統(tǒng)禁止緩存目錄、臨時目錄、上傳目錄執(zhí)行動態(tài)腳本，黑客即使上傳了webshell也無法運行，完美解決副作用和安全問題。

（圖四：護衛(wèi)神.防入侵系統(tǒng)禁止緩存目錄執(zhí)行腳本）

如下圖所示，護衛(wèi)神.防入侵系統(tǒng)對數(shù)據(jù)庫進行防篡改保護，阻止黑客篡改數(shù)據(jù)、刪庫、拖庫等非法操作。

（圖四：護衛(wèi)神.防入侵系統(tǒng)對數(shù)據(jù)庫進行防篡改保護）

【護衛(wèi)神.防入侵系統(tǒng)，擁有上百項安全防護模塊，點此查看演示】