Tripwire软件能让用户确信自己的系统和数据处于完整且安全状态--基本体现在于它能为您带来的增值：
　　
　　减少操作"事故"--专家认为这是导致众多技术故障的原因
　　
　　减少恢复停工的必要时间--因误操作或入侵者导致的停工时有出现
　　
　　更加有利于熟练的雇员应用--为用户提供专业级全面的解决方案和技术支持，而不单单只局限于处理操作上的问题
　　
　　改进商业效率--可升级的技术结构能节约了系统管理的人力资源而且还能更好管理日趋增加的分散的系统。
　　
　　能快捷方便地对受损的网站内容进行修复--有效解决任何非授权的内容更改
　　
　　Tripwire能在完整性威胁方面保护您正处于"危险"中Web服务器，显示非授权变更造成的损毁，立即发现变更并替换掉"暂时不可用"的页面或指向本地预备的没被损坏的备份网站。
　　
处于"危险"中的Web服务器
　　
　　由于Web服务器的特性导致其比其他类型服务器更加吸引外部攻击。一个企业的Web网站面对的是世界，象征了企业的形象和企业提供的服务。我们以网站页面发布的信息不被随意篡改作为最基本的要求。若被改动，无论是入侵者的恶意行为还是内部用户的错误操作，都必须立即发现，并及时处理。
　　
　　防止受损或未授权更改的内容被显示，从而维护了企业的形象，Tripwire提出了很好的解决方案，为企业的Web服务器提供完善的保护和监控措施。配置使用Tripwire for Server和Tripwire for Web Pages，都能让您确信您的Web服务器处于完整安全的状态，另外还确保被篡改信息不对外发布。
　

　　
　　图1--受损页面对企业产生有害的影响，具体体现在如下几方面：公共形象的受损，公共关系受到负面影响，令客户失去信心，由于停工造成了经济损失，或失去潜在的市场资本。
　　
Web服务器的设计方案
　　
　　Web服务的并非普通的用户系统--它只允许系统管理员或网站管理员对其进行交互读写访问。网站系统不同于普通的系统的关键性表现为：
　　
　　限制设定交互读写用户账号--超级用户和网站超级管理员
　　
　　核心的服务功能是向外发布网站页面--系统没有太多的软件和文件组成，运行方式比较单一。
　　
　　拥有大批网页内容文件--以文本、二进制执行文件和其他文件
　　
　　作为生产系统，一个网站服务器的核心操作系统和关联文件不经常被修改。改变核心系统需要依照正确固定的处理流程进行。
　　
　　网页内容在外形上存在一些细微的不同。网页内容可能是：
　　
　　静态HTML文件
　　
　　服务器端的执行程序（ASP,PHP,Java,cgi-bin等）
　　
　　其他客户端内容（Flash,graphic images,JavaScript）
　　
　　实际上网站服务程序、库文件和其他支持文件也包括在网站内容类表中。这些文件不是来至操作系统，而且它们还是与Web内容由相同的组织进行管理。
　　
　　这些文件要比核心操作系统文件更经常被改动，但是更改都需要确认。这些文件通常与他们自己的文件系统或目录分离。
　　
保护Web服务器
　　
　　Tripwire为用户提供了TripwireforWebPages和Tripwire for Servers，结合两个产品提出一个完整的网站监控和预防网站非法入侵及恶意破坏的解决方案。
　　
Tripwire for Web Pages
　　
　　TripwireforWebPages提供受损补救的解决方案，并致力于确保ApacheWeb servers的网站数据。此产品是与Covalent公司共同开发的，是第一个用于保护Apache Web servers的解决方案。
　　
　　Tripwire for Web Pages使用十分简单，但它同时提供了能够防止受损网站页面被发布的重要功能。它的工作原理如下：
　　
　　1) Tripwire for Web Pages在网站处于已知的正确状态下为网页或网站建立基线数据快照。每个浏览器在对网站页面请求时都会触发一个对请求页面的检测（触发事件与运行检测均由Tripwire for Web Pages自动完成），用它的当前散列值与初始快照进行比较。
　　
　　2a) 若此页面的散列值与存放在数据库中的基线快照相同，则让此页面提供服务。
　　
　　2b) 若此页面的散列值与存放在数据库中的基线快照不同，将采取一系列的响应措施。在默认状态下，预先定制的临时页面将启动并提供服务，此临时页面可存放在任何设备中；例如：它可以是保存在光盘中的网站副本。当然，系统管理员可以在不正常（违规）页面被请求服务时对响应措施进行定制，例如：使用存放在光盘中的网站副本恢复网站。
　　
　　3) Tripwire for Web Pages记录日志事件并立即通过E-mail形式发送提示信息。

图二--Tripwire for Web Pages工作流程
   
    Tripwire for Servers
   
    Tripwire for Servers是一个最好的数据完整性解决方案，通过监控网站服务器上的临界文件（系统文件、二进制文件、应用文件、内容文件等）。若任一受监控的临界文件被更改（包括恶意修改和误操作引起），Tripwire for Servers都会发现并通知管理员。
   
    Tripwire for Servers在默认安装情况下已配置了对基础系统文件的监控。若Web服务器执行程序、支持的数据库和配置文件安装保护的系统目录下，那么则不需要对配置文件进行修改。然而，大多Internet网站产品都是把Web服务器从文件系统中分离出来的，如UNIX系统将Web服务提供内容装载为/www。
   
    不管Web应用文件是否安装在文件系统，Web内容往往都是与操作系统分离的。这些文件不是操作系统构架的一部分，用户需要在Tripwrie策略文件增加对这些文件的监控规则。
   
    配置Tripwire for Servers对网站文件和信息进行监控，您需要首先更新策略文件。策略文件包含所有您想让Tripwire for Servers对其进行监控的文件和目录。策略文件根据相似属性归组原则分解成若干个独立的规则组。例如：针对Web服务器中您可以定制名为"Application Binaries"的规则监测Web服务器的应用二进制文件的情况。
   
    在Tripwire for Servers的策略文件添加以下内容：
   
    1) 更新策略文件，添加对Web内容的监控，如/www。
   
    对这些内容需要使用最强的保护规则选项。在Windows NT中使用$(SECHIGHEST)选项，以及在Solaris下使用$(SEC_CRIT)选项对所有的文件属性进行监控和保护其文件内容。必须区分开新的规则。
   
    2) 以相同的样式添加Web服务器的应用二进制执行文件和配置文件。
   
    这仍然需要将这部份的规则内容从Web内容中分离出来或与其它系统规则简单的结合起来。
   
    Web内容需要从系统保护和系统应用文件的保护规则分离出来，其原因是：
   
    ? Web内容的变更是按一定的样式和时间进行更改的，此特性不同于系统文件和服务器应用文件。
   
    ? Web内容由很多的文件组成，入侵者对Web网站进行攻击都需要实现对基础系统（Web内容）的交互读写访问。
   
　　适当的使用规则，Tripwire可以使用时间表定制较核心系统检测频繁的Web内容检测规则。每天有条理的对系统进行检测，以及将Web内容按频率进行检测都是十分重要的。我们需要将特定规则分离出来专门保护Web网站的主页以及它的基础构成（GIF、JPG图片等）。因为Web网站的入侵者通常以网站的"入口"为目标。对这些文件进行每隔5分钟的检测能大大减少被入侵的风险。
下图展示了如何使用时间表对Web服务器定制三个不同的检测事件。
   
    1. 第一个事件对主页内容进行检测。在这里，我们可以定制每隔10分钟检测主页文件。当此事件建立后，Tripwire for Servers即可对指定的规则进行定时检测。
   
    2. 第二和第三事件，"应用二进制执行文件和所有的操作系统检测"，能对Web服务器应用二进制执行文件和所有操作系统文件进行监控。这些文件并不需要时常检测，我们定制检测的间隔时间为每天的中午。