前言
本檔案主要面向運維人員說明常見的TongWeb5、TongWeb6、TongWeb7安全加固的配置方法,
TongWeb配置
一、首先建議TongWeb升級到最新版本,早期版本存在一些代碼級安全漏洞,無法通過配置解決,截止2021年1月5日TongWeb最新版本號為7.0.4.2,
二、TongWeb禁用不安全的HTTP方法,可登錄控制臺,進入“http通道管理”進行設定,
TongWeb5禁用不安全的HTTP方法,需在應用的web.xml中增加如下內容,并重新部署生效,
<?xml?version="1.0"?encoding="UTF-8"?>
<web-app?xmlns="http://java.sun.com/xml/ns/j2ee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" version="2.4">
<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<!-- 加入禁用的方法 -->
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>三、遠程訪問過濾,限制客戶端訪問的IP,可在虛擬主機中設定,登錄控制臺,進入“虛擬主機管理”的相應虛擬主機進行設定,具體參考TongWeb用戶手冊,
四、TongWeb控制臺與應用訪問埠由http改為https,見:https://blog.csdn.net/realwangpu/article/details/109527473
五、TongWeb老版本默認帶AJP埠,修改配置見:https://blog.csdn.net/realwangpu/article/details/109636309
六、TongWeb防SDOS攻擊和HOST頭攻擊,見:https://blog.csdn.net/realwangpu/article/details/109553849
七、使用X-Frame-Options防止網頁被Frame,
TongWeb6、TongWeb7在啟動腳本設定引數:-Dtongweb.X_Frame_Options,防止網頁被Frame,可設定引數值如下:
| 引數值 | 說明 |
|---|---|
| DENY | 瀏覽器拒絕當前頁面加載任何Frame頁面 |
| SAMEORIGIN | frame頁面的地址只能為同源域名下的頁面 |
| ALLOW-FROM | 允許frame加載的頁面地址 |
八、HTTP頭不暴露應用服務器名稱
不要在HTTP頭中暴露所用的應用服務器名稱,如:
HTTP/1.1 200 OK
Content-Type: text/javascript;charset=utf-8
Content-Length: 631
Server: TongWeb Server
TongWeb6,TongWeb7在控制臺的http通道中,相應埠的“其它property屬性”設定server值,如下:
TongWeb6.0.6.0及以下老版本改法,如下:
# TongWeb5改http頭的server名:
將lib下twns-ee.jar中的com\tongweb\advance\server\Version.properties檔案
product.name=TongWeb Server 中TongWeb Server改為其它名字即可,#TongWeb6改http頭的server名:
將lib下common.jar中Version.properties 的TongWeb Server改為其它名字即可,
product.name=TongWeb Server
abbrev.product.name=TongWeb Server
九、TongWeb7.0.4.2打開控制臺登錄驗證碼,將-DdisableVerCode=true改為false,更改TongWeb控制臺密碼、有效期, 見:https://blog.csdn.net/realwangpu/article/details/109509933
十、通過HTTP Referer頭禁用指定的來源,在http通道中對HTTP Referer內容進行過濾,
開啟驗證HTTP Rererer 請求頭,不被允許的 Referer請求將被禁止,回傳 HTTP狀態碼 403,默認不開啟,開啟后可填寫允許的主機和允許的IP地址,如果允許的主機和允許的IP地址都為空,將禁止所有的Referer請求,但是來自服務器本機的Referer請求仍然可以處理,
十一、TongWeb7控制臺實行三員分立
“ 三員分立” 要求系統管理員、 安全保密管理員、 安全審計員三者之間的關系相互獨立、 互相制約, 加強涉密資訊系統保密管理, 減少泄密風險,
| 角色 | 用戶名 | 密碼 |
|---|---|---|
| 默認系統管理員 | thanos | thanos123.com |
| 默認安全保密管理員 | security | security123.com |
| 默認安全審計員 | auditor | auditor123.com |
十二、設定TongWeb7審計日志
審計日志檔案存盤目錄為 TW_HOME/logs/audit-log/, 當前使用的日志檔案名稱為 audit.log, 輪轉的日志檔案按輪轉時刻的日期和時間命名,通過-D 引數可以配置日志相關功能,
| 引數 | 含義 |
|---|---|
| -Daudit.log.enabled | 審計日志開關, boolean 型別, true 表示開啟審計日志記錄功能, false 表示關閉審計日志記錄功能, 默認值為 true, |
| -Daudit.log.file.maxSize | 審計日志檔案按大小輪轉閾值,長整數型別, 單位“KB”, 默認值為 1048576, 即10 MB, |
| -Daudit.log.file.retentionDays | 審計日志檔案按日期清理閾值, 整數型別, 單位為“天”, 默認值為180, 即 6 個月, |
應用配置
一、 設定應用JSESSIONID、httponly屬性,見:https://blog.csdn.net/realwangpu/article/details/109711846
二、增加安全頭資訊
某些應用根據安全需求需要在http頭上增加X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy等安全資訊,可在應用中加filter,TongWeb自帶com.tongweb.catalina.filters.CorsFilter可配在應用中,具體請參考《TongWeb7用戶使用手冊》
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
if ((response instanceof HttpServletResponse)) {
HttpServletResponse httpResponse = (HttpServletResponse)response;
httpResponse.setHeader("X-Content-Type-Options", "nosniff");
httpResponse.setHeader("X-XSS-Protection", "1; mode=block");
httpResponse.setHeader("Content-Security-Policy", "default-src 'self';");
}
chain.doFilter(request, response);
}三、web.xml配置錯誤頁面
在應用WEB-INF/web.xml中增加如下資訊和相應頁面,如果訪問非應用前綴出現404錯誤,可部署一個前綴為 / 的應用,攔截后做錯誤頁跳轉,
<error-page>
<error-code>403</error-code>
<location>/403.html</location>
</error-page>
<error-page>
<error-code>404</error-code>
<location>/404.html</location>
</error-page>四、特定的URL請求由http強制調轉到https埠
1. 首先在TongWeb上配置http、https埠,http通道中做重定向https埠配置,
2.應用web.xml里配置重定向的URL規則,
<security-constraint>
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>五、升級應用中有安全漏洞的開源框架,如:spring、ActiveMQ等,可在https://www.cnvd.org.cn查詢,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/271256.html
標籤:其他