10-WAF配置
本章节下载: 10-WAF配置 (475.78 KB)
WAF(Web application firewall,Web应用防火墙)用于阻断Web应用层攻击,保护内网用户和内部Web服务器。当设备收到来自外部的HTTP或HTTPS请求后,会执行防护策略,对请求内容的安全性和合法性进行检测和验证,对非法的请求予以实时阻断,从而对内网的用户和Web服务器进行有效防护。
WAF支持通过如下功能对Web应用层攻击进行检测与防护。
设备通过对攻击行为的特征进行检测,保护内网用户和服务器免受Web应用层攻击。
CC(Challenge Collapsar,挑战黑洞)攻击是DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的一种,也是一种常见的网站攻击方法。CC攻击防护功能通过对来自Web应用程序客户端的请求进行内容检测、规则匹配和统计计算,对攻击请求予以实时阻断,从而对内网的Web服务器进行有效防护。
设备基于WAF策略对攻击报文进行处理。WAF策略中定义了匹配报文的WAF特征和处理报文的WAF特征动作。
WAF特征用来描述网络中的Web应用层攻击行为的特征,设备通过将报文与WAF特征进行比较来检测和防御攻击。WAF特征包含多种属性,例如攻击分类、动作、保护对象、严重级别和方向。这些属性可作为过滤条件来筛选WAF特征。
设备支持以下两种类型的WAF特征:
· 预定义WAF特征:系统中的WAF特征库自动生成。设备不支持对预定义WAF特征的内容进行创建、修改和删除。
· 自定义WAF特征:管理员在设备上手工创建。通常新的网络攻击出现后,与其对应的攻击特征会出现的比较晚一些。如果管理员已经掌握了新网络攻击行为的特点,可以通过自定义方式创建WAF特征,及时阻止网络攻击,否则,不建议用户自定义WAF特征。
WAF特征动作是指设备对匹配上WAF特征的报文做出的处理。WAF处理动作包括如下几种类型:
· 重置:通过发送TCP的reset报文断开TCP连接。
· 重定向:把符合特征的报文重定向到指定的Web页面上。
· 源阻断:阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能(由blacklist global enable开启),则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名单过滤功能的详细介绍请参见“安全配置指导”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。
· 丢弃:丢弃符合特征的报文。
· 放行:允许符合特征的报文通过。
· 捕获:捕获符合特征的报文。
· 生成日志:对符合特征的报文生成日志信息。
WAF特征匹配处理流程如图1-1所示:
图1-1 WAF特征匹配处理流程图
WAF特征匹配功能是通过在DPI应用profile中引用WAF策略,并在安全策略中引用DPI应用profile来实现的,WAF特征匹配处理的具体实现流程如下:
(1) 设备识别应用层报文协议并提取报文特征。
(2) 设备将提取的报文特征与WAF特征进行匹配,并进行如下处理:
¡ 如果报文未与任何WAF特征匹配成功,则设备对报文执行允许动作。
¡ 如果报文只与一个WAF特征匹配成功,则根据此特征中指定的动作进行处理。
¡ 如果报文同时与多个WAF特征匹配成功,则根据这些动作中优先级最高的动作进行处理。动作优先级从高到低的顺序为:重置 > 重定向 > 丢弃 > 允许。但是,对于源阻断、生成日志和捕获三个动作只要匹配成功的特征中存在就会执行。
设备基于CC攻击防护策略对CC攻击行为进行检测,CC攻击防护策略中定义了攻击报文的匹配条件、攻击行为的检测方式以及处理报文的动作等。
设备支持使用请求速率和请求集中度双重检测方式对CC攻击进行检测。
· 请求速率检测:用于检测客户端是否过于频繁地访问某网站。
· 请求集中度检测:用于检测客户端是否主要针对某网站进行访问。
每种检测方式可以分别配置检测阈值,设备将统计到的用户访问网站的结果与检测阈值进行比较,如果统计结果达到任意一个检测阈值,则认为客户端的访问为CC攻击。
CC攻击防护功能是通过在安全策略中引用WAF策略,并且在WAF策略中引用CC攻击防护策略来实现的。当用户的数据流量经过设备时,设备将进行CC攻击防护处理。处理流程如图1-2所示:
图1-2 CC攻击防护数据处理流程图
(1) 如果报文与例外IP地址匹配成功,则直接放行该报文;如果未匹配成功,则进入步骤(2)处理。
(2) 设备对报文进行深度内容检测,并提取报文内容。
(3) 设备将提取的报文内容与CC攻击防护策略规则进行匹配,并进行如下处理:
¡ 如果未匹配到任何CC攻击防护策略规则,则对报文执行允许动作。
¡ 如果匹配到一条CC攻击防护策略规则,则不再进行后续规则匹配,进入步骤(4)处理。
(4) 设备对报文数据进行统计,并与规则下配置的检测项阈值进行比较,并进行如下处理:
¡ 如果统计结果达到任意一个检测项的阈值,则认为存在CC攻击行为,并执行规则下配置的动作,包括允许、黑名单和记录日志。
¡ 如果未达到阈值,则放行报文。
当WAF特征匹配与CC攻击防护功两种功能检测出同一个攻击报文时,则对报文执行两种功能的处理动作中更高优先级的动作。动作优先级从高到低依次为:重置 > 重定向 > 丢弃 > 允许,对于黑名单、日志和捕获三个动作只要处理动作中包含就会执行。
WAF特征库是用来对经过设备的应用层流量进行Web攻击检测和防御的资源库。随着网络攻击不断的变化和发展,需要及时升级设备中的WAF特征库,同时设备也支持WAF特征库回滚功能。
WAF特征库的升级包括如下几种方式:
· 定期自动在线升级:设备根据管理员设置的时间定期自动更新本地的WAF特征库。
· 立即自动在线升级:管理员手工触发设备立即更新本地的WAF特征库。
· 手动离线升级:当设备无法自动获取WAF特征库时,需要管理员先手动获取最新的WAF特征库,再更新设备本地的WAF特征库。
如果管理员发现设备当前WAF特征库对报文进行检测和防御Web攻击时,误报率较高或出现异常情况,则可以将其进行回滚到出厂版本和上一版本。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
F1000系列 |
型号 |
说明 |
F1000-X-G5系列 |
F1000-A-G5、F1000-C-G5、F1000-C-G5-LI、F1000-E-G5、F1000-H-G5、F1000-S-G5 |
支持 |
F1000-X-G3系列 |
F1000-A-G3、F1000-C-G3、F1000-E-G3、F1000-S-G3 |
支持 |
F1000-X-G2系列 |
F1000-A-G2、F1000-C-G2、F1000-E-G2、F1000-S-G2 |
支持 |
F1000-9X0-AI系列 |
F1000-9390-AI、F1000-9385-AI、F1000-9380-AI、F1000-9370-AI、F1000-9360-AI、F1000-9350-AI、F1000-990-AI、F1000-980-AI、F1000-970-AI、F1000-960-AI、F1000-950-AI、F1000-930-AI、F1000-920-AI |
支持 |
F1000-9330-AI、F1000-9320-AI、F1000-9310-AI、F1000-9305-AI、F1000-910-AI、F1000-905-AI |
不支持 |
|
F1000-C83X0系列 |
F1000-C8395、F1000-C8390、F1000-C8385、F1000-C8380、F1000-C8370、F1000-C8360、F1000-C8350 |
支持 |
F1000-C8330、F1000-C8320、F1000-C8310、F1000-C8305 |
不支持 |
|
F1000-C81X0系列 |
F1000-C8180、F1000-C8170、F1000-C8160 |
支持 |
F1000-C8150、F1000-C8130、F1000-C8120、F1000-C8110 |
不支持 |
|
F1000-7X0-HI系列 |
F1000-770-HI、F1000-750-HI、F1000-740-HI |
支持 |
F1000-730-HI、F1000-720-HI、F1000-710-HI |
不支持 |
|
F1000-C-X系列 |
F1000-C-EI、F1000-C-HI、F1000-C-XI、F1000-E-XI |
支持 |
F1000-V系列 |
F1000-E-VG |
支持 |
F1000-S-VG |
不支持 |
|
SecBlade IV |
LSPM6FWD8、LSQM2FWDSC8 |
支持 |
F100系列 |
型号 |
说明 |
F100-X-G5系列 |
F100-E-G5 |
支持 |
F100-A-G5、F100-C-G5、F100-C-G5-EI、F100-C-G5-SI、F100-M-G5、F100-M-G5-EI、F100-S-G5 |
不支持 |
|
F100-X-G3系列 |
F100-A-G3、F100-E-G3 |
支持 |
F100-C-G3、F100-M-G3、F100-S-G3 |
不支持 |
|
F100-X-G2系列 |
F100-A-G2、F100-E-G2 |
支持 |
F100-C-G2、F100-M-G2、F100-S-G2 |
不支持 |
|
F100-WiNet系列 |
F100-A80-WiNet、F100-A91-WiNet |
支持 |
F100-C80-WiNet、F100-C60-WiNet、F100-C50-WiNet、F100-S80-WiNet、F100-A81-WiNet |
不支持 |
|
F100-C-A系列 |
F100-C-A6、F100-C-A5、F100-C-A3、F100-C-A2、F100-C-A1、F100-C-A6-WL、F100-C-A5-W、F100-C-A3-W |
不支持 |
F100-X-XI系列 |
F100-A-EI、F100-A-HI、F100-A-SI、F100-E-EI |
支持 |
F100-C-EI、F100-C-HI、F100-A-XI、F100-C-XI、F100-S-HI、F100-S-XI |
不支持 |
WAF功能需要购买并正确安装License后才能使用。License过期后,WAF功能可以采用设备中已有的WAF特征库正常工作,但无法升级到官方网站在过期时间后发布的新版本的特征库。关于License的详细介绍请参见“基础配置指导”中的“License管理”。
(1) 创建WAF策略
(2) 配置筛选WAF特征的属性
(3) 配置WAF特征动作
(4) 配置WAF特征动作引用的应用层检测引擎动作参数profile
(1) 创建WAF策略
(2) 创建CC攻击防护策略
(3) 创建CC攻击防护策略规则
(5) (可选)管理CC攻击防护策略规则
(1) (可选)激活WAF策略配置
(4) (可选)配置自定义WAF特征
(5) (可选)配置WAF特征库升级和回滚
缺省情况下,WAF策略将使用当前设备上所有处于生效状态的WAF特征与报文进行匹配,并对匹配成功的报文执行WAF特征属性中的动作。管理员可根据实际需求,在新建的WAF策略中,将WAF特征的属性作为过滤条件,筛选出需要与报文进行匹配的WAF特征,并配置WAF特征动作。
(1) 进入系统视图。
system-view
(2) 创建WAF策略,并进入WAF策略视图。
waf policy policy-name
缺省情况下,存在一个缺省WAF策略,名称为default,且不能被修改或删除。
在WAF策略中,可以定义不同类型的属性作为WAF特征的过滤条件。如果某个属性中配置了多个参数,则WAF特征至少需要匹配上其中一个参数,才表示匹配上该属性。
(1) 进入系统视图。
system-view
(2) 进入WAF策略视图。
waf policy policy-name
(3) 配置筛选WAF特征的属性。
¡ 配置筛选WAF特征的保护对象属性。
protected-target { target [ sub-target subtarget ]| all }
缺省情况下,WAF策略匹配所有保护对象的特征。
¡ 配置筛选WAF特征的攻击分类属性。
attack-category { category [ sub-category subcategory ] | all }
缺省情况下,WAF策略匹配所有攻击分类的特征。
¡ 配置筛选WAF特征的动作属性。
action { block-source | drop | permit | reset } *
缺省情况下,WAF策略匹配所有动作的特征。
¡ 配置筛选WAF特征的方向属性。
object-dir { client | server } *
缺省情况下,WAF策略匹配所有方向的特征。
¡ 配置筛选WAF特征的严重级别属性。
severity-level { critical | high | low | medium } *
缺省情况下,WAF策略匹配所有严重级别的特征。
缺省情况下,新建WAF策略执行特征属性中的动作。管理员也可以根据实际网络需求,为WAF策略中所有特征配置统一的动作,或者为指定的特征配置动作。
设备对以上动作执行的优先级为:WAF策略中为指定特征配置的动作 > WAF策略为所有特征配置的统一动作 > WAF特征自身属性的动作。
若动作配置为logging,生成的日志信息不会输出到控制台和监视终端。此时如需获取该日志,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。
(1) 进入系统视图。
system-view
(2) 进入WAF策略视图。
waf policy policy-name
(3) 配置WAF策略中所有特征的统一动作。
signature override all { { block-source | drop | permit | redirect | reset } | capture | logging } *
缺省情况下,WAF策略执行特征属性中的动作。
(4) (可选)修改WAF策略中指定特征的动作和生效状态。
signature override pre-defined signature-id { disable | enable } [ { block-source | drop | permit | redirect | reset } | capture | logging ] *
缺省情况下,预定义WAF特征使用系统预定义的状态和动作。
每类WAF特征动作的具体执行参数由应用层检测引擎动作参数profile来定义,该profile的具体配置请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
如果WAF特征动作引用的应用层检测引擎动作参数profile不存在或没有引用,则使用系统各类动作参数的缺省值。
(1) 进入系统视图。
system-view
(2) 配置WAF特征动作引用的应用层检测引擎动作参数profile。
waf { block-source | capture | logging | redirect } parameter-profile parameter-name
缺省情况下,WAF特征动作未引用应用层检测引擎动作参数profile。
WAF策略中未引用CC攻击防护策略,用户需要手工新建一个WAF策略,并在其中引用CC攻击防护策略才能使CC攻击防护功能生效。
(1) 进入系统视图。
system-view
(2) 创建WAF策略,并进入WAF策略视图。
waf policy policy-name
缺省情况下,存在一个缺省WAF策略,名称为default,不能被修改或删除,且未引用CC攻击防护策略。
设备基于CC攻击防护策略对攻击报文进行处理,管理员可以根据实际需求配置匹配报文的过滤条件以及检测项等。
(1) 进入系统视图。
system-view
(2) 创建CC攻击防护策略,并进入CC攻击防护策略视图。
cc-defense policy policy-name
(3) (可选)配置CC攻击防护策略的描述信息。
description text-string
(4) (可选)配置CC攻击检查项的检测周期。
detection-interval interval
缺省情况下,CC攻击检查项的检测周期为30秒。
(5) (可选)配置CC攻击防护例外IP地址。
exception { ipv4 ipv4-address | ipv6 ipv6-address }
缺省情况下,未配置CC攻击防护例外IP地址。
CC攻击防护策略规则下可以配置如下内容:
· CC攻击检测的过滤条件,包括:目的IP地址、目的端口号和请求方法。
· CC攻击防护策略规则防护的路径。
· CC攻击检测的检查项阈值。
· CC攻击防护策略规则的动作。
CC攻击防护策略规则的匹配顺序为配置顺序,当报文与一条规则匹配成功时,则结束匹配过程。
(1) 进入系统视图。
system-view
(2) 进入CC攻击防护策略视图。
cc-defense policy policy-name
(3) 创建CC攻击防护策略规则,并进入CC攻击防护策略规则视图。
rule name rule-name
(4) 配置过滤条件。
¡ 配置作为CC攻击防护策略规则过滤条件的目的IP地址。
destination-address { ipv4 ipv4-address | ipv6 ipv6-address }
¡ 配置作为CC攻击防护策略规则过滤条件的目的端口。
destination-port port-number
¡ 配置作为CC攻击防护策略规则过滤条件的请求方法。
method { connect | delete | get | head | options | post | put | trace } *
(5) 配置CC攻击防护策略规则防护的路径。
protected-url url-text
缺省情况下,未配置CC攻击防护策略规则防护的路径。
(6) 开启X-Forwarded-For字段检测功能。
xff-detection enable
缺省情况下,X-Forwarded-For字段检测功能处于关闭状态。
(7) 配置CC攻击检测项。
cc-detection-item { request-concentration [ concentration-value ] [ request-number number ] | request-rate [ rate-value ] }
缺省情况下,未配置CC攻击检测项,设备不对检查项进行检测。
(8) 配置规则动作。
action { block-source [ block-time ] | permit }
缺省情况下,CC攻击防护策略规则的动作为permit。
(9) 开启日志记录功能。
logging enable
缺省情况下,日志记录功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入WAF策略视图。
waf policy policy-name
(3) 在WAF策略中引用CC攻击防护策略。
apply cc-defense policy policy-name
(1) 进入系统视图。
system-view
(2) 进入CC攻击防护策略视图。
cc-defense policy policy-name
(3) 移动CC攻击防护策略规则。
rule move rule-name1 { after | before } rule-name2
(1) 进入系统视图。
system-view
(2) 进入CC攻击防护策略视图。
cc-defense policy policy-name
(3) 复制CC攻击防护策略规则。
rule copy rule-name new-rule-name
缺省情况下,当WAF策略发生变更时(即被创建、修改和删除),系统将会检测在20秒的间隔时间内是否再次发生了配置变更,并根据判断结果执行如下操作:
· 如果间隔时间内未发生任何配置变更,则系统将在下一个间隔时间结束时(即40秒时)执行一次激活操作,使这些策略的配置生效。
· 如果间隔时间内再次发生了配置变更,则系统将继续按照间隔时间周期性地检测是否发生配置变更。
如果用户希望对变更的配置立即进行激活,可执行inspect activate命令手工激活,使配置立即生效。
有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
(1) 进入系统视图。
system-view
(2) 激活WAF策略配置。
inspect activate
缺省情况下,WAF策略被创建、修改和删除后,系统会自动激活配置使其生效。
执行此命令会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制等。
DPI应用profile是一个安全业务的配置模板,为实现WAF功能,必须在DPI应用profile中引用指定的WAF策略。
一个DPI应用profile中只能引用一个WAF策略,如果重复配置,则新的配置会覆盖已有配置。
(1) 进入系统视图。
system-view
(2) 进入DPI应用profile视图。
app-profile profile-name
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
(3) 在DPI应用profile中引用WAF策略。
waf apply policy policy-name mode { protect | alert }
缺省情况下,DPI应用profile中未引用WAF策略。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略规则的动作为允许。
action pass
缺省情况下,安全策略规则动作是丢弃。
(5) 配置安全策略规则引用DPI应用profile。
profile app-profile-name
缺省情况下,安全策略规则中未引用DPI应用profile。
当需要的WAF特征在设备当前WAF特征库中不存在时,可通过手工方式创建所需的WAF特征。
(1) 进入系统视图。
system-view
(2) 创建自定义WAF特征,并进入自定义WAF特征视图。
waf signature user-defined name signature-name
缺省情况下,未配置自定义WAF特征。
(3) (可选)配置自定义WAF特征的描述信息。
description text
特征具有多种属性,包括动作、检测方向、严重级别和特征下规则间的逻辑关系。
一个自定义特征下可以配置多条规则作为特征的匹配条件,如果规则间是逻辑与的关系,报文需要匹配该自定义特征的所有规则才结束匹配过程;如果规则间是逻辑或的关系,一旦报文与某条规则匹配成功就结束此匹配过程。
(1) 进入系统视图。
system-view
(2) 进入自定义WAF特征视图。
waf signature user-defined name signature-name
缺省情况下,不存在自定义WAF特征。
(3) 配置自定义WAF特征属性。
¡ 配置自定义WAF特征的动作。
action { block-source | drop | permit | reset } [ capture | logging ] *
缺省情况下,自定义WAF特征的动作为permit。
¡ 配置自定义WAF特征的检测方向。
direction { any | to-client | to-server }
缺省情况下,自定义WAF特征的检测方向为any。
¡ 配置自定义WAF特征的严重级别。
severity-level { critical | high | low | medium }
缺省情况下,自定义WAF特征的严重级别为low。
¡ 配置自定义WAF特征下规则间的逻辑关系。
rule-logic { and | or }
缺省情况下,自定义WAF特征下规则间的逻辑关系为or。
设备支持以下两种类型自定义WAF特征规则:
· 关键字类型
· 数值类型
规则下可以配置匹配条件以及检查项。仅当报文与规则的匹配条件匹配成功后,才会对规则的检查项进行检测。
一条规则可以配多个检查项,用于精确匹配报文中所需检测的内容。检查项之间为逻辑与的关系,匹配顺序为配置顺序,只有所有检查项都匹配成功,规则才算成功匹配。
触发检查项是同一规则下检查项的触发条件,只有关键字类型自定义特征规则才需要配置触发检查项。如果一条规则的触发检查项匹配失败,则该规则匹配失败,不会再对该规则下的检查项进行检测。
· 检查项仅检测指定协议字段范围内的数据。
· 配置检查项匹配的协议字段时,建议依据HTTP协议中各协议字段顺序进行配置,否则可能会影响设备的检测结果。
· 对于关键字类型的自定义特征规则,在配置检查项之前,必须先配置触发检查项。删除触发检查项后,将一并删除所有的检查项。
· 可使用偏移量、检测深度和相对偏移量、相对检测深度两组参数中的任意一组精确定位检查项检测的起始和终止位置。
(1) 进入系统视图。
system-view
(2) 进入自定义WAF特征视图。
waf signature user-defined name signature-name
(3) 创建自定义WAF特征规则,并进入自定义WAF特征规则视图。
rule rule-id pattern-type { integer | keyword }
缺省情况下,未配置自定义WAF特征规则。
(4) 配置自定义WAF特征规则的匹配条件。
¡ 配置自定义WAF特征规则匹配的源IP地址。
source-address ip ip-address
缺省情况下,自定义WAF特征规则匹配所有源IP地址。
¡ 配置自定义WAF特征规则匹配的目的IP地址。
destination-address ip ip-address
缺省情况下,自定义WAF特征规则匹配所有目的IP地址。
¡ 配置自定义WAF特征规则匹配的源端口。
source-port start-port [ to end-port ]
缺省情况下,自定义WAF特征规则匹配所有源端口。
¡ 配置自定义WAF特征规则匹配的目的端口。
destination-port start-port [ to end-port ]
缺省情况下,自定义WAF特征规则匹配所有目的端口。
¡ 配置自定义WAF特征规则匹配的HTTP报文请求方法。
http-method method-name
缺省情况下,自定义WAF特征规则匹配所有HTTP报文请求方法。
(5) 配置关键字类型自定义WAF特征规则的触发检查项和检查项。
a. 配置触发检查项。
trigger field field-name include { hex hex-string | text text-string } [ offset offset-value ] [ depth depth-value ]
b. 配置检查项。
detection-keyword detection-id field field-name match-type { exclude | include } { hex hex-string | regex regex-pattern | text text-string } [ offset offset-value [ depth depth-value ] | relative-offset relative-offset-value [ relative-depth relative-depth-value ] ]
(6) 配置数值类型自定义WAF特征规则的检查项。
detection-integer field field-name match-type { eq | gt | gt-eq | lt | lt-eq | nequ } number
本功能的支持情况与设备型号有关,请以设备的实际情况为准。
F1000系列 |
型号 |
说明 |
F1000-X-G5系列 |
F1000-A-G5、F1000-C-G5、F1000-C-G5-LI、F1000-E-G5、F1000-H-G5、F1000-S-G5 |
支持 |
F1000-X-G3系列 |
F1000-A-G3、F1000-C-G3、F1000-E-G3、F1000-S-G3 |
支持 |
F1000-X-G2系列 |
F1000-A-G2、F1000-C-G2、F1000-E-G2、F1000-S-G2 |
支持 |
F1000-9X0-AI系列 |
F1000-9390-AI、F1000-9385-AI、F1000-9380-AI、F1000-9370-AI、F1000-9360-AI、F1000-9350-AI、F1000-990-AI、F1000-980-AI、F1000-970-AI、F1000-960-AI、F1000-950-AI、F1000-930-AI |
支持 |
F1000-9330-AI、F1000-9320-AI、F1000-9310-AI、F1000-9305-AI、F1000-920-AI、F1000-910-AI、F1000-905-AI |
不支持 |
|
F1000-C83X0系列 |
F1000-C8395、F1000-C8370、F1000-C8360、F1000-C8350、F1000-C8390、F1000-C8385、F1000-C8380 |
支持 |
F1000-C8330、F1000-C8320、F1000-C8310、F1000-C8305 |
不支持 |
|
F1000-C81X0系列 |
F1000-C8180、F1000-C8170、F1000-C8160 |
支持 |
F1000-C8150、F1000-C8130、F1000-C8120、F1000-C8110 |
不支持 |
|
F1000-7X0-HI系列 |
F1000-770-HI、F1000-750-HI、F1000-740-HI |
支持 |
F1000-730-HI、F1000-720-HI、F1000-710-HI |
不支持 |
|
F1000-C-X系列 |
F1000-C-EI、F1000-C-HI、F1000-C-XI、F1000-E-XI |
支持 |
F1000-V系列 |
F1000-E-VG |
支持 |
F1000-S-VG |
不支持 |
|
SecBlade IV |
LSPM6FWD8、LSQM2FWDSC8 |
支持 |
F100系列 |
型号 |
说明 |
F100-X-G5系列 |
F100-E-G5 |
支持 |
F100-A-G5、F100-C-G5、F100-C-G5-EI、F100-C-G5-SI、F100-M-G5、F100-M-G5-EI、F100-S-G5 |
不支持 |
|
F100-X-G3系列 |
F100-A-G3、F100-E-G3 |
支持 |
F100-C-G3、F100-M-G3、F100-S-G3 |
不支持 |
|
F100-X-G2系列 |
F100-A-G2、F100-M-G2、F100-C-G2、F100-S-G2 |
不支持 |
F100-E-G2 |
支持 |
|
F100-WiNet系列 |
F100-A91-WiNet |
支持 |
F100-C80-WiNet、F100-C60-WiNet、F100-C50-WiNet、F100-S80-WiNet、F100-A80-WiNet、F100-A81-WiNet |
不支持 |
|
F100-C-A系列 |
F100-C-A6、F100-C-A5、F100-C-A3、F100-C-A2、F100-C-A1、F100-C-A6-WL、F100-C-A5-W、F100-C-A3-W |
不支持 |
F100-X-XI系列 |
F100-A-EI、F100-A-HI、F100-A-XI、F100-C-HI、F100-S-HI、F100-C-EI、F100-C-XI、F100-S-XI |
不支持 |
F100-A-SI、F100-E-EI |
支持 |
· 请勿删除设备存储介质根目录下的/dpi/文件夹,否则设备升级或回滚特征库会失败。
· 当系统内存使用状态处于告警门限状态时,请勿进行特征库升级或回滚,否则易造成设备特征库升级或回滚失败,进而影响WAF业务的正常运行。有关内存告警门限状态的详细介绍请参见“基础配置指导”中的“设备管理”。
· 自动在线升级(包括定期自动在线升级和立即自动在线升级)WAF特征库时,需要确保设备能通过静态或动态域名解析方式获得官方网站的IP地址,并与之路由可达,否则设备升级WAF特征库会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
· 同一时刻只能对一个特征库进行升级,如果当前已有其他特征库正在升级,请稍后再试。
如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的WAF特征库进行升级。
(1) 进入系统视图。
system-view
(2) 开启定期自动在线升级WAF特征库功能,并进入自动在线升级配置视图。
waf signature auto-update
缺省情况下,定期自动在线升级WAF特征库功能处于关闭状态。
(3) 配置定期自动在线升级WAF特征库的时间。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情况下,设备在每天01:00:00至03:00:00之间自动升级WAF特征库。
(4) (可选)开启WAF特征文件自动覆盖功能。
override-current
缺省情况下,设备定期自动在线升级WAF特征库时会将当前的特征库文件备份为上一版本。
当管理员发现官方网站上的特征库服务专区中的WAF特征库有更新时,可以选择立即自动在线升级方式来及时升级WAF特征库版本。
(1) 进入系统视图。
system-view
(2) 立即自动在线升级WAF特征库。
waf signature auto-update-now
如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级WAF特征库版本。
· 本地升级:使用本地保存的特征库文件升级系统上的WAF特征库版本。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的WAF特征库版本。
使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。
如果管理员希望手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IP地址是一个特定的地址时,可配置source参数。例如,当组网环境中设备发出的报文需要经过NAT地址转换后才能访问TFTP、FTP服务器时,则需要管理员通过source参数指定一个符合NAT地址转换规则的源IP地址(其中,如果设备需要经过一台独立的NAT设备进行地址转换时,本命令指定的IP地址必须可以与NAT设备三层路由可达),使设备发出的报文可以进行NAT地址转换等处理,正常访问TFTP、FTP服务器。
当同时配置了source和vpn-instance参数时,需要保证source中指定的源IP地址或接口所属VPN实例与vpn-instance中配置的VPN实例相同。
(1) 进入系统视图。
system-view
(2) 手动离线升级WAF特征库。
waf signature update [ override-current ] file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]
WAF特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前WAF特征库版本是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
(1) 进入系统视图。
system-view
(2) 回滚WAF特征库。
waf signature rollback { factory | last }
完成上述配置后,在任意视图下执行display命令可以显示配置后WAF的运行情况,通过查看显示信息验证配置的效果。
表1-1 WAF显示和维护
操作 |
命令 |
显示WAF策略信息 |
display waf policy policy-name |
显示WAF特征库版本信息 |
display waf signature library |
显示WAF特征属性列表 |
display waf signature [ pre-defined | user-defined ] [ direction { any | to-client | to-server } ] [ category category-name | fidelity { high | low | medium } | severity { critical | high | low | medium } ] * |
显示WAF预定义特征的详细信息 |
display waf signature pre-defined signature-id |
显示WAF自定义特征的详细信息 |
display waf signature user-defined signature-id |
如图1-3所示,Device分别通过Trust安全域和Untrust安全域与内部网络和Internet相连。现要求使用设备上的缺省WAF策略对内部网络进行Web攻击防御。
图1-3 在安全策略中引用缺省WAF策略配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置DPI应用profile并激活WAF策略配置
# 创建名为sec的DPI应用profile,在sec中引用名称为default的缺省WAF策略,并指定该WAF策略的模式为protect。
[Device] app-profile sec
[Device-app-profile-sec] waf apply policy default mode protect
[Device-app-profile-sec] quit
# 激活WAF策略配置。
[Device] inspect activate
(5) 配置安全策略
# 配置名称为trust-untrust的安全策略规则,使内网用户可以访问外网,并对交互报文进行WAF攻击防御。具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] profile sec
[Device-security-policy-ip-10-trust-untrust] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效后,使用缺省WAF策略可以对已知攻击类型的Web攻击进行防御。比如GNU_Bash_Remote_Code_Execution_Vulnerability(CVE-2014-6271)类型的攻击报文经过Device设备时,Device会匹配该报文,并对报文按照匹配成功的WAF特征的动作(reset和logging)进行处理。
如图1-4所示,Device分别通过Trust安全域和Untrust安全域与内部网络和Internet相连。现有组网需求如下:
· 使用设备上的WAF策略对内部网络进行Web攻击防御。
· 将编号为2的预定义WAF特征的动作改为丢弃并生成日志。
图1-4 在安全策略中引用自定义WAF策略配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置WAF策略
# 创建一个名称为waf1的WAF策略,配置筛选WAF特征的方向属性为客户端,并配置编号为2的预定义WAF特征的状态为开启,动作为丢弃并生成日志信息。
[Device] waf policy waf1
[Device-waf-policy-waf1] object-dir client
[Device-waf-policy-waf1] signature override pre-defined 2 enable drop logging
[Device-waf-policy-waf1] quit
(5) 配置DPI应用profile并激活WAF策略配置
# 创建名为sec的DPI应用profile,在DPI应用profile sec中引用WAF策略waf1,并指定该WAF策略的模式为protect。
[Device] app-profile sec
[Device-app-profile-sec] waf apply policy waf1 mode protect
[Device-app-profile-sec] quit
# 激活WAF策略配置。
[Device] inspect activate
(6) 配置安全策略
# 配置名称为trust-untrust的安全策略规则,使内网用户可以访问外网,并对交互报文进行WAF攻击防御。具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] profile sec
[Device-security-policy-ip-10-trust-untrust] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效后,将有如下验证结果:
· 使用自定义WAF策略可以对已知类型的Web攻击进行防御。
· 当有报文匹配到编号为2的预定义WAF特征时,设备将丢弃该报文并生成日志信息。
如图1-5所示,位于Trust安全域的内部网络可通过Device访问Untrust安全域的Internet资源,以及DMZ安全域的FTP服务器。FTP服务器根目录下保存了最新的WAF特征库文件waf-1.0.8-encrypt.dat,FTP服务器的登录用户名和密码分别为waf和123。现需要手动离线升级WAF特征库,加载最新的WAF特征。
图1-5 手动离线升级WAF特征库配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
(4) 配置安全策略
¡ 配置安全策略规则放行Trust到Untrust安全域的流量,使内网用户可以访问外网资源
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] quit
¡ 配置安全策略规则放行Trust到DMZ安全域的流量,使内网用户可以访问DMZ安全域中的服务器
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-dmz
[Device-security-policy-ip-11-trust-dmz] source-zone trust
[Device-security-policy-ip-11-trust-dmz] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-11-trust-dmz] destination-zone dmz
[Device-security-policy-ip-11-trust-dmz] action pass
[Device-security-policy-ip-11-trust-dmz] quit
¡ 配置安全策略规则放行设备与FTP服务器之间的流量,使设备可以访问FTP服务器,获取特征库文件
[Device] security-policy ip
[Device-security-policy-ip] rule name downloadlocalout
[Device-security-policy-ip-12-downloadlocalout] source-zone local
[Device-security-policy-ip-12-downloadlocalout] destination-zone dmz
[Device-security-policy-ip-12-downloadlocalout] destination-ip-subnet 192.168.2.0 24
[Device-security-policy-ip-12-downloadlocalout] application ftp
[Device-security-policy-ip-12-downloadlocalout] application ftp-data
[Device-security-policy-ip-12-downloadlocalout] action pass
[Device-security-policy-ip-12-downloadlocalout] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(5) 手动升级WAF特征库
# 采用FTP方式手动离线升级设备上的WAF特征库,且被加载的WAF特征库文件名为waf-1.0.8-encrypt.dat。
[Device] waf signature update ftp://waf:[email protected]/waf-1.0.8-encrypt.dat
WAF特征库升级后,可以通过display waf signature library命令查看当前特征库的版本信息。
如图1-6所示,位于Trust安全域的内部网络可以通过Device访问Untrust安全域的Internet资源。现要求每周六上午九点前后半小时内,开始定期自动在线升级设备的WAF特征库。
图1-6 定时自动升级WAF特征库配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置DNS服务器地址
# 指定DNS服务器的IP地址为10.72.66.36,确保Device可以获取到官网的IP地址,具体配置步骤如下。
[Device] dns server 10.72.66.36
(5) 配置安全策略
¡ 配置安全策略规则放行Trust到Untrust安全域的流量,使内网用户可以访问外网资源
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] quit
¡ 配置安全策略规则放行Local到Untrust安全域的流量,使设备可以访问官网的特征库服务专区,获取特征库文件
[Device] security-policy ip
[Device-security-policy-ip] rule name downloadlocalout
[Device-security-policy-ip-11-downloadlocalout] source-zone local
[Device-security-policy-ip-11-downloadlocalout] destination-zone untrust
[Device-security-policy-ip-11-downloadlocalout] action pass
[Device-security-policy-ip-11-downloadlocalout] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(6) 配置定期自动在线升级WAF特征库
# 设置定时自动升级WAF特征库计划为:每周六上午9:00:00前后30分钟内,开始自动升级。
[Device] waf signature auto-update
[Device-waf-sig-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60
[Device-waf-sig-autoupdate] quit
设置的定期自动在线升级WAF特征库时间到达后,可以通过display waf signature library命令查看当前特征库的版本信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!