CN101626368A

CN101626368A - 一种防止网页被篡改的设备、方法和***

Info

Publication number: CN101626368A
Application number: CN200810116571A
Authority: CN
Inventors: 陈学理; 范敦球
Original assignee: ZHONGLIAN LUMENG INFORMATION (BEIJING) CO Ltd
Current assignee: ZHONGLIAN LUMENG INFORMATION (BEIJING) CO Ltd; NSFOCUS Information Technology Co Ltd; NSFOCUS INFORMATION Tech (BEIJING) CO Ltd
Priority date: 2008-07-11
Filing date: 2008-07-11
Publication date: 2010-01-13
Also published as: JP5517267B2; JP2011527472A; US20110167108A1; WO2010003317A1

Abstract

本发明公开了一种防止网页被篡改设备，其中在该防止网页被篡改设备中，网络数据包处理装置截取从网络服务器返回的网络数据包，页面还原装置接收所述网络数据包处理装置截取的网络数据包并将所述网络数据包还原为网页内容，页面内容比较装置将所述页面还原装置还原的网页内容和预先备份的、与所还原的网页内容相对应的网页内容进行比较，以确定所还原的网页内容是否被篡改，并且在判定所还原的网页内容被篡改了时，其将页面被篡改消息通知给网络服务器接管装置，以及网络服务器接管装置在接收到所述页面被篡改消息时，将预先备份的、与所还原的网页内容相对应的网页内容返回给外部网络用户。本发明还提供了一种在该防止网页被篡改设备中使用的方法以及利用该防止网页被篡改设备的***。

Description

一种防止网页被篡改的设备、方法和***

技术领域

本发明涉及网络服务器安全领域，尤其涉及一种防止网络服务器上的网页被篡改的设备、方法和***。

背景技术

随着信息时代的到来，在网络上提供各种网页内容信息服务的网络服务器变得越来越普及。由于各种原因，如网络服务器本身所用的操作***的漏洞、或者网络服务器的网络管理员的错误设定等，黑客们可以未经授权地修改网络服务器所提供的网页内容，将网页内容修改成包含不当信息的内容，从而导致浏览该网络服务器的网页的用户获得了错误的信息，这给网络服务器的所有者和内容提供者带来了极大的伤害。

为此，已经提供了各种方法来防止网络服务器上的网页内容被篡改。其中的一种方式是在网络服务器上安装专门的软件来实时监视网页文件的内容，如果发现网页内容被篡改，则直接采用网页的备份文件来覆盖被篡改的网页文件。其中在该方式中，通常采用哈希值(有些地方也叫水印)比较方式来判断网页是否被篡改。

然而，上述防止网页内容被篡改的方式存在多个不足之处。首先，该方式需要在网络服务器上安装专门的软件，如果该软件本身就具有安全问题，则这会给网络服务器带来潜在的安全隐患。其次，由于该软件是在网络服务器上运行的，如果黑客已经获得了该网络服务器足够高的权限，则黑客完全有可能具有权限来使该软件不起作用，而使该软件仅仅成为一种摆设。再次，由于这种软件需要和网络服务器上提供网页服务的应用(如HTTP服务器等)进行协作，因此，网络服务器的管理员需要因此改变其工作流程，这增加了网络管理员的工作量。此外，由于这种防网页篡改软件仅仅是对被篡改的网页文件进行覆盖而没有直接采取措施来查找网页被篡改的原因，因此，已经入侵了该网络服务器的黑客可以再次修改网页，导致网络服务器的不稳定。

图1中示出了一种典型的网页信息服务提供***的框图100，其中有多个网络服务器101-103在网关201之后，与外部网络301相连的多个客户机401-403通过网关201来分别访问多个网络服务器101-103。在现有技术中，为了防止网络服务器101-103上的网页内容被篡改，就必须分别在每个网络服务器101-103都安装专门的防网页被篡改软件，这就增加了网络服务器管理员的工作量。

此外，利用现有技术，无法解决在图1所示的***中存在的、利用ARP欺骗来篡改网页内容的问题。ARP欺骗的原理如下：假定网络服务器103已经被黑客非法侵入并且黑客获得了足够的权限，此后，黑客可以通过网络服务器103向网关201主动发送ARP应答，以便将网络服务器102的IP地址和网络服务器103的MAC地址相绑定，这样，当客户机401-403经由网关201请求网络服务器102上的网页内容时，该请求被错误地传送到已被黑客入侵的网络服务器103来处理，从而导致客户机401-403仅仅可以获取由网络服务器103而不是网络服务器102所提供内容。从客户机401-403的角度来看，网络服务器102所提供的网页内容被篡改了。可以看出，在利用ARP欺骗方式来篡改网页内容时，即使在网络服务器102上安装了专门的防网页被篡改软件且网络服务器102未被非法入侵，也无法保证客户机能够获得网络服务器102提供的未被篡改的网页。也就是说现有技术无法解决ARP欺骗方式的页面篡改。

根据上述可以看出，现有的防网页被篡改方法由于需要在网络服务器上安装专门软件而导致存在各种问题。为此，本发明力图提供一种新的防止网页被篡改的设备、方法和***来避免这些问题。

发明内容

根据本发明的一个方面，提供了一种防止网页被篡改的方法，包括步骤：获取外部网络用户对网络服务器上的网页内容的请求；获取所述网络服务器返回的、与该外部网络用户的网页内容请求相对应的网络数据包；根据所获取的网络数据包还原出网页内容；将所还原的网页内容和预先备份的、与所还原的网页内容相对应的网页内容进行比较，以确定所还原的网页内容是否被篡改了；以及如果所还原的网页内容被篡改了，则向所述外部网络用户返回预先备份的网页内容。

根据本发明的另一方面，提供了一种防止网页被篡改设备，包括：外部网络接口，与外部网络相连，用于获取外部网络用户对网络服务器的网页内容请求，并且将所请求的网页内容返回给外部网络用户；内部网络接口，与网络服务器相连，用于将外部网络用户的网页内容请求转发到网络服务器，并且获得网络服务器返回、与该网页内容请求相对应的网络数据包；网络数据包处理装置，截取从网络服务器返回的、与网页内容请求相对应的网络数据包；页面还原装置，接收所述网络数据包处理装置截取的网络数据包，并且将所述网络数据包还原为网页内容；页面内容比较装置，将所述页面还原装置还原的网页内容和预先备份的、与所还原的网页内容相对应的网页内容进行比较，以确定所还原的网页内容是否被篡改，并且在判定所还原的网页内容被篡改了时，其将页面被篡改消息通知给网络服务器接管装置；以及网络服务器接管装置，在接收到所述页面被篡改消息时，将预先备份的、与所还原的网页内容相对应的网页内容返回给外部网络用户。

根据本发明的又一方面，提供了一种防止网页被篡改***，包括：一个或者多个网络服务器，其上具有网页内容；外部网络，其中的用户向所述一个或者多个网络服务器发送网页内容请求以获得网页内容；以及根据本发明的防止网页被篡改设备，连接在所述一个或者多个网络服务器和外部网络之间，用于在所述一个或者多个网络服务器返回的网页内容被篡改了时，由所述防止网页被篡改设备本身来返回所述网页内容。

由于本发明通过在网络服务器的外部提供一种设备来防止网页被篡改，因此本发明不要求在网络服务器上安装软件或中间件，这避免了软件或中间件本身带来安全问题。此外由于根据本发明的***在一个或者多个网络服务器之前提供了防止网页被篡改的设备，所以不需要改变客户工作流程，并且可解决由ARP欺骗方式导致的页面被篡改的问题。此外，由于根据本发明的防网页被篡改设备在检测到网络服务器的网页内容被篡改时就及时接管该网络服务器，因此可以防止网络服务器被二次篡改，并且能够保留被篡改的现场，使网络服务器的管理员能够发现网络服务器的漏洞和攻击来源。这些优点是现有技术中的防网页被篡改方法所不具有的。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了在现有技术中常用的网页信息服务提供***100的框图；

图2示出了根据本发明实施例的防止网页被篡改***200；

图3示出了根据本发明实施例的防止网页被篡改设备202的具体结构；

图4示出了根据本发明实施例的防止网页被篡改方法300的流程图；

图5示出了根据本发明实施例的防止网页被篡改***200的具体运行状态；以及

图6A-6C示出了根据本发明实施例的防止网页被篡改***200的另一个具体运行状态。

具体实施例

下面结合附图和具体的实施方式对本发明作进一步的描述。

图2示出了根据本发明实施例的防止网页被篡改***200，与图1所示的现有技术中的网页信息服务提供***100所不同之处在于，防止网页被篡改***200还包括防止网页被篡改设备202。在图2中示出了防止网页被篡改设备202连接在网关201和外部网络之间，但是应当清楚理解的是，只要所有到网络服务器101-103的任何网页服务请求都经过防止网页被篡改设备202，设备202和网关201的连接顺序是可以任意的，甚至可以将设备202和网关201集成为一个部件，或者将设备连接在网关201和各个网络服务器101-103之间。防止网页被篡改设备202是单独的硬件设备，其中客户机401-403往返于网络服务器101-103的任何网络数据包都需要通过防止网页被篡改设备202，因此，根据本发明的防止网页被篡改功能可以主要在防止网页被篡改设备202上实现。

防止网页被篡改设备202一般具有至少两个网络接口，一个网络接口和外部网络301相连，用于获取外部网络用户如客户机401-403对网络服务器101-103的访问请求，并且返回客户机401-403所请求的网页内容，另一个网络接口和网关201或者网络服务器101-103相连，用于将客户机401-403的访问请求转发到网络服务器101-103，并且获得网络服务器101-103返回的网页内容。

防止网页被篡改设备202可以以隐式方式连接在外部网络301和网关201之间，所谓隐式方式，即是指防止网页被篡改设备202以不为外部网络用户所知的方式连接在其中，这样的连接方式包括例如防止网页被篡改设备202以混杂模式进行操作、以TCP/IP协议中的第二层防火墙的模式进行操作等。当然，防止网页被篡改设备202也可以以显示方式进行连接，如TCP/IP协议中的第三层防火墙的模式等，其中通过DNAT等设置，可以使得客户机通过TCP/IP协议中的第三层防火墙的模式来访问网络服务器101-103。但是无论是显式方式还是隐式方式，只要防止网页被篡改设备202能够截获所有客户机和网络服务器之间的信息传递，则这些方式都在本发明的保护范围之内。

防止网页被篡改***200的操作过程如下：首先，在防止网页被篡改设备202中事先存储网络服务器101-103上的网页内容的备份。此后，当某个客户机401对网络服务器101-103之一(例如，在当前示例中，网络服务器101)上的网页内容发起请求时，网络服务器101所返回的网页内容通过防止网页被篡改设备202。设备202可以在其内部还原由网络服务器101返回的网页内容，并且将所还原的网页内容和设备202中预先存储的网页内容进行比较。如果设备202判定网页内容未被篡改，则正常地将网页内容转发给客户机401，如果设备202判定网页内容被篡改了，则设备202可以将其所存储的、网络服务器101的备份网页内容提供给客户机401，并且还可以断开外部网络301和网络服务器101的连接而由设备202来临时提供网页内容。

由于防止网页被篡改设备202是一种专用网络设备，其通常具有较高的安全级别，此外，防止网页被篡改设备202一般以隐式方式连接在外部网络301和网关201之间，因此，黑客们也很难得知防止网页被篡改设备202的具体信息。所以，与网络服务器101-103相比，防止网页被篡改设备202很难被黑客们所破解，因此，由防止网页被篡改设备202提供的网页内容也很难被篡改。

另外，在断开网络服务器101和外部的连接之后，可以有专业的计算机管理人员对已经被黑客攻击并修改了网页内容的网络服务器101的当前状况(这通常被称为“现场”)进行分析，发现网络服务器101所存在的漏洞，并修复漏洞并恢复原有的网页内容。然后再重新恢复网络服务器101和外部网络的连接。

防止网页被篡改设备202在发现网络服务器101的网页内容被篡改了之后，还可以通过手机短信和电子邮件等方式来向网络管理员发出警告。

图3示出了根据本发明实施例的防止网页被篡改设备202的具体结构。设备202包括如上所述的、用于与外部网络301接口的外部网络接口3201和用于与网关201接口的内部网络接口3202。设备202还包括网络数据包处理装置3203，用于监视外部网络用户经由外部网络接口3201发送到网络服务器101-103的网页内容请求，并且截取从网络服务器101-103经由内部网络接口3203返回的网络数据包，并且将其发送到页面还原装置3204进行处理。一般而言，对于每个网页内容请求，与之对应的返回数据包会有多个，因此网络数据包处理装置3203中还包括有存储单元，用于对某个网页内容请求相对应的网络数据包进行聚集，并且将它们一并发送给页面还原装置3204进行处理。

页面还原装置3204将网络数据包处理装置3203所获取并聚集的、来自网络服务器101-103的网络数据包还原为对应的页面，由于网络服务器101-103一般以TCP/IP协议进行数据传输。所以为了将网络数据包还原为网页内容数据，页面还原装置3204通常需要进行IP解码、TCP解码和HTTP识别等各种处理。但是其他可以从以TCP/IP协议进行传输的网络数据包中还原出网页内容的任何技术都在本发明的保护范围之内。

页面还原装置3204将还原的网页内容发送给页面内容比较装置3205。由于所还原的网页内容中包括返回该网页内容的网络服务器的标识，如网络服务器的IP地址和端口号等，所以页面内容比较装置3205可基于该网络服务器的标识从备份页面存储器3206中获取对应的备份页面内容。然后页面内容比较装置3205将其与还原的网页内容进行比较，以确定还原的网页内容是否被篡改。

一种比较快速的比较备份页面和还原页面的方法是分别计算所还原网页内容和从备份页面存储器3206获取的对应备份页面内容的哈希值，并且根据这两个哈希值是否相同来判断所还原的网页内容是否被篡改了。另外，为了加快处理速度，可以预先计算备份页面内容的哈希值并且将其存储在备份页面存储器3206中，而页面内容比较装置3205可以从备份页面存储器3206获取备份页面内容的哈希值而不是备份页面内容本身。但是本领域技术人员应当很清楚了解的是，对两个页面内容进行比较以确定二者是否相同的技术并不局限于哈希值比较技术，任何可以确定两个页面内容是否相同的技术都在本发明的保护范围之内。

如上所述，备份页面存储器3206中存储了与网络服务器101-103中的网页内容一致的备份页面内容，作为选择，备份页面存储器3206中还可以存储备份页面内容的哈希值。备份页面存储器3206可以任何方式获得网络服务器101-103提供的网页内容，如由网络服务器101-103的网络管理员直接提供，或者作为选择，可以通过备份页面获取装置3212来自动获取。

备份页面获取装置3212可以例如通过网络爬虫(spider)等方式获取网络服务器101-103的网页内容。另外，为了更安全地获得网络服务器101-103的网页内容，防止网页被篡改设备202还可以包括管理网络接口(未在图中示出)，备份页面获取装置3212可以通过该管理网络接口与网络服务器101-103的相应内部接口相连，以便通过网络爬虫(spider)等方式获取网页内容。也就是说，可以通过一个与外部网络相隔离的、包括防止网页被篡改设备202和网络服务器101-103的内部网络来获取备份网页内容，这样，可以比较安全且方便地构造备份页面存储器3206中所存储的备份页面内容。

当页面内容比较装置3205判定所还原的页面内容被篡改了时，其将页面被篡改消息通知给网络服务器接管装置3211，网络服务器接管装置3211在收到页面被篡改消息之后，发送网络服务器接管信号给网络数据包处理装置3203，而网络数据包处理装置3203在收到网络服务器接管信号之后，就不再将外部网络用户通过外部网络接口3201发送的网页内容请求转发到网络服务器101-103，而是将其发送给网络服务器接管装置3211进行处理。因此，外部网络用户和网络服务器之间的连接被切断了，而且由网络服务器接管装置3211对后续的网页内容请求进行服务，此时，网络服务器接管装置3211可以起网络服务器101-103的作用，并利用备份页面存储器3206中存储的备份页面内容为网页内容请求服务。应当注意的是，此时，对于由网络服务器接管装置3211所返回的网页内容，网络数据包处理装置3203不再将其发送到页面还原装置3204进行进一步处理，而是直接通过外部网络接口3201返回给外部网络用户。这可以通过在网络数据包处理装置3203中设置各种开关，并基于网络服务器接管信号操作这些开关来进行。

防止网页被篡改设备202还可以包括短信告警器3209和电子邮件告警器3210，用于在页面内容比较装置3205判定所还原的页面内容被篡改了并且发送出页面被篡改消息通知时，分别发送短信和电子邮件来通知相关的管理人员，以告知网络服务器的网页内容被篡改了。这样，网络服务器的管理人员就可以尽早地知道该消息，并且能够在第一时间发现网络服务器101-103上的网页内容被篡改的原因，并采取措施来进行恢复，从而保持网络服务器101-103的稳定。

图4示出了根据本发明实施例的防止网页被篡改的方法400的流程图，该方法典型地在如图3所示的防止网页被篡改设备202上执行。首先，在步骤S401，获取外部网络用户对网络服务器101-103之一(假定为网络服务器101)上的网页内容的请求。然后，在步骤S403，获取由网络服务器101返回的、与步骤S401中获取的网页内容请求相对应的网络数据包。一般而言，对于每个网页内容请求，与之对应的返回网络数据包会有多个，所以在步骤S403中，还需要聚集与步骤S401中获取的网页内容请求相对应的网络数据包。步骤S401和S403通常在网络数据包处理装置3203中执行。

随后，在步骤S405，由页面还原装置3204将在步骤S403所获取并聚集的网络数据包还原为网页内容，如上所述，还原处理一般包括IP解码、TCP解码和HTTP识别等。在步骤S407，页面内容比较装置3205根据在步骤S405还原的网页内容来获得网络服务器101的标识(其例如包括网络服务器101的IP地址和端口号)、根据该标识获得防止网页被篡改设备202中预先存储的对应的备份网页内容、并且将所还原的网页内容和备份网页内容进行比较，以确定在步骤S405还原的网页内容是否被篡改了。在步骤S407中，可以利用多种方式来判断网页内容是否被篡改了。例如，可以分别计算所还原网页内容和备份网页内容的哈希值，如果二者不同，则确定所还原的网页内容被篡改了。如果在步骤S407确定网页内容未被篡改，则本方法返回到步骤S401，以便继续对新的网页内容请求进行监控。反之，如果在步骤S407确定网页内容被篡改了，则本方法继续到步骤S409，以便接管网络服务器101来为网络用户的网页内容请求提供服务。此时，网络服务器101不会再接收到来自外部网络用户的任何请求，因此，本***的***管理员可以方便地使网络服务器101离线，对网络服务器101的现场进行分析，以确定网络服务器101所存在的***漏洞，并恢复被篡改的网页内容。当然，在步骤S409中，还可以在接管网络服务器101的同时，以短信通知或者电子邮件通知等方式，将网络服务器101的网页内容被篡改的消息通知给网络管理员。

图5示出了根据本发明实施例的防止网页被篡改***200的具体运行状态，其中左侧的图示出了在正常操作状态下的***200，其中防止网页被篡改202仅仅对网络服务器101所提供的网页内容进行检测，但是仍然由网络服务器101提供网页内容服务。而图5右侧的图则示出了在检测到网络服务器101上的网页内容被篡改了时，完全断开外部网络用户对网络服务器101的任何连接，而改由防止网页被篡改设备202代替网络服务器提供网页内容服务。这样，一方面，对于网络用户来说，其不但不会接收到内容被篡改了的网页，而且其网页内容浏览操作也不会被中断。另一方面，对于网络服务器101来说，可以方便地进行离线处理，而不用担心会中断网络用户的网页内容请求。

当然，在恢复了网络服务器101的网页内容、并修复了***漏洞之后，网络服务器101可以重新与防止网页被篡改设备202相连，然后重新由网络服务器101为网络用户提供网页内容服务。并同时重新开始执行如图4所示的方法。

图6A-6C示出了根据本发明实施例的防止网页被篡改***200的应对ARP欺骗篡改方式的具体操作。

图6A示出了在正常状态下的网页内容请求处理流程，其中，网络服务器101提供正常的网页内容服务，而且来自客户机401-403的网页请求均由防止网页被篡改设备202转发到网络服务器101。网络服务器102并不会对客户机401-403的网页请求作出应答。

图6B示出了网络服务器102被黑客破解后，通过ARP欺骗方式使得原本应该发送到网络服务器101的网页内容请求由网络服务器102来应答的情况。此时，网络服务器102通过ARP欺骗方式、劫持了网络服务器101，从而可以不同的网页内容作出应答，而网络服务器101和客户机之间的连接被中断了。此时，从客户机401-403的角度来看，网络服务器101上的网页内容被篡改了。

图6C示出了根据本发明实施例的防止网页被篡改***200用于防止ARP欺骗方式篡改的处理流程。在网络服务器102通过ARP欺骗方式劫持了网络服务器101，并以网络服务器101的名义向客户机401-403返回内容时，防止网页被篡改设备202检测出此时返回的网页内容和设备202中预先存储的、原网络服务器101上的网页内容不同，并基于此判断网络服务器101上的网页内容被篡改了。然后，设备202不再将到网络服务器101的网页请求转发出去，而是由自身来进行应答。因此，即使网络服务器102劫持了网络服务器101，其也无法将篡改后的网页内容返回给客户机401-403。即，此时到网络服务器101和102的链接都中断了。对于客户机来说，其不会接收到内容被篡改了的网页，而且其网页内容浏览操作也不会被中断。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims

1、一种防止网页被篡改的方法，包括步骤：

获取外部网络用户对网络服务器上的网页内容的请求；

获取所述网络服务器返回的、与该外部网络用户的网页内容请求相对应的网络数据包；

根据所获取的网络数据包还原出网页内容；

将所还原的网页内容和预先备份的、与所还原的网页内容相对应的网页内容进行比较，以确定所还原的网页内容是否被篡改了；以及

如果所还原的网页内容被篡改了，则向所述外部网络用户返回预先备份的网页内容。

2、如权利要求1所述的方法，其中如果所还原的网页内容被篡改了，则该方法还包括步骤：

断开外部网络和网络服务器之间的连接。

3、如权利要求1所述的方法，其中获取所述网络服务器返回的网络数据包的步骤还包括：

聚集与所述网页请求相对应的多个网络数据包。

4、如权利要求1-3中任一个所述的方法，其中所述确定所还原的网页内容是否被篡改了的步骤还包括：

分别计算所还原的网页内容和预先备份的网页内容的哈希值，并对计算得到的哈希值进行比较，如果二者不同，则认为所还原的网页内容被篡改了。

5、如权利要求1-3中任一个所述的方法，其中如果所还原的网页内容被篡改了，则该方法还包括步骤：

发短信或者电子邮件通知网络管理员所述网络服务器上的网页内容被篡改了。

6、一种防止网页被篡改设备，包括：

外部网络接口，与外部网络相连，用于获取外部网络用户对网络服务器的网页内容请求，并且将所请求的网页内容返回给外部网络用户；

内部网络接口，与网络服务器相连，用于将外部网络用户的网页内容请求转发到网络服务器，并且获得网络服务器返回、与该网页内容请求相对应的网络数据包；

网络数据包处理装置，截取从网络服务器返回的、与网页内容请求相对应的网络数据包；

页面还原装置，接收所述网络数据包处理装置截取的网络数据包，并且将所述网络数据包还原为网页内容；

页面内容比较装置，将所述页面还原装置还原的网页内容和预先备份的、与所还原的网页内容相对应的网页内容进行比较，以确定所还原的网页内容是否被篡改，并且在判定所还原的网页内容被篡改了时，其将页面被篡改消息通知给网络服务器接管装置；以及

网络服务器接管装置，在接收到所述页面被篡改消息时，将预先备份的、与所还原的网页内容相对应的网页内容返回给外部网络用户。

7、如权利要求6所述的设备，其中所述网络服务器接管装置在接收到所述页面被篡改消息时，发送网络服务器接管信号给所述网络数据包处理装置，且所述网络数据包处理装置在收到网络服务器接管信号之后，不再将网络用户的网页内容请求转发到网络服务器。

8、如权利要求6所述的设备，其中所述网络数据包处理装置还包括存储单元，用于聚集与所述网页内容请求相对应的多个网络数据包。

9、如权利要求6-8中任一个所述的设备，还包括：

备份页面存储器，其中存储了预先备份的、与所述网络服务器上的网页内容相对应的网页内容，

其中，所述页面内容比较装置和网络服务器接管装置从所述备份页面存储器获取与所还原的网页内容相对应的网页内容。

10、如权利要求6-8中任一个所述的设备，其中所述页面内容比较装置分别计算所还原的网页内容和预先备份的页面内容的哈希值，并且在这两个哈希值不同时，判定所还原的网页内容被篡改了。

11、如权利要求6-8中任一个所述的设备，还包括：

短信或者电子邮件告警器，在接收到所述页面被篡改消息通知时，发短信或者电子邮件通知网络管理员所述网络服务器上的网页内容被篡改了。

12、一种防止网页被篡改***，包括：

一个或者多个网络服务器，其上具有网页内容；

外部网络，其中的用户向所述一个或者多个网络服务器发送网页内容请求以获得网页内容；以及

如权利要求6-11中的任一个所述的防止网页被篡改设备，连接在所述一个或者多个网络服务器和外部网络之间，用于在所述一个或者多个网络服务器返回的网页内容被篡改了时，由所述防止网页被篡改设备本身来返回所述网页内容。