手册下载
H3C SecPath W2000-G2[AK4X5][G510][V-G2]系列Web应用防火墙 Web配置指导(E6202_E6203_R6203)-6W109-整本手册.pdf (7.53 MB)
H3C SecPath W2000-G2[AK4X5][G510][V-G2]系列Web应用防火墙
Web配置指导
Copyright © 2022新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。
18.3.1 步骤1:选择“HA管理->配置同步”进入配置同步管理页面。
18.3.2 步骤2:点击【增加】,弹出新增配置同步规则界面。
18.3.5 步骤5:点击【应用】应用配置,WAF的所有配置将同步至新的WAF中。
18.3.6 配置同步后验证查看,登录对端设备183.1.2.7上查看对应配置,预期符合之前同步的配置:
为了弥补目前安全设备,如防火墙对Web应用攻击防护能力的不足,我们需要一种新的工具用于保护重要信息系统不受Web应用攻击的影响。这种工具不仅仅能够检测目前复杂的Web应用攻击,而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。这类工具相对于目前常见的安全产品,必须具备更细粒度的攻击检测和分析机制。
H3C SecPath Web应用防火墙系统是开发的新一代安全产品,作为网关设备,防护对象为Web服务器,其设计目标为:针对安全事件发生时序进行安全建模,分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断,提供综合Web应用安全解决方案。
事前,H3C SecPath Web应用防火墙系统提供Web应用漏洞扫描功能,检测Web应用程序是否存在SQL注入、跨站脚本漏洞等。
事中,对黑客入侵行为,如SQL注入/跨站脚本等各类Web应用攻击、DDoS攻击进行有效检测、阻断及防护。
H3C SecPath Web应用防火墙系统提供了业界领先的Web应用攻击防护能力,通过多种机制的分析检测,能够有效的阻断攻击,保证Web应用合法流量的正常传输,这对于保障业务系统的运行连续性和完整性有着极为重要的意义
业务匹配流程如下图所示。
图1-1 业务匹配流程图
注意:
· 授权流量控制,为系统底层设置限制,无对应界面设置。
· 3L的访问控制,即网络层的防护控制,如包过滤等。
· 使用产品前请确保产品已升级到最新版本,具体版本信息可查询官网或者咨询H3C售后人员。
· 强烈建议客户带外管理,即管理网和业务网分开,业务网络故障不会影响设备的访问及故障排查,请勿将管理PC的IP加入WAF黑名单。
使用默认管理地址https://192.168.0.1登录Web界面(建议使用firefox56+以上版本浏览器)。默认Web登录信息请参见表1-1。
表1-1 H3C SecPath Web应用防火墙系统-默认Web登录信息表
登录信息项 |
默认配置 |
||
用户名 |
admin |
account |
audit |
出厂密码 |
admin |
account |
audit |
描述 |
系统管理员 |
账户管理员 |
审计管理员 |
角色简介 |
网络配置、防护服务器配置、防护策略配置、日志查看等 |
账号管理、密码重置、解锁用户等 |
查看日志 |
WebUI:Web用户管理界面。
从网页浏览器中打开界面,在界面中可以显示配置信息,以比较直观的形式来显示。
虚拟Web应用防火墙产品没有机器码和硬件序列号。所以授权需要通过license server来控制。
图2-1 Web用户管理界面
可以使用默认设置连接Web用户管理界面,默认设置见下表。
表2-1 Web用户界面连接设置
项目 |
描述 |
URL |
https://192.168.0.1 |
网络接口 |
GE0/0或GE0/7 |
用户名 |
admin |
密码 |
出厂为admin,如果已修改使用修改后的密码。 |
硬件型号为SecPath W2000-K415、SecPath W2000-G510、SecPath W2000-K425、SecPath W2020-G2 、 SecPath W2040 -G2、SecPath W2080 -G2、SecPath W2200-G2的系统默认管理口为GE0/0。
硬件型号为SecPath W2000-K435、SecPath W2000-AK445、SecPath W2010-G2的系统默认管理口为GE0/7。
连接Web用户管理界面的步骤如下:
在管理计算机中配置静态IP地址:192.168.0.2,掩码为255.255.255.0。
使用以太网电缆将管理计算机的以太网端口连接到WAF设备的默认管理口。
在管理计算机中启动浏览器并输入URL:https://192.168.0.1。
输入用户名和密码登录Web用户管理界面。
注意:登录仅支持HTTPS,不支持HTTP,因此登录WAF管理端的URL必须以https://开头。
可以使用默认设置通过SSH连接到CLI。
步骤1:选择快速连接,如需SSH连接设备,协议选择SSH2,如需串口连接设备,协议选择serial。
步骤2:填写ip地址,输入用户名及密码。
步骤3:连接设备成功。
表2-2 SSH连接设置
IP地址 |
192.168.0.1 |
网络接口 |
GE0/0或GE0/7 |
SSH端口 |
22 |
用户名 |
admin |
出厂密码 |
admin(后台登录密码与WEB登录密码一致) |
通过Console线连接命令行的参数设置如下。
表2-3 Console连接设置
串口名称 |
COM1(如果你计算机有多个串口, 所连接的串行端口名称) |
速度(波特率) |
9600 |
数据位 |
8 |
停止位 |
1 |
奇偶校验 |
无 |
流控制 |
无 |
在Web管理界面中右上角点击主题风格设置按钮可以对界面风格进行设置。
图2-2 界面风格设置
Web管理界面为用户提供了更直观的人机交互方式,用户通过Web管理系统实现对WAF的管理和配置。
本章介绍了Web管理系统的基本信息,具体包括以下内容。
表3-1 管理系统概述
功能 |
描述 |
登录系统 |
介绍登录系统Web页面的方法 。 |
系统用户 |
介绍系统用户的类型及权限。 |
页面布局 |
介绍Web页面布局的情况 。 |
系统功能介绍 |
介绍系统每个模块的基本功能 。 |
系统常用操作 |
介绍系统常用的图标和按键含义 。 |
登录WAF的Web管理系统的步骤如下:
步骤1:确认客户端主机可以和WAF正常通讯(如果通过防火墙,请将443端口打开)。
步骤2: 打开火狐或谷歌浏览器,用HTTPS方式连接WAF的管理IP地址,例如https://192.168.0.1。
步骤3:回车后弹出安全警报对话框,单击【是】,接受WAF许可证加密的通道。
步骤4:在如下图所示的登录界面中,输入正确的用户名和密码(默认用户名admin,出厂密码admin),并单击【登录】,即可进入Web管理系统。
图3-1 H3C SecPath Web应用防火墙系统登录界面
登录系统注意事项:
建议使用火狐浏览器,屏幕分辨率最好设置为1024×768及以上。
初次使用本系统时可用默认用户登录(有关默认用户的初始账号,请参考表3-2)。
登录失败的原因有可能是:①用户名输入错误 ②密码输入错误 ③没区分大小写。
登录本系统之前,请检查浏览器是否设置了禁止弹出窗口属性。如果是,请撤销此设置。
目前系统中的账户分为三类:
账户管理员
可以分配账号,预配置账户account。
配置管理员
可以配置系统,预配置账户admin。
审计管理员
可以查看审计日志,预配置账户audit。
account、admin和audit用户的权限不同。系统用户的详细权限如下表。
表3-2 系统用户信息
用户 |
权限 |
|
账户管理员 |
account(缺省用户) |
具有账户管理的权限。 |
配置管理员 |
admin(缺省用户) |
超级管理员,具有配置系统的权限,可以查看审计日志。 |
审计管理员 |
audit(缺省用户) |
具有查看审计日志的权限。 |
使用缺省用户登录后,建议立即修改初始密码。
如后续使用密码丢失后,可以使用account重置密码,如account也丢失需联系代理商处理。
admin用户成功登录后,进入系统当前运行的页面,布局如下图所示。
系统页面布局中的主菜单和工作区会因用户权限不同,显示的内容不同。但在基本信息显示区和快捷键操作区,所有用户的显示信息和操作权限都相同。
1.主菜单 2.工作区 3. 基本信息
图3-2 页面布局
· 主菜单:系统的功能主菜单。
· 工作区:提供系统各个功能的配置、操作和浏览。
· 基本信息:显示系统运行的基本信息。
管理系统提供了主页面、攻击态势、系统配置、网络管理、基础对象、服务器管理、应用安全防护、访问控制、扫描器、DDoS防护、日志系统、自学习系统、系统诊断等功能,具体的功能如下表所示。
表3-3 系统功能介绍
菜单 |
功能 |
|
主页面 |
系统信息 |
介绍系统的系统信息,接口实时信息,并发连接信息,攻击类型分布。 |
许可证管理 |
查看当前系统许可信息和升级许可信息。 注:虚拟应用防火墙为系统许可信息和许可信息注册。 |
|
攻击态势 |
实时态势监测 |
查看实时态势监测地图和数据。 |
攻击态势基础配置 |
配置攻击态势的基础信息。 |
|
系统配置 |
账户管理 |
修改账户密码。 |
基本配置 |
配置系统基本信息和服务器日期时间。 |
|
备份恢复 |
备份WAF的配置信息及备份恢复。 |
|
在线升级 |
包括系统升级和规则库升级。 |
|
告警设置 |
配置邮件告警、短信告警和存储告警。邮件告警、短信告警中包含防篡改告警配置。 |
|
远程管理 |
增加和编辑远程许可管理信息。 |
|
DNS配置 |
配置主备DNS服务器。 |
|
SNMP配置 |
配置SNMP。 |
|
RADIUS配置 |
配置RADIUS |
|
WebUI设置 |
设置WAF的WebUI端口及重启web服务。 |
|
负载保护 |
设置负载保护和Bypass。 |
|
回滚恢复 |
实现系统恢复出厂设置。 |
|
关机重启 |
实现WAF的关闭和重启操作。 |
|
网络管理 |
网络接口 |
配置Port接口,Channel接口,网桥接口,Trunk接口和端口联动。 |
路由配置 |
配置路由。 |
|
策略路由 |
配置策略路由。 |
|
BGP路由牵引 |
配置BGP路由牵引。 |
|
SNAT回注 |
配置SNAT回注。 |
|
ARP配置 |
配置静态ARP和查看动态ARP。 |
|
基础对象 |
IP列表 |
配置匹配或不匹配的IP列表。 |
URL列表 |
配置匹配或不匹配的URL列表。 |
|
Web主机 |
配置防护或不防护的Web主机。 |
|
例外URL |
查看系统当前例外URL。 |
|
服务器管理 |
HTTP服务器配置 |
配置HTTP普通服务器。 |
HTTPS服务器配置 |
配置HTTPS普通服务器. |
|
负载均衡服务器配置 |
配置负载均衡服务器。 |
|
HTTP代理服务器配置 |
配置HTTP代理服务器。 |
|
HTTPS代理服务器配置 |
配置HTTPS代理服务器。 |
|
应用安全防护 |
Web防护策略 |
增加、编辑和删除Web防护策略。 |
Web防护规则 |
配置详细的Web防护规则,包括基本配置、重定向、数据分析、防护规则等。 |
|
扫描防护规则 |
配置扫描防护规则。 |
|
HTTP协议校验规则 |
配置HTTP协议校验规则。 |
|
HTTP访问控制规则 |
配置HTTP访问控制规则。 |
|
特征防护规则 |
介绍系统内置的特征防护规则。 |
|
爬虫防护规则 |
配置爬虫防护规则。 |
|
防盗链规则 |
配置防盗链规则。 |
|
防跨站请求伪造规则 |
配置防跨站请求伪造规则。 |
|
文件上传规则 |
配置文件上传规则。 |
|
文件下载规则 |
配置文件下载规则。 |
|
敏感信息检测规则 |
配置敏感信息检测规则。 |
|
弱密码检测规则 |
配置弱密码检测规则。 |
|
虚拟补丁规则 |
配置虚拟补丁规则。 |
|
访问顺序规则 |
配置访问顺序规则。 |
|
敏感词防护规则 |
配置敏感词防护规则。 |
|
DDoS防护策略 |
配置DDoS防护策略。 |
|
自学习系统 |
自学习基础 |
配置自学习基础参数。 |
自学习策略 |
配置自学习策略。 |
|
自学习模式 |
配置自学习的URL模式。 |
|
自学习展示 |
查看自学习结果。 |
|
自学习防护 |
配置自学习防护。 |
|
安全情报中心 |
安全情报中心配置 |
配置安全情报源。 |
安全情报IP数量统计 |
显示安全情报IP数量统计信息。 |
|
安全情报风险值统计 |
显示安全情报风险值统计信息。 |
|
安全情报活跃度统计 |
显示安全情报活跃度统计信息。 |
|
安全情报中心规则 |
配置安全情报中心规则。 |
|
访问控制 |
IP对象 |
定义包过滤规则的源IP和目的IP。 |
服务对象 |
定义包过滤规则的协议。 |
|
时间对象 |
定义包过滤规则的生效时间段。 |
|
包过滤规则 |
自定义包过滤规则。 |
|
地址转换 |
实现DNAT和SNAT的功能。 |
|
黑名单 |
定义访问控制的黑名单。 |
|
白名单 |
定义访问控制的白名单。 |
|
URL黑名单 |
定义访问控制的URL黑名单。 |
|
URL白名单 |
定义访问控制的URL白名单。 |
|
网页防篡改 |
防护服务器探测 |
探测防护服务器。 |
防护服务器配置 |
配置防护服务器。 |
|
防护服务器状态 |
查看防护服务器状态。 |
|
防护客户端下载 |
下载防护客户端。 |
|
扫描器 |
扫描任务 |
增加、编辑、删除扫描任务信息。 |
扫描作业状态 |
查看扫描任务状态。 |
|
日志系统 |
备份日志 |
日志的手工备份及自动备份。 |
自动导出 |
配置日志的自动导出。 |
|
Syslog配置 |
配置发送远程Syslog数据。 |
|
审计日志 |
查看审计日志。 |
|
访问日志 |
查看访问日志和日志统计信息。 |
|
攻击日志 |
查看攻击日志和日志统计信息。 |
|
DDoS日志 |
查看DDoS攻击日志和日志统计信息。 |
|
防篡改日志 |
查看防篡改日志和日志统计信息 |
|
安全情报日志 |
查看安全情报日志和日志统计信息。 |
|
BGP路由牵引日志 |
查看BGP路由牵引日志 |
|
生成报表 |
生成各种文件类型的报表。 |
|
报表定期导出 |
设置定期生成报表、导出。 |
|
系统诊断 |
远程支持 |
发送给支持人员请求远程支持。 |
诊断工具 |
提供tcpdump数据包下载、Ping工具和Traceroute工具功能。 |
|
HA管理 |
VRRP配置 |
配置VRRP实例和VRRP组。 |
配置同步 |
实现WAF配置同步。 |
登录系统后默认进入主页面的系统信息显示界面。
本章主要包括系统信息、接口实时信息和许可证管理。
表4-1 主页面信息介绍
功能 |
描述 |
系统信息 |
介绍系统的系统信息,接口实时信息,并发连接信息,攻击类型分布。 |
许可证管理 |
介绍如何上载License文件以便设备正常运行。 |
该页面显示当前系统的基本信息,主要包括以下四项:
系统信息:
包括设备名称、产品型号、系统运行时间、软件版本、特征库版本、硬件序列号、机器码、CPU利用率、内存使用率、已用日志空间。注:虚拟web应用防火墙系统信息不包含硬件序列码、机器码。
攻击类型分布:
显示攻击类型分布的日视图、周视图、月视图。
接口实时信息:
包括接口名称(GE0/0 – GE*/*),物理状态,速率,协商模式,收包量和发包量。注:虚拟web应用防火墙接口名称为port1-port*。
流量、并发连接数、HTTP请求速率:
显示流量、并发连接数、HTTP请求速率。
图4-1 系统信息
License是版权拥有者对产品使用者行为的一种约束和规定,一般定义了用户使用该产品的条件,License绑定了H3C SecPath Web应用防火墙系统的机器码和硬件序列码。如果License所绑定的机器码与当前防火墙的机器码不匹配,则该License是不合法的,不可被使用。只有当本防火墙被上载License之后,用户才能对防火墙进行配置。只有管理员才能进行License配置。
注:安全云注册功能仅用于特定场景使用。
首次登录H3C SecPath WEB应用防火墙的WEB管理页面, 点击”主页面>许可证管理”, 可查看到当前许可证状态,如果无许可证信息,需要申请license导入才能使用。
图4-2 页面查看License
在Web应用防火墙“主页面>许可证管理”页面,用户可以在升级许可信息中,导入申请的license文件,并点击升级。
图4-3 将激活文件导入设备,点击升级激活文件导入设备升级
升级成功后,可以查看许可有效期和特征库升级剩余时间
图4-4 升级成功
注意:
请妥善保管License文件,不要遗失。如果没有 License文件激活系统,产品应用防护系统将不会进行安全检测工作而进入纯IP转发状态。如果您的License 是一个试用版的 License,请在 License有效期前,向供应商购买正式版本License。否则License有效期过后,产品防火墙将仅仅作为一个网络转发设备存在,没有任何安全保护功能。
· 当VWAF向新的license server注册授权时,需要从VWAF系统后台执行清除授权注册信息,执行命令如下:poolset –C,执行完命令后,在WEB页面许可证管理下重新注册VWAF授权
在Web应用防火墙“主页面>许可证管理”页面,虚拟应用防火墙用户可以在许可信息注册中注册系统授权。
图4-5 注册系统信息
注册成功后,可以查看许可有效期和特征库升级剩余时间。
攻击态势图集全网安全可视、检测、预警及响应于一体。能够高效地感知安全风险,并能显示攻击分布地域,用于辅助攻击地域、攻击类型、攻击特征等的分析。
本章介绍了攻击态势的常用操作内容和方法,具体内容如下。
表5-1 攻击态势常用操作
功能 |
描述 |
实时态势监测 |
显示实时态势监测信息。注意,此处展示的是最近一小时内访问和攻击的行为。 |
攻击态势基础配置 |
配置攻击态势基础参数。 |
选择“攻击态势->实时态势监测”进入实时态势监测界面,可以实时查看监测地图(中国地图或世界地图)、攻击源TOP10、源地域TOP10、流量趋势、目标服务器TOP10、攻击类型分布、攻击趋势、近期访问次数、近期攻击次数和实时事件。详见下图。
图5-1 H3C实时态势监测界面
选择“攻击态势->实时态势基础配置”进入实时态势基础配置页面,可以对监测范围、防护对象所属区域、服务器进行设置,设置后会在实时态势监测页面显示对应的数据和图表。
图5-2 攻击态势基础配置
配置攻击态势基础参数说明见下表:
表5-2 攻击态势基础参数配置说明
配置项 |
描述 |
监测范围 |
代表实时态势监测地图显示范围。 可选中国或世界,设置后在态势监测界面中显示中国地图或者世界地图。 |
防护对象所属区域 |
防护对象所属位置。 如果监测范围为中国,可选详细的省份。如果监测范围为世界,可选详细的国家。 |
服务器 |
监测的服务器对象,可选单独的服务器也可选所有服务器。 设置后在实时态势监测页面中显示对应服务器对象的信息。 |
LOGO配置 |
可更换态势感知大屏上的LOGO。 LOGO图片名称只能是atklogo.png。 |
本章介绍了系统配置的常用操作内容和方法,具体内容如下。
表6-1 系统配置常用操作
功能 |
描述 |
账户管理 |
添加或编辑系统用户信息。 |
基本配置 |
配置系统基本信息和服务器日期时间。 |
备份恢复 |
备份WAF的配置信息。 |
在线升级 |
实现系统升级和规则库升级。 |
告警设置 |
配置邮件告警、短信告警和存储告警。 |
远程管理 |
增加和编辑远程许可管理信息。 |
DNS配置 |
配置主备DNS服务器。 |
SNMP配置 |
配置SNMP。 |
Radius配置 |
配置Radius |
WebUI设置 |
设置WAF的WebUI端口。 |
负载保护 |
设置Bypass。 |
回滚恢复 |
实现恢复出厂设置。 |
关机重启 |
实现WAF的关闭和重启操作。 |
选择“系统配置->账户管理”,进入账户管理页面。系统共有三种角色:账户管理员、配置管理员和审计管理员。
进入账户管理页面后根据用户角色的权限可以执行用户管理、密码修改、阻断用户管理等操作。
如果以账户管理员(account/account)身份登录系统可以对用户进行管理,包括用户的查看、增加、编辑、删除和重置。
查看用户:
选择“系统配置->账户管理->用户管理”进入用户管理界面,可以在用户列表中查看所有用户。在用户列表中选择任一用户双击可以查看该用户详细信息。
图6-1 用户管理界面
增加用户:
在用户管理界面点击【增加】按钮,弹出增加新用户界面。
图6-2 增加用户
配置用户参数说明见下表:
表6-2 用户参数配置说明
配置项 |
描述 |
用户名 |
自定义用户名,但是不能与其它用户名相同。 |
用户组 |
设置用户权限,可以选择admingroup、accountgroup、auditgroup。 |
登录尝试次数 |
设置用户登录时尝试输入密码错误次数,如果超过“登录尝试次数”将会锁定尝试登录IP一段时间,锁定时间为“空闲锁定时间”。 |
空闲锁定时间(分钟) |
设置用户登录时尝试输入密码错误次数超过“登录尝试次数”将会锁定尝试登录IP的时间。 |
密码复杂度 |
设置密码复杂度:中级和高级。 中级:按规定长度校验密码长度。 高级:按规定长度校验密码长度且必须为数字、字母和指定特殊字符的组合(包括!@#%^*~)。 |
密码长度 |
可选密码长度:8、10、16。 |
用户修改密码时新密码必须符合设置的“密码复杂度”和“密码长度”。
添加的新用户密码与用户名相同。
点击【保存】按钮保存配置。
编辑用户:
在用户列表中勾选一用户,点击【编辑】按钮,弹出编辑用户界面。
图6-3 编辑用户
编辑修改用户信息。
点击【保存】按钮保存配置。
删除用户:
在用户列表中选择一个或多个用户,点击【删除】按钮即可删除用户。
注意:预配置用户:admin、account和audit不能删除。
用户重置:
在用户列表中选择一个用户,点击【重置】按钮,弹出重置用户界面。
图6-4 重置用户界面
输入新密码,新密码必须符合该用户的密码长度和复杂度要求。
点击【保存】按钮保存配置。
所有用户均有修改自身密码的权限。
选择“系统配置->账户管理->修改密码”,进入修改密码页面。修改密码必须输入正确的旧密码,如果旧密码输入错误,则不允许修改密码。修改密码成功后,将在下次登录时要求输入新的密码。
旧密码:管理用户需要修改的密码。
新密码:管理用户设置的新密码。
确认新密码:重新输入新密码,确认一致性。
图6-5 修改密码
注意事项:请牢记修改后的密码,如果忘记系统密码,将不能登录系统。
如果以账户管理员(account/account)身份登录系统可以对阻断用户进行管理。
当用户登录时尝试输入密码错误次数超过“登录尝试次数”(详细配置见6.2.1 )将会锁定尝试登录IP 一段时间,在阻断用户列表中可以查看锁定信息。如果想在“空闲锁定时间”范围内提前解锁,选择阻断用户,点击【解除锁定】即可。
图6-6 阻断用户管理
基本配置包括系统基本信息配置和时间管理。系统基本信息配置提供设置本机系统的基本信息,比如组织信息,城市信息,国家信息,电子邮件及主机名。时间管理提供手工设置系统的时间,也提供通过NTP协议同步系统时间。
系统基本信息的详细配置步骤如下:
选择“系统配置->基本配置->基本信息”进入系统基本信息配置管理界面。
系统基本信息配置说明见下表。
表6-3 系统基本信息配置说明
配置项 |
描述 |
名称 |
自定义团体名称。 |
城市 |
自定义城市。 |
国家 |
自定义国家。 |
电子邮件 |
自定义电子邮件。 |
系统超时时间(分钟) |
设置系统登录超时时间,用户登录时间超过超时时间则系统自动返回登录页面。 |
主机名 |
自定义主机名。 |
系统超时时间(分钟) |
设置系统登录超时时间,用户登录时间超过超时时间则系统自动返回登录页面。 |
点击【保存】按钮保存配置。
选择“系统配置->基本配置->日期和时间”进入系统时间管理界面,可以选择时间配置方式:手工配置和时间服务器配置。
手工配置时间的详细步骤如下:
步骤1:选择“系统配置->基本配置->日期和时间”进入时间管理界面。
图6-8 手工配置时间
步骤2:在时间管理界面中选择配置方式为手工配置。
步骤3:输入具体日期和时间。
步骤4:点击【保存】按钮保存配置。
NTP协议全称网络时间协议(Network Time Protocol)。NTP的目的是在国际互联网上传递统一、标准的时间。具体的实现方案是在网络上指定若干时钟源网站,为用户提供授时服务,并且这些网站间应该能够相互比对,提高准确度。NTP最早是由美国Delaware大学的Mills教授设计实现的,从1982年最初提出到现在已发展了37年,2001年最新的NTPv4精确度已经达到了200毫秒。对于实际应用,又有确保秒级精度的SNTP(简单的网络时间协议)。本项目使用网上时间传递格式NTPv3公布于1992年,当前几乎所有的授时网站都是基于NTPv3的。
时间服务器配置步骤如下:
步骤1:选择“系统配置->基本配置->日期和时间”进入时间管理界面。
图6-9 配置NTP服务器
步骤2:选择配置方式为时间服务器。
步骤3:配置NTP服务器参数。
步骤4:点击【保存】按钮保存配置。
调整周期类型包括:每月(每月1号6:52)、每日(每日6:25)、仅一次(配置好后立即同步)。
备份主要是针对WAF配置文件的备份。建议用户定期对WAF的配置信息进行备份,以供将来恢复系统配置时使用。另外备份数据还可以导入导出系统,这样增加了系统的可靠性。如果系统发生严重后果,那么客户的配置数据还可以在另外一台一样的设备上恢复。需要注意的是,备份恢复仅限同型号设备,同网络接口之间恢复,BGP路由牵引与SNAT回注的备份恢复存在风险,因此不在备份恢复中体现。 导出的备份文件重新命名以防后续忘记该备份的文件用途。
选择“系统配置->备份恢复”进入备份恢复管理页面,可以执行手工备份、自动备份、备份文件导入、备份文件导出和备份恢复等操作。
图6-10 手工备份
手工备份:点击【手工备份】按钮,系统自动备份当前所有配置并生成db文件,给出备份成功提示。
自动备份:
点击【自动备份】按钮,弹出配置自动备份界面。
图6-11 配置自动备份界面1
勾选启用自动备份。
图6-12 配置自动备份界面2
设置自动备份周期,是否自动清除备份文件。
点击【保存】按钮保存配置。
自动备份周期:每月(每月1号6:52)、每周(每周日6:47)、每天(每天6:25)。
自动清除:自动备份文件超过128个时,系统会自动清除前面的备份文件,页面上只展示128个备份文件
备份文件导入:
点击【导入】按钮,弹出备份文件导入界面。
图6-13 备份文件导入界面
点击【选择】,选择本地备份文件。
点击【导入】导入备份文件。
备份文件导出:
在备份文件列表中选择文件点击【导出】按钮,弹出文件保存对话框。
选择文件保存路径,导出备份文件。
备份恢复:
在备份文件列表中选择文件点击【恢复】按钮,弹出备份文件恢复界面。
图6-14 备份文件恢复界面
点击【恢复】按钮将当前系统的所有配置恢复为备份文件保存的配置。
点击【删除】按钮可将选中的配置备份文件删除。
注意:不支持跨设备配置备份恢复
系统升级分两种方式:系统升级包升级和FTP升级。因为浏览器上传升级包可能会有损坏或浏览器限制无法上传, 推荐使用FTP方式升级。如采用本地系统包升级时,推荐使用火狐浏览器,同时保证本地PC预留3.5G以上的内存空间。
系统升级包升级:选择“在线升级->系统升级”进入系统升级管理界面,点击【选择】按钮选择本地的升级包后点击【升级】按钮升级系统。
图6-15 系统升级
FTP升级:在外部设置好FTP服务器,并将升级包放在相应目录下后,在界面中输入FTP升级路径、FTP登录名和登录密码,点击【升级】按钮执行升级。
图6-16 FTP升级
设备不支持同版本升级或者回退。
在HA主备模式下进行系统升级,请先进行备机系统升级,再进行主机系统升级。
规则库升级分两种方式:规则库升级包升级和规则库在线自动升级。
规则库升级包升级:选择“在线升级->规则库升级”进入规则库升级管理界面,点击【选择】按钮选择本地的规则库升级包后点击【升级】按钮升级规则库。
图6-17 规则库升级
规则库在线自动升级:使用默认的在线升级链接,直接点击【升级】按钮升级规则库。
图6-18 规则库在线自动升级
告警设置包括邮件告警、短信告警与存储告警。当系统被攻击的时候除了可以通过日志系统查看攻击日志以外,还可以通过设置电邮进行邮件通知及短信告警通知,在配置完成并保存以后可以通过发送测试邮件与发送测试短信,确定配置的是否正确。可以根据攻击防护点和严重级别来设定触发电邮或短信告警。
邮件告警设置的详细步骤如下:
步骤1:选择“系统配置->告警设置->邮件告警”进入邮件告警设置页面。
图6-19 邮件告警设置界面
步骤2:配置邮件告警参数。
点击【基本配置】切换至邮件告警基本配置界面,编辑基本配置参数,详细设置说明见下表:
表6-4 邮件告警基本配置设置说明
功能 |
描述 |
SMTP服务器 |
SMTP服务器IP地址。 |
端口 |
SMTP服务器端口。 |
用户名 |
设置发送邮箱地址。 |
密码 |
设置发送邮箱用户密码。 |
发送间隔 |
设置邮件告警的发送间隔时间。 |
接收者 |
设置接收邮箱地址。 |
主题 |
自定义邮件主题。 |
点击【攻击触发条件】切换至邮件告警攻击触发条件配置页面,配置防护点和严重级别。
图6-20 攻击触发条件
步骤3:点击【保存】按钮保存设置。
步骤4: 点击【防篡改触发条件】切换至防篡改触发条件配置页面,增加删除或者修改防篡改触发条件。
图6-21 防篡改触发条件
短信告警配置的详细步骤如下:
步骤1:选择“系统配置->告警设置->短信告警” 进入短信告警设置页面。
图6-22 短信告警设置
步骤2:编辑短信告警配置参数。
短信告警的基本配置包括发送间隔和发送短信号码。
短信告警的攻击触发条件与邮件告警一致。
步骤3:点击【保存】按钮保存配置。
选择“系统配置->告警设置->存储告警”进入存储告警设置页面,可以设置日志使用空间阀值和各种日志条数阀值。当日志空间使用达到设置的“日志使用空间”后,系统会1分钟进行一次弹窗告警。
图6-23 存储告警设置
注意:界面显示日志条数阈值为最大值。
远程管理可以设置能对WAF进行管理的IP网段。同时也可以设定允许访问的类型,如Web管理、Ping测试、SSH。
选择“系统配置->远程管理”进入远程管理页面,可以增加、编辑和删除远程许可。
图6-24 远程管理
增加远程许可信息:
在远程管理页面中点击【增加】按钮,弹出增加新的远程许可IP地址界面。
图6-25 增加远程许可信息
输入远程许可信息。远程许可信息参数说明见下表。
表6-5 远程许可信息说明
类型 |
描述 |
IP地址 |
远程访问的IP地址。 |
子网掩码 |
远程访问WAF防火墙的IP网段的掩码。 |
是否允许SSH |
勾选后允许上面设置的网段的机器访问WAF防火墙的SSH服务。 |
是否允许Web |
勾选后允许上面设置的网段的机器访问WAF防火墙的Web服务。 |
是否允许Ping |
勾选后允许上面设置的网段的机器访问WAF防火墙的Ping服务。 |
点击【保存】按钮保存配置。
编辑远程许可信息:
选择远程许可后点击【编辑】或直接双击远程许可,弹出编辑远程许可IP地址界面。
图6-26 编辑远程许可信息
修改远程许可信息。
点击【保存】按钮保存配置。
删除远程许可信息:
选择一个或多个远程许可后点击【删除】按钮删除远程许可。
注意:默认配置0.0.0.0不要随意删除,否则可能会影响登录,可根据实际情况修改后,再删除该配置。
选择“系统配置->DNS配置”进入DNS配置页面,可以配置WAF防火墙的域名服务器。配置成功后,防火墙将使用所配置的域名服务器来解析域名。用户可以在Web应用安全防护系统上设置两个DNS服务器。一个是主DNS服务器,一个是备份DNS服务器。当主DNS服务器工作不正常,不能访问时,将会启动备份DNS服务器作为域名解析服务器。
图6-27 DNS配置
简单网络管理协议(SNMP),由一组网络管理的标准组成,包含一个应用层协议(application layer protocol)、数据库模型(database schema),和一组资料物件。该协议能够支持网络管理系统,用以监测连接到网络上的设备是否有任何引起管理上关注的情况。该协议是互联网工程工作小组(IETF,Internet Engineering Task Force)定义的internet协议簇的一部分。
管理员可以在WAF上指定SNMP的版本完成SNMP相关配置,详细步骤如下。
步骤1:选择“系统配置->SNMP配置”进入SNMP配置页面。
图6-28 SNMP配置
步骤2:配置SNMP配置的启用状态以及详细配置参数。
SNMP配置详细参数说明见下表。
表6-6 SNMP配置说明
功能 |
描述 |
版本号 |
SNMP支持版本号。 |
团体名称 |
SNMP服务器的团体名称。 |
允许来源 |
允许客户端访问的IP。 |
步骤3:点击【保存】按钮保存配置。
注意:SNMPv3版本使用的认证密码使用加密算法为:MD5,加密密码使用的加密算法为:DES
RADIUS是英文(Remote Authentication Dial In User Service)的缩写,是网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户/服务器模式。它包含有关用户的专门简档,如:用户名、接入口令、接入权限等。这是保持远程接入网络的集中认证、授权、记费和审查的得到接受的标准。
步骤:选择“系统配置->Radius配置”进入Radius配置页面,可以配置WAF防火墙的Radius服务器服务器IP、端口、密钥。
注意:RADIUS中的用户必须在WAF用户中存在,否则无法使用RADIU登录WAF。
图6-29 图6-28 Radius配置
端口设置用于设置访问WAF使用的端口号,详细配置步骤如下。
步骤1:选择“系统配置->WebUI设置->端口设置”进入端口设置页面。
图6-30 端口设置
步骤2:输入WebUI端口。
步骤3:点击【保存】按钮保存配置。
步骤4:修改端口后需要加上端口重新登录访问WAF管理界面。
选择“系统配置->负载保护-> Bypass设置”进入Bypass设置页面,勾选开启,点击保存,系统直接进入Bypass状态。
注:虚拟web应用防火墙不支持BYPASS功能,Bypass生效需硬件业务插卡需要支持bypass功能。
图6-31 Bypass设置
选择“系统配置->负载保护-> 过载保护设置”进入过载保护设置页面。启用设置后,开启过载保护后,当设备超过半数的cpu利用率均超过80%或内存超过95%,WAF进入软件bypass状态,不再起防护作用。CPU的所有核使用率低于30%并且持续40S后就可退出bypass。
图6-32 过载保护设置
恢复出厂模式:
选择“系统配置->回滚恢复->恢复出厂模式”进入恢复出厂模式页面,点击【确认】可以将系统恢复出厂设置。
图6-33 恢复出厂模式
注意:恢复出厂设置后,系统所有配置将丢失,并且无法恢复,如果不确定,请先备份系统以便恢复,只是对配置进行配置进行恢复,软件版本不会改变。
在做某些配置或者安装硬件的时候,我们需要重启WAF防火墙才能生效。执行关机命令,可以将防火墙系统关闭。执行重启命令,可以对防火墙进行重启。警告:未保存的数据将会丢失。
关机:选择“系统配置->关机重启->关机”进入关机页面,点击【确认】关闭防火墙系统。
图6-34 关机
重启:选择“系统配置->关机重启->重启”进入重启页面点击【确认】重启防火墙系统。
图6-35 重启
注意:请确认保存所有配置后,再重新启动或者关闭防火墙。否则,之前未保存的配置将会丢失。
网络管理主要描述本设备的网络工作模式以及网络方面的配置方法。本章主要介绍端口,Channel,网桥,ARP和路由等配置方法。
表7-1 网络管理概述
功能 |
描述 |
网络接口 |
介绍Port,Channel,网桥、Trunk接口和端口联动配置的方法。 |
路由配置 |
介绍路由配置的方法。 |
策略路由 |
介绍策略路由配置的方法。 |
ARP配置 |
介绍动态ARP和静态ARP的配置方法。 |
本系统的网络是一种三层交换模型,网桥可以绑定端口和以太网通道,网桥内部进行二层交换,网桥之间进行三层路由。在网桥之上可以配置IP业务,比如ARP,IP地址和路由等等。
系统有一个默认的网桥,网桥 IP为192.168.0.1,名称是MngtBridge,系统默认有1个网口自动加入这个网桥,一般为GE0/0或GE0/7。其它接口加入业务网桥br2。所以第一次要访问系统时,必须接管理网桥下的接口。
硬件型号为SecPath W2000-AK415、SecPath W2000-G510、SecPath W2000-AK425、SecPath W2020-G2 、 SecPath W2040 -G2、SecPath W2080 -G2、SecPath W2200-G2的系统默认管理口为GE0/0。
硬件型号为SecPath W2000-AK435、SecPath W2000-AK445、SecPath W2010-G2的系统默认管理口为GE0/7。
虚拟web应用防火墙的系统的接口为port0、port1…以此往下排序。
本系统的端口就是普通的二层交换机端口模型,端口可以接收发送报文。端口是自动创建的,不能创建和删除。端口可以加入Channel或网桥,参见Channel和网桥部分说明。
在虚拟WAF上,一个网桥下只允许加入一个port接口,如需多个port接口,请新增网桥。否则可能会导致网络环路,进而引发广播风暴。
配置Port接口的详细步骤如下:
步骤1:选择“网络管理->网络接口->Port接口”,进入Port接口界面。
图7-1 Port接口界面
步骤2:选择Port接口点击【编辑】按钮,弹出编辑Port接口界面。
图7-2 编辑Port接口
步骤3:配置Port接口信息。
可以将Port接口设置为Channel接口或网桥接口中的一种,不能同时设置为Channel接口和网桥接口。
设置Channel接口或网桥接口为空,可以将Port接口从Channel接口或网桥接口中移除。
将Port接口从Channel接口中移除需要保证Channel接口处于启用状态或者未被网桥接口引用状态。
步骤4:点击【保存】按钮保存配置。
以太网通道(Ethernet Channel)也叫链路聚合、链路捆绑,它是一种将多条链路聚合成一个逻辑链路来使用的技术,可以灵活提高带宽。它逻辑上也是一个端口,可以接受发送报文,对上层业务是透明的。WAF上配置channel时,对端交换机也要做聚合配置才能生效。
注意:WAF上channel模式配置默认为静态模式,如需配置动态链路聚合,需在命令行执行channel -M -m 4命令开启动态模式,执行完命令后需在重启WAF后配置生效,静态聚合与动态聚合无法共存。
配置Channel接口的详细步骤如下:
步骤1:选择“网络管理->网络接口->Channel接口”,进入Channel接口界面。
图7-3 Channel接口界面
步骤2:点击【增加】按钮,弹出编辑Channel接口界面。
图7-4 编辑Channel接口页面
步骤3:编辑接口参数。
可以修改Channel接口状态,把Channel接口加入网桥接口中。
设置网桥接口为空时可以将Channel接口从网桥接口中移除。
步骤4:点击【保存】按钮保存配置。
删除Channel接口的详细步骤如下:
Channel接口为空时才可以删除。
步骤1:选择“网络管理->网络接口->Channel接口”,进入Channel接口界面。
步骤2:选择Channel接口,点击右上角的【删除】按钮,弹出确认对话框。
图7-5 删除确认对话框
步骤3:点击【OK】按钮删除Channel接口。
注意:虚拟web应用防火墙不支持Channel接口配置。
虚拟局域网(Virtual Local Area Network 或简写Bridge)是对连接到第2层交换机端口的网络用户的逻辑分段的实现形式。为实现交换式以太网的广播隔离,一种理想的解决方案就是采用虚拟局域网技术。这种对连接到第2 层交换机端口的网络用户的逻辑分段技术实现非常灵活,它可以不受用户物理位置限制,根据用户需求进行Bridge划分。
一个Bridge相当于OSI 模型第2 层的广播域,它能将广播控制在一个 Bridge内部。而不同Bridge之间或 Bridge 与LAN/WAN的数据通讯必须通过第3 层(网络层)网关来完成。否则,即便是同一交换机上的端口,假如它们不处于同一个Bridge,正常情况下也无法进行数据通讯。
Bridge可以为网络提供以下作用:
1.安全性 2.广播控制 3.带宽利用 4.延迟控制
本系统的Bridge不光有2 层交换的功能,同时也有3 层路由的功能。每个Bridge都有一个网关可以配置IP地址和路由,这样就可以实现3 层路由功能。
配置网桥接口的详细步骤如下:
步骤1:选择“网络管理->网络接口->网桥接口”,进入网桥接口界面。
图7-6 网桥接口界面
步骤2:点击【增加】按钮,弹出编辑网桥接口页面。
图7-7 编辑网桥接口界面
步骤3:编辑网桥接口参数。
在第一步的编辑界面中编辑网桥号和网桥状态。
网桥接口配置详细介绍如下表。
表7-2 网桥接口配置
配置项 |
描述 |
网桥号 |
输入数字设置网桥号名称,网桥号为1的为管理网桥,用户不能使用。 |
MTU |
MTU为最大传输单元,默认值为1500。 |
模式 |
系统默认,不能进行修改。 |
状态 |
可以配置为启用和禁用。 |
STP |
勾选后启用STP协议,避免网络环路的出现。 |
点击【下一步】按钮进入第二步编辑界面,可以在网桥上添加IP地址,支持ipv4和ipv6地址。
图7-8 编辑网桥接口第二步
注意:编辑网桥时可以修改网桥状态、 MTU和IP地址。
步骤4:点击【保存】按钮保存网桥接口配置。
删除网桥接口的详细步骤:
步骤1:选择“网络管理->网络接口->网桥接口”,进入网桥接口界面。
步骤2:选中一个或者多个网桥接口点击【删除】按钮,弹出的确认对话框。
图7-9 删除确认对话框
步骤3:点击【OK】删除网桥接口。
注意:必须先移除所有Port接口、Channel接口和IP地址,否则无法删除。
Bridge Trunk(虚拟局域网中继技术)的作用是让连接在不同VLAN下的主机互通。在Trunk接口中配置Trunk 来配合物理交换机的数据交互。
配置Trunk接口的详细步骤如下:
步骤1:选择“网络管理->网络接口->Trunk 接口”进入Trunk接口管理界面。
图7-10 Trunk接口管理界面
步骤2:点击【增加】按钮,弹出增加Trunk 接口界面。
图7-11 增加Trunk接口界面
步骤3:编辑Trunk接口参数。
Trunk接口参数说明如下表。
表7-3 Trunk接口参数说明
配置项 |
描述 |
接口 |
选择Trunk接口使用的网桥接口。 |
VLAN标签 |
输入Trunk接口检测防护的Vlan编号。 |
模式 |
包括Port-Mode和Access-Mode两种模式。 Port-Mode:交换机之间或者交换机和上层设备之间的通信模式,用于干道链路。 Access-Mode:交换机上用来连接用户的模式,只用于接入链路。 |
状态 |
启用,启用Trunk接口模式。 禁用,禁用Trunk接口模式。 |
步骤4:点击【下一步】,显示第二步编辑界面。
图7-12 编辑Trunk接口第二步
步骤5:配置接口IP地址,支持ipv4和ipv6地址。
在第二步编辑界面中点击【增加】按钮弹出接口IP地址配置界面。
图7-13 配置接口IP地址
编辑IP地址参数。
点击【保存】保存IP地址配置。
步骤7:点击【保存】按钮保存Trunk 接口配置。
WAF上服务器做代理模式时接口可直接选择trunk接口去进行防护,因此在需要添加通信IP时可在trunk接口上添加ip。
注:虚拟web应用防火墙不支持Trunk接口配置。
注意:在E6201版本下需要在命令行下配置端口联动。将系统升级到E6203之后,需要在WEB配置界面重新配置端口联动。
本系统的端口联动就是把上联和下联口在冗余网络环境中绑定在一起。如果一个端口变成了down,那么另一个端口同时转换成down状态。
配置端口联同详细步骤如下:
步骤1:选择“网络管理->网络接口->端口联动”,进入端口联动界面。
图7-14 端口联动管理界面
步骤2:点击【增加】按钮,弹出增加端口联动界面。
图7-15 编辑增加端口联动
步骤3:编辑增加端口联动。
步骤4:点击【保存】保存增减端口联动配置。
注意:E6201需要在命令行下使用plink命令配置端口联动,升级到E6203版本后端口联动配置丢失,需要用户重新在WEB界面上配置端口联动。
路由就是通过互联的网络把信息从源地址传输到目的地址的活动。路由发生在OSI网络参考模型中的第三层即网络层。
路由引导报文传输,经过一些中间的节点后,到它们最后的目的地。路由通常根据路由表来引导报文传输,而路由表就是一个储存到各个目的地的最佳路径的转发表。每个路由的条目就是目的网络地址,下一跳网关。当有多个路由条目配置时,采用如下顺序选择路由:先选择子网掩码最长的,如果掩码相同则选择Metric最小的。Metric 表示本路由的管理距离,越大表示该路由越远。
路由配置的详细步骤如下:
步骤1:选择“网络管理->路由配置”,进入路由配置界面。
图7-16 路由配置界面
步骤2:点击【增加】按钮,弹出增加路由页面。
图7-17 增加路由
步骤3:配置路由参数。
路由配置详细介绍如下表:
表7-4 路由配置
配置项 |
描述 |
ip地址 |
路由的IP地址。 |
子网掩码 |
路由的子网掩码。 |
下一跳 |
路由的下一个点,对端直连路由器的接口地址。 |
Metric |
Metric:跳数,跳数用于指出路由的成本,通常情况下代表到达目标地址所需要经过的跳跃数量,一个跳数代表经过一个路由器。 跳数越低,代表路由成本越低,优先级越高。 |
接口 |
选择在哪个网桥下面配置路由 |
步骤4:点击【保存】按钮保存路由配置。
策略路由(Policy Routing),也叫做基于策略的路由,是一种路由方案,它基于预定义的策略转发报文。这个策略可以是源地址/目的地址或其组合。
注意:虚拟web应用防火墙不支持此功能。
策略路由的配置步骤如下:
步骤1:选择“网络管理->策略路由”,进入策略路由配置页面。
图7-18 策略路由配置界面
步骤2:点击【增加】按钮,弹出编辑策略路由页面。
图7-19 添加策略路由
步骤3:配置路由参数。
策略路由配置详细说明见下表。
表7-5 策略路由配置
配置项 |
描述 |
索引 |
自定义索引号。 |
源地址 |
数据来源地址。 |
源子网掩码 |
数据来源子网掩码。 |
目的地址 |
数据发送的目的地址。 |
目的子网掩码 |
数据发送的目的子网掩码。 |
网关 |
waf上流量经过的某个接口地址。 |
索引号定义的是该规则在规则库的位置,最前面的先生效。如果索引是0 则插入到最后,如果是1 则插入到最前面,其它规则的索引后移,以此类推。
步骤4:点击【保存】按钮保存策略路由配置。
BGP路由牵引是在BGP引流和路由器联动的情况下,实现了基于目标IP的流量牵引功能,用于旁路模式下辅助防护设备来进行流量防护。
BGP路由牵引主要是WAF设备通过和路由器设备建立bgp 邻居,向路由器宣告一条路由等级较高的BGP路由,然后流量转发到路由器时,会基于优先级选择路由等级较高的路由来决定下一跳,而WAF设备宣告的路由下一跳一般是WAF设备本身,这样路由器上的特定的流量下一跳就会走WAF设备以达到将流量牵引到WAF设备去进行流量检测的目的。
BGP路由牵引的配置步骤包括3步:路由模板、邻居路由、路由牵引。
注意:虚拟web应用防火墙不支持此功能。
按照我们需要牵引的流量(按目的IP牵引)设置一条路由模板,并对这条路由添加路由属性,路由属性是为了让这条被宣告出去后路由的优先级较高。
路由模板的配置步骤如下:
步骤1:选择“网络管理->BGP路由牵引->路由模板”,进入路由模板配置页面。
图7-20 路由模板配置页面
步骤2:点击【增加】按钮,弹出增加路由模板页面。
图7-21 增加路由模板页面
步骤3:配置路由模板参数,详细参数说明见下表。
表7-6 路由模板参数详细说明
配置项 |
描述 |
自治系统号 |
自定义WAF的自治系统号,只能为数字。 |
自治系统号路径 |
根据实际环境配置自治系统号路径,格式为“数字/数字”或者“数字”。 |
下一跳 |
自定义下一跳,通告给对端设备的下一跳地址。 |
管理距离 |
自定义管理距离,默认值100,距离越大,优先级越低。 |
本地优先级 |
自定义本地优先级,默认值100。 |
目的IP |
自定义目的IP. |
步骤4:点击【保存】按钮配置路由模板。
邻居路由是配置和WAF设备建立BGP邻居关系的路由器设备。
邻居路由的配置步骤如下:
步骤1:选择“网络管理->BGP路由牵引->邻居路由”,进入邻居路由配置页面,邻居路由下的IP地址是指的对端交换机或者路由器。
图7-22 邻居路由配置页面
步骤2:点击【增加】按钮,弹出增加邻居路由页面。
图7-23 增加邻居路由页面
步骤3:输入邻居路由名称和IP地址,点击【保存】保存配置。
路由牵引是将第一步的路由模板和第二步的邻居路由联系起来,也就是把第一步配置的路由宣告给第二步配置的路由器设备,可以手动开启关闭,已达到流量牵引的目的,牵引流量的目的IP就是第一步路由模板中的目的IP。
路由牵引的配置步骤如下:
步骤1:选择“网络管理->BGP路由牵引->路由牵引”,进入路由牵引配置页面。
图7-24 路由牵引配置页面
步骤2:点击【增加】按钮,弹出增加路由牵引页面。
图7-25 增加路由牵引页面
步骤3:输入配置名称,选择配置好的路由模板和邻居路由,勾选启用配置即可。
步骤4:点击【保存】按钮保存配置。
SNAT主要通过在waf设备上对特定目的IP添加静态路由让牵引到WAF设备的流量下一跳依据静态路由回注到静态路由所指定的路由器,主要是修改流量的源IP为WAF设备的IP ,从而可以达到服务器流量在响应后继续经过WAF设备进行流量双向检测。
SNAT回注是流量牵引功能在数据流回注过程中保证数据流向牵引设备,不对其它设备造成干扰,和更好的防护效果。
注意:虚拟web应用防火墙不支持此功能。
SNAT回注的配置步骤如下:
步骤1:选择“网络管理->SNAT回注”,进入SNAT回注配置页面。
图7-26 SNAT回注配置页面
步骤2:点击【增加】按钮,弹出增加SNAT对象界面。
图7-27 增加SNAT对象页面
步骤3:配置SNAT对象参数,详细参数说明如下。
表7-7 SNAT对象配置
配置项 |
描述 |
名称 |
自定义对象名称。 |
目的地址 |
根据实际环境配置SNAT转换的目的地址。 |
NAT后地址池 |
自定义SNAT转换后的地址范围。 |
端口 |
自定义SNAT转换的端口,如果设置了端口可以继续设置协议类型(TCP/UDP)。 端口为空默认为SNAT转换所有端口。 |
步骤4:点击【保存】按钮保存配置。
ARP协议(Address Resolution Protocol),或称地址解析协议。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行,它是IPv4网络层必不可少的协议。
H3C SecPath Web应用防火墙系统会监听网络 ARP报文,并学习维护一个动态IP的MAC地址的对应表,动态ARP条目过段时间后会老化并自动删除。静态ARP条目则会一直存在,包括当系统重启后,也会一直存在。静态 ARP一般不常用,配置静态 ARP可以防止 ARP欺骗。
静态ARP配置:
选择“网络管理->APP配置->静态ARP ”,进入静态ARP管理界面。
图7-28 静态ARP管理界面
点击【增加】按钮,弹出增加ARP界面。
图7-29 增加静态ARP界面
配置静态ARP参数:IP和MAC。
点击【保存】按钮保存静态ARP配置。
动态ARP管理:
选择“网络管理->APP配置->动态ARP”进入动态ARP管理界面,可以查看所有的动态ARP信息。
图7-30 动态ARP管理界面
· 关于以下部分匹配与不匹配的说明。先匹配内部小规则,如果匹配了,那么该条目就匹配了。如果内部小规则都没有匹配,则走外面默认规则。一般情况下,全局的与内部限制设置相反,如果内部设置匹配,全局建议设置不匹配,内部设置不匹配,全局建议设置匹配。
· 关于URL的说明。除referer处填写的URL需要填写完整的URL(以http或者https开头)外,其它需要填写URL的地方一律填写URL中的路径。如:/user/login,请勿填写带有http/https、域名和ip。
· 关于误报的说明。咱们WAF的特征库是根据普遍情况来开启的策略规则,根据不同客户的不同业务不同会出现误报的情况,这种情况是正常的,默认情况下使用通用规则,除非客户强烈要求,否则不使用专家规则,咱们只要将误报例外即可。
· 访问控制匹配顺序为,黑名单->白名单->URL黑名单->URL白名单。
关于匹配与不匹配举例(IP和URL等逻辑一致):
比如IP网段101.1.22.0被包过滤的源IP引用,则101.1.22.0网段进行策略匹配,匹配上源IP执行动作丢弃。非101.1.22.0网段无法匹配,也就无法执行包过滤策略检测。
本章介绍了基础对象的详细信息,具体包括以下内容。
表8-1 基础对象描述
功能 |
描述 |
IP列表 |
配置IP列表对象。 |
URL列表 |
配置URL列表对象。 |
Web主机 |
配置Web主机对象。 |
例外URL |
查看编辑例外URL列表。 |
在WAF中将Web主机、IP列表、URL列表都归为基础对象,本章定义的对象均为全局对象,设置防护策略和防护规则时可以多次引用基础对象。
用户可以定义的对象包括:
IP列表对象
URL列表对象
Web主机对象
IP列表对象包括IP网段,配置防护策略和防护规则时可以多次引用IP列表对象。
IP列表的配置详细步骤如下:
步骤1:选择“基础对象->IP列表”进入IP列表管理界面。
步骤2:点击【增加】按钮,弹出IP列表配置页面。
图8-1 IP列表配置页面
步骤3:可以设置IP列表对象名称、默认匹配处理动作。
步骤4:点击【确认】按钮新增IP列表,同时在配置页面中自动显示IP列表。
图8-2 IP列表配置页面
步骤5:配置IP。
在IP列表中点击【增加】按钮,弹出IP配置页面。
图8-3 IP配置页面
编辑IP参数,IP参数详细配置说明见下表。
表8-2 IP配置详细参数说明1
配置项 |
描述 |
类型 |
设置IP类型,只能选择IP网段。 |
动作 |
匹配处理包括: 匹配:匹配IP地址和子网掩码。 不匹配:不匹配IP地址和子网掩码。 |
IP地址 |
自定义IP地址。 |
子网掩码 |
自定义子网掩码。 |
备注 |
自定义备注信息 |
点击【保存】按钮保存IP配置。
步骤6:点击【保存】按钮保存IP列表配置。
URL列表对象可以包含一条或多条URL,配置防护规则时可以多次引用URL列表对象。
URL列表配置的详细步骤如下:
步骤1:选择“基础对象->URL列表”进入URL列表管理界面。
步骤2:点击【增加】,弹出URL列表配置页面。
图8-4 URL列表配置页面1
步骤3:编辑URL列表对象名称和URL。
步骤4:点击【保存】按钮新增保存URL列表对象,同时在配置页面中自动显示URL列表。
图8-5 URL列表配置页面2
步骤5:配置URL,在URL列表配置页面中点击【增加】,弹出URL配置页面。
图8-6 URL配置页面
编辑URL参数,URL配置详细参数说明见下表。
表8-3 URL配置详细参数说明
项目 |
描述 |
类型 |
设置URL类型,包括精确匹配和正则匹配:此处填写的是URL中的路径,格式为“/user/login”。 精确匹配:精确匹配URL。 正则匹配:使用通配符表示URL,如/*,表示包含该站点 / 下所有URL,如 /abab,/abab/cdcd。 |
处理动作 |
处理动作包括: 匹配:匹配URL。 不匹配:不匹配URL。 |
URL |
自定义URL。 |
备注 |
自定义备注 |
点击【保存】按钮保存URL配置。
步骤6:点击【保存】按钮保存URL列表配置。
Web主机可特指所属服务器一个单独的域名,对其进行单独防护,其余不进行防护。可以手动添加Web主机也可以根据自学习策略自动生成Web主机。用户配置Web防护策略时可以直接引用Web主机。
手动配置Web主机的详细步骤如下:
步骤1:选择“基础对象->Web主机”进入Web主机管理页面。
图8-7 Web主机管理页面
步骤2:点击【增加】按钮,弹出Web主机配置页面。
图8-8 Web主机配置页面
表8-4 Web主机配置参数
配置项 |
描述 |
Web主机 |
配置web主机,可填写服务器ip或域名。 |
归属服务器 |
配置web主机所属服务器。 |
备注 |
自定义备注 |
步骤3:编辑Web主机、归属服务器和备注。
步骤4:点击【保存】保存Web主机配置。
选中相应的web主机点击【生成策略+】按钮,提示生成策略成功。
图8-9 Web主机生成策略成功提示
选择“应用安全防护->Web防护策略”进入Web防护策略管理页面,可以查看到自动生成的Web防护策略。
图8-10 Web防护策略管理页面
例外URL模块主要是集中显示系统内所有例外URL的信息,包括详细的URL、所属例外URL列表、模块名称、规则名称、防护点。例外URL填写规则,填写URL中的路径。如:/user/login,请勿填写带有http/https、域名和ip。
图8-11 URL配置页面
编辑例外URL:
选择任一例外URL,点击【编辑】按钮,可以修改例外URL。
图8-12 编辑例外URL
删除例外URL:
选择一个或多个例外URL,点击【删除】按钮即可。
H3C SecPath Web应用防火墙系统可以配置的Web服务器包括普通服务器,负载均衡服务器以及代理服务器。根据服务器类型的不同,服务器的配置参数不同。这里的服务器可以被Web防护里的Web防护策略和基础对象里的Web主机(归属服务器)所引用。
服务器按照功能总共分为3个类型:普通服务器,负载均衡服务器,代理服务器。
表9-1 服务器类型描述
服务器类型 |
服务器功能描述 |
普通服务器 |
传统后端被保护服务器 |
负载均衡服务器 |
用于对后端多个服务器做集群负载均衡部署 |
代理服务器 |
仅用于反向代理模式,作为反向代理服务器,代理后端真实服务器进行接收请求 |
服务器按照服务类型分为2个类型:HTTP服务器,HTTPS服务器。
表9-2 服务器类型描述
服务器类型 |
服务器服务描述 |
HTTP服务器 |
用于配置提供HTTP服务的服务器 |
HTTPS服务器 |
用于配置提供HTTPS服务的服务器 |
服务器按照部署方式分为两个类型:串联服务器,旁路服务器。
表9-3 服务器类型描述
服务器类型 |
服务器部署描述 |
串联服务器 |
用于当WAF串联部署在网络中时进行防护 |
旁路服务器 |
用于当WAF旁路部署在网络中时,通过镜像流量进行防护 |
服务器按照防护模式分类两种类型:代理模式,流模式。
表9-4 服务器类型描述
服务器防护模式 |
防护模式功能描述 |
代理模式 |
使用代理模式引擎,对协议进行深度解析,做内部代理防护能力较强 |
流模式 |
使用流模式引擎,基于tcp流检测 |
具体服务器部署模式请参考《H3C SecPath Web应用防火墙系统 典型配置》。
整个服务器支持类型列举如下表:
表9-5 基础对象描述
服务器类型 |
部署方式 |
防护模式 |
HTTP普通服务器 |
串联模式 |
|
HTTP普通服务器 |
串联模式 |
流模式 |
HTTP普通服务器 |
旁路模式 |
流模式 |
HTTPS普通服务器 |
串联模式 |
代理模式 |
负载均衡HTTP服务器 |
串联模式 |
代理模式 |
HTTP代理服务器 |
串联模式 |
代理模式 |
HTTPS代理服务器 |
串联模式 |
代理模式 |
HTTP普通服务器配置步骤如下:注意:仅透明流模式、旁路镜像模式、旁路镜像&阻断模式支持将防护站点地址配置为地址段,其它代理模式均不支持地址段配置。
步骤1:选择菜单“服务器管理->普通服务器管理”进入普通服务器配置页面。
图9-1 普通服务器配置界面
步骤2:点击【增加】按钮增加HTTP服务器。
图9-2 串联流模式
图9-4 旁路模式
步骤3:编辑HTTP服务器参数,详细说明如下表。
表9-6 HTTP服务器参数详细说明
配置项 |
描述 |
服务器名称 |
所配置服务器的名称,不能重复。 |
IP地址 |
ip格式为xxx.xxx.xxx.xxx/xx后两位为掩码位数或者xxx.xxx.xxx.xxx,支持网段(代理模式下不支持网段格式)。为后端服务器的IP。 |
端口 |
服务器后端服务端口。 |
部署模式 |
包括串联模式和旁路模式。 |
防护模式 |
代理模式: 当部署模式为串联模式时可以选择代理模式和流模式。 流模式: 当部署模式为旁路模式时默认为流模式。 |
客户端IP还原 |
当防护模式为代理模式时可选择是否还原客户端IP: 是:还原客户端IP,为透明代理模式,在用户服务器上看到的访问IP均来自于外部真实IP。 否:不还原客户端IP,为反向代理模式,在用户服务器上看到的访问IP均为WAF的代理IP。 |
阻断接口 |
当部署模式为旁路模式时可以选择下发阻塞报文的接口。 |
接口 |
当防护模式为代理模式时选择服务器所在网桥或Trunk接口。 |
启用 |
是否启用配置。 |
如果服务器的防护模式为代理模式可以配置数据压缩和高速缓存参数,如图所示。
图9-5 数据压缩
图9-6 高速缓存
数据压缩:是WAF在接收到请求后判断客户端是否支持压缩以及是否开启压缩,若客户端不支持压缩或者未开启压缩功能,返回给客户端的就是未压缩的内容,反之返回压缩后的内容。详细参数配置如下。
表9-7 数据压缩参数详细说明
配置项 |
描述 |
最小压缩值 |
当返回内容大于此值时才会进行压缩,以KB为单位,取值范围为0-100000,当值为0时,所有页面都进行压缩。 |
压缩级别 |
设置gzip压缩等级1-9,等级越低压缩速度越快文件压缩比越小,反之速度越慢文件压缩比越大。 注:压缩比越小压缩后的文件越大。 |
Vary响应头 |
开启:服务器返回数据显示Vary响应头。 关闭:服务器返回数据不显示Vary响应头。 |
MIME类型 |
自定义数据压缩支持的MIME类型。 |
启用 |
勾选:启用数据压缩功能,可在访问服务器时启用相关数据压缩配置。 不勾选:禁用数据压缩功能。 |
高速缓存:使用缓存释放后端服务器,可以很大程度上能通过利用Nginx的缓冲和缓存功能减轻。详细参数配置如下。
表9-8 高速缓存参数详细说明
配置项 |
描述 |
有效时间(时) |
自定义高速缓存的有效时间。 |
缓存文件类型 |
自定义缓存的文件类型。 |
启用 |
勾选:启用高速缓存功能,可在访问服务器时启用相关高速缓存配置。 不勾选:禁用高速缓存功能。 |
步骤4:点击【保存】按钮,完成配置。
HTTPS服务器配置步骤如下:
注意:HTTPS仅在透明反向代理和旁路方向代理模式下生效。
步骤1:选择菜单“服务器管理->普通服务器管理->HTTPS服务器”进入HTTPS服务器管理界面。
图9-7 HTTPS服务器管理界面
步骤2:点击【增加】按钮,进入HTTPS服务器配置页面。
图9-8 HTTPS服务器配置界面
步骤3:配置HTTPS服务器参数,详细说明见下表。
表9-9 HTTPS服务器参数详细说明
配置项 |
描述 |
服务器名称 |
所配置服务器的名称,不能重复。 |
IP地址 |
IP格式为xxx.xxx.xxx.xxx。IP地址为后端服务器地址。 |
端口 |
后端服务端口。 |
部署模式 |
支持串联模式。 |
防护模式 |
支持代理模式。 |
客户端IP还原 |
当防护模式为代理模式时可选择是否还原客户端IP: 是:还原客户端IP,为透明代理模式,在用户服务器上看到的访问IP均来自于外部真实IP。 否:不还原客户端IP,为反向代理模式,在用户服务器上看到的访问IP均为WAF的代理IP。 |
接口 |
连接后端服务器网口所在的桥。 |
ssl站点密钥 |
ssl站点密钥.key文件。 |
ssl站点证书 |
ssl站点证书.crt文件。 |
协议类型 |
后端服务器所支持的ssl协议类型。勾选代表的意思是指定协议类型去协商,不勾选就是自行协商。主要与后端站点支持情况相关,例如若只勾选了支持SSL1.2,后端站点设置了只支持SSLV1.0,那就会访问失败。 |
启用 |
是否启用配置。 |
数据压缩 |
配置方法参见图9.5 |
高速缓存 |
配置方法参见图9.6。 |
步骤4:点击【保存】完成配置。
注意:1、负载均衡服务器只支持透明反向代理和旁路反代模式。2、不支持负载HTTPS服务器。
负载均衡服务器配置步骤如下:
步骤1:先添加多个需要负载的HTTP服务器。
图9-9 添加多个需要负载的HTTP服务器
步骤2:选择菜单“服务器管理->负载均衡服务器管理”,进入负载均衡服务器管理界面。
图9-10 负载均衡服务器管理界面
步骤3:点击【增加】按钮进入负载均衡服务器配置页面。
图9-11 HTTP负载均衡服务器配置界面
编辑负载均衡服务器参数,详细参数说明见下表。
表9-10 HTTP负载均衡服务器参数详细说明
配置项 |
描述 |
服务器名称 |
所配置服务器的名称,不能重复。 |
端口 |
服务器后端服务端口。 |
部署模式 |
支持串联模式。 |
防护模式 |
支持代理模式。 |
接口 |
选择服务器所在网桥接口。 |
负载算法 |
可选轮询算法或者源地址hash算法。 |
启用 |
是否启用配置。 |
数据压缩 |
配置方法参见图9.5。 |
高速缓存 |
配置方法参见图9.6。 |
轮询算法的原理是把来自用户的请求轮流分配给内部的服务器:从服务器1开始,直到服务器N,然后重新开始循环。轮询算法的优点是其简洁性,它无需记录当前所有连接的状态,所以它是一种无状态调度。
源地址Hash算法是根据请求来源的地址,通过哈希函数计算得到的一个数值,用该数值对服务器列表的大小进行取模运算,得到的结果便是客户端要访问服务器的序号。采用源地址哈希法进行负载均衡,同一源地址的请求,当服务器列表不变时,它每次都会映射到同一台服务器进行访问。
步骤4:点击【下一步】按钮,进入下一步配置界面。
图9-12 HTTP负载均衡服务器配置第二步
点击【增加】按钮,进入服务器组成员编辑页面。
图9-13 服务器成员配置界面
配置服务器组成员参数,详细说明见下表。
表9-11 服务器组成员配置详细参数说明
配置项 |
描述 |
服务器组成员 |
选取后端需要负载的成员服务器。 |
权重 |
配置后端负载服务器的权重,数值越大权重越高。 |
代表服务器 |
配置所选服务器是否为代表服务器,决定是否使用该服务器地址作为访问地址。 |
注意:HTTP负载均衡模式,有且仅有一个代表服务器作为访问代表。
点击【保存】按钮保存配置。
步骤5:点击【完成】,保存配置。
注意:代理服务器仅在反向代理模式下配置,不要轻易配置代理服务器。
HTTP代理服务器配置步骤如下:
步骤1:配置被代理的普通服务器,配置方法参见9.2。
步骤2:选择菜单“服务器管理->代理服务器管理”,进入代理服务器管理界面。
图9-14 代理服务器管理界面
步骤3:点击【增加】按钮进入HTTP代理服务器配置界面。
图9-15 HTTP代理服务器配置界面
步骤4:配置HTTP代理服务器参数,详细说明见下表。
表9-12 HTTP代理服务器参数详细说明
配置项 |
描述 |
服务器名称 |
所配置服务器的名称,不能重复。 |
IP地址 |
WAF代理使用的IP地址。 |
端口 |
代理使用的端口。 |
后端服务器 |
后端需要被代理的服务器,可以选择的服务器包括HTTP服务器和负载均衡服务器。 |
接口 |
选择代理ip所在网桥。 |
启用 |
是否启用配置。 |
数据压缩 |
配置方法参见图9.5。 |
高速缓存 |
配置方法参见图9.6。 |
步骤5:点击【保存】按钮,保存配置。
注意:后端服务器可以选择“任意”,表示代理多个后端服务器,此时需要配置“基础对象-Web主机”,配置方法参见8.4。
注意:在配置web防护策略时候,应引用HTTP代理服务器引用的后端真实服务器,如下图。
图9-16 配置Web防护策略,引用的后端真实服务器
HTTPS代理服务器配置步骤如下:
步骤1:配置被代理的普通服务器,配置方法参见9.2。
步骤2:选择菜单“服务器管理->代理服务器管理->HTTPS代理服务器”进入HTTPS代理服务器管理界面。
图9-17 HTTPS代理服务器管理界面
步骤3:点击【增加】按钮进入HTTPS代理服务器配置界面。
图9-18 HTTPS代理服务器配置界面
注意:后端服务器可以选择“任意”,表示代理多个后端服务器,此时需要配置“基础对象-Web主机”,配置参见8.4。
步骤4:配置HTTPS代理服务器参数,详细说明见下表。
表9-13 HTTPS代理服务器参数详细说明
配置项 |
描述 |
服务器名称 |
所配置服务器的名称,不能重复。 |
IP地址 |
IP地址为waf代理IP。 |
端口 |
代理端口。 |
后端服务器 |
后端需要被代理的服务器,可以选择的服务器包括HTTP服务器、负载均衡服务器和HTTPS服务器。 |
接口 |
选择代理IP所在网桥。 |
ssl站点密钥 |
ssl站点密钥.key文件。 |
ssl站点证书 |
ssl站点证书.crt文件。 |
协议类型 |
后端服务器所支持的ssl协议类型。勾选代表的意思是指定协议类型去协商,不勾选就是自行协商。主要与后端站点支持情况相关,例如若只勾选了支持SSL1.2,后端站点设置了只支持SSLV1.0,那就会访问失败。 |
启用 |
是否启用配置。 |
数据压缩 |
配置方法参见图9.5。 |
高速缓存 |
配置方法参见图9.6。 |
步骤5:点击【保存】按钮,完成配置。
注意:SSL卸载就是https服务器代理的后端http服务器,https代理服务器上传服务端的证书,实现客户端和WAF交互是https,WAF和服务端交互是http。
本章将讲述Web应用安全防护系统系列安全解决方案的各类规则、策略的详细配置信息,具体包括以下内容。
表10-1 Web防护概述
配置项 |
描述 |
Web防护策略 |
配置Web防护策略。 |
扫描防护规则 |
配置扫描防护规则。 |
HTTP协议校验规则 |
配置HTTP协议校验规则。 |
HTTP访问控制规则 |
配置HTTP访问控制规则。 |
特征防护规则 |
配置特征防护规则。 |
爬虫防护规则 |
配置爬虫防护规则。 |
防盗链规则 |
配置防盗链规则。 |
防跨站请求伪造规则 |
配置防跨站请求伪造规则。 |
文件上传规则 |
配置文件上传规则。 |
文件下载规则 |
配置文件下载规则。 |
敏感信息检测规则 |
配置敏感信息检测规则。 |
配置弱密码检测规则。 |
|
虚拟补丁规则 |
配置虚拟补丁规则。 |
访问顺序规则 |
配置访问顺序规则。 |
敏感词防护规则 |
配置敏感词防护规则。 |
DDoS防护策略 |
配置DDoS防护策略。 |
WAF的安全防护功能是通过策略的方式实现的。WAF面向被防护的对象制定统一的策略,策略可以直接配置防护规则,包含自定义防护规则和预定义特征库规则。
防护策略和防护规则的关系图如下。
图10-1 策略、规则关系图
表10-2 自定义防护规则与预定义特征库规则
自定义防护规则 |
扫描防护规则 |
HTTP协议校验规则 |
|
HTTP访问控制规则 |
|
爬虫防护规则 |
|
防盗链规则 |
|
防跨站请求伪造规则 |
|
文件上传规则 |
|
文件下载规则 |
|
敏感信息检测规则 |
|
弱密码检测规则 |
|
虚拟补丁规则 |
|
访问顺序规则 |
|
预定义特征库规则 |
即预定义特征库规则,根据系统自带的特征库规则来设置防护规则。 |
Web防护的配置流程如下图。配置Web防护策略时直接引用服务器对象、Web主机对象、IP对象、Web防护规则即可生效。
图10-2 Web防护配置流程图
本节主要介绍配置Web防护策略的详细步骤:
步骤1:选择“应用安全防护->Web防护策略”进入Web防护策略管理界面。
图10-3 Web防护策略管理界面
步骤2:在Web防护策略编辑界面中点击【增加】弹出策略配置界面。
图10-4 策略配置界面
步骤3:配置Web防护策略基本信息,详细参数说明见下表。
表10-3 Web防护策略基本配置详细参数说明
配置项 |
描述 |
名称 |
自定义Web防护策略名称。 |
服务器 |
选择普通服务器、负载均衡服务器。 |
Web主机 |
选择Web主机或直接输入主机名。Web主机可以为空,为空表示防护服务器上所有Web主机。 |
源IP |
选择IP列表对象,设置匹配策略的数据包源IP。源IP可以为空,为空表示防护所有源IP。 |
访问日志 |
全部页面:对访问的全部页面记录访问日志。 非静态页面:只记录除静态页面外所有页面的访问日志。静态页面包括(.html .php .js .css .gif .jpg .ico .png .swf .tif .ttf .jpeg .tiff) 关闭:WAF上不记录当前服务器的访问日志。 注意:访问日志的量较大,数据库写入有极限,导致设备内存使用率长时间占用率高,因此访问日志现实中默认不开启,也不建议客户开启。 |
优先级 |
自定义Web防护策略的优先级。优先级数越小,优先级别越高,优先级别由1至10000逐级递减,优先级不可重复。 |
是否启用 |
勾选:启用Web防护策略。 不勾选:禁用Web防护策略。 |
错误页面标题 |
如果错误页面标题配置为空表示使用系统默认的错误页面。也可以自定义错误页面的标题。 |
错误页面内容 |
如果错误页面内容配置为空表示使用系统默认的错误页面。也可以自定义错误页面的内容。 |
重定向URL |
配置重定向URL,必须以“http”或“https”开头,并且不超过128个字符。仅代理模式支持重定向URL。 |
Cookie加固 |
勾选:启用Cookie加固功能,开启后服务器cookie的httponly属性值为true,cookie不可被篡改。 不勾选:禁用Cookie加固功能,服务器cookie的httponly属性值根据服务器的配置而定。 注意:cookie加固功能仅支持代理模式。 |
Cookie加密 |
勾选:启用Cookie加密功能,开启候服务器cookie值为加密后的内容。 不勾选:禁用Cookie加密功能,服务器cookie值为真实值。 注意:cookie加密功能仅支持代理模式。 |
注意:Cookie加密、Cookie加固匹配无攻击日志产生,如影响业务可以尝试关闭策略
步骤4:配置web防护规则,可以引用系统默认防护规则,也可以自定义规则,包括url和例外url也可以新增或引用。
图10-5 Web防护规则配置界面
步骤5:点击【保存】按钮保存配置即可生效。
扫描器通过向目标服务器发送数据包,来检测出服务器的系统类型、开放端口、对应服务以及所存在的漏洞。WAF通过配置扫描防护规则,设置扫描陷阱,可以达到防扫描的效果。
扫描防护规则中默认规则有增强规则和专家规则。专家规则的陷阱深度会比增强规则更深。
扫描防护规则的详细配置步骤如下:
步骤1:选择“应用安全防护-> Web防护规则->扫描防护规则”进入扫描防护规则管理界面。
图10-6 扫描防护规则界面
步骤2:点击【增加】按钮,弹出增加扫描防护规则界面。
图10-7 增加扫描防护规则界面
步骤3:编辑扫描防护规则参数,配置扫描防护规则的详细说明如下表。
表10-4 扫描防护规则配置说明
配置项 |
描述 |
名称 |
自定义扫描防护规则名称。 |
类型 |
防护的扫描类型,默认为扫描陷阱。 |
严重级别 |
定义触发该规则条目的攻击的严重级别,分为低级、中级、高级。 |
告警设置 |
定义触发该协议校验项后WAF的告警设置: 勾选“短信”设置短信告警。 勾选“邮件”设置邮件告警。 |
日志 |
勾选,检测到触发该协议校验项的攻击将会记录攻击日志,可以在攻击日志中查看。 不勾选,检测到触发该协议校验项的攻击将不会记录日志。 |
启用 |
勾选,启用扫描防护规则配置。 不勾选,禁用扫描防护规则配置。 |
注意:扫描防护规则默认处理动作为封禁,封禁时间为7200秒。
注意:扫描防护规则默认引用ip对象:search engine ip,WAF会对扫描器的ip地址进行检测,如果属于该ip对象则不会对该ip地址上的扫描进行防护处理。
步骤4:点击【保存】按钮保存扫描防护规则配置。
HTTP是超文本传输协议(Hypertext Transfer Protocol)的简称。它用来在 Internet 上传递 Web页面信息,如果大量畸形的HTTP协议数据包攻击服务器,会影响服务器对正常请求的反应速度,严重的会造成服务器缓冲区溢出或者服务器瘫痪。
添加HTTP协议校验防护规则,可以设置HTTP协议包头各字段的长度限值、控制主体、控制源。当客户端向服务器发起请求时,WAF引擎获取标准头中的数据,对源IP对象向服务器IP对象的请求进行校验。将规则中设定了限值的实际值和设定限值比较,如果大于限值则说明可能遭受畸形HTTP协议包攻击。同时也可以检查HTTP协议的版本号、请求方法,HOST域是否为空,POST请求消息报头中的content_length是否为空等。
HTTP协议校验规则的详细配置步骤如下:
步骤1:选择“应用安全防护-> Web防护规则->HTTP协议校验规则”进入HTTP协议校验规则管理界面。
图10-8 HTTP协议校验规则管理界面
步骤2:点击【增加】按钮,弹出的增加HTTP协议校验规则界面。
图10-9 增加HTTP协议校验规则界面
步骤3:编辑HTTP协议校验规则,配置HTTP协议校验规则的详细说明如下表。
表10-5 HTTP协议校验规则配置说明
配置项 |
描述 |
协议校验项 |
HTTP协议校验规则的校验项,包括url最大长度、url参数最大个数、url参数最大长度、cookie最大个数、cookie最大长度、Host最大程度、user_agent最大长度、referer最大长度、accept最大长度、accept_charset最大长度、accept_language最大长度、http请求最大长度、头信息最大个数、消息体实际长度、content_length最大长度、请求行最大长度、请求行最大个数、请求头最大长度、参数个数、range最大范围,可以对每个协议校验项分别进行参数配置。 注:长度的单位为byte,参数值范围为 0 – 2147483647。 |
是否启用 |
勾选,启用该协议校验项的配置,在WAF检测攻击时将对经过WAF的流量进行该项配置检测。 不勾选,禁用该协议校验项的配置,在WAF检测攻击时将不对经过WAF的流量进行该项配置检测。 |
参数 |
可以输入协议校验项的最大个数或最大长度值。 |
严重级别 |
定义触发该规则条目的攻击的严重级别,分为低级、中级、高级。 |
处理动作 |
定义触发该协议校验项后WAF的处理动作,包括继续、通过、阻断、封禁、重定向。 继续:对触发防护规则的恶意访问,如果匹配到一类防护规则后不防护,还会继续匹配下一条规则,并记录日志。 通过:对触发防护规则的恶意访问,如果匹配到一类防护规则后全部通过不防护,记录日志,继续匹配下一个大类防护规则。 阻断:对触发防护规则的恶意访问直接阻断,不再匹配其它规则。 封禁:对触发防护规则的恶意访问进行封禁,自动将该IP加入动态黑名单,封禁时间可自定义。 重定向:对触发防护规则的恶意访问,该访问会被重定向到用户自行设定的URL上 |
封禁时间 |
当处理动作为封禁时,可以在弹出的输入框中设置封禁时间。 |
告警设置 |
定义触发该协议校验项后WAF的告警设置: 勾选“短信”设置短信告警。 勾选“邮件”设置邮件告警。 |
日志 |
勾选,检测到触发该协议校验项的攻击将会记录攻击日志,可以在攻击日志中查看。 不勾选,检测到触发该协议校验项的攻击将不会记录日志。 |
例外URL |
定义不进行HTTP协议校验操作的URL,可以直接引用URL列表对象。填写URL中的路径。如:/user/login,请勿填写带有http/https、域名和ip。 |
步骤4:点击【保存】按钮保存配置。
网站出于保护某些网页安全的目的,需要控制某些用户的访问权限。具体需要分为以下几类:
对访问者访问的URL的控制,允许或不允许访问设定的URL对象。
对访问者的HTTP方法的控制,允许或不允许设定的HTTP方法访问。
对访问者的IP的控制,允许或不允许设定的IP对象访问。
当产生被控制的访问时,可以选择是否需要告警,以邮件或短信等方式,通知管理员,并执行处理动作。
HTTP访问控制规则的详细配置步骤如下:
步骤1:选择“应用安全防护-> Web防护规则->HTTP访问控制规则”进入HTTP访问控制规则管理界面。
图10-10 HTTP访问控制规则管理界面
步骤2:点击【增加】后弹出的增加HTTP访问控制规则界面,如下图。
图10-11 增加HTTP访问控制规则1
注:默认动作包括继续、通过、白名单、阻断、封禁、重定向。
继续:通过该条规则,继续下条规则。
通过:通过该大类规则,继续匹配下一个大类规则。
白名单:放行该条规则,不匹配后续规则。
阻断:对本次访问直接阻断,不再匹配其它规则。
封禁:对该ip进行封禁,自动加入动态黑名单,封禁时间可自定义。
重定向:将目的地址重定向到其它地址。
步骤3:编辑规则名称和默认动作。WAF执行防护时如果没有匹配上HTTP访问控制规则条目就执行默认动作。
步骤4:点击【保存】新增一个HTTP访问控制规则至数据库中,同时在增加HTTP访问控制规则界面中弹出访问控制规则列表,如下图。
图10-12 增加HTTP访问控制规则2
步骤5:配置HTTP访问控制规则条目。
在规则列表中点击【增加】弹出增加HTTP访问控制规则条目界面。
图10-13 增加HTTP访问控制规则条目
在界面中配置规则条目参数,HTTP访问控制规则条目详细配置参数说明见下表。
表10-6 HTTP访问控制规则条目详细配置说明
配置项 |
描述 |
HTTP请求Url |
定义规则条目匹配的URL对象,也可以直接引用URL列表对象。 |
源IP |
定义规则条目匹配的源IP对象。 |
方法 |
勾选设置访问控制的方法。 |
优先级 |
自定义规则条目优先级,按照优先级的等级定义规则检测的先后顺序,优先级数越小级别越高,优先级不可重复,优先级高的最先进行检测。 |
处理动作 |
定义检测到触发该规则条目的攻击后WAF的处理动作,包括继续、通过、白名单、阻断、封禁、重定向。 |
严重级别 |
定义触发该规则条目的攻击的严重级别,分为低级、中级、高级。 |
告警设置 |
定义检测到触发该规则条目的攻击后WAF的告警设置: 勾选“短信”设置短信告警。 勾选“邮件”设置邮件告警。 |
日志 |
启用,触发该规则条目时将会记录攻击日志,可以在攻击日志中查看。 禁用,触发该规则条目时将不会记录攻击日志。 |
启用 |
勾选,启用该规则条目的配置,在WAF检测攻击时将对经过WAF的流量进行该规则检测。 不勾选,禁用该规则条目的配置,在WAF检测到攻击时将不对经过WAF的流量进行该规则检测。 |
注:访问控制的URL、IP地址和请求方法是“且”的关系,只有匹配上所有基础对象才会执行处理动作。
点击【保存】按钮保存规则条目配置。
步骤6:点击【保存】按钮保存HTTP访问控制规则配置。
预定义特征库是系统默认的规则库,Web应用安全防护系统将定期发布最新的特征库,用户可以通过我们的网站获得最新的特征库。
选择“应用安全防护-> Web防护规则->特征防护规则”进入预定义特征库管理界面,如图所示。
图10-14 预定义特征库管理界面
预定义特征库包含SQL注入、跨站脚本攻击(XSS)、扫描器、信息泄露、防爬虫规则、协议完整性、恶意攻击,也可以自定义特征库规则。
配置用户自定义特征库描述的详细步骤如下:
步骤1:选择“应用安全防护-> Web防护规则->特征防护规则->特征库描述->用户自定义”进入用户自定义特征库描述管理界面。
图10-15 用户自定义特征库管理界面
步骤2:在管理界面中点击【增加】按钮,弹出特征库描述配置界面。
图10-16 特征库描述配置界面
步骤3:编辑特征库描述参数,配置用户自定义特征库描述的详细参数说明见下表。
表10-7 用户自定义特征库描述配置说明
配置项 |
描述 |
名称 |
自定义特征库描述的名称。 |
类型 |
默认显示类型为用户自定义,不能修改。 |
严重级别 |
定义触发该规则的攻击的严重级别,分为低级、中级、高级。 |
备注 |
自定义备注。 |
步骤4:编辑特征库条目。
在特征库描述配置页面中点击【增加】,弹出的特征库条目配置界面。
图10-17 特征库条目配置
编辑特征库条目参数,配置特征库条目的参数说明见下表。
表10-8 用户自定义特征库条目配置说明
配置项 |
描述 |
表达式 |
自定义表达式,正则表达式。 |
检测位置 |
包括四个检测位置:HTTP请求头部、HTTP请求体、HTTP响应头部、HTTP响应体。 |
检查点 |
根据选择的检测位置可以设置不同的检测点: HTTP请求头部对应的检测点:HTTP请求头部、HTTP请求版本、HTTP请求方法、HTTP请求URL、HTTP请求File、HTTP请求参数、HTTP请求Referer、HTTP请求User Agent、HTTP请求Cookie。 HTTP请求体对应的检测点:HTTP请求体。 HTTP响应头部对应的检测点:HTTP响应码、HTTP响应头部。 HTTP响应体对应的检测点:HTTP响应体。 多个检查点是“与”的关系,需要同时满足后才能防护 |
点击【保存】按钮保存特征库规则条目配置。
步骤4:点击【保存】按钮保存特征库描述配置。
本节主要介绍增加特征规则的详细步骤:
步骤1:选择“应用安全防护-> Web防护规则->特征防护规则->特征规则”进入特征规则管理界面。
图10-18 特征规则管理界面
步骤2:在管理界面中点击【增加】弹出特征规则配置界面,如下图所示。
图10-19 特征规则配置界面
配置特征规则的详细参数说明见下表。
表10-9 特征规则配置说明
配置项 |
描述 |
名称 |
自定义预定义特征库规则名称。 |
规则类型 |
包括SQL注入、跨站脚本攻击(XSS)、扫描器、信息泄露、防爬虫、协议完整性、恶意攻击、用户自定义规则,在各个规则类型下可以勾选启用详细规则。 |
例外URL |
定义不进行校验操作的URL,可以直接引用URL列表对象。填写URL中的路径。如:/user/login,请勿填写带有http/https、域名和ip。 |
处理动作 |
定义检测到攻击后WAF的处理动作,包括继续、通过、阻断、封禁、重定向。 |
封禁时间 |
当处理动作为封禁时,可以在弹出的输入框中设置封禁时间。 |
告警设置 |
定义检测到触发该规则条目的攻击后WAF的告警设置: 勾选“短信”设置短信告警。 勾选“邮件”设置邮件告警。 |
日志 |
启用,触发该规则条目时将会记录攻击日志,可以在攻击日志中查看。 禁用,触发该规则条目时将不会记录攻击日志。 |
步骤3:点击【保存】按钮保存配置。
网络爬虫,是一种按照一定的规则,自动抓取万维网信息的程序或者脚本。网络上有很多搜索引擎,如百度,雅虎等,都使用爬虫提供最新的数据。但如果恶意使用爬虫爬取大量的网站页面,不但占用网站带宽,而且影响服务器性能, WAF通过设置爬虫防护规则,可以防止信息被搜索引擎获取。
本节主要描述爬虫防护规则的详细配置步骤:
步骤1:选择“应用安全防护-> Web防护规则->爬虫防护规则”进入爬虫防护规则管理界面。
图10-20 爬虫防护规则管理界面
步骤2:点击【增加】弹出增加爬虫防护规则界面。
图10-21 爬虫防护规则配置界面1
步骤3:编辑爬虫防护规则名称后点击【保存】新增爬虫防护规则,同时在增加爬虫防护规则界面中弹出规则列表。
图10-22 爬虫防护规则配置界面2
步骤:4:在规则列表中点击【增加】按钮增加爬虫防护规则条目。
图10-23 爬虫防护规则条目配置界面
配置爬虫防护规则条目的详细参数说明如下表。
表10-10 爬虫防护规则条目详细配置说明
配置项 |
描述 |
爬虫防护URL |
防护URL,可以引用URL列表。 |
处理动作 |
定义检测到触发该规则条目的攻击后WAF的处理动作,包括继续、封禁。 |
严重级别 |
定义触发该规则条目的攻击的严重级别,分为低级、中级、高级。 |
告警设置 |
定义检测到触发该规则条目的攻击后WAF的告警设置: 勾选“短信”设置短信告警。 勾选“邮件”设置邮件告警。 |
日志 |
启用,触发该规则条目时将会记录攻击日志,可以在攻击日志中查看。 禁用,触发该规则条目时将不会记录攻击日志。 |
启用 |
勾选,启用该规则条目的配置,在WAF检测攻击时将对经过WAF的流量进行该规则检测。 不勾选,禁用该规则条目的配置,在WAF检测到攻击时将不对经过WAF的流量进行该规则检测。 |
步骤5:点击【保存】按钮保存配置。
盗链是指服务提供商自己不提供服务的内容,通过技术手段绕过其它有利益的最终用户界面(如广告),直接在自己的网站上向最终用户提供其它服务提供商的服务内容,骗取最终用户的浏览和点击率,受益者不提供资源或提供很少的资源,而真正的服务提供商却得不到任何的收益。
WAF通过实现URL级别的访问控制,对客户端请求进行检测,如果发现图片、文件等资源信息的HTTP请求来自于其它网站,则阻止盗链请求,节省因盗用资源链接而消耗的带宽和性能。
配置防盗链规则的详细步骤如下:
步骤1:选择“应用安全防护-> Web防护规则->防盗链规则”进入防盗链规则管理界面。
图10-24 防盗链规则管理界面
步骤2:点击【增加】按钮,弹出增加防盗链规则界面。
图10-25 增加防盗链规则界面1
步骤3:输入规则名称后点击【保存】按钮,将规则添加至数据库中。
图10-26 增加防盗链规则界面2
步骤4:配置防盗链规则条目。
在增加防盗链规则界面中点击【增加】按钮,弹出增加防盗链规则条目界面。
图10-27 增加防盗链规则条目界面
配置规则条目参数,详细配置说明见下表。
注:WAF执行防护时“保护的URL”和“保护的资源类型”是“或”的关系,只要检测到请求匹配上“保护的URL”或“保护的资源类型”,WAF立即检测Referer是否允许为空,如果Referer是否为空符合配置,再检测是否为盗链行为,如果是再检测攻击Referer是否为信任的Referer,如果是信任Referer则不执行处理动作直接放行,否则执行处理动作。
表10-11 防盗链规则条目详细配置说明
配置项 |
描述 |
保护URL |
设置保护的URL,可以选择基础资源对象URL列表。 |
检测方式 |
包含两种检测方式:Referer和Referer+Cookie。 Referer: 检测时只检测Referer是否合法。 Referer+Cookie: 检测时检测Referer是否合法,是否有WAF自定义的Cookie。 注:防护的URL为站点首页时不能选择检测方式:Referer+Cookie,否则站点首页的第一次正常访问会被视为攻击执行防护操作。 |
严重级别 |
定义触发该规则条目的攻击的严重级别,分为低级、中级、高级。 |
处理动作 |
定义检测到触发该规则条目的攻击后WAF的处理动作,包括继续、通过、阻断、封禁、重定向。 |
优先级 |
优先级数越小级别越高,优先级不可重复。 |
告警设置 |
定义检测到触发该上传规则条目的攻击后WAF的告警设置: 勾选“短信”设置短信告警。 勾选“邮件”设置邮件告警。 |
允许Referer为空 |
检测数据包中的Referer参数,如果Referer参数与是否允许为空的设置不一致则判断为非法: 勾选,允许Referer为空。 不勾选,不允许Referer为空,必须填写可信任的Referer值。 |
日志 |
勾选,触发该规则条目时将会记录攻击日志,可以在攻击日志中查看。 不勾选,触发该规则条目时将不会记录攻击日志。 |
启用 |
勾选,启用该规则条目的配置,在WAF检测攻击时将对经过WAF的流量进行该规则检测。 不勾选,禁用该规则条目的配置,在WAF检测到攻击时将不对经过WAF的流量进行该规则检测。 注:启用防盗链规则条目后,链接请求的Referer为合法时,WAF立即对该请求定义 Cookie。 |
保护的资源类型 |
可以设置多种资源类型,用|隔开,如jpg|avi|pdf。 |
信任的Referer |
Referer白名单:最多可以设置4个信任的Referer,每个Referer各占一行,超过第4行的Referer设置无效。 |
点击【保存】按钮保存规则条目配置。
步骤5:点击【保存】按钮保存防盗链规则配置。
CSRF(Cross-site request forgery跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。
配置防跨站请求伪造规则的详细步骤如下:
步骤1:选择“应用安全防护-> Web防护规则->防跨站请求伪造规则”进入防跨站请求伪造规则管理界面。
图10-28 防跨站请求伪造规则管理界面
步骤2:点击【增加】按钮,弹出增加防跨站请求伪造规则界面。
图10-29 增加防跨站请求伪造规则界面1
步骤3:输入规则名称后点击【保存】按钮,将规则添加至数据库中。
图10-30 增加防跨站请求伪造规则界面2
步骤4:配置防跨站请求伪造规则条目。
在增加防跨站请求伪造规则界面中点击【增加】按钮,弹出增加跨站请求伪造规则条目界面。
图10-31 增加防跨站请求伪造规则条目界面
配置跨站请求伪造规则条目参数,详细的参数说明见下表。
表10-12 防跨站请求伪造规则条目详细配置说明
配置项 |
描述 |
保护URL |
设置保护的URL,可以选择基础资源对象URL列表,此处填写的是URL中的路径,格式为“/user/login”, 请勿填写带有http/https、域名和ip。 |
Referer URL |
设置合法请求的Referer,可以引用基础资源对象URL列表,referer URL格式为http://host/xxx。host为IP或者域名。 |
严重级别 |
定义触发该规则条目的攻击的严重级别,分为低级、中级、高级。 |
处理动作 |
定义检测到触发该规则条目的攻击后WAF的处理动作,包括继续、通过、阻断、封禁、重定向。 |
优先级 |
优先级数越小级别越高,优先级不可重复。 |
请求方法 |
包括两种请求方法:GET和POST。 |
告警设置 |
定义检测到触发该上传规则条目的攻击后WAF的告警设置: 勾选“短信”设置短信告警。 勾选“邮件”设置邮件告警。 |
允许Referer为空 |
检测数据包中的Referer参数,如果Referer参数与是否允许为空的设置不一致则判断为非法: 勾选,允许Referer为空。 不勾选,不允许Referer为空,需要设置可信任的Referer值。 |
日志 |
勾选,触发该规则条目时将会记录攻击日志,可以在攻击日志中查看。 不勾选,触发该规则条目时将不会记录攻击日志。 |
启用 |
勾选,启用该规则条目的配置,在WAF检测攻击时将对经过WAF的流量进行该规则检测。 不勾选,禁用该规则条目的配置,在WAF检测到攻击时将不对经过WAF的流量进行该规则检测。 |
Referer白名单设置 |
请求方法:包括两种请求方法:GET和POST。 Referer白名单:Referer格式:http://www.123.com/*,其中*匹配任何内容, 最多可以设置4个信任的Referer,每个Referer各占一行。 注:请求方法和Referer白名单是“且”的关系,只有请求方法和Referer同时满足配置才是白名单。 |
点击【保存】按钮保存防跨站请求伪造规则条目配置。
步骤5:点击【保存】按钮保存防跨站请求伪造规则配置。
文件上传规则是指攻击者利用WEB应用对上传文件过滤不严,导致可以上传应用程序定义类型范围之外的文件到Web服务器。比如可以上传一个网页木马,如果存放上传文件的目录刚好有执行脚本的权限,那么攻击者就可以直接得到一个WebShell。
文件上传规则主要是对上传文件的文件类型和大小、MIME类型、文件的扩展名和真实文件类型进行检测。
文件上传规则的详细配置步骤如下:
步骤1:选择“应用安全防护-> Web防护规则->文件上传规则”进入文件上传规则管理界面。
图10-32 文件上传规则管理界面
步骤2:点击【增加】,弹出新增文件上传规则界面。
图10-33 增加文件上传规则1
步骤3:编辑规则名称和默认动作,默认动作包含通过、阻断、封禁、重定向。
步骤4:点击【保存】按钮新增上传规则,同时在界面中弹出文件上传规则列表。
图10-34 增加文件上传规则2
步骤:5:配置文件上传规则条目。
点击【增加】按钮,弹出新增上传文件类型规则界面。
编辑规则条目的基本配置、文件类型检查、MIME类型检查、真实文件类型检查。三种检查之间为或的关系。
图10-35 增加文件上传规则条目
文件上传规则条目基本配置的详细参数说明如下表。
表10-13 文件上传规则条目基本配置说明
配置项 |
描述 |
例外URL |
定义不进行上传规则匹配检测的URL,可以直接引用URL列表对象。填写URL中的路径。如:/user/login,请勿填写带有http/https、域名和ip。 |
处理动作 |
定义检测到触发该上传规则条目的攻击后WAF的处理动作,包括继续、通过、阻断、封禁、重定向。 |
严重级别 |
定义触发该规则条目的攻击的严重级别,分为低级、中级、高级。 |
文件大小 |
定义上传文件大小,如果上传的文件大于设置的阀值,则判定为非法操作,即为触发该上传规则条目的攻击。反之,则是合法操作。 |
优先级 |
优先级数越小级别越高,优先级不可重复。 |
告警设置 |
定义检测到触发该上传规则条目的攻击后WAF的告警设置: 勾选“短信”设置短信告警。 勾选“邮件”设置邮件告警。 |
日志 |
勾选,触发该规则条目时将会记录攻击日志,可以在攻击日志中查看。 不勾选,触发该规则条目时将不会记录攻击日志。 |
启用 |
勾选,启用该规则条目的配置,在WAF检测攻击时将对经过WAF的流量进行该规则检测。 不勾选,禁用该规则条目的配置,在WAF检测到攻击时将不对经过WAF的流量进行该规则检测。 |
文件上传规则条目文件类型检查配置的详细参数说明如下表。
表10-14 文件上传规则的文件类型配置说明
配置项 |
描述 |
启用文件类型检查 |
勾选,启用文件类型检查的配置,WAF在对服务器进行防护时会对上传文件的类型进行检测。 不勾选,禁用文件类型检查的配置。 |
可选文件类型 |
将可选文件类型加入到检查文件类型中,可以设置不允许上传的文件类型,当检测到上传的文件类型与不允许文件类型匹配时定义为非法操作,即为触发上传规则的攻击。反之,则是合法操作。 |
文件上传规则条目MIME类型检查配置的详细参数说明如下表。
表10-15 文件上传规则的MIME类型配置说明
配置项 |
描述 |
启用MIME类型检查 |
勾选,启用MIME类型检查的配置,WAF在对服务器进行防护时会对上传文件的MIME类型进行检测。 不勾选,禁用MIME类型检查的配置。 |
可选MIME类型 |
将可选MIME类型加入至检查MIME类型列表中,可以设置不允许上传的文件的MIME类型,当检测到上传的文件的MIME类型与不允许MIME类型匹配时定义为非法操作,即为触发上传规则的攻击。反之,则是合法操作。 |
文件上传规则条目真实文件类型检查配置的详细参数说明如下表。
表10-16 文件上传规则的真实文件类型配置说明
配置项 |
描述 |
启用真实文件类型检查 |
勾选,启用真实文件类型检查的配置,WAF在对服务器进行防护时会对上传文件的真实类型进行检测。 不勾选,禁用真实文件类型检查的配置。 |
可选真实文件类型 |
将可选真实文件类型加入至检查真实文件类型列表中,可以设置不允许上传的文件的真实文件类型,当检测到上传的文件的真实文件类型与不允许真实文件类型匹配时定义为非法操作,即为触发上传规则的攻击。反之,则是合法操作。 |
点击【保存】按钮保存文件上传规则条目配置。
启用文件上传规则后会对上传规则列表中的规则条目逐条进行检测匹配并按照配置执行相应的处理动作。
注意:真实文件类型不兼容谷歌浏览器,请使用火狐浏览器
步骤6:点击【保存】按钮保存文件上传规则配置。
文件下载规则主要是对下载文件长度、文件扩展名和MIME类型进行检测。文件下载规则的详细配置步骤如下:
步骤1:选择“应用安全防护-> Web防护规则->文件下载规则”进入文件下载规则管理界面。
图10-36 文件下载规则管理界面
步骤2:在管理界面中点击【增加】弹出新增下载规则界面,如下图。
图10-37 增加下载规则1
步骤3:编辑规则名称和默认动作,默认动作包含通过、阻断、封禁。
步骤4:点击【保存】按钮新增文件下载规则,同时在新增文件下载规则界面中显示下载规则列表,如下图。
图10-38 增加下载规则2
步骤5:配置文件下载规则条目。
点击【增加】按钮,弹出新增文件下载规则条目界面。
编辑文件下载规则条目的基本配置、文件类型检查、MIME类型检查。
图10-39 文件下载基本配置
文件下载规则条目基本配置的详细参数说明如下表。
表10-17 文件下载规则条目基本配置说明
配置项 |
描述 |
例外URL |
定义不进行下载规则匹配检测的URL,可以直接引用URL列表对象。填写URL中的路径。如:/user/login,请勿填写带有http/https、域名和ip。 |
处理动作 |
定义检测到触发该规则条目的攻击后WAF的处理动作,包括继续、通过、阻断、封禁。 |
严重级别 |
定义触发该规则条目的攻击的严重级别,分为低级、中级、高级。 |
文件大小 |
定义下载文件大小,如果下载的文件大于设置的阀值,则判定为非法操作,即为触发该下载规则条目的攻击。反之,则是合法操作。 |
优先级 |
优先级数越小级别越高,优先级不可重复。 |
告警设置 |
定义检测到触发该规则条目的攻击后WAF的告警设置: 勾选“短信”设置短信告警。 勾选“邮件”设置邮件告警。 |
日志 |
勾选,触发该规则条目时将会记录攻击日志,可以在攻击日志中查看。 不勾选,触发该规则条目时将不会记录攻击日志。 |
启用 |
勾选,启用该规则条目的配置,在WAF检测攻击时将对经过WAF的流量进行该规则检测。 不勾选,禁用该规则条目的配置,在WAF检测到攻击时将不对经过WAF的流量进行该规则检测。 |
文件类型检查配置的详细参数说明如下表。
表10-18 下载规则的文件类型配置说明
配置项 |
描述 |
启用文件类型检查 |
勾选,启用文件类型检查的配置,WAF在对服务器进行防护时会对下载文件的类型进行检测。 不勾选,禁用文件类型检查的配置。 |
可选文件类型 |
将可选文件类型加入至检查文件类型列表中,可以设置不允许下载的文件类型,当检测到下载的文件类型与不允许文件类型匹配时定义为非法操作,即为触发下载规则的攻击。反之,则是合法操作。 |
MIME类型检查配置的详细参数说明如下表。
表10-19 下载规则的MIME类型配置说明
配置项 |
描述 |
启用MIME类型检查 |
勾选,启用文件类型检查的配置,WAF在对服务器进行防护时会对下载文件的MIME类型进行检测。 不勾选,禁用MIME类型检查的配置。 |
可选MIME类型 |
将可选MIME类型加入至检查MIME类型列表中,可以设置不允许下载的文件的MIME类型,当检测到下载的文件的MIME类型与不允许MIME类型匹配时定义为非法操作,即为触发下载规则的攻击。反之,则是合法操作。 |
点击【保存】按钮保存文件下载规则条目配置。
启用下载规则后会对下载规则列表中的规则条目逐条进行检测匹配并按照配置执行相应的处理动作。
步骤6:点击【保存】按钮保存文件下载规则配置。
敏感信息检测规则的详细配置步骤如下:
步骤1:选择“应用安全防护-> Web防护规则->敏感信息检测规则”进入敏感信息检测规则管理界面。
图10-40 敏感信息检测规则
步骤2:点击【增加】按钮,弹出增加敏感信息检测规则界面。
图10-41 增加敏感信息检测规则界面1
步骤3:输入规则名称后点击【保存】按钮,将规则保存至数据库中。
图10-42 增加敏感信息检测规则界面2
步骤4:配置敏感信息检测规则条目。
在增加敏感信息检测规则界面中点击【增加】,弹出增加敏感信息检测规则条目界面。
图10-43 增加敏感信息检测规则条目界面
配置敏感信息检测规则条目参数,详细说明见下表。
表10-20 敏感信息检测规则条目详细配置说明
配置项 |
描述 |
例外URL |
设置例外的URL,可以选择基础资源对象URL列表。填写URL中的路径。如:/user/login,请勿填写带有http/https、域名和ip。 |
编码 |
设置敏感词检测编码,包含UTF-8及GB2312。若用户自定义匹配敏感信息为中文时,请使用GB2312编码。 |
检测位置 |
包括响应头和响应体。 |
敏感信息 |
敏感信息包括Server、X-Powered-By和用户自定义。 选择用户自定义后可以在界面中自定义敏感信息,支持字符串和正则表达式,以|分隔,不超过512个字符。 |
处理动作 |
包括全部隐藏、替换、擦除。 隐藏:变成***字段 替换:敏感信息替换成设置好的文本信息 擦出:完全删除敏感信息 |
严重级别 |
定义触发该规则条目的攻击的严重级别,分为低级、中级、高级。 |
优先级 |
优先级数越小级别越高,优先级不可重复。 |
告警设置 |
定义检测到触发该规则条目的攻击后WAF的告警设置: 勾选“短信”设置短信告警。 勾选“邮件”设置邮件告警。 |
日志 |
勾选,触发该规则条目时将会记录攻击日志,可以在攻击日志中查看。 不勾选,触发该规则条目时将不会记录攻击日志。 |
启用 |
勾选,启用该规则条目的配置,在WAF检测攻击时将对经过WAF的流量进行该规则检测。 不勾选,禁用该规则条目的配置,在WAF检测到攻击时将不对经过WAF的流量进行该规则检测。 |
点击【保存】按钮保存敏感信息检测规则条目的配置。
步骤5:点击【保存】按钮保存敏感信息检测规则的配置。
弱密码检测规则主要用于检测密码的强弱程度,用户可以根据需求选择默认检测,也可以自定义检测字符。
弱密码检测规则详细的配置步骤如下:
步骤1:选择“应用安全防护-> Web防护规则->弱密码检测规则”进入弱密码检测规则管理页面。
图10-44 弱密码检测规则界面
步骤2:点击【增加】按钮,弹出增加弱密码检测规则界面。
图10-45 增加弱密码检测规则界面
步骤3:编辑规则名称后点击【保存】按钮,弹出规则条目列表。
图10-46 弱密码检测规则条目列表
步骤4:编辑弱密码检测规则条目。
在规则条目列表中点击【增加】按钮,弹出增加弱密码检测规则条目界面。
图10-47 增加弱密码检测规则条目界面
弱密码检测规则条目详细配置说明见下表。
表10-21 弱密码检测规则条目详细配置说明
配置项 |
描述 |
保护URL |
弱密码检测的URL对象,可以点击“+”号新增,也可以选择已创建的url列表。 |
用户名字典 |
检测时匹配的用户名字典。例如:用“|”隔开,以总长度限制作为限制 |
密码字典 |
检测时匹配的密码字典。例如:用“|”隔开,以总长度限制作为限制 注:只有用户名字典和密码字典同时匹配上才会检测密码的强弱程度。 |
自定义检测 |
如果检测的密码与自定义检测的字符匹配上则认为是弱密码,执行处理动作。 注:支持字符串和正则表达式,以|分隔,不超过256个字符。 |
开启默认检测 |
是否开启默认检测。 勾选,启用默认检测,使用系统自定义的检测级别规则进行检测。 |
默认检测级别 |
包括低级、中级、高级。 低级:9位纯数字、6位纯字母、6位纯符号 中级:10位纯数字、7位纯字母、7位纯符号、6位数字+字母、6位数字+符号、5位数字+大写+小写、5位数字+字母+符号、5位大写+小写+符号 高级:11位纯数字、8位纯字母、7位数字+字母、6位大写+小写、6位字母+符号、6位数字+大写+小写、5位数字+大写+小写+符号 |
处理动作 |
定义检测到触发该规则条目的攻击后WAF的处理动作,包括继续、通过、阻断、重定向。 |
严重级别 |
定义触发该规则条目的攻击的严重级别,分为低级、中级、高级。 |
优先级 |
优先级数越小级别越高,优先级不可重复。 |
告警设置 |
定义检测到触发该规则条目的攻击后WAF的告警设置: 勾选“短信”设置短信告警。 勾选“邮件”设置邮件告警。 |
日志 |
勾选,触发该规则条目时将会记录攻击日志,可以在攻击日志中查看。 不勾选,触发该规则条目时将不会记录攻击日志。 |
启用 |
勾选,启用该规则条目的配置,在WAF检测攻击时将对经过WAF的流量进行该规则检测。 不勾选,禁用该规则条目的配置,在WAF检测到攻击时将不对经过WAF的流量进行该规则检测。 |
点击【保存】按钮保存配置规则条目配置。
步骤5:点击【保存】按钮保存弱密码检测规则配置。
虚拟补丁规则根据不同厂家的扫描报告(xml格式),提取特征,生成防护规则,根据防护规则判断是否需要进行防护及发送日志。
虚拟补丁规则的配置步骤如下:
步骤1:选择“应用安全防护-> Web防护规则->虚拟补丁规则”进入虚拟补丁规则管理页面。
图10-48 虚拟补丁规则管理界面
步骤2:点击【增加】按钮,弹出增加虚拟补丁规则页面。
图10-49 增加虚拟补丁规则界面
步骤3:配置虚拟补丁规则参数,详细说明见下表。
表10-22 虚拟补丁规则详细配置说明
配置项 |
描述 |
名称 |
自定义规则名称。 |
类型 |
选择厂家类型,默认为APPSCAN,目前只支持APPSCAN。 |
处理动作 |
定义检测到触发该规则条目的攻击后WAF的处理动作,包括通过、阻断、封禁、重定向。 |
严重级别 |
定义触发该规则条目的攻击的严重级别,分为低级、中级、高级。 |
虚拟补丁文件 |
上传APPSCAN的扫描报告(xml格式)。 |
告警设置 |
定义检测到触发该规则条目的攻击后WAF的告警设置: 勾选“短信”设置短信告警。 勾选“邮件”设置邮件告警。 |
日志 |
勾选,触发该规则条目时将会记录攻击日志,可以在攻击日志中查看。 不勾选,触发该规则条目时将不会记录攻击日志。 |
启用 |
勾选,启用该规则条目的配置,在WAF检测攻击时将对经过WAF的流量进行该规则检测。 不勾选,禁用该规则条目的配置,在WAF检测到攻击时将不对经过WAF的流量进行该规则检测。 |
步骤4:点击【保存】按钮保存配置。
页面访问顺序是指限定访问某个页面的顺序,即限定请求的来源地址。访问顺序规则的配置步骤如下:
步骤1:选择“应用安全防护-> Web防护规则->访问顺序规则”进入访问顺序规则管理页面。
图10-50 访问顺序规则界面
步骤2:点击【增加】按钮,弹出增加访问顺序规则页面。
图10-51 增加访问顺序规则界面1
步骤3:输入规则名称,点击【保存】按钮。
图10-52 增加访问顺序规则界面2
步骤4:点击【增加】按钮,弹出增加访问顺序条目页面。
图10-53 增加访问顺序条目界面
步骤5:配置访问顺序条目参数,详细参数说明如下。
表10-23 访问顺序规则条目详细配置说明
配置项 |
描述 |
保护URL |
设置保护的URL,可以选择基础资源对象URL列表,此处填写的是URL中的路径,格式为“/user/login”。 |
Referer URL |
设置合法的Referer URL,可以选择基础资源对象URL列表,referer URL格式为http(s)://host/xxx。 |
处理动作 |
定义检测到触发该规则条目的攻击后WAF的处理动作,包括继续、通过、阻断、封禁、重定向。 |
严重级别 |
定义触发该规则条目的攻击的严重级别,分为低级、中级、高级。 |
优先级 |
优先级数越小级别越高,优先级不可重复,优先级范围为0-10000。 |
有效时间(秒) |
规则有效时间,取值范围为0- 599999999。 |
告警设置 |
定义检测到触发该规则条目的攻击后WAF的告警设置: 勾选“短信”设置短信告警。 勾选“邮件”设置邮件告警。 |
允许Referer为空 |
检测数据包中的Referer参数,如果Referer参数与是否允许为空的设置不一致则判断为非法: 勾选,允许Referer为空。 不勾选,不允许Referer为空,需要填写可信任的Referer值。 |
日志 |
勾选,触发该规则条目时将会记录攻击日志,可以在攻击日志中查看。 不勾选,触发该规则条目时将不会记录攻击日志。 |
启用 |
勾选,启用该规则条目的配置,在WAF检测攻击时将对经过WAF的流量进行该规则检测。 不勾选,禁用该规则条目的配置,在WAF检测到攻击时将不对经过WAF的流量进行该规则检测。 |
步骤6:点击【保存】保存配置。
敏感词防护主要针对网站的敏感词信息进行防护过滤。敏感词防护配置如下:
步骤1:敏感词防护规则配置:选择“应用安全防护->Web防护规则 ->敏感词防护规则”进入敏感词防护规则配置。
图10-54 敏感词防护规则界面
步骤2:点击【增加】按钮,弹出增加敏感词防护规则页面。
图10-55 敏感词防护规则配置
表10-24 敏感词防护规则条目详细配置说明
配置项 |
描述 |
名称 |
自定义规则名称。 |
例外URL |
设置例外的URL,可以选择基础资源对象URL列表, 填写URL中的路径。如:/user/login,请勿填写带有http/https、域名和ip。 |
处理动作 |
定义检测到触发该规则条目的攻击后WAF的处理动作,包括继续、通过、阻断、封禁。 |
严重级别 |
定义触发该规则条目的攻击的严重级别,分为低级、中级、高级。 |
检测位置 |
定义数据检测位置,分为HTTP 请求URL、HTTP请求参数、HTTP请求体、HTTP响应体 |
告警设置 |
定义检测到触发该规则条目的攻击后WAF的告警设置: 勾选“短信”设置短信告警。 勾选“邮件”设置邮件告警。 |
日志 |
勾选,触发该规则条目时将会记录攻击日志,可以在攻击日志中查看。 不勾选,触发该规则条目时将不会记录攻击日志。 |
启用 |
勾选,启用该规则条目的配置,在WAF检测攻击时将对经过WAF的流量进行该规则检测。 不勾选,禁用该规则条目的配置,在WAF检测到攻击时将不对经过WAF的流量进行该规则检测。 |
步骤6:点击【保存】保存配置。
敏感词管理:选择“应用安全防护->Web防护规则 ->敏感词防护规则-> 敏感词管理”进入敏感词管理配置界面进行敏感词查看。自定义导入等,可在检索框查找相关敏感词。
图10-56 敏感词管理界面
击【增加】按钮,弹出增加敏感词页面。
图10-57 敏感词防护规则配置
表10-25 增加敏感词详细配置说明
配置项 |
描述 |
敏感词名称 |
自定义敏感词名称。 |
类型 |
选择类型:政治、宗教、色情、暴力、反动、广告、其它,默认政治。 |
严重级别 |
定义触发该规则条目的攻击的严重级别,分为低级、中级、高级。 |
点击【导入】按钮,弹出导入敏感词库页面,点击选择,选择文件后点击【导入】。
导入敏感词,可以先下载敏感词库填写模板,按照模板格式填写敏感词,进行导入,文件类型支持.xls和.xlt格式。
表10-26 导入敏感词
DDoS防护功能是通过策略的方式实现的,添加了服务器后会在DDoS防护策略管理页面中自动添加对应服务器的DDoS防护策略,默认不启用。
启用DDoS防护策略:选择“应用安全防护->DDoS防护策略”进入DDoS防护策略管理页面,点击web界面上的【启用/禁用】按钮即可。启用DDoS防护策略后可以对服务器针对不同的协议类型和攻击类型执行DDoS防护。
图10-58 DDoS防护策略管理页面
编辑DDoS防护策略:选择“应用安全防护->DDoS防护策略”进入DDoS防护策略管理页面,选中任意策略点击【编辑】或双击任意策略,弹出编辑DDoS防护策略页面,可以编辑告警设置和日志设置。
图10-59 编辑DDoS防护策略页面
表10-27 编辑DDoS防护策略详细配置说明
配置项 |
描述 |
服务器 |
需要防护 的后端服务器。 |
告警设置 |
定义检测到触发该规则条目的攻击后WAF的告警设置: 勾选“短信”设置短信告警。 勾选“邮件”设置邮件告警。 |
日志 |
勾选,触发DDoS条目时将会记录攻击日志,可以在攻击日志中查看。 不勾选,触发DDoS条目时将不会记录攻击日志。 |
自学习系统是通过学习用户对被保护站点的正常流量的数据信息,统计出服务器的所有资产,包括站点、URL,以及各个URL的参数信息,总结出站点保护对象的正常模型,并生成相应的防护策略,对异常流量进行检测和防护。
本章将讲述自学习系统的详细配置信息,具体包括以下内容。
表11-1 自学习系统概述
配置项 |
描述 |
自学习基础 |
配置自学习基础参数。 |
自学习策略 |
配置自学习策略。 |
自学习模式 |
配置自学习模式。 |
自学习展示 |
展示自学习信息。 |
自学习防护 |
配置自学习防护参数。 |
自学习基础主要是对自学习的最少样本数、自学习时间进行设置。WAF会根据服务器自学习策略对策略包含的所有站点和站点下的URL进行学习,当搜集到的信息满足用户设置的最少样本数时,从学习模式切换到防护模式,此时与特征有偏差的请求将触发防护规则。
图11-1 自学习基础配置界面
配置自学习基础:输入最少样本数、设置自学习开始时间和结束时间以及处理时间(WAF会在每日的处理时间点开始对自学习到的数据进行统计处理),点击【保存】按钮保存配置即可。
清空:点击【清空】按钮可以将已自学习到的所有信息清空。
立即处理:点击【立即处理】可以将自学习到的数据立即进行统计处理,处理结果可以在自学习展示模块进行查看。
自学习策略的配置步骤如下:
步骤1:选择“自学习系统->自学习策略”进入自学习策略管理页面。
图11-2 自学习策略管理界面
步骤2:点击【增加】按钮,弹出增加Web主机自学习策略页面。
图11-3 增加Web主机自学习策略界面
步骤3:配置策略参数,详细说明见下表。
表11-2 Web主机自学习策略参数详细说明
配置项 |
描述 |
名称 |
自定义策略名称。 |
服务器 |
选择需要进行自学习的服务器。 |
源IP |
定义自学习的来源IP,可以引用IP列表。 |
例外URL |
定义不进行自学习的URL对象,可以引用URL列表,填写URL中的路径。如:/user/login,请勿填写带有http/https、域名和ip。 |
请求方法 |
定义自学习的请求方法。 |
响应码 |
定义自学习的响应码。 |
启用 |
勾选:启用自学习策略,WAF开始自学习建模。 不勾选:禁用自学习策略。 |
步骤4:点击【保存】按钮保存配置。
自学习模式相当于对自学习策略的补充,使学习到的URL按照所配置的模式展示出来。例如,如果设置了后缀或者前缀,则会把所有该后缀或前缀的URL综合成一个文件夹展示,此时不能查看到具体的某一个URL的参数信息。如果设置了Web主机,则会只把学习到该Web主机的所有URL展示出来。
步骤1:选择“自学习系统->自学习模式”进入自学习模式管理页面。
图11-4 自学习模式管理界面
步骤2:点击【增加】按钮,弹出增加自学习模式页面。
图11-5 增加自学习模式页面
步骤3:配置自学习模式参数,详细说明如下。
表11-3 自学习模式参数详细说明
配置项 |
描述 |
服务器 |
选择需要配置自学习模式的服务器。 |
Web主机 |
定义需要配置自学习模式的Web主机,格式支持IP、域名。当需要Web主机为域名时,则只对此服务器中该域名做学习。 |
前缀 |
定义URL前缀。例如:/login |
后缀 |
定义URL后缀。例如:.com |
步骤4:点击【保存】按钮保存配置。
自学习展示主要展示学习到的服务器基本信息、Web主机基本信息、URL基本信息,分为两种方式,一种是服务器的树形结构显示,一种是URL列表显示。
选择“自学习系统->自学习展示”进入自学习展示界面,点击服务器名称即可查看服务器基本信息,点击Web主机即可查看Web主机基本信息,点击URL即可查看URL基本信息。
图11-6 服务器基本信息
图11-7 Web主机基本信息
图11-8 URL基本信息
选择“自学习系统->自学习展示->自学习URL展示”进入自学习URL展示界面,点击URL即可查看URL基本信息。
图11-9 自学习URL展示
点击【检索】按钮,可对自学习到的URL进行条件检索。
图11-10 自学习URL检索
配置URL检索参数,详细说明见下表。
表11-4 自学习URL参数详细说明
配置项 |
描述 |
URL名称 |
定义需要查询的URL名称。 |
请求次数 |
定义需要查询的URL请求次数,请求次数是查询小于输入数值的所有URL。 |
URL模式 |
定义需要查询的URL模式,包括任意、真实URL和模式URL。 真实URL:/static/image/abc.png 是真实url。 模式URL: /static/....png表示static开头 png结尾的url 。 |
URL状态 |
定义需要查询的URL状态,包括任意、学习和防护。 学习:未学习完URL状态为学习状态 防护:学习完URL状态为防护状态 |
服务器 |
定义需要查询的URL所属服务器。 |
Web主机 |
定义需要查询的URL所属web主机。 |
点击【查询】按钮可查询符合相应查询条件的URL。
点击【重置】按钮可重置查询条件。
自学习防护配置有两种方式,一种是树形结构显示的配置,一种是URL列表显示的配置。树形结构显示是把URL分解成多个子文件展示,用户能直观的体会到URL由那些文件组成。URL列表显示是直接的显示URL
自学习防护的配置步骤如下:
步骤1:选择“自学习系统->自学习防护->自学习防护”进入自学习防护管理界面,点击服务器显示服务器防护页面。
图11-11 服务器防护页面
步骤2:配置服务器防护的基本参数,详细参数说明如下。
表11-5 服务器防护参数详细说明
配置项 |
描述 |
防护类型 |
包括未知Web主机防护、未知URL防护、请求方法防护、参数个数防护、参数类型防护、参数范围防护、参数是否必须防护、参数是否不变防护,勾选复选框即可启用该类型的防护。 未知URL防护:学习完成后,学习到主机之外的访问为未知URL防护。 请求方法防护:get/post 参数个数防护、参数类型防护、参数范围防护、参数是否不变防护为参数属性。 |
处理动作 |
定义检测到触发该规则的攻击后WAF的处理动作,包括继续、通过、阻断、封禁。 |
严重级别 |
定义触发该规则的攻击的严重级别,分为低级、中级、高级。 |
告警设置 |
定义检测到触发该规则的攻击后WAF的告警设置: 勾选“短信”设置短信告警。 勾选“邮件”设置邮件告警。 |
日志 |
勾选,触发该规则条目时将会记录攻击日志,可以在攻击日志中查看。 不勾选,触发该规则条目时将不会记录攻击日志。 |
启用 |
勾选,启用该规则条目的配置,在WAF检测攻击时将对经过WAF的流量进行该规则检测。 不勾选,禁用该规则条目的配置,在WAF检测到攻击时将不对经过WAF的流量进行该规则检测。 |
步骤3:点击服务器下的URL,配置URL防护参数。
图11-12 URL防护配置页面
启用:勾选后启用该URL防护。
请求方法:URL防护时检测的请求方法。
URL参数配置:可以对自学习到的URL参数进行修改,可以配置的参数项包括名称、参数类型、参数值、是否必须、是否不变。当已知某个参数没学到,或者业务调整加了参数,或者需要增加新的参数,此时可以进行URL参数配置。
图11-13 增加自学习URL参数页面
增加自学习URL参数详细说明如下表。
表11-6 增加自学习URL参数详细说明
配置项 |
描述 |
名称 |
定义添加的自学习URL参数名称 |
参数类型 |
定义添加的自学习URL参数类型,包括日期、数字及字符串。 |
参数值 |
定义添加的自学习URL参数值, |
是否必须 |
勾选,自学习参数每次访问必须附带。 不勾选,自学习无需每次访问都附带。 |
是否不变 |
勾选,自学习参数值每次访问都不能变化。 不勾选,自学习参数值每次访问不用保持不变。 |
步骤4:保存以上配置即可生效。
自学习URL防护配置的步骤如下:
步骤1:选择“自学习系统->自学习防护->自学习URL防护”进入自学习URL防护管理界面,点击URL显示URL防护配置界面。
图11-14 URL防护配置页面
步骤2:配置URL防护参数。
启用:勾选后启用该URL防护。
请求方法:URL防护时检测的请求方法。
URL参数配置:可以对自学习到的URL参数进行修改,也可以增加新的参数。可以配置的参数项包括名称、参数类型、参数值、是否必须、是否不变、参数描述。
图11-15 增加自学习URL参数页面
表11-7 增加自学习URL参数详细说明
配置项 |
描述 |
名称 |
定义添加的自学习URL参数名称 |
参数类型 |
定义添加的自学习URL参数类型,包括日期、数字及字符串。 |
参数值 |
定义添加的自学习URL参数值, |
是否必须 |
勾选,自学习参数每次访问必须附带。 不勾选,自学习无需每次访问都附带。 |
是否不变 |
勾选,自学习参数值每次访问都不能变化。 不勾选,自学习参数值每次访问不用保持不变。 |
步骤3:保存配置即可。
点击【检索】按钮,可对自学习到的URL进行条件检索。
图11-16 自学习URL检索
配置URL检索参数,详细说明见下表。
表11-8 自学习URL参数详细说明
配置项 |
描述 |
URL名称 |
定义需要查询的URL名称。 |
请求次数 |
定义需要查询的URL请求次数,请求次数是查询小于输入数值的所有URL。 |
URL模式 |
定义需要查询的URL模式,包括任意、真实URL和模式URL。 |
URL状态 |
定义需要查询的URL状态,包括任意、学习和防护。 |
URL操作 |
定义需要查询的URL操作,包括任意、增加、编辑和删除。 |
URL参数操作 |
定义需要查询的URL参数操作,包括任意、增加、编辑和删除。 |
服务器 |
定义需要查询的URL所属服务器。 |
Web主机 |
定义需要查询的URL所属web主机。 |
点击【查询】按钮可查询符合相应查询条件的URL。
点击【重置】按钮可重置查询条件。
点击【增加URL+】可添加URL配置。
图11-17 增加URL配置
表11-9 增加URL配置参数说明
配置项 |
描述 |
名称 |
定义URL名称。 |
服务器 |
定义URL所属服务器。 |
Web主机 |
定义URL所属web主机。 |
URL状态 |
定义需要查询的URL状态,包括学习和防护。 |
启用 |
勾选,启用该条URL防护规则。 不勾选,不启用该条URL防护规则。 |
本章主要描述安全情报中心的配置和安全情报的查看方法,具体内容如下:
表12-1 安全情报中心常用操作
功能 |
描述 |
安全情报中心配置 |
配置安全情报中心的参数和启用。 |
安全情报IP数量统计 |
显示安全情报IP数量统计信息。 |
安全情报风险值统计 |
显示安全情报风险值统计信息。 |
安全情报活跃度统计 |
显示安全情报活跃度统计信息。 |
安全情报中心规则 |
配置安全情报中心规则。 |
安全情报中心配置的详细步骤如下:
步骤1:选择“安全情报中心->安全情报中心配置”进入安全情报中心配置管理界面。
图12-2 安全情报中心配置管理界面1
步骤2:在管理界面中勾选【启用】和【高级】,编辑威胁情报源厂商参数。
图12-3 安全情报中心配置管理界面2
步骤3:点击【保存】保存配置,WAF会自动从安全情报中心下载情报数据。
表12-2 安全情报中心配置参数说明
功能 |
描述 |
启用 |
勾选,启用安全情报中心配置功能。 不勾选,不启用安全情报中心配置功能。 |
高级 |
勾选,启用安全情报中心高级配置功能。 不勾选,不启用安全情报中心高级配置功能。 |
威胁情报源(厂商) |
定义安全情报来源。 |
源地址 |
定义威胁情报源地址。 |
更新时间 |
定义威胁情报更新时间,默认300S,范围为5-300。 |
情报源类型 |
定义威胁情报源类型,包括API和FTP。 |
FTP登录名 |
当威胁情报源类型为FTP时,填写FTP登录名。 |
FTP密码 |
当威胁情报源类型为FTP时,填写FTP登录密码。 |
KEY |
当威胁情报源类型为API时,填写KEY。 |
启用安全情报中心配置后WAF会自动从安全情报中心下载情报数据并根据下载的数据生成安全情报IP数量统计图表。
图12-4 安全情报IP数量统计
启用安全情报中心配置后WAF会自动从安全情报中心下载情报数据并根据下载的数据生成安全情报风险值统计图表。情报的危险程度根据攻击等级程度计算。
图12-5 安全情报风险值统计
启用安全情报中心配置后WAF会自动从安全情报中心下载情报数据并根据下载的数据生成安全情报活跃度统计图表。安全情报活跃度根据攻击频率计算。
图12-6 安全情报活跃度统计
用户可以选择服务器并对安全情报中心提供的情报源进行防护,包括僵尸网络、恶意IP、扫描器、WebShell客户端、代理、TOR节点、漏洞利用IP、暴力破解IP。
本节主要描述安全情报中心规则的详细配置步骤:
步骤1:选择“安全情报中心->安全情报中心规则”进入安全情报中心规则管理界面。
图12-7 安全情报中心规则管理界面
步骤2:点击【增加】弹出增加安全情报中心规则界面。
图12-8 增加安全情报中心规则界面
配置安全情报中心规则的详细参数说明如下表。
表12-3 安全情报中心规则详细配置说明
配置项 |
描述 |
名称 |
自定义规则名称。 |
服务器 |
选择需要进行防护的服务器。 |
防护类型 |
勾选需要防护的情报源类型:僵尸网络、扫描器、代理、漏洞利用IP、恶意IP、WebShell客户端、TOR节点、暴力破解IP。 |
处理动作 |
定义检测到触发该规则的攻击后WAF的处理动作,包括通过和丢弃。 |
严重级别 |
定义触发该规则的攻击的严重级别,分为低级、中级、高级。 |
告警设置 |
定义检测到触发该规则的攻击后WAF的告警设置: 勾选“邮件”设置邮件告警。 勾选“短信”设置短信告警。 |
日志 |
勾选,触发该规则条目时将会记录攻击日志,可以在攻击日志中查看。 不勾选,触发该规则条目时将不会记录攻击日志。 |
启用 |
勾选,启用该规则条目的配置,在WAF检测攻击时将对经过WAF的流量进行该规则检测。 不勾选,禁用该规则条目的配置,在WAF检测到攻击时将不对经过WAF的流量进行该规则检测。 |
步骤3:点击【保存】保存配置。
访问控制主要针对网络层的访问控制,通过配置面向对象的通用包过滤规则实现控制Web以外的访问行为。
本章主要描述访问控制的常用操作和方法,具体内容如下:
表13-1 访问控制常用操作
功能 |
描述 |
IP对象 |
定义包过滤规则里的源IP和目的IP。 |
服务对象 |
定义包过滤规则里的协议。 |
时间对象 |
定义包过滤规则的生效时间段。 |
包过滤规则 |
定义包过滤规则。 |
地址转换 |
可以实现DNAT和SNAT的功能。 |
黑名单 |
设置ip黑名单,显示动态黑名单。 |
白名单 |
设置ip白名单。 |
URL黑名单 |
设置URL黑名单 |
URL白名单 |
设置URL白名单 |
IP对象主要是定义包过滤规则里的源和目的IP。IP对象包含IP网段、IP地址段和IP组。IP组可以包含多个IP网段/IP地址段。
选择“访问控制->IP对象”进入IP对象编辑页面,可以对IP网段、IP地址段和IP组进行增加、编辑、删除等操作。
注意事项:如果IP网段在IP组里或者被包过滤规则使用,则无法删除。
注意事项:如果IP地址段在IP组里或者被包过滤规则使用,则无法删除。
注意事项:如果IP组被包过滤规则使用,则无法删除。
IP网段配置的详细步骤如下:
步骤1:选择“访问控制->IP对象->IP网段”进入IP网段管理页面。
图13-1 IP网段管理界面
步骤2:点击【增加】按钮,弹出增加IP网段对象界面。
图13-2 增加IP网段对象界面
步骤3:编辑IP网段参数。
表13-2 IP网段参数详细说明
功能 |
描述 |
IP对象名称 |
定义IP对象名称。 |
类型 |
定义IP对象类型,默认IP/MASK。 |
IP地址 |
定义IP地址。 |
子网掩码 |
定义IP子网掩码。 |
步骤4:点击【保存】按钮保存配置。
IP地址段配置的详细步骤如下:
步骤1:选择“访问控制->IP对象->IP地址段”进入IP地址段管理页面。
图13-3 IP 地址段管理界面
步骤2:点击【增加】按钮,弹出增加IP地址段对象界面。
图13-4 增加IP地址段对象界面
步骤3:编辑IP地址段参数。
表13-3 IP网段参数详细说明
功能 |
描述 |
IP对象名称 |
定义IP对象名称。 |
类型 |
定义IP对象类型,默认IP地址段。 |
开始IP |
定义开始IP。 |
结束IP |
定义结束IP。 |
步骤4:点击【保存】按钮保存配置。
IP组配置的详细步骤如下:
步骤1:选择“访问控制->IP对象->IP组”进入IP组管理页面。
图13-5 IP组管理界面
步骤2:点击【增加】按钮,弹出增加IP组界面。
图13-6 增加IP组界面
步骤3:设置IP组名称和IP对象。
提示:增加IP组时可以添加多个IP网段或IP地址段。
步骤4:点击【保存】按钮保存配置。
服务对象主要是定义包过滤规则里的协议部分,包括ICMP,TCP,UDP和端口号范围。服务组对象可以包含多个普通服务对象。
选择“访问控制->服务对象”进入服务对象编辑界面,可以对服务、服务组进行增加、编辑、删除等操作。
· 注意事项:如果服务对象在服务组里或者被包过滤规则使用,则无法删除。
· 注意事项:如果服务组被包过滤规则使用,则无法删除。
配置服务对象的详细步骤如下:
步骤1:选择“访问控制->服务对象->服务”进入服务管理界面。
图13-7 服务管理界面
步骤2:点击【增加】按钮,弹出增加服务对象界面。
图13-8 增加服务对象界面
步骤3:编辑服务参数。
表13-4 服务对象参数详细说明
功能 |
描述 |
服务名称 |
定义服务名称。 |
协议类型 |
定义协议类型,包括ICMP、TCP和UDP。 |
步骤4:点击【保存】按钮保存配置。
服务组配置的详细步骤如下:
步骤1:选择“访问控制->服务对象->服务组”进入服务组管理界面。
图13-9 服务组管理界面
步骤2:点击【增加】按钮,弹出增加服务组界面。
图13-10 增加服务组界面
步骤3:编辑服务组名称,选择所包含的服务对象。
步骤4:点击【保存】按钮保存配置。
时间对象主要是定义包过滤规则的生效时间段,默认是一直生效的。但是可以通过配置时间对象来定义规则在一周内和一天内的生效时间段。
时间对象的详细配置步骤如下:
步骤1:选择“访问控制->时间对象”进入时间对象管理界面。
图13-11 时间对象管理界面
步骤2:点击【增加】按钮,弹出增加时间对象界面。
图13-12 增加时间对象界面
步骤3:编辑时间对象参数。
表13-5 时间对象参数详细说明
功能 |
描述 |
名称 |
定义时间名称。 |
时间设置 |
定义时间段。 |
星期设置 |
定义星期设置。 |
步骤4:点击【保存】按钮保存配置。
注意事项:如果时间对象被包过滤规则使用,则无法删除。
包过滤规则使用定义的IP对象/组,服务/组,时间对象来定义具体的规则进行访问控制。
注意:包过滤规则只在串联部署时生效,虚拟web应用防火墙不支持此功能。
配置包过滤规则的详细步骤如下:
步骤1:选择“访问控制->包过滤规则”进入包过滤规则管理界面。
图13-13 包过滤规则管理界面
步骤2:点击【增加】按钮,弹出增加包过滤规则界面。
图13-14 增加包过滤规则界面
步骤3:设置包过滤规则参数,包过滤规则的配置参数说明见下表。
表13-6 包过滤规则配置参数说明
功能 |
描述 |
索引 |
自定义索引号。 索引号定义的是该规则在规则库的位置,最前面的先生效。新增时,如果索引为0或者为空,规则将插入到最后;编辑时,如果索引为0或者为空,生成索引为0的规则。如果是1则插入到最前面,其它规则的索引后移,以此类推。 |
是否启用 |
设置是否启用包过滤规则配置: 启用:启用包过滤规则配置。 禁用:禁用包过滤规则配置。 |
处理动作 |
设置对符合条件的数据包的处理动作: 丢弃:WAF不转发数据包。 允许:WAF转发数据包。 |
源IP |
数据包的源IP地址,可以在IP对象模块中定义。 |
目的IP |
数据包的目的IP地址,可以在IP对象模块中定义。 |
服务对象 |
数据包的传输协议,可以在服务对象模块中定义。 |
时间对象 |
数据包发送的时间段,可以在时间对象模块中定义。 |
步骤4:点击【保存】按钮保存配置。
SNAT是指在数据包从网卡发送出去的时候,把数据包中的源地址部分替换为指定的IP,这样接收方就认为数据包的来源是被替换的那个IP的主机。
DNAT,就是指数据包从网卡发送出去的时候,修改数据包中的目的IP,表现为如果想访问A,可是因为网关做了DNAT,把所有访问A的数据包的目的IP全部修改为B,那么,实际上访问的是B。
在地址转换中可以实现DNAT和SNAT的功能。
注意:地址转换只在串联部署时生效,如果WAF配置了代理,则代理优先。虚拟web应用防火墙不支持此功能。
地址转换配置的详细步骤如下:
步骤1:选择“访问控制->地址转换”进入地址转换管理页面。
图13-15 地址转换管理页面
步骤2:点击【增加】按钮,弹出增加地址转换界面。
图13-16 增加地址转换
步骤3:编辑地址转换参数。
地址转换的配置参数说明见下表。
表13-7 地址转换配置参数说明
功能 |
描述 |
索引 |
自定义索引号。 |
是否启用 |
设置是否启用地址转换配置: 启用:启用地址转换配置。 禁用:禁用地址转换配置。 |
处理方式 |
地址转换使用的方式: DNAT:接收数据包后,将数据包的目的IP转换成NAT后地址。 SNAT:发送数据包时,将数据包的源IP转换成NAT后地址。 |
源IP |
数据包的源IP地址,可以在IP对象模块中定义。 |
目的IP |
数据包的目的IP地址,可以在IP对象模块中定义。 |
服务对象 |
数据包的传输协议,可以在服务对象模块中定义。 |
时间对象 |
数据包发送的时间段,可以在时间对象模块中定义。 |
NAT后地址 |
地址转换后的IP地址。 |
NAT后端口 |
地址转换后的端口。 |
步骤4:点击【保存】按钮保存配置。
静态黑名单的配置步骤如下:
步骤1:选择菜单“访问控制->黑名单->黑名单”进入静态黑名单管理界面。
图13-17 黑名单管理界面
步骤2:点击【增加】按钮,弹出黑名单配置界面。
图13-18 黑名单配置界面
步骤3:配置黑名单参数,详细参数说明见下表。
表13-8 黑名单配置参数说明
功能 |
描述 |
类型 |
分为IP地址和IP网段。 |
检测方向 |
分为来源和目的: 来源:检测到数据包的源IP地址为设置的黑名单后执行防护操作。 目的:检测到数据包的目的IP地址为设置的黑名单后执行防护操作。 |
IP地址 |
黑名单的IP地址。 |
备注 |
自定义备注信息。 |
步骤4:点击【保存】按钮保存配置。
说明:配置了黑名单后,该黑名单ip将不能访问服务器。
导入静态黑名单的详细步骤如下:
步骤1:选择菜单“访问控制->黑名单->黑名单”进入静态黑名单管理界面。
步骤2:点击【导入】按钮,在弹出的导入对话框中选择本地文件。
图13-19 黑名单导入对话框
点击【下载】按钮下载黑名单模板,模板格式为Excel。
步骤3:在导入对话框中点击【导入】按钮导入黑名单。
选择“访问控制->黑名单->动态黑名单”进入动态黑名单界面,可以删除动态黑名单,解除封禁。
图13-20 动态黑名单管理界面
访问控制的白名单的配置步骤如下:
步骤1:选择菜单“访问控制->白名单”进入白名单管理界面。
图13-21 白名单管理界面
步骤2:点击【增加】按钮,弹出白名单配置界面。
图13-22 白名单配置界面
步骤3:配置白名单参数,详细参数说明见下表。
表13-9 白名单配置参数说明
功能 |
描述 |
类型 |
分为IP地址和IP网段。 |
检测方向 |
分为来源和目的: 来源:检测到数据包的源IP地址为设置的白名单后直接通过。 目的:检测到数据包的目的IP地址为设置的白名单后直接通过。 |
IP地址 |
白名单的IP地址。 |
备注 |
自定义备注信息。 |
步骤4:点击【保存】按钮保存配置。
导入白名单的详细步骤如下。
步骤1:选择菜单“访问控制->白名单”进入白名单管理界面。
步骤2:点击【导入】按钮,在弹出的导入对话框中选择本地文件。
图13-23 白名单导入对话框
点击【下载】按钮下载白名单模板,模板格式为Excel。
步骤3:在导入对话框中点击【导入】按钮导入白名单。
URL黑名单配置步骤如下:
步骤1:选择菜单“访问控制->URL黑名单”进入URL黑名单管理界面。
图13-24 URL黑名单管理界面
步骤2:点击【增加】按钮,弹出增加URL黑名单界面。
图13-25 增加URL黑名单界面
步骤3:配置URL黑名单参数,详细参数说明如下。
表13-10 URL黑名单配置参数说明
功能 |
描述 |
源IP |
URL黑名单的来源IP地址。 |
Web主机 |
URL黑名单的Web主机,支持格式ip、域名。详细配置参见8.4。 |
Url |
定义黑名单的Url。此处填写的是URL中的路径,格式为“/user/login”。请勿填写带有http/https、域名和ip。 |
备注 |
自定义备注信息。 |
步骤4:点击【保存】按钮保存配置。
URL白名单配置步骤如下:
步骤1:选择菜单“访问控制->URL白名单”进入URL白名单管理界面。
图13-26 URL白名单管理界面
步骤2:点击【增加】按钮,弹出增加URL白名单界面。
图13-27 增加URL白名单界面
步骤3:配置URL白名单参数,详细参数说明如下。
表13-11 URL白名单配置参数说明
功能 |
描述 |
源IP |
URL白名单的来源IP地址。 |
Web主机 |
URL白名单的Web主机。 |
Url |
仅支持以下形式的URL:/test/test.php 注:不支持带参数的URL。 |
备注 |
自定义备注信息。 |
步骤4:点击【保存】按钮保存配置。
· 需要使用网页防篡改的功能,一定要将WAF版本升级到E6203及之后版本,否则网页防篡改功能使用受限。
· 网页防篡改站点需要申请授权,一个数量授权允许防护一个站点,一个站点基于IP地址+主机名作为唯一性校验,同一个站点可以设置多个防护目录。
网页防篡改是一种防止攻击者修改Web页面的技术,可以有效的阻止攻击者对网站内容进行破坏,尤其是在攻击者突破WAF的防护后,依然可以有效的保护网站。
当服务器端安装防篡改客户端并且正确配置以后,如果该服务器没有在WAF上配置,那么WAF也可以探测到该服务器。
选择“网页防篡改->防护服务器探测”进入防护服务器探测页面,点击【刷新】按钮,如果有未配置的服务器将会显示在服务器列表中,包括服务器主机名、IP地址、操作系统类型和版本号。选择需要配置的服务器,点击【生成配置】可以在弹出的配置对话框中输入参数直接配置防护服务器。
图14-1 防护服务器探测界面
增加网页防篡改配置的方式有两种:
一种使用防护服务器探测功能探测到服务器后“生成配置”,详见章节14.1 。
一种直接在防护服务器配置页面中点击【增加】,在弹出的对话框中手动配置,详细步骤如下:
步骤1:选择“网页防篡改->防护服务器配置”进入防护服务器配置管理页面。
图14-2 防护服务器配置管理界面
步骤2:点击【增加】按钮,弹出防护服务器配置界面。
图14-3 防护服务器配置界面
步骤3:配置防篡改参数。
1)在第一步配置界面(见图14-3)中配置防护服务器参数,详细说明见下表。
表14-1 防护服务器参数配置
配置项 |
描述 |
Web名称 |
自定义Web名称。 |
主机名 |
生成配置:默认显示探测到的防篡改服务器主机名。 手工配置:自定义防篡改服务器配置的主机名,但是不能与其它主机名重复。 |
IP地址 |
生成配置:默认显示探测到的防篡改服务器(Web服务器与防篡改服务器在同一主机上)的IP地址。 手工配置:自定义Web服务器的IP地址。 |
工作模式 |
防护模式:防护网页篡改攻击记录日志 监控模式:监控网页篡改攻击但不进行防护,记录日志 |
启用 |
是否启用网页防篡改配置: 是:启用网页防篡改配置; 否:禁用网页防篡改配置。 |
2)点击【下一步】进入第二步配置界面。
图14-4 防护服务器第二步配置界面
在第二步配置界面中配置参数,详细配置说明见下表。
表14-2 防护服务器参数配置
配置项 |
描述 |
操作系统类型 |
可以是Windows或Linux,和防篡改服务器所在的系统一致。 |
Web根目录 |
要防护的网站根目录,需要填写绝对路径。 |
例外目录/文件 |
添加的目录/文件将不会被保护。 |
例外文件类型 |
可以是*.txt、*.xml等文件类型,这些文件类型将不会被保护。 |
例外进程 |
Windows系统下有效,这些进程可以对Web根目录下的文件进行修改,一般是浏览器或杀毒软件。 |
步骤4:点击【完成】按钮保存配置。
选择“网页防篡改->防护服务器状态”可以查看防护服务器状态,当“状态”显示为已连接时即为配置成功。
图14-5 防护服务器状态界面
选择“网页防篡改->防护客户端下载”进入下载页面,可以根据需要下载安装在不同操作系统中的网页防篡改客户端。
图14-6 防护客户端下载界面
windows防护端因为替换了代码签名,对windows server 2008 R2系统有要求,windows Server 2008 R2版本没有打相应微软要求的安全补丁会导致安装驱动提示错误。
①补丁SP1:https://www.microsoft.com/zh-cn/download/details.aspx?id=5842。
②补丁33929:
32位系统补丁:http://www.wosign.com/download/Windows6.1-KB3033929-x86.zip。
64位系统补丁:http://www.wosign.com/download/Windows6.1-KB3033929-x64.zip。
先要求打了SP1的安全补丁,再要求打33929补丁,如果系统本身已经是SP1版本的情况下,直接打33929补丁即可。
扫描器的功能就是扫描目标网站是否存在Web漏洞。
本章主要描述扫描器的常用操作内容和方法,具体内容如下表。
表15-1 扫描器常用操作
功能 |
描述 |
扫描任务 |
增加、编辑、删除扫描任务信息。 |
扫描任务状态 |
查看扫描任务状态。 |
扫描任务的详细配置步骤如下:
步骤1:选择“扫描器->扫描任务”进入扫描任务管理界面。
图15-1 扫描任务管理界面
步骤2:点击【增加】按钮,弹出增加扫描任务界面。
步骤3:编辑扫描任务参数。
扫描类型分为手工扫描和自动扫描。
手工扫描任务的配置界面见图15-2。
自动扫描任务的配置界面见图15-2。
图15-3 自动扫描任务配置
配置扫描任务参数说明见下表。
表15-2 扫描任务参数配置
配置项 |
描述 |
扫描任务名称 |
自定义扫描任务名称。 |
扫描类型 |
分为手工扫描和自动扫描两种类型: 手工扫描:手动启动扫描任务。 自动扫描:根据设置的扫描周期定期自动扫描。 |
URL |
需要进行扫描的完整URL,包含“http://”或者“https://”。 |
用户名 |
当扫描的URL为需要登录的管理网站时,输入登录用户名。 |
密码 |
当扫描的URL为需要登录的管理网站时,输入登录密码。 |
深度 |
扫描网站时,可以定义扫描深度,深度越大,扫描的网站页面数越多,范围在1-10间。 |
扫描周期 |
选择的扫描类型为自动扫描时,可以选择扫描周期:每天、每周、每月。 |
每天(小时) |
选择的扫描类型为自动扫描时,设置扫描周期在每天的几时几分自动进行扫描。 |
每天(分钟) |
选择的扫描类型为自动扫描时,设置扫描周期在每天的几时几分自动进行扫描。 |
注:扫描器正常启用的前提是WAF能正常访问被扫描的URL。
步骤4:点击【保存】按钮保存配置。
选择“扫描器->扫描作业状态”可以查看扫描作业状态详细信息。
图15-4 扫描任务状态
选择任务,点击“细节”或双机,可查看扫描结果。
图15-5 细节查看
选择任务,点击“导出”,可导出扫描任务详细信息报表。
图15-6 导出报表
本章主要介绍了当前系统日志的配置及查看。
图16-1 日志系统配置和查看
功能 |
描述 |
备份日志 |
介绍日志的手工备份及自动备份的方法。 |
自动导出 |
介绍日志自动导出的方法。 |
Syslog配置 |
介绍Syslog配置的方法。 |
审计日志 |
介绍审计日志的详细查看使用方法。 |
访问日志 |
介绍访问日志的详细查看使用方法。 |
攻击日志 |
介绍攻击日志的详细查看使用方法。 |
DDoS日志 |
介绍DDoS日志的详细查看使用方法。 |
防篡改日志 |
介绍防篡改日志的详细查看使用方法。 |
安全情报日志 |
介绍安全情报日志的详细查看使用方法。 |
BGP路由牵引日志 |
介绍BGP路由牵引日志的详细查看使用方法。 |
生成报表 |
介绍生成报表的方法。 |
报表定期导出 |
介绍报表定期导出的方法。 |
备份日志是把日志备份在数据库中,主要分为手工备份和自动备份。导出的备份文件重新命名以防后续忘记该备份的文件用途。
查看备份日志:
选择“日志系统->备份日志”,进入备份日志管理界面,可以看到已备份的文件。
图16-2 备份日志管理界面
手工备份:
选择“日志系统->备份日志”,进入备份日志界面点击【手工备份】按钮,会备份一个当前时间点名称的db文件并自动弹出备份成功提示。
图16-3 手工备份
自动备份:
选择“日志系统->备份日志”,进入备份日志界面。
点击【自动备份】按钮,弹出配置自动备份框。
编辑自动备份的参数:是否启用自动备份、自动备份周期(每月、每周、每天)、是否自动清除备份文件。
点击【保存】按钮保存配置。
图16-4 自动备份
图16-5 配置自动备份详细参数说明
功能 |
描述 |
启用 |
勾选,启用日志自动备份功能。 不勾选,不启用日志自动备份功能。 |
自动备份周期 |
定义日志自动备份周期。 |
自动清除 |
自动备份文件超过128个时,系统会自动清除前面的备份文件,页面上只展示128个备份文件 |
备份日志恢复:
选择“日志系统->备份日志->选中一个文件->恢复”,进入备份日志管理界面。
选中一个备份文件。
图16-6 备份日志界面
点击【恢复】按钮弹出备份日志恢复确认界面。
图16-7 备份日志恢复
在备份日志恢复确认界面中点击【恢复】按钮确认将配置恢复至备份点。
注意:选中多个文件进行备份日志恢复的时候默认为从上到下的最后一个文件进行恢复。
备份日志删除:
选择“日志系统->备份日志”,进入备份日志界面。
选择一个或多个备份文件点击【删除】按钮后弹出确认界面。
图16-8 备份日志删除
点击【确认】删除日志。
备份文件导出:
选择“日志系统->备份日志”,进入备份日志界面。
选中备份文件点击【导出】按钮,导出db文件到本地。
图16-9 备份文件导出
自动导出主要是用来自动导出配置模块的日志备份文件,就是把数据库中的日志导出来。详细配置方法如下:
步骤1:选择“日志系统->自动导出”进入自动导出配置管理界面。
图16-10 自动导出配置
表16-1 配置详细参数
配置项 |
描述 |
启用 |
勾选:启用配置 不勾选:禁用配置 |
导出日志类型 |
日志类型包括攻击日志、DDoS日志、安全情报日志、网页防篡改日志、访问日志、审计日志、BGP路由牵引日志 |
自动导出周期 |
每天:每天06:25开始备份 每周:周日06:47开始备份 每月:1号06:52开始备份 |
步骤3:点击【保存】按钮保存配置。
步骤4:选中备份文件,点击【导出】按钮导出备份文件。
步骤5:选中备份文件,点击【删除】按钮删除备份文件。
Syslog配置主要是配置发送远程Syslog数据。详细配置方法如下:
步骤1:选择“日志系统->Syslog配置”进入Syslog配置管理界面。
图16-11 Syslog配置
步骤2:配置syslog参数,参数配置说明见下表。
表16-2 Syslog参数配置说明
配置项 |
描述 |
启用 |
勾选:启用配置 不勾选:禁用配置 |
本地存储 |
勾选:启用本地存储功能 不勾选:不启用本地存储功能 |
数据格式类型 |
Syslog数据的格式类型,包括字符串格式和JSON格式 |
日志类型 |
可以发送的日志类型,包括攻击日志、访问日志、DDoS日志、安全情报日志、流量日志、防篡改日志。 |
Syslog服务器IP |
配置接收数据的Syslog服务器IP地址 |
Syslog服务器端口 |
配置接收数据的Syslog服务器端口号 |
注意:WAF需要与syslog服务器连通。
步骤3:点击【保存】按钮保存配置。
审计日志主要用来记录操作员的登录方式、源IP地址、操作内容以及进行该操作内容的具体时间,系统支持分页查看,并按照时间先后自动排序。
分页查看审计日志:
选择“日志系统->审计日志”,进入审计日志界面,可翻动页数查询。
图16-12 审计日志
点击【每页显示】按钮可调整每页显示日志条数。
条件查询:
点击【条件】按钮更精确的配置查询审计日志。
图16-13 条件查询
表16-3 日志条件查询参数配置说明
配置项 |
描述 |
开始时间 |
定义日志查询开始时间。 |
结束时间 |
定义日志查询结束时间。 |
源IP |
定义日志查询IP来源。 |
操作员角色 |
定义日志查询操作员角色,包括任意、CLI管理员、系统管理员、审计管理员和账户管理员。 |
操作员 |
定义日志查询操作员,系统中所有用户都可进行查询。 |
登录方式 |
定义登录方式,包括任意、SHELL和WEB。 |
模块标识 |
定义功能模块,为系统中所有功能模块。 |
点击【查询】按钮可对符合条件的审计日志进行查询。
点击【重置】按钮可对审计日志查询条件进行重置。
查看审计日志细节:
选择“日志系统->审计日志”,选择一个文件双击或点击【细节】按钮查看日志详细信息,包括操作时间、操作员角色、操作员、登录方式、源IP、模块标识、日志级别和操作内容等信息。
图16-14 审计日志细节
清空审计日志:
点击【清空】按钮即可删除所有审计日志。
审计日志导出:
选择“日志系统->审计日志->导出”,导出审计日志到本地。
图16-15 审计日志导出
访问日志主要用来记录访问发生的日期和时间,源IP和源端口,站点域名/IP,目的URL,方法,次数等。系统支持分页查看,并按照时间先后自动排序。注意:对于现网流量大,不建议开启访问日志,可能会达到数据库写入速度极限,日志过多存在日志记不过来情况。
分页查看访问日志:
选择“日志系统->访问日志”,进入访问日志界面,可翻动页数查询。
图16-16 访问日志界面
条件查询:
点击【条件】按钮更精确的配置查询访问日志。
图16-17 条件查询
表16-4 访问日志条件查询参数配置说明
配置项 |
描述 |
开始时间 |
定义日志查询开始时间 |
结束时间 |
定义日志查询结束时间。 |
源IP |
定义日志查询IP来源。 |
源端口 |
定义访问日志源端口。 |
目的IP |
定义访问日志查询目的IP。 |
目的URL |
定义访问日志查询目的URL。 |
方法 |
定义访问日志查询访问方法。 |
设备类型 |
定义访问设备类型。 |
设备操作系统 |
定义访问设备操作系统。 |
客户端类型 |
定义访问客户端类型。 |
点击【查询】按钮可对符合条件的审计日志进行查询。
点击【重置】按钮可对审计日志查询条件进行重置。
查看访问日志细节:
选择“日志系统->访问日志”,选择一个文件双击或点击【细节】按钮查看日志详细信息,包括访问时间、访问者、访问目标、访问方法、数据大小、国家、省份、城市等信息。
图16-18 访问日志细节
清空访问日志:
点击【清空】按钮即可删除所有访问日志。
访问日志导出:
选择“日志系统->访问日志->导出”,导出访问日志到本地。注意:导出的日志与WEB界面展示不一样,会对展示的日志字段进行整合,更方便用户阅读,不会对使用产生影响。
图16-19 访问日志导出
访问日志删除:
选择一条或多条访问日志,点击【删除】按钮即可删除访问日志。
Web访问日志统计可以根据时间、服务器、域名等查询条件显示Web访问概况和Web访问趋势,如图所示,设置查询条件后点击【查询】按钮即可显示对应的统计信息。
图16-20 Web访问日志统计
攻击日志主要用来记录各类攻击发生的日期和时间,源IP,目的 IP,目的URL,方法,严重级别,攻击类型,规则类型,处理动作和次数。系统支持分页查看,并按照时间先后自动排序。
分页查看攻击日志:
选择“日志系统->攻击日志”,进入攻击日志界面,可翻动页数查询。
图16-21 攻击日志界面
点击【条件】按钮更精确的配置查询攻击日志。
图16-22 条件查询
查看攻击日志细节:
选择“日志系统->攻击日志”,选择一个文件双击或点击【细节】按钮查看日志详细信息,包括拦截时间、攻击者、攻击目标、攻击类型、攻击域、严重级别、Web防护策略、Web防护规则、处理动作、CDN IP、XFF IP、国家、省份、城市、设备类型、设备操作系统、客户端类型等信息。点击【HTTP详细信息】查看HTTP详细信息,包括HTTP请求方法、目的URL、参数、HTTP请求头部、HTTP请求体等。点击【规则详细】可以查看规则号、规则名称、规则类型和描述。注意:对于客户端POST请求体内容较大的,在WEB页面不适合展示,此为正常现象。
图16-23 攻击日志详细信息
图16-24 攻击日志HTTP详细信息
图16-25 攻击日志规则详细信息
选择一条或多条攻击日志,点击【删除】按钮即可删除攻击日志。
清空攻击日志:
点击【清空】按钮即可删除所有攻击日志。
导出攻击日志:
选择“日志系统->攻击日志->导出”,导出攻击日志到本地。注意:导出的日志与WEB界面展示不一样,会对展示的日志字段进行整合,更方便用户阅读,不会对使用产生影响。
图16-26 攻击日志导出
排除规则:
在攻击日志细节中点击【排除规则】系统自动添加目的URL为该条规则的例外URL对象,规则排除后WAF不再对目的URL进行该条规则的匹配检测。
注:排除规则仅支持HTTP协议校验规则和特征防护规则。
Web攻击日志统计可以根据时间、服务器、域名等查询条件显示Web攻击概况、Web攻击趋势、Web攻击类型、Web风险纪要,如图所示,设置查询条件后点击【查询】按钮即可显示对应的统计信息。
图16-27 Web攻击日志统计
DDoS日志主要用来记录DDoS攻击发生的日期和时间、入侵IP、入侵端口、被攻击IP、被攻击端口、攻击类型、处理动作和次数,系统支持分页查看,并按照时间先后自动排序。
分页查看DDoS日志:
选择“日志系统->DDoS日志”,进入DDoS日志界面,可翻动页数查询。
图16-28 DDoS日志
条件查询:
点击【条件】按钮更精确的配置查询DDoS日志。
图16-29 条件查询
查看DDoS日志细节:
选择“日志系统->DDoS日志”,选择一个文件双击或点击【细节】按钮查看日志详细信息,包括拦截时间、攻击者、攻击目标、CDN IP、XFF IP、Host、Url、处理动作、严重级别、攻击类型等信息。
图16-30 DDoS日志细节
清空DDoS日志:
点击【清空】按钮即可删除所有DDoS日志。
删除DDoS日志:
选中DDoS日志,点击【删除】按钮可删除DDoS日志。
DDoS日志导出:
选择“日志系统->DDoS日志->导出”,导出DDoS日志到本地。
图16-31 DDoS日志导出
DDoS攻击日志统计可以根据时间、服务器等查询条件显示DDoS攻击概况、DDoS攻击趋势、DDoS攻击类型、DDoS风险纪要,如图所示,设置查询条件后点击【查询】按钮即可显示对应的统计信息。
图16-32 DDoS日志统计
防篡改日志主要用来记录网页防篡改发生的日期和时间、Web名称、设备名称、进程名、文件名和攻击类型,系统支持分页查看,并按照时间先后自动排序。
分页查看防篡改日志:
选择“日志系统->防篡改日志”,进入防篡改日志界面,可翻动页数查询。
图16-33 防篡改日志
点击【条件】按钮可以精确的配置查询防篡改日志。
图16-34 防篡改日志条件查询
查看防篡改日志细节:
选择“日志系统->防篡改日志->选择一个文件双击或点击【细节】按钮”查看日志详细信息,包括Web名称、攻击类型、设备名称、进程名、文件名等信息。
图16-35 防篡改细节
清空防篡改日志:
点击【清空】按钮即可删除所有防篡改日志。
防篡改日志导出:
选择“日志系统->防篡改日志->导出”,导出防篡改日志到本地。
图16-36 防篡改日志导出
由于EXCEL打开的CSV文件默认是ANSI编码,可能会出现导出的防篡改日志文件出现乱码。请在CSV文件上右键选择使用记事本打开,执行“文件-另存为”,编码选择ANSI,其它选项保持默认不变,保存文件。保存完毕后,用EXCEL打开新保存的CSV文件。
网页防篡改日志统计可以根据时间查询显示网页防篡改攻击概况、网页防篡改攻击类型、网页防篡改风险纪要,如图所示,设置查询条件后点击【查询】按钮即可显示对应的统计信息。
图16-37 网页防篡改日志统计
安全情报日志主要用来记录触发安全情报中心规则的攻击发生的日期和时间、源IP、目的IP、协议类型、目的端口、攻击类型、处理动作、严重级别和次数,系统支持分页查看,并按照时间先后自动排序。
分页查看安全情报日志:
选择“日志系统->安全情报日志”,进入攻击日志界面,可翻动页数查询。
图16-38 安全情报日志
条件查询:
点击【条件】按钮更精确的配置查询攻击日志。
图16-39 安全情报日志查询
清空安全情报日志:
点击【清空】按钮即可删除所有情报日志。
安全情报日志导出:
选择“日志系统->安全情报日志->导出”,导出当前查询条件下所有安全情报日志到本地。
图16-40 安全情报日志导出
安全情报日志统计可以根据时间、服务器等查询条件显示安全情报概况、安全情报攻击趋势等,如图所示,设置查询条件后点击【查询】按钮即可显示对应的统计信息。
图16-41 安全情报日志统计
BGP路由牵引日志主要记录实际的路由牵引环境的撤销和牵引操作,同时包括日期和时间、处理动作、路由策略目的IP、邻居路由IP地址。
分页查看BGP路由牵引日志:
选择“日志系统->BGP路由牵引日志”,进入BGP路由牵引日志界面,可翻动页数查询。
图16-42 BGP路由牵引日志
条件查询:
点击【条件】按钮可以精确的配置查询BGP路由牵引日志。
图16-43 日志查询
清空BGP路由牵引日志:
点击【清空】按钮即可立即清空BGP路由牵引日志。
删除BGP路由牵引日志:
选中BGP路由牵引日志,点击【删除】按钮可删除BGP路由牵引日志。
BGP路由牵引日志导出:
选择“日志系统->BGP路由牵引日志->导出”,导出BGP路由牵引日志到本地。
图16-44 日志导出
选择“日志系统->生成报表”,进入生成报表界面,输入用户自定义表头,设置报表类型为PDF、HTML、或者WORD,设置开始和结束时间,勾选设置报表模块,点击【保存】按钮后,下方会出现生成的报表,可以进行导出和删除。
图16-45 生成报表
报表定期导出主要是用来自动导出报表文件。详细配置方法如下:
步骤1:选择“日志系统->报表定期导出”进入报表定期导出配置管理界面。
图16-46 报表定期导出
表16-5 配置详细参数
配置项 |
描述 |
用户自定义表头 |
自定义报表表头。 |
报表类型 |
报表类型包括PDF/WORD/HTML。 |
导出周期 |
每天:每天06:25开始导出。 每周:周日06:47开始导出。 每月:1号06:52开始导出。 |
报表模块 |
报表模块包括:业务统计、系统信息、设备环境智能统计、WEB攻击统计、DDoS攻击统计、防篡改攻击统计、情报中心统计。 |
服务器 |
包括配置的所有服务器,可以任意勾选进行报表统计 |
启用 |
勾选:启用自动导出报表配置。 不勾选:禁用自动导出报表配置。 |
步骤3:点击【保存】按钮保存配置。
图16-47 报表定期导出显示
步骤4:点击【导出】按钮导出报表
步骤5:点击【删除】按钮删除报表。
系统诊断提供了各种使用的工具帮助定位问题。
本章介绍了诊断工具的使用方法,利用远程连接取得技术支持的系统诊断。
表17-1 系统诊断介绍
功能 |
描述 |
远程支持 |
可以发送给支持人员请求远程支持。 |
诊断工具 |
介绍tcpdump数据包下载、Ping工具、Traceroute工具。 |
当系统出现问题时,可以使用下面页面产生诊断信息,然后发送给技术支持人员进行分析。
图17-1 远程支持
选择“诊断工具->tcpdump数据包下载”进入tcpdump数据包下载界面,可以在设置协议类型、数据条目、接口和主机ip/域名等参数后,点击【启动】按钮下载数据包,点击【停止】按钮停止下载数据包,下载完毕的数据包会给出导出提示,可以根据提示信息导出数据包。
图17-2 tcpdump数据包下载界面
表17-2 tcpdump参数说明
功能 |
描述 |
协议类型 |
定义需要抓包的数据协议类型。 |
数据条目 |
定义需要抓包的数据条目。 |
接口 |
定义需要抓包的数据接口。 |
主机IP/域名 |
定义需要抓包的主机IP/域名。 |
注意:目前不支持IPv6抓包
选择“诊断工具->ping工具”进入ping工具界面,可以在设置ip/域名,次数,结果等参数,点击【启动】按钮开始Ping测试,点击【停止】按钮停止ping测试。就可以测试网络之间是否连通。
图17-3 ping工具界面
选择“诊断工具->Traceroute工具”进入Traceroute工具界面,可以在设置ip/域名,点击【启动】按钮开始Traceroute测试,点击【停止】按钮停止Traceroute测试。它能显示出数据包从本地机到达目标机时经过的所有路由器。
图17-4 Traceroute 工具界面
HA包含VRRP和同步功能,本节主要描述VRRP和同步的配置,目前WAF仅支持主备模式HA。
硬件WAF下,透明反向代理、旁路反向代理模式支持HA,虚拟WAF下旁路反向代理模式支持HA。
· 此模块下VRRP配置和配置同步是两个不同的功能模块,没有关联性。
随着Internet的迅猛发展,基于网络的应用逐渐增多。这就对网络的可靠性提出了越来越高的要求。斥资对所有网络设备进行更新当然是一种很好的 可靠性解决方案。但本着保护现有投资的角度考虑,可以采用廉价冗余的思路,在可靠性和经济性方面找到平衡点。
虚拟路由冗余协议就是一种很好的解决方案。在该协议中,对共享多存取访问介质(如以太网)上终端IP设备的默认网关(Default Gateway)进行冗余备份,从而在其中一台路由设备宕机时,备份路由设备及时接管转发工作,向用户提供透明的切换,提高了网络服务质量。
虚拟路由冗余协议 (Virtual Router Redundancy Protocol,简称VRRP)可以很好的避免静态指定网关的缺陷。 在VRRP协议中,有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器,是物理实体,虚拟路由器是指VRRP协议创建的,是逻辑概念。一组VRRP路由器协同工作,共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定 IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器和备份路由器,一个VRRP组中有且只有一台处于主控 角色的路由器,可以有一个或者多个处于备份角色的路由器。VRRP协议是选择策略从路由器组中选出一台作为主控,负责ARP响应和转发IP数据包,组中的其它路由器作为备份的角色处于待命状态。当由于某种原因主控路由器发生故障时,备份路由器能在几秒钟的时延后升级为主路由器。由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明的。
VRRP实例的详细配置步骤如下:
步骤1:选择“HA管理->VRRP配置->VRRP实例”进入VRRP实例配置管理页面。
图18-1 VRRP实例配置管理界面
步骤2:点击【增加】按钮,弹出VRRP实例编辑界面。
图18-2 VRRP实例编辑界面
步骤3:编辑VRRP实例参数。
第一步详细配置说明见下表。
表18-1 VRRP实例参数详细配置说明
配置项 |
描述 |
冗余ID |
自定义ID号。 |
绑定接口 |
物理链路接口所在的网桥接口。 |
优先级 |
当主备状态相同时根据优先级来确定主备状态,数值越大优先级越高,优先级高的为主设备。 |
状态 |
主,主设备,当主设备发生故障时自动切换至备设备。 备,备设备。 |
通告时长 |
主备设备相互间通告服务器状态的间隔时长。 |
设备在切换到master(主)状态后,延迟进行gratuitous ARP请求延迟时长。 |
|
启用 |
是否启用实例配置。 |
完成第一步的编辑后点击【下一步】进入IP地址编辑页面。
图18-3 IP地址编辑界面
点击【增加】按钮,弹出IP配置页面,编辑IP地址和子网掩码后点击【保存】按钮即可增加VRRP实例的虚拟IP地址。该IP地址可以作为代理服务器的代理IP(代理服务器的配置方法参见9.4)。
注:为了实现HA功能,必须为每个VRRP实例配置虚拟IP。
图18-4 IP配置界面
完成第二步的编辑后点击【下一步】进入物理链路接口配置界面。
图18-5 物理链路接口配置界面
点击【增加】按钮,弹出物理链路绑定界面,在界面中可以设置VRRP实例对应的物理链路接口。注意:
1、若物理链路接口为聚合口时,则需要加入聚合口中包含的物理接口。
2、物理链路接口是VRRP实例的跟踪接口,当跟踪接口Down掉后,VRRP实例就进行状态切换。若加入为聚合口,需要确保所有聚合口均为up状态。
图18-6 物理链接绑定界面
步骤4:点击【完成】按钮保存VRRP实例配置。
通过VRRP组的设置,可以实现组内的任意一个VRRP实例发生切换,组内其它的VRRP实例也进行切换。
VRRP组的详细配置步骤如下:
步骤1:选择“HA管理->VRRP配置->VRRP组”进入VRRP组配置管理页面。
图18-7 VRRP组配置管理界面
步骤2:点击【增加】按钮,弹出增加VRRP组界面。
图18-8 VRRP组编辑界面
步骤3:编辑VRRP组参数。
VRRP组参数详细配置说明见下表。
表18-2 VRRP组参数配置说明
配置项 |
描述 |
VRRP组名称 |
自定义VRRP组名称。 |
启用 |
启用:启用VRRP组配置。 禁用:禁用VRRP组配置。 |
VRRP实例列表 |
设置VRRP组包含的VRRP实例,组内的实例可以实现状态切换。 |
步骤4:点击【保存】按钮保存VRRP组配置。
步骤5:点击【应用】按钮使所有启用的VRRP组生效。
选中VRRP组点击【删除】按钮可删除VRRP组配置。
在冗余的网络环境中可以将WAF的所有配置参数同步至另外一台WAF,使用管理口进行配置同
注意:
1、配置同步为单独使用功能,与上面VRRP配置无关
2、使用非管理口进行配置同步也可以,只要保证三层路由可达即可,本案例以管理口进行配置同步为例
3、不支持IPv6地址的配置同步
详细配置步骤如下:
图18-9 配置同步管理界面
图18-10 新增配置同步规则界面
第一步:编辑规则名称和对端设备IP地址,主要是对端通信的IP的地址,保持路由可达,这里以183.1.2.7为例。
第二步:编辑同步对端设备网桥名称。
图18-11 远端网桥接口名称配置
表18-3 网桥接口名称配置说明
配置项 |
描述 |
本地网桥名称 |
可以在“网络管理-网络接口-网桥接口中”查看。 |
远端网桥名称 |
配置同步后,可以在对端设备“网络管理-网络接口-网桥接口中”查看 |
第三步:配置同步对端网桥接口IP地址。
图18-12 网络接口IP配置
表18-4 网桥接口IP配置说明
配置项 |
描述 |
本地网桥IP地址 |
可以在“网络管理-网络接口-网桥接口中”查看。 |
远端网桥IP地址 |
配置同步后,可以在对端设备“网络管理-网络接口-网桥接口中”查看 |
图18-13 远程管理IP配置(远程管理Ip的作用是允许哪些IP可以管理访问WAF)
表18-5 远程管理IP配置说明
配置项 |
描述 |
本地远程管理IP地址 |
可以在“系统配置-远程管理”查看。 |
同步远程管理IP地址 |
配置同步后,可以在对端设备“系统配置-远程管理”查看。 |
第五步:编辑同步后代理服务器IP地址。
图18-14 代理服务器IP配置
表18-6 代理服务器IP配置说明
配置项 |
描述 |
本地ip地址 |
可以在本地“服务器管理-代理服务器管理”中查看。 |
远端ip地址 |
配置同步后,可以在对端设备“服务器管理-代理服务器管理”中查看。 |
注:配置同步需两台WAF必须同版本同型号且物理接口相同。
l 同步过来的网桥接口名称及IP地址
l 同步过来的远程管理IP地址
l 同步过来的代理服务器配置(查看http代理服务器和https代理服务器)
附录 A 使用指导和限制
A.1 各组网模式下的使用指导和限制:
1. 旁路反向代理部署
(1) 需要先在网桥上配置反代IP,确保反代IP已正确配置后再配置代理服务器。否则导致代理服务器配置不生效。
(2) 普通服务器配置中,客户端IP还原必须选择“否”,否则导致客户端无法正常访问反代地址,返回“502 Bad Gateway”。
(3) 支持防护HTTPS服务器。
(4) IPV6功能仅在此模式下支持。
(5) 串联反向代理部署逻辑上属于旁路反向代理部署。
2. 旁路检测部署
仅支持HTTP协议校验规则、HTTP访问控制规则、特征库匹配、防跨站请求伪造 、上传文件规则、下载文件规则和敏感词防护。
3. 旁路阻断部署
仅支持HTTP协议校验规则、HTTP访问控制规则、特征库匹配、防跨站请求伪造 、上传文件规则、下载文件规则和敏感词防护。无法100%阻断,阻断效果受组网环境影响较大。
4. 透明反向代理部署
(1) 需要先在网桥上配置代理IP,无需配置代理服务器。
(2) 普通服务器配置中,客户端IP还原必须选择“否”,否则导致客户端无法正常访问反代地址,返回“502 Bad Gateway”。
(3) 支持防护HTTPS服务器。
5. 透明代理部署
普通服务器配置中,客户端IP还原必须选择“是”,WAF网桥上无需配有能跟客户端、服务器通信的IP。
6. 透明流部署
规则处理动作不支持重定向。防护效果不如代理模式。
文件下载不支持文件类型检测。
A.2 VWAF使用限制
· 仅支持旁路反代、旁路检测及旁路阻断三种部署模式,无特殊情况不推荐使用旁路检测和旁路阻断模式。
· 不支持网页防篡改。
· 不支持访问控制中的包过滤、地址转换。
· 不支持网络管理中的BGP路由牵引、SNAT回注。
· 硬件资源不足时,升级VWAF会存在失败的情况。
· 新建VWAF时,一定要只加入一块网卡作为管理网,等到系统安装完毕且升级到最新版本之后,才能新增业务网卡(新增业务网卡需要重启虚拟WAF),否则配置不当可能会引起环路导致网络崩溃。
· 一个网桥下只允许加入一个port口,存在多个port口情况下请新增网桥,否则配置不当可能会引起环路导致网络崩溃。
· VMware平台,由于Linux机制问题,vmxnet3网卡在Linux环境下始终显示工作速率是10000M,导致VWAF接口速率显示也是10000M。
· 不支持安装castools。
· 不支持克隆。
A.3 LicenseServer使用限制
· 如果VWAF上存在未使用的续授权包,则无法进行续授权操作。
· 已启用的特征库可进行回收,回收后时间倒计时直到0,未启用的特征库回收后,时间不变。
· VWAF 8小时内未收到LicenseServer心跳信息,则授权置为无效。
· 设备导入正式授权后,除正在使用的临时授权包以外,其它临时授权会被全部清除。若回收正在使用的临时授权包,则回收之后会被立即清除,设备上只保留正式授权。
A.4 负载均衡功能限制
· 仅支持负载HTTP,不支持HTTPS。
· 负载均衡功能仅在旁路反向代理模式和透明代理模式下支持。
A.5 HA管理的使用限制
· VRRP实例配置主/备状态和优先级时,必须遵循优先级高者为主机的原则配置,否则以优先级高者为实际主机。
· 配置VRRP组后需点击“应用”按钮,否则配置不生效。
· 不支持自动同步配置到备机,因此,主机的配置一旦发生改变需要及时将配置同步到备机,配置同步需要点击“应用”按钮方能生效。
· 仅支持旁路反向代理部署和透明反向代理部署。
· 仅支持主备部署。
· 不支持IPv6。
A.6 网页防篡改的使用限制:
· E6203之前版本无网页防篡改功能。升级E6203版本后,系统默认携带两个防篡改授权,1个windows授权和1个linux授权。
· E6203版本发布前,现网已完成首次激活设备升级到E6203版本后,防篡改授权数量不在页面显示,导入扩容激活申请的防篡改授权后,页面显示授权数量(与申请的授权数量一致)。E6203版本发布前现网未进行首次激活的设备,导入首次激活申请的授权,网页防篡改功能需升级到E6203版本后,才能正常使用。
· 不支持Windows Server 2008 32位操作系统。
· Windows Server 2008 R2 64位操作系统需要在Windows官网升级补丁,先安装SP1的安全补丁,再安装KB3033929-x64补丁,如果系统本身已经是SP1版本的情况下,直接安装KB3033929-x64补丁即可。
· 如需在windows2003下使用网页防篡改防护,需使用E6203P01版本以及之前版本的插件即可。
A.7 其它方面的使用限制
· Cookie加密和Cookie加固功能仅代理模式下生效。
· 邮件告警含有中文字符,部分邮箱存在日志乱码现象,通常与邮件服务器使用的编码格式有关,建议将编码格式设置成UTF-8。
· 系统配置-远程管理中,所配置的是管理WAF的客户端IP白名单,请谨慎编辑和删除,否则将导致无法正常访问WAF管理端。
· DDoS防护策略和Web防护规则下的扫描防护规则的内置处理动作是封禁。
· 自定义爬虫防护规则/扫描防护规则攻击日志中的目的URL为空,因为是这两种类型的防护原理是通过暗藏陷阱的方式实现,爬虫/扫描工具爬取的链接为暗链接,而非真正的服务器的url。
· 除特征防护规则产生的攻击日志外,其它防护规则产生的攻击日志中”规则详细”内容为空。
· 备份恢复时,系统会重启。不支持多设备间互相导入配置。无法恢复端口联动的配置。
· 授权时间与设备系统时间是绑定的,请勿将系统时间改为未来的时间,否则会导致剩余授权时间减少或授权过期,即使重新更改为当前时间也无法还原授权。