4.1 Windows发布服务, Windows网站服务器

本章以下图的拓扑环境为例，介绍常规情况下，发布服务器和网站服务器同时为Windows操作系统的部署步骤。

假设的场景中，用户把发布服务器放在内网IP为10.10.1.8的Windows 2008服务器上；需要防护的两台网站服务器在DMZ区，中间有防火墙隔断，网站服务器也是Windows 2008操作系统。

图示 4-1 系统拓扑

4.1.1 网页备份

由于iGuard需要一份原始文件作为恢复的基准，所以在部署时，需要先把网站服务器（192.168.100.2或192.168.100.3）上的内容全部复制到发布服务器（10.10.1.8）上。备份的几个要点如下：

• 如果网站服务器曾被攻击，应先检查网站内容是否异常，是否仍有残留的网页木马。网站服务器的用户、服务和自启动等关键部位，是否有需要特别留意之处。如有，需要先做细致的清理和加固，再做页面备份。
• 备份到发布服务器的网页内容，可以放在任意目录下，但通常建议选择剩余空间较大的磁盘分区。
• 如果文件数量众多，可以使用FastCopy等工具协助复制。
• 网页备份的步骤并非强制在最开始时执行，但文件数量众多的情况下，强烈建议在安装程序之前首先执行文件备份。因为在文件备份期间，同时可以并行地安装程序。

4.1.2 安装发布服务器

在安装发布服务器前，需要先获得有效的许可证，并确保许可证支持的数量，大于等于当前需要保护的站点数。如在我们的示例中，则至少需要一份支持2套站点的许可。

获得许可证后，在发布服务器上，以管理员身份点击运行“iGuard5-Stagingd-5.XX.exe”。具体安装步骤见本文档【2.1.1发布服务器Windows安装】章节。在安装过程中，准确输入许可证信息。

发布服务器安装完成后，会在操作系统的服务里，新增一项名为“Stagingd5”的服务，确保该服务处于启动状态。

4.1.3 安装同步服务器

由于发布服务器和同步服务器需要进行身份验证，所以需要提前先把发布服务器安装目录（默认安装目录为C:\Tercel\iGuard5\StagingServer）下的staging.id验证文件，复制到两台网站服务器上去。

获得staging.id文件后，在网站服务器（192.168.100.2和192.168.100.3）上，以管理员身份点击运行“iGuard5-igdagent-5.XX.exe”。具体安装步骤详见本文档【2.2.1 同步服务器Windows安装】章节。在安装过程中，需要提供复制过来的staging.id文件的位置。安装同步服务器后的几个要点如下：

• 如果发布服务器和同步服务器不在同一网段，并且两个网段之间有防火墙分隔，需要在防火墙上，开通从发布服务器到同步服务器37777端口的TCP访问。如本例中，需要开通从10.10.1.8到192.168.100.2和192.168.100.3两服务器的37777端口访问。
• 还需要检查同步服务器自身的Windows操作系统是否开启了自带的系统防火墙。如果开启了自带的网络防火墙，还需要开放37777端口的对外服务。
• 同步服务器安装完成后，会在操作系统的服务里，新增两项名为“fcagent”和“igdagent”的服务，确保这两个服务处于启动状态。

4.1.4 登陆Web控制台做各种配置

在客户端机器（通常为管理员的桌面机），打开网页浏览器（建议IE8以上版本，Firefox、Chrome等），访问发布服务器上的Web控制台，具体路径为：https://[发布服务器IP]:39999/。

如本案例中，需要在浏览器中访问https://10.10.1.8:39999/。

如果浏览器无法访问 https://[发布服务器IP]:39999/：

• 请先检查发布服务器10.10.1.8上的Stagingd5服务是否处于启动状态；
• 再检查发布服务器自身操作系统所带的网络防火墙是否打开，如果是，则需要在防火墙中额外允许39999端口的访问；
• 地址栏里的地址是否为https://...开头，是否误为http://...
• 浏览器是否启动了访问代理，访问代理服务器是否可用，是否支持ssl；
• 必要时可以用ping, telnet等工具协助定位问题。

系统默认用户名为admin，密码为iguard。

在控制台里，推荐的初始操作步骤为：

1) 新增需要防护的服务器，具体步骤详见【3.5.2系统配置-服务器】章节的“”新增服务器。如本例中，新增的同步服务器IP为192.168.100.2和192.168.100.3。

2) 新增站点，具体步骤详见【3.5.1系统配置-站点】章节：

• 在站点【路径映射】的“源路径”里，写存放在发布服务器上的备份文件目录；在“目标路径”里，写需要防护的网站在同步服务器端的目录。如果有多条，则分别设定。
• 完成路径映射设定后，再到【关联服务器】里，设定要把这条映射分配给哪几个服务器。如本例中，需要关联上一步骤中设定的192.168.100.2和192.168.100.3服务器。

3) 保存。并在界面的【防护状态】中，查看上述两台服务器的状态是否为【Ok】。

同时，建议立刻修改管理员密码，换掉默认密码。

4.1.5 远程防护配置

iGuardV5.5 有三种防护模式（可以只选择使用其中一种或多种组合）。三种防护模式需要分别配置，要点如下：

4.1.5.1 文件异动检测

点击桌面上的“防护状态”，再选择需要配置的服务器对应【操作】列里的“内置模块”，在可用模块下拉列表里，选择“文件异动检测”。在目录列表框，选择“从站点中导入”按钮 ，把前面“路径映射”中设定的“目标目录”自动导入为防护目录。也可以不使用“导入”功能，而是手工指定需要防护的目录。该目录为网站服务器（同步服务器）端的物理路径。必须执行这一目录设定操作，否则文件异动检测无效。详见【3.4.2 文件异动检测）】章节。

4.1.5.2 核心内嵌防护

①首先需要对Web端受保护文件进行水印初始化工作，详见【3.4.6水印签发】章节。如果文件实在太多，可以使用命令行方式，效率更高，详见【2.3.1 文件水印初始化】章节。

② 如果有需要忽略的目录，可点击桌面上的“防护状态”，再选择需要配置的服务器对应【操作】列里的“Web模块”，详见【3.4.5 Web 模块】章节。

③这一设置完成后，还需要在Web服务器端加载具体的防护模块，详见【2.3防护方式】章节里各种Web服务器的具体步骤。必须在网站服务器端额外地执行加载模块的动作，否则核心内嵌防护无效。

注意：如果上述步骤② 里，点击了“防护状态”->“Web模块”后，没有在系统默认Web服务器类型列表里，找到自己实际使用的Web服务器品种，需要到Web服务器上，编辑修改C:\tercel\iguard5\igdagent\conf\managed.conf 配置文件。如当前配置为：

 {
"modules":[
 "C:/Tercel/iGuard5/igdagent/modules/iis7_64/mod_iguard5.conf",
 "C:/Tercel/iGuard5/igdagent/modules/jee_64/mod_iguard5.conf",
]
}

而实际需要使用的模块是32位的Apache 2.2，则需要修改该文件为： { "modules":[ "C:/Tercel/iGuard5/igdagent/modules/ap22/mod_iguard5.conf" ] }

在Web服务器端保存该文件后，再返回控制台，点击“防护状态”->“Web模块”，重新做忽略配置。

4.1.5.3 定时扫描防护

点击桌面上的“防护状态”，再选择需要配置的服务器对应【操作】列里的“内置模块”，在可用模块下拉列表里，选择“定时扫描计划”。点击 添加按钮，在目录列表框，选择“导入” ， 把前面“路径映射”中设定的“目标目录”自动导入为定时扫描目录，具体操作详见【3.4.1 内置模块（定时扫描计划）】章节。必须执行这步操作，否则定时扫描防护无效。