• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

04-DPI深度安全配置指导

目录

10-WAF配置

本章节下载 10-WAF配置  (331.95 KB)

10-WAF配置


1 WAF

1.1  WAF简介

WAF(Web application firewall,Web应用防火墙)是一种通过执行一系列针对HTTP/HTTPS请求的防护策略,对Web应用层攻击进行阻断的安全防护功能。WAF对来自Web应用程序客户端的请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对内网的Web服务器进行有效防护。

1.1.1  WAF策略

设备基于WAF策略对攻击报文进行处理。WAF策略中定义了匹配报文的WAF特征和处理报文的WAF动作。

1. WAF特征

WAF特征用来描述网络中的Web应用层攻击行为的特征,设备通过将报文与WAF特征进行比较来检测和防御攻击。WAF特征包含多种属性,例如攻击分类、动作、保护对象、严重级别和方向。这些属性可作为过滤条件来筛选WAF特征。

目前,设备仅支持预定义WAF特征。预定义特征由系统中的WAF特征库自动生成,设备不支持对预定义WAF特征的内容进行修改和删除。

2. WAF动作

WAF动作是指设备对匹配上WAF特征的报文做出的处理。WAF处理动作包括如下几种类型:

·     重置:通过发送TCP的reset报文断开TCP连接。

·     重定向:把符合特征的报文重定向到指定的Web页面上。

·     源阻断:阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能(由blacklist global enable开启),则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名单过滤功能的详细介绍请参见“安全配置指导”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。

·     丢弃:丢弃符合特征的报文。

·     放行:允许符合特征的报文通过。

·     捕获:捕获符合特征的报文。

·     生成日志:对符合特征的报文生成日志信息。

1.1.2  WAF实现流程

WAF处理流程如图1-1所示:

图1-1 WAF数据处理流程图

 

WAF功能是通过在DPI应用profile中引用WAF策略,并在安全策略或对象策略中引用DPI应用profile来实现的,WAF处理的具体实现流程如下:

(1)     设备识别应用层报文协议并提取报文特征。

(2)     设备将提取的报文特征与WAF特征进行匹配,并进行如下处理:

¡     如果报文未与任何WAF特征匹配成功,则设备对报文执行允许动作。

¡     如果报文只与一个WAF特征匹配成功,则根据此特征中指定的动作进行处理。

¡     如果报文同时与多个WAF特征匹配成功,则根据这些动作中优先级最高的动作进行处理。动作优先级从高到低的顺序为:重置 > 重定向 > 丢弃 > 允许。但是,对于源阻断、生成日志和捕获三个动作只要匹配成功的特征中存在就会执行。

1.1.3  WAF特征库升级与回滚

WAF特征库是用来对经过设备的应用层流量进行Web攻击检测和防御的资源库。随着网络攻击不断的变化和发展,需要及时升级设备中的WAF特征库,同时设备也支持WAF特征库回滚功能。

1. WAF特征库升级

WAF特征库的升级包括如下几种方式:

·     定期自动在线升级:设备根据管理员设置的时间定期自动更新本地的WAF特征库。

·     立即自动在线升级:管理员手工触发设备立即更新本地的WAF特征库。

·     手动离线升级:当设备无法自动获取WAF特征库时,需要管理员先手动获取最新的WAF特征库,再更新设备本地的WAF特征库。

2. WAF特征库回滚

如果管理员发现设备当前WAF特征库对报文进行检测和防御Web攻击时,误报率较高或出现异常情况,则可以将其进行回滚到出厂版本和上一版本。

1.2  WAF与硬件适配关系

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

型号

说明

F1000-E-G5、F1000-H-G5

支持

F100-C-G5、F100-M-G5、F100-S-G5

不支持

F1000-A-G3、F1000-C-G3、F1000-E-G3、F1000-S-G3

支持

F100-A-G3、F100-C-G3、F100-E-G3、F100-M-G3、F100-S-G3

·     F100-A-G3、F100-E-G3:支持

·     F100-C-G3、F100-M-G3、F100-S-G3:不支持

F1000-E-VG、F1000-S-VG

·     F1000-E-VG:支持

·     F1000-S-VG:不支持

F1000-A-G2、F1000-C-G2、F1000-E-G2、F1000-S-G2

支持

F100-A-G2、F100-C-G2、F100-E-G2、F100-M-G2、F100-S-G2

·     F100-A-G2、F100-E-G2:支持

·     F100-C-G2、F100-M-G2、F100-S-G2:不支持

F1000-C-EI、F100-A-EI、F100-A-SI、F100-C-EI、F100-E-EI

·     F1000-C-EI、F100-A-EI、F100-A-SI、F100-E-EI:支持

·     F100-C-EI:不支持

F100-A80-WiNet、F100-C80-WiNet、F100-C60-WiNet、F100-C50-WiNet、F100-S80-WiNet

·     F100-A80-WiNet:支持

·     F100-C80-WiNet、F100-C60-WiNet、F100-C50-WiNet、F100-S80-WiNet:不支持

F1000-C8395

支持

F1000-C8180、F1000-C8170、F1000-C8160、F1000-C8150、F1000-C8130、F1000-C8120、F1000-C8110

·     F1000-C8180、F1000-C8170、F1000-C8160:支持

·     F1000-C8150、F1000-C8130、F1000-C8120、F1000-C8110:不支持

F100-C-A6、F100-C-A5、F100-C-A3

不支持

F100-C-A6-WL、F100-C-A5-W、F100-C-A3-W

不支持

F1000-C-HI、F100-A-HI、F100-C-HI、F100-S-HI

·     F1000-C-HI、F100-A-HI:支持

·     F100-C-HI、F100-S-HI:不支持

F1000-720-HI、F1000-710-HI

不支持

F100-C-XI、F100-S-XI

不支持

F1000-9390-AI、F1000-9385-AI

支持

F1000-990-AI、F1000-980-AI、F1000-970-AI、F1000-960-AI、F1000-950-AI、F1000-930-AI、F1000-920-AI、F1000-910-AI、F1000-905-AI

·     F1000-990-AI、F1000-980-AI、F1000-970-AI、F1000-960-AI、F1000-950-AI、F1000-930-AI、F1000-920-AI:支持

·     F1000-910-AI、F1000-905-AI:不支持

LSPM6FWD8、LSQM2FWDSC8

支持

 

1.3  WAF的License要求

WAF功能需要购买并正确安装License才能使用。License过期后,WAF功能可以采用设备中已有的WAF特征库正常工作,但无法升级到官方网站在过期时间后发布的新版本的特征库。关于License的详细介绍请参见“基础配置指导”中的“License管理”。

1.4  WAF配置任务简介

WAF配置任务如下:

(1)     创建WAF策略

(2)     配置筛选WAF特征的属性

(3)     配置WAF动作

(4)     配置WAF引用的应用层检测引擎动作参数profile

(5)     在DPI应用profile中引用WAF策略

(6)     (可选)激活WAF策略配置

(7)     在安全策略中引用DPI应用profile

(8)     在对象策略中引用DPI应用profile

(9)     配置WAF特征库升级和回滚

1.5  创建WAF策略

1. 功能简介

缺省情况下,WAF策略将使用当前设备上所有处于生效状态的WAF特征与报文进行匹配,并对匹配成功的报文执行WAF特征属性中的动作。管理员可根据实际需求,在新建的WAF策略中,将WAF特征的属性作为过滤条件,筛选出需要与报文进行匹配的WAF特征,并配置WAF特征动作。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建WAF策略,并进入WAF策略视图。

waf policy policy-name

缺省情况下,存在一个缺省WAF策略,名称为default,且不能被修改或删除。

1.6  配置筛选WAF特征的属性

1. 功能简介

在WAF策略中,可以定义不同类型的属性作为WAF特征的过滤条件。如果某个属性中配置了多个参数,则WAF特征至少需要匹配上其中一个参数,才表示匹配上该属性。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入WAF策略视图。

waf policy policy-name

(3)     配置筛选WAF特征的属性。

¡     配置筛选WAF特征的保护对象属性。

protected-target { target [ sub-target subtarget ]| all }

缺省情况下,WAF策略匹配所有保护对象的特征。

¡     配置筛选WAF特征的攻击分类属性。

attack-category { category [ sub-category subcategory ] | all }

缺省情况下,WAF策略匹配所有攻击分类的特征。

¡     配置筛选WAF特征的动作属性。

action { block-source | drop | permit | reset } *

缺省情况下,WAF策略匹配所有动作的特征。

¡     配置筛选WAF特征的方向属性。

object-dir { client | server } *

缺省情况下,WAF策略匹配所有方向的特征。

¡     配置筛选WAF特征的严重级别属性。

severity-level { critical | high | low | medium } *

缺省情况下,WAF策略匹配所有严重级别的特征。

1.7  配置WAF动作

1. 功能简介

缺省情况下,新建WAF策略执行特征属性中的动作。管理员也可以根据实际网络需求,为WAF策略中所有特征配置统一的动作,或者为指定的特征配置动作。

设备对以上动作执行的优先级为:WAF策略中为指定特征配置的动作 > WAF策略为所有特征配置的统一动作 > WAF特征自身属性的动作。

2. 配置限制和指导

若动作配置为logging,生成的日志信息不会输出到控制台和监视终端。此时如需获取该日志,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入WAF策略视图。

waf policy policy-name

(3)     配置WAF策略中所有特征的统一动作。

signature override all { { block-source | drop | permit | redirect | reset } | capture | logging } *

缺省情况下,WAF策略执行特征属性中的动作。

(4)     (可选)修改WAF策略中指定特征的动作和生效状态。

signature override pre-defined signature-id { disable | enable } [ { block-source | drop | permit | redirect | reset } | capture | logging ] *

缺省情况下,预定义WAF特征使用系统预定义的状态和动作。

1.8  配置WAF引用的应用层检测引擎动作参数profile

1. 功能简介

每类WAF动作的具体执行参数由应用层检测引擎动作参数profile来定义,该profile的具体配置请参见“DPI深度安全配置指导”中的“应用层检测引擎”。

如果WAF引用的应用层检测引擎动作参数profile不存在或没有引用,则使用系统各类动作参数的缺省值。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置WAF引用的应用层检测引擎动作参数profile。

waf { block-source | capture | logging | redirect } parameter-profile parameter-name

缺省情况下,WAF未引用应用层检测引擎动作参数profile。

1.9  在DPI应用profile中引用WAF策略

1. 功能简介

DPI应用profile是一个安全业务的配置模板,为实现WAF功能,必须在DPI应用profile中引用指定的WAF策略。

2. 配置限制和指导

一个DPI应用profile中只能引用一个WAF策略,如果重复配置,则新的配置会覆盖已有配置。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入DPI应用profile视图。

app-profile profile-name

关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎”。

(3)     在DPI应用profile中引用WAF策略。

waf apply policy policy-name mode { protect | alert }

缺省情况下,DPI应用profile中未引用WAF策略。

1.10  激活WAF策略配置

1. 功能简介

缺省情况下,当WAF策略发生变更时(即被创建、修改和删除),系统将会检测在20秒的间隔时间内是否再次发生了配置变更,并根据判断结果执行如下操作:

·     如果间隔时间内未发生任何配置变更,则系统将在下一个间隔时间结束时执行一次激活操作,使这些策略的配置生效。

·     如果间隔时间内再次发生了配置变更,则系统将继续按照间隔时间周期性地检测是否发生配置变更。

如果用户希望对变更的配置立即进行激活,可执行inspect activate命令手工激活,使配置立即生效。

2. 配置限制和指导

配置此功能会暂时中断所有DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的策略后统一配置此功能。

有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     激活WAF策略配置。

inspect activate

缺省情况下,WAF策略被创建、修改和删除后,系统会自动激活配置使其生效。

1.11  在安全策略中引用DPI应用profile

(1)     进入系统视图。

system-view

(2)     进入安全策略视图。

security-policy { ip | ipv6 }

(3)     进入安全策略规则视图。

rule { rule-id | name name } *

(4)     配置安全策略规则的动作为允许。

action pass

缺省情况下,安全策略规则动作是丢弃。

(5)     配置安全策略规则引用DPI应用profile。

profile app-profile-name

缺省情况下,安全策略规则中未引用DPI应用profile。

1.12  在对象策略中引用DPI应用profile

(1)     进入系统视图。

system-view

(2)     进入对象策略视图。

object-policy { ip | ipv6 } object-policy-name

(3)     在对象策略规则中引用DPI应用profile。

rule [ rule-id ] inspect app-profile-name

缺省情况下,在对象策略规则中未引用DPI应用profile。

(4)     退回系统视图。

quit

(5)     创建安全域间实例,并进入安全域间实例视图。

zone-pair security source source-zone-name destination destination-zone-name

有关安全域间实例的详细介绍请参见“安全配置指导”中的“安全域”。

(6)     应用对象策略。

object-policy apply { ip | ipv6 } object-policy-name

缺省情况下,安全域间实例内不应用对象策略。

1.13  配置WAF特征库升级和回滚

1.13.1  配置限制和指导

·     请勿删除设备存储介质根目录下的/dpi/文件夹,否则设备升级或回滚特征库会失败。

·     当系统内存使用状态处于告警门限状态时,请勿进行特征库升级或回滚,否则易造成设备特征库升级或回滚失败,进而影响WAF业务的正常运行。有关内存告警门限状态的详细介绍请参见“基础配置指导”中的“设备管理”。

·     自动在线升级(包括定期自动在线升级和立即自动在线升级)WAF特征库时,需要确保设备能通过静态或动态域名解析方式获得官方网站的IP地址,并与之路由可达,否则设备升级WAF特征库会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。

·     同一时刻只能对一个特征库进行升级,如果当前已有其他特征库正在升级,请稍后再试。

1.13.2  配置定期自动在线升级WAF特征库

1. 功能简介

如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的WAF特征库进行升级。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启定期自动在线升级WAF特征库功能,并进入自动在线升级配置视图。

waf signature auto-update

缺省情况下,定期自动在线升级WAF特征库功能处于关闭状态。

(3)     配置定期自动在线升级WAF特征库的时间。

update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes

缺省情况下,设备在每天01:00:00至03:00:00之间自动升级WAF特征库。

(4)     (可选)开启WAF特征文件自动覆盖功能。

override-current

缺省情况下,设备定期自动在线升级WAF特征库时会将当前的特征库文件备份为上一版本。

1.13.3  立即自动在线升级WAF特征库

1. 功能简介

当管理员发现官方网站上的特征库服务专区中的WAF特征库有更新时,可以选择立即自动在线升级方式来及时升级WAF特征库版本。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     立即自动在线升级WAF特征库。

waf signature auto-update-now

1.13.4  手动离线升级WAF特征库

1. 功能简介

如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级WAF特征库版本。

·     本地升级:使用本地保存的特征库文件升级系统上的WAF特征库版本。

·     FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的WAF特征库版本。

使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     手动离线升级WAF特征库。

waf signature update [ override-current ] file-path

1.13.5  回滚WAF特征库

1. 功能简介

WAF特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前WAF特征库版本是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     回滚WAF特征库。

waf signature rollback { factory | last }

1.14  WAF显示和维护

完成上述配置后,在任意视图下执行display命令可以显示配置后WAF的运行情况,通过查看显示信息验证配置的效果。

表1-1 WAF显示和维护

操作

命令

显示WAF策略信息

display waf policy policy-name

显示WAF特征库版本信息

display waf signature library

显示WAF特征属性列表

display waf signature [ pre-defined ] [ direction { any | to-client | to-server } ] [ category category-name | fidelity { high | low | medium } | severity { critical | high | low | medium } ] *

显示WAF预定义特征的详细信息

display waf signature pre-defined signature-id

 

1.15  WAF典型配置举例

1.15.1  在安全策略中引用缺省WAF策略配置举例

1. 组网需求

图1-2所示,Device分别通过Trust安全域和Untrust安全域与内部网络和Internet相连。现要求使用设备上的缺省WAF策略对内部网络进行Web攻击防御。

2. 组网图

图1-2 在安全策略中引用缺省WAF策略配置组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。

[Device] ip route-static 5.5.5.0 24 2.2.2.2

(3)     配置接口加入安全域

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(4)     配置DPI应用profile并激活WAF策略配置

# 创建名为sec的DPI应用profile,在sec中引用名称为default的缺省WAF策略,并指定该WAF策略的模式为protect。

[Device] app-profile sec

[Device-app-profile-sec] waf apply policy default mode protect

[Device-app-profile-sec] quit

# 激活WAF策略配置。

[Device] inspect activate

(5)     配置安全策略

# 配置名称为trust-untrust的安全策略规则,使内网用户可以访问外网,并对交互报文进行WAF攻击防御。具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-10-trust-untrust] source-zone trust

[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24

[Device-security-policy-ip-10-trust-untrust] destination-zone untrust

[Device-security-policy-ip-10-trust-untrust] action pass

[Device-security-policy-ip-10-trust-untrust] profile sec

[Device-security-policy-ip-10-trust-untrust] quit

# 激活安全策略配置。

[Device-security-policy-ip] accelerate enhanced enable

[Device-security-policy-ip] quit

4. 验证配置

以上配置生效后,使用缺省WAF策略可以对已知攻击类型的Web攻击进行防御。比如GNU_Bash_Remote_Code_Execution_Vulnerability(CVE-2014-6271)类型的攻击报文经过Device设备时,Device会匹配该报文,并对报文按照匹配成功的WAF特征的动作(reset和logging)进行处理。

1.15.2  在安全策略中引用自定义WAF策略配置举例

1. 组网需求

图1-3所示,Device分别通过Trust安全域和Untrust安全域与内部网络和Internet相连。现有组网需求如下:

·     使用设备上的WAF策略对内部网络进行Web攻击防御。

·     将编号为2的预定义WAF特征的动作改为丢弃并生成日志。

2. 组网图

图1-3 在安全策略中引用自定义WAF策略配置组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。

[Device] ip route-static 5.5.5.0 24 2.2.2.2

(3)     配置接口加入安全域

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(4)     配置WAF策略

# 创建一个名称为waf1的WAF策略,配置筛选WAF特征的方向属性为客户端,并配置编号为2的预定义WAF特征的状态为开启,动作为丢弃并生成日志信息。

[Device] waf policy waf1

[Device-waf-policy-waf1] object-dir client

[Device-waf-policy-waf1] signature override pre-defined 2 enable drop logging

[Device-waf-policy-waf1] quit

(5)     配置DPI应用profile并激活WAF策略配置

# 创建名为sec的DPI应用profile,在DPI应用profile sec中引用WAF策略waf1,并指定该WAF策略的模式为protect。

[Device] app-profile sec

[Device-app-profile-sec] waf apply policy waf1 mode protect

[Device-app-profile-sec] quit

# 激活WAF策略配置。

[Device] inspect activate

(6)     配置安全策略

# 配置名称为trust-untrust的安全策略规则,使内网用户可以访问外网,并对交互报文进行WAF攻击防御。具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-10-trust-untrust] source-zone trust

[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24

[Device-security-policy-ip-10-trust-untrust] destination-zone untrust

[Device-security-policy-ip-10-trust-untrust] action pass

[Device-security-policy-ip-10-trust-untrust] profile sec

[Device-security-policy-ip-10-trust-untrust] quit

# 激活安全策略配置。

[Device-security-policy-ip] accelerate enhanced enable

[Device-security-policy-ip] quit

4. 验证配置

以上配置生效后,将有如下验证结果:

·     使用自定义WAF策略可以对已知类型的Web攻击进行防御。

·     当有报文匹配到编号为2的预定义WAF特征时,设备将丢弃该报文并生成日志信息。

1.15.3  手动离线升级WAF特征库配置举例

1. 组网需求

图1-4所示,位于Trust安全域的内部网络可通过Device访问Untrust安全域的Internet资源,以及DMZ安全域的FTP服务器。FTP服务器根目录下保存了最新的WAF特征库文件waf-1.0.8-encrypt.dat,FTP服务器的登录用户名和密码分别为waf和123。现需要手动离线升级WAF特征库,加载最新的WAF特征。

2. 组网图

图1-4 手动离线升级WAF特征库配置组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。

[Device] ip route-static 5.5.5.0 24 2.2.2.2

(3)     配置接口加入安全域

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

[Device] security-zone name dmz

[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3

[Device-security-zone-DMZ] quit

(4)     配置安全策略

¡     配置安全策略规则放行Trust到Untrust安全域的流量,使内网用户可以访问外网资源

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-10-trust-untrust] source-zone trust

[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24

[Device-security-policy-ip-10-trust-untrust] destination-zone untrust

[Device-security-policy-ip-10-trust-untrust] action pass

[Device-security-policy-ip-10-trust-untrust] quit

¡     配置安全策略规则放行Trust到DMZ安全域的流量,使内网用户可以访问DMZ安全域中的服务器

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-dmz

[Device-security-policy-ip-11-trust-dmz] source-zone trust

[Device-security-policy-ip-11-trust-dmz] source-ip-subnet 192.168.1.0 24

[Device-security-policy-ip-11-trust-dmz] destination-zone dmz

[Device-security-policy-ip-11-trust-dmz] action pass

[Device-security-policy-ip-11-trust-dmz] quit

¡     配置安全策略规则放行设备与FTP服务器之间的流量,使设备可以访问FTP服务器,获取特征库文件

[Device] security-policy ip

[Device-security-policy-ip] rule name downloadlocalout

[Device-security-policy-ip-12-downloadlocalout] source-zone local

[Device-security-policy-ip-12-downloadlocalout] destination-zone dmz

[Device-security-policy-ip-12-downloadlocalout] destination-ip-subnet 192.168.2.0 24

[Device-security-policy-ip-12-downloadlocalout] application ftp

[Device-security-policy-ip-12-downloadlocalout] application ftp-data

[Device-security-policy-ip-12-downloadlocalout] action pass

[Device-security-policy-ip-12-downloadlocalout] quit

# 激活安全策略配置。

[Device-security-policy-ip] accelerate enhanced enable

[Device-security-policy-ip] quit

(5)     手动升级WAF特征库

# 采用FTP方式手动离线升级设备上的WAF特征库,且被加载的WAF特征库文件名为waf-1.0.8-encrypt.dat。

[Device] waf signature update ftp://waf:[email protected]/waf-1.0.8-encrypt.dat

4. 验证配置

WAF特征库升级后,可以通过display waf signature library命令查看当前特征库的版本信息。

1.15.4  定时自动升级WAF特征库配置举例

1. 组网需求

图1-5所示,位于Trust安全域的内部网络可以通过Device访问Untrust安全域的Internet资源。现要求每周六上午九点前后半小时内,开始定期自动在线升级设备的WAF特征库。

2. 组网图

图1-5 定时自动升级WAF特征库配置组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。

[Device] ip route-static 5.5.5.0 24 2.2.2.2

(3)     配置接口加入安全域

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(4)     配置DNS服务器地址

# 指定DNS服务器的IP地址为10.72.66.36,确保Device可以获取到官网的IP地址,具体配置步骤如下。

[Device] dns server 10.72.66.36

(5)     配置安全策略

¡     配置安全策略规则放行Trust到Untrust安全域的流量,使内网用户可以访问外网资源

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-10-trust-untrust] source-zone trust

[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24

[Device-security-policy-ip-10-trust-untrust] destination-zone untrust

[Device-security-policy-ip-10-trust-untrust] action pass

[Device-security-policy-ip-10-trust-untrust] quit

¡     配置安全策略规则放行Local到Untrust安全域的流量,使设备可以访问官网的特征库服务专区,获取特征库文件

[Device] security-policy ip

[Device-security-policy-ip] rule name downloadlocalout

[Device-security-policy-ip-11-downloadlocalout] source-zone local

[Device-security-policy-ip-11-downloadlocalout] destination-zone untrust

[Device-security-policy-ip-11-downloadlocalout] action pass

[Device-security-policy-ip-11-downloadlocalout] quit

# 激活安全策略配置。

[Device-security-policy-ip] accelerate enhanced enable

[Device-security-policy-ip] quit

(6)     配置定期自动在线升级WAF特征库

# 设置定时自动升级WAF特征库计划为:每周六上午9:00:00前后30分钟内,开始自动升级。

[Device] waf signature auto-update

[Device-waf-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60

[Device-waf-autoupdate] quit

4. 验证配置

设置的定期自动在线升级WAF特征库时间到达后,可以通过display waf signature library命令查看当前特征库的版本信息。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们