3.4 防护状态

点击界面【防护状态】快捷退表，页面显示服务器列表，可以查看的信息包括：名称、IP、端口、连接状态、操作项等（图示3-4-1）。

图示 3-4-1 防护状态

在【操作】项里分为五个配置选项页：内置模块、WEB模块、水印签发、工具箱和系统维护。

以下为几个功能模块的解释：

• 内置模块->定时扫描计划：定时扫描，在指定时间点对网站服务器上的受保护目录进行扫描；
• 内置模块->文件异动检测：设定网站服务器上文件变动检测的策略；
• WEB模块：核心内嵌模块，设定加载在Web服务器软件内的模块策略；
• 水印签发：远程设定网站服务器上的水印签发策略和执行；
• 工具箱：远程控制目标服务器上安装的辅助软件；
• 系统维护：在Web端远程重启目标服务器上的同步服务。

注意：防护状态内的所有功能，都必须在发布服务器和同步服务器能正常连接，许可证未过期时，才能操作！否则无法使用相应的功能。

3.4.1 内置模块 - 定时扫描计划

点击特定服务器对应的【操作】项 ，在【内置模块】的可用模块下拉菜单中，再选择【定时扫描计划】项。

下图显示了定时扫描的任务列表，可以点击 按钮增加任务，点击 按钮编辑任务，或点击 删除相应的扫描任务。完成后，点击【保存】扫描计划的配置（图示3-4-2）。

图示 3-4-2 定时扫描计划

点击 按钮添加新的扫描任务，弹出具体配置选项框（图示3-4-3）。

图示 3-4-3 编辑定时任务

可以进行的配置包括：

• 任务名称：扫描任务的显示名称；
• 类型：扫描频率设置，可以配置为仅一次、每天、每周、每月；
• 开始/结束时间：扫描任务的开始/结束时间；
• 永不过期：若选中，则扫描任务一直有效，无需设置结束时间；
• 目录列表：需要进行扫描的文件目录，可以点击 按钮从关联站点的映射路径获取；
• 过滤规则：扫描时需要排除的文件或目录。

如果需要把同一配置，分发到多台服务器上去，可以点击【复制配置到】按钮，选择需要配置扫描任务的目标服务器，会弹出配置选项框（图示3-4-4）。

图示 3-4-4 选择目标服务器

3.4.2 内置模块 - 文件异动检测

点击特定服务器对应的【操作】项 ，在【内置模块】的可用模块下拉菜单中，再选择【文件异动检测】项。配置界面如下：

图示 3-4-5 文件异动检测

可以配置项项目如下：

• 目录列表：需要监视文件异常变化的目录列表，可以点击 按钮从关联站点的映射路径获取；
• 过滤规则：监视过程中需要排除的文件或目录；包含（+）即需要对满足条件的文件实时监控，排除（-）即不需要对满足条件的文件实时防护，默认值为在目录列表中的所有文件都受到实时防护，然后点击【保存】按钮完成配置（图示3-4-6）

如果需要把同一配置，分发到多台服务器上去，可以点击【复制配置到】按钮选择需要配置的目标服务器。

图示 3-4-6 选择目标服务器

3.4.3 内置模块 - iLocker(Win)

只有同步服务器为Windows 2008以上操作系统，并已成功安装了iLocker防护后，在【内置模块】里才能看到【iLocker(Win)】选项。如果没有该选项，需要先安装iLocker。

点击特定服务器对应的【操作】项 ，在【内置模块】的可用模块下拉菜单中选择【iLocker（Win）】选项。

首次使用时需要输入有效的用户账号，该账号为iLocker的安全组账号，默认为security，密码1234abcd。

图示 3-4-7 登录iLocker

登陆成功后，配置界面如下：

图示 3-4-8 编辑iLocker文件防护规则

点击 按钮增加防护规则，点击 按钮编辑防护规则，或点击 删除相应的防护规则。完成后，点击【保存】按钮完成配置（图示3-4-8）。

多条规则之间，按照排列的顺序确定优先级。排在前面的规则优先级更高。如果被前面的规则匹配到，后面符合的规则也自动失效。如果需要调整优先级，可点击上下按钮 ，使其符合具体的需求。

可以配置的项目如下：

• 用户名：可以填入一个具体准确的用户名，也可以用 * 做通配，代表匹配所有的用户；
• 进程路径：可以填入一个完整的进程路径，也可以用 * 做部分或全部的通配，以匹配特定模式的进程；
• 访问权限：包括“不可改写”、“不可访问”和“完全控制”三种。通常需要拒绝写操作的，选择“不可改写”；需要放行写操作的，选择“完全控制”；“不可访问”只有极少数场合下会使用，代表符合条件的进程，无法读取“以下文件/目录”里的内容，这个设定对功能影响较大，一般不会使用；
• 文件/目录：填入需要匹配上述规则的文件/目录模式，可以填入一个目录，如"D:\Apache2.2\htdocs"；也可以填入一个完整的文件路径，如"D:\Apache2.2\conf\httpd.conf"；也可以填入部分具有*号通配的路径模式，如 "*\uploadfile*"，自动匹配相似模式的文件；
• 违规措施：包括“记录访问日志”和“拦截访问动作”两者。这两个选项为复选的模式，可以只选择一种，也可以两种全选。如果访问权限里，已经选择“完全控制”，则这两项【违规措施】都不能选，因为此时文件就不受限制，可以直接读写了。如果只选择了“记录访问日志”，则系统不会拦截符合规律的动作，只会静默地记录其具体的操作信息。

更具体配置建议参见独立的iLocker说明：http://www.tcxa.com.cn/ilocker/windows/help/ 。

3.4.4 内置模块 - iLocker(Linux)

只有同步服务器为Linux操作系统，并在igdagent目录下，安装了iLocker for linux后，此项配置才有意义。

在做此项配置之前，要确保：iLocker Linux 已经安装在igdagent 目录下，也就是 /usr/local/iguard5/igdagent 目录下，分别有 bin、conf/ilocker.conf 和 lib/ilocker.ko 等必须的文件和目录。

点击特定服务器对应的【操作】项 ，在【内置模块】的可用模块下拉菜单中选择【iLocker（Linux）】选项。配置界面如下：

图示 3-4-9 编辑iLocker文件防护规则

点击 按钮增加防护规则，点击 按钮编辑防护规则，或点击 删除相应的防护规则。完成后，点击【保存】按钮完成配置（图示3-4-9）。

多条规则之间，按照排列的顺序确定优先级。排在前面的规则优先级更高。如果被前面的规则匹配到，后面符合的规则也自动失效。如果需要调整优先级，可点击上下按钮 ，使其符合具体的需求。

可以配置的项目如下：

• 用户id：可以填入一个具体准确的用户pid，如“500”，也可以用 " * " 做通配，代表匹配所有的用户；
• 执行程序：可以填入一个完整的进程路径，如”/bin/touch“，也可以用 * 做部分或全部的通配，如 "*/java"，以匹配特定模式的进程；
• 运行参数：是上一项【执行程序】的具体运行参数，如果不需要过细粒度的配置，直接写 " * " 即可；
• 操作：需要匹配的细粒度动作，具体的动作可以点击下拉菜单选择，如果不需要过细力度的配置，直接写 * 即可，代表匹配该进程的所有动作；
• 文件：填入需要匹配上述规则的文件/目录模式，如果需要填入一个目录，一定要在最后加入 * 通配符，如 "/var/www/html/*" ；也可以填入一个完整的文件路径，如"/usr/local/apache2/conf/httpd.conf"；也可以填入部分具有*号通配的路径模式，如 "*/uploadfiles/*"，自动匹配相似模式的文件
• 措施：可选的措施包括三种“log”、“deny”和“pass”。如果措施为“log”，则匹配上述规则的动作，仅被记录在日志里，不会拦截；措施为“deny”时，匹配上述规则的动作，不但会记录还是直接拦截阻断；如果措施为“pass”，该动作既不会被记录也不会被拦截，会直接放行。

3.4.5 WEB模块

点击特定服务器记录的操作项，在页面右侧出现的配置区域选择“WEB模块”配置选项页，可以选中需要进行远程配置的防护模块名称，在配置区域进行操作，点击【复制配置到】按钮选择需要配置的目标服务器，然后点击【保存】按钮完成WEB模块的远程配置（图示3-4-10）。

图示 3-4-10 防护模块远程配置

可以进行的配置包括：

• 允许输出模块状态信息：是否允许在【防护状态】页面中显示本模块信息；
• 发现可疑内容时输出报警：默认开启
• 阻止对可疑内容的访问： 默认开启
• 拒绝URL规则：无论是否有水印，甚至未必有相应的文件或目录，本服务器就直接禁止（或允许）访问的URL列表；包含（+）即直接拒绝对该URL的访问，排除（-）即不需要拦截此URL的访问，默认值为不拒绝任何URL的访问；
• 拒绝文件规则：无论水印是否存在，在本服务器上直接禁止（或允许）访问的物理文件列表；包含（+）即直接拒绝对该文件模式的访问，排除（-）即不需要拦截此文件模式的访问，默认值为不拒绝任何文件的访问；
• 保护文件规则：本服务器需要（或不需要）检查水印的文件或目录列表；包含（+）即需要检查此文件的水印值，排除（-）即不需要检查此文件的水印值，默认值为需要检查所有文件的水印值。

点击【复制配置到】按钮可以选择需要配置WEB模块的目标服务器，会弹出配置选项框（图示3-4-11）。

图示 3-4-11 选择目标服务器

3.4.6 水印签发

点击特定服务器记录的操作项，在页面右侧出现的配置区域选择“水印签发”配置选项页。在配置界面里根据实际情况填入，完成后，点击【创建】按钮（图示3-4-12）。

图示 3-4-12 水印签发

可以配置的信息包括：

• 目录列表：需要监视文件异常变化的目录列表，可以点击 按钮从关联站点的映射路径获取；
• 过滤规则：监视过程中需要排除的文件或目录；包含（+）即需要对满足条件的文件进行水印签发，排除（-）即不需要对满足条件的文件进行水印签发。默认值为在文件目录中的所有文件都受到实时防护。

点击【创建】后，界面上显示当前的签发进度，必要时点击【刷新】按钮查看最新状态。直至“完成状态”项中，标示为“已完成”，代表本次签发已执行完毕。

图示 3-4-13 水印签发的实时状态

3.4.7 工具箱

点击特定服务器记录的操作项，在页面右侧出现的配置区域选择“工具箱”配置选项页，在【可用工具】选项中选择需要查看的目标服务加载模块项，目前Windows支持可查看的加载项主要有fefilter、igdservice、managed-mods、web-tomcat、webserver-info，Linux支持可查看的加载项主要有iLocker。

• fefilter:查询当前fefilter文件监控模式的状态，配置和修改fefilter需要监控的目录和进程，需要点击【获取状态】和【加载】两个按钮才能看到截图里的内容（图示3-4-14）；
  图示 3-4-14可用工具fefilter

• igdservice：查看和重启同步服务 ，需要点击【获取状态】和【加载】两个按钮才能看到截图里的内容（图示3-4-15）；
  图示 3-4-15可用工具igdservice

• managed-mods：显示当前同步服务器操作系统支持模块的相关信息，需要点击【获取状态】和【加载】两个按钮才能看到截图里的内容（图示3-4-16）；
  图示 3-4-16可用工具managed-mods

• web-tomcat：设置实时文件监控条件，需要点击【获取状态】和【加载】两个按钮才能看到截图里的内容（图示3-4-17）；
  图示 3-4-17可用工具web-tomcat

• webserver-info：显示当前同步操作系统的版本和内存等相关信息 ，需要点击【获取状态】和【加载】两个按钮才能看到截图里的内容（图示3-4-18）；
  图示 3-4-18可用工具webserver-info

• iLocker：查询ilocker加载状态，配置和修改ilocker需要防护的目录，这个模块要目标服务器是Linux系统才能在工具箱中进行查看，需要点击【获取状态】和【加载】两个按钮才能看到截图里的内容（图示3-4-19）；
  图示 3-4-19可用工具iLokcer

3.4.8 系统维护

点击特定服务器记录的操作项，在页面右侧出现的配置区域选择“系统维护”配置选项页，点击【重启防护代理服务器】按钮可以对服务器执行远程功能重启的操作（图示3-4-20）。这个重启操作的效果，是远程重启了目标服务器端的“igdagent”服务，使一些调整能及时生效。

图示 3-4-20 系统维护