- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath W2000-G2[AK][G510][V-G2][CN]系列Web应用防火墙 用户FAQ(E6701 E6702 R6702)-5W105-整本手册.pdf (1.07 MB)
H3C SecPath W2000-G2[AK][G510][V-G2][CN]系列Web应用防火墙
用户FAQ
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。
系统升级时采用本地上传升级包的方式,推荐使用什么浏览器?如果本地上传升级包方式失败,如何升级?
设备长时间允许,业务网流量较大的情况下,设备会出现主页面请求出错,500错误码,后台登录出错,串口查看内存占用率高,怎么解决?
WAF如果设置了Syslog外发,本地还会存储日志么,断电日志会消失么?
WAF反向代理部署时,是否支持 “X-Forwarded-For”功能?
WAF是否具备抗扫描器扫描功能,如具备,则能防哪些扫描器扫描?
如何查看当前设备的运行状况,硬件信息,cpu信息,内存信息?
配置了syslog服务器后,产品可以向syslog服务器发送哪些信息?
HTTP/HTTPS服务器配置,防护模式选择“代理模式”时,“客户端IP还原”应该选择“是”还是“否”
设备上线后,能正常访问服务器但攻击不被防护,无访问日志及攻击日志
web页面多次登录失败后会弹出验证码,验证码弹出有效期为多久?
在打流等达到性能上限的情况下,web管理界面及后台会出现查询等功能缓慢或者卡顿的现象,属于正常情况
WAF上线后,网站访问不了或者部分业务无法正常进行。访问或提交数据时显示404或者链接已重置
WAF串联/旁路部署后网络正常,服务器可访问,但是WAF上无访问日志和攻击日志
WAF启用策略之后网站无法打开,服务器处策略停用后恢复正常。
WAF流模式部署时,出现网站无法访问的问题,绕过WAF就正常
配置了syslog服务器后,WAF可以向syslog服务器发送哪些信息
设备部署在channel环境中时,channel接口协商不起来。
设备关于X-Forwarded-For IP与数据包源IP优先级处理顺序。
VWAF接口变动导致授权丢失,或更换新的LicenseServer时,如何操作?
VWAF授权被LicenseServer回收后,特征库使用时间会继续计时吗?
VWAF与LicenseServer失联,多长时间后授权失效?
Windows Server 2008 R2 64位操作系统安装网页防篡改插件要求。
linux防篡改中已配置例外文件,若使用vi命令编辑例外文件,为何仍被防护?
网页防篡改agent和第三方终端类产品同时安装在操作系统上,如何处理?
本文档介绍Web应用防火墙产品的用户常见问题及解答
此部分仅适用于硬件类设备。
设备在如下情况时,将会触发硬件BYPASS:
(1) 设备异常掉电情况下,硬件BYPASS会触发
(2) 设备重启过程中,硬件BYPASS会触发
(3) WAF上手动强制开启硬件BYPASS,硬件BYPASS会触发
不支持,当前设备扩展板卡必须在断电情况下进行插拔,否则可能会造成设备硬件损坏。
电源断电、再上电,建议为:对于1U设备,中间间隔5S以上;对于2U设备,可观察电源旁的指示灯状态,断电后需要等待该指示灯从棕黄色变为完全熄灭后,再进行上电。
如果间隔时间太短,会被电源识别成供电不稳定,可能导致再次上电后启动失败。假如现场瞬间断电后恢复,导致设备出现了开机失败的情况,此时需要将电源线拔掉,按设备后面板上的电源开关按钮5次以上(目的是给电源的电容放电)后,重新上电开机。
临时授权/正式授权到期后,不会影响业务通断性,但是无法使用WAF设备功能,直到第二天凌晨6点25分引擎检查授权过期后不再防护服务器站点,配置不会清除,再次授权时恢复正常使用。
操作系统升级时需要重启,虽说重启过程中有BYPASS进行数据透传(对于旁路或者上下行流量不在一对BYPASS口下会导致业务中断),但是已经进行的业务会话依然会受到相应的影响,应避免业务高峰期进行设备系统升级操作。
操作系统升级后,不会导致配置、日志文件、库文件、license文件丢失。
本地上传升级包升级时推荐使用Firefox81+及其以上版本浏览器。若无火狐浏览器,或者火狐浏览器上传升级包失败,可采用命令行FTP方式升级。如果客户环境允许,优先推荐使用命令行FTP方式升级。
此模块不兼容谷歌浏览器,推荐使用Firefox81+及其以上版本浏览器。
建议用户关闭访问日志,WAF的作用是阻断攻击流量。因为访问日志的量较大,数据库写入有极限,因此访问日志现实中默认不开启,也不建议客户开启。若客户现场关闭访问日志之后,仍然较高的内存使用率,则考虑更换性能更好的设备。
不会,恢复出厂操作只对配置文件产生影响,不会造成license丢失,但会删除原有日志信息和已生成报表。
因WAF自身证书没有已知公共证书颁发机构的签名,故存在“SSL证书不可信任”漏洞。
不支持IPV6。
不支持,仅支持HTTPS。
版本不支持降级。
请首先检查WAF管理IP是否可以ping通,再检查网页所输入的地址是否是用HTTPS协议,再去SSH或串口下使用bridge –S 查看管理桥下IsMngt是否为yes,如不是则修改管理地址允许远程管理权限,再使用remote -S检查管理PC是否在远程管理权限范围下,是否启用WEB访问,最后使用websslport –G 检查https管理端口是否使用443端口。
在Web攻击日志中,打开HTTP详细信息,其中有一项分类为匹配特征,可查看到底是哪一部分数据触发了攻击行为,有一点攻防专业技术知识的管理员通过该分类显示内容可进行简单的人工攻击甄别。
WAF具备离线升级特征库功能,可通过本地导入的方式手工导入特征库进行升级。
本地存储日志是需要在syslog配置下需要手动启用本地存储,默认情况下是本地存储是开启的。至于日志存储的位置为硬盘而非内存,所以设备掉电不会丢失日志。
可以,如果用户的站点为HTTPS协议,则通过导入用户保护站点的相关证书和私钥,从而使WAF能够进行HTTPS协议流量的识别和防护,支持https防护的前提是部署模式为代理模式。
使用另外一台PC,登录WAF,在访问控制下查看动态黑名单中是否有该PC的地址,如果客户端对服务器进行攻击,触发封禁动作之后会把攻击源IP锁定一段时间,超过锁定时间后会放行,有可能访问行为触发了误拦截并加入到动态黑名单当中。
只要开启过载保护后,当设备超过半数的cpu利用率均超过80%或内存超过95%,WAF进入软件bypass状态,不再起防护作用。
要确保下一跳是可以ping通,路由可达。
支持该功能。
支持抗扫描器扫描,WAF支持抗扫描器扫描功能,能抗Appscan、WVS、Nikto、nessus、Hp Webinspect等业内一流的扫描器扫描。
WAF能详细记录攻击事件的HTTP请求头信息,含请求的URL、UserAgent、POST内容,Cookie等所有的请求头内容。
WAF支持Syslog、外发微信、邮件等多种告警方式。
WAF支持告警页面重定向至其它URL。
CPU、内存使用率在80%以下; 磁盘使用率在80%以下。
WAF支持透明代理、镜像监测、反向代理、路由牵引等多种部署方式,以适应各种环境的需要;同时,支持双机主备模式。不但复杂的网络环境可以适应,针对网上银行、电子商务环境中的https、CDN、多级代理均能够良好的兼容。从而能广泛的应用于金融、运营商、政府、教育、企业等众多复杂多变的网络环境。
(1) 黑白名单优先遵循IP最长匹配原则,匹配长度相同时黑名单优先;
(2) 反代模式下机器学习、DDOS防护、IP访问控制只支持反代地址防护,其他的都可以防护服务器地址资产;;
(1) 仅支持HTTP协议校验、SQL注入防护、XSS防护、命令注入防护、组件漏洞防护、Web扫描防护、XPATH注入防护、XML注入防护、SSI注入防护、JSON注入防护、LDAP注入防护、Webshell防护、Web敏感信息防护、数据库信息保护、弱密码检测、CGI安全防护、跨站请求伪造防护、业务流程控制、DDOS攻击防护、安全扫描;无法100%阻断,阻断效果受组网环境影响较大;
(1) 透明代理规则中,客户端IP还原必须开启,WAF网桥上无需配有能跟客户端、服务器通信的IP;
(1) 规则处理动作不支持重定向;防护效果不如代理模式;
(2) 透明流模式在请求内容检测中存在大小局限性,请求体深度是8k左右;
(3) 流模式不支持https
(4) HTTP请求走私功能:该功能仅支持流模式,代理模式不支持。在代理模式下存在相同请求头时返回400错误;
(1) 代理模式下,默认最大允许1G大小的文件进行上传下,若高于1G,需在“代理规则-高级配置-上传文件大小”中修改默认值,最大允许配置100000M;
(2) 代理模式下,敏感信息检测无法对如下字段进行防护:Date、Content-Type、Content-Length、Location、Transfer-Encoding、Connection、Keep-Alive、Vary;
(3) Cookie加密和Cookie加固功能仅代理模式下生效;
(4) 反代模式下自学习、DDOS防护、IP访问控制只支持反代地址防护,其他的都可以防护服务器地址资产;
(5) 防盗链规则中的信任refer支持IPV6地址,refer+cookie检测方式仅代理模式支持;
(6) 语义算法检测仅支持代理模式
(7) 页面缓存功能仅在代理模式下支持,其余部署模式不支持;
(8) 检测深度可配,大概误差为配置大小的1/4,如配置8k,实际检测到10k左右,配置20m,实际检测到25m左右,误差为机制问题:若分块传输则是分配配置大小内存,不是分配配置大小+1/4内存;
(9) 代理规则同一个IP下配置了web主机时,表示只允许配置的域名正常访问业务,用其它域名访问时返回502。代理规则不配置web主机时,表示允许所有域名和IP正常访问业务;
(10) waf在三层交换的时候不支持配置客户端IP还原;
(11) 当代理配置正常,访问出现502时,检查路由配置是否存在交叉路由配置,路由选择最精准的进行通信,但是精准的路由可能不是期望的路由,可以通过删除错误路由配置恢复访问。这种路由可能是在添加IP时操作系统自动创建的,为了保证同网段可以通信,是合理的,但是可能和我们自定义的路由产生覆盖,导致寻址到该默认路由的情况;
(12) HTTP控制访问下https的ipv6地址仅支持代理模式;
(1) 仅在反向代理模式下支持;
(1) VRRP实例配置主/备状态和优先级时,必须遵循优先级高者为主机的原则配置,否则以优先级高者为实际主机;
(2) 不支持自动同步配置到备机,因此,主机的配置一旦发生改变需要及时将配置同步到备机,配置同步需要应用后方能生效;
(3) 仅支持旁路反向代理部署和透明反向代理部署;
(4) 仅支持主备部署;编辑一项配置,所有配置都会重新初始化;修改任一VRRP实例或VRRP组配置,可能会导致VRRP切换,请谨慎操作;
(5) 主机备机VRRP实例的虚拟IP数量以及虚拟IP配置必须一致;
(6) 修改端口后再修改回去,端口可能报占用,因为端口可能处于timewait状态,TCP协议正常行为。时长约为1分钟;
(7) 旁路反代主备模式不支持抢占模式,不支持主主模式;
(8) VRRP实例-高级配置-通信方式-IPv6时,默认有IPv6地址,网桥有无IPv4和IPv6地址,VRRP-IPv6和VRRP-IPv4均可正常通信;
(9) VRRP实例-高级配置-通信方式-IPv4时,网桥下须有IPv4地址,VRRP-IPv4和VRRP-IPv6才可正常通信;
(1) TCP X-Flag Flood暂不支持任何防护;
(2) 以下攻击仅支持IPV4,不支持ipv6IP协议的Ping Death、Tiny IP Fragment、Danger IP Option、ICMP协议的Smurf、DNS协议的DNS Cache Poison、DNS Query Flood、HTTP的HTTP Automata;
(3) 镜像监测/阻断模式不支持 TCP SYN Proxy;
(4) TCP SYN Proxy,TCP握手代理,日志无此攻击类型,相当于一个防护算法;
触发WAF规则的匹配位置在HTTP响应时,WAF不支持重定向、自定义的错误页面标题、和错误页面内容功能。
仅支持在同型号、同版本、相同物理接口的设备间使用;不支持日志、报表、备份文件、防篡改(插件下载和防护端探测)、、代理网关、网络管理(除路由牵引外)、高可用性(HA管理和端口联动)状态监控(除资产状态以外)、基础配置(部署模式)、站点自学习(除基础配置外);不支持管理ip同步,建议使用管理桥IP作为配置同步接口。
(1) 功能防护顺序:黑名单 -> 白名单 -> http访问控制 -> web攻击防护 -> 协议合规检测 -> web业务控制 -> web业务加固 -> web敏感信息防护。
(2) 检测位置顺序:请求头 -> 请求体 -> 响应头 -> 响应体
(1) 透明流模式:阻断、重定向、封禁都没有阻断页面返回,浏览器只有一个连接被重置的错误提示。
(2) 旁路模式:阻断、重定向、封禁都没有阻断页面返回,浏览器只有一个连接被重置的错误提示。
(3) 代理模式:阻断、重定向可以返回错误页面,封禁浏览器只有一个连接被重置的错误提示。
设备所有cpu利用率低于40%持续40s且内存使用率低于85%,自动关闭软件Bypass
黑白名单功能在旁路代理模式下,黑名单的目的地址应该设置反代地址;白名单目的地址应该设置真实服务器地址。
原因可能如下:
1、网桥下新的IP未勾选“管理IP”
2、远程管理配置有误
对应解决办法:
1、直连登录设备,查看网络管理>网桥接口,检查管理网桥下新增的IP是否已配置为“管理IP”,需要对新增IP配置“管理IP”,才能使用该IP管理WAF,如下图示例。
图1 配置网络接口IP为管理IP
2、查看系统配置->远程管理配置,默认远程管理地址为:IP地址:0.0.0.0 子网掩码:0.0.0.0,此处配置的是管理WAF的客户端IP白名单,请谨慎编辑和删除,否则将导致无法正常访问WAF管理端。
E6701之前版本若忘记密码,请使用account账户登录WAF管理端,在用户管理>账户管理找到对应的用户,选中对应用户点击“重置密码”,设置新密码后可重新登录。若account密码忘记,需联系相关技术人员需求支持。
E6701之后版本,若忘记admin密码,请登录account账户,重置admin密码;若account密码忘记,请串口使用recovery账号登录,密码为recovery!q@w#e,执行命令为recovery,恢复account账户密码为account。
使用account账户登录WAF管理端,用户管理>封禁列表,点击对应用户,可进行解封。
使用admin账户登录WAF管理端,状态监控>系统预览,可查看相应的产品型号,系统运行时间,CPU,内存,日志空间等信息。
可以发送审计日志、攻击日志、DDoS日志。
透明代理组网时,“客户端IP还原”应选择“是”;透明反向代理组网时,“客户端IP还原”应选择“否”;旁路反向代理组网时,“客户端IP还原”应选择“否”。
当前版本仅在流模式下支持包括透明流模式和旁路镜像模式,代理模式下不支持配置网段。
当前版本仅在代理模式下支持防护HTTPS和IPV6。
由于备份文件中含有网络配置,因此不支持多设备间互相导入配置,否则会因ip冲突导致网络不通。
(1) 在WAF上抓取业务网桥的数据包,查看到服务器的双向流量(request包及response包)是否都经过WAF,如果request包或response包不经过WAF,WAF将不能防护。另外分析流量中是否携带vlan标签,携带标签请配置trunk口。
(2) 查看服务器管理中配置的服务器信息和部署防护模式是否正确,如果信息填写错误会导致WAF不防护。
(3) 查看是否配置了Web防护策略,如果尚未配置,需要增加Web防护策略,选择待防护的服务器,并开启策略。
(1) 基础配置>防护资产,查看防护资产中的访问日志是否是“开启”,默认是关闭状态,需要开启才记录访问日志。
(2) 访问日志开启后,注意下方例外URL后缀类型,勾选后,该类型的访问日志将不记录。请根据业务需求勾选。
流模式下无限制。代理模式下,考虑到设备性能,默认上传文件最大为1G。
态势监测页面不支持HTTPS地址的展示。
无法对如下字段进行防护:Date、Content-Type、Content-Length、Location、Transfer-Encoding、Connection、Keep-Alive、Vary。
有的,如下端口不可用作代理端口:22、53、1081、1800、1801、5081、5082、5432、6379、6998、6999、9996、9997、9998、9999、60443。另外,443不可用于HTTP代理端口。
验证码弹出有效期为10分钟。
不支持IPV6地址。
排查思路:
第一步,看显示404或者链接已重置,查看WAF是哪种部署模式。
第二步,查看访问不了的业务URL。
第三步,查看攻击日志,在攻击日志中查看该URL的攻击详情。
第四步,在策略里排除这条规则:
注:建议使用通用规则,积累大,防护效果好,误拦截低。
1、在日志中找到相应的攻击日志,点击排除规则,将URL排除。(较常使用)
2、在安全防护,找到相应的模板,将规则的勾选去掉排除这条规则。
排查思路:
1、基础排查:检查Web有无(是否配置了防护资产),白名单有无(是否添加了防护白名单,是否把LB地址、网关地址添加了白名单),服务器有无(是否添加了代理服务器),防护策略有无(是否忘记添加防护策略),防护策略选择哪一条。
2、查看网络拓扑,看流量怎么走,是否做nat以及WAF上看到的是哪个IP。
3、在WAF上抓取业务网桥的数据包,查看到服务器的双向流量(request包及response包)是否都经过WAF,如果request包或response包不经过WAF,WAF将不能防护。另外分析流量中是否携带vlan标签,携带标签请配置trunk口。
4、若配置web主机,排查访问的域名使用的是否为非标端口(如80/443),若为非标端口,防护资产上配置的web主机上需配置对应的端口,如http://www.test.com:81/,注意代理规则中web主机无需配置端口。
可能的原因及解决办法:
1、服务器地址填写错误导致,更改正确的地址即可。
2、部署模式选错可能导致,更改部署模式即可。
3、服务器的端口填写错误,一般为80端口,某些服务器是8080端口或其它端口,可询问客户。
4、未开启防护策略,增加防护策略选择对应的服务器即可。
5、开启了策略但是未开启访问日志,开启访问日志即可。
6、防护资产>访问日志中,是否勾选了例外URL后缀类型,注意勾选后,对应类型的访问日志将不记录。
1、搭建ftp服务器升级
2、登录后台用户名:admin 密码:WAF命令行密码与登录界面密码相同。
使用命令:upgradeapp/upgradepatch FTP用户名 FTP密码 FTP文件地址
命令:upgradeapp ftp://用户名:密码@本地ip/xxxxx.img(升级包的名称)
注:upgradeapp用于升级版本,upgradepatch用于升级特征库及补丁包等。
此问题多为路由不通导致,WAF使用的代理机制决定了必须保证WAF能与服务器通信同时将代理的数据包回指到正确的网关地址。问题出现一般存在下列几种情况:
1、WAF配置的网关不对,或者没有设置路由,导致启用代理防护之后,服务器返回的数据包无法回到正确的网关,导致页面访问不正常。
2、WAF和服务器之间链路上不通,启用防护之后无法访问到网页。
防护的服务器在不同网段时,一条默认路由可能无法解决问题,需要增加多条静态路由。
1、如果WAF使用的是反向代理模式,请排查路由问题,是否WAF到服务器不可达。
2、如果WAF使用的是透明代理模式,请将模式改成流模式。建议客户使用流模式。
抓包分析主要应用于以下几个场景:
1、给网站加防护策略后,无攻击、访问日志,攻击无防护,检查所有配置无误的场景。
2、无法确认防护策略是否与服务器IP、端口匹配。
3、确认流量是否经过WAF,排查是否有多链路情况、Trunk,或数据未流经WAF。
4、启用网站之后,网站访问不了(多为路由问题)。
5、其它异常情况抓包命令:
tcpdump
tcpdump usage:
tcpdump [ip arp rarp] -i/--interface [-c/--count host/--ip]
tcpdump [tcp udp] -i/--interface [-c/--count port/--port]
tcpdump [icmp] -i/--interface [-c/--count]
例:
a、如何抓取GE0/0上的数据包
tcpdump ip -i GE0/0
b、如何抓取ICMP的数据包
tcpdump icmp -i GE0/0 -c 20
c、如何抓取 TCP 端口 80的数据包
tcpdump tcp -i GE0/0 port 80
d、如何抓取 host 1.1.1.1的报文
tcpdump ip -i GE0/0 host 1.1.1.1
图2 示意图
注意:正常情况下来说,WAF部署在两台trunk模式交换机之间,不配置trunk标签的话,所有流量都可以正常通过;但是个别环境中,可能会出现访问服务器的时候时断时续,或者根本不通,这种情况则必须加上防护服务器对应的标签。
排查思路:排查此类问题,可从二层入手,通过抓包分析,分析过程如下
1、查看服务器MAC
图3 示意图
2、实例:抓包分析了,WAF的eth4(靠近client端),是有关于此MAC的流量;WAF的接口eth5(靠近sever端)没有关于此MAC的流量,最后查看是因为WAF处在两个trunk环境之间, WAF在做数据处理时,只根据IP+Mac来转发数据,不会带上vlan的信息,环境比较特殊,但是没有打标签,打上标签后环境正常。
图4 示意图
WAF防护的前提是保证WAF看到的流量为关于服务器的双向流量(request包及response包),抓上下联接口及网桥接口的数据包,查看客户业务流量是否经过WAF及流量是否均为双向。
详细信息如下:
图5 Syslog配置图
按照如下方式修改channel模式,取值范围是0-6
图6 示意图
注:改完之后需要重启设备才能生效。
七种bond模式说明:
第一种模式:mod=0 ,即:(balance-rr) Round-robin policy(平衡抡循环策略)
第二种模式:mod=1,即: (active-backup) Active-backup policy(主-备份策略)
第三种模式:mod=2,即:(balance-xor) XOR policy(平衡策略)
第四种模式:mod=3,即:broadcast(广播策略)
第五种模式:mod=4,即:(802.3ad) IEEE 802.3adDynamic link aggregation(IEEE 802.3ad 动态链接聚合)
第六种模式:mod=5,即:(balance-tlb) Adaptive transmit load balancing(适配器传输负载均衡)
第七种模式:mod=6,即:(balance-alb) Adaptive load balancing(适配器适应性负载均衡)
Channel口的端口联动,判断的是Channel口里面包含的真实物理口的down、up状态,并非Channel口本身的状态
Port-mode:WAF在做数据处理时,只根据IP+Mac来转发数据,不会带上vlan的信息。
Access-mode:WAF在做数据处理时,会同时使用IP+Mac+vlan信息进行转发,一般默认情况下trunk模式下选择access-mode。
在应用安全防护下的web防护策略,调用策略的时候选为监控规则,就可以在不对客户实际的业务环境造成影响的前提下,看到相应的日志了。
解决办法:
1、检查邮箱是否已满,是否将告警邮箱标记为垃圾邮件。
2、检查邮箱名称或手机号是否填写正确。
3、发送测试邮件,看是否能收到。
1、确认核实授权文件的有效性。
2、检查授权文件名是否正确,授权文件名中不能包含中文符号,如中文括号等。
1、进行channel部署时,先确认客户channel环境是静态还是动态,如果是动态,在WAF后台执行channel -M -m 4命令,并重启设备;
2、如果是静态则保持WAF模式不变即可;
3、其它模式参考“如何修改WAF channel模式及模式说明”
(1) 防护日志的攻击源/目的分析,查询条数上限为100W条;
(2) 防护日志和外联日志共用容量,达到容量上限时清理前25%,访问日志达到上限后清理前25%,审计日志达到上限,清理到只剩下5W;
(3) 日志容量上限后,在执行清理操作的过程中,不会记录新的日志(日志不会丢失,仅仅只是暂时不会记录);
1、网络层黑白名单,优先处理XFF IP。
2、如果处理动作是封禁,优先封禁XFF IP。
不支持,IP访问控制做到4层,此时未解析到host,故无法控制。另外反代模式下IP访问控制仅能支持对反代地址防护。
支持。若是同一个证书,web主机处可配置多个,以|连接,最多支持长度1024字节。若不同证书,可点击多域名,配置多个web主机。
1、 校验证书是否合法。
2、 检查证书是否含2个crt文件,若是,则把chain文件内容复制到public文件内容后,合并后重新上传。
(1) 授权接口变动导致授权丢失:由于授权资源管理系统根据VWAF上管理口port0的MAC地址来判断唯一性,若改变VWAF网络接口导致授权丢失。请在VWAF命令行下执行poolset –C 后清除注册信息后,在web页面填入LS地址等信息后重新注册并授权。
(2) 更换新的LicenseServer:在VWAF命令行下执行poolset –C 后清除注册信息后,在web页面填入LS地址等信息后重新注册并授权。
(3) poolset命令介绍:
poolset -i命令用来向资源池服务器地址注册。
poolset -C命令用来重置资源池客户端。
poolset -E命令用来显示资源池客户端信息。
poolset -h命令用来帮助命令。
poolset -S命令用来显示资源池服务器配置信息。
poolset -D命令用来调试资源池客户端。
poolset -L命令用来显示资源池客户端连接状态。
poolset -V命令用来显示版本。
已启用的特征库可进行回收,回收后该特征库授权继续倒计时,直到剩余时间为0,未启用过的特征库回收后,剩余时间不变。
VWAF 30天内未收到License Server心跳信息(VWAF低版本为8h),则授权置为无效,授权失效后VWAF将无法进行防护。
不支持在VWAF底层安装第三方插件,如castools。
仅支持旁路反代、旁路检测及旁路阻断三种部署模式,无特殊情况不推荐使用旁路检测和旁路阻断模式。
(1) 由于Linux机制问题,vmxnet3网卡在Linux环境下始终显示工作速率是10000M,导致VWAF接口速率显示也是10000M。
(2) 最大只支持3个port接口,请勿增加4个及以上port接口,会导致网卡顺序错乱。
(3) VWAF网口不支持根据服务器接口速率自适应
(1) 需修改CPU工作模式选择直通模式。
(2) 需所有网卡的队列个数与cpu核数一致,即在修改虚拟机中,“CPU核数值”=“网络->高级设置->内核加速【是】>队列个数”。
(3) VWAF网口不支持根据服务器接口速率自适应
(1) 新增port口时,目前已经可以单独划入系统创建的桥下,请勿改变port口桥归属,否则可能会引起环路导致网络崩溃。
(2) 禁止删除已有接口,否则由于linux的运行机制(删除网卡设备后会重新加载一遍网卡进行自适应),已配置好的接口会乱序;VWAF的port0口与License server进行授权申请,因此port0口不允许操作,否则会引起授权掉线。
Windows Server 2008 R2 64位操作系统需要在Windows官网升级补丁,先安装SP1的安全补丁,再安装KB3033929-x64补丁,如果系统本身已经是SP1版本的情况下,直接安装KB3033929-x64补丁。
部分防篡改linux防护端mv命令无法防护,是否能防护取决于mv命令是否有libc.so动态库的依赖,无libc依赖的环境无法防护,可通过“ldd /usr/bin/mv | grep libc.so”命令查看确认。
处理方案:
若防护目录下MV无法防护的,由于linux操作系统自身的MV文件问题,可找可以防护的MV文件替换掉无法防护的linux操作系统中,本例子中为centos7.4系统的可防护的MV文件,如下在centos7.9上的例子。
(1)在centos7.9系统中mkdir、rm命令可防护,MV文件无法防护,如下图,mkdir与rm均可防护,MV无法防护,修改io 名为lo成功:
(2)将可防护系统centos7.4系统的MV文件,进入/bin目录下,上传替换进centos7.9系统中,在/bin目录下先备份系统中的MV文件。
(3)上传centos7.4可防护的MV文件,并进行赋权操作,chmod +x mv
(4)在防护目录里进行测试验证MV命令防护,验证被防护,管理中心日志记录MV篡改攻击
通过授权文件的点数的值来判断是否能配置站点,无授权字段或站点数为0时不允许配置站点,硬件环境默认赠送的两个站点,以授权文件中的站点数来体现。VWAF默认不赠送站点。
linux防篡改例外文件,如果使用vi命令编辑过例外文件,由于vi进程会生成带有其他后缀的中间文件,而这些中间文件类型不包含在例外文件中,所以例外文件不能生效。另防篡改功能在linux服务器防护时,由于vi工具的运行机制,例外文件在使用vi命令进行编辑时需要强制保存。
防篡改功能在windows服务器防护时,由于编辑office文档会产生.tmp的临时文件,需要将.tmp类型例外才能正常编辑office文档。
防篡改功能在linux服务器防护时,由于vi工具的运行机制,例外文件在使用vi命令进行编辑时需要强制保存;
请把agent安装包、安装目录加入第三方终端类产品白名单;
(1) 在Windows桌面打开cmd命令行界面,通过命令net start wkad确认wkad驱动服务是否正常开启。
(2) 如提示“请求的服务已经启动”,则说明驱动服务正常加载。
图7 确认wkad驱动服务
(1) 在Linux系统,通过env命令确认防篡改相关环境变量是否正常加载。
图8 确认LD_PRELOAD环境变量
(1) 以管理员权限打开cmd命令界面,分别执行net stop wkas和net start wkas
图9 重启wkas进程
(1) 在Linux命令行界面执行/etc/init.d/webkeerer restart即可
图10 重启webkeeper进程
支持
