- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
整本手册
本章节下载 (832.83 KB)
H3C SecPath Web应用防火墙用户FAQ
资料版本:5W102-20181026
Copyright © 2018新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
WAF是否具备抗扫描器扫描功能,如具备,则能防哪些扫描器扫描?
攻击日志显示的攻击IP都是同一个IP,是什么问题,如何处理?
透明代理模式下,如果WAF使用了链路聚合802.3ad,上下行交换机聚合口也配置了802.3ad,出现流量不通是为什么?
透明代理模式下,将运行模式在“物理直通”和其他两种模式之间切换时,为什么会出现短暂的断流?
H3C SecPath Web应用防火墙用户FAQ
本文档介绍H3C SecPath Web应用防火墙产品的用户常见的问题及解答。
H3C SecPath W1020-D支持4个千兆电口、4个千兆光口、1个管理口、1个HA口、1个Console口和2个USB口。具体结构如图1所示。
H3C SecPath W1040-D支持4个千兆电口、4个SFP口、1个管理口、1个HA口、1个Console口和2个USB口。最多支持8个千兆电口、8个千兆光口,具体结构如图2所示。
H3C SecPath W1200-D支持4个千兆电口、4个千兆电口、2个万兆光口、1个管理口、1个HA口、1个Console口和2个USB口。具体结构如图3所示。
H3C SecPath W2001支持4个千兆电口、1个管理口、1个HA口、1个Console口和2个USB口。具体结构如图4所示。
H3C SecPath W2005支持4个千兆电口、1个管理口、1个HA口、1个Console口和2个USB口。具体结构如图5所示。
H3C SecPath W2010支持4个千兆电口、1个管理口、1个HA口、1个Console口和2个USB口。具体结构如图6所示。
H3C SecPath W2020支持4个千兆电口、4个千兆光口、1个管理口、1个HA口、1个Console口和2个USB口。具体结构如图7所示。
H3C SecPath W2040支持4个千兆电口、4个千兆光口、1个管理口、1个HA口、1个Console口和2个USB口。最多支持8个千兆电口、8个千兆光口,具体结构如图8所示。
H3C SecPath W2080支持4个千兆电口、4个SFP光口、2个万兆光口、1个管理口、1个HA口、1个Console口和2个USB口。最多支持8个千兆电口。具体结构如图9所示。
H3C SecPath W2200支持4个千兆电口、4个千兆光口、2个万兆光口、1个管理口、1个HA口、1个Console口和2个USB口,具体结构所如图10所示。
登录管理界面,点击[监控/系统负载],在[系统状态]一栏中查看版本信息。
目前WAF共支出五个历史还原配置点,点击[系统/系统维护/应用更改]按钮,点击[还原历史配置]按钮,选择相应时间点的配置进行还原。
WAF提供防篡改功能,能够防止篡改内容被浏览者访问到,一旦检测到被篡改,实时发送告警信息给管理员。
WAF的防篡改原理是通过缓存技术,即WAF开启防篡改学习模式后,对保护站点的页面进行学习,并保存在WAF的虚拟内存中,同时生成数字水印,将防篡改模式调整为防护模式后,WAF会对页面文件进行比对。如发现页面文件发生篡改的现象时,WAF会发现数字水印异常,然后将篡改前的页面返回给客户端。
因此,不建议在更新比较频繁的Web系统中使用。目前WAF只支持像html、txt、jpg等静态页面文件防篡改。
WAF内置光电bypass功能,当设备断电时,通过物理短路实现硬件bypass,确保应用访问不中断。
支持HTTP/HTTPS协议防护。
支持防盗链功能,WAF通过识别HTTP/HTTPS头部的Referer字段进行盗链行为防护。
支持CSRF防护,WAF通过识别Referer字段防护非本域外的链接以及在请求中插入令牌实现防护CSRF攻击。
支持应用层DDOS防护,WAF通过CC模块进行防护。
支持防护Webshell,首先WAF通过识别上传文件类型过滤大部分Webshell,对于伪装成图片、文本文件的Webshell,WAF可检测上传文件内容进行过滤。
支持站点侦测功能,WAF通过站点侦测功能可以自动侦测到Web服务器的IP、端口、域名等信息,可避免手动加保护站点,主要应用在服务器较多的环境下,不建议在公网环境下使用。
支持自学习建模功能,WAF能自动化对访问行为进行智能地学习,通过学习用户网站的访问规律,从正确访问中总结出一套定制化的安全策略,从而实现更安全更智能的防护。WAF的特征库相当于黑名单,而自学习功能是白名单,通过配置自学习功能,将自学习功能开启,学习完毕后将自学习功能关闭(建议7天),这样WAF学习了正常的访问行为,通过手动生成白名单规则,比如提交的id参数值为数字型,那么当出现字符型将会被阻断。
支持抗扫描器扫描,WAF支持抗扫描器扫描功能,能抗Appscan、WVS、Nikto、nessus、Hp Webinspect等业内一流的扫描器扫描。
支持智能识别及锁定攻击者,可识别攻击者的策略和算法,锁定攻击者攻击时间,对网站连接发起攻击的IP地址进行自动锁定禁止访问被攻击的网站,可配置将攻击者直接加入网络黑名单,同时可展示攻击者发生的时间和攻击者所在的地理位置。
WAF能详细记录攻击事件的HTTP请求头信息,含请求的URL、UserAgent、POST内容,Cookie等所有的请求头内容;能详细记录服务器响应头信息,服务器响应内容。
WAF具备审计网站正常访问流量的能力,提供按小时,日期、月份生成报表;能记录、查询所有用户对网站的访问情况;能分析出访问量最大的URL,IP地址;能分析出访问流量最大的文件类型。
支持应用加速,WAF内嵌应用加速模块,通过对各类静态页面及部分脚本高速缓存,提高访问速度,另外对服务器页面进行压缩,减小服务器使用带宽。
支持SSL透明代理,WAF支持HTTPS服务器的防护,WAF前端与后端均为HTTPS加密链路,实现HTTPS应用系统的防御;同时,部署在SSL网关后面,能够解析到真实的访问者IP,并能对真实的IP进行防护和阻断。
不支持。
WAF支持Syslog、手机短信、邮件等多种告警方式。
WAF支持告警页面重定向至其它URL。
WAF可以自动针对一段时间的告警日志进行汇总、分析并生成分析结果,方便工程师调整规则。
支持自定义报表、组合报表、定时报表。
支持HA双机热备功能。
首先将WAF切为物理直通后尝试网站是否正常,如仍访问不通,需要告知客户非WAF造成的原因,如访问正常,检查以下因素:
(1) 检查物理层因素,如检查网线是否插好、上下联设备端口是否正常,可以通过WAF前台查看网口是否有error、drop包,以上都排查后再尝试物理直通下是否正常。
(2) 检查网络层因素,通过抓包或询问客户的方式查看是否存在路由不对称的情况(使用链路捆绑的环境这个问题较容易发生),比如客户端的syn包从链路1发送,而服务器返回的syn+ack从链路2返回,那么就会造成WAF三次握手不成功,从而导致网站访问不通,解决方法是将WAF放置在单一链路环境下,保证syn和syn+ack在一条链路上通信。
(3) 检查应用层因素,首先使用ping检查服务器是否存活,使用telnet检查80端口是否存活,检查服务器的错误返回,如返回503错误时,查看服务器和WAF是否过载,如WAF过载检查当前的连接数值是否超过设备性能。
(4) 如仍无法诊断出原因建议抓包分析。详细处理流程见《WAF故障处理手册》中的WAF故障处理流程图。
首先在环境调研时需要调研现场是否存在SSL应用,也就是通过https进行访问的网站,然后调研证书是否在服务器上还是在SSL网关上,一般网银的SSL证书在SSL网关上,所以只需将WAF部署在SSL网关后端,防护明文流量即可,碰到证书在服务器上的情况,需要导入服务器的公钥和密钥,建议使用服务器自身证书,在测试过程中可使用以下万能证书(经测试适用于大部分IIS、apache服务器)。
通过使用CRT或putty工具连接到WAF的Console调试口,设置每秒波特率为115200,输入用户名admin,密码admin,选择2.系统配置—4.密码管理—2.重置前台密码,输入前台默认密码admin后重置即可。
首先使用ping检查WAF是否存活,再使用telnet waf_ip 443端口检查应用是否正常,如仍访问不了,请尝试更换浏览器,如果还是不行请联系H3C工程师。
首先检查保护对象是否配置正确,检查保护站点的IP、端口、保护链路等信息,再检查是否部署在trunk链路上,如部署在trunk链路上需要在保护站点上开启VLAN支持,并填上服务器的VLAN号。
通常攻击有两种,一种是Get提交,另一种是通过POST数据进行提交,WAF默认情况下不记录post数据,需要在配置—日志记录,将保护站点的记录级别改成详细并应用更改,这样就可以查看POST提交的数据。
通常防火墙只能对网络层的IP做访问控制,WAF可以做应用层IP的访问控制,在网银的部署环境此功能尤其重要,网银SSL网关经过将流量解密转发到后端服务器后会将源IP转成SSL网关IP,这样无法识别出实际的IP 。
配置方法:
通过配置—防护站点配置,将访问控制中的源IP检测的X-Forwarded-For选项勾选,这样在配置—访问控制中添加的IP会同时识别网络层和应用层IP,另外建议在配置—全局配置中开启源IP解析,这样在日志中可看到应用层IP。
目前WAF只能防护应用层cc攻击,通过[规则/CC攻击防御],WAF可基于URL、请求头字段、目标IP、请求方法 等多种组合条件进行检测,支持应用层IP的DDOS检测,支持挑战模式,不能防护syn flood、udp flood等网络层攻击。
WAF在日志量较多的情况下无法生成报表,建议将时间点缩短,同时检查是否存在大量误报日志,请禁用相关误报日志。
通过使用CRT或putty工具连接到WAF的Console调试口,设置每秒波特率为115200,输入用户名admin,密码admin,选择2.系统配置—1.设置管理口IP地址,即可查看当前的管理口IP地址。
初始化WAF的站点配置、策略配置、访问控制、链路配置等任何在WAF上添加的配置,管理口IP、告警日志不会被初始化。
支持多种bypass机制,硬件bypass同时支持光电口,设备内置光电bypass功能,当设备断电时,通过物理短路实现硬件bypass,软件bypass支持过载bypass、网桥bypass,通过监控设备自身CPU、内存使用率和流量等信息,当设备运行达到一定阈值会自动切换为软bypass。
WAF查看的攻击日志源IP都是同一个,一般有以下两个原因:
如果部署在防火墙后端,防火墙可能会设置为源IP地址转换,这样源地址都会变成防火墙地址,这种情况WAF无法识别源IP,可以建议客户将防火墙的地址转换去掉;
如果是部署在负载均衡设备后端,负载均衡会把源IP转成负载均衡自身IP,这种情况需要打开WAF的X-Forwarded-For源IP识别功能,如果仍无法识别,建议客户在H3C LB设备上转发时加上X-Forwarded-For字段。
将Syslog通知的编码类型由默认的UTF8改成GBK试试。
WAF可配置成四口交换机模式,通过配置—网桥配置,将Protect2的一对口挂到Protect1上即可。
CPU、内存使用率在80%以下;
CPU负载在10以下;
磁盘使用率在80%以下。
可以检查一下WAF上使用的聚合口所属的网桥,其上的LACP(802.3ad)是否选择的是“解析LACPDU包”,如果不是,需要选择为该项并应用,之后再查看流量是否能正常;
另一个选项“透传LACPDU包”是在进行排错时使用,实际部署中不能使用该项。
将运行模式在“物理直通”和其他两种模式之间切换时,设备会重启网卡,因此该过程中会存在一定时间的断流现象。
WAF支持透明代理、镜像监测、反代、路由模式等多种部署方式,以适应各种环境的需要;同时,支持透明集群模式、主-主模式、主备模式。不但复杂的网络环境可以适应,针对网上银行、电子商务环境中的https、CDN、多级代理均能够良好的兼容。从而能广泛的应用于金融、运营商、政府、教育、企业等众多复杂多变的网络环境。
WAF支持自定义报表、定时报表;支持WORD、PDF等格式导出;同时报表可自动发至管理员邮箱。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
