05-Web应用防护
本章节下载: 05-Web应用防护 (390.32 KB)
本帮助主要介绍以下内容:
· 特性简介
· 配置指南
Web应用防护功能通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护。可对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站进行有效防护。
Web应用防护特征用来扫描网络中的攻击行为以及对攻击行为采取防御措施,设备通过将数据流与Web应用防护特征进行比较来检测和防御攻击。
Web应用防护特征包含多种属性,例如攻击分类、动作、保护对象、严重级别和方向。这些属性可作为过滤条件来筛选Web应用防护特征。
缺省情况下,设备基于配置文件统一动作对符合Web应用防护特征的报文进行处理。当需要对符合某个Web应用防护特征的报文采取不同的动作时,可以将此特征设置为特征例外。或者,当Web应用防护配置文件中不包含某个Web应用防护特征时,可以将此特征设置为特征例外,添加到该Web应用防护配置文件中。
特征例外中动作的优先级高于配置文件统一动作的优先级。
Web应用防护动作是指设备对匹配上Web应用防护特征的报文做出的处理。Web应用防护处理动作包括如下几种类型:
· 黑名单:阻断符合特征的报文。如果设备上同时开启了IP黑名单过滤功能,则阻断时间内(在安全动作中的阻断功能中配置)来自此IP地址的所有报文将被直接丢弃;如果设备上未开启黑名单过滤功能,报文的源IP地址仍会被添加到IP黑名单表项中,但后续来自该源IP地址的报文不会被直接丢弃。有关黑名单功能的详细介绍请参见“攻击防范联机帮助”。
· 丢弃:丢弃符合特征的报文。
· 允许:允许符合特征的报文通过。
· 重置:通过发送TCP的reset报文或UDP的ICMP端口不可达报文断开TCP或UDP连接。
· 重定向:把符合特征的报文重定向到指定的Web页面上。
· 缺省:对符合特征的报文执行特征中缺省的动作。
· 抓包:捕获符合特征的报文。
· 日志:对符合特征的报文生成日志信息。
在设备配置了Web应用防护功能的情况下,当用户的数据流量经过设备时,设备将进行Web应用防护处理。处理流程如图-1所示:
图-1 Web应用防护数据处理流程图
Web应用防护处理的整体流程如下:
1. 如果报文与IP黑名单匹配成功,则直接丢弃该报文。
2. 如果报文匹配了某条安全策略,且此策略引用了Web应用防护配置文件,则设备将对报文进行深度内容检测:首先,识别报文的协议,然后根据协议分析方案进行更精细的分析,并深入提取报文特征。
3. 设备将提取的报文特征与Web应用防护特征进行匹配,并对匹配成功的报文进行如下处理:
¡ 如果报文同时与多个Web应用防护特征匹配成功,则根据这些动作中优先级最高的动作进行处理。但是,对于黑名单、日志和捕获三个动作只要匹配成功的特征中存在就会执行。动作优先级从高到低的顺序为:重置 > (黑名单/丢弃) > 允许,其中黑名单与丢弃的优先级相同。
¡ 如果报文只与一个Web应用防护特征匹配成功,则根据此特征中指定的动作进行处理。
4. 如果报文未与任何Web应用防护特征匹配成功,则设备直接允许报文通过。
Web应用防护功能的配置思路如下图所示:
图-2 Web应用防护功能配置指导图
设备上存在一个名称为default的Web应用防护配置文件,缺省Web应用防护配置文件使用当前系统中所有缺省处于使能状态的Web应用防护特征,缺省Web应用防护配置文件不能修改。
管理员也可以根据实际需求创建自定义的Web应用防护配置文件。
1. 选择“对象 > 应用安全 > Web应用防护 > 配置文件”。
2. 在“Web应用防护配置文件”页面单击<新建>按钮,进入“新建Web应用防护配置文件”页面。
3. 新建Web应用防护配置文件,具体配置内容如下:
表-1 Web应用防护配置文件配置内容
参数 |
说明 |
筛选特征 |
通过保护对象、攻击分类、对象、缺省动作和严重级别可灵活选择此Web应用防护配置文件中所需的Web应用防护特征。可通过单击<查看特征筛选结果>按钮来查看当前配置文件中已选择的Web应用防护特征 若不配置任何一项筛选条件(保持缺省情况),则此配置文件中将会包含所有缺省处于使能状态的Web应用防护特征 |
保护对象 |
通过选择保护对象可快速选择所需的Web应用防护特征 |
攻击分类 |
通过选择攻击分类可快速选择所需的Web应用防护特征 |
对象 |
Web应用防护特征库中的特征分为服务端和客户端两类,可通过选择服务端和客户端来筛选配置文件所需的Web应用防护特征 |
缺省动作 |
Web应用防护特征的缺省动作分为如下四种:丢弃、允许、重置、黑名单,可通过选择不同的缺省动作来筛选配置文件所需的Web应用防护特征 |
严重级别 |
Web应用防护特征的严重级别分为如下四种:严重、高、中、低,可通过选择不同的严重级别来筛选配置文件所需的Web应用防护特征 |
设置配置文件统一动作 |
通过设置配置文件统一动作,对筛选出的特征执行统一的动作。如果动作为缺省,则对筛选出的特征执行各自的缺省动作 |
动作 |
选择配置文件统一动作,动作类型包括:缺省、黑名单、丢弃、允许、重置和重定向。符合此配置文件的报文将被按照此配置文件中指定的动作进行处理。缺省情况下,动作为缺省 |
日志 |
开启日志功能后,设备将对与Web应用防护特征匹配成功的报文生成日志信息 |
抓包 |
开启抓包功能后,设备会将捕获到的报文保存在本地并输出到指定的路径,有关捕获参数的详细配置,请参见“安全动作联机帮助” |
设置例外特征 |
添加特征例外包括如下两种方式: · 在“新建Web应用防护配置文件”页面的特征例外输入框中直接输入Web应用防护特征的ID号,然后单击右边<添加>按钮,即可把此特征加入特征例外中 · 在“新建Web应用防护配置文件”页面,先单击<查看特征筛选结果>按钮,进入“查看特征”页面,在此页面选中需要加入特征例外的Web应用防护特征,然后单击此页面上方的<添加到例外列表>按钮,即可把此特征加入特征例外中 |
修改特征例外 |
在特征例外列表中单击目标Web应用防护特征右边的<编辑>按钮,进入“修改例外特征”页面,在此页面可配置此特征的动作、状态、日志和抓包功能。单击<确定>,此例外特征修改成功 |
4. 单击<确定>按钮,新建Web应用防护配置文件成功,且会在“Web应用防护配置文件”页面中显示。
5. 在安全策略的内容安全配置中引用此Web应用防护配置文件,有关安全策略的详细配置介绍请参见“安全策略联机帮助”。
6. 新建配置文件后,需要激活才能生效。如需立即激活,请单击<提交>按钮。否则,设备默认40秒后自动激活。
· Web应用防护功能需要安装License才能使用。License过期后,Web应用防护功能可以用,但无法升级特征库,只能使用设备中已存在的特征库。关于License的详细介绍请参见“License联机帮助”。
· Web应用防护配置文件和自定义特征变更后(包括新建、编辑和删除),需要激活才能生效。如需立即激活,请单击<提交>按钮。否则,设备默认40秒后自动激活。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!