为了弥补目前安全设备，如防火墙对Web应用攻击防护能力的不足，我们需要一种新的工具用于保护重要信息系统不受Web应用攻击的影响。这种工具不仅仅能够检测目前复杂的Web应用攻击，而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。这类工具相对于目前常见的安全产品，必须具备更细粒度的攻击检测和分析机制。

Web应用防火墙系统是开发的新一代安全产品，作为网关设备，防护对象为Web服务器，其设计目标为：针对安全事件发生时序进行安全建模，分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断，提供综合Web应用安全解决方案。

事前， Web应用防火墙系统提供Web应用漏洞扫描功能，检测Web应用程序是否存在SQL注入、跨站脚本漏洞。

事中，对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、DDoS攻击进行有效检测、阻断及防护。

Web应用防火墙系统提供了业界领先的Web应用攻击防护能力，通过多种机制的分析检测，能够有效的阻断攻击，保证Web应用合法流量的正常传输，这对于保障业务系统的运行连续性和完整性有着极为重要的意义。

1.2 登录介绍

使用默认管理地址https://192.168.0.1登录Web界面（建议使用firefox浏览器）。默认Web登录信息请参见表1-1。

表1-1 Web应用防火墙系统-默认Web登录信息表

登录信息项	默认配置
用户名	admin	account	audit
密码	admin	account	audit
描述	系统管理员	账户管理员	审计管理员
角色简介	网络配置、防护服务器配置、防护策略配置、日志查看等	账号管理、密码重置、解锁用户等	查看日志

2 基础配置向导

2.1 连接web管理界面

WebUI：Web用户管理界面。

从网页浏览器中打开界面，在界面中可以显示配置信息，以比较直观的形式来显示报告和日志。

图2-1 Web用户管理界面

可以使用默认设置连接Web用户管理界面，默认设置见下表。

表2-1 Web用户界面连接设置

项目	描述
URL	https://192.168.0.1
网络接口	GE0/0
用户名	admin
密码	默认为admin，如果已修改使用修改后的密码。

连接Web用户管理界面的步骤如下：

在管理计算机中配置静态IP地址：192.168.0.2，掩码为255.255.255.0；

使用以太网电缆将管理计算机的以太网端口连接到WAF设备的默认管理口。

在管理计算机中启动浏览器并输入URL：https://192.168.0.1；

输入用户名和密码登录Web用户管理界面。

注意：登录仅支持HTTPS，不支持HTTP，因此登录WAF管理端的URL必须以https://开头。

2.2 连接命令行

可以使用默认设置通过SSH连接到CLI。

使用CRT工具连接举例（CRT版本为8.0）

步骤1：选择快速连接，如需SSH连接设备，协议选择SSH2，如需串口连接设备，协议选择serial。

图2-2 SSH/串口连接

步骤2：填写ip地址，输入用户名及密码。

图2-3 填写用户名及密码

步骤3：连接设备成功。

图2-4 连接成功

表2-2 SSH连接设置

IP地址	192.168.0.1
网络接口	GE0/0
SSH端口	60022
用户名	admin
密码	admin

通过Console线连接命令行的参数设置如下。

表2-3 Console连接设置

串口名称	COM1（如果你计算机有多个串口，所连接的串行端口名称）
速度（波特率）	9600
数据位	8
停止位	1
奇偶校验	无
流控制	无

3 管理系统概述

3.1 概述

Web管理界面为用户提供了更直观的人机交互方式，用户通过Web管理系统实现对WAF的管理和配置。

本章介绍了Web管理系统的基本信息，具体包括以下内容：

表3-1 管理系统概述

功能	描述
登录系统	介绍登录系统Web页面的方法。
系统用户	介绍系统用户的类型及权限。
页面布局	介绍Web页面布局的情况。
系统功能介绍	介绍系统每个模块的基本功能。
系统常用操作	介绍系统常用的图标和按键含义。

3.2 登录系统

登录WAF的Web管理系统的步骤如下：

步骤1：确认客户端主机可以和WAF正常通讯（如果通过防火墙，请将443端口打开）。

步骤2：打开火狐或谷歌浏览器，用HTTPS方式连接WAF的管理IP地址，例如https://192.168.0.1。

步骤3：回车后弹出安全警报对话框，单击【是】，接受WAF许可证加密的通道。

图3-1 Web应用防火墙系统登录告警界面

步骤4：在如下图所示的登录界面中，输入正确的用户名和密码（默认用户名admin，出厂密码admin），并单击【登录】，即可进入Web管理系统。

图3-2 Web应用防火墙系统登录界面

登录系统注意事项：

1）建议使用火狐浏览器，屏幕分辨率最好设置为1920×1080及以上。

2）初次使用本系统时可用默认用户登录（有关默认用户的初始账号，请参考附录B）。

3）登录失败的原因有可能是：①用户名输入错误 ②密码输入错误 ③没区分大小写。

4）登录本系统之前，请检查浏览器是否设置了禁止弹出窗口属性。如果是，请撤销此设置。

5）登录界面风格在R6702P02版本后变更，前期版本风格不同，请忽略。

3.3 系统用户

目前系统中的账户分为三类：

1）账户管理员

可以分配账号，预配置账户account。

2）系统管理员

可以配置系统，预配置账户admin。

3）审计管理员

可以查看审计日志，预配置账户audit。

account、admin和audit用户的权限不同。系统用户的详细权限如下表。

表3-2 系统用户信息

用户		权限
账户管理员	account(缺省用户)	具有账户管理的权限。
系统管理员	admin(缺省用户)	超级管理员，具有配置系统的权限，可以查看审计日志。
审计管理员	audit(缺省用户)	具有查看审计日志的权限。
api管理员	apiuser（默认用户）	内置的api用户，禁止浏览器登录，只能接口使用。

使用缺省用户登录后，建议立即修改初始密码。

如后续使用密码丢失后，可以使用account重置密码，如account也丢失需联系代华三售后处理。

3.4 页面布局

admin用户成功登录后，进入系统当前运行的页面，布局如下图所示：

系统页面布局中的主菜单和工作区会因用户权限不同，显示的内容不同。但在基本信息显示区和快捷键操作区，所有用户的显示信息和操作权限都相同。

1.主菜单 2.工作区 3. 基本信息

图3-3 页面布局

· 1）主菜单：系统的功能主菜单。

· 2）工作区：展示防护资产的基本情况和攻击信息统计

· 3）基本信息：显示系统运行的基本信息。

3.5 系统功能介绍

管理系统提供了状态监控、基础配置、安全防护、主动防御、访问控制、外联控制、网页防篡改、机器学习、代理网关、系统管理、网络管理、高可用性、日志报表等功能等功能，具体的功能如下表所示。

表3-3 系统功能介绍

菜单		功能
状态监控	系统预览	预览系统的资产状态、封禁状态、攻击统计、攻击源统计、攻击源/目的TOP5、攻击趋势、接口信息、系统状态、系统信息等信息。
	安全态势	显示攻击统计数据、目标资产、攻击类型分布、HTTP请求、实时事件、攻击趋势、态势图等信息。
	系统状态	展示CPU使用率、内存使用率、硬盘使用率的实时数据与历史数据。
	连接监控	监控当前活动的连接信息。
	接口流量	展示Port接口发送/接收/发包/收包速率的实时数据与历史数据。
	资产状态	显示防护资产TCP统计、UDP统计、ICMP统计、RAW-IP统计、HTTP统计、DNS统计、今日被攻击次数、今日安全等级信息。
	封禁IP	显示动态封禁IP信息。
基础配置	部署模式	配置部署模式。
	防护资产	配置防护的IP或网段。
	资产定时下线	配置防护资产定时下线时间。
	基础对象	介绍基础对象配置，包括：IP对象组、URL对象组、例外URL。
	阻断返回信息	自定义阻断返回页面的响应码、标题和内容（代理模式生效）。
	规则库展示	展示预置的Web防护特征库与入侵防护，支持添加自定义规则。
	敏感词管理	自定义敏感词配置管理页面。
	弱密码管理	自定义弱密码配置管理页面。
安全防护	协议合规检测	介绍协议合规检测防护详细配置。
	Web攻击防护	对不同类型的Web攻击进行检测和阻断。
	Web业务控制	对爬虫、黑链、内网代理防护、盗链、文件上传下载进行检测和阻断。
	Web敏感信息防护	对服务器中间件、数据库、敏感文件、代码错误信息、网站隐私信息、敏感词等进行检测和保护。
	Web业务加固	对暴力破解、人机识别、弱密码、CGI安全、跨站请求伪造、业务流程进行检测和防护，也可以配置会话安全。
	DDoS攻击防护	对DDoS攻击进行防护。
主动防御	爬虫陷阱	设置爬虫陷阱策略，防止资产信息被搜索引擎获取。
	虚拟补丁	根据扫描报告（xml格式），提取特征，生成防护规则。
	安全扫描	主要检测目标网站是否存在Web漏洞。
访问控制	黑白名单	配置IP黑白名单和URL黑白名单。
	IP访问控制	自定义资产相关的IP访问控制。
	HTTP访问控制	自定义资产相关的HTTP访问控制。
外联控制	外联检测	控制资产外联行为。
网页防篡改	插件下载	提供防篡改插件下载，包括windows、linux系统。
	防护端探测	展示探测到的防护服务器，并可以直接生成配置。
	防护端配置	配置防护端。
	防护端状态	展示防护服务器的连接状态。
机器学习	流量限速	对协议流量按照要求限制，对超过阈值的流量根据配置的处理动作执行处理。
机器学习	站点自学习	通过样本学习，收集资产URL，对达到防护状态的URL进行防护
代理网关	透明代理规则	配置资产对应的透明代理。
	反向代理规则	配置资产对应的反向代理。
	负载均衡规则	配置负载均衡规则。
	数据压缩	配置数据压缩规则。
	高速缓存	配置高速缓存规则。
系统管理	系统配置	配置系统基本信息，时间，远程管理，DNS配置，态势配置，WebUI配置，SSH远程连接配置。
	授权管理	系统功能授权。
	告警配置	配置日志内存告警信息。
	登录管理	配置Radius服务器实现系统认证登录。
	升级管理	包括系统升级、补丁升级，补丁只能通过命令行升级
	备份恢复	设备配置的备份及恢复。
	运维工具	技术人员对系统进行管理。
	系统操作	关机，重启，恢复出厂。
网络管理	网络配置	配置Port接口，Channel接口，网桥接口和Trunk接口。
	ARP配置	配置静态ARP和展示动态ARP。
	路由配置	配置静态路由和策略路由。
	流量牵引	配置BGP路由牵引和SNAT回注。
高可用性	HA管理	包括VRRP配置（配置双机热备信息）和配置同步（将当前设备的配置同步到另一个设备上）。
	端口联动	配置端口联动。
	过载保护	配置过载保护状态。
	Bypass	配置Bypass状态。
日志报表	防护日志	安全防护日志，访问控制日志，机器学习日志，主动防御日志查询及统计分析。
	外联日志	展示和分析外联日志。
	防篡改日志	展示和分析防篡改日志。
	访问日志	展示和分析访问日志。
	审计日志	记录系统操作
	报表导出	导出各种文件类型的报表。
	外发配置	配置外发syslog、外发微信配置、外发邮件以及外发的防护模块。
	日志备份	日志的手工备份及自动备份。

4 状态监控

4.1 概述

本章主要包括系统预览、安全态势、系统状态、连接监控、接口流量、资产状态和封禁IP。

表4-1 状态监控介绍

模块	描述
系统预览	预览系统的资产状态、封禁状态、攻击统计、攻击源统计、攻击源IP Top5、攻击源地域Top5、攻击类型Top5、攻击目的IP Top5、被攻击域名Top5、攻击趋势、接口信息、系统状态、系统信息等信息。
安全态势	显示攻击统计数据、目标资产、攻击类型分布、HTTP请求、实时事件、攻击趋势、态势图等信息。
系统状态	展示CPU使用率、内存使用率、硬盘使用率的实时数据，查询系统状态历史数据。
连接监控	监控当前活动连接信息，进行连接阻断或IP加黑操作。
接口流量	展示Port接口发送/接收/发包/收包速率的实时数据与历史数据。
资产状态	显示防护资产TCP统计、UDP统计、ICMP统计、RAW-IP统计、HTTP统计、DNS统计、被攻击次数、安全等级信息。
封禁IP	显示当前封禁IP信息，对封禁IP进行删除操作。

4.2 系统预览

登录系统后默认进入状态监控的系统预览显示界面。

图4-1 系统预览显示界面

该页面显示当前系统的基本信息，主要包括以下十项：

l 资产状态

显示资产总数和安全等级，统计防护资产的数目和安全等级。

图4-2 资产状态

l 攻击统计

显示总攻击数和日攻击数。

图4-3 攻击统计

l 攻击源统计

显示总攻击IP数和日攻击IP数。

图4-4 攻击源统计

l 封禁状态

显示封禁IP数，统计封禁IP数据。

图4-5 封禁状态

l 攻击源IP Top5

包括攻击源IP Top5、攻击源地域Top5、攻击类型Top5，点击“更多”可直接跳转到防护日志-源IP分析界面。

图4-6 攻击源IP Top5

图4-7 攻击源地域Top5

图4-8 攻击类型Top5

l 攻击目的Top5

显示攻击目的IP Top5、被攻击域名Top5，点击“更多”可直接跳转到防护日志-目的IP分析界面。

图4-9 攻击目的IP Top5

图4-10 被攻击域名Top5

l 攻击趋势

显示检测出的攻击次数。

图4-11 攻击趋势

l 接口信息

显示设备的接口信息。

图4-12 接口信息显示

l 系统状态

显示内存、CPU、日志空间已用与剩余百分比。

图4-13 系统状态显示

l 系统信息

显示设备系统信息，包括设备名称、产品型号、系统运行时间、状态、软件版本、特征库版本、硬件硬件序列号。

图4-14 系统信息显示

4.3 安全态势

安全态势主要展示安全态势感知图（含世界态势图、中国态势图）、系统时间、攻击统计（含当日攻击、当日攻击IP、攻击者TOP5、攻击源地域TOP5）、目标资产/目的资产 TOP5、安全防护/主动防御攻击类型分布统计、HTTP请求（含HTTP Get请求数、HTTP Post请求数）、实时事件、攻击趋势（含低级攻击、中级攻击、高级攻击）等信息。

图4-15 态势感知

l 安全态势展示设置

系统可以根据配置条件的设置显示对应的攻击统计信息。配置条件为目标资产，默认配置条件为：全部，可根据需要查询态势感知展示的目标资产。

图4-16 目标资产配置

态势图展示方式分为世界态势图和中国态势图，通过点击切换按钮切换态势展示方式。

图4-17 态势图切换按钮

图4-18 图4.18 世界态势图

世界态势图可根据需要通过滑动条调整展示数据内容，默认展示65%的态势数据。

图4-19 态势图滑动条设置

图4-20 中国态势图

l 系统时间

展示当前系统时间。

图4-21 系统时间

l 当日攻击、当日攻击IP统计

展示当日攻击次数，当日攻击IP数。

图4-22 攻击次数、攻击IP数

l 攻击者 Top5

展示攻击者 Top5数据，攻击源IP与对应攻击次数统计，点击【more】按钮可直接跳转到防护日志-攻击源分析界面。

图4-23 攻击源IP Top5

图4-24 点击more跳转攻击源分析页面

l 攻击源地域Top5

展示攻击源地域Top5数据，攻击源地域与对应攻击次数统计，点击【more】按钮可直接跳转到防护日志-攻击源分析界面。

图4-25 攻击源地域Top5

图4-26 点击more跳转攻击源分析页面

l 目标资产Top5

当目标资产为默认配置（全部）时，展示目标资产Top5的资产名称、资产地址等基本信息，统计目标资产被攻击次数，点击【more】按钮可直接跳转到状态监控-资产状态界面。

图4-27 目标资产Top5

图4-28 点击more跳转资产状态页面

当设定目标资产为某一资产进行查询时，展示该资产的目的IP Top5信息，统计目的IP及被攻击次数，点击【more】按钮可直接跳转到防护日志-攻击目的分析界面。

图4-29 目的IP Top5

图4-30 点击more跳转攻击目标分析页面

l 安全防护攻击类型分布统计

展示当日安全防护攻击类型分布与对应攻击类型的攻击次数统计。点击安全防护攻击类型分布柱状图区域，会弹出对应攻击防护详情信息，详情信息可通过【上一条】/【下一条】进行翻页预览。

图4-31 安全防护攻击类型分布统计

图4-32 安全防护攻击类型分布统计详情

l 主动防御攻击类型分布统计

展示当日主动防御攻击类型分布与对应攻击类型的攻击次数统计。

图4-33 主动防御攻击类型分布统计

l HTTP请求

显示HTTP Get请求数与HTTP Post请求数的次数统计趋势。

图4-34 HTTP请求趋势

l 实时事件

展示攻击实时事件的攻击者、目的IP、目的域名、严重级别以及攻击类型等攻击事件信息。

图4-35 实时事件

l 攻击趋势

展示高级攻击、中级攻击、低级攻击的攻击趋势。

图4-36 攻击趋势

4.4 系统状态

展示CPU使用率、内存使用率、硬盘使用率的实时数据，通过时间段查询CPU使用率、内存使用率、硬盘使用率的历史数据。

l 实时数据

实时展示从当日零时开始的CPU使用率、内存使用率、硬盘使用率信息。

图4-37 实时数据

l 历史数据

通过设置时间段查询系统不同时间范围下的CPU使用率、内存使用率、硬盘使用率信息。

1) 查询：设置时间段，点击【查询】按钮；

2) 重置：点击【重置】按钮，时间段重置为默认时间范围（当日），展示默认时间范围内的历史数据。

图4-38 历史数据

4.5 连接监控

显示当前活动连接信息，可以根据查询条件查询，可以对活动的连接进行阻断与加黑操作。

l 连接监控查询

1) 查询：输入框选择协议类型、输入源IP、输入目的IP，点击【查询】按钮；

2) 重置：点击【重置】按钮，查询条件置空，默认展示当前所有活动的连接信息。

图4-39 连接监控

l 连接监控操作

可对活动的连接进行阻断与加黑操作。

1) 点击连接信息操作一栏【阻断】按钮进行连接阻断；

图4-40 阻断操作

2) 点击【加黑】按钮，设置黑名单过期时长，点击【保存】将源IP添加到黑名单。

图4-41 加黑操作

4.6 接口流量

展示Port接口Bps的发送/接收速率、pps的发包/收包速率的实时数据，通过时间段查询Port接口Bps的发送/接收速率、pps的发包/收包速率的历史数据。

l 接口流量查询：

1) 查询：点击已配置接口（选择全部或者任意Port接口），点击【查询】按钮；

2) 重置：点击【重置】按钮重置查询条件，默认展示全部接口的流量信息。

图4-42 接口流量查询

l 实时数据

实时展示Port接口Bps的发送/接收速率、pps的发包/收包速率信息。

图4-43 实时数据页面

l 历史数据

通过设置时间段查询系统不同时间范围下的Port接口Bps的发送/接收速率、pps的发包/收包速率信息。

1) 查询：选择开始时间与结束时间、已配置接口（选择全部或者任意Port接口），点击【查询】按钮；

2) 重置：点击【重置】按钮，已配置接口重置为全部，时间段重置为默认时间范围（当日）。

图4-44 历史数据

4.7 资产状态

显示当前资产最近一分钟的TCP统计、UDP统计、ICMP统计、RAW-IP统计、HTTP统计、DNS统计状态信息，统计资产今日被攻击次数与今日安全等级。

1) 点击操作一栏【详情】按钮，展开资产状态详情信息；

2) 点击操作【收起】按钮，隐藏资产状态详情信息。

图4-45 资产状态详情

4.8 封禁IP

显示封禁IP列表，包括IP地址、最近被攻击IP、攻击类型、协议类型和超时时间，点击封禁IP对应的【删除】按钮可删除该封禁IP。

图4-46 封禁IP

5 基础配置

5.1 概述

本章包括部署模式、防护资产、资产定时下线、基础对象、阻断返回信息、规则库展示、敏感词管理、弱密码管理，主要描述配置方法。

表5-1 基础配置介绍

模块	描述
部署模式	配置设备部署模式，包含串联和旁路部署。
防护资产	配置防护的IP或网段。
资产定时下线	配置防护资产在指定时间下线，下线后即不会有防护效果。
基础对象	定义访问控制使用的源IP和目的IP。
阻断返回信息	配置阻断返回页面信息，包括：响应码、标题、内容（代理模式生效）。
规则库展示	展示规则库，支持添加自定义规则。
敏感词管理	敏感词管理页面，
弱密码管理	弱密码管理页面

5.2 部署模式

设备可选择配置串联部署或者旁路部署模式。串联部署于出口与内网业务之间，对出口与内网业务之间数据流量进行分析处理；旁路部署在出口路由交换设备镜像侧，进行流量实时监听，可主动构造数据包进行威胁阻断。

5.2.1 串联部署模式

进入“基础配置->部署模式”页面，勾选部署模式为串联，点击【保存】。

图5-1 串联部署

5.2.2 旁路部署模式

l 步骤1：选择“网络管理->网络配置->网桥接口”，点击【添加】新增网桥接口br3，点击【下一步】后保存配置；

图5-2 添加网桥接口

l 步骤2：选择“网络管理->网络配置->Port接口”，编辑镜像口如GE0/1网桥接口为br3，编辑阻断口如GE0/2网桥接口为空；

图5-3 配置Port接口

注：对端MAC地址为3层设备时配置，默认配置为00-00-00-00-00-00。

l 步骤3：选择“基础配置->部署模式”，勾选部署模式为旁路部署，阻断接口选择GE0/0，点击【保存】。

图5-4 旁路部署

5.3 防护资产

该模块主要配置需要保护的防护资产参数，默认内置了Default资产可直接引用，也可以自定义配置单个资产、网段资产、ipv4资产、ipv6资产，以及具体协议类型、端口范围、web主机等信息。

l 添加防护资产

Ø 步骤1：进入“基础配置->防护资产”管理界面；

图5-5 防护资产管理界面

防护资产参数详细说明见下表：

表5-2 防护资产参数说明

配置项	描述
名称	防护资产名称。
IP/IP段	防护资产的IP地址或IP网段。
协议类型	防护资产的协议类型。
端口范围	防护资产的端口范围。
WEB主机	防护资产对应的WEB主机。
外部IP	防护资产对应的外部IP。
一键断网	配置资产一键断网下线
防护模块	配置防护资产应用的防护策略。
访问日志	配置防护资产是否记录访问日志。

Ø 步骤2：点击【添加】按钮，弹出添加防护资产界面；

图5-6 添加防护资产页面

Ø 步骤3：配置相应的参数；

Ø 步骤4：点击【保存】按钮保存配置。

l 配置防护模块

Ø 步骤1：点击防护模块配置页面，点击【展开】可以查看具体模块策略名称、点击【收起】收起模块详情；

图5-7 添加防护模块配置页面

图5-8 防护模块配置页面收起

Ø 步骤2：选择防护策略；

Ø 步骤3：点击【保存】按钮保存配置。

l 配置访问日志

Ø 步骤1：点击访问日志配置页面；

图5-9 访问日志配置页面

Ø 步骤2：点击启用访问日志的记录；

Ø 步骤3：例外URL后缀类型设置，可以单选或多选URL后缀类型；

Ø 步骤4：点击【保存】保存配置。

l 编辑防护资产

点击防护资产的【编辑】按钮，配置防护资产详情、防护模块，点击【保存】按钮即可。

图5-10 编辑防护资产

l 防护资产删除

点击防护资产的【删除】操作按钮，在对话框点击【确认】即可删除，默认防护资产不允许删除

图5-11 防护资产删除

l 防护资产在线状态关闭

在防护资产列表页面，点击资产对应的上下线开关可以对防护资产进行上下线管理，资产默认开启上线，开关关闭，对应资产的网站下线，请谨慎点击。默认资产和管理IP不允许下线。

图5-12 防护资产在线状态关闭

5.4 资产定时下线

该模块主要对防护资产设置自动下线时间，在设置时间生效时防护资产会自动下线，设置时间过期后资产会自动重新上线。

l 添加资产定时下线

Ø 步骤1：进入“基础配置->资产定时下线”管理界面；

图5-13 资产定时下线管理界面

防护资产参数详细说明见下表：

表5-3 资产定时下线参数说明

配置项	描述
名称	资产定时下线名称。
应用资产	引用的防护资产。
开始日期	资产定时下线开始日期。
结束日期	资产定时下线结束日期。
开始时间	资产定时下线开始时间。
结束时间	资产定时下线结束时间。
星期设置	资产定时下线星期设置。（日期与星期设置一致，资产定时下线才会生效）
状态	资产定时下线是否开启。（资产定时下线生效后防护资产无法开启一键断网）

Ø 步骤2：点击【添加】按钮，弹出添加资产定时下线界面；

图5-14 添加资产定时下线页面

Ø 步骤3：配置相应的参数；

Ø 步骤4：点击【保存】按钮保存配置。

l 编辑资产定时下线

点击资产定时下线的【编辑】按钮，配置资产定时下线，点击【保存】按钮即可。

图5-15 编辑资产定时下线

l 复制资产定时下线

点击资产定时下线的【复制】按钮，成功复制一条相同配置的资产定时下线策略。

图5-16 复制资产定时下线

l 资产定时下线删除

点击资产定时下线的【删除】操作按钮，在对话框点击【确认】即可删除。

图5-17 删除资产定时下线删除

l 资产定时下线状态

在资产定时下线策略列表页面，点击资产定时下线对应的状态开关可以对资产定时下线策略进行开启/关闭管理。

图5-18 资产定时下线状态

5.5 基础对象

在WAF中将IP对象组、URL对象组、例外URL都归为基础对象，本章定义的对象均为全局对象，配置防护策略和防护模板时可以多次引用基础对象。

5.5.1 IP对象组

IP对象组包括IP网段，配置IP访问控制时可以多次引用IP列表对象。

l 添加IP对象组

Ø 步骤1：进入“基础配置->基础对象->IP对象组”管理界面；

图5-19 IP对象组管理界面

Ø 步骤2：点击【添加】按钮，弹出IP列表配置页面；

图5-20 IP对象组配置页面

Ø 步骤3：配置IP对象组名称、默认匹配处理动作，点击空白处自动进行保存；

Ø 步骤4：配置IP对象。

1) 点击【添加】按钮，弹出IP配置页面；

图5-21 IP对象配置页面

2) 编辑IP参数；

IP参数详细配置说明见下表：

表5-4 IP参数详细说明

配置项	描述
动作	匹配：匹配IP网段；不匹配：不匹配IP网段。
IP网段	可输入IP地址和IP网段地址，输入IP地址则默认掩码为32位。

3) 点击【保存】按钮保存配置。

l 编辑IP对象组

点击IP对象组的【编辑】按钮，编辑对象组基础配置、IP对象配置，点击【保存】即可。

图5-22 IP对象组编辑页面

l 删除IP对象组

点击IP对象组的【删除】按钮，或勾选多个IP对象组点击【批量删除】，即可删除。

图5-23 IP对象组删除页面

被引用的对象组无法直接删除！

5.5.2 URL对象组

URL对象组在防护策略中引用，可以针对配置的URL进行检测防护；在防护策略中添加的URL对象配置，也会在该模块进行展示。

l 添加URL对象组

Ø 步骤1：进入“基础配置->基础对象->URL对象组”管理界面；

图5-24 URL对象组管理页面

Ø 步骤2：点击【添加】按钮，弹出URL对象组配置页面；

图5-25 URL对象组配置页面

Ø 步骤3：配置URL对象组名称、默认处理动作：匹配，点击空白处自动进行保存；

Ø 步骤4：配置URL对象。

1) 在URL对象组中点击【添加】按钮，弹出URL配置页面；

图5-26 URL对象配置页面

2) 输入URL参数；

URL参数详细配置说明见下表：

表5-5 URL参数详细说明

配置项	描述
类型	设置URL类型，包括精确匹配和正则匹配。精确匹配：精确匹配URL。正则匹配：使用通配符表示URL，如/*，表示包含该站点 / 下所有URL，如 /abab，/abab/cdcd。
动作	匹配：匹配URL；不匹配：不匹配URL。
URL	配置具体的URL；格式可以为： 1、127.0.0.1/test/test.php 2、/test/test.php 3、www.xxx.com 注：不支持带参数的URL

3) 点击【保存】按钮保存配置。

l 编辑URL对象组

点击URL对象组的【编辑】按钮，编辑对象组基础配置、URL对象配置，点击【保存】即可。

图5-27 URL对象组编辑页面

l 删除URL对象组

点击URL对象组的【删除】按钮，或勾选多个URL对象组点击【批量删除】，即可删除。

图5-28 URL对象组删除页面

正被引用的对象组无法直接删除！

5.5.3 例外URL列表

例外URL主要是集中显示系统内所有例外URL的信息，包括详细的例外URL、URL类型，策略类型、策略名称、防护点，规则号/算法

l 添加例外URL

Ø 步骤1：进入“基础配置->基础对象->例外URL列表”管理界面；

图5-29 例外URL列表管理界面

Ø 步骤2：点击【添加】按钮，弹出例外URL配置页面；

图5-30 例外URL配置页面

Ø 步骤3：输入例外URL参数；

例外URL参数详细配置说明见下表：

表5-6 例外URL参数详细说明

配置项	描述
URL类型	设置URL类型，包括精确匹配和正则匹配。精确匹配：精确匹配URL。正则匹配：使用通配符表示URL，如/*，表示包含该站点 / 下所有URL，如 /abab，/abab/cdcd。
例外URL	配置具体的例外URL；格式可以为： 1、127.0.0.1/test/test.php 2、/test/test.php 3、www.xxx.com 注：不支持带参数的URL
策略类型	选择防护策略：Web攻击防护策略、协议合规检测策略、Web业务控制策略、Web敏感信息防护策略、Web业务加固策略、爬虫陷阱；
策略名称	选择策略名称，必须先选择策略类型后下拉策略名称才可见；
防护点	选中策略的具体防护点，必须先选择策略类型后下拉防护点才可见；
规则号/算法	选择策略中所属防护规则，必须先选择防护点后下拉规则号/算法才可见；

Ø 步骤4：点击【保存】按钮保存配置。

l 编辑例外URL

Ø 步骤1：点击具体例外URL的【编辑】按钮；

图5-31 编辑例外URL页面

Ø 步骤2：重新配置例外URL和类型，其它配置不可编辑；

Ø 步骤3：点击【保存】按钮保存配置。

l 删除例外URL

点击具体例外URL的【删除】按钮，或勾选多个配置点击【批量删除】，即可删除例外URL配置。

图5-32 删除例外URL页面

删除策略配置，关联的例外URL被同时删除！

l 查询例外URL

Ø 查询

输入查询条件，点击【查询】即可。

图5-33 例外URL查询页面

Ø 重置

点击【重置】，查询条件被置空，列表展示所有例外URL配置。

5.5.3.2例外URL展示

l 策略添加例外展示

图5-34 策略添加例外展示

在防护策略中配置的例外URL，在该模块进行展示！

l 排除规则例外展示

图5-35 日志中排除规则

图5-36 排除规则例外展示

防护日志中排除规则的URL，在该模块进行展示！（仅支持特征库规则和协议合规检测）

5.6 阻断返回信息

阻断返回信息可以自定义错误页面返回码、错误页面标题、错误页面内容和重定向URL，可以被防护策略重复引用。本章主要描述阻断返回信息的常用操作方法和配置。

l 添加阻断返回信息

Ø 步骤1：进入“基础配置->阻断返回信息”管理界面；

图5-37 阻断返回信息管理页面

Ø 步骤2：点击【添加】弹出添加阻断返回信息界面；

图5-38 添加阻断返回信息

Ø 步骤3：配置阻断返回信息；

表5-7 阻断返回信息配置说明

配置项	描述
名称	自定义阻断返回信息名称。
错误页面返回码	在下拉列表中选择即可，包括404、301、302、303、307、400、401、403、413、500、502、503、504。
错误页面标题	如果错误页面标题配置为空表示使用系统默认的错误页面。也可以自定义错误页面的标题，仅代理模式支持配置的错误页面标题。
错误页面内容	如果错误页面内容配置为空表示使用系统默认的错误页面。也可以自定义错误页面的内容，仅代理模式支持配置的错误页面内容。
重定向URL	配置重定向URL，必须以“http”或“https”开头，仅代理模式支持重定向URL。最多输入63个字节

Ø 步骤4：点击【保存】保存配置。

l 编辑阻断返回信息

选择阻断返回信息，点击【编辑】按钮执行编辑即可。

图5-39 编辑阻断返回信息页面

l 复制阻断返回信息

选择阻断返回信息，点击【复制】按钮即可。

图5-40 复制阻断返回信息页面

l 删除阻断返回信息

选择阻断返回信息，点击【删除】按钮即可。

图5-41 删除阻断返回信息页面

窗体顶端

窗体底端

5.7 规则库展示

5.7.1 Web防护特征库

Web防护特征库展示系统预置的规则，包括Web攻击防护、Web业务控制、Web敏感信息、Web业务加固所使用的特征库，支持用户进行查询并自定义新的规则。

l Web防护特征库展示

图5-42 Web规则库展示页面

l Web防护特征库查询

Ø 查询

输入框输入特征规则号、名称、检查点，点击【查询】按钮。

图5-43 Web防护特征库查询

Ø 重置

点击【重置】查询条件置空，显示所有特征库规则。

l 添加自定义规则：

Ø 步骤1：进入“基础配置->规则库展示->Web防护特征库->自定义”管理界面；

图5-44 自定义规则管理页面

Ø 步骤2：点击【添加】按钮，进入到自定义规则新增页面；

图5-45 添加自定义规则页面

Ø 步骤3：配置规则基础信息；

Ø 步骤4：配置规则条目；

表5-8 自定义规则条目配置参数说明

配置项	描述
表达式	自定义规则条目匹配的特征，支持正则表达式，不能输入中文，长度小于1024字符
是否匹配	匹配：请求表达式匹配，不匹配：请求表达式不匹配
检测位置	检测位置支持HTTP请求头，HTTP请求体，HTTP响应头，HTTP响应体，选择不同位置会影响检查点的可选。
检查点	规则条目匹配的具体位置。根据选择的检测位置可以设置不同的检测点： HTTP请求头部对应的检测点：HTTP请求头、HTTP请求版本、HTTP请求方法、HTTP请求URL、HTTP请求File、HTTP请求参数、HTTP请求Referer、HTTP请求UserAgent、HTTP请求Cookie。 HTTP请求体对应的检测点：HTTP请求体。 HTTP响应头部对应的检测点：HTTP响应码、HTTP响应头部。 HTTP响应体对应的检测点：HTTP响应体。多个检查点是“或”的关系。

² 添加条目

1) 点击【添加】按钮，打开添加自定义规则特征条目弹窗；

2) 输入配置，勾选检查点，点击【保存】按钮。

图5-46 添加自定义规则特征条目

² 编辑条目

点击条目的【编辑】按钮，重新输入配置，点击【保存】即可。

图5-47 编辑条目页面

² 删除条目

点击条目的【编辑】按钮，或勾选多个条目点击【批量删除】，即可删除。

图5-48 删除条目页面

² 清空条目

点击【清空】按钮，点击【确认】即可清空当前自定义规则内所有条目配置。

图5-49 清空条目页面

Ø 步骤5：点击【保存】按钮保存配置。

l 编辑自定义规则

点击自定义规则的【编辑】按钮，重新输入配置，点击【保存】即可。

图5-50 自定义规则编辑页面

l 删除自定义规则

点击自定义规则对应的【删除】按钮，或勾选多个规则点击【批量删除】，即可删除。

图5-51 自定义规则删除页面

5.8 敏感词管理

敏感词主要是应用于敏感词防护功能，本章主要描述敏感词的常用操作方法和配置。

l 添加敏感词

Ø 步骤1：选择“基础配置->敏感词管理”进入敏感词管理界面。

图5-52 敏感词管理界面

Ø 步骤2：点击【添加】弹出添加敏感词界面。

图5-53 添加敏感词

Ø 步骤3：编辑敏感词名称和类型，类型包括政治、宗教、色情、暴力、反动、广告、其他。

图5-54 敏感词类型

Ø 步骤4：点击【保存】按钮保存配置。

l 编辑敏感词

选择敏感词，点击【编辑】按钮编辑即可。

敏感词参数详细配置说明见下表

表5-9 敏感词参数详细说明

配置项	描述
敏感词名称	名称最多输入10个字符。
类型	类型包括政治、宗教、色情、暴力、反动、广告、其它。

图5-55 编辑敏感词

l 删除敏感词

选择敏感词，点击【删除】按钮后点击【确认】即可。

图5-56 删除敏感词

l 导入敏感词

点击【导入】按钮弹出导入对话框，点击选择本地文件导入；点击下载导入模板。

图5-57 敏感词导入界面

l 导出敏感词

点击【导出】按钮即可。

l 清空敏感词

点击【清空】按钮后点击【确认】即可清空敏感词。

图5-58 清空敏感词

l 查询

在查询条件中输入敏感词名称，选择敏感词类型后点击【查询】按钮即可。

图5-59 查询功能

5.9 弱密码管理

弱密码管理为用户自定义弱密码管理模块，支持添加、导入、导出、查询、删除、清空等功能。

l 添加弱密码

Ø 步骤1：进入“基础配置->弱密码管理”页面；

图5-60 弱密码管理页面

Ø 步骤2：点击【添加】，弹出添加弱密码配置页面；

图5-61 添加弱密码页面

Ø 步骤3：输入自定义密码；

弱密码参数详情配置说明见下表：

表5-10 弱密码参数详细说明

配置项	描述
弱密码	名称最多输入16个字符。
备注	自定义备注信息。

Ø 步骤4：点击【保存】按钮。

l 导入弱密码

点击【导入】弹出导入对话框，点击选择本地文件导入；点击下载导入模板。

图5-62 导入弱密码

l 导出弱密码

点击【导出】按钮，将弱密码配置全部导出。

l 查询弱密码

在查询条件中输入弱密码后点击【查询】按钮即可。

图5-63 弱密码查询框

l 删除弱密码

点击弱密码的【删除】按钮，或勾选弱密码配置点击【批量删除】即可。

图5-64 删除弱密码

l 清空弱密码

点击【清空】按钮，清空当前所有弱密码配置。

图5-65 清空弱密码

6 安全防护

6.1 概述

本章主要介绍协议合规检测、Web攻击防护、Web业务控制、Web敏感信息防护、Web业务加固、DDos攻击防护模块的详细配置步骤。

6.2 协议合规检测

5.2.1 协议合规检测策略

l 添加策略

Ø 步骤1：进入“安全防护->协议合规检测->协议合规检测策略”页面；

图6-1 协议合规检测策略管理页面

Ø 步骤2：点击【添加】按钮，弹出添加策略页面，配置参数说明如下表：

表6-1 协议合规检测策略参数说明

配置项	说明
策略名称	自定义策略名称。
应用资产	配置防护资产，可同时引用多个。
阻断返回信息	选择引用阻断返回信息配置（代理模式生效）。
备注	自定义策略备注。
选择模板	选择引用模板配置，可引用默认模板或自定义模板。
策略配置详情	启用/禁用防护点：启用：在WAF检测攻击时将对经过WAF的流量进行该项配置检测。禁用：在WAF检测攻击时将不对经过WAF的流量进行该项配置检测。自定义防护点参数值：协议合规检测的检验项，包括URL最大长度、URL参数最大个数、URL参数最大长度、Cookies最大个数、Cookies最大长度、Host最大长度、User_Agent最大长度、Referer最大长度、Accept最大长度、Accept_Charset最大长度、消息体实际长度、Accept_Language最大长度、HTTP请求最大长度、头信息最大个数、Content_Length最大值、请求行最大长度、请求行最大个数、请求头最大长度、参数个数、Range最大范围、Cache-Control最大长度、Via最大长度、Server最大长度、Set-Cookie最大长度、Location最大长度，可以对以上每个协议校验项分别进行参数配置，HTTP请求走私为通过开关禁用启用。注：长度的单位为byte，参数值范围为 0 – 2147483647。处理动作：定义触发该协议校验项后WAF的处理动作，包括通过、阻断、封禁、重定向。通过：对触发防护规则的恶意访问，如果匹配到一类防护规则后全部通过不防护，记录日志，继续匹配下一个大类防护规则。阻断：对触发防护规则的恶意访问直接阻断，不再匹配其它规则。封禁：对触发防护规则的恶意访问进行封禁，自动将该IP加入动态黑名单，当处理动作为封禁时，可以在弹出的输入框中设置封禁时间，封禁时间5-65535，单位秒。重定向：对触发防护规则的恶意访问，该访问会被重定向到用户自行设定的URL上。例外URL：定义不进行协议校验合规操作的URL。
存为模板	保存当前详情配置为模板。

图6-2 添加协议合规检测策略

Ø 步骤3：自定义防护点参数、处理动作、例外URL配置；

配置例外URL详细步骤如下：

² 添加例外URL：

1) 编辑策略，编辑例外URL。

图6-3 例外URL弹窗页面

2) 点击【添加】按钮；

图6-4 添加例外URL

3) 输入例外URL，选择类型正则匹配/精确匹配。

4) 点击【保存】按钮保存配置；

² 编辑例外URL

点击【编辑】按钮，修改配置后保存即可。

图6-5 编辑例外URL

² 删除例外URL

点击【删除】按钮后点击【确认】删除即可。

图6-6 删除例外URL

其它模块涉及例外URL配置不再进行描述！

Ø 步骤4：点击【保存】按钮保存配置。

l 存为模板

1) 添加防护策略，配置防护点、参数值，点击【存为模板】；

图6-7 存为模板

2) 在弹出框输入模板名称和备注，点击【保存】。

图6-8 模板名称页面

l 编辑策略

点击具体策略的【编辑】操作按钮，编辑名称、应用资产、阻断返回信息、备注、选择模板、配置防护点参数值，点击【保存】即可。

图6-9 编辑策略页面

l 复制策略

点击具体策略的【复制】操作按钮，即可复制策略配置。

图6-10 复制策略页面

复制策略不会复制应用资产！

l 策略配置详情

点击具体策略的【配置详情】按钮，查看防护点配置，也可进行启用禁用操作。

图6-11 协议合规检测策略配置详情

l 删除策略

点击策略的【删除】操作按钮，或勾选多条配置点击【批量删除】，在弹出对话框点击【确认】即可。

图6-12 删除策略页面

5.2.1 协议合规检测模板

内置四个协议合规检测模板，配置策略时可直接引用，也可以自定义模板、参数值。

图6-13 协议合规检测模板页面

l 添加模板

Ø 步骤1：进入“安全防护->协议合规检测->协议合规检测模板”页面；

Ø 步骤2：点击【添加】按钮，弹出添加模板页面，配置参数说明如下表：

表6-2 协议合规检测模板参数说明

配置项	说明
模板名称	自定义模板名称。
备注	自定义模板备注。
策略配置详情	配置防护点详情：启用/禁用防护点；自定义防护点参数值、处理动作。

图6-14 添加协议合规检测模板

Ø 步骤3：输入自定义名称、参数值、处理动作；

Ø 步骤4：点击【保存】按钮保存配置。

Ø 结束

l 编辑模板

点击模板的【编辑】按钮，编辑名称、备注、配置防护规则，点击【保存】即可。

图6-15 编辑协议合规检测模板

l 复制模板

点击模板的【复制】按钮，即可复制默认模板或自定义模板。

图6-16 复制协议合规检测模板

l 删除模板

点击模板的【删除】按钮，或勾选多条配置点击【批量删除】，在弹出对话框点击【确认】即可。

图6-17 删除协议合规检测模板

6.3 Web攻击防护

6.3.1 Web攻击防护策略

Web攻击防护策略通过系统预置Web防护特征库，检测或者阻断可能的Web攻击，包含注入、组件漏洞等各种Web攻击。

l 添加策略

Ø 步骤1：进入“安全防护->Web攻击防护->Web攻击防护策略”管理界面；

图6-18 Web攻击防护策略管理界面

Ø 步骤2：点击【添加】按钮，弹出添加Web攻击防护策略界面；

图6-19 添加Web攻击防护策略界面

参数详细说明如下表；

表6-3 Web攻击防护策略参数详细说明

配置项	描述
策略名称	自定义Web攻击防护策略名称。
应用资产	配置引用防护资产，可同时引用多个。
阻断返回信息	引用自定义阻断返回信息。
备注	自定义策略备注。
选择模板	选择引用防护模板，可引用默认模板或自定义模板。
特征检测	使用默认的特征库对SQL注入攻击进行检测。
例外URL	例外的URL不应用该策略
语义算法检测	对参数进行语义解析，智能识别SQL注入攻击、XSS攻击。只能在代理模式下生效
检测类型	包括SQL注入防护、XSS防护、命令注入防护、组件漏洞防护、Web扫描防护、XPATH防护、XML防护、SSl防护、JSON注入防护、LDAP防护、Webshell防护、自定义防护,可以对每个检测类型进行启用禁用，展开每个检测类型的特征规则，可以对每个详细规则通过勾选进行启用禁用。注： 1）SQL注入防护和XSS防护如果只勾选语义算法检测，检测级别和特征规则展开按钮置灰不可选择； 2）特征规则的处理动作以特征规则展开后各详细规则对应的处理动作为准，外部处理动作置灰； 3）特征规则中有任意修改，检测级别自动变为自定义；
检测级别	检测级别包含：高、中、低。检测级别高：启用严重级别为高的保护规则；检测级别中：启用严重级别为高、中的保护规则；检测级别低：启用严重级别为高、中、低的保护规则
处理动作	定义检测到触发该策略的攻击后的处理动作，包括通过、阻断、重定向和封禁。

Ø 步骤3：输入自定义名称、参数值；

Ø 步骤4：点击【保存】按钮保存配置。

l 存为模板

详细步骤参考图6.7与图6.8。

l 编辑策略

点击具体策略的【编辑】操作按钮，编辑名称、应用资产、阻断返回信息、备注、选择模板、配置防护点参数值，点击【保存】即可。

图6-20 编辑策略页面

l 复制策略

点击具体策略的【复制】操作按钮，即可复制策略配置。

图6-21 复制策略页面

复制策略不会复制应用资产！

l 策略配置详情

点击具体策略的【配置详情】按钮，查看防护点配置，也可进行启用禁用操作。

图6-22 配置详情编辑页面

l 删除策略

点击策略的【删除】操作按钮，或勾选配置点击【批量删除】，在弹出对话框点击【确认】即可。

图6-23 删除策略页面

6.3.2 Web攻击防护模板

内置四个默认模板，分别是：低级模板、中级模板、高级模板、监控模板。配置策略时可直接引用，也可以自定义模板、参数值。

图6-24 Web攻击防护模板管理页面

l 添加模板

Ø 步骤1：进入“安全防护->Web攻击防护->Web攻击防护模板”管理界面；

Ø 步骤2：点击【添加】按钮，弹出添加模板页面，配置参数说明如下表：

图6-25 添加web攻击防护模板

表6-4 Web攻击防护参数详细

配置项	描述
模板名称	自定义Web攻击防护模板名称。
备注	自定义模板备注。
特征检测	使用默认的特征库对SQL注入攻击进行检测。
语义算法检测	对参数进行语义解析，智能识别SQL注入攻击。
检测级别	定义该策略对不同类型Web攻击的检测级别。
处理动作	定义检测到触发该策略的攻击后的处理动作，包括通过、阻断、重定向和封禁，其中包括了对封禁时间的配置（秒）。

Ø 步骤3：自定义配置规则类型检测级别和处理动作；

Ø 步骤4：点击【保存】按钮保存配置。

Ø 结束

l 编辑模板

点击模板的【编辑】按钮，编辑名称、备注、配置防护规则，点击【保存】即可。

图6-26 编辑模板页面

l 复制模板

点击模板的【复制】按钮，即可复制默认模板或自定义模板。

图6-27 复制模板页面

l 删除模板

点击模板的【删除】按钮，或勾选多条配置点击【批量删除】，在弹出对话框点击【确认】即可。

图6-28 删除模板页面

6.4 Web业务控制

6.4.2 Web业务控制策略

Web业务控制策略通过配置不同规则来对后端服务器的业务进行控制和保护，本章主要描述Web业务控制配置方法。

l 添加策略

Ø 步骤1：进入“安全防护->Web业务控制->Web业务控制策略”管理界面；

图6-29 Web业务控制策略管理界面

Ø 步骤2：点击【添加】按钮，弹出添加Web业务控制策略界面；

图6-30 添加Web业务控制策略页面

Ø 步骤3：策略参数详细说明如下表；

表6-5 Web业务控制策略参数详细说明

配置项	描述
策略名称	自定义Web业务控制策略名称。
应用资产	Web业务控制策略的防护资产。
阻断返回信息	引用自定义阻断返回信息。
备注	自定义策略备注。
选择模板	选择Web业务控制模板进行配置。
检测级别	定义该策略对不同类型攻击的检测级别。
处理动作	定义检测到触发该策略的攻击后的处理动作，包括通过、阻断、重定向和封禁，其中包括了对封禁时间的配置（秒）。
例外URL	配置例外URL：编辑策略后，编辑例外URL例外URL的匹配类型包含精确匹配、正则匹配。

Ø 步骤4：配置策略配置详情。可以自定义配置策略详情，也可以选择模板进行引用。

² 爬虫防护

爬虫防护的配置如图所示：

图6-31 爬虫防护配置

爬虫防护的详细参数配置信息如下：

表6-6 爬虫防护配置说明

配置项	描述
检测级别	检测级别包含：高、中、低。检测级别高：启用严重级别为高的爬虫保护规则；检测级别中：启用严重级别为高、中的爬虫保护规则；检测级别低：启用严重级别为高、中、低的爬虫保护规则。
处理动作	包含封禁、通过、阻断、重定向。
例外URL	编辑策略后，编辑例外URL例外URL的匹配类型包含精确匹配、正则匹配；例外URL的规则号与规则库中显示一致。

² 黑链防护

黑链防护的配置如图所示：

图6-32 黑链防护配置

黑链防护的详细参数说明如下：

表6-7 黑链防护配置说明

配置项	描述
检测级别	检测级别包含：高、中、低。检测级别高：启用严重级别为高的黑链保护规则；检测级别中：启用严重级别为高、中的黑链保护规则；检测级别低：启用严重级别为高、中、低的黑链保护规则。
处理动作	包含封禁、通过、阻断、重定向。
例外URL	编辑策略后，编辑例外URL例外URL的匹配类型包含精确匹配、正则匹配；例外URL的规则号与规则库中显示一致。

² 内网代理防护

内网代理防护的配置如图所示：

图6-33 内网代理防护配置

内网代理防护的详细参数说明如下：

表6-8 内网代理防护配置说明

配置项	描述
检测级别	检测级别包含：高、中、低。检测级别高：启用严重级别为高的黑链保护规则；检测级别中：启用严重级别为高、中的黑链保护规则；检测级别低：启用严重级别为高、中、低的黑链保护规则。
处理动作	包含封禁、通过、阻断、重定向。
例外URL	保存策略后，编辑策略后，编辑例外URL 例外URL的匹配类型包含精确匹配、正则匹配；例外URL的规则号与规则库中显示一致。

² 盗链防护

盗链防护的配置如图所示：

图6-34 盗链防护配置

盗链防护的详细参数说明如下所示：

表6-9 盗链防护配置说明

配置项	描述
检测类型	可以切换两种检测类型，分别为Referer和Referer+Cookie。
处理动作	包含封禁、通过、阻断、重定向。
例外URL	编辑策略后，编辑例外URL例外URL的匹配类型包含精确匹配、正则匹配；例外URL的规则号与规则库中显示一致。
保护资源类型	设置需要进行检测的资源类型。
信任Referer	当请求的Referer为信任Referer时，不会进行后续检测。
允许Referer为空	请求的Referer为空时，判断为合法Referer，不进行防护。

² 文件上传控制

文件上传控制规则的配置如图所示：

图6-35 文件上传控制规则配置1

图6-36 文件上传控制规则配置2

图6-37 文件上传控制规则配置3

图6-38 文件上传控制规则配置4

图6-39 文件上传控制规则配置5

文件上传控制的详细参数说明如下：

表6-10 文件上传控制配置说明

配置项	描述
处理动作	定义检测到触发该规则的攻击后的处理动作，包括通过、阻断、重定向和封禁，其中包括了对封禁时间的配置（秒）。
文件大小	限制上传文件的大小，为0表示不进行检测。
优先级	可以添加多条文件上传控制规则，优先级为0表示最高优先级。
保护URL	可以对特定的URL进行检测，默认为任意。
备注	自定义备注。
文件类型	检测文件的后缀名。
MIME文件类型	检测请求中申明的文件类型。
真实文件类型	检测文件的真实类型。

² 文件下载控制

文件下载控制规则的配置如图所示：

图6-40 文件下载控制规则配置1

图6-41 文件下载控制规则配置2

图6-42 文件下载控制规则配置3

图6-43 文件下载控制规则配置3

文件下载控制规则的详细配置参数说明如下：

表6-11 文件下载控制配置说明

配置项	描述
处理动作	定义检测到触发该规则的攻击后的处理动作，包括通过、阻断、重定向和封禁，其中包括了对封禁时间的配置（秒）。
文件大小	限制下载文件的大小，为0表示不进行检测。
优先级	可以添加多条文件下载控制规则，优先级为0表示最高优先级。
保护URL	可以对特定的URL进行检测，默认为任意。
备注	自定义备注。
文件类型	检测文件的后缀名。
MIME文件类型	检测请求中申明的文件类型。

l 存为模板

l 详细步骤参考图6.7与图6.8。

l 编辑策略

点击具体策略的【编辑】操作按钮，编辑名称、应用资产、阻断返回信息、备注、选择模板、配置防护点参数值，点击【保存】即可。

图6-44 编辑策略页面

l 复制策略

点击具体策略的【复制】操作按钮，即可复制策略配置。

图6-45 复制策略页面

复制策略不会复制应用资产！

l 策略配置详情

点击具体策略的【配置详情】按钮，查看防护点配置，也可进行启用禁用操作。

图6-46 Web业务控制策略配置详情1

图6-47 Web业务控制策略配置详情2

l 删除策略

点击策略的【删除】操作按钮，或勾选多条配置点击【批量删除】，在弹出对话框点击【确认】即可。

图6-48 删除策略页面

6.4.3 Web业务控制模板

内置四个默认模板，分别是：低级模板、中级模板、高级模板、监控模板。配置策略时可直接引用，也可以自定义模板、参数值。

图6-49 Web业务控制模板管理页面

l 添加模板

Ø 步骤1：进入“安全防护->Web业务控制->Web业务控制模板”管理界面；

Ø 步骤2：点击【添加】按钮，弹出添加Web业务控制模板界面；

图6-50 添加Web业务控制模板

Ø 步骤3：配置自定义防护参数；

Ø 步骤4：点击【保存】按钮保存配置。

Ø 结束

l 编辑模板

点击模板的【编辑】按钮，编辑名称、备注、配置防护规则，点击【保存】即可。

图6-51 编辑模板

l 复制模板

点击模板的【复制】按钮，即可复制默认模板或自定义模板。

图6-52 复制模板

l 删除模板

点击模板的【删除】按钮，或勾选多条配置点击【批量删除】，在弹出对话框点击【确认】即可。

图6-53 删除模板

6.5 Web敏感信息防护

Web敏感信息防护包含中间件信息保护、数据库信息保护、敏感文件保护、代码错误信息保护、隐私信息保护、敏感词防护等功能，本章主要描述Web敏感信息防护的常用操作内容和方法。

6.5.1 Web敏感信息防护策略

l 添加策略

Ø 步骤1：进入“安全防护-> Web敏感信息防护-> Web敏感信息防护策略”管理界面；

图6-54 Web敏感信息防护策略管理界面

Ø 步骤2：点击【添加】按钮，显示添加策略界面；

图6-55 添加策略界面

Ø 步骤3：配置策略基础属性；

表6-12 策略基础属性配置说明

配置项	描述
策略名称	自定义策略名称，长度不超过10个字符。
应用资产	引用防护资产。
阻断返回信息	引用阻断返回信息对象。
备注	自定义备注。
选择模板	选择引用防护模板，可引用默认模板或自定义模板。
检测类型	包括中间信息保护、数据库信息保护、敏感文件保护、代码错误信息保护、隐私信息保护、敏感词保护,可以对每个检测类型进行启用禁用，展开每个检测类型的特征规则，可以对每个详细规则通过勾选进行启用禁用，具体各检测类型配置见步骤4。注： 1）特征规则中有任意修改，检测级别自动变为自定义；
检测级别	检测级别包含：高、中、低、自定义。检测级别高：启用Web防护特征规则库中严重级别为高、中、低的保护规则；检测级别中：启用Web防护特征规则库中严重级别为高、中的保护规则；检测级别低：启用Web防护特征规则库中严重级别为高的保护规则；自定义：自定义详细规则启用禁用和自定义处理动作。

Ø 步骤4：配置策略配置详情。可以自定义配置策略详情，也可以选择模板进行引用。

² 中间件信息保护

中间件信息保护配置如图所示：

图6-56 中间件信息保护配置

中间件信息保护的详细配置参数说明如下：

表6-13 中间件信息保护配置说明

配置项	描述
检测类型	检测类型包含：Server、X-Powered-By、用户自定义。
自定义类型	当检测类型为用户自定义时，输入自定义的响应头检测类型。注：部分响应头是在防护模块处理之后由WAF引擎加上，因此自定义不会防护，涉及字段如下：Date、Content-Type、Content-Length、Last-Modified、Location、Transfer-Encoding、Connection、Keep-Alive、Vary。
修改动作	包含全部隐藏、替换、擦除。全部隐藏：变成***字段；替换：敏感信息替换成设置好的文本信息；擦除：完全删除敏感信息。注： 1）设置的文本信息不能为中文； 2）设置的文本信息长度1-128字符； 3）设置的文本信息长度大于敏感信息长度时，只显示到敏感信息的长度。
例外URL	编辑策略后，编辑例外URL例外URL的匹配类型包含精确匹配、正则匹配。
日志	启动/禁用该防护点的日志记录，启动/禁用该防护点的日志记录，默认不记录，开启记录后，日志记录该规则，处理动作通过。

² 数据库信息保护

数据库信息保护配置如图所示：

图6-57 数据库信息保护配置

数据库信息保护的详细配置参数说明如下：

表6-14 数据库信息保护配置说明

配置项	描述
检测级别	检测级别包含：高、中、低。检测级别高：启用严重级别为高的数据库信息保护规则；检测级别中：启用严重级别为高、中的数据库信息保护规则；检测级别低：启用严重级别为高、中、低的数据库信息保护规则。
处理动作	包含封禁、通过、阻断、重定向。
例外URL	编辑策略后，编辑例外URL例外URL的匹配类型包含精确匹配、正则匹配；例外URL的规则号与规则库中显示一致。

² 敏感文件保护

敏感文件保护配置如图所示：

图6-58 敏感文件保护配置

敏感文件保护的详细配置参数说明如下：

表6-15 敏感文件保护配置说明

配置项	描述
检测级别	检测级别包含：高、中、低。检测级别高：启用严重级别为高的敏感文件保护规则；检测级别中：启用严重级别为高、中的敏感文件保护规则；检测级别低：启用严重级别为高、中、低的敏感文件保护规则。
处理动作	包含封禁、通过、阻断、重定向。
例外URL	编辑策略后，编辑例外URL例外URL的匹配类型包含精确匹配、正则匹配。例外URL的规则号与规则库中显示一致。

² 代码错误信息保护

代码错误信息保护配置如图所示：

图6-59 代码错误信息保护配置

代码错误信息保护的详细配置参数说明如下：

表6-16 代码错误信息保护配置说明

配置项	描述
检测级别	检测级别包含：高、中、低。检测级别高：启用严重级别为高的代码错误信息保护规则；检测级别中：启用严重级别为高、中的代码错误信息保护规则；检测级别低：启用严重级别为高、中、低的代码错误信息保护规则。
处理动作	包含封禁、通过、阻断。
例外URL	编辑策略后，编辑例外URL例外URL的匹配类型包含精确匹配、正则匹配。例外URL的规则号与规则库中显示一致。

² 隐私信息保护

隐私信息保护配置如图所示：

图6-60 隐私信息保护配置

隐私信息保护的详细配置参数说明如下：

表6-17 隐私信息保护配置说明

配置项	描述
检测类型	检测类型包含：身份证、邮箱地址、银行卡、信用卡、手机号。
修改动作	包含部分隐藏、全部隐藏、替换、擦除。部分隐藏：部分字段变成*字段，如电话号码显示为1352029；全部隐藏：字段全部变成*字段；替换：敏感信息替换成设置好的文本信息；擦除：完全删除敏感信息。注： 1）设置的文本信息不能为中文； 2）设置的文本信息长度1-128字符； 3）设置的文本信息长度大于敏感信息长度时，只显示到敏感信息的长度。
例外URL	编辑策略后，编辑例外URL例外URL的匹配类型包含精确匹配、正则匹配。

² 敏感词防护

敏感词防护配置如图所示：

图6-61 敏感词防护配置

敏感词防护的详细配置参数说明如下：

表6-18 敏感词防护配置说明

配置项	描述
类型	类型包含：政治、宗教、色情、暴力、反动、广告、其他。
修改动作	包含部分隐藏、全部隐藏、替换、擦除。
例外URL	编辑策略后，编辑例外URL例外URL的匹配类型包含精确匹配、正则匹配。
检测位置	包含HTTP请求URL、HTTP请求参数、HTTP请求体、HTTP响应体。

Ø 步骤5：点击【保存】按钮保存配置。

l 存为模板

详细步骤参考图6.7与图6.8。

l 编辑策略

选择策略，点击【编辑】按钮后修改配置即可。

图6-62 编辑策略1

图6-63 编辑策略2

l 配置详情

点击【配置详情】可以启动/禁用防护点；点击【收起详情】隐藏配置详情显示。

图6-64 Web敏感信息防护策略配置详情1

图6-65 Web敏感信息防护策略配置详情2

l 复制策略

选择策略，点击【复制】即可。

复制策略不会复制应用资产！

图6-66 复制策略

l 删除策略

点击策略的【删除】操作按钮，或勾选多条配置点击【批量删除】，在弹出对话框点击【确认】即可。

图6-67 删除策略

6.5.2 Web敏感信息防护模板

内置四个默认模板，分别是：低级模板、中级模板、高级模板、监控模板。配置策略时可直接引用，也可以自定义模板、参数值。

l 添加模板

Ø 步骤1：进入“安全防护-> Web敏感信息防护-> Web敏感信息防护模板”管理界面；

图6-68 Web敏感信息防护模板管理界面

Ø 步骤2：点击【添加】显示添加模板界面；

图6-69 添加模板界面

Ø 步骤3：配置策略基础属性和策略配置详情信息。

Ø 步骤4：点击【保存】按钮保存配置。

Ø 结束

l 编辑模板

点击模板的【编辑】按钮，编辑名称、备注、配置防护规则，点击【保存】即可。

图6-70 编辑模板界面

l 复制模板

点击模板的【复制】按钮，即可复制默认模板或自定义模板。

图6-71 复制模板界面

l 删除模板

点击模板的【删除】按钮，或勾选多条配置点击【批量删除】，在弹出对话框点击【确认】即可。

图6-72 删除模板界面

6.6 Web业务加固

Web业务加固包含暴力破解保护、人机识别、弱密码检测、会话安全、CGI安全、跨站请求伪造、访问顺序控制的防护功能，本章主要描述Web业务加固防护的常用操作内容和方法。

6.6.1 Web业务加固策略

l 添加策略

Ø 步骤1：进入“安全防护->Web业务加固-> Web业务加固策略”管理页面；

图6-73 web业务加固策略管理页面

Ø 步骤2：点击【添加】按钮，弹出添加策略页面；

图6-74 添加策略页面

Ø 步骤3：配置策略基础属性和策略配置详情，参数说明见下表；

表6-19 策略配置参数说明

配置项	说明
策略名称	自定义策略名称。
应用资产	配置防护资产，可同时引用多个。
阻断返回信息	选择引用阻断返回信息配置（代理模式生效）。
备注	自定义策略备注。
处理动作	配置防护处理动作，包括：封禁、通过、阻断、重定向，各处理动作描述参考表6.4。
例外URL	保存策略后，点击【修改>>】可以管理例外URL（添加、编辑、删除）；例外URL的匹配类型包含精确匹配、正则匹配；例外URL的规则号与规则库中显示一致，具体配置参考6.2.1。
选择模板	选择应用模板配置。
策略配置详情	配置防护规则，可以自定义配置策略详情，也可以选择模板进行引用：暴力破解防护、人机识别、弱密码检测、会话安全、CGI安全、跨站请求伪造、业务流程控制。
存为模板	可保存当前详情配置为模板。

² 暴力破解防护

暴力破解防护通过动态令牌及限速结合的方式从而判断是否为攻击。

暴力破解的配置如图所示：

图6-75 暴力破解配置页面

暴力破解防护参数说明如下：

表6-20 暴力破解防护参数说明

配置项	说明
方法	勾选防护方法，方法有动态令牌和限速两种方法，可单个勾选，也可全部勾选，默认动态令牌。
限速频率	配置访问限速频率，限制用户的访问频率，勾选方法限速是可配置。
动态令牌有效时间	配置动态令牌有效时间。注：当用户提交登录请求，访问请求url时会带上该WAF令牌，令牌超过有效时间防护，反之，正常登录。
登录页面URL	勾选动态令牌后需配置登录页面URL：点击【添加>>】按钮，配置登录页面URL（添加、编辑、删除）； URL的匹配类型包含精确匹配、正则匹配。
登录请求URL	勾选限速后需配置登录请求URL：点击【添加>>】按钮，配置登录页面URL（添加、编辑、删除）； URL的匹配类型包含精确匹配、正则匹配。注：一般网站登录有两个url，一个是展示登录页面的url，一个是输入用户名密码之后具体发送请求的url，登录页面URL和登录请求URL不能相同。

暴力破解规则仅代理模式生效！

² 人机识别

人机识别在限速基础上统计获取验证码次数和验证码校验失败次数用于防护；统计在检测周期内获取验证码次数和验证验证码错误次数，若超过次数则防护。

人机识别的配置如图所示：

图6-76 人机识别配置页面

人机识别参数说明如下：

表6-21 人机识别参数说明

配置项	说明
检测级别	检测级别越高，单位时间内连续请求的次数越少触发防护，检测级别越低。
验证码复杂度	配置访问保护的URL时弹出的需要输入的验证码复杂度。
有效时间	输入正确的验证码后在有效时间内访问此页面不用再跳转到验证页面，单位秒。
保护URL	需要使用人机识别的URL。

人机识别规则仅代理模式生效！

² 弱密码检测

弱密码（Weak passwords）即容易被破解的密码，多为简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名，例如“123456”、“abc123”、“Michael”等。

弱密码检测规则主要用于检测密码的强弱程度，密码有系统默认弱密码和自定义密码。

弱密码检测的配置如图所示：

图6-77 弱密码检测配置页面

弱密码检测的详细配置参数说明如下：

表6-22 弱密码检测参数说明

配置项	说明
检测级别	默认检测级别，分别为：低、中、高。
处理动作	配置防护处理动作，包括：通过、阻断、重定向.
密码字段名称	内置三个密码字段名称，也可自定义密码字段。注：自定义密码字段在基础配置-弱密码管理配置。

² 会话安全

会话安全的配置如图所示：

图6-78 会话安全配置页面

会话安全的详细配置参数说明如下：

表6-23 会话安全参数说明

配置项	说明
Cookie加固	配置Cookie加固，为Cookie设置HttpOnly属性。
Cookie加密	配置Cookie加密，提高Cookie使用的安全性。
会话固定	启用/禁用会话固定。
匹配URL	启用会话固定后，配置匹配URL。

会话安全仅代理模式生效！

² CGI安全

CGI安全的配置如图所示：

图6-79 CGI安全配置页面

CGI安全的详细配置参数说明如下：

表6-24 CGI安全参数说明

配置项	说明
检测级别	配置检测级别，检测级别包含：高、中、低，各检测级别描述参考表6.4。
处理动作	配置防护处理动作，包括：封禁、通过、阻断、重定向，各处理动作描述参考表6.4。

² 跨站请求伪造

l 添加规则

Ø 步骤1：进入web业务加固策略详情页面，点击【添加】按钮，弹出参数配置页面；

图6-80 添加跨站请求伪造配置配置

Ø 步骤2：输入自定义配置；

表6-25 跨站请求伪造参数说明

配置项	说明
处理动作	配置防护处理动作，包括：封禁、通过、阻断、重定向。
优先级	配置规则优先级，优先级越小，越优先。
保护URL	配置保护URL，可配置任意。
Referer URL	自定义Referer URL。
备注	自定义备注。
允许Referer为空	开启，请求的Referer为空时，判断为合法Referer，不进行防护，默认禁用。禁用，不允许Referer为空。
Referer白名单	配置Referer白名单。 Referer格式：http://www.123.com/，其中匹配任何内容，最多支持4个Referer，用 \| 连接。每个Referer只能以http://或https://开始且长度小于125字节，域名为合法域名。

Ø 步骤3：点击【保存】按钮保存配置。

l 编辑规则

点击任一规则的【编辑】按钮，在弹出参数配置页面重新输入配置，点击【保存】即可。

l 删除规则

点击具体规则的【删除】按钮，或勾选多个配置点击【批量删除】即可删除配置。

² 业务流程控制

l 添加规则

Ø 步骤1：进入web业务加固策略详情页面，点击【添加】按钮，弹出参数配置页面；

图6-81 添加业务流程控制配置配置

Ø 步骤2：输入自定义配置；

表6-26 业务流程控制参数说明

配置项	说明
处理动作	配置防护处理动作，包括：封禁、通过、阻断、重定向。
优先级	配置规则优先级，优先级越小，越优先，范围0-65535。
有效时间	配置Referer URL跳转到保护URL的有效时间，范围5-65535。
保护URL	配置保护URL，可配置任意。
Referer URL	自定义Referer URL。
备注	自定义备注。
允许Referer为空	开启，请求的Referer为空时，判断为合法Referer，不进行防护，默认禁用。禁用，不允许Referer为空。

Ø 步骤3：点击【保存】按钮保存配置。

l 编辑规则

点击任一规则的【编辑】按钮，在弹出参数配置页面重新输入配置，点击【保存】即可；

l 删除规则

点击具体规则的【删除】按钮，或勾选多个配置点击【批量删除】即可删除配置。

Ø 步骤4：点击【保存】按钮保存配置。

l 存为模板

详细步骤参考图6.7。

l 编辑策略

点击策略的【编辑】操作按钮，重新输入配置，点击【保存】即可。

l 复制策略

点击策略的【复制】操作按钮，即可复制策略。

复制策略不会复制应用资产！

l 策略配置详情

点击策略【配置详情】操作按钮，可以启动/禁用防护点；点击【收起详情】隐藏配置详情显示。

图6-82 web业务加固策略配置详情

l 删除策略

点击策略的【删除】操作按钮，或勾选多条配置点击【批量删除】，在弹出对话框点击【确认】即可。

6.6.2 Web业务加固模板

内置四个默认模板，配置策略时可直接引用，也可以自定义模板、参数值。

图6-83 Web业务加固模板页面

l 添加模板

Ø 步骤1：进入“安全防护->web业务加固-> web业务加固模板”管理页面；

Ø 步骤2：点击【添加】按钮，弹出添加模板页面：

图6-84 添加Web业务加固模板

Ø 步骤3：输入自定义名称、参数值，配置参数说明如下表：

表6-27 Web业务加固模板参数说明

配置项	说明
模板名称	自定义模板名称。
备注	自定义模板备注。
策略配置详情	配置防护规则详情：启用/禁用防护规则；自定义防护规则参数值、处理动作，各参数参考表6.19。

Ø 步骤4：点击【保存】按钮保存配置。

l 编辑模板

点击模板的【编辑】按钮，编辑名称、备注、配置防护规则，点击【保存】即可。

l 复制模板

点击模板的【复制】按钮，即可复制默认模板或自定义模板。

l 删除模板

点击模板的【删除】按钮，或勾选多条配置点击【批量删除】，在弹出对话框点击【确认】即可。

6.7 DDos攻击防护

分布式拒绝服务攻击（DDoS攻击）利用大量合法的分布式服务器对目标发送请求，从而导致正常合法用户无法获得服务。DDoS防护功能是通过策略的方式实现的，主要是针对不同的协议类型和攻击类型执行DDoS防护。

6.7.1 DDoS攻击防护策略

l 添加策略

Ø 步骤1：进入“安全防护->DDoS攻击防护->DDoS攻击防护策略”管理界面；

图6-85 DDoS攻击防护策略管理界面

Ø 步骤2：点击【添加】按钮，弹出添加DDoS攻击防护策略界面。

图6-86 添加DDoS攻击防护策略

Ø 步骤3：配置具体参数，DDoS攻击防护策略参数详细说明如下表。

表6-28 DDoS攻击防护策略参数说明

配置项	描述
策略名称	DDoS攻击防护策略名称
应用资产	DDoS攻击防护策略的防护资产
备注	对该策略进行描述
选择模板	选择DDoS攻击防护模板进行配置
检测级别	检测级别分为低、中低、中、中高、高、自定义配置
防护点	定义该策略对不同攻击类型的防护，主要分为IP攻击、TCP攻击、UDP攻击、ICMP攻击、HTTP攻击、DNS攻击
处理动作	定义检测到触发该策略的攻击后WAF的处理动作，包括通过和封禁

Ø 步骤4：点击【保存】按钮保存配置。

l 编辑策略

点击具体策略的【编辑】操作按钮，编辑名称、应用资产、备注、选择模板、检测级别、处理动作，点击【保存】即可。

图6-87 编辑DDoS攻击防护策略

l 策略配置详情

点击具体策略的【配置详情】按钮，查看防护点配置，也可进行启用禁用操作，点击【收起详情】隐藏配置详情显示。

图6-88 DDos策略配置详情页面1

图6-89 DDos策略配置详情页面2

l 复制策略

点击具体策略的【复制】操作按钮，即可复制策略配置。

复制策略不会复制应用资产！

图6-90 复制DDoS攻击防护策略

l 删除策略

点击策略的【删除】操作按钮，或勾选多条配置点击【批量删除】，在弹出对话框点击【确认】即可。

图6-91 删除DDoS攻击防护策略

6.7.2 DDoS攻击防护模板

内置四个默认模板，分别是低级模板、中极模板、高级模板、监控模板，配置策略时可直接引用，也可以自定义模板、参数值。

图6-92 DDoS攻击防护模板管理界面

l 添加模板

Ø 步骤1：进入“安全防护->DDoS攻击防护->DDoS攻击防护模板”管理界面；

Ø 步骤2：点击【添加】按钮，弹出添加DDoS攻击防护模板界面；

图6-93 添加DDoS攻击防护模板页面

Ø 步骤3：自定义配置DDoS攻击防护具体参数说明如下表：

表6-29 DDoS攻击防护模板参数说明

配置项	描述
模板名称	DDoS攻击防护模板名称。
备注	对该模板进行描述。
配置详情	可以配置参数的攻击有：IP攻击：Tiny IP Fragment ； TCP攻击：SYN Flood、ACK Flood、TCP X-Flag Flood、Conn Exhaust、Conn Flood、Slow TCP； UDP攻击：UDP Flood、CHARGEN Reflect、SNMP Reflect、DNS Reflect、NTP Reflect、SSDP Reflect、MemCached Reflect； ICMP攻击：ICMP Flood； DNS攻击：DNS Query Floog； HTTP攻击：HTTP Automata、HTTP Get Flood、HTTP Post Flood、HTTP Slow Header、HTTP Slow Body。

Ø 步骤4：点击【保存】按钮保存配置。

Ø 结束

l 编辑模板

点击模板的【编辑】按钮，编辑名称、备注、配置防护规则，点击【保存】即可。

图6-94 编辑DDoS攻击防护模板

l 复制模板

点击模板的【复制】按钮，即可复制默认模板或自定义模板。

图6-95 复制DDoS攻击防护模板

l 删除模板

点击模板的【删除】按钮，或勾选多条配置点击【批量删除】，在弹出对话框点击【确认】即可。

图6-96 删除DDoS攻击防护模板

6.7.3 自定义级别配置

l 编辑模板

Ø 步骤1：进入“安全防护->DDoS攻击防护->自定义级别配置”管理界面；

图6-97 自定义级别配置管理界面

Ø 步骤2：点击编辑按钮，弹出自定义级别配置编辑界面；

图6-98 编辑自定义级别配置界面

Ø 步骤3：自定义级别配置参数说明如下表：

表6-30 自定义级别参数说明

配置项	配置说明	范围
Tiny IP Fragment	最小Ipv4分片长度	20-320
SYN Flood	每个IP平均每连接重复SYN速率	512-32
	每个IP重复SYN比例	2
	每个IP积压和半开连接并发数量	256-16
	每个IP积压和半开连接比例	2
	积压和半开连接并发数量	4096-256
	积压和半开连接比例	2
ACK Flood	每个IP平均每连接重复ACK速率	1024-64
	每个IP重复ACK比例	2
	每个IP未知ACK速率	256-16
	未知ACK速率	4096-256
TCP X-Flag Flood	每个IP未知SYNACK速率	64-4
	每个IP未知FIN速率	128-8
	每个IP未知RST速率	256-16
	未知SYNACK速率	1024-64
	未知FIN速率	2048-128
	未知RST速率	4096-256
Conn Exhaust	TCP闲置连接超时	15
	每个IP闲置连接并发数量	64-4
	每个IP闲置连接比例	2
	闲置连接并发数量	1024-64
	闲置连接比例	2
Conn Flood	每个IP空连接并发数量	128-8
	每个IP空连接比例	2
	空连接并发数量	2048-128
	空连接比例	2
Slow TCP	小窗口大小	64
	小窗口持续时间	60
	每个IP小窗口连接并发数量	64-4
	每个IP小窗口连接比例	3
	小窗口连接并发数量	1024-64
	小窗口连接比例	3
UDP Flood	空UDP速率	128-8
	重复或相似UDP速率	65536-4096
	重复或相似UDP比例	2
CHARGEN Reflect	未知CharGen响应速率	256-16
SNMP Reflect	未知SNMP响应速率	20-320
DNS Reflect	未知DNS响应速率	256-16
NTP Reflect	未知NTP响应速率	256-16
SSDP Reflect	未知SSDP响应速率	256-16
MemCached Reflect	未知MemCached响应速率	256-16
ICMP Flood	每个连接重复请求速率	64-4
	每个连接异常请求速率	64-4
	每个连接请求速率	128-8
	每个IP超时未响应请求速率	64-4
	每个IP新建请求速率	128-8
	每个IP未知响应速率	64-4
	新建源IP速率	512-32
DNS Query Floog	每个IP查询速率	1024-64
	每个IP响应率	3
	每个IP错误响应率	2
	查询速率	8192-512
	响应率	3
	错误响应率	2
HTTP Automata	每个IP自动工具检测触发门限	128-8
HTTP Get Flood	每个IP每个URL GET请求并发数量	512-32
HTTP Get Flood	每个IP每个URL GET请求速率	256-16
HTTP Post Flood	每个IP每个URL POST请求并发数量	1024-64
HTTP Post Flood	每个IP每个URL POST请求速率	256-16
HTTP Slow Header	Header传输超时	30-10
HTTP Slow Header	Header传输速率	8-128
HTTP Slow Body	Body传输超时	60-15
HTTP Slow Body	Body传输超时	8-128

7 主动防御

7.1 爬虫陷阱

网络爬虫，是一种按照一定的规则，自动抓取万维网信息的程序或者脚本。网络上有很多搜索引擎，如百度，雅虎等，都使用爬虫提供最新的数据。但如果恶意使用爬虫爬取大量的网站页面，不但占用网站带宽，而且影响服务器性能，通过设置爬虫陷阱策略，可以防止信息被搜索引擎获取。

l 添加策略

本节主要描述爬虫陷阱的详细配置步骤：

Ø 步骤1：进入“主动防御->爬虫陷阱”管理界面；

图7-1 爬虫陷阱管理界面

Ø 步骤2：点击【添加】按钮，弹出添加策略界面；

图7-2 添加爬虫陷阱策略界面

Ø 步骤3：配置自定义参数，策略详细参数说明如下表。

表7-1 爬虫陷阱详细配置说明

配置项	描述
策略名称	自定义策略名称，长度不超过10个字符。
应用资产	引用防护资产。
处理动作	定义检测到触发该策略的攻击后系统的处理动作，包括通过、封禁。
备注	自定义备注。
例外URL	添加、编辑、删除例外URL，匹配类型包括精确匹配、正则匹配。

Ø 步骤4：点击【保存】保存配置。

Ø 结束

l 启用/禁用策略

点击状态按钮启用/禁用策略。

l 编辑策略

点击策略【编辑】按钮，重新输入配置，点击【保存】即可。

图7-3 编辑爬虫陷阱策略

l 复制策略

点击策略【复制】按钮，即可复制策略。

图7-4 复制爬虫陷阱策略

l 删除策略

点击策略的【删除】操作按钮，或勾选多条配置点击【批量删除】，在弹出对话框点击【确认】即可。

图7-5 删除爬虫陷阱策略

7.2 虚拟补丁

虚拟补丁规则根据不同厂家的扫描报告（xml格式），提取特征，生成防护规则，根据防护规则判断是否需要进行防护及发送日志。

l 添加策略

Ø 步骤1：进入“主动防御-> 虚拟补丁”管理页面；

图7.1

图7.2

图7-6 虚拟补丁管理界面

Ø 步骤2：点击【添加】按钮，显示添加策略页面；

图7-7 添加虚拟补丁策略界面

Ø 步骤3：配置虚拟补丁参数，详细说明见下表；

表7.1

表7-2 虚拟补丁详细配置说明

配置项	描述
策略名称	自定义策略名称。
应用资产	引用防护资产。
阻断返回信息	引用阻断返回信息对象。
备注	自定义备注。
处理动作	定义检测到触发该策略的攻击后的处理动作，包括封禁、通过、阻断、重定向。
虚拟补丁文件	上传厂家的扫描报告，仅支持APPSCAN/SCAN，仅支持XML格式，文件名称含后缀名长度不能超过31个字符。

Ø 步骤4：点击【保存】按钮保存配置。

表7-3 虚拟补丁条目详细配置说明

配置项	描述
URL	虚拟补丁防护URL，仅支持以下形式的URL，如/test/test.php 注：不支持带参数的URL。
匹配特征	虚拟补丁防护时匹配特征，匹配到配置的特征才可防护，仅支持以下形式，如a=b（a,b均为字符串）。
类型	下拉选择。
检查点	下拉选择HTTP请求头、HTTP请求File、HTTP请求Cookie、HTTP请求参数。

l 启用/禁用策略

点击状态按钮启用/禁用策略。

l 编辑策略

点击策略【编辑】按钮，重新输入配置，点击【保存】即可。

图7-8 编辑虚拟补丁策略

l 复制策略

点击策略【复制】按钮，即可复制策略。

图7-9 复制虚拟补丁策略

l 删除策略

点击策略的【删除】操作按钮，或勾选多条配置点击【批量删除】，在弹出对话框点击【确认】即可。

图7-10 删除虚拟补丁策略

7.3 安全扫描

安全扫描主要检测目标网站是否存在Web漏洞。本章主要描述漏洞检测的常用操作内容和方法，具体如下表。

表7.2

表7-4 安全扫描常用操作

功能	描述
漏洞检测策略	添加、编辑、删除漏洞检测策略。
漏洞检测详情	查看漏洞检测详情。

7.3.2 漏洞检测策略

l 添加策略

Ø 步骤1：进入“主动防御->漏洞检测策略”管理界面；

图7-11 漏洞检测策略管理界面

Ø 步骤2：点击【添加】按钮，弹出添加策略界面；

图7-12 增加漏洞检测策略界面

Ø 步骤3：编辑漏洞检测策略配置参数；

表7-5 漏洞检测策略参数配置

配置项	描述
策略名称	自定义策略名称。
URL	需要进行检测的完整URL，包含“http://”或者“https://”的URL，不支持ipv6的URL。
深度	检测网站时，可以定义检测深度，深度越大，检测的网站页面数越多，范围在1-10。
用户名	当检测的URL为需要登录的管理网站时，输入登录用户名。
密码	当检测的URL为需要登录的管理网站时，输入登录密码。
检测类型	分为手工和自动两种类型：手工：手动启动漏洞检测策略；自动：根据设置的周期定期自动检测。
检测周期	选择的检测类型为自动时，可以选择检测周期：每天（每天6：25）、每周（每周日6：47）、每月（每月1日6：52）。
备注	自定义备注信息

注：漏洞检测策略正常启用的前提是系统能正常访问被检测的URL。

Ø 步骤4：点击【保存】按钮保存配置。

l 启动策略

点击按钮即可手动启动检测。

l 编辑策略

选择策略点击【编辑】按钮即可进入策略编辑界面，编辑策略。

图7-13 编辑漏洞检测策略1

图7-14 编辑漏洞检测策略2

l 删除策略

l 点击策略的【删除】操作按钮，或勾选多条配置点击【批量删除】，在弹出对话框点击【确认】即可。

图7-15 删除漏洞检测策略

7.3.3 漏洞检测详情

进入“主动防御->漏洞检测详情”页面，可以查看漏洞检测详细信息。

图7-16 漏洞检测详情管理页面

l 详情

点击【详情】可以查看漏洞检测详细信息。

图7-17 漏洞检测详细信息

l 导出

选择扫描任务，点击【导出】后设置报表导出路径即可。

图7-18 导出漏洞检测详情报表

l 删除

点击【删除】操作按钮，或勾选多条详情点击【批量删除】，在弹出对话框点击【确认】即可。

图7-19 删除漏洞检测详情

8 访问控制

8.1 概述

访问控制主要针对网络层的访问控制，通过配置黑白名单、IP访问控制、HTTP访问控制实现控制各类访问行为。本章主要描述访问控制的常用操作和方法，具体内容如下：

表8-1 访问控制模块介绍

模块	描述
黑白名单	该模块包含以下4个子模块： IP黑名单：设置源/目的IP黑名单，可自定义时长； IP白名单：设置源/目的IP白名单，可自定义时长； URL黑名单：设置URL黑名单； URL白名单：设置URL白名单。
IP访问控制	对指定的资产进行IP访问控制。
HTTP访问控制	对指定的资产进行HTTP访问控制。

8.2 黑白名单

8.2.1 IP黑名单

l 添加IP黑名单

Ø 步骤1：进入“访问控制->黑白名单->IP黑名单”管理界面；

图8-1 IP黑名单管理页面

Ø 步骤2：点击【添加】按钮，弹出黑名单配置界面；

图8-2 IP黑名单配置页面

Ø 步骤3：配置黑名单参数，详细参数说明见下表：

表8-2 IP黑名单配置参数说明

配置项	描述
类型	分为源地址和目的地址。源地址：检测到数据包的源IP地址为设置的黑名单后执行防护操作；目的地址：检测到数据包的目的IP地址为设置的黑名单后执行防护操作。
IP/IP段	黑名单的IP网段地址。
过期时长	IP黑名单过期时长，到期自动删除。
备注	自定义备注信息。

Ø 步骤3：点击【保存】按钮保存配置。

Ø 结束

l 导入IP黑名单

点击【导入】弹出导入对话框，点击下载导入模板；点击选择本地文件导入。

图8-3 IP黑名单导入对话框

l 导出IP黑名单

点击【导出】按钮即可。

图8-4 IP黑名单导出

l 清空IP黑名单

点击【清空】按钮后点击【确认】即可清空IP黑名单列表。

图8-5 清空IP黑名单

8.2.2 IP白名单

l 添加IP白名单

Ø 步骤1：进入“访问控制->黑白名单->IP白名单”管理界面；

图8-6 IP白名单管理页面

Ø 步骤2：点击【添加】按钮，弹出白名单配置界面；

图8-7 IP白名单配置页面

Ø 步骤3：配置白名单参数，详细参数说明见下表。

表8-3 IP白名单配置参数说明

配置项	描述
类型	分为源地址和目的地址。源地址：检测到数据包的源IP地址为设置的白名单后直接通过；目的地址：检测到数据包的目的IP地址为设置的白名单后直接通过。
IP/IP段	IP白名单的IP网段地址。
过期时长	IP白名单过期时长，到期自动删除。
备注	自定义备注信息。

步骤4：点击【保存】按钮保存配置。

l 导入IP白名单

点击【导入】弹出导入对话框，点击下载导入模板；点击选择本地文件导入。

图8-8 IP白名单导入页面

l 导出IP白名单

点击【导出】按钮即可。

图8-9 IP白名单导出页面

l 清空IP白名单

点击【清空】按钮后点击【确认】即可清空IP白名单。

图8-10 清空IP白名单

8.2.3 URL黑名单

l 添加URL黑名单

Ø 步骤1：进入“访问控制->黑白名单->URL黑名单”管理界面；

图8-11 URL黑名单管理界面

Ø 步骤2：点击【添加】按钮，弹出添加URL黑名单界面；

图8-12 添加URL黑名单界面

Ø 步骤3：配置URL黑名单参数，详细参数说明见下表；

表8-4 URL黑名单配置参数说明

配置项

描述

URL

定义黑名单的URL。

仅支持以下形式的URL:

1、127.0.0.1/test/test.php

2、/test/test.php

3、www.xxx.com

注：不支持带参数的URL。

备注

自定义备注信息。

Ø 步骤4：点击【保存】按钮保存配置。

l 导入URL黑名单

点击【导入】弹出导入对话框，点击下载导入模板；点击选择本地文件导入。

图8-13 导入URL黑名单

l 导出URL黑名单

点击【导出】按钮即可。

图8-14 导出URL黑名单

l 清空URL黑名单

点击【清空】按钮后点击【确认】即可清空URL黑名单。

图8-15 清空URL黑名单

8.2.4 URL白名单

l 添加URL白名单

Ø 步骤1：进入“访问控制->黑白名单->URL白名单”管理界面；

图8-16 URL白名单管理界面

Ø 步骤2：点击【添加】按钮，弹出添加URL白名单界面；

图8-17 添加URL白名单界面

Ø 步骤3：配置URL白名单参数，详细参数说明如下；

表8-5 URL白名单配置参数说明

配置项

描述

URL

定义白名单的URL。

仅支持以下形式的URL:

1、127.0.0.1/test/test.php

2、/test/test.php

3、www.xxx.com

注：不支持带参数的URL。

备注

自定义备注信息。

Ø 步骤4：点击【保存】按钮保存配置。

l 导入URL白名单

点击【导入】弹出导入对话框，点击下载导入模板；点击选择本地文件导入。

图8-18 导入URL白名单

l 导出URL白名单

点击【导出】按钮即可。

图8-19 导出URL白名单

l 清空URL白名单

点击【清空】按钮后点击【确认】即可清空IP白名单。

图8-20 清空URL白名单

8.3 IP访问控制

IP访问控制功能是通过策略的方式实现的，面向被防护的资产制定统一的策略，策略可以直接配置访问控制规则，控制各类访问行为。

当数据流量通过设备时，数据流量目的IP匹配上资产，才会进入对应的IP访问控制策略规则，否则配置的规则不生效。

l 添加IP访问控制策略

Ø 步骤1：进入“访问控制->IP访问控制”管理界面；

图8-21 IP访问控制管理页面

Ø 步骤2：点击【添加】按钮，进入策略配置界面；

图8-22 添加IP访问控制策略

Ø 步骤3：配置IP访问控制策略基础配置，详细参数说明见下表；

表8-6 IP访问控制基础配置参数

配置项	描述
策略名称	自定义IP访问控制策略名称。
应用资产	选择需要管理的防护资产；防护资产配置参见基础配置->防护资产章节
备注	自定义备注信息。

Ø 步骤4：配置IP访问控制条目；

² 添加条目

1) 点击【添加】进入规则配置界面；

图8-23 添加IP访问控制策略规则页面

2) 配置IP访问控制规则条目配置，参数详情见下表；

表8-7 IP访问控制规则条目参数说明

配置项	描述
源地址类型	分为IP网段，IP对象和IP区域。 IP网段：可输入IP地址和IP网段地址，输入IP地址则默认掩码为32位； IP对象：可选择系统中已配置的IP对象，IP对象的配置详见章节5.5.1 ； IP区域：可配置区域信息，对于指定的地域IP进行访问控制管理。
源地址	源地址类型选择IP网段时，可输入IP网段地址；源地址类型选择IP对象时，可选择IP对象；源地址类型选择IP区域时，可选择区域信息。
目的地址类型	分为IP网段，IP对象和IP区域。 IP网段：可输入IP地址和IP网段地址，输入IP地址则默认掩码为32位； IP对象：可选择系统中已配置的IP对象，IP对象的配置详见章节5.5.1 ； IP区域：可配置区域信息，对于指定的地域IP进行访问控制管理。
目的地址	源地址类型选择IP网段时，可输入IP网段地址；源地址类型选择IP对象时，可选择IP对象；源地址类型选择IP区域时，可选择区域信息。
协议类型	分为任意、ICMP、ICMPV6、UDP和TCP，配置对应协议类型就只针对配置的协议类型进行检测，配置为任意则针对所有协议进行检测。
目的端口	自定义访问的目的端口，可配置为单独的端口，也可以配置端口范围。
处理动作	处理动作有通过、阻断：阻断：阻断匹配到规则的数据包；通过：放过匹配到规则的数据包。
优先级	自定义IP访问控制规则的优先级。优先级数越小，优先级别越高，优先级别由0至65535逐级递减。
过期时长	过期时长，到期自动删除。
备注	自定义备注信息。

3) 点击【保存】按钮保存条目。

² 编辑条目

点击条目的【编辑】按钮，重新输入配置，点击【保存】按钮。

图8-24 编辑条目

² 启用/禁用条目

点击状态按钮启用/禁用条目。

图8-25 启用/禁用条目

² 导出条目

点击【导出】按钮，导出所有条目配置。

图8-26 导出条目

² 删除条目

点击条目的【删除】按钮，或勾选多个条目点击【批量删除】，在弹窗页面点击【确认】即可。

图8-27 删除条目

² 清空条目

点击【清空】按钮，在弹窗页面点击【确认】，清空当前策略下所有条目。

图8-28 清空条目

l 编辑IP访问控制策略

点击策略的【编辑】按钮，重新输入基本配置和条目配置，点击【保存】按钮。

图8-29 编辑IP访问控制策略

l 启用/禁用IP访问控制策略

点击状态按钮启用/禁用策略。

图8-30 启用/禁用IP访问控制策略

l 复制IP访问控制策略

点击策略的【复制】按钮，即可复制策略。

复制策略不会复制应用资产！

图8-31 复制IP访问控制策略

l 删除IP访问控制策略

点击策略的【删除】按钮，或勾选多条策略点击【批量删除】按钮，在弹窗中点击【确认】即可。

图8-32 删除IP访问控制策略

8.4 HTTP访问控制

HTTP访问控制功能是通过策略的方式实现的，面向被防护的资产制定统一的策略，策略可以直接配置访问控制规则，控制各类HTTP访问行为。

当数据流量通过设备时，数据流量目的IP匹配上资产且为HTTP连接时，才会进入对应的HTTP访问控制策略规则，否则配置的规则不生效。

l 添加HTTP访问控制策略

Ø 步骤1：进入“访问控制->HTTP访问控制”管理界面；

图8-33 HTTP访问控制管理页面

Ø 步骤2：点击【添加】进入策略配置界面；

图8-34 添加HTTP访问控制策略页面

Ø 步骤3：配置策略基本参数，参数详情说明见下表；

表8-8 HTTP访问控制基本参数说明

配置项	描述
策略名称	自定义HTTP访问控制策略名称。
应用资产	选择需要管理的防护资产；防护资产配置参见基础配置->防护资产章节。
备注	自定义备注信息。
阻断返回信息	请求被阻断后返回的页面信息。

Ø 步骤4：配置HTTP访问控制条目；

² 添加条目

1) 点击【添加】按钮进入规则配置界面；

图8-35 添加HTTP访问控制条目

2) 配置HTTP访问控制规则条目配置，参数详情见下表；

表8-9 HTTP访问控制条目参数说明

配置项	描述
源地址类型	分为IP网段，IP对象和IP区域。 IP网段：可输入IP地址和IP网段地址，输入IP地址则默认掩码为32位； IP对象：可选择系统中已配置的IP对象，IP对象的配置详见章节5.5.1 IP区域：可配置区域信息，对于指定的地域IP进行访问控制管理。
源地址	源地址类型选择IP网段时，可输入IP网段地址；源地址类型选择IP对象时，可选择IP对象；源地址类型选择IP区域时，可选择区域信息。
处理动作	处理动作有：封禁，阻断和通过；封禁：封禁匹配到规则的源IP，自定义封禁时长；阻断：阻断匹配到规则的数据包；通过：放通匹配到规则的数据包。
优先级	自定义HTTP访问控制规则的优先级。优先级数越小，优先级别越高，优先级别由0至1000逐级递减。
HTTP请求URL	选择请求方匹配的URL对象，配置为任意即匹配所有URL，配置其他URL对象组即对指定URL对象进行匹配。URL对象组配置参见章节5.5.2 。
版本	4个版本号，只对勾选的版本进行匹配，具体支持的版本号如下：0.9、1.0、1.1、2.0。
方法	14种请求方法，只对勾选的方法进行匹配，具体支持的方法类型如下： GET，HEAD，POST，PUT，DELETE，MKCOL，COPY，MOVE，OPTIONS，PATCH，LOCK，UNLOCK，PROPFIND，PROPPATCH。

3) 点击【保存】按钮保存条目。

² 编辑条目

点击条目的【编辑】按钮，重新输入配置，点击【保存】按钮。

图8-36 编辑HTTP访问控制条目

² 启用/禁用条目

点击状态按钮启用/禁用条目。

图8-37 启用/禁用条目

² 删除条目

点击条目的【删除】按钮，或勾选多个条目点击【批量删除】，在弹窗页面点击【确认】即可。

图8-38 删除条目

² 清空条目

点击【清空】按钮，在弹窗页面点击【确认】，清空当前策略下所有条目。

图8-39 清空条目

l 编辑HTTP访问控制策略

点击策略的【编辑】按钮，重新输入基本配置和条目配置，点击【保存】按钮。

图8-40 编辑策略1

图8-41 编辑策略2

l 启用/禁用HTTP访问控制策略

点击状态按钮启用/禁用策略。

图8-42 启用/禁用策略

l 复制HTTP访问控制策略

点击策略的【复制】按钮，即可复制策略。

复制策略不会复制应用资产！

图8-43 复制策略

l 删除HTTP访问控制策略

点击策略的【删除】按钮，或勾选多条策略点击【批量删除】按钮，在弹窗中点击【确认】即可。

图8-44 删除策略

9 外联控制

9.1 概述

对用户网络流量中所有的HTTP外联行为进行有效检测，可按照不同的资产分组设置不同的检测范围，即：检测自定义情报或者所有的外联行为。

9.2 外联检测

9.2.1 URL外联检测策略

l 添加URL外联检测策略

Ø 步骤1：进入“外联控制->外联检测->URL外联检测策略”管理界面；

图9-1 URL外联检测策略管理页面

Ø 步骤2：点击【添加】按钮，弹出添加外联检测策略界面；

图9-2 添加外联检测策略对话框

Ø 步骤3：配置外联检测策略参数，详细说明如下表：

表9-1 外联检测策略参数说明

配置项	描述
策略名称	输入自定义外联检测策略名称。
应用资产	选择配置的资产信息。
检测范围	包括自定义情报和所有外联行为两种检测范围。自定义情报：主要阻断或者监控自定义外联URL中所包含的外联目标。所有外联行为：针对禁止外联的服务器，只要向外进行HTTP连接就会做监控并记录日志。
处理动作	分为监控和阻断两种处理动作。选择自定义情报时，处理动作可选择阻断或监控；选择所有外联行为时，处理动作默认为监控，且无法修改
备注	输入备注信息。

Ø 步骤4：点击【保存】按钮保存配置。

Ø 结束

l 编辑外联检测策略

点击外联检测策略的【编辑】操作按钮，重新配置资产、检测范围、处理动作等，点击【保存】即可。

图9-3 编辑外联检测策略

l 删除外联检测策略

点击外联检测策略的【删除】操作按钮、或勾选多个外联检测策略点击【批量删除】，在弹出的对话框中点击【确认】即可。

图9-4 删除外联检测策略

9.2.2 自定义外联URL

l 添加自定义外联URL

Ø 步骤1：进入“外联控制->外联策略->自定义外联URL”管理界面；

图9-5 自定义外联URL管理界面

Ø 步骤2：点击【添加】按钮，弹出添加外联URL界面，具体配置参数如下图；

图9-6 添加外联URL参数配置页面

添加外联URL参数说明如下表：

表9-2 自定义外联URL参数说明

配置项	描述
匹配类型	类型包括精准匹配和正则匹配；
外联URL	当匹配类型为精准匹配时，可输入自定义外联域名或者IP地址（支持IPv6格式，如：[fec2::113]）；当匹配类型为正则匹配时，可输入正则表达式。
目标类型	必选项，可选择相应的目标类型，最多选择5种目标类型

Ø 步骤3：点击【保存】按钮保存配置。

外联控制中的外联URL配置支持带参数。

l 导入自定义外联URL

点击【导入】弹出导入对话框，点击下载导入模板；点击选择本地文件导入。

图9-7 导入自定义外联URL

l 导出自定义外联URL

点击【导出】按钮，下载导出域名文件。

支持勾选部分导出和全部导出。

图9-8 导出自定义外联URL

l 删除自定义外联URL

点击【删除】按钮或勾选单个或多个外联目标，点击【批量删除】按钮，弹出删除自定义外联URL删除确认界面，点击【确认】按钮即可。

图9-9 删除自定义外联URL

l 清空自定义外联URL

点击【清空】按钮，即可清空所有配置。

图9-10 清空自定义外联URL

10 网页防篡改

10.1 概述

网页防篡改是一种防止攻击者修改Web页面的技术，可以有效的阻止攻击者对网站内容进行破坏，尤其是在攻击者突破WAF的防护后，依然可以有效的保护网站。

10.2 插件下载

进入“网页防篡改->插件下载”页面，选择下载Windows、Linux 32/ 64位等操作系统对应的网页防篡改客户端。

图10-1 插件下载页面

10.3 防护端探测

当服务器端安装防篡改客户端并且配置管理IP为WAF后，WAF可以探测到该服务器。

进入“网页防篡改->防护端探测”页面，点击【刷新】按钮，防篡改服务器将会显示在列表中，包括服务器主机名、IP地址、操作系统类型和版本号。

图10-2 防护端探测页面

选择需要配置的服务器，点击【生成配置】，在弹出的配置对话框中输入参数生成防护服务器配置。

图10-3 防护端生成配置页面1

图10-4 防护端生成配置页面2

10.4 防护端配置

l 添加防护端配置

网页防篡改配置有两种配置方式：

一种使用防护端探测功能探测到服务器后【生成配置】，步骤详见章节10.3。

一种在防护端配置页面中点击【添加】按钮，在弹出的对话框中手动配置，详细步骤如下：

Ø 步骤1：进入“网页防篡改->防护端配置”页面；

图10-5 防护端配置管理界面

Ø 步骤2：点击【添加】按钮，弹出防护端配置界面；

图10-6 添加防护端配置页面1

图10-7 添加防护端配置页面2

Ø 步骤3：配置防篡改参数；

1) 在第一步配置界面（见图10-5）中配置防护服务器参数，详细说明见下表。

表10-1 防护服务器参数配置1

配置项	描述
Web名称	自定义Web名称。
主机名	生成配置：默认显示探测到的防篡改服务器主机名，为不可编辑状态；手工配置：自定义防篡改服务器配置的主机名，不能与其他主机名重复。
IP地址	生成配置：默认显示探测到的防篡改服务器（Web服务器与防篡改服务器在同一主机上）的IP地址，为不可编辑状态；手工配置：自定义Web服务器的IP地址。
工作模式	防护模式：防篡改阻断攻击，并记录攻击日志监控模式：防篡改不阻断攻击，记录攻击日志

2) 点击【下一步】，进入第二步配置界面。

图10-8 防护端第二步配置页面

在第二步配置界面中配置参数，详细配置说明见下表。

表10-2 防护服务器参数配置2

配置项	描述
操作系统类型	可以配置Windows或Linux，和防篡改服务器所在的系统一致。
Web根目录	要防护的网站根目录，需要填写绝对路径。
例外目录/文件	例外目录/文件将不会被保护。要填写例外目录/文件的相对路径
例外文件类型	可以是.txt、.xml等文件类型，例外文件类型将不会被保护。
例外进程	Windows、Linux有效，这些进程可以对Web根目录下的文件进行修改，一般是浏览器或杀毒软件。

Ø 步骤4：点击【完成】按钮保存配置。

注：请确认所有配置正确后再使用。

l 编辑防护端配置

选择防护端配置，点击【编辑】按钮，在编辑页面修改防篡改配置参数等保存。

图10-9 编辑防护端配置页面1

图10-10 编辑防护端配置页面2

l 删除防护端配置

点击【删除】按钮，在弹出提示框点击【确认】即可删除配置。

图10-11 删除防护端配置页面

10.5 防护端状态

进入“网页防篡改->防护端状态”页面查看防护服务器状态，当状态显示为“已连接”时即为配置成功。

图10-12 防护端状态页面

11 机器学习

11.1 概述

本章介绍了设备对协议流量大小的控制，对于超过阈值的流量进行丢弃、封禁或者通过；有效控制部分流量对设备的资源占用。

11.2 流量限速

流量控制通过配置详细的策略来限制具体的协议流量，策略配置页面有策略开关，在策略配置详情页面有各协议针对单用户和服务器的流量控制开关。开启策略开关表示启用已配置的策略，开启策略配置详情具体协议开关表示开启对应协议的流量控制功能。只有同时启用策略并开启具体协议功能开关IDP才能执行相应流量控制。

l 添加流量控制策略

Ø 步骤1：进入“机器学习->流量限速”管理页面；

图11-1 流量限速管理页面

Ø 步骤2：点击【添加】按钮，弹出策略配置页面；

图11-2 添加流量限速策略

Ø 步骤3：配置策略详情，参数详情说明见下表：

表11-1 流量控制策略参数说明

配置项	描述
策略名称	流量控制策略名称。
应用资产	流量控制策略的防护资产。
备注	对该策略进行描述。
自动生成阈值	根据对应时间的不同资产、不同系数生成阈值。
防护点	定义该策略对不同协议类型的流量控制，主要分为TCP并发连接数量、TCP新建连接速率、TCP带宽(C2S)、UDP带宽(C2S)、ICMP带宽(C2S)、HTTP GET 请求速率、HTTP POST 请求速率、HTTP 其它请求速率、DNS 查询请求速率、并发IP数量。
阈值	触发防护的流量峰值。
处理动作	定义检测到触发该策略的攻击后WAF的处理动作，包括通过、阻断和封禁。

Ø 步骤4：点击【保存】按钮保存配置。

l 自动生成阈值

1) 配置自定义时间段、资产、总量系数、单IP系数查询对应时间段内的流量阈值；

2) 点击【生成阈值】快速生成阈值配置；

图11-3 自动生成阈值

l 编辑流量控制策略

点击策略的【编辑】按钮，重新配置参数，如：协议是否启用，阈值设置，处理动作（阻断/封禁/通过），封禁时间，点击【保存】即可。

图11-4 编辑流量控制策略

l 复制流量控制策略

点击策略操作下方的复制按钮，对已有策略test进行复制。

注：复制策略不会复制应用资产！

图11-5 复制流量控制策略

l 删除流量控制策略

点击策略的【删除】按钮，或勾选多个策略点击【批量删除】，在弹窗页面点击【确认】即可。

图11-6 删除流量控制策略

11.3 站点自学习

站点自学习是通过学习用户对被保护站点的正常流量的数据信息，统计出服务器的所有资产，包括站点、URL、cookie，以及各个URL的参数信息，总结出站点保护对象的正常模型，并生成相应的防护策略，对异常流量进行检测和防护。

本章将讲述站点自学习的详细配置信息，具体包括以下内容。

表11-2 自学习系统概述

配置项	描述
基础配置	配置站点自学习的基础参数。
策略配置	配置站点自学习的策略。
模式配置	配置URL展示的模式。
URL结果展示	展示站点自学习到的具体信息。
URL防护配置	配置自学习防护参数。
Cookie结果展示	展示自学习到的cookie数据

11.3.1 基础配置

站点自学习基础配置主要是对自学习的最少样本数、自学习学习时段与处理时间进行设置。系统会根据站点自学习策略对策略包含的所有站点和站点下的URL进行学习，当搜集到的信息满足用户设置的最少样本数时，从学习模式切换到防护模式，此时与特征有偏差的请求将触发防护规则。

l 配置保存

进入“机器学习->站点自学习->基础配置”界面，配置最少样本数、学习时段、处理时间，点击【保存】按钮保存配置。

图11-7 站点自学习基础配置

配置详细参数说明见下表：

表11-3 基础配置参数

配置项	描述
最少样本数	系统为学习状态的阈值，当搜集到的信息满足用户设置的最少样本数时，从学习模式切换到防护模式。
学习时段	配置站点的学习时间段。
处理时间	系统自动处理自学习到的数据的时间，处理结果可以在自学习展示模块进行查看。

l 立即处理

保存配置后，点击【立即处理】后点击【确定】可以将自学习到的数据立即进行统计处理，处理结果可以在自学习展示模块进行查看。

图11-8 立即处理页面

l 清空

Ø 步骤1：点击【清空】按钮，弹出清空资产配置界面；

图11-9 清空资产数据

Ø 步骤2：选择需要清空数据的资产，可选所有资产或单个资产；

Ø 步骤3：点击【确定】按钮清空对应资产已自学习到的所有信息；

11.3.2 策略配置

l 添加策略

Ø 步骤1：进入“机器学习->站点自学习->策略配置”管理界面；

图11-10 站点自学习策略配置界面

Ø 步骤2：点击【添加】按钮，弹出添加策略配置界面，站点自学习策略配置见下图：。

图11-11 添加站点自学习策略页面

步骤3：参数详细说明如下表：

表11-4 站点自学习策略参数说明

配置项	描述
策略名称	站点自学习策略名称
应用资产	需要进行自学习的资产
源IP	定义自学习的来源IP
请求方法	定义自学习的请求方法，包括GET、HEAD、POST、PUT、DELETE、MKCOL、COPY、MOVE、OPTIONS、PROPFIND、PROPPATCH、LOCK、UNLOCK、PATCH
响应码	定义自学习的响应码，包括200、302、304、307
例外URL	定义不进行自学习的URL对象

Ø 步骤4：点击【保存】按钮保存配置。

l 编辑策略

点击具体策略的【编辑】操作按钮，编辑名称、应用资产、源IP、请求方法、响应码、例外URL，点击【保存】即可。

图11-12 编辑站点自学习策略

l 复制策略

点击具体策略的【复制】操作按钮，即可复制策略配置。

复制策略不会复制应用资产！

图11-13 复制站点自学习策略

l 删除策略

点击策略的【删除】操作按钮，或勾选多条策略点击【批量删除】，在弹出对话框点击【确认】即可。

图11-14 删除站点自学习策略

11.3.3 模式配置

l 添加模式

Ø 步骤1：进入“机器学习->站点自学习->模式配置”管理界面；

图11-15 站点自学习模式配置界面

Ø 步骤2：点击【添加】按钮，弹出添加模式配置界面，站点自学习模式

图11-16 添加站点自学习模式页面

步骤3：参数详细说明如下表。

表11-5 站点自学习模式参数说明

配置项	描述
应用资产	需要配置自学习模式进行展示的资产
Web主机	定义需要配置自学习模式的Web主机
前缀	定义URL前缀
后缀	定义URL后缀。

Ø 步骤4：点击【保存】按钮保存配置。

l 编辑模式

点击具体模式的【编辑】操作按钮，编辑应用资产、Web主机、前缀、后缀，点击【保存】即可。

图11-17 编辑模式配置

l 删除模式

点击模式的【删除】操作按钮，或勾选多条模式点击【批量删除】，在弹出对话框点击【确认】即可。

图11-18 删除模式配置

11.3.4 URL结果展示

URL结果展示主要展示学习到的资产基本信息、Web主机基本信息、URL基本信息，分为两种方式，一种是资产的树形结构显示，一种是URL列表显示。

l URL结果查询

在查询输入框输入查询条件，点击【查询】按钮即可。支持单个/多个条件查询。

图11-19 URL结果查询页面

l URL结果展示（资产树形图）

列表使用“资产-web主机-URL”的树形图方式显示所学习到的URL及相关信息，点击资产名称即可查看资产基本信息，点击Web主机即可查看Web主机基本信息，点击URL即可查看URL基本信息。

图11-20 资产信息页面

图11-21 Web主机信息页面

图11-22 URL信息页面

l URL结果展示（URL列表视图）

列表显示所有学习到的URL及相关信息。

图11-23 URL列表视图页面

11.3.5 URL防护配置

URL防护配置主要根据学习到的URL基本信息，有两种配置方式，一种是资产树形结构显示的配置，一种是URL列表显示的配置

l URL防护配置查询

在查询输入框输入查询条件，点击【查询】按钮即可。支持单个/多个条件查询。

图11-24 URL防护配置查询页面

11.3.5.1资产树形图

l 添加URL

Ø 步骤1：进入“机器学习->站点自学习->URL防护配置”管理界面；

图11-25 URL防护配置界面

Ø 步骤2：点击【添加URL】按钮，弹出添加URL配置界面，URL配置参数见下图。

图11-26 添加URL配置页面

Ø 步骤3：配置具体参数

表11-6 URL配置参数说明

配置项	描述
名称	URL名称。
应用资产	URL所属资产。
Web主机	URL所属Web主机。
URL状态	URL的防护状态，默认为防护。

Ø 步骤4：点击【保存】按钮保存配置。

l 资产防护

资产防护配置步骤如下：

Ø 步骤1：进入“机器学习->站点自学习->URL防护配置->资产树形图”管理界面；

图11-27 资产防护配置页面

Ø 步骤2：配置资产防护的基本参数，详细参数说明如下。

表11-7 URL配置参数说明

配置项	描述
启用	资产防护启用按钮，包括开启和关闭两种状态
防护模式	定义对站点自学习中资产的防护模式，包括白名单和防护两种模式
处理动作	定义检测到触发该规则的攻击后系统的处理动作，包括通过、封禁、阻断
防护类型	包括未知Web主机防护、未知URL防护、请求方法防护、参数个数防护、参数类型防护、参数范围防护、参数是否必须防护、参数是否不变防护，勾选复选框即可启用该类型的防护。参数个数防护、参数类型防护、参数范围防护、参数是否不变防护为参数属性；未知web主机防护、未知URL防护为学习时间之外通过访问非学习到数据中的web主机和URL进行防护；请求方法防护：访问非已勾选的请求方法时自学习进行防护。

Ø 步骤3：点击【保存】按钮保存配置。

l 资产防护白名单

资产防护白名单仅对该资产的站点自学习防护有效，对除站点自学习外其他模块的防护策略无白名单效果

图11-28 资产防护白名单配置界面

l URL防护

URL防护配置步骤如下：

Ø 步骤1：进入“机器学习->站点自学习->URL防护配置->资产树形图”管理界面；

Ø 步骤2：配置URL防护的基本参数；

图11-29 URL防护配置页面

详细参数说明如下。

表11-8 URL配置参数说明

配置项	描述
启用	URL防护启用按钮，包括开启和禁用两种状态
URL状态	定义对资产中URL的防护状态，包括学习和防护两种状态，仅为防护状态时才会对该URL进行防护
参数个数	定义该URL所包含参数的个数
请求方法	定义URL防护时检测的请求方法，包括GET、HEAD、POST、PUT、DELETE、MKCOL、COPY、MOVE、OPTIONS、PROPFIND、PROPPATCH、LOCK、UNLOCK、PATCH
URL参数信息	定义URL中自学习到的URL参数，可以对自学习到的URL参数进行修改，可以配置的参数项包括名称、参数类型、参数值、是否必须、是否不变。当已知某个参数没学到，或者业务调整加了参数，或者需要增加新的参数，此时可以进行URL参数配置

Ø 步骤3：点击【保存】按钮保存配置。

l 请求方法恢复

点击具体URL中请求方法的【恢复】操作按钮，即可恢复最初学习到此URL时的请求方法配置。

l URL参数添加：

Ø 步骤1：进入“机器学习->站点自学习->URL防护配置->资产树形图”管理界面；

图11-30 URL防护配置界面

Ø 步骤2：点击【添加】按钮，弹出添加URL参数配置界面，URL参数配置见下图。

图11-31 添加URL参数页面

步骤3：配置具体参数

表11-9 URL参数说明

配置项	描述
名称	站点URL参数名称。
是否必须	访问该URL时，此参数是否必须。
是否不变	访问该URL时，此参数是否不变。开启，自学习参数值每次访问都不能变化。关闭，自学习参数值每次访问不用保持不变。
参数类型	定义URL参数所属类型，包括日期、数字、字符串。
参数值	定义URL参数取值，不同类型的参数取值范围不同。日期：格式必须为：yyyymmdd，yyyy/mm/dd，yyyy-mm-dd；数字：只能输入0-2147483647的整数；字符串：不能输入纯数字,且最多输入63个字节。

Ø 步骤4：点击【保存】按钮保存配置。

l 编辑参数

点击具体参数的【编辑】操作按钮，编辑参数是否必须、是否不变、参数类型、参数值，点击【保存】即可。

图11-32 编辑参数

l 恢复参数

点击具体参数的【恢复】操作按钮，即可恢复最初学习到此URL时的参数配置。

图11-33 恢复参数

l 删除参数

点击参数的【删除】操作按钮，或勾选多个参数点击【批量删除】，在弹出对话框点击【确认】即可。

图11-34 删除参数

11.3.5.2URL列表视图

l URL防护

URL防护配置步骤如下：

Ø 步骤1：进入“机器学习->站点自学习->URL防护配置->URL列表视图”管理界面；

Ø 步骤2：配置URL防护的基本参数；

图11-35 URL列表视图配置页面

详细参数说明如下：

表11-10 URL配置参数说明

配置项	描述
启用	URL防护启用按钮，包括开启和禁用两种状态
URL状态	定义对资产中URL的防护状态，包括学习和防护两种状态，仅为防护状态时才会对该URL进行防护
参数个数	定义该URL所包含参数的个数
请求方法	定义URL防护时检测的请求方法，包括GET、HEAD、POST、PUT、DELETE、MKCOL、COPY、MOVE、OPTIONS、PROPFIND、PROPPATCH、LOCK、UNLOCK、PATCH
URL参数信息	定义URL参数取值，不同类型的参数取值范围不同。日期：格式必须为：yyyymmdd，yyyy/mm/dd，yyyy-mm-dd；数字：只能输入0-2147483647的整数；字符串：不能输入纯数字,且最多输入63个字节。

Ø 步骤3：点击【保存】按钮保存配置。

Ø 结束

l 请求方法恢复

点击具体URL中请求方法的【恢复】操作按钮，即可恢复最初学习到此URL时的请求方法配置。

l URL参数添加：

Ø 步骤1：进入“机器学习->站点自学习->URL防护配置->URL列表视图”管理界面；

图11-36 URL列表视图配置界面

Ø 步骤2：点击【添加】按钮，弹出添加URL参数配置界面，URL参数配置见下图。

图11-37 添加URL参数页面

Ø 步骤3：配置具体参数

表11-11 URL参数说明

配置项	描述
名称	站点URL参数名称。
是否必须	访问该URL时，此参数是否必须。
是否不变	访问该URL时，此参数是否不变。开启，自学习参数值每次访问都不能变化。关闭，自学习参数值每次访问不用保持不变。
参数类型	定义URL参数所属类型，包括日期、数字、字符串。
参数值	定义URL参数取值，不同类型的参数取值范围不同。日期：格式必须为：yyyymmdd，yyyy/mm/dd，yyyy-mm-dd；数字：只能输入0-2147483647的整数；字符串：不能输入纯数字,且最多输入63个字节。

Ø 步骤4：点击【保存】按钮保存配置。

Ø 结束

l 编辑参数

点击具体参数的【编辑】操作按钮，编辑参数是否必须、是否不变、参数类型、参数值，点击【保存】即可。

图11-38 编辑参数

l 恢复参数

点击具体参数的【恢复】操作按钮，即可恢复最初学习到此URL时的参数配置。

图11-39 恢复参数

l 删除参数

点击参数的【删除】操作按钮，或勾选多个参数点击【批量删除】，在弹出对话框点击【确认】即可。

图11-40 删除参数

11.3.6 Cookie结果展示

在配置的服务器和配置的学习时间内，每次取响应的Set-Cookie头部字段值，对Cookie的每个属性进行分析（包括name、value、domain、path、expires、HttpOnly、secure ）。

l Cookie结果查询

在查询输入框输入查询条件，点击【查询】按钮即可。支持单个/多个条件查询。

图11-41 Cookie结果查询页面

l Cookie结果查询列表

Cookie结果列表

12 代理网关

12.1 概述

代理网关主要针对资产进行代理配置，可以配置的Web服务器包括透明代理规则，反向代理规则以及负载均衡规则。本章主要描述代理网关的常用配置。

l 代理规则按照功能总共分为3个类型：透明代理规则，反向代理规则, 负载均衡规则。

Ø 透明代理规则：传统后端被保护服务器。

Ø 反向代理规则：用于反向代理模式，作为反向代理服务器，代理后端真实服务器进行接收请求。

Ø 负载均衡规则：用于对与后端多个服务器做集群负载均衡部署。

l 代理规则按照服务类型分为2种代理类型：HTTP代理，HTTPS代理。

Ø HTTP代理：用于配置提供HTTP服务的代理。

Ø HTTPS代理：用于配置提供HTTPS服务的代理。

代理网关模块功能介绍如下：

表12-1 代理网关功能介绍

功能	描述
透明代理规则	支持HTTP、HTTPS服务器透明代理。
反向代理规则	支持HTTP、HTTPS服务器反向代理。
负载均衡规则	对与后端多个服务器做集群负载均衡部署，支持HTTP、HTTPS代理。
数据压缩	数据压缩配置，在配置代理规则时进行引用。
高速缓存	高速缓存配置，在配置代理规则时进行引用

12.2 透明代理规则

l 添加透明代理规则

Ø 步骤1：进入“代理网关->透明代理规则”管理界面；

图12-1 透明代理规则管理页面

Ø 步骤2：点击【添加】按钮，弹出透明代理规则添加界面。

图12-2 添加HTTP透明代理规则页面

图12-3 添加HTTPS透明代理规则页面

图12-4 高级配置页面

Ø 步骤3：配置透明代理规则参数，详细参数说明见下表；

表12-2 透明代理规则参数说明

配置项	描述
规则名称	自定义规则的名称
代理类型	后端服务器的类型，支持HTTP服务器和HTTPS服务器
Web主机	定义透明代理规则的Web主机。
被代理IP	后端服务器的IP地址
被代理端口	后端服务器的端口
客户端IP还原	是：还原客户端IP；否：不还原客户端IP。
接口	当防护模式为代理模式时选择服务器所在网桥或Trunk接口。
数据压缩	选择引用的数据压缩配置。
高速缓存	选择引用的高速缓存配置。
备注	自定义规则的备注。
高级配置	单个连接允许请求数: 默认1024
	长连接有效时间: 默认60s
	是否开启长连接: 默认开启
	最大空闲连接数: 默认1024
	上传文件最大值: 默认1024M
	检测深度: 默认256kb，最大10M
	X-Forwarded-For: 是否向被代理服务器发送X-Forwarded-For头，默认开启
	X-Real-IP: 是否向被代理服务器发送X-Real-IP头，默认开启
	浏览器Keepalive: 该选项只控制低版本浏览器（如IE6）访问时，是否支持Keepalive，默认关闭
	分块传输编码: 是否开启客户端与WAF之间的分块传输编码，默认开启
域名类型	单域名或多域名
证书管理	点击上传证书管理里的证书
证书格式	包括PEM、DER、PKCS12
ssl站点秘钥	代理类型选择HTTPS时，需要导入ssl秘钥
ssl站点证书	代理类型选择HTTPS时，需要导入ssl证书
协议类型	HTTPS服务所支持的加密协议。
HTTP/2	开启HTTP/2，支持后端服务器协议为HTTP/2
HSTS启用	开启HSTS，保证浏览器始终连接到该网站的HTTPS加密版本
HSTS有效时间	HSTS有效时间：可以配置天、周、月、年

Ø 步骤4：点击【保存】按钮保存配置。

Ø 结束

l 编辑透明代理规则

点击透明代理规则对应的【编辑】按钮，重新配置参数，点击【保存】即可。

图12-5 编辑透明代理规则

l 删除透明代理规则

点击规则的【删除】按钮，或勾选多个规则点击【批量删除】按钮，在弹窗页面点击【确认】即可。

图12-6 删除透明代理规则

l 查询透明代理规则

在查询输入框输入查询条件，点击【查询】按钮即可。支持单个/多个条件查询。

图12-7 查询透明代理规则页面

l 重置查询条件

图12-8 重置查询条件页面

12.3 反向代理规则

l 添加反向代理规则

Ø 步骤1：进入“代理网关->反向代理规则”管理界面；

图12-9 反向代理规则管理页面

Ø 步骤2：点击【添加】按钮，弹出反向代理规则配置界面；

图12-10 添加HTTP反向代理规则页面

图12-11 添加HTTPS反向代理规则页面

图12-12 高级配置页面

Ø 步骤3：配置反向代理规则参数，详细参数说明见下表。

表12-3 反向代理规则参数说明

配置项	描述
规则名称	自定义规则的名称。
代理IP	代理IP地址为waf的代理IP。
代理端口	代理端口为waf的代理端口。
代理类型	后端服务器的类型，支持HTTP代理和HTTPS代理。
域名类型	单域名或者多域名
证书格式	包括PEM、DER、PKCS12
Web主机	定义反向代理规则的Web主机。
证书管理	点击上传证书管理里的证书
被代理端口	后端服务器的端口。
客户端IP还原	开启后还原客户端的真实IP。
接口	当防护模式为代理模式时选择服务器所在网桥或Trunk接口。
数据压缩	选择引用的数据压缩配置。
高速缓存	选择引用的高速缓存配置。
备注	自定义代理规则的备注。
高级配置	单个连接允许请求数: 默认1024
	长连接有效时间: 默认60s
	是否开启长连接: 默认开启
	最大空闲连接数: 默认1024
	上传文件最大值: 默认1024M
	检测深度: 默认256kb，最大10M
	X-Forwarded-For: 是否向被代理服务器发送X-Forwarded-For头，默认开启
	X-Real-IP: 是否向被代理服务器发送X-Real-IP头，默认开启
	浏览器Keepalive: 该选项只控制低版本浏览器（如IE6）访问时，是否支持Keepalive，默认关闭
	分块传输编码: 是否开启客户端与WAF之间的分块传输编码，默认开启
	绑定代理IP: 绑定该选项后，WAF与被代理服务器建立连接的地址为代理地址，默认开启
	响应URL改写：是否开启响应内容中绝对URL改写，默认关闭
	代理IP池：IP池是一些IP的集合，在反向代理时，可以选择多个IP与后端服务器建立连接，默认关闭，和绑定代理IP互斥，开启代理IP池，绑定代理IP自动关闭。
	绑定代理IP: 绑定该选项后，WAF与被代理服务器建立连接的地址为代理地址，默认开启。
	IP地址：代理IP池开启，从网桥配置的IP中选择需要作为IP池的IP。一个代理规则的IP池最多限制为16个。
ssl站点秘钥	代理类型选择HTTPS时，需要导入ssl秘钥。
ssl站点证书	代理类型选择HTTPS时，需要导入ssl证书。
协议类型	HTTPS服务所支持的加密协议。
HTTP/2	开启HTTP/2，支持后端服务器协议为HTTP/2
HTTPS卸载	开启HTTPS卸载可将后端的HTTP服务器升级到HTTPS。
HSTS启用	开启HSTS，保证浏览器始终连接到该网站的HTTPS加密版本
HSTS有效时间	HSTS有效时间：可以配置天、周、月、年

Ø 步骤4：点击【保存】按钮保存配置。

Ø 结束

l 编辑反向代理规则

点击透明代理规则对应的【编辑】按钮，重新配置参数，点击【保存】即可。

图12-13 编辑反向代理规则

l 启用/禁用反向代理规则

点击状态按钮即可启用/禁用规则。

图12-14 启用/禁用规则

l 删除反向代理规则

点击规则的【删除】按钮，或勾选多个规则点击【批量删除】按钮，在弹窗页面点击【确认】即可。

图12-15 删除反向代理规则

l 查询反向代理规则

在查询输入框输入查询条件，点击【查询】按钮即可。支持单个/多个条件查询。

图12-16 查询反向代理规则页面

l 重置查询条件

图12-17 重置查询条件

12.4 负载均衡规则

用于对与后端多个服务器做集群负载均衡部署，本节主要介绍负载均衡规则配置方法。

l 添加负载均衡规则

Ø 步骤1：进入“代理网关->负载均衡规则”管理页面；

图12-18 负载均衡规则管理页面

Ø 步骤2：点击【添加】按钮，弹出添加规则页面；

图12-19 添加HTTP负载均衡规则页面

图12-20 添加HTTPS负载均衡规则页面

图12-21 高级配置页面

Ø 步骤3：配置自定义参数，配置参数说明如下表：

表12-4 负载均衡配置参数说明

配置项	说明
规则名称	自定义配置规则名称。
代理IP	配置代理IP。
代理端口	配置代理端口，范围1~65535。
代理类型	配置代理类型：HTTP代理、HTTPS代理。
域名类型	配置单域名或者多域名
证书格式	选择PEM、DER、PKCS12证书格式
Web主机	配置web主机。
客户端IP还原	开启后还原客户端的真实IP。
接口	当防护模式为代理模式时选择服务器所在网桥或Trunk接口。
证书管理	点击上传证书管理里的证书
高速缓存	引用高速缓存配置。
负载算法	配置负载算法有：轮询、权重、源地址Hash。轮询：把来自用户的请求轮流分配给成员服务器；权重：根据配置的权重分配流量给成员服务器；源地址Hash：通过Hash算法，根据客户端IP所在的范围，分配成员服务器给客户端使用。
备注	自定义备注。
成员配置	配置负载均衡成员组：需配置成员IP、权重、端口，最多可配置8个。权重仅在负载算法选择“权重”时生效！
高级配置	单个连接允许请求数: 默认1024
	长连接有效时间: 默认60s
	是否开启长连接: 默认开启
	最大空闲连接数: 默认1024
	上传文件最大值: 默认1024M
	检测深度: 默认256kb，最大10M
	X-Forwarded-For: 是否向被代理服务器发送X-Forwarded-For头，默认开启
	X-Real-IP: 是否向被代理服务器发送X-Real-IP头，默认开启
	浏览器Keepalive: 该选项只控制低版本浏览器（如IE6）访问时，是否支持Keepalive，默认关闭
	分块传输编码: 是否开启客户端与WAF之间的分块传输编码，默认开启
	绑定代理IP: 绑定该选项后，WAF与被代理服务器建立连接的地址为代理地址，默认开启
	响应URL改写：是否开启响应内容中绝对URL改写，默认关闭
	代理IP池：IP池是一些IP的集合，在反向代理时，可以选择多个IP与后端服务器建立连接，默认关闭，和绑定代理IP互斥，开启代理IP池，绑定代理IP自动关闭。
	绑定代理IP: 绑定该选项后，WAF与被代理服务器建立连接的地址为代理地址，默认开启。
	IP地址：代理IP池开启，从网桥配置的IP中选择需要作为IP池的IP。一个代理规则的IP池最多限制为16个。
ssl站点秘钥	代理类型选择HTTPS时，需要导入ssl秘钥。
ssl站点证书	代理类型选择HTTPS时，需要导入ssl证书。
协议类型	HTTPS服务所支持的加密协议。
HTTP/2	开启HTTP/2，支持后端服务器协议为HTTP/2
HTTPS卸载	开启HTTPS卸载可将后端的HTTP服务器升级到HTTPS。
HSTS启用	开启HSTS，保证浏览器始终连接到该网站的HTTPS加密版本
HSTS有效时间	选择有效时间，默认为0

Ø 步骤4：点击【保存】按钮保存配置。

Ø 结束

l 编辑负载均衡规则

点击规则的【编辑】操作按钮，编辑规则名称、代理IP、代理端口、web主机、代理类型、负载算法、成员配置等，点击【保存】即可。

图12-22 编辑负载均衡规则

l 删除负载均衡规则

点击规则的【删除】操作按钮，或者勾选多个规则点击【批量删除】，在弹出对话框点击【确认】即可。

图12-23 删除负载均衡规则

l 查询负载均衡规则

在查询输入框输入查询条件，点击【查询】按钮即可。支持单个/多个条件查询。

图12-24 查询负载均衡规则页面

l 重置查询条件

图12-25 重置查询条件

12.6 数据压缩

WAF在接收到请求后判断客户端是否支持压缩以及是否开启压缩，若客户端不支持压缩或者未开启压缩功能，返回给客户端的就是未压缩的内容，反之返回压缩后的内容。

l 添加数据压缩

Ø 步骤1：进入“代理网关->数据压缩”管理界面；

图12-30 数据压缩管理页面

Ø 步骤2：点击【添加】按钮，弹出数据压缩配置界面；

图12-31 添加数据压缩页面

Ø 步骤3：配置数据压缩参数，详细参数说明见下表；

表12-7 数据压缩配置参数说明

配置项	描述
名称	自定义数据压缩配置的名称。
最小压缩值（字节）	当返回内容大于此值时才会进行压缩，以字节为单位，当值为0时，所有页面都进行压缩。
压缩级别	设置gzip压缩等级1-9，等级越低压缩速度越快文件压缩比越小，反之速度越慢文件压缩比越大。
Vary响应头	开启：返回数据显示Vary响应头；关闭：返回数据不显示Vary响应头。
MIME类型	自定义数据压缩支持的MIME类型。注：以单个空格连接

Ø 步骤4：点击【保存】按钮保存配置。

Ø 结束

l 编辑数据压缩

点击数据压缩对应的【编辑】按钮，修改参数配置，点击【保存】即可。

图12-32 编辑数据压缩

l 删除数据压缩：

点击规则的【删除】操作按钮，或者勾选多个配置点击【批量删除】，在弹出对话框点击【确认】即可。

图12-33 删除数据压缩

12.7 高速缓存

使用缓冲释放后端服务器，可以很大程度上能通过利用Nginx的缓冲和缓存功能减轻。

l 添加高速缓存

Ø 步骤1：进入“代理网关->高速缓存”管理界面；

图12-34 高速缓存管理页面

Ø 步骤2：点击【添加】按钮，弹出高速缓存添加界面；

图12-35 添加高速缓存页面

Ø 步骤3：配置高速缓存参数，详细参数说明见下表。

表12-8 高速缓存配置参数说明

配置项	描述
名称	高速缓存配置的名称
有效时间（时）	自定义高速缓存的有效时间。
缓存文件类型	自定义缓存的文件类型。

Ø 步骤4：点击【保存】按钮保存配置。

Ø 结束

l 编辑高速缓存

点击高速缓存对应的【编辑】按钮，修改参数配置，点击【保存】即可。

图12-36 编辑高速缓存

l 删除高速缓存

点击规则的【删除】操作按钮，或者勾选多个规则点击【批量删除】，在弹出对话框点击【确认】即可。

图12-37 删除高速缓存

13 系统管理

13.1 概述

本章介绍了系统配置的常用操作内容和方法，具体内容如下。

表13-1 系统管理配置

配置项	描述
系统配置	配置系统的基本信息，包括系统信息配置，时间配置，远程管理， DNS配置，态势配置，产品信息自定义配置，WebUI配置，SSH远程连接配置。
授权管理	激活系统功能。
告警配置	日志存储和内存达到告警配置进行弹窗警告。
登录管理	选择登录方式，普通登录和radius登录，及radius配置
升级管理	实现系统升级，规则库升级。
备份恢复	选择手动备份和自动备份系统数据，导入备份可以恢复数据
运维工具	包括Webshell、ping、Telnet、Tcpdump、Traceroute、一键诊断、SNMP配置、SSH解锁工具
系统操作	实现关机，重启，恢复出厂功能。

13.2 系统配置

13.2.1 系统信息配置

l 系统基本信息的详细配置步骤如下：

1) 进入“系统管理->系统配置->系统信息配置”界面。

图13-1 系统信息配置管理界面

2) 在界面中输入系统基本信息。

系统基本信息配置说明见下表。

表13-2 系统基本信息配置说明

配置项	描述
团体名称	自定义团体名称。
城市	自定义城市。
国家	自定义国家。
电子邮件	自定义电子邮件。
系统超时时间（分）	设置系统登录超时时间，用户登录时间超过超时时间则系统自动返回登录页面。注：修改系统超时时间后，请重新登录以使其生效！可配置正整数0-60，0代表永久不超时。
主机名	自定义主机名。
语言	支持中英文切换，默认中文

13.2.2 时间配置

时间配置方式包括：手工配置和时间服务器配置。

l 手工配置

Ø 步骤1：进入“系统管理->系统配置->时间配置”界面；

图13-2 手工配置时间

Ø 步骤2：在时间管理界面中选择配置方式为手工配置；

Ø 步骤3：输入具体日期和时间；

Ø 步骤4：点击【保存】按钮保存配置。

Ø 结束

l 时间服务器配置

Ø 步骤1：选择“系统配置->系统信息->时间配置”进入时间管理界面；

图13-3 配置NTP服务器

Ø 步骤2：选择配置方式为时间服务器；

Ø 步骤3：配置时间服务器参数，配置时区及时间服务器的地址以及调整周期

Ø 步骤4：点击【保存】按钮保存配置。

Ø 结束

注：调整周期类型包括：每月（每月1号6:52）、每日（每日6:25）、仅一次。

13.2.3 远程管理

远程管理设置能对设备进行管理的IP地址/网段，允许访问的类型：SSH管理、Web管理、Ping管理。

图13-4 远程管理界面

l 添加远程许可信息

Ø 步骤1：点击【添加】按钮，弹出添加新的远程许可IP地址界面；

图13-5 添加远程许可信息

Ø 步骤2：输入远程许可信息；

远程许可信息参数说明见下表：

表13-3 远程许可信息说明

配置项	描述
源IP	远程访问的IP地址，可以是网段。
目的IP	远程访问设备的目的IP，需配置为设备拥有的IP，否则配置无效。
是否允许SSH	勾选后允许上面设置的网段的机器访问设备的SSH服务。
是否允许Web	勾选后允许上面设置的网段的机器访问设备的Web服务。
是否允许Ping	勾选后允许上面设置的网段的机器访问设备的Ping服务。

Ø 步骤3：点击【保存】按钮保存配置。

Ø 结束

l 编辑远程许可信息

Ø 步骤1：选择远程许可后点击【编辑】远程许可，弹出编辑远程许可IP地址界面；

图13-6 编辑远程许可信息

Ø 步骤2：修改远程许可信息；

Ø 步骤3：点击【保存】按钮保存配置。

Ø 结束

l 删除远程许可信息

点击【删除】按钮或选择一个或多个远程许可后点击【批量删除】按钮删除远程许可。

图13-7 删除远程许可信息

13.2.4 DNS配置

选择“系统管理->系统配置->DNS配置”进入DNS配置页面，可以配置设备的域名服务器。配置成功后，设备将使用所配置的域名服务器来解析域名。用户可以配置两个DNS服务器。一个是主DNS，一个是备用DNS。当主DNS工作异常时，将会启动备用DNS作为域名服务器。

图13-8 DNS配置

13.2.5 态势配置

态势配置用于自定义态势感知界面logo，图片名称只能为atklogo.png。

l 态势配置步骤如下：

Ø 步骤1：进入“系统管理->系统配置->态势配置”页面，选择防护对象所属区域，随后点击【上传文件】上传atklogo.png文件后，点击【保存】；

图13-9 态势配置

Ø 步骤2：进入“状态监控->态势感知”页面，查看自定义logo。

Ø 结束

图13-10 态势logo展示

13.2.6 产品信息自定义配置

产品信息自定义配置可设置。可配置产品名称、标签页文字、Copyright配置、导航logo、登录背景图、标签页配置

l WebUI详细配置步骤如下：

Ø 步骤1：进入“系统管理->系统配置->产品自定义配置”页面；

图13-11 产品信息自定义配置

Ø 步骤2：需自定义的内容

Ø 步骤3：完成后点击【保存】按钮保存配置。

Ø 结束

13.2.7 WebUI设置

WebUI设置用于设置访问设备使用的端口号，修改端口后需要加上端口重新登录。

l WebUI详细配置步骤如下：

Ø 步骤1：进入“系统管理->系统配置->WebUI设置”页面；

图13-12 WebUI端口设置

Ø 步骤2：输入WebUI端口；

Ø 步骤3：点击【保存】按钮保存配置；

Ø 步骤4：修改端口后需要加上端口重新登录访问设备管理界面。

Ø 结束

13.2.8 SSH远程连接配置

SSH远程连接配置是指公网B设备建立对局域网A设备（有内网无公网IP）的临时SSH反向代理通道，C登录B就可以直接SSH进入A的连接界面，实现反向连接功能。详细配置步骤如下：

Ø 步骤1：进入“系统管理->系统配置->SSH远程连接配置”界面。

图13-13 端口设置

Ø 步骤2：点击SSH远程连接配置的开关按钮，启用配置；

Ø 步骤3：输入映射端口、公网地址；

Ø 步骤4：点击【保存】按钮保存配置；

Ø 步骤5：使用SSH远程登录工具，输入公网地址和映射端口登录A设备。

Ø 结束

13.3 授权管理

系统功能模块和防护功能模块均受授权控制，新设备登录系统后需要导入有效许可授权才能正常使用。

l 授权导入详细步骤如下：

图13-14 新设备授权界面

Ø 步骤1：进入“系统管理->授权管理”升级许可信息管理界面；

Ø 步骤2：点击【上传文件】按钮导入有效的许可文件（*.dat）；

Ø 步骤3：点击【升级】按钮进行升级操作；

图13-15 上传许可授权

Ø 步骤4：许可授权上传成功后，界面自动刷新并展示其他功能模块。

图13-16 完整功能界面

Ø 结束

13.4 告警配置

告警配置可以配置日志告警阈值和内存告警阈值，当系统资源使用达到配置的阈值后，系统会给出告警提示，包括日志使用空间、内存使用空间告警。日志告警和内存告警初始阈值为80%。

l 告警配置步骤如下：

Ø 步骤1：进入“系统管理->告警配置”页面；

图13-17 告警配置界面

l 步骤2：自定义日志告阈值或内存告警初始阈值；

l 步骤3：点击【保存】按钮保存自定义告警配置。

l 结束

13.5 登录管理

登录管理即包括Radius配置和登录方式两个模块。登录方式包括普通登录和Radius登录，配置Radius登录方式之前需要配置好Radius配置。Radius配置即配置Radius服务器IP地址、端口号以及密钥。

l 普通登录

Ø 步骤1：进入“系统管理->登录配置”页面；

图13-18 登录配置界面

Ø 步骤2：设置登录方式为普通登录；

Ø 步骤3：点击【保存】按钮保存配置。

Ø 结束

l Radius登录

Ø 步骤1：Radius配置。

1) 进入“系统管理->登录配置->Radius配置”页面；

图13-19 Radius配置界面

2) 填写Radius服务器IP地址、端口号以及密钥；

3) 点击【保存】按钮保存配置；

4) Radius用户密码需要将密码转换生成密文，进行加密传输。

Ø 步骤2：登录方式配置。

1) 进入“系统管理->登录配置->登录方式”页面；

图13-20 登录方式界面

2) 选择Radius登录；

3) 点击【保存】按钮保存配置。

Ø 步骤3：界面登录：在登录界面使用Radius认证服务器上配置的账号密码进行登录。

图13-21 登录方式界面

Ø 结束

若Radius登录失败或Radius配置有误，可使用账户管理员身份登录系统，重新编辑Radius配置后再进行登录；或修改登录方式为普通登录，用普通账户和密码进行登录即可。

13.6 升级管理

升级管理分为系统升级、WAF防护规则库升级两个模块。

13.6.1 系统升级

系统升级包括本地升级和FTP升级两种方式。

l 本地升级

Ø 步骤1：进入“系统管理->升级管理->系统升级”界面；

图13-22 系统本地升级页面

Ø 步骤2：点击【上传文件】按钮选择本地的升级包；

Ø 步骤3：点击【升级】按钮升级系统。

Ø 结束

l FTP升级

Ø 步骤1：在外部设置好FTP服务器，并将升级包放在相应目录；

Ø 步骤2：在界面中输入FTP升级路径、FTP登录名和登录密码；

图13-23 系统FTP升级

Ø 步骤3：点击【升级】按钮执行升级。

Ø 结束

13.6.2 Web防护特征库升级

Web防护特征库升级包括本地升级、FTP升级和在线升级三种方式。

l 本地升级

Ø 步骤1：进入“系统管理->升级管理->Web防护特征库升级”界面；

图13-24 Web防护特征库本地升级

Ø 步骤2：点击【上传文件】按钮选择本地的升级包；

Ø 步骤3：点击【升级】按钮升级系统。

Ø 结束

l FTP升级

Ø 步骤1：在外部设置好FTP服务器，并将升级包放在相应目录；

图13-25 Web防护特征库FTP升级

Ø 步骤2：在界面中输入FTP升级路径、FTP登录名和登录密码；

Ø 步骤3：点击【升级】按钮执行升级。

Ø 结束

l 在线升级

Ø 步骤1：选择是否启用代理模式升级，启用代理则需配置代理地址及在线URL，不启用代理则只需配置在线URL；

图13-26 Web防护特征库FTP升级

Ø 步骤2：选择更新类型：自动更新/从不更新；

Ø 步骤3：点击【保存】按钮保存配置；

Ø 步骤4：点击【升级】按钮执行升级。

Ø 结束

自动升级前提：设备可正常连接外网，且规则库在线升级服务在授权范围内。

13.7 备份恢复

备份恢复包含手工备份和自动备份，主要是针对设备配置文件的备份。

进入“系统管理->备份恢复”界面，可执行手工备份、自动备份配置、备份文件导入、备份文件导出和备份恢复、备份文件删除等操作。

l 手工备份

点击【手工备份】按钮，系统自动备份当前所有配置并生成db文件，给出备份成功提示。

图13-27 手工备份

l 自动备份

Ø 步骤1：点击【自动备份】按钮，弹出配置自动备份界面；

图13-28 自动备份

Ø 步骤2：勾选“启用”，选择自动备份周期：每月/每周/每天；

Ø 步骤3：点击【保存】按钮保存配置。

Ø 结束

自动备份周期：每月（每月1号6：25）、每周（每周日6：25）、每天（每天6：25），可在配置自动备份时，勾选“自动清除”，设备会自动清除已存在的备份文件。

l 备份文件导入

Ø 步骤1：点击【导入】按钮，弹出备份文件导入界面；

图13-29 导入备份

Ø 步骤2：点击【上传文件】，选择本地备份文件；

Ø 步骤3：点击【保存】导入备份文件。

Ø 结束

l 备份文件导出

Ø 步骤1：在备份文件列表中选择文件点击【导出】按钮，弹出文件保存对话框；

图13-30 导出备份

Ø 步骤2：选择文件保存路径，导出备份文件。

Ø 结束

l 备份文件恢复

Ø 步骤1：在备份文件中选择备份文件；

Ø 步骤2：点击【恢复】按钮，弹出备份文件恢复界面；

图13-31 备份恢复

Ø 步骤3：点击【确认】将当前系统的所有配置恢复为备份文件保存的配置。

图13-32 备份恢复弹窗

Ø 结束

13.8 运维工具

13.8.1 Webshell

进入“系统管理->运维工具->Webshell工具”进入Webshell工具管理界面，输入正确的用户名和密码登录后即可使用cli命令。

图13-33 Webshell工具界面

注意：Webshell只能使用admin账号登录；由于兼容性问题，不支持IE浏览器。

13.8.2 Ping

进入“系统管理->运维工具->Ping”页面，配置IP/域名、次数后点击【启动】，详细信息会在配置下方结果展示框中显示。点击【终止】可手动停止Ping操作。

图13-34 Ping工具界面

13.8.3 Telnet

进入“系统管理->运维工具->Telnet”页面，配置IP、端口后点击【启动】，详细信息会在配置下方结果展示框中显示。

图13-35 Telnet工具界面

13.8.4 Tcpdump

l 启动工具

Ø 步骤1：进入“系统管理->运维工具->Tcpdump”界面；

Ø 步骤2：设置协议类型、数据条目、接口、类别和主机ip/域名等参数；

Ø 步骤3：点击【启动】按钮抓取数据包。

Ø 结束

l 停止工具

点击【终止】按钮停止抓取数据包。

l 导出数据

抓取数据包完毕后，点击【导出】即可下载数据包。

图13-36 Tcpdump工具配置界面

图13-37 Tcpdump导出界面

13.8.5 Traceroute

进入“系统管理->运维工具->Traceroute工具”页面，配置IP/域名后点击【启动】，详细信息会在结果中展示。点击【终止】可手动停止。

图13-38 Traceroute工具界面

13.8.6 一键诊断

进入“系统管理->运维工具->一键诊断”页面，点击生成按钮完成一键信息收集，便于进行系统诊断调试。

图13-39 一键诊断界面

简单网络管理协议（SNMP），由一组网络管理的标准组成，包含一个应用层协议（application layer protocol）、数据库模型（database schema），和一组资料物件。该协议能够支持网络管理系统，用以监测连接到网络上的设备是否有任何引起管理上关注的情况。该协议是互联网工程工作小组（IETF，Internet Engineering Task Force）定义的internet协议簇的一部分。

l SNMP配置详细步骤如下：

Ø 步骤1：进入“系统管理->运维工具->SNMP配置”页面；

图13-40 SNMP配置管理界面

Ø 步骤2：配置SNMP配置的启用状态以及详细配置参数；

SNMP配置详细参数说明见下表：

表13-4 SNMP配置参数说明

配置项	描述
版本号	SNMP支持版本号，包括SNMPV1V2和SNMPV3。
团体名称	SNMP服务器的团体名称。
允许来源	允许客户端访问的IP。
V3安全用户名	SNMPV3版本的安全用户名
V3认证密码	SNMPV3版本的认证密码
V3加密密码	SNMPV3版本的加密密码

Ø 步骤3：点击【保存】按钮保存配置。

Ø 结束

13.8.8 SSH解锁

SSH账户登录失败次数超过设定次数之后会被锁定，通过系统管理—运维工具—SSH解锁可以解锁SSH账户。

图13-41 SSH解锁页面

13.9 系统操作

13.9.1 重启

进入“系统管理->系统操作->重启”页面，点击【重启】后点击【确认】即可重启设备。

图13-42 重启页面

13.9.2 关机

进入“系统管理->系统操作->关机”页面，点击【关机】后点击【确认】即可关机。

图13-43 关机界面

13.9.3 恢复出厂

进入“系统管理->系统操作->恢复出厂”页面，点击【恢复出厂】后点击【确认】即可。

图13-44 恢复出厂界面

14 网络管理

14.1 概述

网络管理主要描述设备的网络工作模式以及网络方面的配置方法。本章主要介绍网络配置、ARP配置、路由配置和流量牵引的方法。网络配置模块又分为Port接口，Channel接口，网桥接口，Trunk接口四个子模块。

表14-1 网络管理概述

配置项	描述
网络配置	介绍Port，Channel，网桥和Trunk接口配置的方法。
ARP配置	介绍静态ARP的配置方法和动态ARP。
路由配置	介绍静态路由和策略路由配置的方法。
流量牵引	介绍BGP路由牵引和SNAT回注配置的方法。

14.2 网络配置

14.2.1 Port接口

本系统的端口就是普通的二层交换机端口模型，端口可以接收发送报文。端口是自动创建的，不能创建和删除。端口可以加入Channel或网桥接口，参见Channel和网桥部分说明。

14.2.1.1 WebUI

l 配置Port接口

Ø 步骤1：进入“网络管理->网络配置->Port接口”界面；

图14-1 Port接口界面

Ø 步骤2：选择Port接口点击【编辑】按钮，弹出编辑Port接口界面；

图14-2 编辑Port接口

Ø 步骤3：配置Port接口信息；

可以将Port接口设置为Channel接口或网桥接口中的一种，不能同时设置为Channel接口和网桥接口。

设置Channel接口或网桥接口为空，可以将Port接口从Channel接口或网桥接口中移除。

将Port接口从Channel接口中移除需要保证Channel接口处于启用状态或者未被网桥接口引用状态。

Ø 步骤4：点击【保存】按钮保存配置。

Ø 结束

14.2.1.2 CLI

l 添加端口

port -C/--create -i/--idx {idx} -l/--logicname {logic_name} -p/--physicalname {physical_name} [-s/--speed {speed}]

l 启用端口

port -E/--enable -l/--logicname {logic_name}

l 禁用端口

port -N/--disable -l/--logicname {logic_name}

l 写入端口信息

port -M/--map -p/--physicalname {physical_name} -l/--logicname {logic_name}

l 显示端口

port -S/--show

14.2.2 Channel接口

以太网通道(Ethernet Channel)也叫链路聚合、链路捆绑，它是一种将多条链路聚合成一个逻辑链路来使用的技术，可以灵活提高带宽。它逻辑上也是一个端口，可以接受发送报文，对上层业务是透明的。

14.2.2.1 WebUI

l 添加Channel接口

Ø 步骤1：进入“网络管理->网络配置->Channel接口”界面；

图14-3 Channel接口界面

Ø 步骤2：点击【添加】按钮，弹出添加Channel接口界面；

图14-4 添加Channel接口页面

Ø 步骤3：配置接口参数；

可以配置Channel接口名称、模式、备注。

可以设置网桥接口，把Channel接口加入网桥接口中。

可以设置Channel接口状态：启用/禁用。

Ø 步骤4：点击【保存】按钮保存配置。

Ø 结束

其中，模式介绍如下表格14-2所示

表14-2 Channel接口模式描述

模式项	描述
balance-rr	表示平衡轮询环策略
activr-backup	表示主-备份策略
balance-xor	表示平衡策略
broadcast	表示广播策略
802.3ad	表示IEEE 802.3ad动态链接聚合
balance-tlb	表示适配器传输负载均衡
balance-alb	表示适配器适应性负载

l 编辑Channel 接口

选择Channel接口，点击【编辑】按钮，重新配置接口参数、网桥接口、启用/禁用，点击【保存】即可。

图14-5 编辑Channel接口

l 删除Channel接口

点击Channel接口的【删除】按钮，或选择多个接口后点击【批量删除】按钮，在弹窗页面点击【确认】即可。

图14-6 删除Channel接口

注意：Channel接口不能在网桥接口中，否则无法删除！

14.2.2.2 CLI

l 创建Channel接口

channel -C/--create -c/--cname {channelname}(max8)

l 删除Channel接口

channel -D/--delete -c/--cname {channelname}

l 启用Channel接口

channel -E/--enable -c/--cname {channelname}

l 禁用Channel接口

channel -N/--disable -c/--cname {channelname}

l 添加channel端口

channel -A/--add -c/--cname {channelname} -p/--port {portname}

l 移除channel端口

channel -R/--remove -c/--cname {channelname} -p/--port {portname}

l 修改channel接口

channel -M/--mode -m/--modetype {channelmode 0-6}

l 显示Channel接口

channel -S/--show

14.2.3 网桥接口

虚拟局域网（Virtual Local Area Network 或简写Bridge）是对连接到第2层交换机端口的网络用户的逻辑分段的实现形式。为实现交换式以太网的广播隔离，一种理想的解决方案就是采用虚拟局域网技术。这种对连接到第2 层交换机端口的网络用户的逻辑分段技术实现非常灵活，它可以不受用户物理位置限制，根据用户需求进行Bridge划分。

一个Bridge相当于OSI 模型第2 层的广播域，它能将广播控制在一个 Bridge内部。而不同Bridge之间或 Bridge 与LAN/WAN的数据通讯必须通过第3 层（网络层）网关来完成。否则，即便是同一交换机上的端口，假如它们不处于同一个Bridge，正常情况下也无法进行数据通讯。

Bridge可以为网络提供以下作用：1.安全性 2.广播控制 3.带宽利用 4.延迟控制

本系统的Bridge不光有2 层交换的功能，同时也有3 层路由的功能。每个Bridge都有一个网关可以配置IP地址和路由，这样就可以实现3 层路由功能。

本系统有一个默认的网桥，网桥 ID=1，名称是MngtBridge，在系统第一次启动后，端口自动加入这个网桥。当更新许可证后，新端口自动加入这个网桥。如果要进行业务配置，需要先从管理网桥中移除端口，但必须保证管理网桥中至少有一个端口，否则会影响系统管理配置。

14.2.3.1 WebUI

l 添加网桥接口

Ø 步骤1：进入“网络管理->网络配置->网桥接口”管理界面；

图14-7 网桥接口界面

Ø 步骤2：点击【添加】按钮，弹出添加网桥接口页面；

图14-8 添加网桥接口界面

Ø 步骤3：添加网桥接口参数。

1) 在第一步的添加界面中配置网桥号、网桥状态和STP，配置详细介绍如下表；

表14-3 网桥接口配置说明

配置项	描述
网桥号	输入数字设置网桥号名称，网桥号为1的为管理网桥，用户不能使用。
MTU	MTU为最大传输单元，默认值为1500。
模式	系统默认，不能进行修改。
状态	可以配置为启用和禁用。
STP	勾选，启用STP配置，避免网络环路的出现；不勾选，禁用STP配置。

2) 点击【下一步】按钮进入第二步配置界面；

图14-9 第二步配置界面

3) 在网桥上添加IP地址，支持IPv4和IPv6地址。

图14-10 添加网桥接口第二步

Ø 步骤4：点击【完成】按钮保存网桥接口配置。

Ø 结束

l 编辑网桥接口

点击网桥【编辑】按钮，编辑参数、IP等，点击【完成】按钮保存网桥接口配置。

图14-11 编辑网桥接口1

图14-12 编辑网桥接口2

l 删除网桥接口

点击网桥接口的【删除】按钮，或点击多个网桥点击【批量删除】按钮，在弹窗页面点击【确认】即可。

图14-13 删除网桥接口

注意：必须先移除所有Port接口、Channel接口和IP地址，否则无法删除！

14.2.3.2 CLI

l 创建网桥接口

bridge -C/--create -i/--brid <bridgeid>(2-4094) [-v/--brname <bridgename>(def name: br$vid)]

l 删除网桥接口

bridge -D/--delete -v/--brname <bridgename>

l 启用网桥接口

bridge -E/--enable -v/--brname <bridgename>

l 禁用网桥接口

bridge -N/--disable -v/--brname <bridgename>

l 添加port接口/Channel接口

bridge -L/--link -v/--brname <bridgename> -g/--group <portname/channelname>

l 移除port接口/Channel接口

bridge -U/--unlink -v/--brname <bridgename> -g/--group <portname/channelname>

l 添加IP地址

bridge -A/--add -v/--brname <bridgename> -f/--ip <ipv4> -m/--mask <mask> -n/--mngt<ismngt> y/n

l 删除IP地址

bridge -R/--remove -v/--brname <bridgename> -f/--ip <ipv4> [-m/--mask <mask_ipv6>]

l 设置STP

bridge -T/--STP -v/--brname <bridgename> [-s/--stp <0,1>,<y,n>]

l 显示网桥接口

bridge -S/--show

14.2.4 Trunk接口

Bridge Trunk(虚拟局域网中继技术)的作用是让连接在不同交换机上的主机互通。在Trunk接口中配置Trunk 来配合物理交换机的数据交互。

14.2.4.1 WebUI

l 添加Trunk接口

Ø 步骤1：进入“网络管理->网络配置->Trunk 接口”管理界面；

图14-14 Trunk接口管理界面

Ø 步骤2：点击【添加】按钮，弹出添加Trunk 接口界面；

图14-15 添加Trunk接口界面

Ø 步骤3：配置Trunk接口参数；

1) 在第一步配置Trunk接口、标签、模式等，Trunk接口参数说明如下表；

表14-4 Trunk接口参数说明

配置项	描述
接口	选择Trunk接口使用的网桥接口。
备注	输入备注信息。
Vlan标签	输入Trunk接口允许通过的Vlan编号。
模式	包括Port-Mode和Access-Mode两种模式。 Port-Mode：交换机之间或者交换机和上层设备之间的通信模式，用于干道链路。 Access-Mode：交换机上用来连接用户的模式，只用于接入链路。
状态	启用，启用Trunk接口；禁用，禁用Trunk接口。

2) 点击【下一步】，显示第二步编辑界面；

图14-16 编辑Trunk接口第二步

3) 配置接口IP地址，支持IPv4和IPv6地址。

图14-17 配置接口IP地址

Ø 步骤4：点击【完成】按钮保存Trunk 接口配置。

Ø 结束

14.2.4.2 CLI

l 创建trunk接口

trunk -C/--create -i/--vid <trunkid>(0-2048) -v/--brname <bridgename>

l 删除trunk接口

trunk -D/--delete -v/--tname <trunkname>

l 启用trunk接口

trunk -E/--enable -v/--tname <trunkname>

l 禁用trunk接口

trunk -N/--disable -v/--tname <trunkname>

l 添加trunk地址

trunk -A/--add -v/--tname <trunkname> -f/--ip <ipv4> -m/--mask <mask> -n/--mngt<ismngt> y/n

l 删除trunk地址

trunk -R/--remove -v/--tname <trunkname> -f/--ip <ipv4> [-m/--mask <mask_ipv6>]

l 修改status

trunk -M/--mode -v/--tname<trunkname> -t/--status <status>

l 显示trunk接口

trunk -S/--show

14.3 ARP配置

ARP协议（Address Resolution Protocol），或称地址解析协议。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行，它是IPv4 中网络层必不可少的协议。

系统会监听网络ARP报文，并学习维护一个动态的IP地址MAC地址的对应表。动态ARP条目过段时间后会老化并删除，静态ARP条目一直存在包括系统重启。静态 ARP一般不常用，配置静态 ARP可以防止 ARP欺骗。

14.3.1 静态ARP、动态ARP WebUI配置

l 静态ARP配置

Ø 步骤1：进入“网络管理->APP配置->静态ARP ”管理界面；

图14-18 静态ARP管理界面

Ø 步骤2：点击【添加】按钮，弹出添加ARP界面；

图14-19 添加静态ARP界面

Ø 步骤3：配置静态ARP参数：IP地址和MAC地址；

Ø 步骤4：点击【保存】按钮保存静态ARP配置。

Ø 结束

l 动态ARP配置

进入“网络管理->APP配置->动态ARP”管理界面，可以查看所有的动态ARP信息。

图14-20 动态ARP管理界面

14.3.2 静态ARP CLI配置

l 添加静态ARP

arp -A/--add -i/--ip {ip} -m/--mac {mac address}

l 删除静态ARP

arp -D/--del -i/--ip {ip}

l 显示所有ARP

arp -S/--show

14.4 路由配置

路由就是通过互联的网络把信息从源地址传输到目的地址的活动。路由发生在OSI网络参考模型中的第三层即网络层。

14.4.1 静态路由

路由引导报文传输，经过一些中间的节点后，到它们最后的目的地。路由通常根据路由表来引导报文传输，而路由表就是一个储存到各个目的地的最佳路径的转发表。每个路由的条目就是目的网络地址，下一跳网关。当有多个路由条目配置时，采用如下顺序选择路由：先选择子网掩码最长的，如果掩码相同则选择Metric最小的。Metric 表示本路由的管理距离，越大表示该路由越远。

14.4.1.1 WebUI

l 添加静态路由配置

Ø 步骤1：进入“网络管理->路由配置->静态路由”管理界面；

图14-21 静态路由配置界面

Ø 步骤2：点击【添加】按钮，弹出添加路由页面；

图14-22 添加静态路由

Ø 步骤3：配置静态路由参数，静态路由配置详细介绍如下表：

表14-5 静态路由配置

配置项	描述
IP	静态路由的IP地址、子网掩码。
下一跳	路由的下一个点，对端直连路由器的接口地址。
Metric	Metric：跳数，跳数用于指出路由的成本，通常情况下代表到达目标地址所需要经过的跳跃数量，一个跳数代表经过一个路由器。跳数越低，代表路由成本越低，优先级越高；IPv4起始值为0，IPv6起始值为1。
网桥接口	网桥接口，IPv4可接口自适应；非MngtBridge下管理IP的IPv6需要手动选择网桥接口。

Ø 步骤4：点击【保存】按钮保存静态路由配置。

Ø 结束

l 删除静态路由

选择路由配置，点击【删除】或选择多个路由配置，点击【批量删除】按钮即可。

图14-23 删除静态路由

14.4.1.2 CLI

l 添加静态路由

route -A/--add -i/--ip {ip} -m/--mask {mask} <[-g/--gateway {gateway}] [-n/--interface {interface}]> [-t {metric}]

l 删除静态路由

route -D/--del -i/--ip {ip} -m/--mask {mask} [-g/--gateway {gateway}] [-n/--interface {interface}] [-t {metric}]

l 显示静态路由

route -S/--show [-v {IPversion(4，6)}]

14.4.2 策略路由

策略路由（Policy Routing），也叫做基于策略的路由，是一种路由方案，它基于预定义的策略转发报文。这个策略可以是源地址/目的地址或其组合。

14.4.2.1 WebUI

l 添加策略路由

Ø 步骤1：进入“网络管理->路由配置->策略路由”管理页面；

图14-24 策略路由配置界面

Ø 步骤2：点击【添加】按钮，弹出添加策略路由页面；

图14-25 添加策略路由

Ø 步骤3：配置路由参数，策略路由配置详细说明见下表。

表14-6 策略路由配置

配置项	描述
索引	自定义索引号，数值越小优先级越高，索引范围为1-240。
源地址	数据来源地址及其子网掩码。
目的地址	数据发送的目的地址及其子网掩码。
源接口	下拉选择网桥接口
网桥接口	下拉选择网桥接口
网关	路由器的IP地址。

Ø 步骤4：点击【保存】按钮保存策略路由配置。

Ø 结束

l 编辑策略路由

选择路由配置，点击【编辑】按钮。

图14-26 编辑策略路由

l 删除策略路由

选择路由配置，点击【删除】按钮或者选中多个路由配置，点击【批量删除】。

图14-27 删除策略路由

14.4.2.2 CLI

l 添加策略路由

proute -A/--add -x/--idx {idx(1-240)} [-s/--sip {ip/mask} <-m/-smask smask> -d/--dip {ip/mask} <-n/dmask> ] -g/--gip {ip}] -i/--iif {bridgename1-bridgename2-...} -o/----intf {bridgename}

l 删除策略路由

proute -D/--del -x/--idx {idx}

l 显示策略路由

proute -L/--list

l 加载策略路由

proute -O/--load

14.5 流量牵引

流量牵引就是将客户端到防护资产的流量牵引到防护设备，由防护设备来专门抵抗网络攻击，保证正常流量尽可能的不受到攻击的干扰。

14.5.1 路由牵引

路由牵引是在引流和路由器联动的情况下，实现了基于目标IP的流量牵引功能，辅助防护设备来进行流量防护。

14.5.1.1路由模板

l 添加路由模板

Ø 步骤1：进入“网络管理->流量牵引->路由牵引->路由模板”管理界面；

图14-28 添加路由模板界面

Ø 步骤2：点击【添加】按钮，弹出添加路由模板页面；

图14-29 添加路由模板

Ø 步骤3：配置路由模板参数，路由模板配置详细说明见下表：

表14-7 路由模板配置

配置项	描述
名称	路由模板名称。
邻居路由器IP	邻居路由地址或引流接口IP地址。
本地自治系统号	设备的AS号。

Ø 步骤4：点击【保存】按钮保存路由模板配置。

Ø 结束

l 删除路由模板

选择路由模板配置，点击【删除】/【批量删除】按钮即可。当路由模板被路由牵引引用时，删除路由模板会出现失败情况，请先编辑或删除路由牵引相关配置。

图14-30 删除路由模板

14.5.1.2路由牵引

l 添加路由牵引

Ø 步骤1：进入“网络管理->流量牵引->路由牵引->路由牵引”管理界面；

图14-31 添加路由牵引界面

Ø 步骤2：点击【添加】按钮，弹出添加路由牵引页面；

图14-32 添加路由牵引

Ø 步骤3：配置路由牵引参数，路由牵引配置详细说明见下表。

表14-8 路由牵引配置

配置项	描述
引流IP	需要引流的IP地址。
路由模板	根据实际环境引用路由模板。
备注	添加路由牵引策略的备注

Ø 步骤4：点击【保存】按钮保存路由牵引配置。

Ø 结束

l 删除路由牵引

勾选路由牵引配置，点击【删除】/【批量删除】按钮即可。

图14-33 删除路由牵引

l 启用/禁用功能

点击【状态】按钮，启用/禁用路由牵引策略。

图14-34 启用/禁用功能

14.5.2 SNAT回注

SNAT回注是流量牵引功能在数据流回注过程中通过修改源IP保证数据流向牵引设备，不对其他设备造成干扰。

l 添加SNAT回注

Ø 步骤1：进入“网络管理->流量牵引->SNAT回注”管理界面；

图14-35 添加SNAT回注界面

Ø 步骤2：点击【添加】按钮，弹出添加SNAT回注页面；

图14-36 添加SNAT回注

Ø 步骤3：配置SNAT回注参数，SNAT回注配置详细说明见下表。

表14-9 SNAT回注配置

配置项	描述
目的地址	防护资产IP地址。
端口/协议类型	端口可以为空，表示针对所有流量进行源地址转换；端口不为空时可以设置协议类型，包括TCP、UDP。
NAT后地址池	地址池可以配置一个或多个IP地址，但是地址池中的所有IP地址必须在设备中真实存在。
备注	添加SNAT回注策略备注

Ø 步骤4：点击【保存】按钮保存SNAT回注配置。

Ø 结束

l 删除SNAT回注

勾选一条或多条SNAT回注配置，点击【删除】/【批量删除】按钮即可。

图14-37 删除SNAT回注

15 高可用性

15.1 概述

高可用性包含HA管理、端口联动、过载保护以及Bypass四个模块。其中HA管理包含VRRP实例、VRRP组以及配置同步模块。

表15-1 高可用性概述

配置项	描述
HA管理	介绍VRRP实例、VRRP组以及配置同步配置的方法。
端口联动	介绍端口联动的配置方法。
过载保护	介绍软件bypass的使用方法
Bypass	介绍Bypass配置的方法。

15.2 HA管理

15.2.1 简介

随着Internet的迅猛发展，基于网络的应用逐渐增多。这就对网络的可靠性提出了越来越高的要求。斥资对所有网络设备进行更新当然是一种很好的可靠性解决方案；但本着保护现有投资的角度考虑，可以采用廉价冗余的思路，在可靠性和经济性方面找到平衡点。

虚拟路由冗余协议就是一种很好的解决方案。在该协议中，对共享多存取访问介质（如以太网）上终端IP设备的默认网关(Default Gateway)进行冗余备份，从而在其中一台路由设备宕机时，备份路由设备及时接管转发工作，向用户提供透明的切换，提高了网络服务质量。

15.2.1.1协议概述

在基于TCP/IP协议的网络中，为了保证无直接物理连接的设备之间的通信，必须指定路由。目前常用的指定路由的方法有两种：一种是通过路由协议（比如：内部路由协议RIP和OSPF）动态学习；另一种是静态配置。在每一个终端都运行动态路由协议是不现实的，大多客户端操作系统平台都不支持动态路由协议，即使支持也受到管理开销、收敛度、安全性等许多问题的限制。因此普遍采用对终端IP设备静态路由配置，一般是给终端设备指定一个或者多个默认网关(Default Gateway)。静态路由的方法简化了网络管理的复杂度和减轻了终端设备的通信开销，但是它仍然有一个缺点：如果作为默认网关的路由器损坏，要中断。即便所有使用该网关为下一跳主机的通信必然配置了多个默认网关，如不重新启动终端设备，也不能切换到新的网关。采用虚拟路由冗余协议 (Virtual Router Redundancy Protocol，简称VRRP)可以很好地避免静态指定网关的缺陷。

在VRRP协议中，有两组重要的概念：VRRP路由器和虚拟路由器，主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器，是物理实体，虚拟路由器是指VRRP协议创建的，是逻辑概念。一组VRRP路由器协同工作，共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定 IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色：主控路由器和备份路由器，一个VRRP组中有且只有一台处于主控角色的路由器，可以有一个或者多个处于备份角色的路由器。VRRP协议使用选择策略从路由器组中选出一台作为主控，负责ARP相应和转发IP数据包，组中的其它路由器作为备份的角色处于待命状态。当由于某种原因主控路由器发生故障时，备份路由器能在几秒钟的时延后升级为主路由器。由于此切换非常迅速而且不用改变IP地址和MAC地址，故对终端使用者系统是透明的。

15.2.1.2工作原理

一个VRRP路由器有唯一的标识：VRID，范围为0—255。该路由器对外表现为唯一的虚拟MAC地址，地址的格式为00-00-5E-00-01-[VRID]。主控路由器负责对ARP请求用该MAC地址做应答。这样，无论如何切换，保证给终端设备的是唯一一致的IP和MAC地址，减少了切换对终端设备的影响。

VRRP控制报文只有一种：VRRP通告(advertisement)。它使用IP多播数据包进行封装，组地址为224.0.0.18，发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗，只有主控路由器才可以周期性的发送VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。

在VRRP路由器组中，按优先级选举主控路由器，VRRP协议中优先级范围是0—255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同，则称该虚拟路由器作VRRP组中的IP地址所有者；IP地址所有者自动具有最高优先级：255。优先级0一般用在IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1—254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中，高优先级的虚拟路由器获胜，因此，如果在VRRP组中有IP地址所有者，则它总是作为主控路由器的角色出现。对于相同优先级的候选路由器，按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略，如果配置了该策略，高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。

为了保证VRRP协议的安全性，提供了两种安全认证措施：明文认证和IP头认证。明文认证方式要求：在加入一个VRRP路由器组时，必须同时提供相同的VRID和明文密码。适合于避免在局域网内的配置错误，但不能防止通过网络监听方式获得密码。IP头认证的方式提供了更高的安全性，能够防止报文重放和修改等攻击。

15.2.1.3应用实例

最典型的VRRP应用：RTA、RTB组成一个VRRP路由器组，假设RTB的处理能力高于RTA，则将RTB配置成IP地址所有者，H1、H2、H3的默认网关设定为RTB。则RTB成为主控路由器，负责ICMP重定向、ARP应答和IP报文的转发；一旦RTB失败，RTA立即启动切换，成为主控，从而保证了对客户透明的安全切换。

在VRRP应用中，RTA在线时RTB只是作为后备，不参与转发工作，闲置了路由器RTA和链路L1。通过合理的网络设计，可以到达备份和负载分担双重效果。让RTA、RTB同时属于互为备份的两个VRRP组：在组1中RTA为IP地址所有者；组2中RTB为IP地址所有者。将H1的默认网关设定为RTA；H2、H3的默认网关设定为RTB。这样，既分担了设备负载和网络流量，又提高了网络可靠性。

VRRP协议的工作机理与CISCO公司的HSRP（Hot Standby Routing Protocol）有许多相似之处。但二者主要的区别是在CISCO的HSRP中，需要单独配置一个IP地址作为虚拟路由器对外体现的地址，这个地址不能是组中任何一个成员的接口地址。

使用VRRP协议，不用改造目前的网络结构，最大限度保护了当前投资，只需最少的管理费用，却大大提升了网络性能，具有重大的应用价值。

15.2.2 VRRP实例

l VRRP实例的详细配置步骤如下：

Ø 步骤1：进入“高可用性->HA管理->VRRP实例”页面。

图15-1 VRRP实例配置管理界面

Ø 步骤2：点击【添加】按钮，弹出VRRP实例添加界面。

图15-2 VRRP实例添加界面

Ø 步骤3：配置VRRP实例参数。

1）第一步详细配置说明见下表。

表15-2 VRRP实例参数详细配置说明

配置项	描述
冗余ID	自定义ID号。
接口类型	包括Bridge、Trunk。
绑定接口	包括网桥接口和Trunk接口。
添加	添加虚拟IP地址及其子网掩码以及通信方式。
高级配置	初始状态：主/备，当主设备发生故障时自动切换至备设备。
	优先级：当主/备状态相同时根据优先级来确定主备状态，数值越大优先级越高，优先级高的为主设备。
	抢占：主设备自动启用抢占，抢占时延为0；被设备可配置抢占是否启用、抢占时延。
	抢占时延：设备在切换到主状态后，延迟进行gratuitous ARP请求延迟时长。
绑定物理链路接口	物理链路接口所在的接口，包括Port口和Channel口

注：为了实现HA功能，必须为每个VRRP实例配置虚拟IP。

2）完成第一步配置后点击【下一步】进入物理链路绑定页面。

图15-3 物理链路绑定页面

a. 点击【添加】按钮，弹出物理链路绑定配置页面。

图15-4 添加接口绑定

b. 点击【保存】保存物理链路绑定配置。

图15-5 保存物理链路绑定配置

注：物理链路接口是VRRP实例的跟踪接口，当跟踪接口Down掉后，VRRP实例就进行状态切换。

Ø 步骤4：点击【完成】按钮保存VRRP实例配置。

Ø 结束

l 编辑VRRP实例

点击【编辑】按钮，弹出VRRP实例配置界面。

图15-6 编辑VRRP实例

l 删除VRRP实例

点击【删除】按钮或勾选多条VRRP实例后点击【批量删除】按钮，弹出删除对话框，点击【确认】删除VRRP实例。

图15-7 删除VRRP实例

l 启用/禁用VRRP实例

点击【状态】按钮，启用/禁用VRRP实例

图15-8 启用/禁用VRRP实例

15.2.3 VRRP组

通过VRRP组的设置，可以实现组内的VRRP实例切换。

l VRRP组的详细配置步骤如下：

Ø 步骤1：进入“高可用性->HA管理->VRRP组”页面。

图15-9 VRRP组配置管理界面

Ø 步骤2：点击【添加】按钮，弹出添加VRRP组界面。

图15-10 VRRP组添加界面

Ø 步骤3：配置VRRP组参数。

VRRP组参数详细配置说明见下表。

表15-3 VRRP组参数配置说明

配置项	描述
VRRP组名称	自定义VRRP组名称。
状态	启用：启用VRRP组配置；禁用：禁用VRRP组配置。
VRRP实例列表	设置VRRP组包含的VRRP实例，组内的实例可以实现状态切换。

Ø 步骤4：点击【保存】按钮保存VRRP组配置。

Ø 结束

l 编辑VRRP组

点击【编辑】按钮，弹出VRRP组配置界面。

图15-11 编辑VRRP组

l 删除VRRP组

点击【删除】按钮，弹出删除对话框，点击确认删除VRRP组

图15-12 删除VRRP组

l 启用/禁用VRRP组

点击【状态】按钮，启用/禁用VRRP组

图15-13 启用/禁用VRRP组

15.2.4 配置同步

配置同步可以将设备所有配置参数同步至另一台设备。

l 配置同步详细配置步骤如下：

Ø 步骤1：进入“高可用性->配置同步”页面。

图15-14 配置同步界面

Ø 步骤2：点击【添加】，弹出添加配置同步规则界面。

图15-15 添加配置同步规则界面

Ø 步骤3：配置同步参数。

第一步：添加对方服务器IP地址。

图15-16 配置对方IP地址

第二步：点击“应用”，勾选“系统配置”和“防护配置”并保存。

图15-17 应用

Ø 步骤4：点击【应用】应用配置，WAF的所有配置将同步至新的WAF中。

Ø 结束

15.3 端口联动

配置两个接口为一个联动组，联动组内的接口状态保持一致。

15.3.1 WebUI

l 配置端口联动的详细步骤如下：

Ø 步骤1：进入“高可用性->端口联动”界面。

图15-18 端口联动管理界面

Ø 步骤2：点击【添加】按钮，弹出添加端口联动界面，配置组号、上行接口以及下行接口。

图15-19 端口联动添加页面

Ø 步骤3：点击开关按钮开启/关闭联动状态。

图15-20 端口联动状态页面

Ø 步骤4：删除端口联动配置，点击单个组号的【删除】按钮，或选择单个/多个端口联动组号点击【批量删除】按钮，弹出确认对话框。

图15-21 删除端口联动配置

Ø 结束

l 编辑端口联动配置

点击【编辑】按钮，弹出端口联动配置编辑对话框

图15-22 编辑端口联动

15.3.2 CLI

l 添加端口联动组

plink -A/--add -g/--group {groupid(0-49)}

l 启用端口联动组

plink -E/--enable -g/--group {groupid(0-49)}

l 禁用端口联动组

plink -N/--disable -g/--group {groupid(0-49)}

l 删除端口联动配置

plink -D/--delete -g/--group {groupid(0-49)}

l 上行接口配置

plink -X/--uplink -g/--group {groupid(0-49)} -p/--port {portname/channelname}

l 下行接口配置

plink -Y/--downlink -g/--group {groupid(0-49)} -p/--port {portname/channelname}

l 显示端口联动配置

plink -S/--show

15.4 过载保护

进入“高可用性->过载保护”页面，开启过载保护，当设备超过半数的CPU利用率均超过80%或内存超过95%，设备将进入软件Bypass状态，不再起防护作用。

图15-23 过载保护设置

15.5 Bypass

选择“高可用性->Bypass”页面，开启Bypass后，设备将进入Bypass状态，不再起防护作用。

图15-24 Bypass设置

16 日志报表

16.1 概述

本章主要包括防护日志、外联日志、防篡改日志、访问日志、审计日志、报表导出、外发配置和日志备份模块。

表16-1 日志报表介绍

配置项	描述
防护日志	该模块展示当月产生的所有安全防护日志、访问控制日志、机器学习日志、主动防御日志。
外联日志	该模块展示当月产生的外联日志。
防篡改日志	该模块展示当月产生的防篡改日志。
访问日志	该模块展示当月产生的访问日志。
审计日志	查看系统的操作日志。
报表导出	生成各种文件类型的报表。
外发配置	包括外发Syslog配置、外发微信配置、外发邮件配置以及防护模块配置。
日志备份	日志手工备份以及配置日志自动备份。

16.2 防护日志

16.2.1 安全防护日志

该模块展示产生的所有安全防护日志，包含模块有：安全防护日志、访问控制日志、机器学习日志、主动防御日志四个模块。具体展示信息说明如下表：

表16-2 防护日志展示信息

展示项	描述
日志查询列表	展示安全防护日志的所有属性，包括：攻击产生的时间、源IP、源地域、目的IP、目的端口、目的域名、URL、攻击类型、严重级别、处理动作及详情操作，默认展示当月的防护日志。
攻击源分析	对安全防护日志进行攻击源分析。
攻击目的分析	对安全防护日志进行攻击目的分析。
自定义分析	对安全防护日志进行不同维度分析，默认展示维度有：源地域、目的IP、目的端口、攻击类型。
综合统计分析	对安全防护日志进行源IP、源地域、目的IP、URL、攻击类型、协议类型、严重级别、处理动作、客户端设备类型、客户端操作系统类型、客户端浏览器类型、安全防护攻击趋势属性进行统计分析。

l 日志查询

在查询输入框输入查询条件，点击【查询】按钮即可。支持单个/多个条件查询。

查询条件对其它防护日志模块下其它类别日志均生效，对日志列表、攻击源/目的分析、自定义分析、综合统计分析都生效！其它模块不再一一描述！

图16-1 查询条件页面

l 安全防护日志查询列表

点击日志类别中安全防护日志进行查询

图16-2 安全防护日志查询列表页面

Ø 查看详情

点击日志对应的【详情】按钮，查看日志详情，包括：日志详细信息、防护规则信息、HTTP详情。

图16-3 安全防护日志详情展示

² 规则排除

点击【排除规则】按钮，系统自动添加目的URL为该条规则的例外URL，规则排除后WAF不再对目的URL进行该条规则的匹配检测。

注：排除规则仅支持协议合规检测、特征防护。

特征防护规则库展示：基础配置-规则库展示

² 一键拉黑

点击【一键拉黑】按钮，系统自动添加源IP到IP黑名单，为永久封禁。

Ø 日志导出

图16-4 导出安全防护日志

Ø 日志清空

图16-5 清空安全防护日志

l 攻击源分析

基于攻击日志统计，对所有攻击来源IP进行分析。默认显示当月的分析。

图16-6 安全防护日志攻击源分析

点击【详情】按钮，查看该源IP的攻击分析。

图16-7 攻击源分析详情

l 攻击目的分析

图16-8 安全防护日志攻击目的分析

点击【详情】按钮，查看该目的IP的攻击分析。

图16-9 攻击目的分析详情

l 自定义分析

默认展示维度有：源地域、目的IP、目的端口、攻击类型4个，最多选择6个维度。

图16-10 安全防护日志自定义分析

Ø 自定义分析维度

勾选自定义维度后，按照自定义维度展示统计。

图16-11 安全防护日志自定义分析维度选择

l 综合统计分析

图16-12 安全防护日志综合统计分析图

16.2.2 访问控制日志

访问控制日志记录针对各个资产配置的访问控制规则，对于匹配到的数据的处理结果。该模块展示当月产生的所有访问控制日志。具体展示出访问控制日志的如下：

表16-3 访问控制日志信息

展示项	描述
日志查询列表	展示访问控制日志的所有属性，如攻击产生的时间、源IP、源地域、目的IP、目的端口、目的域名、URL、攻击类型、严重级别、处理动作及操作；
攻击源分析	对访问控制日志进行攻击源分析；
攻击目的分析	对访问控制日志进行攻击目的分析；
自定义分析	对访问控制日志进行不同维度分析，默认展示维度有：源地域、目的IP、目的端口、攻击类型、攻击次数；
综合统计分析	对访问控制日志进行源IP、源地域、目的IP、攻击类型、URL、严重级别、处理动作、协议类型、客户端设备类型、客户端操作系统类型、客户端浏览器类型、安全防护攻击趋势属性进行统计分析。

² 一键拉黑

点击【一键拉黑】按钮，系统自动添加源IP到IP黑名单，为永久封禁。

l 日志查询列表

图16-13 访问控制日志

l 日志导出

对访问控制日志能在日志列表、攻击源分析或者攻击目的分析、自定义分析四个页面执行全部导出或者部分导出的操作：

图16-14 导出访问控制日志

l 日志执行清空

点击【清空】按钮后在弹出的对话框中点击【确认】即可清空日志。

图16-15 清空访问控制日志

l 攻击源分析

图16-16 访问控制日志攻击源分析

图16-17 攻击源分析详情展示

l 攻击目的分析

图16-18 访问控制攻击目的分析

图16-19 攻击目的分析详情

l 自定义分析

图16-20 自定义分析展示

图16-21 维度选择展示

l 综合统计分析

根据源IP、源地域、目的IP、攻击类型、URL、严重级别、处理动作、协议类型、客户端设备类型、客户端设备操作系统类型、客户端浏览器类型及安全防护攻击趋势进行综合分析。

图16-22 访问控制综合统计分析

16.2.3 机器学习日志

机器学习日志，记录流量限速针对各协议限制规则的检测结果，对于达到设定阈值的协议流量的处理记录。该模块展示当月产生的所有机器学习日志。具体展示出机器学习日志的如下：

表16-4 机器学习日志信息

展示项	描述
日志查询列表	展示机器学习日志的所有属性，如攻击产生的时间、源IP、源地域、目的IP、目的端口、目的域名、URL、攻击类型、严重级别、处理动作及操作；
攻击源分析	对机器学习日志进行攻击源分析；
攻击目的分析	对机器学习日志进行攻击目的分析；
自定义分析	对机器学习日志进行不同维度分析，默认展示维度有：源地域、目的IP、目的端口、攻击类型；
综合统计分析	对机器学习日志进行源IP、源地域、目的IP、攻击类型、URL、严重级别、处理动作、协议类型、客户端设备类型、客户端操作系统类型、客户端浏览器类型属性、安全防护攻击趋势进行统计分析。

l 日志查询列表

图16-23 机器学习日志

l 日志导出

对机器学习日志能在日志列表、攻击源分析或者攻击目的分析、自定义分析四个页面执行全部导出或者部分导出的操作：

图16-24 导出机器学习日志

l 日志清空

点击【清空】按钮后在弹出的对话框中点击【确认】即可清空日志。

图16-25 清空机器学习日志

l 攻击源分析

图16-26 机器学习攻击源分析

图16-27 攻击源分析详情

l 攻击目的分析

图16-28 机器学习攻击目的分析

图16-29 攻击目的分析详情

l 自定义分析

图16-30 自定义分析展示

图16-31 维度选择展示

l 机器学习综合统计分析

图16-32 机器学习综合统计分析图

16.2.4 主动防御日志

主动防御日志，记录主动防御模块预判到可能存在的漏洞或者威胁，对主动发起防御的处理结果进行展示。具体展示出主动防御日志的如下：

表16-5 主动防御日志信息

展示项	描述
日志查询列表	展示访问主动防御日志的所有属性，如攻击产生的时间、源IP、源地域、目的IP、目的端口、目的域名、URL、攻击类型、严重级别、处理动作及操作；
攻击源分析	对主动防御志进行攻击源分析；
攻击目的分析	对访问主动防御日志进行攻击目的分析；
自定义分析	对主动防御日志进行不同维度分析，默认展示维度有：源地域、目的IP、目的端口、攻击类型；
综合统计分析	对访问主动防御日志进行源IP、源地域、目的IP、攻击类型、URL、严重级别、处理动作、协议类型、客户端设备类型、客户端操作系统类型、客户端浏览器类型属性、安全防护攻击趋势进行统计分析。

l 日志查询列表

图16-33 主动防御日志

l 日志导出

对主动防御日志能在日志列表、攻击源分析或者攻击目的分析、自定义分析四个页面执行全部导出或者部分导出的操作：

图16-34 导出主动防御日志

l 日志清空

点击【清空】按钮后在弹出的对话框中点击【确认】即可清空日志。

图16-35 清空主动防御日志

l 攻击源分析

图16-36 主动防御攻击源分析

图16-37 攻击源分析详情

l 攻击目的分析

图16-38 主动防御日志攻击目的分析

图16-39 攻击目的分析详情

l 自定义分析

图16-40 自定义分析展示

图16-41 维度选择展示

l 综合统计分析

图16-42 主动防御综合统计分析图

16.3 外联日志

外联日志记录针对各个资产配置的外联规则，对于匹配到的数据的处理结果展示。具体展示出外联日志的如下：

表16-6 外联日志信息

展示项	描述
日志查询列表	展示外联日志的所有属性，如时间、源IP、资产名称、类型、目的IP、目标类型、处理动作。
攻击源分析	对外联日志进行攻击源分析。
攻击目的分析	对外联日志进行攻击目的分析。
自定义分析	对外联日志进行不同维度的分析。
综合统计分析	对外联日志进行源IP、目的IP、URL、外联趋势进行统计分析

l 日志查询

在查询输入框输入查询条件，点击【查询】按钮即可。支持单个/多个条件查询。

查询条件对日志列表、攻击源/目的分析、自定义分析、综合统计分析都生效！

图16-43 外联日志查询页面

l 日志查询列表

图16-44 外联日志

l 日志导出

图16-45 导出外联日志

l 日志清空

图16-46 清空外联日志

l 外联攻击源分析

图16-47 外联日志攻击源分析

图16-48 攻击源分析详情展示

l 外联攻击目的分析

图16-49 外联攻击目的分析

图16-50 外联攻击目的分析详情

l 自定义分析

默认展示维度有：源IP、资产名称、目的IP、类型、处理动作5个。

图16-51 外联日志自定义分析

图16-52 外联日志自定义分析维度选择

l 综合统计分析

图16-53 外联日志综合统计分析

16.4 防篡改日志

防篡改日志主要用来记录网页篡改发生的日期和时间（默认展示查询当月的日志）、设备名称、Web名称、进程名、文件名和攻击类型，系统支持分页查看，并按照时间先后自动排序。

l 日志展示

图16-54 防篡改日志

l 日志查询

图16-55 防篡改日志查询

l 日志清空

图16-56 清空防篡改日志

16.5 访问日志

访问日志记录针对各个资产的访问条目，对开启访问日志的资产记录访问记录信息。具体如下：

表16-7 访问日志信息

配置项	描述
日志查询列表	展示访问日志的所有属性，如时间、源IP、源地域、目的IP、目的端口、目的域名、URL。
综合统计分析	对访问日志进行源IP、源地域、目的IP、URL、客户端设备类型、客户端操作系统类型TOP5、客户端浏览器类型TOP5、访问趋势进行统计分析。

l 日志查询

在查询输入框输入查询条件，点击【查询】按钮即可。支持单个/多个条件查询。

查询条件对日志列表和综合统计分析都生效！

图16-57 访问日志查询页面

l 日志查询列表

图16-58 访问日志

l 查看详情

图16-59 访问日志详情展示

² 一键拉黑

点击【一键拉黑】按钮，系统自动添加源IP到IP黑名单，为永久封禁。

l 日志导出

图16-60 导出访问日志

l 日志清空

图16-61 清空访问日志

l 综合统计分析

图16-62 访问日志综合统计分析

16.6 审计日志

审计日志主要用来记录操作员的登录方式、源IP地址、模块标识、操作细节以及进行该操作的具体时间，系统支持分页查看，并按照时间先后自动排序。

图16-63 审计日志

l 条件查询

配置查询条件筛选审计日志，查询条件包括：时间段、模块标识、操作员角色、登录方式、源IP、操作员，选择或输入条件后点击【查询】查询出审计日志。

图16-64 审计日志条件查询

l 导出日志

点击【导出】按钮，即可导出审计日志。

图16-65 导出审计日志

l 清空审计日志

在audit用户下点击【清空】按钮，清空所有审计日志。

图16-66 清空审计日志

16.7 报表导出

报表主要用来将日志数据进行分析，处理生成HTML、PDF和WORD格式的文档，帮助用户快速定位风险状况、威胁来源、资产状态及解决方案。使用本产品能有效抵御黑客利用已知漏洞发起的攻击，过滤攻击行为和异常流量。报表导出分为手动导出与定时自动导出。

l 手动导出

进入“日志报表->报表导出->手动导出”界面，在配置报表名称、导出时间段、选择报表类型、分析维度、报表导出模块，选择资产、源地域、源IP，选择文件类型HTML/PDF/ WORD，点击【生成】按钮生成报表。

图16-67 手动报表配置

配置详细参数说明见下表：

表16-8 报表导出配置参数

配置项	描述
名称	自定义报表名称。
报表导出时间段	配置生成报表时间范围。
报表类型	报表类型包括：系统运行状况表、安全状况总表、安全状况分表。
分析维度	分析维度包括：攻击趋势、攻击严重级别、被攻击资产、被攻击IP、攻击源IP、攻击源地域。
报表导出模块	访问控制、外联控制、流量限速、DDoS攻击防护、协议合规检测、Web攻击防护、Web业务控制、Web敏感信息防护、Web业务加固、爬虫陷阱、虚拟补丁、站点自学习。
资产名称	包括配置的所有防护资产，可以任意选择进行报表导出，此项展示需勾选报表类型中的安全状况分表。
源地域	可选配置，选择报表源地域范围。
源IP	可选配置，选择报表攻击源IP。
选择文件格式	文件格式包括：HTML/PDF/ WORD。

在报表导出模块，点击【查询】按钮可以按照检索条件进行查询，点击【导出】按钮可以导出并下载报表，点击【删除】按钮可以删除报表，勾选多个报表点击【批量删除】按钮，可以批量删除报表

报表手动导出

l 定时自动导出

选择“日志报表->报表导出->定时自动导出”，进入定时自动导出报表界面，在报表配置模块输入报表名称，配置报表导出周期，根据需要选择报表类型、分析维度、报表导出模块，选择资产、源地域、源IP，选择文件类型HTML/PDF/ WORD，选择启用，点击【保存】按钮保存配置。

图16-68 自动报表导出配置

配置详细参数，说明见下表：

表16-9 自动导出报表配置

配置项	描述
启用	勾选：启用定时导出报表功能；不勾选：关闭定时到报表功能。
名称	自定义报表名称。
报表导出周期	配置自动导出报表时间周期：每天：每天06：25；每周：每周日06：47；每月：每月1日06：52。
报表类型	报表类型包括：系统运行状况表、安全状况总表、安全状况分表。
分析维度	分析维度包括：攻击趋势、攻击严重级别、被攻击资产、被攻击IP、攻击源IP、攻击源地域。
报表导出模块	访问控制、外联控制、流量限速、DDoS攻击防护、协议合规检测、Web攻击防护、Web业务控制、Web敏感信息防护、Web业务加固、爬虫陷阱、虚拟补丁、站点自学习。
选择资产	包括配置的所有防护资产，可以任意选择进行报表导出。
源地域	可选配置，选择报表源地域范围。
源IP	可选配置，选择报表攻击源IP。
选择文件格式	文件格式包括：HTML/PDF/ WORD。

在报表导出模块，点击【查询】按钮可以按照检索条件进行查询，点击【导出】按钮可以导出并下载报表，点击【删除】按钮可以删除报表，勾选多个报表后点击【批量删除】按钮，可以批量删除报表。

图16-69 报表自动导出

16.8 外发配置

外发配置用于外发Syslog、外发微信、外发邮件，通过配置防护模块，能够发送远程Syslog数据、发送邮件告警信息。

l 外发Syslog配置

Syslog配置主要是用来配置接收Syslog数据的接收端信息，此接收端可以收到字符串格式和JSON格式的攻击数据，接收端可以配置三个。

Ø 步骤1：选择“日志报表->外发配置->外发Syslog配置”，进入外发Syslog配置界面；

Ø 步骤2：选择启用，选择类型：字符串格式/JSON格式，配置Syslog服务器IP与端口；

图16-70 外发Syslog配置

配置详细参数，说明见下表：

表16-10 外发Syslog配置

配置项	描述
启用	选择是否启用这个功能。
审计日志	选择是否向syslog服务器发送审计日志信息
类型	选择发送数据的格式，可以选择字符串格式或者JSON格式。
Syslog服务器IP	设置syslog接收端的IP。
Syslog服务器端口	设置syslog接收端的端口（syslog使用514端口）。

Ø 步骤3：点击【保存】保存配置。

Ø 结束

l 外发微信配置

外发微信配置主要是用来配置企业微信与外发微信接收者，通过防护模块配置，系统对产生的防护日志进行外发微信告警操作，使用户能够及时接收到设备告警信息。

Ø 参数配置

² 步骤1：进入“日志报表->外发配置-外发微信配置”界面；

² 步骤2：点击启用，配置具体一个企业微信的ID，设置应用ID，序列号、接收者、发送间隔；

图16-71 外发微信配置

配置详细参数说明见下表：

表16-11 外发微信配置

配置项	描述
启用	选择是否启用这个功能。
企业ID	设置具体企业微信的ID号。
应用ID	设置企业微信里应用的ID号。
序列号	设置企业微信里应用的序列号。
接收者	设置接收者的微信地址。
发送间隔	设置微信告警的发送间隔时间。

² 步骤3：点击【保存】保存配置。

² 结束

Ø 发送测试微信

点击【发送微信】发送测试微信，确定配置的是否正确。

图16-72 发送测试微信

l 外发邮件配置

外发邮件配置主要是用来配置SMTP服务器与外发邮件接收者，通过防护模块配置，系统对产生的防护日志进行外发邮件告警操作，使用户能够及时接收到设备告警信息。

Ø 参数配置

² 步骤1：选择“日志报表->外发配置->外发邮件配置”，进入外发邮件配置界面；

² 步骤2：选择启用，进行基础配置；

图16-73 外发邮件配置

配置详细参数说明见下表：

表16-12 外发邮件配置

配置项	描述
启用	选择是否启用这个功能。
SMTP服务器	设置SMTP服务器域名或IP地址。
用户名	设置发送邮箱账户。
密码	设置发送邮箱密码。
发送间隔	设置邮件告警的发送间隔时间。
接收者	设置接收邮箱地址。
主题	自定义邮件主题。

² 步骤3：点击【保存】保存配置。

² 结束

Ø 发送测试邮件

点击【发送邮件】发送测试邮件，确定配置的是否正确。

图16-74 发送测试邮件

l 防护模块配置

外发配置可以根据配置相应的防护模块进行外发，默认情况下为全选，可根据需要选择严重级别与防护模块。配置防护模块后，点击【保存】即可。

图16-75 防护模块配置

16.9 日志备份

日志备份主要分为手工备份和自动备份。

l 手工备份

进入“日志报表->日志备份”管理界面，点击【手工备份】按钮，会备份一个当前时间点名称的db文件并自动弹出备份成功提示。

图16-76 手工备份

l 自动备份

Ø 步骤1：进入“日志报表->日志备份”管理界面，点击【自动备份】按钮，弹出配置自动备份框；

图16-77 配置自动备份

Ø 步骤2：编辑自动备份的参数：是否启用自动备份、自动备份周期（每月、每周、每天）、是否自动清除备份文件；

Ø 步骤3：点击【保存】按钮保存配置。

Ø 结束

l 备份日志恢复

Ø 步骤1：进入“日志报表->日志备份”管理界面；

Ø 步骤2：选中一个备份文件，点击【恢复】按钮，在弹窗页面点击【确认】即可。

Ø 结束

图16-78 备份日志恢复

l 备份文件导出

选择备份文件点击【导出】按钮，导出db文件到本地。

图16-79 备份文件导出

l 日志备份删除

点击备份文件【删除】按钮，或点击多个备份文件点击【批量删除】按钮，在弹窗页面点击【确认】即可。

图16-80 备份文件删除

17 用户管理

17.1 概述

系统共有三种角色：账户管理员、系统管理员和审计管理员。

进入用户管理页面后根据账号角色的权限可以执行账号管理、密码修改、阻断用户管理以及登录管理设置等操作。

17.2 账号管理

如果以账户管理员身份登录系统可以对用户进行管理，包括用户的查看、添加、编辑、删除和重置。

l 用户列表

登录account账户，进入“用户管理->账号管理”界面，可以查看所有用户以及用户详细信息。

图17-1 用户列表界面

l 添加用户

Ø 步骤1：点击【添加】按钮，弹出添加用户界面；

图17-2 添加用户

Ø 步骤2：添加用户信息，配置用户参数说明见下表：

表17-1 用户参数配置说明

配置项	描述
用户名	自定义用户名，但是不能与其他用户名相同。
用户组	设置用户权限，可以选择系统管理员、审计管理员、账户管理员。
空闲锁定时间	用户输入错误密码次数超过“登录尝试次数”时会被封禁，可在1-60分钟范围内自定义空闲锁定时间。
登录尝试次数	设置用户登录时尝试输入密码错误次数，如果超过“登录尝试次数”将会被封禁。
密码复杂度	设置密码复杂度：中级和高级。
密码长度	可选密码长度：8、10。
密码有效期	设置用户密码有效天数，可在0-90天内自定义密码有效期，0为永久有效。未进行初始密码修改的非永久时长的密码有效期显示为“--”，修改过初始密码后显示为具体日期。
备注	设置备注信息。

用户修改密码时新密码必须符合设置的“密码复杂度”和“密码长度”。

添加的新用户密码与用户名相同。

Ø 步骤3：点击【保存】按钮保存配置。

Ø 结束

l IP封禁

Ø 步骤1：点击【IP封禁】按钮，弹出IP封禁配置；

图17-3 IP封禁

Ø 步骤2：IP封禁配置参数说明见下表：

表17-2 IP封禁配置参数说明

配置项	描述
启用	是否开启IP封禁
空闲锁定时间	用户输入错误密码次数超过“登录尝试次数”时会被IP封禁，可在1-60分钟范围内自定义空闲锁定时间。
登录尝试次数	设置用户登录时尝试输入密码错误次数，如果超过“登录尝试次数”将会被IP封禁。

注：若期望用户封禁和IP封禁仅生效一种，需要修改对应的登录尝试次数，数字小的优先生效。

l 编辑用户

Ø 步骤1：点击用户的【编辑】按钮，弹出编辑用户界面。

图17-4 编辑用户

Ø 步骤2：编辑修改用户信息。

Ø 步骤3：点击【保存】按钮保存配置。

Ø 结束

l 删除用户

点击操作列表中的【删除】按钮，或在用户列表中选择一个或多个用户，点击【批量删除】按钮即可删除用户。

图17-5 删除用户

注意：默认账号admin、account和audit不能删除。

l 用户权限

对用户使用模块权限进行分配，默认可写。

注意：account账户和API用户没有权限按钮。

图17-6 用户权限

l 用户重置

Ø 步骤1：在用户列表中选择一个用户，点击【重置密码】按钮，弹出重置确认界面；

图17-7 重置用户界面

Ø 步骤2：点击【确认】重置密码。

Ø 结束

注意：默认账号account无界面重置操作。可连接串口线，使用recovery账号进行登录，执行recovery命令重置account密码。

17.3 密码修改

所有用户均有修改密码的权限。

用户登录后，点击右上方用户名，弹出用户信息界面，展示用户头像、上次登录时间、修改密码以及退出登录。

图17-8 用户信息界面

l 点击修改密码进入修改密码页面。修改密码必须输入正确的旧密码，如果旧密码输入错误，则不允许修改密码。修改密码成功后，将在下次登录时要求输入新的密码。

图17-9 修改密码

注意事项：请牢记修改后的密码，如果忘记系统密码，将不能登录系统。

17.4 封禁列表

如果以账户管理员身份登录系统可以对封禁列表进行管理，进入用户管理-封禁列表页面。

l 阻断用户

当用户登录时尝试输入密码错误次数超过“登录尝试次数”，将会锁定尝试登录账号一段时间，在封禁列表中可以查看锁定信息；

图17-10 账号锁定信息

l 解除封禁

点击阻断用户的【解除封禁】或选择阻断用户点击【批量解封】即可。

图17-11 解除封禁

18 附录A:缩略语

DNS Domain Name System 域名系统

SNMP Simple Network Management Protocol 简单网络管理协议

ARP AddressResolutionPro tocol 地址解析协议

DDoS Distributed Denial of Service 分布式拒绝服务攻击

HTTP Hypertext Transfer Protocol 超文本传输协议

SMTP Simple Mail Transfer Protocol 简单邮件传输协议

FTP File Transfer Protocol 文件传输协议

IP Internet Protocol 网络之间互连的协议

TCP Transmission Control Protocol 传输控制协议

UDP User Datagram Protocol 用户数据报协议

ICMP Internet Control Message Protocol Internet 控制报文协议

URL Uniform Resource Locator 统一资源定位符

HA High Availability 高可用性

VRRP irtual Router Redundancy Protocol 虚拟路由冗余协议

CPU central processing unit 中央处理器

19 附录B：出厂参数

19.1 B.1 Web配置管理员初始账号

用户名	admin
密码	admin

19.2 B.2 Web账户管理员初始账号

用户名	account
密码	account

19.3 B.3 Web审计管理员初始账号

用户名	audit
密码	audit

19.4 B.4 串口管理员初始账号

用户名	admin
密码	admin

20 附录C：弱密码等级对照表

20.1 低等级

密码组合	举例
长度小于5位	密码123
长度为10位以内的纯数字	111111111
7位以内纯大写字母或者小写字母	QQQWWW
7位以内特殊字符	!@#$%^
6位以内数字+纯大写字母或者小写字母	123AB
6位以内数字+特殊字符	123!@
6位以内纯大写字母+小写字母	abcAB
6位以内纯大写字母或者小写字母+特殊字符	ABC!@

20.2 中等级

密码组合	举例
11位纯数字	1111111111
8位以内纯大写字母或者小写字母	QQQWWWW
8位以内纯特殊字符	!@#$%^*
7位以内数字+大写字母或者小写字母	123abc
7位以内数字+特殊字符	123!@#
6位以内数字+大写字母+小写字母	12abC
6位以内数字+小写字母或者大写字母+特殊字符	12ab*
6位以内大写+小写+特殊字符	Ab*

20.3 高等级

密码组合	举例
12位以上纯数字组合	11111111111
9位以内纯大写字母或者小写字母	aaarrrre
8位以内数字+大写字母或者小写字母	1234ABC
7位以内纯大写字母+小写字母	ABCabc
7位以内小写字母或者大写字母+特殊字符	BC!@#
7位以内数字+大写字母+小写字母	123ABc
6位内数字+特殊字符+大写字母+小写字母	12Ab*

配置项	描述
证书名称	自定义配置的证书名称。
证书类型	下拉选择普通证书和国密证书。
证书格式	证书支持三种格式，分别为PEM、DER、PKCS12。
ssl站点秘钥（.key）	导入ssl秘钥。
ssl站点证书	导入ssl站点证书。 PEM证书常用后缀：.pem .crt .cer。 DER证书常用后缀：.der .crt .cer。 PKCS12证书常用后缀：.pfx。注：导入的证书和密钥需要配套，不配套会上传失败，证书名称含后缀最大长度需要小于32字节。
备注	自定义备注信息。

热门推荐

热门推荐

H3C服务器

HPE服务器

热门推荐

H3C存储

HPE存储

热门推荐

商用台式机

商用笔记本

商用显示器

配件

热门推荐

热门推荐

智能终端

灵犀智算

技术解决方案

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

专业安全服务

安全运营服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

公司刊物

加入我们

国家/地区

H3C SecPath W2000-G2[AK4X5][G510][V-G2][CN]系列Web应用防火墙 Web配置指导(E6701 R6702)-5W101

目录

1.2 登录介绍

2 基础配置向导

2.1 连接web管理界面

4 状态监控

4.2 系统预览

5.5.1 IP对象组

5.5.2 URL对象组

5.5.3 例外URL列表

5.5.3.2例外URL展示

5.7.1 Web防护特征库

6.2 协议合规检测

5.2.1 协议合规检测策略

5.2.1 协议合规检测模板

6.3 Web攻击防护

6.3.1 Web攻击防护策略

6.3.2 Web攻击防护模板

6.4 Web业务控制

6.4.2 Web业务控制策略

6.4.3 Web业务控制模板

6.5 Web敏感信息防护

6.5.1 Web敏感信息防护策略

6.5.2 Web敏感信息防护模板

6.6 Web业务加固

6.6.1 Web业务加固策略

6.6.2 Web业务加固模板

6.7 DDos攻击防护

6.7.1 DDoS攻击防护策略

6.7.2 DDoS攻击防护模板