Show Menu
主題×

Dispatcher Security Checklist

作為前端系統的調度程式為您的Adobe Experience manager基礎架構提供了額外的安全層。 Adobe強烈建議您在開始生產之前先完成下列檢查清單。
您也必須先完成AEM版本的安全性檢查清單,才能上線。 請參閱相應的 Adobe Experience Manager檔案

使用最新版的Dispatcher

您應安裝適用於您平台的最新可用版本。 您應升級您的Dispatcher實例,以使用最新版本,以利用產品和安全性增強功能。 請參 閱安裝Dispatcher
您可以查看調度程式日誌檔案來檢查當前版本的調度程式安裝。
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
要查找日誌檔案,請檢查您的中的調度程式配置
httpd.conf

限制可刷新快取的客戶端

啟用HTTPS以確保傳輸層安全

Adobe建議在作者和發佈例項上啟用HTTPS傳輸層。

限制存取

在配置Dispatcher時,應盡可能限制外部訪問。 請參 閱Dispatcher文檔中的 Example /filter Section。

確保管理URL的存取遭到拒絕

請確定您使用篩選器來封鎖任何管理URL(例如Web主控台)的外部存取。

使用白名單而非黑名單

白名單是提供存取控制的更好方式,因為白名單本身就假定,除非所有存取要求明確屬於白名單,否則應拒絕。 此模型對某些配置階段可能尚未審查或考慮的新請求提供更嚴格的控制。

使用專用系統用戶運行Dispatcher

配置Dispatcher時,您應確保Web伺服器由具有最低權限的專用用戶運行。 建議僅將寫訪問權限授予調度程式快取資料夾。
此外,IIS使用者需要依下列方式設定其網站:
  1. 在網站的物理路徑設定中,選擇「以特定用
    戶身份連接」
  2. 設定使用者。

防止拒絕服務(DoS)攻擊

拒絕服務(DoS)攻擊是企圖使電腦資源對其預定用戶不可用。
在調度器級別,有兩種配置方法可防止DoS攻擊:篩 filter
  • 使用mod_rewrite模組(例如 Apache 2.4 )執行URL驗證(如果URL模式規則不太複雜)。
  • 使用篩選器,防止分派器以假擴充名稱快取 URL 。 例如,變更快取規則,將快取限制在預期的MIME類型,例如:
    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt
      例如,設定檔案可用於限制外 部存取 ,這包括MIME類型的限制。
若要安全地在發佈例項上啟用完整功能,請設定篩選器以防止存取下列節點:
  • /etc/
  • /libs/
然後,配置篩選器以允許訪問以下節點路徑:
  • /etc/designs/*
  • /etc/clientlibs/*
  • /etc/segmentation.segment.js
  • /libs/cq/personalization/components/clickstreamcloud/content/config.json
  • /libs/wcm/stats/tracker.js
  • /libs/cq/personalization/*
    (JS、CSS和JSON)
  • /libs/cq/security/userinfo.json
    (CQ使用者資訊)
  • /libs/granite/security/currentuser.json
    (
    資料不得快取
    )
  • /libs/cq/i18n/*
    (內部化)

配置Dispatcher以防止CSRF攻擊

AEM提供 架構 ,以防止跨網站偽造要求攻擊。 為了正確使用此框架,您需要在調度器中列入CSRF Token支援的白名單。 您可以透過下列方式執行此動作:
  1. 建立允許路徑的篩
    /libs/granite/csrf/token.json
    選;
  2. 將標頭
    CSRF-Token
    添加到Dispatcher
    clientheaders
    配置的部分。

防止點按劫持

為防止點按劫持,建議您設定您的網站伺服器,以提供
X-FRAME-OPTIONS
HTTP標題設定
SAMEORIGIN

執行滲透測試

Adobe強烈建議您在開始生產之前,先對AEM基礎架構執行滲透率測試。