22-WEB防护配置指导
本章节下载: 22-WEB防护配置指导 (385.62 KB)
随着网络信息化的发展,越来越多的企业利用WEB应用系统提供客户服务,进行产品推广、市场宣传、培训服务、远程服务协作甚至网上交易。WEB2.0的发展更是加强了用户和WEB服务之间的交互性,但是各种安全问题也随之而来。WEB应用数据被窃取、网页被篡改,甚至WEB站点成为传播木马的傀儡,给更多访问者造成危害,带来损失;也对政府、公司形象造成严重的破坏。
WEB防护功能通过增加WEB应用防护策略,匹配条件是源地址、目的地址(Web服务器地址)和端口,同时在策略下配置各个防护功能(规则防护、精确访问控制、防盗链、CSRF攻击防护、CC攻击防护、应用隐藏、网页防篡改),当报文匹配策略时,就会逐一进行防护功能的处理,并执行相应的动作。可以帮助用户进行Web安全防御,提高网站安全性,而且集成了网络爬虫识别和过滤、网站资源盗链防护、内容关键字过滤、HTTP协议合规性和URL参数合规性检查等功能,帮助用户对网站的访问进行过滤和优化,提高网站运营的稳定性和服务质量。
在配置之前,需完成以下任务:
· 配置相关接口的物理参数。
· 配置相关接口的链路层属性。
· 配置相关接口的IP地址。
按表1-1所示步骤配置WEB防护。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置WEB防护功能 |
web-defend policy NAME (SRC_IP|any) (SERVER_IP|any) [SERVER_PORT] |
必选 缺省情况下,WEB防护关闭 |
进入web防护配置视图,配置精确访问控制功能 |
access-control (enable | disable) access-control rule <1-32> |
非必选 配置精确访问控制 |
进入精确访问控制视图,配置精确访问控制规则 |
ip (equal | unequal) A.B.C.D ip (belong | unbelong) A.B.C.D/M url (equal | unequal) content url (contain | uncontain | regular-match) content referer (equal | unequal) content referer (contain | uncontain | regular-match) content user-agent (equal | unequal | contain | uncontain | regular-match) .CONTENT cookie (contain | uncontain | regular-match) .CONTENT args (equal | unequal | contain | uncontain | regular-match) CONTENT (url | method | referer | user-agent | cookie | args) (length-less | length-equal | length-greater) <1-5000> action (permit | permit-all | deny) log (ignore | emerg | alert | crit | err | warning | notice | info) (enable | disable) |
非必选 配置精确访问控制 |
进入web防护配置视图,配置规则防护 |
rule-defend (enable | disable) rule-defend log (on | off) rule-defend protection_level (high | mid | low) |
必选 配置规则防护 |
进入web防护配置视图,配置防盗链 |
anti-stealing-link (enable | disable) anti-stealing-link type (site | url | file) anti-stealing-link url content anti-stealing-link file-extension EXTENSION anti-stealing-link white-list content anti-stealing-link action (permit | deny ) anti-stealing-link log {ignore | emerg | alert | crit | err | warning | notice | info} |
非必选 配置防盗链 |
进入web防护配置视图,配置CSRF攻击防护 |
csrf-defend (enable | disable) csrf-efend url content |
非必选 配置CSRF攻击防护 |
进入CSRF防护配置视图,配置CSRF攻击防护 |
permit referer content action (permit | deny) log (ignore | emerg | alert | crit | err | warning | notice | info) (enable | disable) |
非必选 配置CSRF攻击防护 |
进入web防护配置视图,配置CC防护 |
cc-defend (enable | disable) cc-defend type (site| url) cc-defend url content cc-defend interval <30-3600> cc-defend access-times <30-100000> cc-defend action (permit | deny) cc-defend block-time <1-3600> cc-defend log (ignore | emerg | alert | crit | err | warning | notice | info) |
非必选 配置CC防护 |
进入web防护配置视图,配置网页防篡改 |
anti-tamper start-url URL anti-tamper action (permit|deny) anti-tamper exception-url URL anti-tamper tip LINE anti-tamper log (emerg | alert | crit | err | warning | notice | info | ignore) anti-tamper (enable|disable) |
非必选 配置网页防篡改 |
进入web防护配置视图,配置应用隐藏 |
application-hide (enable | disable) application-hide (server | x-powered-by) application-hide replace (4xx | 5xx) application-hide log (ignore | emerg | alert | crit | err | warning | notice | info) |
非必选 配置应用隐藏 |
匹配策略IP端口的HTTP流量才会进入WEB防护系统。
某公司内网存在两个WEB服务器通过DNAT方式可从外网访问,IP地址分别为100.1.1.1/24和100.1.1.2/24。使用设备的作为出口网关,启用WEB防护功能,对内网WEB服务器进行保护。
图1-1 资产管理组网图
· 配置防护策略,决定需要对IP地址的检测范围。
· 配置规则防护,决定需要对哪些事件做检测,并决定检测到攻击之后的日志和动作,可以使用系统预定义的规则集,也可以自定义新的规则集。
· 配置防盗链,对其它网站盗用本网站的链接检测,并决定检测到攻击之后的日志和动作。
· 配置CSRF攻击防护,对跨站请求伪造的链接检测,并决定检测到攻击之后的日志和动作。
· 配置CC攻击防护,对大量资源请求消耗本站资源进行防护,并决定检测到攻击之后的日志和动作。
· 配置应用隐藏,对站点服务信息进行隐藏,并决定检测到攻击之后的日志和动作。
· 配置网页防篡改,对站点资源进行保护,并决定检测到攻击之后的日志和动作。
(1) 全局模式下进入system-view下进入WEB防护配置视图。
host# system-view
host(config)# web-defend policy 1 any service 80
(2) 配置规则防护。
host(config-web-defend-policy)# rule-defend log on
host(config-web-defend-policy)# rule-defend enable
(3) 配置防盗链
host(config-web-defend-policy)# anti-steal-link type site
host(config-web-defend-policy)# anti-steal-link log alert
host(config-web-defend-policy)# anti-steal-link action permit
host(config-web-defend-policy)# anti-steal-link enable
(4) 配置CSRF攻击防护策略
host(config-web-defend-policy)# csrf-defend enable
host(config-web-defend-policy)# csrf-defend url content
Please input the url, length scope is 1-127. It is case insensitive, can not include space and should start with "/": /
host(config-web-defend-policy-csrf)# permit referer content
Please input the referer, maximum length is 127. It is case insensitive, can not include space and should start with "http://": http://100.1.1.1
host(config-web-defend-policy-csrf)# action permit
host(config-web-defend-policy-csrf)# log alert
host(config-web-defend-policy-csrf)# enable
(5) 配置CC攻击防护策略
host(config-web-defend-policy)# cc-defend type site
host(config-web-defend-policy)# cc-defend action permit
host(config-web-defend-policy)# cc-defend log alert
host(config-web-defend-policy)# cc-defend enable
(6) 配置应用隐藏
host(config-web-defend-policy)# application-hide server
host(config-web-defend-policy)# application-hide x-powered-by
host(config-web-defend-policy)# application-hide replace 4xx
host(config-web-defend-policy)# application-hide replace 5xx
host(config-web-defend-policy)# application-hide log alert
host(config-web-defend-policy)# application-hide enable
(7) 配置网页防篡改
host(config-web-defend-policy)# anti-tamper start-url /login.html
host(config-web-defend-policy)# anti-tamper action permit
host(config-web-defend-policy)# anti-tamper log alert
host(config-web-defend-policy)# anti-tamper enable
进入“数据中心>日志中心>安全日志>WEB防护日志”页面,进入规则防护日志显示页面。如匹配到规则防护策略,可查看对应的日志信息,如图1-2所示。
进入“数据中心>日志中心>安全日志>WEB防护日志”页面,进入高级防护日志显示页面。如匹配到高级防护策略,可查看对应的日志信息,如图1-3图1-2所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!