• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 Web配置指导(R6612 E6453)-6W106

48-WEB安全防护

本章节下载 48-WEB安全防护  (448.46 KB)

48-WEB安全防护


1 WEB安全防护

1.1  WEB安全防护简介

随着网络信息化的发展,越来越多的企业利用WEB应用系统提供客户服务,进行产品推广、市场宣传、培训服务、远程服务协作甚至网上交易。WEB2.0的发展更是加强了用户和WEB服务之间的交互性,但是各种安全问题也随之而来。WEB应用数据被窃取、网页被篡改,甚至WEB站点成为传播木马的傀儡,给更多访问者造成危害,带来损失;也对政府、公司形象造成严重的破坏。

WEB防护功能通过增加WEB应用防护策略,匹配条件是源地址、目的地址(Web服务器地址)和端口,同时在策略下配置各个防护功能(规则防护、精确访问控制、防盗链、CSRF攻击防护、CC攻击防护、应用隐藏、网页防篡改),当报文匹配策略时,就会逐一进行防护功能的处理,并执行相应的动作。可以帮助用户进行Web安全防御,提高网站安全性,而且集成了网络爬虫识别和过滤、网站资源盗链防护、内容关键字过滤、HTTP协议合规性和URL参数合规性检查等功能,帮助用户对网站的访问进行过滤和优化,提高网站运营的稳定性和服务质量。

1.2  防护策略

1.2.1  防护策略配置

图1-1所示,在导航栏中选择“策略配置>安全设置>WEB防护>防护策略”,进入防护策略界面。

图1-1 防护策略界面

 

表1-1 防护策略界面详细描述表

标题项

说明

名称

策略名称

源地址

策略匹配的源地址

目的地址

策略匹配的目的地址

服务端口

HTTP服务的端口默认80

描述

策略描述

启用

策略状态

防护配置

策略启用的防护类型

操作

操作动作:编辑,删除

 

图1-2示,在导航栏中选择“策略配置>安全设置>WEB防护>防护策略”,进入防护策略的配置界面。点击“新建”弹框进入防护策略配置界面。

图1-2 防护策略配置界面

 

表1-2 防护策略配置界面详细描述表

标题项

说明

名称

策略名称

源地址

策略匹配的源地址

目的地址

策略匹配的目的地址

服务端口

HTTP服务的端口默认80

域名

服务的域名,可选项

描述

策略描述

启用

策略状态

防护配置

策略启用的防护类型

 

说明

Web防护的优先级是精确访问控制、规则防护、防盗链、CSRF攻击防护、CC攻击防护、网页防篡改、应用隐藏,在未阻断情况下依次防护。

 

1.2.2  精确访问控制

精确访问控制是指用户可以根据自己的防护需求,自行定义一些防护规则,用于控制客户端的访问。这些规则不同于引擎规则,主要是基于HTTP协议头部的检测规则,可以实现黑白名单、封禁特定的URL等功能。

在导航栏中选择“策略配置>安全设置>WEB防护>防护策略”,点击“新建”进入防护策略配置界面,在防护配置中选择“精确访问控制”标签页进入精确访问控制配置页面。如图1-3所示,界面显示信息的含义如表1-3所示。

图1-3 精确访问控制配置界面

 

表1-3 精确访问控制配置界面详细描述表

标题项

说明

启用

启用禁用精确访问控制

ID

规则ID

匹配条件

规则匹配条件

处理动作

精确访问规则处理动作:允许,拒绝

日志级别

日志级别

描述

精确访问规则描述

操作

操作动作:编辑,删除

 

图1-4所示,在精确访问控制页面。点击“新建”弹框进入精确访问控制规则配置页面。各个配置项的含义如表1-4所示。

图1-4 精确访问控制规则配置界面

 

表1-4 精确访问控制规则配置界面详细描述表

标题项

说明

检测字段

匹配的检测字段

匹配方式

匹配的方式

匹配内容

匹配的内容

处理动作

动作:允许,拒绝

不再继续安全检查

其它WAF安全模块是否继续检查报文

日志级别

日志级别设置

描述

规则描述

启用

开启禁用规则

 

1.2.3  规则防护

支持多种类型攻击防护(规则分类)

·     HTTP协议检查。

·     SQL注入攻击防护。

·     XSS攻击防护。

·     目录遍历防护。

·     恶意扫描与爬虫防护。

·     木马防护。

·     敏感信息泄漏防护。

·     会话劫持防护。

·     文件上传防病毒扫描。

·     其它攻击防护(命令执行,代码执行,文件包含、会话固定、HTTP响应拆分等相关规则)

在导航栏中选择“策略配置>安全设置>WEB防护>防护策略”,点击“新建”进入防护策略配置界面,在防护配置中选择“规则防护”标签页进入规则防护配置页面。如图1-5所示,界面显示信息的含义如表1-5所示。

图1-5 规则防护配置界面

 

表1-5 规则防护配置界面详细描述表

标题项

说明

启用

开启关闭规则防护

日志

开启关闭日志

防护等级

默认规则库模板选择

防护类型

规则库自定义规则选择

 

图1-6所示,在规则防护配置界面点击“防护类型”后面的蓝色超链接,弹框出现防护类型配置页面。

图1-6 防护类型配置界面

 

表1-6 防护类型配置界面详细描述表

标题项

说明

名称

勾选需要开启防暴力破解功能的服务

ID

防暴力破解的检测周期

级别

攻击次数,达到阈值触发防暴力破解记录攻击事件

启用

启用禁用规则

日志

启用禁用日志记录

阻断

阻断数据

 

1.2.4  防盗链

盗链是指某些网站自己并没有存储内容,其资源,比如图片和文件,都是通过技术手段从其它网站盗取的。防盗链也就是禁止其它网站盗用本网站的链接,这样不仅可以避免对本网站利益的损害,还可以减轻服务器的负担。

WEB防护通过检查HTTP请求头部的referer字段来判断是否为盗链行为。该字段会存储访问目的网页的来源网页,如果该字段不为空,且其值不是允许的入口时,就认为是盗链。

防盗链支持全站防盗链、对指定的URL防盗链和对指定的文件类型防盗链。

 

图1-7所示,在防护策略配置界面选择“防盗链”标签页,进入防盗链配置页面。

图1-7 防盗链配置界面

 

表1-7 防盗链配置界面详细描述表

标题项

说明

启用

启用禁用防盗链功能

防护范围

范围:全站,指定URL,指定文件类型

站点白名单

白名单站点

处理动作

动作:允许,拒绝

日志级别

日志级别设定

 

1.2.5  CSRF攻击防护

CSRF 攻击可在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作。通过对http头中referer字段的检查,检测并防护此类攻击。通过部署WEB应用防火墙并对所保护的服务器配置CSRF防御功能,包括防护的url及允许访问的referer,可以有效防止网站受到CSRF攻击。

 

图1-8所示,在防护策略配置界面选择“CSRF攻击防护”标签页,进入CSRF攻击防护配置页面。

图1-8 CSRF攻击防护配置界面

 

图1-9所示,在CSRF攻击防护页面。点击“新建”弹框出现CSRF攻击防护规则配置页面。

图1-9 CSRF攻击防护配置界面

 

表1-8 CSRF攻击防护配置界面详细描述表

标题项

说明

防护的URL

被保护的URL

允许的来源URL

允许的URL

处理动作

动作:允许,拒绝

日志级别

日志级别设定

启用

启用禁用规则

 

1.2.6  CC攻击防护

CC攻击是一种针对HTTP服务的DDOS攻击,攻击者通过代理服务器或者肉鸡向受害主机不停地发送大量请求包,消耗HTTP服务器资源,拖慢甚至瘫痪受害主机,从而影响正常的HTTP访问。CC攻击防护支持全站防护和对指定的URL进行防护。

图1-10所示,在防护策略配置界面选择“CC攻击防护”标签页,进入CC攻击防护配置页面。

图1-10 CC攻击防护配置界面

 

表1-9 CC攻击防护配置界面详细描述表

标题项

说明

启用

启用禁用CC攻击防护

防护范围

范围:全站,指定URL

检测时长

CC防护检测周期

访问次数

访问指定url的次数

处理动作

动作:允许,拒绝

日志级别

日志的级别设定

 

1.2.7  网页防篡改

图1-11所示,在防护策略配置界面选择“网页防篡改”标签页,进入网页防篡改配置页面。

图1-11 网页防篡改配置界面

 

表1-10 网页防篡改配置界面详细描述表

标题项

说明

启用

启用禁用网页防篡改功能

起始URL

被保护的URL

例外URL

不检测的URL

处理动作

动作:允许,拒绝

日志级别

日志的级别设定

 

1.2.8  应用隐藏

应用隐藏是指隐藏HTTP服务端返回的某些信息,比如服务器版本,服务器端编码方式以及某些特定的错误码等,这些信息很可能被攻击者利用从而进行有针对的攻击,比如服务器版本为Apache/2.4.23,那么如果攻击者知道这个版本的漏洞,就能轻易的进行攻击。

应用隐藏支持屏蔽HTTP头部的Server字段和X-Powered-By字段,Server字段是服务器版本信息,比如Apache/2.4.23,X-Powered-By字段是服务器端编码方式,比如PHP/5.5.38。

此外,还支持4xx(客户端错误码)和5xx(服务端错误码)错误码的检查和返回内容的替换。服务器返回的错误信息往往包含服务器的重要信息,这些信息也很可能被攻击者利用。当返回码是4xx或5xx时,设备会将返回页面替换为一个不包含任何关键信息的预设页面,避免服务器信息的泄漏。

对于某个被防护的站点,Server字段的屏蔽、X-Powered-By字段的屏蔽、4xx错误码的替换以及5xx错误码的替换,都支持单独开启关闭。

图1-12所示,在防护策略配置界面选择“应用隐藏”标签页,进入应用隐藏配置页面。

图1-12 应用隐藏配置界面

 

表1-11 应用隐藏配置界面详细描述表

标题项

说明

启用

启用禁用应用隐藏功能

隐藏Server信息

隐藏服务器信息

隐藏X-powered-By

隐藏服务器信息

替换客户端出错页面(4xx)

替换(4xx)指定默认页面

替换服务器端出错页面(5xx)

替换(5xx)指定默认页面

日志级别

日志解绑设定

 

1.3  规则库

图1-13所示,在导航栏中选择“策略配置>安全设置>WEB防护>规则库”,进入规则库查询界面。

图1-13 规则库查询界面

 

表1-12 服务配置界面详细描述表

标题项

说明

命中次数清零

点击清空规则命中次数

名称

规则名称

规则ID

规则的ID

级别

规则的级别

防护等级

规则的防护等级

命中次数

规则的命中次数

 

1.4  防篡改网页缓存

图1-14所示,在导航栏中选择“策略配置>安全设置>WEB防护>防篡改网页缓存”,进入防篡改网页缓存配置界面。

图1-14 防篡改网页缓存配置界面

 

表1-13 防篡改网页缓存配置界面详细描述表

标题项

说明

缓存清理

清理勾选的缓存URL

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们