- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
10-WAF配置
本章节下载: 10-WAF配置 (523.35 KB)
WAF(Web application firewall,Web应用防火墙)用于阻断Web应用层攻击,保护内网用户和内部Web服务器。当设备收到来自外部的HTTP或HTTPS请求后,会执行防护策略,对请求内容的安全性和合法性进行检测和验证,对非法的请求予以实时阻断,从而对内网的用户和Web服务器进行有效防护。
WAF支持通过如下功能对Web应用层攻击进行检测与防护。
设备通过对攻击行为的特征进行检测,保护内网用户和服务器免受Web应用层攻击。
设备通过对报文中的SQL语法进行分析来检测SQL注入攻击行为,保护内网用户和服务器免受该类攻击。
CC(Challenge Collapsar,挑战黑洞)攻击是DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的一种,也是一种常见的网站攻击方法。CC攻击防护功能通过对来自Web应用程序客户端的请求进行内容检测、规则匹配和统计计算,对攻击请求予以实时阻断,从而对内网的Web服务器进行有效防护。
设备通过对客户端访问的网页资源进行检测,判断其是否被攻击者恶意篡改。如果已被篡改,设备支持对篡改后的网页资源进行恢复,避免客户端因访问篡改后的网页(例如钓鱼网站等)而遭到攻击。
设备基于WAF策略对攻击报文进行处理。WAF策略中定义了匹配报文的WAF特征和处理报文的WAF策略动作。
WAF特征用来描述网络中的Web应用层攻击行为的特征,设备通过将报文与WAF特征进行比较来检测和防御攻击。WAF特征包含多种属性,例如攻击分类、动作、保护对象、严重级别和方向。这些属性可作为过滤条件来筛选WAF特征。
设备支持以下两种类型的WAF特征:
· 预定义WAF特征:系统中的WAF特征库自动生成。设备不支持对预定义WAF特征的内容进行创建、修改和删除。
· 自定义WAF特征:管理员在设备上手工创建。通常新的网络攻击出现后,与其对应的攻击特征会出现的比较晚一些。如果管理员已经掌握了新网络攻击行为的特点,可以通过自定义方式创建WAF特征,及时阻止网络攻击,否则,不建议用户自定义WAF特征。
WAF策略动作是指设备对检测出攻击的报文做出的处理。包括如下几种类型:
· 丢弃:丢弃报文。
· 放行:允许报文通过。
· 重置:通过发送TCP的reset报文断开TCP连接。
· 重定向:将报文重定向到指定的Web页面上。
· 源阻断:丢弃报文并将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能(由blacklist global enable开启),则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名单过滤功能的详细介绍请参见“安全配置指导”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。
· 捕获:捕获报文。
· 生成日志:记录日志信息。
WAF特征匹配处理流程如图1-1所示:
图1-1 WAF特征匹配处理流程图
WAF特征匹配功能是通过在DPI应用profile中引用WAF策略,并在安全策略中引用DPI应用profile来实现的,WAF特征匹配处理的具体实现流程如下:
(1) 设备识别应用层报文协议并提取报文特征。
(2) 设备将提取的报文特征与WAF特征进行匹配,并进行如下处理:
¡ 如果报文未与任何WAF特征匹配成功,则设备对报文执行允许动作。
¡ 如果报文只与一个WAF特征匹配成功,则根据此特征中指定的动作进行处理。
¡ 如果报文同时与多个WAF特征匹配成功,则根据这些动作中优先级最高的动作进行处理。动作优先级从高到低的顺序为:重置 > 重定向 > 丢弃 > 允许。但是,对于源阻断、生成日志和捕获三个动作只要匹配成功的特征中存在就会执行。
设备通过对报文中的SQL语句进行语法分析来检测是否存在SQL注入攻击,并根据检测结果对报文进行相应的处理:
· 如果检测到攻击,则判断是否配置了WAF策略动作。如果已配置,则对报文执行指定的动作;如果未配置,则放行报文,并以快速日志方式输出WAF日志。有关WAF动作的详细介绍,请参见“1.1.2 2. WAF策略动作”。
· 如果未检测到攻击,则放行报文。
设备首先通过对正常情况下(由管理员根据组网环境、网络状况等实际情况自行判定)客户端访问的静态网页资源进行学习,并将该网页文件保存为基线文件。当后续客户端再访问网页时,设备会将服务器返回给客户端的响应报文中的资源文件与基线文件进行对比,判断网页资源是否被恶意篡改。
网页防篡改功能实现机制如下:
(1) 生成基线文件
开启网页防篡改功能后,设备默认进入学习状态。在此状态下,当客户端访问服务器网页资源时,设备会对服务器返回给客户端的响应报文中的网页资源文件进行学习,并生成基线文件。其中,设备仅对如下资源进行学习。
¡ 满足学习条件的资源:当客户端请求访问的URL中请求方法为“GET”且资源文件的类型为防篡改支持检测的文件类型时,防篡改会进行自动学习。
¡ 管理员手动添加的静态网页资源路径下的资源:当网页资源不符合上述学习条件时,管理员可以根据实际需要,手动添加资源的路径,防篡改会对该路径下的网页资源进行学习。
(2) 手动切换工作状态
管理员可以通过查看Web页面中的“自学习URL列表”,判断设备是否已完成学习。如果已完成,则需要手动关闭网页自学习功能,使网页防篡改功能切换到工作状态。
由于服务器的静态网页资源可能会定期发生变更,管理员可以根据实际情况定期清除基线文件(通过reset waf tamper-proof baseline-file命令配置。)并重新进行网页学习,避免由于基线文件老旧导致网页防篡改功能产生误报。
(3) 缓存网页资源文件并与基线文件进行对比
在工作状态下,设备会将服务器返回给客户端的响应报文中的网页资源与基线文件进行对比,并根据对比结果进行如下处理。
¡ 如果一致,则认为服务器网页资源未被篡改,放行报文。
¡ 如果不一致,则认为网页资源已被恶意篡改,设备将根据网页防篡改功能所处的工作模式进行相应的处理,有关防篡改工作模式的详细介绍,请参见2. 防篡改工作模式。
¡ 如果基线文件中未学习到该网页资源且该网页资源符合防篡改学习条件,设备会将其添加到基线文件中,并记录日志。管理员可到Web界面的防篡改日志页面中查看日志信息。
¡ 如果基线文件中未学习到该网页资源且该网页资源不符合防篡改学习条件,则放行报文。
网页防篡改功能在工作状态下支持如下两种工作模式:
· 监控模式:此模式下,当设备检测到用户访问的网页资源被恶意篡改时,仅记录日志。
· 保护模式:此模式下,当设备检测到用户访问的网页资源被恶意篡改时,会将服务器返回给客户端的响应报文中已被篡改的网页资源文件,替换为通过网页自学习功能学习到的基线文件,并返回给客户端,同时记录日志。管理员可到Web界面的防篡改日志页面中查看日志信息。此模式仅当设备配置TCP代理或SSL代理(对于HTTPS流量需要配置SSL代理)的情况下生效。有关TCP代理和SSL代理的详细介绍,请参见“DPI深度安全配置指导”中的“代理策略”。
设备基于CC攻击防护策略对CC攻击行为进行检测,CC攻击防护策略中定义了攻击报文的匹配条件、攻击行为的检测方式以及处理报文的动作等。
设备支持使用请求速率和请求集中度双重检测方式对CC攻击进行检测。
· 请求速率检测:用于检测客户端是否过于频繁地访问某网站。
· 请求集中度检测:用于检测客户端是否主要针对某网站进行访问。
每种检测方式可以分别配置检测阈值,设备将统计到的用户访问网站的结果与检测阈值进行比较,如果统计结果超过任意一个检测阈值,则认为客户端的访问为CC攻击。
CC攻击防护功能是通过在安全策略中引用WAF策略,并且在WAF策略中引用CC攻击防护策略来实现的。当用户的数据流量经过设备时,设备将进行CC攻击防护处理。处理流程如图1-2所示:
图1-2 CC攻击防护数据处理流程图
(1) 如果报文与例外IP地址匹配成功,则直接放行该报文;如果未匹配成功,则进入步骤(2)处理。
(2) 设备对报文进行深度内容检测,并提取报文内容。
(3) 设备将提取的报文内容与CC攻击防护策略规则进行匹配,并进行如下处理:
¡ 如果未匹配到任何CC攻击防护策略规则,则对报文执行允许动作。
¡ 如果匹配到一条CC攻击防护策略规则,则不再进行后续规则匹配,进入步骤(4)处理。
(4) 设备对报文数据进行统计,并与规则下配置的检测项阈值进行比较,并进行如下处理:
¡ 如果统计结果超过任意一个检测项的阈值,则认为存在CC攻击行为,并执行规则下配置的动作,包括允许、黑名单和记录日志。
¡ 如果未超过阈值(即小于或等于阈值),则放行报文。
当WAF特征匹配、语义分析检测和CC攻击防护功三种功能检测出同一个攻击报文时,则对报文执行三种功能的处理动作中更高优先级的动作。动作优先级从高到低依次为:重置 > 重定向 > 丢弃 > 允许,对于黑名单、日志和捕获三个动作只要处理动作中包含就会执行。
WAF特征库是用来对经过设备的应用层流量进行Web攻击检测和防御的资源库。随着网络攻击不断的变化和发展,需要及时升级设备中的WAF特征库,同时设备也支持WAF特征库回滚功能。
WAF特征库的升级包括如下几种方式:
· 定期自动在线升级:设备根据管理员设置的时间定期自动更新本地的WAF特征库。
· 立即自动在线升级:管理员手工触发设备立即更新本地的WAF特征库。
· 手动离线升级:当设备无法自动获取WAF特征库时,需要管理员先手动获取最新的WAF特征库,再更新设备本地的WAF特征库。
如果管理员发现设备当前WAF特征库对报文进行检测和防御Web攻击时,误报率较高或出现异常情况,则可以将其进行回滚到出厂版本和上一版本。
本功能的支持情况与设备型号有关,请以设备实际情况为准。
|
F1000系列 |
型号 |
说明 |
|
F1000-X-G5系列 |
F1000-A-G5、F1000-C-G5、F1000-C-G5-LI、F1000-E-G5、F1000-H-G5、F1000-S-G5 |
支持 |
|
F1000-X-XI系列 |
F1000-D-XI、F1000-E-XI |
支持 |
|
F100系列 |
型号 |
说明 |
|
F100-X-G5系列 |
F100-A-G5、F100-C-G5、F100-M-G5、F100-S-G5 |
不支持 |
|
F100-E-G5 |
支持 |
|
|
F100-C-A系列 |
F100-C-A2、F100-C-A1 |
不支持 |
|
F100-X-XI系列 |
F100-A-XI、F100-C-XI、F100-S-XI |
不支持 |
WAF功能需要购买并正确安装License后才能使用。License过期后,WAF功能可以采用设备中已有的WAF特征库正常工作,但无法升级到官方网站在过期时间后发布的新版本的特征库。关于License的详细介绍请参见“基础配置指导”中的“License管理”。
开启SSL代理、TCP代理或者防病毒业务配置了发送告警信息功能后,WAF的捕获动作将失效。有关SSL代理和TCP代理的详细介绍,请参见“DPI深度安全配置指导”中的“代理策略”;有关防病毒业务的详细介绍,请参见“DPI深度安全配置指导”中的“防病毒”。
(1) 创建WAF策略
(2) 配置筛选WAF特征的属性
(3) 配置WAF策略动作
(4) 配置WAF策略动作引用的应用层检测引擎动作参数profile
(1) 创建WAF策略
(2) 开启语义分析检测功能
(1) 创建WAF策略
(2) 开启网页防篡改功能
(3) 切换网页防篡改功能工作状态
(1) 创建WAF策略
(2) 创建CC攻击防护策略
(3) 创建CC攻击防护策略规则
(5) (可选)管理CC攻击防护策略规则
(1) (可选)激活WAF策略配置
(1) (可选)配置自定义WAF特征
(2) (可选)配置WAF特征库升级和回滚
(3) (可选)配置WAF白名单
(4) (可选)配置服务器信息隐藏功能
缺省情况下,WAF策略将使用当前设备上所有处于生效状态的WAF特征与报文进行匹配,并对匹配成功的报文执行WAF特征属性中的动作。管理员可根据实际需求,在新建的WAF策略中,将WAF特征的属性作为过滤条件,筛选出需要与报文进行匹配的WAF特征,并配置WAF策略动作。
(1) 进入系统视图。
system-view
(2) 创建WAF策略,并进入WAF策略视图。
waf policy policy-name
缺省情况下,存在一个缺省WAF策略,名称为default,且不能被修改或删除。
在WAF策略中,可以定义不同类型的属性作为WAF特征的过滤条件。如果某个属性中配置了多个参数,则WAF特征至少需要匹配上其中一个参数,才表示匹配上该属性。
(1) 进入系统视图。
system-view
(2) 进入WAF策略视图。
waf policy policy-name
(3) 配置筛选WAF特征的属性。
¡ 配置筛选WAF特征的保护对象属性。
protected-target { target [ sub-target subtarget ]| all }
缺省情况下,WAF策略匹配所有保护对象的特征。
¡ 配置筛选WAF特征的攻击分类属性。
attack-category { category [ sub-category subcategory ] | all }
缺省情况下,WAF策略匹配所有攻击分类的特征。
¡ 配置筛选WAF特征的动作属性。
action { block-source | drop | permit | reset } *
缺省情况下,WAF策略匹配所有动作的特征。
¡ 配置筛选WAF特征的方向属性。
object-dir { client | server } *
缺省情况下,WAF策略匹配所有方向的特征。
¡ 配置筛选WAF特征的严重级别属性。
severity-level { critical | high | low | medium } *
缺省情况下,WAF策略匹配所有严重级别的特征。
缺省情况下,新建WAF策略执行特征属性中的动作。管理员也可以根据实际网络需求,为WAF策略中所有特征配置统一的动作,或者为指定的特征配置动作。
设备对以上动作执行的优先级为:WAF策略中为指定特征配置的动作 > WAF策略动作 > WAF特征自身属性的动作。
当动作配置为logging时,设备将记录日志并支持如下两种方式输出日志。
· 快速日志:此方式生成的日志信息直接发送到管理员指定的日志主机。
· 系统日志:此方式生成的日志信息将发送到信息中心,由信息中心决定日志的输出方向。本业务产生的系统日志不支持输出到控制台和监视终端。如需快速获取日志信息,可通过执行display logbuffer命令进行查看。
系统日志会对设备性能产生影响,建议采用快速日志方式。
有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”;有关快速日志的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
(1) 进入系统视图。
system-view
(2) 进入WAF策略视图。
waf policy policy-name
(3) 配置WAF策略动作。
signature override all { { block-source | drop | permit | redirect | reset } | capture | logging } *
缺省情况下,WAF策略执行特征属性中的动作。
(4) (可选)修改WAF策略中指定特征的动作和生效状态。
signature override { pre-defined | user-defined } signature-id { disable | enable } [ { block-source | drop | permit | redirect | reset } | capture | logging ] *
缺省情况下,预定义WAF特征使用系统预定义的状态和动作,自定义WAF特征使用自定义的状态和动作。
每类WAF策略动作的具体执行参数由应用层检测引擎动作参数profile来定义,该profile的具体配置请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
如果WAF策略动作引用的应用层检测引擎动作参数profile不存在或没有引用,则使用系统各类动作参数的缺省值。
(1) 进入系统视图。
system-view
(2) 配置WAF策略动作引用的应用层检测引擎动作参数profile。
waf { block-source | capture | email | logging | redirect } parameter-profile parameter-name
缺省情况下,WAF策略动作未引用应用层检测引擎动作参数profile。
(1) 进入系统视图。
system-view
(2) 创建WAF策略,并进入WAF策略视图。
waf policy policy-name
缺省情况下,存在一个缺省WAF策略,名称为default,且不能被修改或删除。
开启本功能后,设备将同时使用特征匹配和语义分析功能对SQL注入攻击进行检测,可以提升该类攻击的识别率,但同时会对设备性能产生影响,请管理员根据实际情况进行配置。
开启本功能后会对设备性能产生影响,建议仅在含有SQL注入类攻击的场景中开启。
(1) 进入系统视图。
system-view
(2) 进入WAF策略视图。
waf policy policy-name
(3) 开启语义分析功能。
semantic-analysis enable
缺省情况下,语义分析检测功能处于关闭状态。
当设备未挂载硬盘或U盘时,基线文件保存在内存中,设备重启后会被清空;当设备挂载了硬盘或U盘时,基线文件会被保存在硬盘或U盘中,可以长时间保存。其中,硬盘的存储优先级高于U盘。仅当硬盘不在位时才会保存到U盘中。
当硬盘或U盘已达到系统规格上限时,网页防篡改功能将停止工作。
设备仅支持对静态网页资源进行网页防篡改检测。
当服务器采用分块传输方式发送HTTP响应报文时,设备会因为无法获取到报文主体数据的开始和结束位置导致不能正常学习相应的静态网页资源,设备无法进行网页防篡改检测。
(1) 进入系统视图。
system-view
(2) 创建WAF策略,并进入WAF策略视图。
waf policy policy-name
缺省情况下,存在一个缺省WAF策略,名称为default,且不能被修改或删除。
(1) 开启网页防篡改功能。
tamper-proof enable
缺省情况下,网页防篡改功能处于关闭状态。
(2) (可选)添加网页防篡改功能学习的静态网页资源路径。
tamper-proof web-resources host method uri
当需要设备对指定的静态网页资源进行学习时(例如,该资源的文件类型不属于防篡改支持检测的文件类型,或者客户端请求报文中的请求方法非“Get”),可通过本命令手动添加该资源路径,设备将会对路径下的网页资源进行学习。
(3) (可选)清除WAF策略下的防篡改基线文件。
reset waf tamper-proof baseline-file [ policy-name ]
当管理员判定服务器的网页资源内容发生正常的变更时,可通过本命令清除基线文件,重新学习基线文件。
(1) 关闭网页自学习功能。
undo tamper-proof auto-learn enable
缺省情况下,网页自学习功能处于开启状态。
管理员可通过查看Web页面中的“自学习URL列表”,判断设备是否已完成网页资源学习。如果已完成,则需要通过执行本命令,使网页防篡改功能切换到工作状态。
(2) (可选)配置网页防篡改功能的工作模式为保护模式。
tamper-proof work-mode protect
缺省情况下,网页防篡改功能的工作模式为监控模式。
本功能仅当设备配置了代理策略时生效,若未配置代理策略,当设备检测到网页资源被篡改时仅记录日志。有关代理策略的详细介绍,请参见“DPI深度安全配置指导”中的“代理策略”。
(3) (可选)关闭网页防篡改功能对指定类型的文件进行检测。
undo tamper-proof file-type file-type enable
缺省情况下,网页防篡改功能支持对XLS、HLP、CHM、PPT、DOC、PE、PDF、SWF、ZIP、GIF、JPEG、CSS、HTML、TXT类型文件进行检测。
当组网环境中不需要对某种类型文件进行防篡改检测时,可执行本命令,关闭对该类型文件的防篡改检测。
(4) (可选)关闭篡改文件缓存功能。
undo waf tamper-proof cache-files enable
缺省情况下,篡改文件缓存功能处于开启状态,且仅当设备安装了存储介质(硬盘或U盘)时生效。当设备检测到服务器返回给客户端的网页资源文件已被篡改时,会将其作为篡改文件缓存到存储介质(硬盘或U盘)中。管理员可到Web界面的防篡改日志页面中下载篡改文件,用于分析。
缓存文件的过程会占用存储介质的存储空间,并影响设备转发性能。当存储介质存储空间不足、设备的转发性能降低或者管理员不关心篡改文件内容时,可关闭篡改文件缓存功能。
WAF策略中未引用CC攻击防护策略,用户需要手工新建一个WAF策略,并在其中引用CC攻击防护策略才能使CC攻击防护功能生效。
(1) 进入系统视图。
system-view
(2) 创建WAF策略,并进入WAF策略视图。
waf policy policy-name
缺省情况下,存在一个缺省WAF策略,名称为default,不能被修改或删除,且未引用CC攻击防护策略。
设备基于CC攻击防护策略对攻击报文进行处理,管理员可以根据实际需求配置匹配报文的过滤条件以及检测项等。
(1) 进入系统视图。
system-view
(2) 创建CC攻击防护策略,并进入CC攻击防护策略视图。
cc-defense policy policy-name
(3) (可选)配置CC攻击防护策略的描述信息。
description text-string
(4) (可选)配置CC攻击检查项的检测周期。
detection-interval interval
缺省情况下,CC攻击检查项的检测周期为30秒。
(5) (可选)配置CC攻击防护例外IP地址。
exception { ipv4 ipv4-address | ipv6 ipv6-address }
缺省情况下,未配置CC攻击防护例外IP地址。
CC攻击防护策略规则下可以配置如下内容:
· CC攻击检测的过滤条件,包括:目的IP地址、目的端口号和请求方法。
· CC攻击防护策略规则防护的路径。
· CC攻击检测的检查项阈值。
· CC攻击防护策略规则的动作。
CC攻击防护策略规则的匹配顺序为配置顺序,当报文与一条规则匹配成功时,则结束匹配过程。
(1) 进入系统视图。
system-view
(2) 进入CC攻击防护策略视图。
cc-defense policy policy-name
(3) 创建CC攻击防护策略规则,并进入CC攻击防护策略规则视图。
rule name rule-name
(4) 配置过滤条件。
¡ 配置作为CC攻击防护策略规则过滤条件的目的IP地址。
destination-address { ipv4 ipv4-address | ipv6 ipv6-address }
¡ 配置作为CC攻击防护策略规则过滤条件的目的端口。
destination-port port-number
¡ 配置作为CC攻击防护策略规则过滤条件的请求方法。
method { connect | delete | get | head | options | post | put | trace } *
(5) 配置CC攻击防护策略规则防护的路径。
protected-url url-text
缺省情况下,未配置CC攻击防护策略规则防护的路径。
(6) 开启X-Forwarded-For字段检测功能。
xff-detection enable
缺省情况下,X-Forwarded-For字段检测功能处于关闭状态。
(7) 配置CC攻击检测项。
cc-detection-item { request-concentration [ concentration-value ] [ request-number number ] | request-rate [ rate-value ] }
缺省情况下,未配置CC攻击检测项,设备不对检查项进行检测。
(8) 配置规则动作。
action { block-source [ block-time ] | permit }
缺省情况下,CC攻击防护策略规则的动作为permit。
(9) 开启日志记录功能。
logging enable
缺省情况下,日志记录功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入WAF策略视图。
waf policy policy-name
(3) 在WAF策略中引用CC攻击防护策略。
apply cc-defense policy policy-name
(1) 进入系统视图。
system-view
(2) 进入CC攻击防护策略视图。
cc-defense policy policy-name
(3) 移动CC攻击防护策略规则。
rule move rule-name1 { after | before } rule-name2
(1) 进入系统视图。
system-view
(2) 进入CC攻击防护策略视图。
cc-defense policy policy-name
(3) 复制CC攻击防护策略规则。
rule copy rule-name new-rule-name
缺省情况下,当WAF策略发生变更时(即被创建、修改和删除),系统将会检测在20秒的间隔时间内是否再次发生了配置变更,并根据判断结果执行如下操作:
· 如果间隔时间内未发生任何配置变更,则系统将在下一个间隔时间结束时(即40秒时)执行一次激活操作,使这些策略的配置生效。
· 如果间隔时间内再次发生了配置变更,则系统将继续按照间隔时间周期性地检测是否发生配置变更。
如果用户希望对变更的配置立即进行激活,可执行inspect activate命令手工激活,使配置立即生效。
WAF策略中对语义分析检测功能和CC攻击防护功能的修改是即时生效的,不需要配置本功能。
有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
(1) 进入系统视图。
system-view
(2) 激活WAF策略配置。
inspect activate
缺省情况下,WAF策略被创建、修改和删除后,系统会自动激活配置使其生效。
执行此命令会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制、七层负载均衡业务无法基于应用进行负载分担等。
DPI应用profile是一个安全业务的配置模板,为实现WAF功能,必须在DPI应用profile中引用指定的WAF策略。
一个DPI应用profile中只能引用一个WAF策略,如果重复配置,则新的配置会覆盖已有配置。
(1) 进入系统视图。
system-view
(2) 进入DPI应用profile视图。
app-profile profile-name
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
(3) 在DPI应用profile中引用WAF策略。
waf apply policy policy-name mode { protect | alert }
缺省情况下,DPI应用profile中未引用WAF策略。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略规则的动作为允许。
action pass
缺省情况下,安全策略规则动作是丢弃。
(5) 配置安全策略规则引用DPI应用profile。
profile app-profile-name
缺省情况下,安全策略规则中未引用DPI应用profile。
当需要的WAF特征在设备当前WAF特征库中不存在时,可通过手工方式创建所需的WAF特征。
(1) 进入系统视图。
system-view
(2) 创建自定义WAF特征,并进入自定义WAF特征视图。
waf signature user-defined name signature-name
缺省情况下,未配置自定义WAF特征。
(3) (可选)配置自定义WAF特征的描述信息。
description text
特征具有多种属性,包括动作、检测方向、严重级别和特征下规则间的逻辑关系。
一个自定义特征下可以配置多条规则作为特征的匹配条件,如果规则间是逻辑与的关系,报文需要匹配该自定义特征的所有规则才结束匹配过程;如果规则间是逻辑或的关系,一旦报文与某条规则匹配成功就结束此匹配过程。
(1) 进入系统视图。
system-view
(2) 进入自定义WAF特征视图。
waf signature user-defined name signature-name
缺省情况下,不存在自定义WAF特征。
(3) 配置自定义WAF特征属性。
¡ 配置自定义WAF特征的动作。
action { block-source | drop | permit | reset } [ capture | logging ] *
缺省情况下,自定义WAF特征的动作为permit。
¡ 配置自定义WAF特征的检测方向。
direction { any | to-client | to-server }
缺省情况下,自定义WAF特征的检测方向为any。
¡ 配置自定义WAF特征的严重级别。
severity-level { critical | high | low | medium }
缺省情况下,自定义WAF特征的严重级别为low。
¡ 配置自定义WAF特征下规则间的逻辑关系。
rule-logic { and | or }
缺省情况下,自定义WAF特征下规则间的逻辑关系为or。
设备支持以下两种类型自定义WAF特征规则:
· 关键字类型
· 数值类型
规则下可以配置匹配条件以及检查项。仅当报文与规则的匹配条件匹配成功后,才会对规则的检查项进行检测。
一条规则可以配多个检查项,用于精确匹配报文中所需检测的内容。检查项之间为逻辑与的关系,匹配顺序为配置顺序,只有所有检查项都匹配成功,规则才算成功匹配。
触发检查项是同一规则下检查项的触发条件,只有关键字类型自定义特征规则才需要配置触发检查项。如果一条规则的触发检查项匹配失败,则该规则匹配失败,不会再对该规则下的检查项进行检测。
· 检查项仅检测指定协议字段范围内的数据。
· 配置检查项匹配的协议字段时,建议依据HTTP协议中各协议字段顺序进行配置,否则可能会影响设备的检测结果。
· 对于关键字类型的自定义特征规则,在配置检查项之前,必须先配置触发检查项。删除触发检查项后,将一并删除所有的检查项。
· 可使用偏移量、检测深度和相对偏移量、相对检测深度两组参数中的任意一组精确定位检查项检测的起始和终止位置。
(1) 进入系统视图。
system-view
(2) 进入自定义WAF特征视图。
waf signature user-defined name signature-name
(3) 创建自定义WAF特征规则,并进入自定义WAF特征规则视图。
rule rule-id pattern-type { integer | keyword }
缺省情况下,未配置自定义WAF特征规则。
(4) 配置自定义WAF特征规则的匹配条件。
¡ 配置自定义WAF特征规则匹配的源IP地址。
source-address ip ip-address
缺省情况下,自定义WAF特征规则匹配所有源IP地址。
¡ 配置自定义WAF特征规则匹配的目的IP地址。
destination-address ip ip-address
缺省情况下,自定义WAF特征规则匹配所有目的IP地址。
¡ 配置自定义WAF特征规则匹配的源端口。
source-port start-port [ to end-port ]
缺省情况下,自定义WAF特征规则匹配所有源端口。
¡ 配置自定义WAF特征规则匹配的目的端口。
destination-port start-port [ to end-port ]
缺省情况下,自定义WAF特征规则匹配所有目的端口。
¡ 配置自定义WAF特征规则匹配的HTTP报文请求方法。
http-method method-name
缺省情况下,自定义WAF特征规则匹配所有HTTP报文请求方法。
(5) 配置关键字类型自定义WAF特征规则的触发检查项和检查项。
a. 配置触发检查项。
trigger field field-name include { hex hex-string | text text-string } [ offset offset-value ] [ depth depth-value ]
b. 配置检查项。
detection-keyword detection-id field field-name match-type { exclude | include } { hex hex-string | regex regex-pattern | text text-string } [ offset offset-value [ depth depth-value ] | relative-offset relative-offset-value [ relative-depth relative-depth-value ] ]
(6) 配置数值类型自定义WAF特征规则的检查项。
detection-integer field field-name match-type { eq | gt | gt-eq | lt | lt-eq | nequ } number
· 请勿删除设备存储介质根目录下的/dpi/文件夹,否则设备升级或回滚特征库会失败。
· 当系统内存使用状态处于告警门限状态时,请勿进行特征库升级或回滚,否则易造成设备特征库升级或回滚失败,进而影响WAF业务的正常运行。有关内存告警门限状态的详细介绍请参见“基础配置指导”中的“设备管理”。
· 自动在线升级(包括定期自动在线升级和立即自动在线升级)WAF特征库时,需要确保设备能通过静态或动态域名解析方式获得官方网站的IP地址,并与之路由可达,否则设备升级WAF特征库会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
· 同一时刻只能对一个特征库进行升级,如果当前已有其他特征库正在升级,请稍后再试。
如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的WAF特征库进行升级。
(1) 进入系统视图。
system-view
(2) 开启定期自动在线升级WAF特征库功能,并进入自动在线升级配置视图。
waf signature auto-update
缺省情况下,定期自动在线升级WAF特征库功能处于关闭状态。
(3) 配置定期自动在线升级WAF特征库的时间。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情况下,设备在每天01:00:00至03:00:00之间自动升级WAF特征库。
(4) (可选)开启WAF特征文件自动覆盖功能。
override-current
缺省情况下,设备定期自动在线升级WAF特征库时会将当前的特征库文件备份为上一版本。
当管理员发现官方网站上的特征库服务专区中的WAF特征库有更新时,可以选择立即自动在线升级方式来及时升级WAF特征库版本。
(1) 进入系统视图。
system-view
(2) 立即自动在线升级WAF特征库。
waf signature auto-update-now
如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级WAF特征库版本。
· 本地升级:使用本地保存的特征库文件升级系统上的WAF特征库版本。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的WAF特征库版本。
使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。
如果管理员希望手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IP地址是一个特定的地址时,可配置source参数。例如,当组网环境中设备发出的报文需要经过NAT地址转换后才能访问TFTP、FTP服务器时,则需要管理员通过source参数指定一个符合NAT地址转换规则的源IP地址(其中,如果设备需要经过一台独立的NAT设备进行地址转换时,本命令指定的IP地址必须可以与NAT设备三层路由可达),使设备发出的报文可以进行NAT地址转换等处理,正常访问TFTP、FTP服务器。
当同时配置了source和vpn-instance参数时,需要保证source中指定的源IP地址或接口所属VPN实例与vpn-instance中配置的VPN实例相同。
(1) 进入系统视图。
system-view
(2) 手动离线升级WAF特征库。
waf signature update [ override-current ] file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]
WAF特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前WAF特征库版本是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
(1) 进入系统视图。
system-view
(2) 回滚WAF特征库。
waf signature rollback { factory | last }
当管理员通过查看WAF日志发现存在误报的情况时,可配置WAF白名单功能,将日志中获取到的特征ID、URL和源IP地址加入白名单,设备将放行匹配白名单的报文,降低误报率。
当白名单表项中同时存在特征ID、URL和源IP地址中的两者或以上时,需要同时匹配才认为匹配成功。
(1) 进入系统视图。
system-view
(2) 开启WAF白名单功能。
waf whitelist enable
缺省情况下,WAF白名单功能处于开启状态。
(3) 创建并进入WAF白名单表项视图。
waf whitelist entry-id
(4) 配置WAF白名单表项描述信息。
description text
缺省情况下,未配置WAF白名单表项描述信息。
(5) 向WAF白名单表项中添加匹配信息。请至少选择其中一项进行配置。
¡ 向WAF白名单表项中添加特征ID。
signature-id [ serial-number ] sig-id
缺省情况下,WAF白名单表项中不存在特征ID。
¡ 向WAF白名单表项中添加源IP。
source-address { ip ipv4-address | ipv6 ipv6-address }
缺省情况下,WAF白名单表项中不存在源IP地址。
¡ 向WAF白名单表项中添加URL。
url match-type { accurate | substring } url-text
缺省情况下,WAF白名单表项中不存在URL。
(6) (可选)禁用WAF白名单表项。
undo entry enable
缺省情况下,WAF白名单表项处于启用状态。当某个WAF白名单表项暂时不需要时,可配置本命令禁用该白名单表项。
(7) 退回到系统视图。
quit
(8) (可选)激活WAF白名单配置。
waf whitelist activate
缺省情况下,当创建、修改和删除含有URL的WAF白名单后,系统将在10秒后自动激活白名单配置使其生效,如果希望对白名单立即进行激活,可执行本命令手工激活。对于不包含URL的WAF白名单,不需要激活,立即生效。
服务器向客户端返回的一些应答报文中,可能携带了服务器信息,例如服务器的版本号、使用的操作系统等。攻击者可通过获取上述信息对服务器进行针对性的攻击。管理员可通过配置服务器信息隐藏功能,将服务器返回的应答报文中的服务器信息进行隐藏,避免上述问题。
FTP协议报文服务器信息隐藏功能仅对返回码为220的FTP协议应答报文生效。
(1) 进入系统视图。
system-view
(2) 进入WAF策略视图。
waf policy policy-name
(3) 配置服务器信息隐藏功能。请至少选择其中一项进行配置。
¡ 配置FTP协议报文服务器信息隐藏功能。
hide-server-info ftp
缺省情况下,未配置FTP协议报文服务器信息隐藏功能。
¡ 配置HTTP错误响应状态码页面服务器信息隐藏功能。
hide-server-info http error-code { client-error | server-error } *
缺省情况下,未配置HTTP错误响应状态码页面服务器信息隐藏功能。
¡ 配置HTTP响应报文首部字段服务器信息隐藏功能。
hide-server-info http header header-name &<1-4>
缺省情况下,未配置HTTP响应报文首部字段服务器信息隐藏功能。
完成上述配置后,在任意视图下执行display命令可以显示配置后WAF的运行情况,通过查看显示信息验证配置的效果。
表1-1 WAF显示和维护
|
操作 |
命令 |
|
显示WAF策略信息 |
display waf policy policy-name |
|
显示WAF特征库版本信息 |
display waf signature library |
|
显示WAF特征属性列表 |
display waf signature [ pre-defined | user-defined ] [ direction { any | to-client | to-server } ] [ category category-name | fidelity { high | low | medium } | severity { critical | high | low | medium } ] * |
|
显示WAF预定义特征的详细信息 |
display waf signature pre-defined signature-id |
|
显示WAF自定义特征的详细信息 |
display waf signature user-defined signature-id |
如图1-3所示,Device分别通过Trust安全域和Untrust安全域与内部网络和Internet相连。现要求使用设备上的缺省WAF策略对内部网络进行Web攻击防御。
图1-3 在安全策略中引用缺省WAF策略配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置DPI应用profile并激活WAF策略配置
# 创建名为sec的DPI应用profile,在sec中引用名称为default的缺省WAF策略,并指定该WAF策略的模式为protect。
[Device] app-profile sec
[Device-app-profile-sec] waf apply policy default mode protect
[Device-app-profile-sec] quit
# 激活WAF策略配置。
[Device] inspect activate
(5) 配置安全策略
# 配置名称为trust-untrust的安全策略规则,使内网用户可以访问外网,并对交互报文进行WAF攻击防御。具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] profile sec
[Device-security-policy-ip-10-trust-untrust] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效后,使用缺省WAF策略可以对已知攻击类型的Web攻击进行防御。比如GNU_Bash_Remote_Code_Execution_Vulnerability(CVE-2014-6271)类型的攻击报文经过Device设备时,Device会匹配该报文,并对报文按照匹配成功的WAF特征的动作(reset和logging)进行处理。
如图1-4所示,Device分别通过Trust安全域和Untrust安全域与内部网络和Internet相连。现有组网需求如下:
· 使用设备上的WAF策略对内部网络进行Web攻击防御。
· 将编号为2的预定义WAF特征的动作改为丢弃并生成日志。
图1-4 在安全策略中引用自定义WAF策略配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置WAF策略
# 创建一个名称为waf1的WAF策略,配置筛选WAF特征的方向属性为客户端,并配置编号为2的预定义WAF特征的状态为开启,动作为丢弃并生成日志信息。
[Device] waf policy waf1
[Device-waf-policy-waf1] object-dir client
[Device-waf-policy-waf1] signature override pre-defined 2 enable drop logging
[Device-waf-policy-waf1] quit
(5) 配置DPI应用profile并激活WAF策略配置
# 创建名为sec的DPI应用profile,在DPI应用profile sec中引用WAF策略waf1,并指定该WAF策略的模式为protect。
[Device] app-profile sec
[Device-app-profile-sec] waf apply policy waf1 mode protect
[Device-app-profile-sec] quit
# 激活WAF策略配置。
[Device] inspect activate
(6) 配置安全策略
# 配置名称为trust-untrust的安全策略规则,使内网用户可以访问外网,并对交互报文进行WAF攻击防御。具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] profile sec
[Device-security-policy-ip-10-trust-untrust] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效后,将有如下验证结果:
· 使用自定义WAF策略可以对已知类型的Web攻击进行防御。
· 当有报文匹配到编号为2的预定义WAF特征时,设备将丢弃该报文并生成日志信息。
如图1-5所示,位于Trust安全域的内部网络可通过Device访问Untrust安全域的Internet资源,以及DMZ安全域的FTP服务器。FTP服务器根目录下保存了最新的WAF特征库文件waf-1.0.8-encrypt.dat,FTP服务器的登录用户名和密码分别为waf和123。现需要手动离线升级WAF特征库,加载最新的WAF特征。
图1-5 手动离线升级WAF特征库配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
(4) 配置安全策略
¡ 配置安全策略规则放行Trust到Untrust安全域的流量,使内网用户可以访问外网资源
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] quit
¡ 配置安全策略规则放行Trust到DMZ安全域的流量,使内网用户可以访问DMZ安全域中的服务器
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-dmz
[Device-security-policy-ip-11-trust-dmz] source-zone trust
[Device-security-policy-ip-11-trust-dmz] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-11-trust-dmz] destination-zone dmz
[Device-security-policy-ip-11-trust-dmz] action pass
[Device-security-policy-ip-11-trust-dmz] quit
¡ 配置安全策略规则放行设备与FTP服务器之间的流量,使设备可以访问FTP服务器,获取特征库文件
[Device] security-policy ip
[Device-security-policy-ip] rule name downloadlocalout
[Device-security-policy-ip-12-downloadlocalout] source-zone local
[Device-security-policy-ip-12-downloadlocalout] destination-zone dmz
[Device-security-policy-ip-12-downloadlocalout] destination-ip-subnet 192.168.2.0 24
[Device-security-policy-ip-12-downloadlocalout] application ftp
[Device-security-policy-ip-12-downloadlocalout] application ftp-data
[Device-security-policy-ip-12-downloadlocalout] action pass
[Device-security-policy-ip-12-downloadlocalout] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(5) 手动升级WAF特征库
# 采用FTP方式手动离线升级设备上的WAF特征库,且被加载的WAF特征库文件名为waf-1.0.8-encrypt.dat。
[Device] waf signature update ftp://waf:123@192.168.2.4/waf-1.0.8-encrypt.dat
WAF特征库升级后,可以通过display waf signature library命令查看当前特征库的版本信息。
如图1-6所示,位于Trust安全域的内部网络可以通过Device访问Untrust安全域的Internet资源。现要求每周六上午九点前后半小时内,开始定期自动在线升级设备的WAF特征库。
图1-6 定时自动升级WAF特征库配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置DNS服务器地址
# 指定DNS服务器的IP地址为10.72.66.36,确保Device可以获取到官网的IP地址,具体配置步骤如下。
[Device] dns server 10.72.66.36
(5) 配置安全策略
¡ 配置安全策略规则放行Trust到Untrust安全域的流量,使内网用户可以访问外网资源
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] quit
¡ 配置安全策略规则放行Local到Untrust安全域的流量,使设备可以访问官网的特征库服务专区,获取特征库文件
[Device] security-policy ip
[Device-security-policy-ip] rule name downloadlocalout
[Device-security-policy-ip-11-downloadlocalout] source-zone local
[Device-security-policy-ip-11-downloadlocalout] destination-zone untrust
[Device-security-policy-ip-11-downloadlocalout] action pass
[Device-security-policy-ip-11-downloadlocalout] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(6) 配置定期自动在线升级WAF特征库
# 设置定时自动升级WAF特征库计划为:每周六上午9:00:00前后30分钟内,开始自动升级。
[Device] waf signature auto-update
[Device-waf-sig-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60
[Device-waf-sig-autoupdate] quit
设置的定期自动在线升级WAF特征库时间到达后,可以通过display waf signature library命令查看当前特征库的版本信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
