62-WEB防护型配置举例
本章节下载: 62-WEB防护型配置举例 (406.76 KB)
随着网络信息化的发展,越来越多的企业利用WEB应用系统提供客户服务,进行产品推广、市场宣传、培训服务、远程服务协作甚至网上交易。WEB2.0的发展更是加强了用户和WEB服务之间的交互性,但是各种安全问题也随之而来。WEB应用数据被窃取、网页被篡改,甚至WEB站点成为传播木马的傀儡,给更多访问者造成危害,带来损失;也对政府、公司形象造成严重的破坏。目前WAF设备产品是用户用来保护WEB应用的首要选择。为了能够给客户提供一套更完全的安全解决方案,Web应用防护作为一个功能模块,整体上基于当前的平台设计实现,增加WEB应用防护策略,匹配条件是源地址、目的地址(WEB服务器地址)和端口,同时在策略下配置各个防护功能(精确访问控制、规则防护、防盗链、CSRF攻击防护、CC攻击防护、网页防篡改、应用隐藏),当报文匹配策略时,就会逐一进行防护功能的处理,并执行相应的动作。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解WEB防护特性。
WEB防护的优先级是精确访问控制、规则防护、防盗链、CSRF攻击防护、CC攻击防护、网页防篡改、应用隐藏,在未阻断情况下依次防护。
如图1所示,公司内网中存在主机192.168.1.50/24和192.168.1.116/24两台主机,在设备上启用WEB防护功能,增加WEB应用防护策略,以此来实现主机访问网络的安全防护。
图1 WEB防护功能配置组网图
· 新建防护策略
· 配置规则防护
· 配置防盗链
· 配置CSRF
· 配置CC攻击防护
· 配置网页防篡改
· 配置应用隐藏
本举例是在R6614版本上进行配置和验证的。
· WEB防护功能包含精确访问控制、规则防护、防盗链、CSRF攻击防护、CC攻击防护、网页防篡改、应用隐藏7个模块,每个模块都需配置相应策略。
· 根据严重程度的不同,日志分为以下几个级别:紧急、告警、严重、错误、警告、通知、信息。
· 规则防护日志对应下面web防护策略中的规则防护 ;精确访问控制、规则防护、防盗链、CSRF攻击防护、CC攻击防护、网页防篡改、应用隐藏等功能模块产生的日志记录在高级防护日志中。
· 及时升级最新规则库。
· 防护策略开启并引用。
· 匹配策略IP端口的流量通过WEB防护系统转发。
进入“策略配置>安全设置>WEB防护>防护策略”,点击“新建”进入WEB防护策略配置页面,完成后点击提交,如图2所示。
图2 配置WEB防护策略
在WEB防护策略配置页面选择规则防护子菜单,启用规则防护,选择防护等级,完成后点击提交。如图3所示。
在WEB防护策略配置页面选择防盗链子菜单,勾选启用,选择防护范围,完成后点击提交。如图4所示。
在WEB防护策略配置页面选择CSRF攻击防护子菜单,勾选启用,新建防护的url,完成后点击提交。如图5、图6所示。
图6 配置CSRF防护规则
在WEB防护策略配置页面选择CC攻击防护子菜单,勾选启用,选择防护范围,访问次数,处理动作。如图7所示,
图7 配置CC防护
在WEB防护策略配置页面选择网页防篡改子菜单,勾选启用,填写防护url,处理动作。如图8所示。
在WEB防护策略配置页面选择应用隐藏子菜单,勾选启用,选择防护类型。如图9所示,
使用测试PC进行攻击测试。
在导航栏中选择“数据中心>日志中心>安全日志>WEB防护日志”,进入WEB防护日志页面,可以查看到WEB防护日志规则防护信息。如图10所示。
图10 WEB规则防护日志
在导航栏中选择“数据中心>日志中心>安全日志>WEB防护日志”,点击进入高级防护日志页面,可以查看到WEB防护高级防护信息。如图11所示
图11 WEB高级防护日志
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!