- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
05-WAF命令
本章节下载: 05-WAF命令 (295.69 KB)
目 录
1.1.5 display waf signature pre-defined
1.1.6 display waf signature library
1.1.17 waf signature auto-update
1.1.18 waf signature auto-update-now
action命令用来配置筛选WAF特征的动作属性。
undo action命令用来恢复缺省情况。
【命令】
action { block-source | drop | permit | reset } *
undo action
【缺省情况】
未配置动作属性筛选条件。
【视图】
WAF策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
block-source:表示源阻断动作,该动作将阻断符合特征的报文,并将该报文的源IP地址加入IP黑名单。
drop:表示丢弃报文的动作。
permit:表示允许报文通过的动作。
reset:表示重置动作,该动作通过发送TCP的reset报文使TCP连接断开。
【使用指导】
可通过配置动作分类属性筛选出具有该属性的特征,WAF策略将使用筛选出的特征与报文进行匹配。可多次执行本命令,配置多个攻击分类。只要符合其中一个,具有该攻击分类的特征将会被筛选出来。
特征库升级过程中,不能成功执行本命令以及undo命令。
【举例】
# 在名为test-policy的WAF策略中配置筛选WAF特征的动作属性为drop和reset。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] action drop reset
【相关命令】
· display waf policy
attack-category命令用来配置筛选WAF特征的攻击分类属性。
undo attack-category命令用来删除筛选WAF特征的攻击分类属性。
【命令】
attack-category { category [ sub-category subcategory ] | all}
undo attack-category { category [ sub-category subcategory | all] }
【缺省情况】
未配置攻击分类属性筛选条件。
【视图】
WAF策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
category:表示设备中已有的攻击分类名称。不区分大小写,可通过输入“?”获取支持的攻击分类名称。
sub-category subcategory:表示设备中已有攻击分类中的子分类名称。若不指定本参数,则表示指定攻击分类中的所有子分类。不区分大小写,可通过输入“?”获取支持的子分类名称。
all:表示设备中已有的所有攻击分类。
【使用指导】
可通过配置攻击分类属性筛选出具有该属性的特征,WAF策略将使用筛选出的特征与报文进行匹配。可多次执行本命令,配置多个攻击分类。只要符合其中一个,具有该攻击分类的特征将会被筛选出来。
【举例】
# 在名为test-policy的WAF策略中配置筛选WAF特征的攻击分类为Vulnerability攻击分类中的SQLInjection子分类。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] attack-category Vulnerability sub-category SQLInjection
【相关命令】
· display waf policy
display waf policy命令用来显示WAF策略信息。
【命令】
display waf policy policy-name
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
policy-name:表示WAF策略名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 显示名为aa的WAF策略信息。
<Sysname> display waf policy aa
Protected website: a
Domain: www.baidu.com
IP address: 1.1.1.1
Port: 1
Protected website: b
Domain: www.ali.com
IP address: 1.1.1.2
Port: 2
Applied CC defense policy: a
Total signature count : 100
Pre-defined signature count : 10
User-defined signature count: 90
Flags:
B: Block-source D: Drop P: Permit Rs: Reset Rd: Redirect C: Capture L: L
ogging
Pre: pre-defined User: user-defined
Type SigID Target SubTarget Severity Direction Category
SubCategory Status Action
Pre 23723 OperationSystem Any High Any Vulnerability
RemoteCodeExecu Enable RsL
Pre 24728 OperationSystem Any Critical Server Malware
Backdoor Enable DL
Pre 25066 OperationSystem Any Critical Any Malware
Backdoor Enable DL
Pre 25067 OperationSystem Any Critical Server Malware
Backdoor Enable RsL
Pre 25824 OperationSystem Any Critical Server Vulnerability
Overflow Enable RsL
---- More ----
表1-1 display waf policy命令显示信息描述表
|
字段 |
描述 |
|
Protected website |
表示WAF防护的网站 |
|
Domain |
表示WAF防护网站的域名 |
|
IP address |
表示WAF防护网站的ipv4地址 |
|
Port |
表示WAF防护网站的端口号 |
|
Applied CC defense policy |
表示WAF策略引用的CC攻击防护策略 |
|
Total signature count |
WAF策略中筛选出的特征总数 |
|
Pre-defined signature count |
预定义WAF特征数目 |
|
User-defined signature count |
自定义WAF特征数目 |
|
Flags |
标识符缩写,取值包括: · B: Block-source:表示源阻断动作 · D: Drop:表示丢弃 · P: Permit:表示允许 · Rs: Reset:表示重置 · C: Capture:表示捕获 · L: Logging:表示记录日志 · Pre: pre-defined:表示预定义特征 · User: user-defined:表示自定义特征 |
|
Type |
WAF特征的类型,包括如下取值: · Pre:表示预定义特征 · User:表示自定义特征 |
|
SigID |
WAF特征编号 |
|
Target |
攻击对象 |
|
SubTarget |
攻击子对象 |
|
Severity |
WAF特征的攻击严重程度属性,从低到高分为四级:Low、Medium、High、Critical |
|
Category |
WAF特征的攻击类别名称 |
|
SubCategory |
WAF特征的子攻击类别名称 |
|
Status |
WAF特征的状态,包括如下取值: · Enabled:表示此特征已生效 · Disabled:表示此特征未生效 |
|
Action |
对报文的处理动作,包括如下取值: · Block-source:表示阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单 · Drop:表示丢弃符合特征的报文 · Permit:表示允许符合特征的报文通过 · Reset:表示发送TCP的reset报文或UDP的ICMP端口不可达报文使TCP或UDP连接断开 · Redirect:表示重定向符合特征的报文 · Capture:表示捕获符合特征的报文 · Logging:表示对符合特征的报文生成日志 |
display waf signature命令用来显示WAF特征的简要信息。
【命令】
display waf signature [ pre-defined ] [ direction { any | to-client | to-server } ] [ category category-name | fidelity { high | low | medium } | severity { critical | high | low | medium } ] *
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
pre-defined:显示预定义WAF特征。
direction { any | to-client | to-server }:显示符合指定方向属性的WAF特征。如果未指定此参数,则显示所有方向上的WAF特征。
· any:表示一个会话的两个方向。
· to-server:表示一个会话的客户端到服务器的方向。
· to-client:表示一个会话的服务器到客户端的方向。
category category-name:显示符合指定攻击类别属性的WAF特征,category-name是攻击类型的名称,可通过输入“?”获取支持的攻击类型名称。如果未指定此参数,则显示所有攻击类型的WAF特征。
fidelity { high | low | medium }:显示符合指定可信度属性的WAF特征。如果未指定此参数,则显示所有可信度的WAF特征。可信度是指此WAF特征识别攻击行为准确度,且从低到高分为如下三个级别:
· low:可信度比较低。
· medium:可信度中等。
· high:可信度比较高。
severity { critical | high | low | medium }:显示符合指定严重级别属性的WAF特征。如果未指定此参数,则显示所有严重级别的WAF特征。严重级别是指匹配此WAF特征的网络攻击造成危害的严重程度,且从低到高分为四个级别:
· low:攻击严重程度比较低。
· medium:攻击严重程度中等。
· high:攻击严重程度比较高。
· critical:攻击严重程度非常高。
【使用指导】
若不指定任何参数,则显示所有WAF特征。
【举例】
# 显示可信度为中等的所有预定义WAF特征。
<Sysname> display waf signature pre-defined fidelity medium
Pre-defined signatures total:88 failed:0
Flag:
Pre: predefined User: user-defined
Type SigID Direction Severity Fidelity Category Protocol SigName
Pre 3295 To-client Critical Medium Vulnerability TCP
Pre 5379 To-client Critical Medium Vulnerability TCP
Pre 6017 To-client Critical Medium Vulnerability TCP
Pre 7453 To-server High Medium Other TCP
Pre 10033 To-client High Medium Vulnerability TCP
Pre 23227 To-server Medium Medium Vulnerability TCP
Pre 23285 To-server Medium Medium Vulnerability TCP
Pre 23309 To-server Medium Medium Vulnerability TCP
Pre 23482 To-server High Medium Vulnerability TCP
Pre 23530 To-server High Medium Vulnerability TCP
Pre 23666 To-server High Medium Vulnerability TCP
Pre 23722 To-server Medium Medium Vulnerability TCP
Pre 23747 To-server Medium Medium Vulnerability TCP
Pre 24346 To-client Medium Medium Vulnerability TCP
Pre 25044 To-server High Medium Vulnerability TCP
Pre 25086 To-server High Medium Vulnerability TCP
Pre 25100 To-server High Medium Vulnerability TCP
---- More ----
# 显示攻击严重程度为比较高的所有WAF特征。
<Sysname> display waf signature severity high
Total signatures :45 failed:0
Pre-defined signatures total:45 failed:0
User-defined signatures total:0 failed:0
Flag:
Pre: predefined User: user-defined
Type SigID Direction Severity Fidelity Category Protocol SigName
Pre 7453 To-server High Medium Other TCP
Pre 10033 To-client High Medium Vulnerability TCP
Pre 23192 To-server High High Vulnerability TCP
Pre 23448 To-server High High Vulnerability TCP
Pre 23474 To-server High Low Vulnerability TCP
Pre 23482 To-server High Medium Vulnerability TCP
Pre 23530 To-server High Medium Vulnerability TCP
Pre 23666 To-server High Medium Vulnerability TCP
Pre 24485 To-server High High Vulnerability TCP
Pre 25044 To-server High Medium Vulnerability TCP
Pre 25086 To-server High Medium Vulnerability TCP
Pre 25100 To-server High Medium Vulnerability TCP
Pre 30781 To-server High Medium Vulnerability TCP
Pre 30807 To-server High Medium Vulnerability TCP
Pre 30851 To-server High Medium Vulnerability TCP
---- More ----
表1-2 display waf signature命令显示信息描述表
|
字段 |
描述 |
|
Total signatures |
WAF特征总数 |
|
Pre-defined signatures total |
预定义WAF特征数目 |
|
User-defined signatures total |
自定义WAF特征数目 |
|
Flags |
标识符缩写,取值包括: · Pre: pre-defined:表示预定义特征 · User: user-defined:表示自定义特征 |
|
Type |
WAF特征的类型,包括如下取值: · Pre:表示预定义特征 · User:表示自定义特征 |
|
SigID |
WAF特征的编号 |
|
Direction |
WAF特征的方向属性,包括如下取值: · any:表示一个会话的两个方向 · To-server:一个会话的客户端到服务器方向 · To-client:一个会话的服务器到客户端方向 |
|
Severity |
WAF特征的攻击严重程度属性,严重程度从低到高分为四个级别:Low、Medium、High、Critical |
|
Fidelity |
WAF特征的可信度属性,可信度从低到高分为三个级别:Low、Medium、High |
|
Category |
WAF特征的攻击类别名称 |
|
Protocol |
WAF特征的协议属性 |
|
SigName |
WAF自定义特征的名称 |
display waf signature pre-defined命令用来显示WAF预定义特征的详细信息。
【命令】
display waf signature pre-defined signature-id
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
signature-id:指定WAF预定义特征的编号,取值范围为1~536870911。
【举例】
# 显示编号为3295的预定义WAF特征的详细信息。
<Sysname> display waf signature pre-defined 3295
Type : Pre-defined
Signature ID: 3295
Status : Enable
Action : Permit & Logging
Name : WEB_SERVER_Possible_HTTP_503_XSS_Attempt_(Internal_Source)
Protocol : TCP
Severity : Critical
Fidelity : Medium
Direction : To-client
Category : Vulnerability
Reference :
Description : WEB_SERVER_Possible_HTTP_503_XSS_Attempt_(Internal_Source)
表1-3 display waf signature pre-defined命令显示信息描述表
|
字段 |
描述 |
|
Type |
WAF特征的类型 |
|
Signature ID |
WAF特征的编号 |
|
Status |
WAF特征的状态,包括如下取值: · Enabled:表示此特征已生效 · Disabled:表示此特未生效 |
|
Action |
对报文的处理动作,包括如下取值: · Block-source:表示阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单 · Drop:表示丢弃符合特征的报文 · Permit:表示允许符合特征的报文通过 · Reset:表示发送TCP的reset报文或UDP的ICMP端口不可达报文使TCP或UDP连接断开 · Capture:表示捕获符合特征的报文 · Logging:表示对符合特征的报文生成日志 |
|
Name |
WAF特征的名称 |
|
Protocol |
WAF特征的协议属性 |
|
Severity |
WAF特征的攻击严重程度属性,严重程度从低到高分为四个级别:Low、Medium、High、Critical |
|
Fidelity |
WAF特征的可信度属性,可信度从低到高分为三个级别:Low、Medium、High |
|
Direction |
WAF特征的方向属性,包括如下取值: · Any:表示一个会话的两个方向 · To-server:一个会话的客户端到服务器方向 · To-client:一个会话的服务器到客户端方向 |
|
Category |
WAF特征的攻击类别名称 |
|
Reference |
WAF特征的参考信息 |
|
Description |
WAF特征的描述信息 |
display waf signature library命令用来显示WAF特征库信息。
【命令】
display waf signature library
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示WAF特征库信息。
<Sysname> display waf signature library
WAF signature library information:
Type SigVersion ReleaseTime Size (bytes)
Current 1.02 Fri Sep 13 09:05:35 2014 71594
Last - - -
Factory 1.00 Fri Sep 11 09:05:35 2014 71394
表1-4 display waf signature information命令显示信息描述表
|
字段 |
描述 |
|
Type |
WAF特征库版本,包括如下取值: · Current:表示当前版本 · Last:表示上一版本 · Factory:表示出厂版本 |
|
SigVersion |
WAF特征库版本号 |
|
ReleaseTime |
WAF特征库发布时间 |
|
Size |
WAF特征库文件大小,单位是Bytes |
object-dir命令用来配置筛选WAF特征的方向属性。
undo object-dir命令用来恢复缺省情况。
【命令】
object-dir { client | server } *
undo object-dir
【缺省情况】
未配置方向属性筛选条件。
【视图】
WAF策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
client:表示从服务器到客户端方向上的对象。
server:表示从客户端到服务器方向上的对象。
【使用指导】
可通过配置方向属性筛选出具有该属性的特征,WAF策略将使用筛选出的特征与报文进行匹配。可同时配置多个方向,只要符合其中一个,具有该方向属性的特征将会被筛选出来。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名为test-policy的WAF策略中配置筛选WAF特征的方向属性为client。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] object-dir client
override-current命令用来配置定期自动在线升级WAF特征库时覆盖当前的特征文件。
undo override-current命令用来恢复缺省情况。
【命令】
override-current
undo override-current
【缺省情况】
定期自动在线升级WAF特征库时不会覆盖当前的特征库文件,而是将当前的特征库文件备份为上一版本。
【视图】
自动升级配置视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
可以通过开启此功能解决升级WAF特征库时设备内存不足的问题。在设备剩余内存充裕的情况下,不建议配置该功能,因为WAF特征库升级时,如果没有备份当前特征库文件,则不能回滚到上一版本。
【举例】
# 配置定期自动在线升级WAF特征库时覆盖当前的特征文件。
<Sysname> system-view
[Sysname] waf signature auto-update
[Sysname-waf-sig-autoupdate] override-current
【相关命令】
· waf signature auto-update-now
protect-target命令用来配置筛选WAF特征的保护对象属性。
undo protect-target命令用来删除筛选WAF特征的保护对象属性。
【命令】
protected-target { target [ sub-target subtarget ] | all }
undo protected-target { target [ sub-target subtarget ] | all }
【缺省情况】
未配置保护对象属性筛选条件。
【视图】
WAF策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
target:表示保护对象分类名称。不区分大小写,可通过输入“?”获取支持的对象分类名称。
subtarget:表示保护对象分类中的子对象名称。若不指定本参数,则表示保护某对象分类中的所有子对象。不区分大小写,可通过输入“?”获取支持的子对象分类名称。
all:表示所有保护对象。
【使用指导】
可通过配置保护对象属性筛选出具有该属性的特征,WAF策略将使用筛选出的特征与报文进行匹配。可多次执行本命令,配置多个保护对象。只要符合其中一个,具有该保护对象属性的特征将会被筛选出来。
【举例】
# 在名为test-policy的WAF策略中配置筛选WAF特征的保护对象为WebServer中WebLogic子对象。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] protected-target WebServer sub-target WebLogic
【相关命令】
· display waf policy
severity-level命令用来配置筛选WAF特征的严重级别属性。
undo severity-level命令用来恢复缺省情况。
【命令】
severity-level { critical | high | low | medium } *
undo severity-level
【缺省情况】
未配置严重级别属性筛选条件。
【视图】
WAF策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
critical:表示严重级别最高。
high:表示严重级别高。
low:表示严重级别低。
medium:表示严重级别一般。
【使用指导】
严重级别是指匹配此WAF特征的网络攻击造成危害的严重程度。可通过配置严重级别属性筛选出具有该属性的特征,WAF策略将使用筛选出的特征与报文进行匹配。可同时配置多个严重级别,只要符合其中一个,具有该严重级别属性的特征将会被筛选出来。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名为test-policy的WAF策略中配置筛选WAF特征的严重级别为critical和medium。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] severity-level critical medium
【相关命令】
· waf policy
signature override命令用来修改WAF策略中指定预定义特征的动作和状态。
undo signature override命令用来恢复WAF策略中指定预定义特征属性中的动作和状态。
【命令】
signature override pre-defined signature-id { disable | enable } [ { block-source | drop | permit | redirect | reset } | capture | logging ] *
undo signature override pre-defined signature-id
【缺省情况】
预定义WAF特征使用系统预定义的状态和动作。
【视图】
WAF策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
signature-id:WAF预定义特征的编号,取值范围为1~536870911。
disable:表示禁用此WAF特征。在某些网络环境中,如果一些WAF特征暂时不会被用到,而且又不想将其从WAF策略中删除时,可以使用disable参数来禁用这些规则。
enable:表示启用此WAF特征。
block-source:表示源阻断,该动作阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能,则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名单过滤功能的详细介绍请参见“安全命令参考”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。
drop:表示丢弃报文。
permit:表示允许报文通过。
redirect:表示把符合特征的报文重定向到指定的Web页面上。
reset:表示通过发送TCP的reset报文使TCP连接断开。
capture:表示捕获报文。
logging:表示生成报文日志。
【使用指导】
本命令用于修改WAF特征的动作和状态,名为default的缺省WAF策略中特征的动作和状态不能被修改。
在同一个WAF策略视图中对同一WAF特征多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名为test-policy的WAF策略中配置编号为2的预定义WAF特征的状态为开启,动作为丢弃和捕获报文,并生成日志信息。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] signature override pre-defined 2 enable drop capture logging
【相关命令】
· blacklist enable (security zone view)(安全命令参考/攻击检测与防范)
· signature override all
signature override all命令用来配置WAF策略中所有特征的统一动作。
undo signature override all命令用来恢复缺省情况。
【命令】
signature override all { { block-source | drop | permit | redirect | reset } | capture | logging } *
undo signature override all
【缺省情况】
WAF策略执行特征属性中的动作。
【视图】
WAF策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
block-source:表示源阻断,该动作阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能,则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名单过滤功能的详细介绍请参见“安全命令参考”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。
drop:表示丢弃报文。
permit:表示允许报文通过。
redirect:表示把符合特征的报文重定向到指定的Web页面上。
reset:表示通过发送TCP的reset报文使TCP连接断开。
capture:表示捕获报文。
logging:表示生成报文日志。
【使用指导】
如果在WAF策略中为所有特征配置了统一动作,则设备将根据该动作对与此策略中特征匹配成功的报文进行处理。否则,设备将根据特征属性中的动作对报文进行处理。
如果在WAF策略中修改了指定特征的动作,则无论是否为所有特征配置了统一的动作,设备都将根据修改后的动作对报文进行处理。
【举例】
# 在名为test-policy的WAF策略中配置所有特征的统一动作为丢弃,并生成日志信息和捕获报文。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] signature override all drop logging capture
【相关命令】
· blacklist enable (security zone view)(安全命令参考/攻击检测与防范)
· signature override
update schedule命令用来配置定期自动在线升级WAF特征库的时间。
undo update schedule命令用来恢复缺省情况。
【命令】
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
undo update schedule
【缺省情况】
设备在每天01:00:00至03:00:00之间自动在线升级WAF特征库。
【视图】
自动升级配置视图
【缺省用户角色】
network-admin
context-admin
【参数】
daily:表示自动升级周期为每天。
weekly:表示以一周为周期,在指定的一天进行自动升级。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
start-time time:指定自动升级开始时间,time的格式为hh:mm:ss,取值范围为00:00:00~23:59:59。
tingle minutes:指定抖动时间,即实际自动升级开始时间的偏差范围,取值范围为0~120,单位为分钟。在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围,例如,指定自动升级的开始时间为01:00:00,抖动时间为60分钟,则自动升级的时间范围为00:30:00至01:30:00。
【举例】
# 配置WAF特征库的定期自动在线升级时间为每周一20:30:00,抖动时间为10分钟。
<Sysname> system-view
[Sysname] waf signature auto-update
[Sysname-waf-autoupdate] update schedule weekly mon start-time 20:30:00 tingle 10
【相关命令】
· waf signature auto-update
· waf signature auto-update-now
waf apply policy命令用来在DPI应用profile中引用WAF策略。
undo waf apply policy命令用来删除引用的WAF策略。
【命令】
waf apply policy policy-name mode { alert | protect }
undo waf apply policy
【缺省情况】
DPI应用profile中未引用WAF策略。
【视图】
DPI应用profile视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:指定WAF策略名称,为1~63个字符的字符串,不区分大小写。
mode:表示WAF策略的模式。
alert:告警模式,表示报文匹配上该WAF策略中的特征后,仅可以生成日志或捕获报文,但其他动作均不能生效。
protect:保护模式,表示报文匹配上该WAF策略中的特征后,设备按照特征的动作对该报文进行处理。
【使用指导】
WAF策略仅在被DPI应用profile引用后生效。一个DPI应用profile视图下只能引用一个WAF策略。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为sec的DPI应用profile下引用WAF策略waf1,且配置WAF策略为保护模式。
<Sysname> system-view
[Sysname] app-profile sec
[Sysname-app-profile-sec] waf apply policy waf1 mode protect
【相关命令】
· app-profile(DPI深度安全命令参考/应用层检测引擎)
· waf policy
waf { block-source | capture | logging | redirect } parameter-profile命令用来配置WAF动作引用应用层检测引擎动作参数profile。
undo waf { block-source | capture | logging | redirect } parameter-profile命令用来取消配置WAF动作引用应用层检测引擎动作参数profile。
【命令】
waf { block-source | capture | logging | redirect } parameter-profile parameter-name
undo waf { block-source | capture | logging | redirect } parameter-profile
【缺省情况】
WAF动作未引用应用层检测引擎动作参数profile。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
block-source:表示设置WAF源阻断动作的参数。
capture:表示设置WAF捕获动作的参数。
logging:表示设置WAF日志动作的参数。
redirect:表示设置WAF重定向动作的参数。
parameter-profile parameter-name:指定WAF动作引用的应用层检测引擎动作参数profile。parameter-name表示动作参数profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
每类WAF动作的具体执行参数由应用层检测引擎动作参数profile来定义,可通过引用各动作参数proflle为WAF动作提供执行参数。有关应用层检测引擎动作参数proflle的具体配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
如果WAF动作没有引用应用层检测引擎动作参数profile,或者引用的动作参数profile不存在,则使用系统中各动作参数的缺省值。
【举例】
# 创建名称为waf1的应用层检测引擎源阻断动作参数profile,配置其阻断源IP地址的时长为1111秒。
<Sysname> system-view
[Sysname] inspect block-source parameter-profile waf1
[Sysname-inspect-block-source-waf1] block-period 1111
[Sysname-inspect-block-source-waf1] quit
# 配置WAF源阻断动作引用名称为waf1的应用层检测引擎源阻断动作参数profile。
[Sysname] waf block-source parameter-profile waf1
【相关命令】
· inspect block-source parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· inspect capture parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· inspect logging parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· inspect redirect parameter-profile(DPI深度安全命令参考/应用层检测引擎)
waf policy命令用来创建WAF策略,并进入WAF策略视图。如果指定的策略已经存在,则直接进入WAF策略视图。
undo waf policy命令用来删除指定的WAF策略。
【命令】
waf policy policy-name
undo waf policy policy-name
【缺省情况】
存在WAF策略,名称为default。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:表示WAF策略的名称,为1~63个字符的字符串,不区分大小写,创建策略时策略名称不能为default且不能包含“protected-website”字符串。
【使用指导】
WAF策略下可以配置特征过滤条件、匹配特征后执行的动作、防护的网站以及引用CC攻击防护策略。
名称为default的策略不可以被删除。
WAF策略需要在app-profile中引用才生效,有关app-profile的详细介绍,请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
【举例】
# 创建名为test-policy的WAF策略,并进入该WAF策略视图。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy]
【相关命令】
· app-profile(DPI深度安全命令参考/应用层检测引擎)
· display waf policy
waf signature auto-update命令用来开启定期自动在线升级WAF特征库功能,并进入自动升级配置视图。
undo waf signature auto-update命令用来关闭定期自动在线升级WAF特征库功能。
【命令】
waf signature auto-update
undo waf signature auto-update
【缺省情况】
定期自动在线升级WAF特征库功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的WAF特征库进行升级。
【举例】
# 开启定期自动在线升级WAF特征库功能,并进入自动升级配置视图。
<Sysname> system-view
[Sysname] waf signature auto-update
[Sysname-waf-autoupdate]
【相关命令】
· update schedule
waf signature auto-update-now命令用来立即自动在线升级WAF特征库。
【命令】
waf signature auto-update-now
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
执行此命令后,将立即自动升级设备上的WAF特征库,且会备份当前的WAF特征库文件。此命令的生效与否,与是否开启了定期自动升级WAF特征库功能无关。
当管理员发现官方网站上的特征库服务专区中的WAF特征库有更新时,可以选择立即自动在线升级方式来及时升级WAF特征库版本。
【举例】
# 立即自动在线升级WAF特征库版本。
<Sysname> system-view
[Sysname] waf signature auto-update-now
waf signature rollback命令用来回滚WAF特征库。
【命令】
waf signature rollback { factory | last }
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
factory:表示WAF特征库的出厂版本。
last:表示WAF特征库的上一版本。
【使用指导】
WAF特征库回滚是指将当前的WAF特征库版本回滚到指定的版本。如果管理员发现设备当前WAF特征库版本在检测和防御网络攻击时,误报率较高或出现异常情况,则可以对当前WAF特征库版本进行回滚。目前支持将设备中的WAF过滤特征库版本回滚到出厂版本和上一版本。
WAF特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前WAF特征库是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
【举例】
# 配置WAF特征库回滚到上一版本。
<Sysname> system-view
[Sysname] waf signature rollback last
【相关命令】
· override-current
waf signature update命令用来手动离线升级WAF特征库。
【命令】
waf signature update [ override-current ] file-path
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
override-current:表示覆盖当前版本的特征库文件。如果不指定本参数,则表示当前特征库在升级之后作为备份特征库保存在设备上。
file-path:指定特征库文件的路径,为1~255个字符的字符串。
【使用指导】
如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级WAF特征库版本。
· 本地升级:使用本地保存的特征库文件升级系统上的WAF特征库版本。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的WAF特征库版本。
使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前全局主用主控板上,否则设备升级特征库会失败。
参数file-path的取值与手动离线升级的操作方式有关。本地升级时参数file-path取值请参见表1-5;FTP/TFTP升级时参数file-path取值请参见表1-6。
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件的存储位置与当前工作路径一致 |
filename |
可以执行pwd命令查看当前工作路径 有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上 |
filename |
需要先执行cd命令将工作路径切换至特征库文件所在目录下 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不在相同存储介质上 |
path/ filename |
需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下,再指定特征库文件的相对路径 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
表1-6 FTP/TFTP升级时参数file-path取值说明表
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件存储在开启FTP服务的远程服务器上 |
ftp://username:password@server/filename |
username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名 当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f” |
|
特征库文件存储在开启TFTP服务的远程服务器上 |
tftp://server/filename |
server为TFTP服务器的IP地址或主机名 |
当采用FTP/TFTP方式升级特征库时,如果指定的是服务器的主机名,则需要确保设备能通过静态或动态域名解析方式获得FTP/TFTP服务器的IP地址,并与之路由可达。否则设备升级特征库会失败。有关域名解析功能的详细配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
【举例】
# 配置手动离线升级WAF特征库,且采用TFTP方式,WAF特征库文件的远程路径为tftp://192.168.0.10/waf-1.0.2-en.dat。
<Sysname> system-view
[Sysname] waf signature update tftp://192.168.0.10/waf-1.0.2-en.dat
# 配置手动离线升级WAF特征库,且采用FTP方式,WAF特征库文件的远程路径为ftp://192.168.0.10/waf-1.0.2-en.dat,用户名为user:123,密码为user@abc/123。
<Sysname> system-view
[Sysname] waf signature update ftp://user%3A123:user%40abc%[email protected]/waf-1.0.2-en.dat
# 配置手动离线升级WAF特征库,且采用本地方式,WAF特征库文件的本地路径为cfa0:/waf-1.0.23-en.dat,且当前工作路径为cfa0:。
<Sysname> system-view
[Sysname] waf signature update waf-1.0.23-en.dat
# 配置手动离线升级WAF特征库,且采用本地方式,WAF特征库文件的本地路径为cfa0:/dpi/waf-1.0.23-en.dat,且当前工作路径为cfa0:。
<Sysname> cd dpi
<Sysname> system-view
[Sysname] waf signature update waf-1.0.23-en.dat
# 配置手动离线升级WAF特征库,且采用本地方式,WAF特征库文件的本地路径为cfb0:/dpi/waf-1.0.23-en.dat,当前工作路径为cfa0:。
<Sysname> cd cfb0:/
<Sysname> system-view
[Sysname] waf signature update dpi/waf-1.0.23-en.dat
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
