• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

03-安全策略配置指导

目录

22-WEB防护配置指导

本章节下载 22-WEB防护配置指导  (385.62 KB)

22-WEB防护配置指导


1 WEB防护

1.1  概述

随着网络信息化的发展,越来越多的企业利用WEB应用系统提供客户服务,进行产品推广、市场宣传、培训服务、远程服务协作甚至网上交易。WEB2.0的发展更是加强了用户和WEB服务之间的交互性,但是各种安全问题也随之而来。WEB应用数据被窃取、网页被篡改,甚至WEB站点成为传播木马的傀儡,给更多访问者造成危害,带来损失;也对政府、公司形象造成严重的破坏。

WEB防护功能通过增加WEB应用防护策略,匹配条件是源地址、目的地址(Web服务器地址)和端口,同时在策略下配置各个防护功能(规则防护、精确访问控制、防盗链、CSRF攻击防护、CC攻击防护、应用隐藏、网页防篡改),当报文匹配策略时,就会逐一进行防护功能的处理,并执行相应的动作。可以帮助用户进行Web安全防御,提高网站安全性,而且集成了网络爬虫识别和过滤、网站资源盗链防护、内容关键字过滤、HTTP协议合规性和URL参数合规性检查等功能,帮助用户对网站的访问进行过滤和优化,提高网站运营的稳定性和服务质量。

1.2  配置WEB防护

1.2.1  配置准备

在配置之前,需完成以下任务:

·      配置相关接口的物理参数。

·      配置相关接口的链路层属性。

·      配置相关接口的IP地址。

1.2.2  配置WEB防护

表1-1所示步骤配置WEB防护。

表1-1 配置WEB防护

操作

命令

说明

进入系统视图

system-view

-

配置WEB防护功能

web-defend policy NAME (SRC_IP|any) (SERVER_IP|any) [SERVER_PORT]

必选

缺省情况下,WEB防护关闭

进入web防护配置视图,配置精确访问控制功能

access-control (enable | disable)

access-control rule <1-32>

非必选

配置精确访问控制

进入精确访问控制视图,配置精确访问控制规则

ip (equal | unequal)  A.B.C.D

ip (belong | unbelong)  A.B.C.D/M

url (equal | unequal) content

url (contain | uncontain | regular-match) content

referer (equal | unequal) content

referer (contain | uncontain | regular-match) content

user-agent (equal | unequal | contain | uncontain | regular-match) .CONTENT

cookie (contain | uncontain | regular-match) .CONTENT

args (equal | unequal | contain | uncontain | regular-match) CONTENT

(url | method | referer | user-agent | cookie | args) (length-less | length-equal | length-greater) <1-5000>

action (permit | permit-all | deny)

log (ignore | emerg | alert | crit | err | warning | notice | info)

(enable | disable)

非必选

配置精确访问控制

进入web防护配置视图,配置规则防护

rule-defend (enable | disable)

rule-defend log (on | off)

rule-defend protection_level (high | mid | low)

必选

配置规则防护

进入web防护配置视图,配置防盗链

anti-stealing-link (enable | disable)

anti-stealing-link type (site | url | file)

anti-stealing-link url content

anti-stealing-link file-extension EXTENSION

anti-stealing-link white-list content

anti-stealing-link action (permit | deny )

anti-stealing-link log {ignore | emerg | alert | crit | err | warning | notice | info}

非必选

配置防盗链

进入web防护配置视图,配置CSRF攻击防护

csrf-defend (enable | disable)

csrf-efend url content

非必选

配置CSRF攻击防护

进入CSRF防护配置视图,配置CSRF攻击防护

permit referer content

action (permit | deny)

log (ignore | emerg | alert | crit | err | warning | notice | info)

(enable | disable)

非必选

配置CSRF攻击防护

进入web防护配置视图,配置CC防护

cc-defend (enable | disable)

cc-defend type (site| url)

cc-defend url content

cc-defend interval <30-3600>

cc-defend access-times <30-100000>

cc-defend action (permit | deny)

cc-defend block-time <1-3600>

cc-defend log (ignore | emerg | alert | crit | err | warning | notice | info)

非必选

配置CC防护

进入web防护配置视图,配置网页防篡改

anti-tamper start-url URL

anti-tamper action (permit|deny)

anti-tamper exception-url URL

anti-tamper tip  LINE

anti-tamper log (emerg | alert | crit | err | warning | notice | info | ignore)

anti-tamper enable|disable

非必选

配置网页防篡改

进入web防护配置视图,配置应用隐藏

application-hide (enable | disable)

application-hide (server | x-powered-by)

 application-hide replace (4xx | 5xx)

application-hide log (ignore | emerg | alert | crit | err | warning | notice | info)

非必选

配置应用隐藏

 

说明

匹配策略IP端口的HTTP流量才会进入WEB防护系统。

 

1.3  WEB防护配置举例

1.3.1  WEB防护

1. 组网需求

某公司内网存在两个WEB服务器通过DNAT方式可从外网访问,IP地址分别为100.1.1.1/24和100.1.1.2/24。使用设备的作为出口网关,启用WEB防护功能,对内网WEB服务器进行保护。

图1-1 资产管理组网图

 

2. 配置说明

·     配置防护策略,决定需要对IP地址的检测范围。

·     配置规则防护,决定需要对哪些事件做检测,并决定检测到攻击之后的日志和动作,可以使用系统预定义的规则集,也可以自定义新的规则集。

·     配置防盗链,对其它网站盗用本网站的链接检测,并决定检测到攻击之后的日志和动作。

·     配置CSRF攻击防护,对跨站请求伪造的链接检测,并决定检测到攻击之后的日志和动作。

·     配置CC攻击防护,对大量资源请求消耗本站资源进行防护,并决定检测到攻击之后的日志和动作。

·     配置应用隐藏,对站点服务信息进行隐藏,并决定检测到攻击之后的日志和动作。

·     配置网页防篡改,对站点资源进行保护,并决定检测到攻击之后的日志和动作。

3. 配置步骤

(1)     全局模式下进入system-view下进入WEB防护配置视图。

host# system-view

host(config)# web-defend policy 1 any service 80

 

(2)     配置规则防护。

host(config-web-defend-policy)# rule-defend log on

host(config-web-defend-policy)# rule-defend enable

(3)     配置防盗链

host(config-web-defend-policy)# anti-steal-link type site

host(config-web-defend-policy)# anti-steal-link log alert

host(config-web-defend-policy)# anti-steal-link action permit

host(config-web-defend-policy)# anti-steal-link enable

(4)     配置CSRF攻击防护策略

host(config-web-defend-policy)# csrf-defend enable

host(config-web-defend-policy)# csrf-defend url content

Please input the url, length scope is 1-127. It is case insensitive, can not include space and should start with "/": /

host(config-web-defend-policy-csrf)# permit referer content

Please input the referer, maximum length is 127. It is case insensitive, can not include space and should start with "http://": http://100.1.1.1

host(config-web-defend-policy-csrf)# action permit

host(config-web-defend-policy-csrf)# log alert

host(config-web-defend-policy-csrf)# enable

(5)     配置CC攻击防护策略

host(config-web-defend-policy)# cc-defend type site

host(config-web-defend-policy)# cc-defend action permit

host(config-web-defend-policy)# cc-defend log alert

host(config-web-defend-policy)# cc-defend enable

(6)     配置应用隐藏

host(config-web-defend-policy)# application-hide server

host(config-web-defend-policy)# application-hide x-powered-by

host(config-web-defend-policy)# application-hide replace 4xx

host(config-web-defend-policy)# application-hide replace 5xx

host(config-web-defend-policy)# application-hide log alert

host(config-web-defend-policy)# application-hide enable

(7)     配置网页防篡改

host(config-web-defend-policy)# anti-tamper start-url /login.html

host(config-web-defend-policy)# anti-tamper action permit

host(config-web-defend-policy)# anti-tamper log alert

host(config-web-defend-policy)# anti-tamper enable

4. 验证配置

进入“数据中心>日志中心>安全日志>WEB防护日志”页面,进入规则防护日志显示页面。如匹配到规则防护策略,可查看对应的日志信息,如图1-2所示。

图1-2 规则防护日志

 

进入“数据中心>日志中心>安全日志>WEB防护日志”页面,进入高级防护日志显示页面。如匹配到高级防护策略,可查看对应的日志信息,如图1-3图1-2所示。

图1-3 高级防护日志

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们