H3C SecPath Web应用防火墙 用户FAQ(E6702)-5W102

手册下载

H3C SecPath Web应用防火墙用户FAQ

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本:5W102-20181026

 

Copyright © 2018新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

 


 

1 硬件类FAQ· 1

H3C SecPath Web应用防火墙硬件简介·· 1

H3C SecPath W1020-D硬件简介·· 1

H3C SecPath W1040-D硬件简介·· 1

H3C SecPath W1200-D硬件简介·· 1

H3C SecPath W2001硬件简介·· 2

H3C SecPath  W2005硬件简介·· 2

H3C SecPath  W2010硬件简介·· 2

H3C SecPath  W2020硬件简介·· 3

H3C SecPath  W2040硬件简介·· 3

H3C SecPath  W2080硬件简介·· 3

H3C SecPath  W2200硬件简介·· 4

2 软件类FAQ· 5

如何查看当前运行的版本信息·· 5

是否支持还原历史配置?·· 5

WAF是否支持防篡改?·· 5

WAF是否支持Bypass功能?·· 6

WAF支持哪些应用协议的防护?·· 6

WAF是否支持防盗链功能?·· 6

WAF是否支持CSRF攻击防护?·· 6

WAF是否支持应用层DDOS防护?·· 6

WAF是否支持防Webshell·· 7

WAF是否具备站点侦测功能?·· 7

WAF是否具备自学习建模功能?·· 7

WAF是否具备抗扫描器扫描功能,如具备,则能防哪些扫描器扫描?·· 7

WAF是否智能识别并锁定攻击者?·· 7

WAF能记录攻击事件哪些信息?·· 7

WAF是否具备访问审计功能?·· 7

WAF是否支持应用加速?·· 7

WAF是否支持SSL透明代理?·· 8

WAF是否支持SSL卸载?·· 8

支持哪些告警方式?·· 8

告警页面是否支持重定向?·· 8

WAF 是否支持策略误判分析功能?·· 8

WAF是否支持报表功能?·· 8

WAF是否支持HA功能?·· 8

3 业务类功能FAQ· 8

上网后网站访问不通?·· 8

部署在SSL环境下需要注意的?·· 9

忘记前台密码怎么办?·· 9

前台登陆不了怎么办?·· 9

上线后保护站点能访问但尝试攻击后无日志?·· 9

攻击日志中为什么没看到攻击的报文?·· 9

如何对应用层IP进行访问控制?·· 9

可以防护应用层DDOS攻击吗?·· 10

报表导不出日志日志怎么办?·· 10

忘记管理口IP怎么办?·· 10

初厂配置初始化哪些配置?·· 10

支持bypass的机制有哪些?·· 10

攻击日志显示的攻击IP都是同一个IP,是什么问题,如何处理?·· 10

攻击日志发送到Syslog服务器有乱码怎么办?·· 10

如何配置成交换机模式?·· 11

CPU、负载、内存、磁盘多少范围内是正常的?·· 11

透明代理模式下,如果WAF使用了链路聚合802.3ad,上下行交换机聚合口也配置了802.3ad,出现流量不通是为什么?   11

透明代理模式下,将运行模式在“物理直通”和其他两种模式之间切换时,为什么会出现短暂的断流?·· 11

4 部署模式·· 11

支持部署模式有哪些?·· 11

5 报表格式·· 11

 


H3C SecPath Web应用防火墙用户FAQ

本文档介绍H3C SecPath Web应用防火墙产品的用户常见的问题及解答。

硬件类FAQ

H3C SecPath Web应用防火墙硬件简介

H3C SecPath W1020-D硬件简介

H3C SecPath W1020-D支持4个千兆电口、4个千兆光口、1个管理口、1HA口、1Console口和2USB口。具体结构如1所示。

图1 H3C SecPath W1020-D结构图

 

H3C SecPath W1040-D硬件简介

H3C SecPath W1040-D支持4个千兆电口、4SFP口、1个管理口、1HA口、1Console口和2USB口。最多支持8个千兆电口、8个千兆光口,具体结构如2所示。

图2 H3C SecPath W1040-D结构图

 

H3C SecPath W1200-D硬件简介

H3C SecPath W1200-D支持4个千兆电口、4个千兆电口、2个万兆光口、1个管理口、1HA口、1Console口和2USB口。具体结构如3所示。

图3 H3C SecPath W1200-D结构图

 

H3C SecPath W2001硬件简介

H3C SecPath W2001支持4个千兆电口、1个管理口、1HA口、1Console口和2USB口。具体结构如4所示。

图4 H3C SecPath W2001结构图

 

H3C SecPath  W2005硬件简介

H3C SecPath W2005支持4个千兆电口、1个管理口、1HA口、1Console口和2USB口。具体结构如5所示。

图5 H3C SecPath W2005结构图

 

H3C SecPath  W2010硬件简介

H3C SecPath W2010支持4个千兆电口、1个管理口、1HA口、1Console口和2USB口。具体结构如6所示。

图6 H3C SecPath W2010结构图

 

H3C SecPath  W2020硬件简介

H3C SecPath W2020支持4个千兆电口、4个千兆光口、1个管理口、1HA口、1Console口和2USB口。具体结构如7所示。

图7 H3C SecPath W2020结构图

 

H3C SecPath  W2040硬件简介

H3C SecPath W2040支持4个千兆电口、4个千兆光口、1个管理口、1HA口、1Console口和2USB口。最多支持8个千兆电口、8个千兆光口,具体结构如8所示。

图8 H3C SecPath W2040结构图

 

H3C SecPath  W2080硬件简介

H3C SecPath W2080支持4个千兆电口、4SFP光口、2个万兆光口、1个管理口、1HA口、1Console口和2USB口。最多支持8个千兆电口。具体结构如9所示。

图9 H3C SecPath W2080结构图

 

H3C SecPath  W2200硬件简介

H3C SecPath W2200支持4个千兆电口、4个千兆光口、2个万兆光口、1个管理口、1HA口、1Console口和2USB口,具体结构所如10所示。

图10 H3C SecPath W2200结构图

 


 

软件类FAQ

如何查看当前运行的版本信息

登录管理界面,点击[监控/系统负载],在[系统状态]一栏中查看版本信息。

 

是否支持还原历史配置?

目前WAF共支出五个历史还原配置点,点击[系统/系统维护/应用更改]按钮,点击[还原历史配置]按钮,选择相应时间点的配置进行还原。

 

 

WAF是否支持防篡改?

WAF提供防篡改功能,能够防止篡改内容被浏览者访问到,一旦检测到被篡改,实时发送告警信息给管理员。

WAF的防篡改原理是通过缓存技术,即WAF开启防篡改学习模式后,对保护站点的页面进行学习,并保存在WAF的虚拟内存中,同时生成数字水印,将防篡改模式调整为防护模式后,WAF会对页面文件进行比对。如发现页面文件发生篡改的现象时,WAF会发现数字水印异常,然后将篡改前的页面返回给客户端。

因此,不建议在更新比较频繁的Web系统中使用。目前WAF只支持像htmltxtjpg等静态页面文件防篡改。

WAF是否支持Bypass功能?

WAF内置光电bypass功能,当设备断电时,通过物理短路实现硬件bypass,确保应用访问不中断。

WAF支持哪些应用协议的防护?

支持HTTP/HTTPS协议防护。

WAF是否支持防盗链功能?

支持防盗链功能,WAF通过识别HTTP/HTTPS头部的Referer字段进行盗链行为防护。

WAF是否支持CSRF攻击防护?

支持CSRF防护,WAF通过识别Referer字段防护非本域外的链接以及在请求中插入令牌实现防护CSRF攻击。

WAF是否支持应用层DDOS防护?

支持应用层DDOS防护,WAF通过CC模块进行防护。

 

WAF是否支持防Webshell

支持防护Webshell,首先WAF通过识别上传文件类型过滤大部分Webshell,对于伪装成图片、文本文件的WebshellWAF可检测上传文件内容进行过滤。

WAF是否具备站点侦测功能?

支持站点侦测功能,WAF通过站点侦测功能可以自动侦测到Web服务器的IP、端口、域名等信息,可避免手动加保护站点,主要应用在服务器较多的环境下,不建议在公网环境下使用。

WAF是否具备自学习建模功能?

支持自学习建模功能,WAF能自动化对访问行为进行智能地学习,通过学习用户网站的访问规律,从正确访问中总结出一套定制化的安全策略,从而实现更安全更智能的防护。WAF的特征库相当于黑名单,而自学习功能是白名单,通过配置自学习功能,将自学习功能开启,学习完毕后将自学习功能关闭(建议7天),这样WAF学习了正常的访问行为,通过手动生成白名单规则,比如提交的id参数值为数字型,那么当出现字符型将会被阻断。

WAF是否具备抗扫描器扫描功能,如具备,则能防哪些扫描器扫描?

支持抗扫描器扫描,WAF支持抗扫描器扫描功能,能抗AppscanWVSNiktonessusHp Webinspect等业内一流的扫描器扫描。

WAF是否智能识别并锁定攻击者?

支持智能识别及锁定攻击者,可识别攻击者的策略和算法,锁定攻击者攻击时间,对网站连接发起攻击的IP地址进行自动锁定禁止访问被攻击的网站,可配置将攻击者直接加入网络黑名单,同时可展示攻击者发生的时间和攻击者所在的地理位置。

WAF能记录攻击事件哪些信息?

WAF能详细记录攻击事件的HTTP请求头信息,含请求的URLUserAgentPOST内容,Cookie等所有的请求头内容;能详细记录服务器响应头信息,服务器响应内容。

WAF是否具备访问审计功能?

WAF具备审计网站正常访问流量的能力,提供按小时,日期、月份生成报表;能记录、查询所有用户对网站的访问情况;能分析出访问量最大的URLIP地址;能分析出访问流量最大的文件类型。

WAF是否支持应用加速?

支持应用加速,WAF内嵌应用加速模块,通过对各类静态页面及部分脚本高速缓存,提高访问速度,另外对服务器页面进行压缩,减小服务器使用带宽。

WAF是否支持SSL透明代理?

支持SSL透明代理,WAF支持HTTPS服务器的防护,WAF前端与后端均为HTTPS加密链路,实现HTTPS应用系统的防御;同时,部署在SSL网关后面,能够解析到真实的访问者IP,并能对真实的IP进行防护和阻断。

WAF是否支持SSL卸载?

不支持。

支持哪些告警方式?

WAF支持Syslog、手机短信、邮件等多种告警方式。

告警页面是否支持重定向?

WAF支持告警页面重定向至其它URL

WAF 是否支持策略误判分析功能?

WAF可以自动针对一段时间的告警日志进行汇总、分析并生成分析结果,方便工程师调整规则。

WAF是否支持报表功能?

支持自定义报表、组合报表、定时报表。

WAF是否支持HA功能?

支持HA双机热备功能。

业务类功能FAQ

上网后网站访问不通?

首先将WAF切为物理直通后尝试网站是否正常,如仍访问不通,需要告知客户非WAF造成的原因,如访问正常,检查以下因素:

(1)      检查物理层因素,如检查网线是否插好、上下联设备端口是否正常,可以通过WAF前台查看网口是否有errordrop包,以上都排查后再尝试物理直通下是否正常。

(2)      检查网络层因素,通过抓包或询问客户的方式查看是否存在路由不对称的情况(使用链路捆绑的环境这个问题较容易发生),比如客户端的syn包从链路1发送,而服务器返回的syn+ack从链路2返回,那么就会造成WAF三次握手不成功,从而导致网站访问不通,解决方法是将WAF放置在单一链路环境下,保证synsyn+ack在一条链路上通信。

(3)      检查应用层因素,首先使用ping检查服务器是否存活,使用telnet检查80端口是否存活,检查服务器的错误返回,如返回503错误时,查看服务器和WAF是否过载,如WAF过载检查当前的连接数值是否超过设备性能。

(4)      如仍无法诊断出原因建议抓包分析。详细处理流程见《WAF故障处理手册》中的WAF故障处理流程图。

部署在SSL环境下需要注意的?

首先在环境调研时需要调研现场是否存在SSL应用,也就是通过https进行访问的网站,然后调研证书是否在服务器上还是在SSL网关上,一般网银的SSL证书在SSL网关上,所以只需将WAF部署在SSL网关后端,防护明文流量即可,碰到证书在服务器上的情况,需要导入服务器的公钥和密钥,建议使用服务器自身证书,在测试过程中可使用以下万能证书(经测试适用于大部分IISapache服务器)。

 

忘记前台密码怎么办?

通过使用CRTputty工具连接到WAFConsole调试口,设置每秒波特率为115200,输入用户名admin,密码admin,选择2.系统配置4.密码管理2.重置前台密码,输入前台默认密码admin后重置即可。

前台登陆不了怎么办?

首先使用ping检查WAF是否存活,再使用telnet waf_ip 443端口检查应用是否正常,如仍访问不了,请尝试更换浏览器,如果还是不行请联系H3C工程师。

上线后保护站点能访问但尝试攻击后无日志?

首先检查保护对象是否配置正确,检查保护站点的IP、端口、保护链路等信息,再检查是否部署在trunk链路上,如部署在trunk链路上需要在保护站点上开启VLAN支持,并填上服务器的VLAN号。

攻击日志中为什么没看到攻击的报文?

通常攻击有两种,一种是Get提交,另一种是通过POST数据进行提交,WAF默认情况下不记录post数据,需要在配置日志记录,将保护站点的记录级别改成详细并应用更改,这样就可以查看POST提交的数据。

如何对应用层IP进行访问控制?

通常防火墙只能对网络层的IP做访问控制,WAF可以做应用层IP的访问控制,在网银的部署环境此功能尤其重要,网银SSL网关经过将流量解密转发到后端服务器后会将源IP转成SSL网关IP,这样无法识别出实际的IP

配置方法:

通过配置防护站点配置,将访问控制中的源IP检测的X-Forwarded-For选项勾选,这样在配置访问控制中添加的IP会同时识别网络层和应用层IP,另外建议在配置全局配置中开启源IP解析,这样在日志中可看到应用层IP

可以防护应用层DDOS攻击吗?

目前WAF只能防护应用层cc攻击,通过[规则/CC攻击防御]WAF可基于URL、请求头字段、目标IP、请求方法 等多种组合条件进行检测,支持应用层IPDDOS检测,支持挑战模式,不能防护syn floodudp flood等网络层攻击。

报表导不出日志日志怎么办?

WAF在日志量较多的情况下无法生成报表,建议将时间点缩短,同时检查是否存在大量误报日志,请禁用相关误报日志。

忘记管理口IP怎么办?

通过使用CRTputty工具连接到WAFConsole调试口,设置每秒波特率为115200,输入用户名admin,密码admin,选择2.系统配置1.设置管理口IP地址,即可查看当前的管理口IP地址。

初厂配置初始化哪些配置?

初始化WAF的站点配置、策略配置、访问控制、链路配置等任何在WAF上添加的配置,管理口IP、告警日志不会被初始化。

支持bypass的机制有哪些?

支持多种bypass机制,硬件bypass同时支持光电口,设备内置光电bypass功能,当设备断电时,通过物理短路实现硬件bypass,软件bypass支持过载bypass、网桥bypass,通过监控设备自身CPU、内存使用率和流量等信息,当设备运行达到一定阈值会自动切换为软bypass

攻击日志显示的攻击IP都是同一个IP,是什么问题,如何处理?

WAF查看的攻击日志源IP都是同一个,一般有以下两个原因:

如果部署在防火墙后端,防火墙可能会设置为源IP地址转换,这样源地址都会变成防火墙地址,这种情况WAF无法识别源IP,可以建议客户将防火墙的地址转换去掉;

如果是部署在负载均衡设备后端,负载均衡会把源IP转成负载均衡自身IP,这种情况需要打开WAFX-Forwarded-ForIP识别功能,如果仍无法识别,建议客户在H3C LB设备上转发时加上X-Forwarded-For字段。

攻击日志发送到Syslog服务器有乱码怎么办?

Syslog通知的编码类型由默认的UTF8改成GBK试试。

如何配置成交换机模式?

WAF可配置成四口交换机模式,通过配置网桥配置,将Protect2的一对口挂到Protect1上即可。

CPU、负载、内存、磁盘多少范围内是正常的?

CPU、内存使用率在80%以下;

CPU负载在10以下;

磁盘使用率在80%以下。

透明代理模式下,如果WAF使用了链路聚合802.3ad,上下行交换机聚合口也配置了802.3ad,出现流量不通是为什么?

可以检查一下WAF上使用的聚合口所属的网桥,其上的LACP802.3ad)是否选择的是“解析LACPDU包”,如果不是,需要选择为该项并应用,之后再查看流量是否能正常;

另一个选项“透传LACPDU包”是在进行排错时使用,实际部署中不能使用该项。

透明代理模式下,将运行模式在“物理直通”和其他两种模式之间切换时,为什么会出现短暂的断流?

将运行模式在“物理直通”和其他两种模式之间切换时,设备会重启网卡,因此该过程中会存在一定时间的断流现象。

 

部署模式

支持部署模式有哪些?

WAF支持透明代理、镜像监测、反代、路由模式等多种部署方式,以适应各种环境的需要;同时,支持透明集群模式、主-主模式、主备模式。不但复杂的网络环境可以适应,针对网上银行、电子商务环境中的httpsCDN、多级代理均能够良好的兼容。从而能广泛的应用于金融、运营商、政府、教育、企业等众多复杂多变的网络环境。

报表格式

WAF支持自定义报表、定时报表;支持WORDPDF等格式导出;同时报表可自动发至管理员邮箱。

 

联系我们