- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载: 01-正文 (5.75 MB)
为了方便网络或设备管理员对新华三技术有限公司(以下简称H3C)的SecPath系列WAF(Web Application Firewall,Web应用防火墙,以下简称WAF)设备进行配置操作及维护,WAF支持通过HTTPS协议建立安全的Web连接实现Web网管功能。管理员可以通过Web界面更加直观和便捷地管理和维护WAF设备。
设备在出厂时已经设置了默认的Web登录信息,用户直接使用该默认信息登录设备的Web界面。
默认的Web登录信息包括:
· 用户名:“admin”。
· 密码:“admin”。
· 设备默认管理IP地址:“192.168.0.1”(对于云Web应用防火墙,设备的管理IP地址为安装云WAF时配置的管理IP地址)。
· 验证码:随机字母与数字组合(不区分大小写)。
Web管理的具体登录步骤如下:
(1) 连接设备和PC。
用交叉以太网线将 PC 和设备的默认管理口相连。
(2) 为PC配置IP地址,保证能与设备互通。
修改管理PC的IP地址为192.168.0.0/24(192.168.0.0/24网段内除192.168.0.1的任意地址即可),例如192.168.0.100。
(3) 启动浏览器输入登录信息。
启动IE/Firefox浏览器,在地址栏内输入“https://192.168.0.1”即可进入如下图所示的Web网管登录页面。输入用户名“admin”、密码“admin”,点击<登录>按钮即可进入Web网管页面并进行相关操作。
图1-1 登录窗口
首次登录后,建议用户修改缺省的登录密码。
管理员初次登录的Web UI界面如下图所示,为监控面板页面,它显示了关键的系统信息和系统统计数据的概要信息。
图1-2 H3C WAF web UI介绍
Web UI界面由以下三个部分组成:
· 主菜单和子菜单(蓝色方框内)
系统的功能主要分为以下几个主菜单,而主菜单中又包括了更多的子菜单:
¡ 配置向导:用于协助用户完成基本配置。
¡ 监控面板:用于各种攻击信息统计及系统硬件状态。
¡ 状态监控:查看系统及各项攻击的详细信息。
¡ 安全策略:用于策略引用,安全策略的编辑配置。
¡ 日志报表:在此主菜单中,您能够查看系统记录的各种日志,以及根据管理员设置生成的报表信息。
¡ 网络配置:配置网络接口、路由、HA等与网络相关的配置。
¡ 系统配置:设置设备的主机信息、告警、日志等系统配置。
¡ 系统维护:用于设备的升级,许可证的导入,故障排查。
¡ 访问管理:用户管理员的添加/删除、管理员访问权限的设置。
· 内容面板(蓝色方框内)
选择主菜单下的子菜单时,Web UI界面的右侧将会显示出一个内容面板,管理员可以通过这个面板来对WAF进行配置,也可以查看相关的统计信息。
· 工具图标(红色方框内)
在Web UI的右上角,您可找到下列常用工具:
¡ 威胁监控大厅:用来展示WAF当前保护站点的安全运行状态及相关安全事件数据。
¡ 当前时间为:显示当前的系统时间及运行时长。
¡ 保存配置:保存当前设备的所有配置。
¡ 注销,单击可以退出Web UI界面。确保关闭Web浏览器前从Web UI界面中退出。否则,Web UI将在登录超时(默认超时为15分钟)后自动退出。
配置向导意义在于协助用户完成H3C SecPath WAF设备的配置。管理员通过配置向导可以独立快速的完成H3C SecPath WAF的上线基本配置。配置向导的基本流程如下:
欢迎→部署模式→网络配置→策略配置→概要
(1) 欢迎:显示当前设备许可证的状态,并且可以手工导入许可证,完成后点击下一步。
图2-1 配置向导第一步
(2) 部署模式:选择WAF设备部署的模式,目前支持的部署模式有:反向代理模式、透明模式、旁路模式,完成后点击下一步。
图2-2 配置向导第二步
(3) 网络配置:根据上一步部署模式选择的不同,网络配置中所需配置的选项也有所不同,下图以透明方式为例,完成后点击下一步。
图2-3 配置向导第三步
上图中的各个参数说明如下表2-1所示:
表2-1 配置向导网络配置参数
|
参数 |
说明 |
|
上联接口 |
业务流量进入WAF设备的入接口。 |
|
管理地址/网关 |
配置设备的管理地址以及管理地址的网关。 |
|
访问管理 |
针对当前管理地址需要开启的权限。 |
(4) 策略配置:选择WAF和IPS的策略,系统默认提供通用的default配置模板,完成后点击下一步。
图2-4 配置向导第四步
(5) 概要:显示配置向导中所有的配置项,供检查使用,如有需要修改的则可以点击上一步返回修改,确认无误后点击完成。
图2-5 配置向导第五步
云WAF在“配置向导”中仅支持反向代理模式的配置。
监控面板通过图表展示了WAF当前的安全概况,界面如下图所示:
图3-1 监控面板
· 自身健康:根据设备的CPU、内存、硬盘使用率计算出当前设备的健康状态。
· 威胁风险:根据1小时内设所拦截的攻击数目通过加权算法计算出内部网络的风险值。
· 安全事件:1小时内所发现的威胁事件数量展示。
· 事件分类:通过饼状图显示当前一小时内病毒、入侵防御、WAF拦截事件各自所占比例及各自的详细类别。
· 事件告警:显示Web安全、网络入侵、病毒感染的最近日志。
· 事件源:显示Web安全、网络入侵、病毒检测的攻击源,用户可直接点击后方的操作可将源地址直接封禁(加入黑名单)或放入例外列表中(加入白名单)。注意:由于反向代理模式下,全局黑白名单不能针对真实客户端IP生效,因此,反代下将此处的Web安全、病毒监测攻击源一键加入全局黑白名单,实际功能并不生效。
· 接口状态:显示设备的前面板状态,鼠标悬停至端口会显示该接口名称及协商速率。(云Web应用防火墙产品不支持此功能)
1、 如果设备实际面板有变化,如新插入了插卡,但查看“监控面板-接口状态”却没有显示出最新的面板状态,建议清除浏览器缓存后再查看
2、 可通过图标快捷方式将IP地址加入到全局黑名单或白名单,但是加入后无法通过图标快捷方式删除,需要在全局黑白名单配置处手动删除
在完成WAF的设置、服务器安全检测策略的创建后, WAF将开始检查通过WAF的网络流量并在状态监控中显示各种详细的系统信息和恶意软件检测信息。管理员可查看下列信息:
· 系统状态:查看设备系统相关信息及接口流量信息。
· Web安全:查看并展示针对Web服务器的各种攻击拦截情况。
· 入侵防护:查看并展示入侵防御引擎的工作状况。
· 流量统计:显示统计的Web服务器的访问数及攻击数。
系统状态分为系统信息及网络信息,用于显示系统当前的资源使用率及工作状态。
选择 系统状态 > 系统信息,右侧页面显示当前引擎和特征库版本许可信息和历史的CPU使用的统计数据。如下图所示。
图4-1 硬件Web应用防火墙的系统信息
图4-2 云Web应用防火墙的系统信息
点击版本信息中的版本升级及许可状态中的更新许可,可跳转到系统更新及许可证界面进行更新导入
在“主机信息”下方,以图表方式显示CPU/内存使用信息。如果超长时间处于高CPU使用状态,请管理员查找具体原因。
管理员可以在“时间间隔”处选择显示的统计数据时间间隔:可选项及含义分别为:
· 5分钟:选择后界面将直接显示当前时刻之前5分钟的统计信息。
· 一小时:选择后界面将直接显示当前时刻之前的一个小时内的统计信息。
· 一天:选择后界面将直接当前时刻之前24小时的统计信息。
· 一个月:选择后界面将直接当前时刻之前一个月的统计信息。
选择菜单 系统状态 > 网络信息,页面显示所有接口的详细统计信息。如下图所示。
图4-3 网络信息
各列说明如下表:
表4-1 接口信息表
|
参数 |
说明 |
|
接口 |
显示接口名称。 |
|
IP 地址 |
显示分配给接口的IP地址。如果接口工作在交换模式,则显示为0.0.0.0。 |
|
状态 |
显示接口网卡工作是否正常:“up”或“down”。 说明: 就vlan1接口来说,vlan1是伪接口,受到以透明模式配置的所有接口的限制。如果所有透明模式接口都处于断开状态,那么vlan1也将处于断开状态。如果任一个透明模式接口处于连接状态,那么vlan1也将处于连接状态。 |
|
工作模式 |
显示接口工作模式:“route” “transparent” “bond”。 |
|
Rx Pkts |
在接口上接收到的数据包的总数。 |
|
Rx Errors |
在接口上接收到的错误包的总数。 |
|
Tx Pkts |
通过接口发送的数据包的总数。 |
|
Tx Errors |
通过接口发送的错误包的总数。 |
在“接口”处选择具体的接口,管理员可以获得该接口的最新统计信息。
管理员可以在“时间间隔”处选择显示的统计数据时间间隔:可选项及含义分别为:
· 5分钟:选择后界面将直接显示当前时刻之前5分钟的统计信息。
· 一小时:选择后界面将直接显示当前时刻之前的一个小时内的统计信息。
· 一天:选择后界面将直接当前时刻之前24小时的统计信息。
· 一个月:选择后界面将直接当前时刻之前一个月的统计信息。
管理员可以在此处查看日志中记录的关于Web服务器受到的攻击防护的统计信息。选择 状态监控 > Web安全,在下级菜单下管理员可以查看到详尽的统计信息,包括如下内容:
· 攻击统计:显示区域时间内设备拦截的攻击数以及攻击类别和源排名等信息。
· 会话信息:页面显示过去单位时间内通过设备的HTTP会话并行和新建详细统计信息。
· Web威胁:显示挂马、Web shell、信息泄漏等安全时间的统计。
· Web缓存:管理员在此可以实时监控被保护的服务器上所有被监控的文件类型。
· 实时监测:显示当前实时发生的日志。
选择菜单Web安全 > 攻击统计,页面显示过去一小时内设备所检测的的威胁风险。如下图所示。
图4-4 Web攻击统计
界面上方显示了当前1小时的连接数及安全WAF设备拦截的针对Web服务器的攻击及病毒数量。
攻击地图通过用户手工输入本地公网IP地址定位安全网关的位置后,查询1小时内的攻击统计,在地图中标注出威胁的源地址。
下方通过填充线形图展示出一小时内发生的攻击次数,帮助管理员了解网络威胁风险发生的高峰时间。
右侧通过柱状图显示1小时内攻击类型和攻击源地址的top10。
管理员可以在“时间间隔”处选择显示的统计数据时间间隔:可选项及含义分别为:
· 5分钟:选择后界面将直接显示当前时刻之前5分钟的统计信息。
· 一小时:选择后界面将直接显示当前时刻之前的一个小时内的统计信息。
· 一天:选择后界面将直接当前时刻之前24小时的统计信息。
· 七天:选择后界面将直接当前时刻之前7天的统计信息,
攻击地图中,默认显示的被攻击IP所属地区为北京市,在输入框中输入某个IP,如真实服务器的IP,则被攻击IP所属地区会定位到该输入IP的所属地。
选择菜单 Web安全 > 会话信息,页面显示过去1小时内通过设备的HTTP会话并行和新建详细统计信息。如下图所示。
图4-5 Web会话信息
管理员可以在“时间间隔”处选择显示的统计数据时间间隔:可选项及含义分别为:
· 5分钟:选择后界面将直接显示当前时刻之前5分钟的统计信息,
· 一小时:选择后界面将直接显示当前时刻之前的一个小时内的统计信息,
· 一天:选择后界面将直接当前时刻之前24小时的统计信息,
· 七天:选择后界面将直接当前时刻之前7天的统计信息,
选择菜单Web安全 > Web威胁可查看对WAF保护的网站进行挂马监测、Web SHELL监测及信息泄露监测的结果。如下图所示。
图4-6 Web威胁
“信息泄露监测”统计的是WEB安全策略中“数据防泄漏”相应的攻击信息。
管理员在此可以实时监控被保护的服务器上所有被监控的文件类型是否被篡改,还可以分别将设备缓存的文件、最近一个检查周期获取的服务器文件下载到管理员主机上。如果管理员可以判断被篡改文件是合法修改的,可以通过执行同步来更新缓存中的文件,使得用户能够访问最新的文件。
(1) 选择 Web安全 > Web缓存,管理员可以查看到所有缓存文件的记录。红色背景显示的记录表示缓存文件的修改时间与设备最新获取的服务器文件的修改时间不一致,提示该页面可能已被篡改。
图4-7 Web缓存
如果显示的信息中有乱码信息,可以尝试点击“启动编码自动转换”,如果还有乱码,可以在浏览器的菜单栏中选择 查看 > 编码,选择合适的编码信息。
“总页数”处显示当前信息的总共页数,“页号”显示当前为第几页。管理员可以点击翻页按钮进行查看,也可以在“页号”处输入页码,点击“翻到”可以直接跳转至指定的页面。
(2) 配置Web缓存,在“缓存检查周期”处设置系统每隔多长时间对缓存进行一次检查。在“缓存文件可用磁盘空间大小”处设置系统预留给Web缓存的磁盘空间大小,单位为GB,可设置范围为1-50。
(3) 查询监控信息,管理员可以在上方“URL”处输入一个或多个查询条件,并选择“搜索”,点击“运行”按钮查询符合条件的监控信息。
(4) 和最新获取的服务器文件同步,如果管理员可以判断被篡改文件是合法修改的,则可以通过执行同步,将设备缓存中的Web页面替换为最近一个检查周期获取的服务器页面。在“URL”处输入查询条件,然后选择“同步服务器”,之后点击“运行”按钮则会用设备最近一个检查周期获取的服务器文件替换设备缓存中的文件。如果直接选择“篡改内容”并选择“同步服务器”,之后点击“运行”按钮则会用对应的服务器文件替换所有被篡改的文件。同步成功会弹出下图所示的提示框。
图4-8 同步弹窗提示
(5) 清除缓存信息,如果管理员删除了Web server上的某些页面,网站管理员就需要做清除缓存的操作,以便和服务器保持一致。输入查询条件,下拉菜单选择“清除缓存”,可以将WAF设备的缓存中保存的符合条件的Web页面删除。
(6) 下载缓存文件,点击某一条监控记录的“缓存文件”一栏对应的URL链接,可以将WAF设备上缓存的Web页面保存至管理员PC上。
(7) 下载服务器文件,点击“服务器文件”一栏对应的URL链接,可以将WAF设备在最近一个检查周期获取的Web服务器的文件保存至管理员PC上。
反向代理模式下,WAF按周期检查服务器缓存文件时,会产生客户端IP为代理IP的访问日志,并且如果开启了自学习,也会学习到这些流量的信息
选择菜单Web安全 > 实时监测可查看到当前1小时内最新的25条日志,方便在发生误判或攻击时,及时定位问题。界面如下
图4-9 Web实时监测
WAF集成了入侵检测引擎,在保护Web服务器群组的同时也可以防护用户主机,使得部署位置更灵活,防护功能更强大。
管理员可以在此处查看日志中记录的关于入侵防护引擎检测到的的统计信息。选择 状态监控 > 入侵防护,在下级菜单下管理员可以查看到详尽的统计信息,包括如下内容:
· 基本概况:显示区域时间内设备拦截的攻击数以及攻击类别和源目的排名等信息。
· 实时监控:显示当前实时发生的日志。
选择菜单入侵防护 > 攻击统计,页面显示过去一小时内设备所检测的的威胁风险。如下图所示。
图4-10 入侵基本概况
界面上方显示了当前1小时的内所检测到的事件,拦截的威胁及触发风险最高的内网主机
攻击地图通过用户手工输入本地公网IP地址定位安全网关的位置后,查询1小时内的攻击统计,在地图中标注出威胁的源地址
下方通过填充线形图展示出一小时内发生的攻击次数,帮助管理员了解网络威胁风险发生的高峰时间。
右侧通过柱状图显示1小时内攻击源和目的地址的top10。
管理员可以在“时间间隔”处选择显示的统计数据时间间隔:可选项及含义分别为:
· 5分钟:选择后界面将直接显示当前时刻之前5分钟的统计信息。
· 一小时:选择后界面将直接显示当前时刻之前的一个小时内的统计信息。
· 一天:选择后界面将直接当前时刻之前24小时的统计信息。
· 七天:选择后界面将直接当前时刻之前7天的统计信息。
攻击地图中,默认显示的被攻击IP所属地区为北京市,在输入框中输入某个IP,如真实服务器的IP,则被攻击IP所属地区会定位到该输入IP的所属地。
选择菜单入侵防御 > 实时监测可查看到当前1小时内最新的25条日志,方便在发生误判或攻击时,及时定位问题。界面如下。
图4-11 入侵实时监控
选择菜单 系统监控 >流量统计,页面显示过去1小时内通过设备的HTTP和HTTPS协议的连接会话以及网络使用情况的详细统计信息。如下图所示。
图4-12 流量统计
上方的图表显示排列在前两位的服务器或者域名的流量统计信息。
管理员可以在“时间间隔”处选择显示的统计数据时间间隔:可选项及含义分别为:
· 5分钟:选择后界面将直接显示当前时刻之前的5分钟内的统计信息。
· 一小时:选择后界面将直接显示当前时刻之前的一个小时内的统计信息。
· 1天:选择后界面将直接显示当天00:01到此刻的统计信息。
· 7天:选择后界面将直接显示当前时刻之前七天内的统计信息。
在“统计方式”处可以选择“按照服务器统计”或者“按照域名统计”,并在右侧的下拉列表框选择具体的服务器IP或者域名,然后点击“刷新”按钮可以在页面上得到最新的系统统计信息。
当前,流量统计中的访问数是基于访问日志统计的,因此需要启用“WEB安全策略”中的“记录WEB访问日志”,保证有访问日志产生后此处才会有统计数据(注:“记录WEB访问日志”开启后,对所有正常流量都会记录访问日志,若业务流量较大,日志可能会在短时间内占用较多资源,需谨慎考虑开启该功能)。
本章介绍制定Web服务器的防护策略。首选需要定义安全策略,设置需要检测的攻击类型以及具体的检测参数,然后引用策略添加需要保护的服务器组,即对一组Web服务器的安全保护策略,通过在策略中需要定义受保护的Web服务器群组,并引用适当的安全策略,从而实现对不同服务器可定制不同的保护策略。
本章内容包括:
· 策略引用:引用WAF和IPS的策略,设置受保护服务器组。
· Web安全策略:配置Web应用安全策略。
· 入侵防护策略:配置入侵防护相关策略。
· Web漏洞扫描:管理员可以制定扫描任务,系统就会根据配置进行扫描,并生成扫描报告。扫描报告支持管理员在线查看、导出、订阅。
· 自学习:配置如何启用或禁用自学习模式,如何进行相关的配置,以及查看自学习的结果。
· 防DDOS/CC攻击:配置是否启用HTTP请求限制、TCP包攻击检测、UDP包攻击检测和ICMP包攻击检测。
· 全局黑白名单:配置对Web服务器IP访问进行限制。
· 动态攻击黑名单:配置主要对具有疑似攻击行为的IP进行二次的评定。
· Web shell监测:配置是否检查服务器中被植入了Web shell代码。
点击安全策略 > 策略引用进入界面,该界面用于应用配置完成的Web应用安全策略及入侵防御策略,界面如下:
管理员可以添加、修改和删除规则引用,具体步骤为:
(1) 添加规则,点击“添加”按钮,会自动出现一条规则,管理员需要为该条规则选择上联接口(非信任接口)和IPS与WAF策略,且点击服务器安全组下方的图标添加需要防护的服务器列表。
(2) 编辑服务器群组,在“服务器列表”处配置需要受保护的Web服务器和FTP服务器的IP地址及子网掩码,以及服务器使用的协议类型及端口号。如下图所示。
在“IP/掩码”处设置Web服务器或FTP服务器的IP地址及其子网掩码(支持IPV4和IPV6格式的地址),并选择服务器需要进行检测的协议,及其使用的端口号,然后点击“添加”按钮即可。
点击“删除”下的按钮一栏对应的按钮可以删除该表项。
当Web服务器上存在虚拟主机时,需要在“虚拟主机域名列表”处设定保护的Web服务器的IP地址、域名、协议及端口号之间的对应关系。如下图所示。
在“IP/掩码”处设置Web服务器的IP地址及其子网掩码,支持IPV4和IPV6格式的地址,在“域名”处输入Web服务器的域名,并在“协议端口”处选择Web服务器使用的协议及其端口号,然后点击“添加”按钮即可。
注:编辑完服务器安全组后,需要点击此页面下方的“应用”按钮才嫩生效。
(3) 启用安全规则,点击操作中的“
”启动该条规则,点击“
”暂停该条规则。
当前,流量如果从上联接口进入WAF,会进行规则检测,之后会从上往下匹配服务器安全组,匹配上后则按照该条策略引用中设置的入侵防护策略和WEB安全策略进行检测。
Web安全策略用于设置一系列安全配置文件,在不同的文件中可以设置不同的检测策略:可以检测不同的攻击类型,并对每一种攻击类型设置不同的检测参数。然后在不同的规则中引用不同的安全策略,从而对不同的服务器组提供不同的安全保护方案。
WAF策略中提供基本特征库的详细配置及一系列安全配置文件,管理员可以自定义开或关闭需要的策略。
(1) 添加Web安全策略,点击“添加”按钮弹出添加界面,如下图所示。
系统默认自带一条名称为default的安全策略,管理员可以选择复制该条策略或者新建一条新的策略,完成后点击应用。在WEB安全策略增加了一条default-profile-view默认安全策略,该策略选项动作全部为仅记录日志,不进行阻断;该策略用于用户初次上线,只检测不阻断的工作方式,待运行一段时间后,基于日志分析启用安全策略;该策略可以在策略引用中进行引用操作。
(2) 删除Web安全策略,点击操作中的“
”删除当前选中策略
WAF内置了9种类别400多条的基本特征,管理员可针对这些特征条目进行启用/不启用,转发阻断等一系列操作。
表5-1 WAF特征库操作说明
|
参数 |
说明 |
|
过滤显示 |
输入过滤条件显示需要查看的特征条目。 |
|
动作 |
分为阻断、放行、告警或重定向。 |
|
日志 |
记录、不记录。 |
|
操作 |
左边操作按钮为为该条特征添加例外主机,点击跳转到“添加例外”界面,右边按钮为查看描述,点击查看该条特征的详细描述。 |
WAF设备可以对Web服务器提供如下保护:
· 记录web访问日志。
· 访问合规:禁止用户直接在浏览器输入URL访问指定的URL页面,限制用户只能通过指定的入口浏览页面。
· 防盗链:禁止其他网站盗用本网站的链接,这样一方面可以避免对原网站利益的损害,也可以减轻服务器的负担。
· 参数防护:对指定的URL参数或POST表单参数的长度和内容进行校验,检验其长度和数据类型是否符合设定的参数,如果不符合,WAF将会按照管理员设置的动作对连接进行处理。
· 启用暴力破解攻击/扫号攻击检查:根据配置预防弱口令攻击。
· 启用Web数据库错误信息检查。
· 启用Web目录内容泄露检查。
· 启用Web程序代码泄露检查。
· 启用数据防泄漏检查:利用正则表达式定义数据类型关键字,检查Web服务器返回的Response报文中是否包含指定的数据类型,如果包含,并且出现的次数超过了设定的数值,则WAF将根据设定的动作对连接进行处理,以防止信息的泄露。
· 启用Webshell侦测,检测Web服务器是否被植入了Webshell攻击代码。
· 危险文件类型上传下载检查:对从服务器下载的或向服务器上传的文件类型做检测,如果下载的文件的扩展名是在禁止下载的危险文件类型列表中的,则用户无法从Web服务器下载或上传该文件。
· 启用溢出检查
· CSRF检查:检查用户的POST表单中的URL是否与referer一致。
· 启用HTTP协议检查:对向Web服务器上传的HTTP请求中的参数的大小和格式进行检查,只有当提交的参数符合要求时才允许建立连接,否则如果动作为“阻止”时,WAF将阻断连接。
· 启用IIS短文件,文件夹防泄露
· 禁用词过滤:对于向Web服务器提交的URL、URL参数,可以进行禁用词过滤,预防潜在危险。
· 启用敏感词过滤
· 启用HTTP请求方法限制:禁止客户端向Web服务器发送某些请求方法,以保证Web服务器的安全。
· 网络爬虫防护:通过识别爬虫的User-Agent信息来识别不同的爬虫,进而对爬虫程序进行控制,即可有效地防止服务器被恶意爬虫爬取大量的网站页面而影响性能。、
· 启用静态Web缓存功能后能够有效地防止静态页面被篡改。
开启“记录WEB访问日志”后,会记录所有正常访问流量的日志信息,如果流量较大,会产生大量日志信息。因此,如果不是必须需要访问日志信息的情况下,建议一般不要长期开启该功能。
点击WAF策略 > 协议安全界面如下:
各个检查项的检查内容说明如下表
表5-2 协议安全功能说明
|
参数 |
说明 |
|
记录Web访问日志 |
设置是否在访问日志中记录所有Web访问的情况。 |
|
访问合规 |
WAF能够配置禁止用户直接在浏览器输入URL访问指定的URL页面,限制用户只能通过指定的入口浏览页面。 |
|
启用防盗链 |
通过检测HTTP协议的表头字段HTTP Referer,来检测访问目标网页的来源网页,当来源网站不是管理员指定的入口时,系统将认为是盗链,将根据管理员设定的动作对访问进行处理。 |
|
启用参数防护 |
对指定的URL参数或POST表单参数的长度和内容进行校验,检验其长度和数据类型是否符合设定的参数,如果不符合,WAF将会按照管理员设置的动作对连接进行处理。 |
|
暴力破解攻击/扫号攻击检查 |
检查客户向Web服务器提交的表单名是否匹配表单列表,匹配时再检查表单的内容是否匹配内置的弱口令列表,以及对扫号攻击行为进行检查。 |
|
数据库错误信息检查 |
检查Web服务器返回的错误信息。当数据库返回码为500时,在响应体的最后1024个字节中搜索关键字,匹配上关键字后,执行用户定义的动作。 |
|
Web目录内容泄露检查 |
检查服务器返回的信息中是否显示目录的信息,如果显示,则WAF设备可以屏蔽目录信息。 |
|
Web程序代码泄露检查 |
检查Web服务器是否存在程序代码泄露问题,如果存在,则WAF设备可以屏蔽泄露的代码信息。 |
|
数据防泄漏检查 |
对Web服务器返回的Response报文进行扫描,来防止信息的泄露。 |
|
启用Webshell侦测 |
检测Web服务器是否被植入了Webshell。 |
|
危险文件类型下载检查 |
检查从服务器下载的文件类型,如果下载的文件的扩展名是在禁止下载的危险文件类型列表中的,则用户无法从Web服务器下载该文件。 |
|
危险文件类型上传检查 |
检查上传到Web服务器的文件类型,如果上传的文件的扩展名是在禁止上传的危险文件类型列表中的,则用户无法将该类型的文件上传到Web服务器。 |
|
溢出检查 |
检查客户端向服务器提交的request信息中的URL和表单信息大小是否在设定范围内,如果这些值超过了设置的阙值,就被检测为溢出。 |
|
CSRF检查 |
可以采用两种策略来防御CSRF攻击:(1)验证HTTP Referer字段,(2)在请求地址中添加token并验证。 |
|
HTTP协议检查 |
对向Web服务器上传的HTTP请求中的参数的大小和格式进行检查,只有当提交的参数符合要求时才允许建立连接,否则如果动作为“阻止”时WAF将阻断连接。 |
|
IIS短文件,文件夹防泄露 |
启动后,可以防护IIS短文件,文件夹,阻断攻击者对网络服务器根目录中的文件进行枚举。 |
|
禁用词过滤 |
启用后,可以配置禁用词的过滤的适用对象。也可以对上述所有的对象做禁用词的检查. |
|
敏感词过滤 |
启动后,可以配置敏感词应用域以及对敏感词匹配的精度,同时也可以对敏感词进行查询、导入以及模板导出。 |
|
HTTP请求方法控制 |
配置客户端向Web服务器提出请求时允许使用的HTTP请求方法。 |
|
网络爬虫防护 |
通过识别爬虫的User-Agent信息来识别不同的爬虫,进而对爬虫程序进行控制,即可有效地防止服务器被恶意爬虫爬取大量的网站页面而影响性能。 |
|
扫描保护 |
启动后,可以对扫描攻击进行防护,以及可以配置识别阀值。 |
|
静态Web缓存 |
配置是否启用静态Web缓存功能,缓存指定类型的页面。缓存后,如果启用了静态页面防篡改功能,就可以检查Web服务器上的页面是否被篡改。(防篡改功能仅在反向代理模式下生效) |
· 设置访问合规
访问合规是指禁止用户直接从浏览器输入地址(例如URL拷贝)进行访问。因为网站中总会有一些文件是希望用户能够登陆后再通过连接访问的,而不是直接在浏览器中输入地址或通过工具来进行下载。WAF能够配置禁止用户直接在浏览器输入URL访问指定的URL页面,限制用户只能通过指定的入口浏览页面。在安全策略中的具体设置如下图所示:
(1) 勾选“启用禁止直接访问”即可启用禁止直接访问功能。
(2) 在策略编辑页面点击“配置”按钮,可以配置具体的检测规则。界面如下图所示。
上方为添加规则界面,下方的列表中显示已经添加的规则。当规则不止一页时,管理员可以点击翻页按钮逐页查看,或直接输入指定的页码,直接点击“翻页”按钮跳转至指定的页面。
(3) 添加安全策略
上图中输入相应的参数,然后点击“添加”按钮即可。
参数说明如下表所示。
表5-3 禁止直接访问参数说明
|
参数 |
说明 |
|
名称 |
设置规则的名称。 |
|
域名 |
设置被保护的主机的域名。 |
|
访问入口 |
设置允许用户直接访问的URL。 |
|
启用,允许一些URL直接访问 |
启用后,可以在文本框中设置例外的URL,即指定路径的资源在浏览器中允许被直接访问。 |
|
启用,允许以下文件类型直接访问 |
启用后,可以在下面选择例外的文件类型,即指定类型的网页允许直接访问。 |
|
动作 |
设置检测到直接访问后系统将采取的动作。可选项为“告警并记日志”和“告警但不记日志”,不管选择哪个,当客户端访问了被保护的禁止直接访问的域名下面的网页时,WAF将向客户端显示报警页面。当选择的动作为“告警并记日志”时,还可以在Web安全日志中查看到类型为“ Direct Access Web Server”的日志。 |
|
告警页面 |
设置向客户端反馈的告警页面的内容及显示的格式、字体等。 |
|
是否启用 |
设置该规则是否生效。只有勾选该选项时规则生效。 |
(4) 删除规则,选择一个或多个规则,点击“删除”按钮,并在弹出的确认框中点击“是”后即可删除指定的规则。
(5) 编辑规则,选择一个规则,点击“编辑”按钮,即可修改指定参数,修改后点击“应用”按钮保存修改即可。
(6) 启用或禁用规则,管理员可以直接在列表中的“是否启用”一列启用或禁用规则,只有启用的规则才会生效。
· 设置访问合规-“逐级访问”
“逐级访问”是指让用户需要满足所有逐级访问路径要求,才能达到最终访问目的的限制功能,在安全策略中的具体设置如下图所示。
图5-10 勾选访问合规
(1) 勾选“访问合规”启用父类功能,点击<选项>按钮进入规则细节配置。
(2) 在策略编辑页面点击<逐级访问>按钮,进行“逐级访问”规则具体细节配置。
图5-11 配置逐级访问
上方为添加规则界面,下方的列表中显示已经添加的规则。当规则不止一页时,管理员可以点击翻页按钮逐页查看,或直接输入指定的页码,直接点击<翻到 >按钮跳转至指定的页面。
(3) 添加安全策略
上图中输入相应的参数,然后点击<添加>按钮即可。
参数说明如下表所示。
表5-4 逐级访问参数说明
|
参数 |
说明 |
|
名称 |
设置规则的名称。 |
|
域名 |
设置被保护的主机的域名。 |
|
下级目录1 |
第一级访问路径目录。 |
|
下级目录2 |
第二级访问路径目录。 |
|
下级目录3 |
第三级访问路径目录。 |
|
下级目录4 |
第四级访问路径目录。 |
|
下级目录5 |
第五级访问路径目录。 |
|
协议 |
选择域名所适配的协议,非加密格式的HTTP协议或加密格式的HTTPS协议 |
|
告警页面 |
按照HTML及既定的格式输入违规后产生的告警页面内容 |
|
是否启用 |
是否启用合规访问中的逐级访问子模块 |
(4) 删除规则,选择一个或多个规则,点击<删除>按钮,并在弹出的确认框中点击“是”后即可删除指定的规则。
(5) 编辑规则,选择一个规则,点击<编辑>按钮,即可修改指定参数,修改后点击<应用>按钮保存修改即可。
(6) 启用或禁用规则,管理员可以直接在列表中的“是否启用”一列启用或禁用规则,只有启用的规则才会生效。
· 设置防盗链
防盗链也就是禁止其他网站盗用本网站的链接,这样一方面可以避免对原网站利益的损害,也可以减轻服务器的负担。WAF通过检测HTTP协议的表头字段HTTP Referer,来检测访问目标网页的来源网页,当来源网站不是管理员指定的入口时,系统将认为是盗链,将根据管理员设定的动作对访问进行处理。
在安全策略中的具体设置如下图所示:
(1) 勾选“启用防盗链”即可启用防盗链功能。
(2) 在URL安全策略的编辑页面点击“配置”按钮配置防盗链检测规则,界面如下图所示。
上方为添加规则界面,下方的列表中显示已经添加的规则。当规则不止一页时,管理员可以点击翻页按钮逐页查看,或直接输入指定的页码,直接点击“翻页”按钮跳转至指定的页面。
(3) 添加规则,在上图中输入相应的参数,然后点击“添加”按钮即可。
参数说明如下表所示。
表5-5 防盗链参数说明
|
参数 |
说明 |
|
名称 |
设置规则的名称。 |
|
防盗链域名 |
设置被保护的域名。 |
|
防盗链URLs |
设置防止盗链的URL,字符串格式为“/…..”,可以在多文本框中设置多个URL。 |
|
启用,允许以下站点盗链 |
启用后,可以在文本框中设置例外的URL,即允许此处设置的站点盗用“防盗链URL”处设置的URL。 |
|
启用,以下文件类型允许被盗链 |
启用后,可以在下面选择例外的文件类型,即指定类型的网页允许被盗链。 |
|
动作 |
设置检测到盗链后系统将采取的动作。可选项为“仅阻止”、“仅记日志”、“阻止并记日志”、“告警、重定向”和“告警、重定向并记日志”。 说明: 当动作包含“阻止”时,系统将阻止相应链接。当选择的动作中包含“记日志”时,管理员还可以在Web安全日志中查看到类型为“Antileech”的日志。当选择的动作中包含“告警”时,WAF将向客户端显示设置的报警页面。动作中包含“重定向”时,系统将访问的链接重新定向到“重定向URL”处设置的页面。 |
|
告警页面 |
设置向客户端反馈的告警页面的内容及显示的格式、字体等。 |
|
重定向URL |
设置当设定的“动作”中包含“重定向”时,系统将访问的链接重新定向到此处设置的页面。 |
|
是否启用 |
设置该规则略是否生效。只有勾选该选项时规则生效。 |
(4) 删除规则,选择一个或多个规则,点击“删除”按钮,并在弹出的确认框中点击“是”后即可删除指定的规则。
(5) 编辑规则,选择一个规则,点击“编辑”按钮,即可修改指定参数,修改后点击“应用”按钮保存修改即可。
(6) 启用或禁用规则,管理员可以直接在列表中的“是否启用”一列启用或禁用规则,只有启用的规则才会生效。
“允许以下站点盗链”默认为启用,若不能输入盗链类容,可先去勾选,再次勾选使用
· 设置参数防护
WAF可以对指定的URL参数或POST表单参数的长度和内容进行校验,检验其长度和数据类型是否符合设定的参数,如果不符合,WAF将会按照管理员设置的动作对连接进行处理。
在安全策略中的具体设置如下图所示:
(1) 勾选“启用参数防护”即可启用该功能。
(2) 在策略编辑页面点击“配置”按钮,可以配置具体的参数防护规则。界面如下图所示。
上方为添加规则界面,下方的列表中显示已经添加的规则。当规则不止一页时,管理员可以点击翻页按钮逐页查看,或直接输入指定的页码,直接点击“翻页”按钮跳转至指定的页面。
(3) 添加规则并设置具体参数,在上图中输入相应的参数,然后点击“添加”按钮即可。
参数说明如下表所示。
表5-6 参数防护列表说明
|
参数 |
说明 |
|
名称 |
设置规则的名称。 |
|
域名 |
设置被保护的Web服务器的域名。 |
|
URL |
设置主机上的目录或文件夹的地址,必须以“/”开头。 说明: 应当设置URL中域名后面的“/”到“?”之间的内容。 |
|
动作 |
设置检测到参数不符合设置的条件后,系统将采取的动作。可选项为“仅阻止”、“仅记日志”、“阻止并记日志”。 说明: 当动作包含“阻止”时,系统将阻止相应链接。当选择的动作中包含“记日志”时,管理员还可以在Web安全日志中查看到类型为“Invalid Parameter Data”的日志。 |
|
启用 |
设置该规则是否生效。只有勾选该选项时规则生效。 |
(4) 设置需要保护的参数,选择一个规则,点击“编辑”按钮,进入参数设置界面。管理员可以在此对需要检测的参数进行配置,界面如下图所示。
点击“添加参数”按钮,进入参数添加界面,如下图所示。
参数说明如下表所示:
表5-7 添加参数参数说明
|
参数 |
说明 |
|
参数名称 |
设置需要检测的参数的名称。 |
|
是否必须 |
设置是否必须检查该参数。 说明: 1)勾选时表示该参数必须存在,否则将认为校验失败,系统将按照规则设定的动作对请求进行处理。 2)如果不勾选该参数,则即使请求的参数中不包含该参数,也认为校验成功。如果包含该参数时,则仍需对参数进行检验。 |
|
最大长度 |
设置参数内容允许的最大长度,大于此处设定的值时,系统将认为校验失败,系统将按照规则设定的动作对请求进行处理。 |
|
启用类型检查 |
是否对参数的类型进行检查。 说明: 1)仅当参数的长度符合要求时才进行参数类型检查。 2)只有当这两项都通过校验时才认为校验成功,否则将认为校验失败,系统将按照规则设定的动作对请求进行处理。 |
|
数据类型 |
选择参数类型,管理员可以根据需要定义新的数据类型。 |
|
数据类型定义(PCRE) |
输入数据类型检测的正则表达式。 |
输入参数后,点击“添加”按钮即可添加新的参数。
(5) 删除规则,选择一个或多个规则,点击“删除”按钮,并在弹出的确认框中点击“是”后即可删除指定的规则。
(6) 编辑规则,选择一个规则,点击“编辑”按钮,即可修改指定参数,修改后点击“应用”按钮保存修改即可。
(7) 启用或禁用规则,管理员可以直接在列表中的“是否启用”一列启用或禁用规则,只有启用的规则才会生效。
· 设置暴力破解/扫号攻击
暴力破解是攻击者通过用户的弱密码进行逐一尝试进行扫描的一种攻击行为,弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险。同时,包括使用个人手机号码、生日等为密码信息,也极易被熟知自己情况的黑客猜到,从而轻松入侵本机,实现远程控制和窃取相关机密。在WAF设备中,系统内置了152个常见的弱口令,管理员可查看系统内置的弱口令,也可以根据自身环境要求添加新的弱口令。
设备可以设置是否对用户访问Web服务器的登录口令进行弱口令检查。如果用户的登录时口令输入的表单名称匹配“口令名称”中的一项,则将根据系统内置以及用户自定义的弱口令表检查用户输入的口令,如果口令为弱口令,WAF将根据管理员设置的“动作”对连接进行处理。
在URL安全策略中的具体设置界面如下图:
(1) 管理员可以启用或禁用弱口令攻击检查功能,并在“动作”处设置系统检测到弱口令时将采取的动作。可选项为:“仅记录日志”、“仅阻止”、“阻止并记录日志” 或“仅警告”。当选择的动作中包含”阻止”时,则系统将阻断用户和服务器的连接。当选择的动作中包含“记录日志”时,将在日志中记录相应的访问情况。
(2) 配置进行弱口令检查的表单名称,点击“口令名称”,可以配置弱口令的字段名称的列表。界面如下图。
界面中包括系统内置的表单名称列表和管理员手工添加的表单名称关键字。
在“口令字段名称”右侧输入需要检查的口令字段,点击“添加”按钮即可加入到列表中。
管理员可以在“启用”一栏启用或禁用口令表单,只有启用的口令表单才会被系统过滤。
选择一个或多个自定义口令字段,点击“删除”按钮即可删除相应字段。内置的口令字段管理员无法删除。
(3) 配置弱口令列表,点击“口令字典”,管理员可以通过点击“导出”,下载内置的弱口令,查看系统内置的弱口令列表,也可以自定义新的弱口令。
(4) 添加弱口令关键字,在“弱口令字符串”右侧输入弱口令关键字,弱口令字符串最长为32个字符,支持字母、数字、符号。然后点击“添加”按钮即可加入到列表中。
(5) 删除弱口令关键字,选择一个或多个自定义的关键字,点击“删除”按钮即可。内置的弱口令管理员无法删除。
(6) 导入关键字,系统提供批量导入弱口令功能,用户可以按系统提供的导入模板构造导入文件。点击“导入”按钮,选择文件名即可完成导入。导入时系统将自动跳过重复的关键字,不重复的直接添加到列表中。
(7) 导出关键字,点击“导出”按钮,管理员可以将所有弱口令导出到文本文件中,默认文件名称为URL安全策略的名称,文件后缀为txt。
· 检查数据库错误信息
当Web应用程序发生错误时,如果处理不得当,可能会把相关的错误信息反馈至客户浏览器。这些信息往往可能含有重要的安全信息。高明的入侵者会尽可能的使其在页面浏览或提交时,使用不正当的数据或方法,以此期望页面产生错误回馈,从而利用这些信息完成入侵。
WAF设备能够对Web服务器返回的错误信息进行检查。当系统检测到数据库返回的错误信息时,则屏蔽该错误信息,从而有效地避免此类安全漏洞。
在安全策略中的相关设置为:
勾选“启用数据库错误信息检查”后,WAF设备将对Web服务器返回的错误信息进行检查,并根据“动作”处的设置对错误信息进行处理,可选项为:“仅记录日志”、“仅阻止”或“阻止并记录日志”。当选择的动作中包含“阻止”时,则用户和服务器的连接将被阻断。当选择的动作中包含“记录日志”时,将在日志中记录相应的访问情况。
· 检查Web目录内容泄露
如果Web服务器设置不当,会在返回的信息中显示Web目录的信息,远程用户就可能查看整个根目录结构以及所有子目录,给Web服务器造成巨大的安全隐患。这种情况下在WAF中启用“Web目录内容泄露检查”,可以将服务器返回的目录信息屏蔽掉。
在URL安全策略中的设置界面如下图。
勾选“启用Web目录内容泄露检查”后,WAF设备将对Web服务器返回的信息进行检查,并根据“动作”处的设置对HTTP连接进行处理,可选项为:“仅记录日志”、“仅阻止”或“阻止并记录日志”。当选择的动作中包含“阻止”时,则系统将自动屏蔽服务器的目录信息,用户和服务器的连接将被阻断。当选择的动作中包含“记录日志”时,将在日志中记录相应的访问情况。
· 检查Web程序代码泄露
诸多原因都容易导致Web服务器的程序代码泄露,WAF能够有效地进行Web程序代码泄露检查,杜绝由此造成的敏感信息泄露。
在URL安全策略中的设置界面如下图。
勾选“启用Web程序代码泄露检查”后,WAF设备将对Web服务器返回的信息进行检查,并根据“动作”处的设置对连接进行处理,可选项为:“仅记录日志”、“仅阻止”或“阻止并记录日志”。当选择的动作中包含“阻止”时,则系统将自动屏蔽服务器的程序代码信息,并阻断用户和服务器的连接。当选择的动作中包含“记录日志”时,将在日志中记录相应的访问情况。
· 数据防泄露检查
WAF能够进行Web服务器返回的数据进行防泄漏检查。通过利用正则表达式定义数据类型关键字,对Web服务器返回的Response报文进行检查,检查其中是否包含指定的数据类型,如果包含,并且出现的次数超过了设定的数值,则WAF将根据设定的动作对连接进行处理,以防止信息的泄露。
在URL安全策略中的设置界面如下图。
(1) 勾选“启用数据防泄漏”即可启用数据防泄漏检查功能,启用后,WAF设备将根据点击“高级选项”设置的数据类型,对从Web服务器返回的Response报文进行检查,匹配数据类型的设置时,系统将根据“动作”处的设置对连接进行处理,可选项为:“仅记录日志”、“仅阻止”或“阻止并记录日志”。当选择的动作中包含“阻止”时,则系统将阻断用户和服务器的连接。当选择的动作中包含“记录日志”时,将在日志中记录相应的访问情况。
(2) 点击“选项”按钮设置需要检查的数据类型。
(3) 添加数据类型
设置上图界面中的参数,参数说明如下表所示:
|
参数 |
说明 |
|
数据类型 |
设置数据类型的名称,管理员可以选择预定义的数据类型(Email,CN_Phone_Number或CN_ID_Number),或者添加新的数据类型。 |
|
数据类型定义 |
显示预定义数据类型的正则表达式,或输入新增数据类型对应的正则表达式。 |
|
至少匹配次数 |
如果匹配到正则表达式的次数小于该处设定的数值,用户正常访问。 如果匹配次数大于该处设定的数值,则系统将按照“动作”处设置的动作,对用户的访问进行处理: 如果设置的动作为“阻止”或者“阻止并记录日志”,WAF设备将禁止用户访问。如果设置的动作中包含“记日志”,则系统还将在Web安全日志中记录该访问。 |
|
启用 |
是否启用该关键字,只有启用后的关键字才能发挥作用。 |
设置完成后,点击“添加”按钮即可。
每一种数据类型只能有一个,如果新添加的数据类型与已有的数据类型同类(例如都是“Email”),则新增的数据类型将覆盖已有的同类数据类型的设置,从而实现数据类型参数的更改。
(4) 删除数据类型,选择一个或多个数据类型,点击“删除”按钮,在弹出的窗口中确认后即可删除该数据类型。
(5) 启用或禁用某数据类型,点击“启用”一栏,可以启用或禁用某数据类型,只有处于勾选使其为“启用”状态时,WAF才对Web服务器返回的该类型数据进行过滤。
· 启用Webshell侦测
WAF可以针对HTTP协议的请求及响应过程进行Webshell的侦测发现,启用该功能后,WAF将会对HTTP请求及HTTP响应分别进行hash表及响应内容检测,响应内容检测用来判断服务器是否已经被进行了Webshell的上传,如果响应内容与Webshell检测库匹配,则被视为被上传了Webshell,并将该URL与端口号进行hash记录,如果下次有请求匹配了该hash表,则标识有人正在利用该Webshell,从而进行HTTP协议双方向上的Webshell调用拦截。
在URL安全策略中的设置界面如下图。
图5-26 勾选启用Webshell侦测
在“动作”处设置检查到溢出时采取的动作。动作可选项为:
· 仅阻止:阻止HTTP连接请求。
· 仅记日志:只是记录日志,不阻止连接请求。
· 阻止并记日志:阻止连接请求,并在日志中记录信息。
· 告警或重定向:将阻止后的动作变为替换告警内容页面或替换告警内容为重定向到某个设定的URL地址。
服务器上除了存放网页资源外,还可能存在其他资料。也就是说服务器上可能会存储到所有类型的文件,此时如果权限配置不当,服务器上的隐私资料就会暴露给非法用户,为他们入侵系统提供了可能。通过文件类型过滤可以在一定程度上防止隐私资料泄露,保护服务器资源。
WAF可以对从服务器下载的文件类型做检测,如果下载的文件的扩展名是在禁止下载的危险文件类型列表中的,则用户无法从Web服务器下载该文件。
在URL安全策略中的设置界面如下图。
(1) 勾选“启用危险文件类型下载检查”后,WAF设备将根据“与下载相关的危险文件类型表”,对从Web服务器下载的文件进行检查,并根据“动作”处的设置对连接进行处理,可选项为:“仅记录日志”、“仅阻止”或“阻止并记录日志”。当选择的动作中包含“阻止”时,则系统将阻断用户和服务器的连接。当选择的动作中包含“记录日志”时,将在日志中记录相应的访问情况。
(2) 配置下载危险文件类型,点击“选项”进行设置,界面如下图所示。
管理员可以根据情况添加禁止从Web服务器下载的文件扩展名,也可以删除自定义的文件类型,启用或禁用某文件类型。
(3) 添加文件类型,在“扩展名”处输入文件名,点击“添加”按钮即可。
(4) 选择某文件类型,点击“删除”按钮可以将其从列表中删除。
系统内置的文件类型无法删除,只能禁用。
(5) 点击“启用”一栏,可以启用或禁用某文件类型,只有处于勾选使其为“启用”状态时,WAF才对该类型文件的下载进行过滤。
· 检查危险文件类型上传
WAF可以对上传到Web服务器的文件类型做检测,如果上传的文件的扩展名是在禁止上传的危险文件类型列表中的,则用户无法将该类型的文件上传到Web服务器。
在URL安全策略中的设置界面如下图。
(1) 勾选“启用危险文件类型上传检查”后,WAF设备将根据“与上传相关的危险文件类型表”,对上传到Web服务器的文件进行检查,并根据“动作”处的设置对连接进行处理,可选项为:“仅记录日志”、“仅阻止”或“阻止并记录日志”。当选择的动作中包含“阻止”时,则系统将阻断用户和服务器的连接。当选择的动作中包含“记录日志”时,将在日志中记录相应的访问情况。
(2) 配置上传危险文件类型,点击“高级选项”进行设置,界面如下图所示。
上图列表中,红色框内为系统内置的危险文件类型,在出厂配置中,对于向Web服务器上传的文件,当文件的扩展名匹配上面的字符串时,禁止上传到Web服务器。
管理员可以根据情况添加禁止向Web服务器上传的文件扩展名,也可以删除自定义的文件类型,启用或禁用某文件类型。
(3) 添加文件类型,在“扩展名”处输入文件名,点击“添加”按钮即可。
(4) 选择某自定义的文件类型,点击“删除”按钮可以将其从列表中删除。
(5) 点击“启用”一栏,可以启用或禁用某文件类型,只有勾选使其为“启用”状态时,WAF才对该类型文件的上传进行过滤。
· 设置溢出检查
启用防溢出检查后,WAF将检查客户端向服务器提交的request信息中的URL和表单信息大小是否在设定范围内,如果这些值超过了设置的阀值,就被检测为溢出。点击“高级选项”按钮可以修改阀值。
图5-31 勾选启用溢出检查
在“动作”处设置检查到溢出时采取的动作。动作可选项为:
· 仅阻止:阻止HTTP连接请求。
· 仅记日志:只是记录日志,不阻止连接请求。
· 阻止并记日志,阻止连接请求,并在日志中记录信息。
· 告警或重定向:当“警告通知”中的“告警或重定向”选择告警时,则将阻止后的动作变为替换告警内容页面;当选择重定向时,则变为替换告警内容为重定向到某个设定的URL地址
修改阀值的界面如下图所示。
参数说明如下表:
表5-8 溢出参数说明
|
参数 |
说明 |
|
URL最大长度 |
设置允许客户端提交的URL字符串的最大长度,默认为2048,范围为0-65536,单位为字节。 说明: URL的一般格式为(带方括号[]的为可选项): protocol :// hostname[:port] / path / [;parameters] [?query] #fragment URL长度是指“//”之后的字符串的长度,例如http://www.sina.com.cn/ 这个URL的长度是16。 |
|
URL参数个数 |
设置允许客户端提交的URL参数的最大个数。默认为100,范围为0-1000。 说明: URL参数个数,是指?或&之后=之前的URL参数的总和,如http://www.google.cn/search?hl=zh-CN&source=hp&q=H3C &btnG= Google+%E6%90%9C%E7%B4%A2&aq=f&oq= 这个URL中有一个?和5个&,总共有6个URL参数。 |
|
URL参数内容最大长度 |
设置允许客户端提交的URL参数内容的最大长度,默认为1024,范围为0-65536,单位为字节。 说明: URL 参数是追加到 URL 上的一个名称/值对。参数以问号 (?) 开始并采用 name=value 的格式。如果存在多个 URL 参数,则参数之间用一个 (&) 符隔开。因此,URL参数内容指的是=和&符号之间的内容。 |
|
POST表单个数 |
设置允许用户以POST方式提交的表单的最大个数,默认为100,范围为1-1000。 |
|
POST表单内容最大长度 |
设置允许用户以POST方式提交的表单内容最大长度,是指post表单中的输入框中的字符长度,例如登录时需要输入的密码长度。默认为65536,范围为0-1048576,单位为字节。 |
修改参数后点击“应用”按钮提交并保存设置。点击“后退”按钮可以返回URL安全规则配置主界面。
· 设置CSRF检查
CSRF是一种网络攻击的方式,该攻击可以在受害者毫不知情的情况下以受害者的名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行授权操作。WAF支持采用两种策略来防御CSRF攻击:(1)验证HTTP Referer字段,(2)在请求地址中添加token并验证。
在安全策略中的具体设置如下图所示:
(1) 勾选“启用CSRF检查”即可启用相应功能,并在“动作”处选择检测到攻击后系统将采取的动作,当动作包含“阻止”时,系统将阻止相应链接。当选择的动作中包含“记日志”时,管理员还可以在Web安全日志中查看到类型为“CSRF”的日志。
(2) 在URL安全策略的编辑页面点击“选项”按钮配置CSRF攻击检测规则,界面如下图所示。
上方为添加规则界面,下方的列表中显示已经添加的规则。当规则不止一页时,管理员可以点击翻页按钮逐页查看,或直接输入指定的页码,直接点击“翻页”按钮跳转至指定的页面。
(3) 在上图中输入相应的参数,然后点击“添加”按钮即可。
参数说明如下表所示。
表5-9 CSRF参数说明
|
参数 |
说明 |
|
受保护的URL |
设置受保护的URL路径。 |
|
referer |
设置合法的HTTP请求的来源地址,即Referer字段。如果HTTP请求中的Referer和此处设置的字符串不匹配,则WAF将认为是CSRF攻击,并根据设置的动作对访问链接进行处理。 |
|
启用Referer检查 |
设置是否检查Referer,只有开启该选项时,才会检查Referer是否匹配,否则直接进行隐藏参数检查。 |
|
隐藏参数检查 |
设置是否在请求地址中添加Token并验证,开启后WAF将在Cookie中提取token值,然后与Post Form中的相关字段进行匹配检查,匹配成功则进行正常的转发,否则WAF将认为提交的是伪造的请求,并且根据设置的动作对访问链接进行处理。 说明:只有当引用检查未开启,或者Referer匹配时才会进行隐藏参数检查。 |
(4) 删除规则,选择一个或多个规则,点击“删除”按钮,并在弹出的确认框中点击“是”后即可删除指定的规则。
· 设置HTTP协议检查
WAF能够对向Web服务器上传的HTTP请求中的参数的长度和格式进行检查,只有当提交的参数符合要求时才允许建立连接,否则,如果管理员设置的动作为“阻止”,则WAF将阻断HTTP连接请求。
在安全策略中的具体设置如下图所示:
(1) 勾选“启用HTTP协议检查”即可启用相应功能,当WAF检测到不符合设置的请求后,将根据“动作”处的设置采取相应的动作,当动作包含“阻止”时,系统将阻止相应链接。当选择的动作中包含“记日志”时,管理员还可以在Web安全日志中查看到类型为“Invalid Request Data”的日志。
(2) 在URL安全策略的编辑页面点击“选项”按钮配置HTTP协议检查规则,界面如下图所示。
参数说明如下表所示:
表5-10 HTTP协议参数说明
|
参数 |
说明 |
|
Request-Header |
设置HTTP协议请求头的最大允许长度,范围为16-65535。 |
|
Request Line |
设置HTTP协议请求行的最大长度,以及该字段内容需要匹配的正则表达式。 |
|
Host |
设置HTTP请求头中Host字段的最大允许长度,以及该字段内容需要匹配的正则表达式。 |
|
User-Agent |
设置HTTP请求头中User-Agent字段的最大允许长度,以及该字段内容需要匹配的正则表达式。 |
|
Referer |
设置HTTP请求头中的Referer字段的最大允许长度,以及该字段内容需要匹配的正则表达式。 |
|
Accept |
设置HTTP请求头中的Accept字段的最大允许长度,以及该字段内容需要匹配的正则表达式。 |
|
Accept-language |
设置HTTP请求头中的Accept-language字段的最大允许长度,以及该字段内容需要匹配的正则表达式。 |
|
Accept-Charset |
设置HTTP请求头中的Accept-Charset字段的最大允许长度,以及该字段内容需要匹配的正则表达式。 |
|
Accept-Encoding |
设置HTTP请求头中的Accept-Encoding字段的最大允许长度,以及该字段内容需要匹配的正则表达式。 |
|
Other Request Header Fileds |
设置HTTP请求头中的其他字段内容的最大允许长度,以及该字段内容需要匹配的正则表达式。 |
|
Post File |
设置允许上传的单个文件的最大大小。 |
|
Post File Count In One Request |
设置一次HTTP请求中最多允许上传的文件个数。 |
设置完成后,点击“应用”按钮保存配置即可。
· IIS短文件,文件夹防泄漏
IIS是有微软使用微软windows功能扩展模块创建的一套Web服务器应用程序,是世界上第三个最流行的服务器。WAF设备可以对IIS短文件,文件夹进行防护,预防潜在危险。
勾选“启用IIS短文件,文件夹防泄漏”后,WAF设备可以对IIS短文件,文件夹进行防护,并根据“动作”处的设置对连接进行处理,可选项为:“仅记录日志”、“仅阻止”或“阻止并记录日志”。当选择的动作中包含“阻止”时,则系统将对IIS短文件,文件夹进行防护。当选择的动作中包含“记录日志”时,将在日志中记录相应的访问情况。
· 禁用词过滤
WAF设备可以对向Web服务器提交的URL、URL参数的内容进行禁用词过滤,预防潜在危险。
在“安全策略”中进行配置,界面如下图:
禁用词配置为系统内置,不可编辑修改。
· 敏感词过滤
WAF设备可以对向Web服务器提交的URL、URL参数、POST表单内容和Cookie的内容进行敏感词过滤,预防潜在危险。
· URL: 只是对原始的URL字符串进行过滤。
· URL参数:会将转义后的参数内容过滤。只过滤参数值部分。
· Cookie:只过滤cookie内容,cookie名不过滤。
· POST表单:只过滤表单内容,不过滤表单名。
在“安全策略”中进行配置,界面如下图:
(1) 启用敏感词过滤,勾选“启用禁用词过滤” 后,对于向Web服务器提交的参数,WAF设备根据“敏感词列表”的配置进行检查,并根据“动作”处的设置对连接进行处理,可选项为:“仅记录日志”、“仅阻止” 、“阻止并记录日志”或“告警或重定向”。当选择的动作中包含”阻止”时,则系统将阻断用户和服务器的连接。当选择的动作中包含“记录日志”时,将在日志中记录相应的访问情况。
(2) 配置敏感词,配置对于哪些参数进行敏感词过滤,并配置详细的敏感词表单。点击“敏感禁用词”,界面如下图所示。
(3) 敏感词匹配精度,分为精确和模糊两种,点击确认。精确匹配即为完全匹配。
(4) 敏感词添加以及应用域,在输入框输入需要添加的敏感词,选择相应的应用域,点击添加。
(5) 敏感词搜索,在输入框输入需要搜索的敏感词,点击搜索。
(6) 敏感词导入,在本地选择需要导入的敏感词库,选择导入即可导入设备。
· 配置HTTP请求方法限制
客户程序向Web服务器发送的HTTP请求可以有不同的类型,三种最基本的请求类型是GET、POST和HEAD,还有其他的请求方法,例如PUT、DELETE等。Web服务器会根据不同的请求类型进行不同的处理。默认情况下允许客户端向Web服务器发送任何请求方法,但是WAF可以配置禁止客户端向Web服务器发送的请求方法,如果客户端使用了禁止的请求方法向指定的Web服务器发送HTTP请求,WAF将阻断连接,以保证Web服务器的安全。
具体配置方法为:
(1) 选择 WAF策略 > 协议安全,并编辑已有的规则。
(2) 启用HTTP请求方法限制。并且在“动作”处设置当客户端使用了禁用的HTTP请求方法时,系统所采取的动作。
(3) 点击“选项”配置禁止使用的HTTP请求方法。
勾选后点击“应用”按钮保存并提交即可。
· 网络爬虫防护
网络爬虫(又被称为网页蜘蛛,网络机器人),是一种按照一定的规则,自动的抓取万维网信息的程序或者脚本。WAF设备提供网络爬虫防护功能,可以通过识别爬虫的User-Agent信息来识别不同的爬虫,进而对爬虫程序进行控制,即可有效地防止服务器被恶意爬虫爬取大量的网站页面而影响性能。
具体配置方法为:
(1) 选择 WAF策略 > 协议安全,并编辑已有的安全策略。
(2) 启用网络爬虫防护功能,勾选“启用网络爬虫防护”,并且在“动作”处设置当检测到匹配的网络爬虫时,系统所采取的动作。默认动作为阻止并记录日志。
如果设置的动作中包含“记录日志”,则管理员可以在“爬虫日志”中查看到相关的日志信息。
(3) 点击“选项”配置,可添加网络爬虫特征。
系统内置一些常见的网络爬虫特征,同时也会支持用户自定义网络爬虫特征。
(4) 添加网络爬虫特征,在上图页面上方输入“网络爬虫名称”及其“特征字符串”,然后点击“添加”按钮即可。
此处配置的“特征字符串”是user-agent中的内容。WAF根据这个user-agent中的内容判断这个客户端是IE浏览器还是firefox,还是爬虫软件。
(5) 删除自定义网络爬虫特征,只有自定义的特征能够删除,系统内置的特征不能删除。选择一个或多个特征,然后点击“删除”按钮即可。
(6) 启用或禁用特征,管理员可以点击“规则状态”一栏,启用或停用某条特征,只有启用的特征才会生效。
可以对Web网页的文件进行缓存,提升访问的效率,减少服务器负载,具体配置方法为:
(1) 选择 WAF策略 > 协议安全,并编辑已有的安全策略。
(2) 启用静态Web缓存。
(3) 点击“选项”配置,可修改缓存内容。
管理员可针对需要缓存的文件类型进行选择,默认情况下对所有URL进行防篡改配置。当在下方URL处输入URL并添加后,将只对列表中的URL进行防篡改控制。
防篡改功能仅在反向代理模式下生效。
防篡改功能不能保证完全准确有效,请使用专业的防篡改设备。
内容安全主要针对服务器内容安全进行防护,通过屏蔽过滤一些不必要的内容从而达到保护服务器的目的。
· 网站隐身
服务器端出错信息往往包含了服务器的重要信息,通过向客户端屏蔽这些错误信息从而避免这些敏感信息为攻击者利用,达到保护服务器的目的。管理员还可以设置服务器的开放端口列表,客户端只可以访问服务器上指定的端口号,其他的端口则禁止客户端访问,从而保证服务器的安全。
界面如下图所示。
(1) “屏蔽服务器版本信息”:设置是否对用户隐藏该Web服务器的版本信息。
(2) “屏蔽HTTP错误码5XX”:设置是否屏蔽该Web服务器向用户返回的以5开头的错误码。
(3) “屏蔽HTTP错误码4XX”:设置是否屏蔽该Web服务器向用户返回的以4开头的错误码。
· 服务器安全选项
“启用服务器端口控制”:启用后,客户端只能访问“开放端口”中设置的端口,其他端口禁止访问。修改参数后点击“应用”按钮提交并保存设置。
· 启动URL访问控制
URL访问控制是对URL连接进行连接控制,从而达到什么IP可以访问URL的效果。如果在被保护的服务器中,有的Web服务器上某些URL存在致命的安全漏洞,或者保存有敏感信息,则可以将该服务器相关的URL进行控制,禁止某些客户端进行访问。
配置如下图:
(1) 首先在为“内容安全”中启用URL访问控制,如下图所示。
(2) 点击“选项”按钮,URL访问控制配置界面如下图。管理员可以填写源地址,目的地址,动作配置,如下图。
(3) 源地址:可以选择任意IP地址和指定IP地址。
(4) 目的地址:填写受保护的服务器URL。
(5) 动作:包括无过滤、阻止和告警或重定向三种选项。
病毒过滤WAF设备内置实时更新的病毒特征库,对上传到Web服务器和FTP服务器的文件,WAF能够根据特征库进行病毒扫描,有效预防病毒攻击。
(1) 首先在内容安全中启用“启用HTTP上传病毒扫描”、“启用FTP上传病毒扫描”或“HTTP文件下载控制”,启用后WAF将对向服务器上传的文件查杀病毒,并根据“动作”的设定对病毒数据进行处理。如下图:
动作可选项为:
· 仅阻止:表示阻止上传带病毒文件到服务器。
· 仅记日志:只是记录日志,不阻止上传文件到服务器。
· 阻止并记日志,阻止上传文件到服务器,并在日志中记录信息。
(2) 设置最大扫描文件大小,对于上传文件,当超过此处设定的大小时,将不做防病毒扫描,直接上传到服务器。默认为1 M,http文件下载控制默认大小为100b。
· 配置cookie安全过滤
WAF设备能够对客户端上传的cookie内容进行加密和校验,并可以修改服务器下发的cookie的有效期、secure属性、HTTPOnly属性,从而有效避免cookie内容被篡改或窃取。
(1) 首先在“内容安全”中“启用Cookie安全过滤”,如下图所示。
(2) 点击“选项”按钮进入Cookie安全过滤规则设置界面,如下图所示。
上方为添加规则界面,下方的列表中显示已经添加的规则。当规则不止一页时,管理员可以点击翻页按钮逐页查看,或直接输入指定的页码,直接点击“翻页”按钮跳转至指定的页面。
(3) 添加Cookie安全过滤规则,参数说明如下表所示:
表5-11 Cookie安全过滤参数说明
|
参数 |
说明 |
|
Cookie名 |
配置通过WAF时需要进行安全认证的Cookie名称。 |
|
启用Cookie安全校验 |
勾选后将进行Cookie安全校验。并可以在“校验方式”处选择“仅校验Cookie内容”或“校验Cookie内容和客户端IP”,在“动作”处设置校验失败时WAF执行的动作。 说明: 1)仅校验Cookie内容: 即只检查cookie内容是否被修改。如果客户端上传的cookie和服务器下发的cookie的内容不一致,则根据动作阻止数据包的发送。 2)校验Cookie内容和客户端IP: 不仅校验Cookie内容是否被修改,同时验证客户端的IP是否一致。只有Cookie内容未被修改,而且客户端有使用同一个IP登录Web服务器时,才能通过验证。否则,WAF将根据动作阻止数据包的发送。 |
|
加密Cookie内容 |
设置WAF是否对Cookie内容进行加密以隐藏其中的内容。 |
|
Cookie有效期设置 |
WAF可以根据此处设置的数值修改Web服务器指定的Cookie有效期。 |
|
启用Cookie Secure属性 |
启用后,只有在HTTPS 连接中才会上传至服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 |
|
启用Cookie HTTPOnly属性 |
启用后,该Cookie将只能在浏览器里访问,当客户端脚本代码试图读取该Cookie时,浏览器将返回一个空的字符串。这样可以避免Cookie被窃取。 |
设置完成后点击“添加”按钮即可。
(4) 删除规则,选择一个或多个规则,点击“删除”按钮,并在弹出的确认框中点击“是”后即可删除指定的规则。
(5) 编辑规则,选择一个规则,点击“编辑”按钮,即可修改指定参数,修改后点击“应用”按钮保存修改即可。
· 配置Cookie白名单
Cookie白名单用于配置免于“URL安全策略”检查的Cookie名称列表。也就是说,如果客户端提交的Cookie名称匹配Cookie白名单,则该Cookie的内容将免于进行SQL注入攻击、跨站脚本攻击和命令注入攻击检查。
对于添加到Cookie白名单中的Cookie,WAF依然会对其进行Cookie安全认证。
Cookie白名单配置:
(1) 在下图中启用Cookie白名单。
(2) 点击“配置”按钮配置Cookie白名单列表,界面如下图。
(3) 添加cookie白名单,在上图的文本框中输入Cookie名称,然后点击“添加”按钮即可。
(4) 删除cookie白名单,在列表中选择一个或多个表项,然后点击“删除”按钮即可。
· cookie溢出检查
WAF能够进行Cookie溢出检查,即检查客户端向Web服务器提交的request信息中的Cookie的个数和内容的长度是否在设定范围内,如果这些值超过了设置的阙值,就被检测为Cookie溢出。
配置为:
(1) 选择 安全策略 > Web应用安全 > 内容安全,直接点击组名,或选择后点击“编辑”按钮编辑某服务器安全组的参数。
(2) 在下图中启用“Cookie溢出检查”功能。
在“动作”处设置检查到溢出时采取的动作。动作可选项为:
¡ 仅阻止:阻止HTTP连接请求。
¡ 仅记日志:只是记录日志,不阻止连接请求。
¡ 阻止并记日志,阻止连接请求,并在日志中记录信息。
¡ 告警或重定向:当“警告通知”中的“告警或重定向”选择告警时,则将阻止后的动作变为替换告警内容页面;当选择重定向时,则变为替换告警内容为重定向到某个设定的URL地址
(3) 默认Cookie个数为50个,Cookie内容最大长度为4096字节。可以点击“配置”按钮修改阙值,界面如下图所示。
¡ “Cookie个数”设置允许用户向Web服务器提交的cookie中的条目数最大值。默认为50,范围为0-200。
¡ “Cookie内容最大长度”设置允许用户向Web服务器提交的cookie中一个字段中包含的字符最大长度,默认为4096,范围为0-65536,单位为字节。
¡ 点击“引用”按钮,系统将自动将“自学习模块”中学习到的cookie个数和Cookie内容最大长度添加到此处的文本框中。
¡ 修改后,点击“应用”按钮保存并提交配置即可。点击“后退”按钮可以返回服务器安全组配置界面。
· 启用服务器挂马监控
WAF能够监控Web服务器是否感染了木马病毒,并可以根据设定阻止对Web服务器的访问。
(1) 首先“启用服务器挂马监控”,如下图所示。
启用后WAF将检测用户访问的页面上是否有被转向的URL,如果有<script src=”http://domain/……”>, 或<iframe src=”http://domain/……..” width="0" height="0"> ,而且这里指向的domain和用户所访问的页面的domain不一致,则WAF设备提示管理员该Web服务器可能感染了木马病毒。而且,设备将根据“动作”的设定,对客户端与被挂马服务器的HTTP连接进行处理。动作可选项为:
¡ 仅阻止:表示阻止和Web服务器的连接。
¡ 仅记日志:只是记录日志,不阻止和Web服务器的连接。
¡ 阻止并记日志,阻止和Web服务器的连接,并在日志中记录信息。
¡ 告警或重定向:当“警告通知”中的“告警或重定向”选择告警时,则将阻止后的动作变为替换告警内容页面;当选择重定向时,则变为替换告警内容为重定向到某个设定的URL地址
这里的iframe必须得是hidden iframe, 也就是说iframe的height或width为0的情况。
(2) 点击“选项”,设置允许在源代码语句中嵌入的链接。即:如果客户端访问的页面被转向到此处设置的链接,则系统认为是安全的。如果转向的是没有在列表中配置的链接,WAF设备都会认为是网站被挂马,进而根据“动作”的设置进行处理。设置界面如下图所示。
在文本框中输入虚拟主机名或IP地址,点击“添加”按钮即可。
在列表中选择一项或多项后,点击“删除”按钮可以将其从列表中删除。
· 特殊URL安全策略
该功能可以使某些防御对象IP下的特殊URL受其他策略控制而非当前编辑的策略。
点击Web安全策略 > 内容安全 > 特殊URL安全策略界面如下:
URL处填写例外策略的具体URL链接地址。
URL安全策略处下拉菜单可以选择要选用的策略名称。
特征库展示了WAF内置的特征条目,用户可以查看内置特征库的描述,同时还可以根据业务需求自定义添加特征库条目。
点击Web安全策略 > 特征库界面如下:
· 添加自定义特征
点击自定义特征中的“
”后,在右侧输入特征名称,选择类别和级别及检测值后点击保存添加成功。
· 删除自定义特征
选中需要删除的自定义特征点击“
”后可删除添加的自定义特征。
自定义特征名称不支持特殊字符。
例外配置可以针对某条具体的特征使得单一或者多个IP/URL不受控制。
点击Web安全策略 > 例外配置界面如下:
· 添加例外
点击“添加”按钮进入添加界面,在例外类型中选择需要添加例外的特征,在下方IP/URL中选择需要添加例外的地址。完成后点击确定,如下图所示:
· 删除例外
可选中多条例外点击“
”或点击单条后方的“
”即可删除
入侵防护策略中提供基本特征库的详细配置及一系列安全配置文件,管理员可以自定义开或关闭需要的策略。
(1) 添加Web安全策略,点击“添加”按钮弹出添加界面,如下图所示。
系统默认自带一条名称为default的安全策略,管理员可以选择复制该条策略或者新建一条新的策略,完成后点击应用。在入侵防护策略中增加了一条default-profile-view默认安全策略,该策略选项动作全部为仅记录日志,不进行阻断;该策略用于用户初次上线,只检测不阻断的工作方式,待运行一段时间后,基于日志分析启用安全策略;该策略可以在策略引用中进行引用操作。
(2) 删除入侵防护策略,点击操作中的“
”删除当前选中策略。
WAF内置了14种类别3000多条的基本特征,管理员可针对这些特征条目进行启用/不启用,转发阻断等一系列操作。如下图所示:
表5-12 入侵防御特征库列表参数说明
|
参数 |
说明 |
|
过滤显示 |
输入过滤条件显示需要查看的特征条目。 |
|
动作 |
分为阻断、放行。 |
|
日志 |
记录、不记录。 |
|
操作 |
左边操作按钮为为该条特征添加例外主机,点击跳转到“添加例外”界面,右边按钮为查看描述,点击查看该条特征的详细描述。 |
入侵防护策略对于防护的服务器不能按照端口区分
特征库展示了WAF内置的特征条目,用户可以查看内置特征库的描述,同时还可以根据业务需求自定义添加特征库条目。
点击入侵防护策略 > 特征库界面如下:
· 添加自定义特征
点击自定义特征中的“
”后,在右侧输入特征名称,选择类别和级别及检测值后点击保存添加成功。
· 删除自定义特征
选中需要删除的自定义特征点击“
”后可删除添加的自定义特征。
自定义特征名称不支持特殊字符。
例外配置可以针对某条具体的特征使得单一或者多个IP/URL不受控制。
点击入侵防护策略 > 例外配置界面如下:
(1) 添加例外,点击“添加”按钮进入添加界面,在例外类型中选择需要添加例外的特征,在下方IP中选择需要添加例外的地址,完成后点击确定。
(2) 删除例外,可选中多条例外点击“”或点击单条后方的“
”即可删除。
反向代理模式下,由于WAF和服务器通信时都是使用的WAF的第一个代理IP,所以如果是请求报文触发了入侵防护规则,想要将该规则进行例外设置,例外IP需要设置为第一个代理IP。
WAF产品中集成网站漏洞扫描功能,以便管理员能够随时了解网站漏洞风险状态,及时部署相应的安全保护措施。扫描器可支持的扫描项目包括:SQL注入漏洞、XSS脚本漏洞、Web后门、网页挂马、程序错误信息、内部目录泄露、邮箱地址泄露、无效链接、代码泄露、目录遍历、入侵广告、目录浏览、内部文件泄露、WebDAV启用、典型登录页面、内部IP泄露。
管理员可以制定扫描任务,系统就会根据配置进行扫描,并生成扫描报告。扫描报告支持管理员在线查看、导出、订阅。
本节介绍Web漏洞扫描的相关配置:
· 如何定制扫描任务
· 如何查看扫描报告
· 反向代理模式下,设置了漏扫任务后,WAF会使用代理IP对服务器进行扫描,会产生以WAF代理IP为客户端IP的WEB安全日志;
· 透明主备时,WEB漏洞扫描的配置不同步;
· WEB漏洞扫描的配置不能导出
管理员可以制定定期或手动扫描任务,系统将会根据此处的设定执行扫描任务。
(1) 选择 安全策略 > Web漏洞扫描 > 扫描任务,界面显示已经添加的扫描任务,如下图所示。
默认列出系统中所有扫描任务,按任务提交的顺序由先到后排列。根据页面高度每页显示一定的任务数,支持翻页操作。
“任务状态”一栏显示该任务的当前状况,分为正在扫描、启用和停用三种。正在扫描的任务图标显示为“
”,点击状态图标会停止扫描。启用和停用的任务图标分别为“
”和“
”。启用和停用的任务可以通过点击状态图标实现状态切换,停用的任务不会被系统自动执行,但是可以手动执行。
“最后一次扫描状态”记录任务完成的时间和完成情况,完成情况分为正常退出、异常退出、手动中止三种。
(2) 添加任务,点击“添加”按钮,界面如下图所示。
参数说明如下表所示:
表5-13 扫描任务参数说明
|
参数 |
说明 |
|
任务名称 |
任务名称可以使用英文、数字和_,最大长度为32个字符。 |
|
扫描入口地址 |
扫描入口必须包括协议头,必须是确定的URL,不支持通配符。 |
|
最大扫描深度 |
设置最大扫描的级数,大于扫描级数的页面不会被扫描。扫描级数默认4级,最大10级。 |
|
最大扫描时间 |
设置最大扫描时间,超过最大扫描时间后任务强行终止。默认10小时,支持1-24之间的整数值。 |
|
任务类型 |
任务类型分为一次性任务和周期性任务,一次性任务需要配置任务开始的时间,周期性任务分为每天、每周、每月三种,默认每月。 |
|
启用代理服务器 |
支持通过代理服务器访问目标网站。 |
|
例外URL列表 |
设置不进行漏洞扫描的URL。例外URL可以配置多条,每行一条。 |
|
报告订阅 |
扫描完成后可以将生成的报告以PDF形式直接发送到指定邮箱。最多支持20个邮箱,每行一个。 |
设置完成后,点击“应用”按钮提交设置即可。
(3) 编辑任务
管理员可以通过点击任务名称或是编辑按钮对任务参数进行编辑。编辑正在执行的任务参数后,新的参数下次执行时生效。其它状况的任务参数修改后即时生效。
(4) 删除任务
管理员可以删除一个指定的任务,也可以多选批量删除。删除时系统会提示“您是否确认删除选中的扫描任务”,确认后系统将执行删除操作。
(5) 执行任务
选择某一项任务,点击“执行”按钮,可以手动执行扫描任务。管理员可以对处于“启用”和“停用”状态的任务进行手动执行操作。
如果手动执行任务时有其它任务正在执行,则必须先终止正在执行的任务,然后才能开始手动执行的任务。
扫描报告列出执行扫描任务所生成的报告,管理员可以查找、查看和下载扫描报告。
(1) 选择 安全策略 > Web漏洞扫描 > 扫描报告,界面显示已经生成的扫描报告,如下图所示。
报告列表默认列出所有的报告,按生成时间降序排列,支持翻页操作。
(2) 查看报告详细信息
选择一项报告,然后点击“查看”按钮可以在新窗口中打开报告在线查看。
(3) 删除报告
选择一项或多项报告,点击“删除”按钮,系统在删除前将会向管理员提示信息:“确认删除选中的扫描报告吗”,管理员确认后系统将执行删除操作。
(4) 导出报告
选择一项报告,点击“导出”按钮,管理员可以将扫描报告的PDF格式文件导出,导出的保存文件名默认为报告名称。
(5) 发送报告到管理员邮箱
如果在指定扫描任务时指定了邮箱地址,并且在系统设置中正确设置了发送邮箱的相关信息,管理员可以选择一个报告,然后点击“发送”按钮,即可手动发送报告的PDF格式文件到指定的邮箱中。
如果该扫描报告对应的扫描任务没有在“报告订阅”处设置接收邮箱信息,则系统会提示如下信息。
自学习模式是WAF设备的一个特殊的模式,启用自学习模式后,WAF将按照设置对通过设备的流量进行分类记录统计,从而对管理员设置安全策略提供指导性的建议。由于自学习模式比较耗用系统性能,建议自学习完毕后关闭“自学习模式”。
自学习模式的相关配置有:
· 访问黑名单:配置不进行自学习的客户端IP地址列表。
· 访问白名单:配置只进行自学习的客户端IP地址列表。
· 域名黑名单:配置不进行自学习的域名列表。
· 自学习设置:启用或禁用自学习模式,启用或禁用访问黑名单、访问白名单、域名黑名单。
· URL/Cookie:查看学习到的URL及Cookie的统计信息。
· 目录树结果:查看学习到的目录树的统计信息。
· 文件类型结果:查看学习到的不同文件类型的统计信息。
· 当前,“自学习”功能和日志有关联,所以在使用“自学习”时,需要在“WEB安全策略”中开启“记录WEB访问日志”。
· 若某些流量触发了攻击,产生了WEB安全日志,也会在自学习中产生记录。
访问黑名单用于配置不进行学习的客户端IP地址列表。
只有在“自学习配置”中启用了“访问黑名单”功能,此处的设定才有效。
(1) 选择 安全策略 > 自学习> 访问黑名单,界面如下图所示。
(2) 添加访问黑名单
在“客户IP/子网掩码”处输入IP地址及其子网掩码,支持IPV4和IPV6格式的地址。然后点击“添加”按钮即可。
(3) 删除访问黑名单
在列表中选择一个或多个表项,然后点击“删除”按钮即可。
不启用访问白名单时将对所有客户端的行为进行学习,配置访问白名单后则只对白名单中列出的客户端的访问行为进行自学习。
只有在“自学习配置”中启用了“访问白名单”功能,此处的设定才有效。
(1) 选择 安全策略 > 自学习> 访问白名单,界面如下图所示。
(2) 添加访问白名单
在“客户IP/子网掩码”处输入IP地址及其子网掩码,支持IPV4和IPV6格式的地址。然后点击“添加”按钮即可。
(3) 删除访问白名单
在列表中选择一个或多个表项,然后点击“删除”按钮即可。
域名黑名单用于配置不进行学习的服务器域名列表。需要注意的是:只有在“自学习配置”中启用了“域名黑名单”功能,此处的设定才有效。
(1) 选择 安全策略 > 自学习> 域名黑名单,界面如下图所示。
(2) 添加域名黑名单
在“客户IP”处输入IP地址,然后点击“添加”按钮即可。
(3) 删除域名黑名单
在列表中选择一个或多个表项,然后点击“删除”按钮即可。
域名黑名单不支持设置中文域名。
自学习配置用于配置是否启用自学习模式,以及客户端访问黑名单、客户端访问白名单、域名黑名单功能。
(1) 选择 安全策略 > 自学习> 自学习设置,界面如下图所示。
(2) 启用或关闭自学习功能
选择“启用自学习”或“关闭自学习”即可启动或关闭自学习模式。
(3) 启用或禁用客户端访问黑名单、客户端访问白名单和域名黑名单功能。
(4) 点击“应用”按钮保存配置即可。
管理员在此处可以查看自学习到的URL和Cookie的统计结果。
选择 安全策略 > 自学习> URL&Cookie,界面如下图所示。
管理员可以在界面上方查看到学习到的URL的最大长度、URL参数个数的最大值、URL参数的最大长度、Cookie个数、Cookie内容的最大长度。
在WEB安全策略中的“启用溢出检查”和“cookie溢出检查”选项中,可引用学习到的URL参数和cookie参数。
在界面下方的列表中显示各个URL被访问的次数的统计信息。
管理员在此处可以查看自学习到的Web服务器的目录树的统计结果。
管理员可以在界面下方的列表中显示各个目录树被访问的次数的统计信息。
管理员在此处可以查看自学习到的Web服务器的不同类型的文件的统计结果。
选择 安全策略 > 自学习> 文件类型结果,界面如下图所示。
管理员可以在界面下方的列表中显示各个文件类型被访问的次数的统计信息。
拒绝服务攻击(DoS攻击)的目的是用极大量的虚拟信息流耗尽受害者的资源,使其无法处理合法的信息流。WAF提供了7种拒绝服务攻击的检测和防御:
· HTTP Flood攻击的检测和防御:向同一个Web服务器发送的HTTP请求次数达到指定的个数时, WAF将判定该请求为DoS攻击。
· TCP Flood攻击的检测和防御:即每秒收到的TCP包的数量达到指定个数时判定为TCP Flood攻击。
· UDP Flood攻击的检测和防御:即每秒收到的UDP包的数量达到指定个数时判定为UDP Flood攻击。
· ICMP Flood攻击的检测和防御:即每秒收到的ICMP包的数量达到指定个数时判定为ICMP Flood攻击。
· URL控制:即每秒访问设定的URL的频率达到指定次数时判定为URL control攻击。
· IP控制:即单IP每秒访问设定的URL的频率达到指定次数时判定为URL ip control攻击。
· Cookie防御:包含同一个Cookie的报文数目超过此处所配置的个数时, WAF将判定该请求为DoS攻击。
· IP+Cookie防御: 包含同一个Cookie的报文来自不同的IP时,WAF将判定该请求为DoS攻击。
· 启用扫描防护
管理员可以在此防DoS攻击的相关参数,WAF在检测到DoS攻击后将阻断相应的连接。
(1) 选择 安全策略 > 防DoS/CC攻击,界面如下图所示。
图1:
(2) 设置是否启用攻击防护功能,并设置判定攻击的临界值。
参数说明如下表所示。
表5-14 防DDos/CC攻击参数说明
|
参数 |
说明 |
|
启用HTTP请求限制 |
勾选即可启用该功能。 请求次数:设置在设定的“时间间隔”内,向同一个Web服务器发送的HTTP请求次数达到多少时, WAF将判定该请求为DoS攻击。范围为0-65535。0表示不允许建立HTTP连接。 时间间隔:设置统计的时间间隔。范围为1-3600秒。 |
|
启用TCP包攻击保护 |
勾选即可启用该功能。 “每秒收到的TCP包”:用于设置判定Dos攻击的临界值,即每秒收到的包的数量达到多少时判定为TCP Flood攻击。范围为1-20000。 |
|
启用UDP包攻击保护 |
勾选即可启用该功能。 “每秒收到的UDP包”用于设置判定Dos攻击的临界值,即每秒收到的包的数量达到多少时判定为UDP Flood攻击。范围为1-2000000。 |
|
启用ICMP包攻击保护 |
勾选即可启用该功能。 “每秒收到的ICMP包”用于设置判定Dos攻击的临界值,即每秒收到的包的数量达到多少时判定为ICMP Flood攻击。范围为1-2000000。 |
|
启用URL控制 |
勾选即可启用该功能。 每秒访问设定的URL的频率达到指定次数时判定为URL control攻击。 |
|
启用IP控制 |
勾选即可启用该功能。 单IP每秒访问设定的URL的频率达到指定次数时判定为URL ip control攻击。 |
|
启用Cookie防御 |
勾选即可启用该功能。 访问次数:设置在设定的“访问间隔”内,包含同一个Cookie的报文数目超过此处所配置的个数时, WAF将判定该请求为DoS攻击,并在Web安全日志中记录相关信息。范围为1-65535。 访问间隔:设置统计的时间间隔。范围为1-3600秒。 |
|
启用IP+Cookie防御 |
勾选即可启用该功能。 设置在设定的“访问间隔”内,包含同一个Cookie的报文来自不同的IP时, WAF将判定该请求为DoS攻击,并在Web安全日志中记录相关信息。 访问间隔:设置统计的时间间隔。范围为1-3600秒。 |
|
启用扫描防护 |
勾选即可启用该功能。 触发条件:(1)需要先触发WEB安全基本特征库中的攻击(2)同一个IP使用同一个cookie访问超过1次(3)多次触发基本特征库中攻击的间隔小于设置的“两次扫描间隔”。 注:扫描防护功能是在请求头检查阶段进行检测的。 |
图5-85 配置扫描防护
输入需要配置的识别阀值,默认单位为秒。
(3) 点击“应用”按钮保存配置。
WAF支持服务器访问控制的功能,主要对Web服务器IP访问进行限制。
(1) 选择 安全策略 >全局黑白名单,界面如下图。
(2) 添加源地址和源端口:源地址可以是任意IP地址,也可以是指定IP地址。
(3) 添加目的地址和目的端口:目的地址可以是任意IP地址,也可以是指定IP地址。
(4) 动作选择:包括访问、阻止、无过滤三个动作。
(5) 如果动作选择无过滤:表示该访问不上代理;如果动作选择访问:表示正常上代理
1、 反向代理模式,全局黑白名单不支持对源IP进行配置。
2、 触发全局黑名单规则的日志记录在系统日志中。
WAF支持动态攻击黑名单的功能,主要对具有疑似攻击行为的IP进行二次的评定。当某个IP在某段时间内产生疑似的攻击行为,系统不会直接将IP完全阻断,只是对IP加入动态攻击名单里,在锁定时间内不再产生疑似攻击行为,系统即可评定为该IP的行为为普通行为,但是如果在锁定时间内系统仍认定该IP的动作为攻击行为,该IP会被加入到攻击黑名单内。
(1) 选择 安全策略 > 动态攻击黑名单,界面如下图。
(2) 选择启动动态攻击黑名单功能,填写锁定时间(1-7200分钟),勾选是否记录日志,如果勾选日志会在Web安全日志中体现出来,点击应用,即可使用。
(3) 动态攻击黑名单,选定某个已加入动态攻击黑名单的IP,可以进行解锁。
(4) IP将不会被加入动态攻击黑名单,相当于动态攻击白名单,在触发攻击行为条件的情况下也不会被识别成攻击行为,加入到动态攻击黑名单内。
只有触发SQL注入、Webshell特征库、爬虫和暴力破解攻击、防DDOS/CC攻击这五种攻击才会加入到动态攻击黑名单
在URL安全策略中启用Web shell监测后, WAF即可根据系统内置的特征库,检测网络流量中是否存在Web shell,如果监测到Web服务器被植入了Web shell, WAF将根据在策略中设置的动作,对连接进行处理。同时, WAF保存被检测到Web shell的URL信息,对于后续的对同一个URL的访问,系统将不再进行检测,而是直接根据设定的动作对连接进行处理。管理员可以查看被检测到Webshell的URL信息,并执行删除操作。
(1) 选择 安全策略 > Web shell监测,显示监测结果。
(2) 管理员可以查看所有被检测到Web shell的URL信息、端口号以及检测时间。
(3) 删除URL,管理员可以选择一个或多个URL,然后点击“删除”按钮,执行删除操作。
当WEB服务器使用HTTPS协议建立时,用户需要使用支持HTTPS协议的浏览器向服务器发起连接。网站收到用户的请求后,会自动将网站本身的证书信息(certificate,内含公钥)传送一份给用户的浏览器,用以向用户证明自己是合法的服务器,而不是冒充的服务器。如果此Web服务器已经添加到服务器安全组中,用户和WEB服务器之间的通信要通过WAF,此时需要管理员在设备上导入WEB服务器的证书,并将证书与服务器地址进行一一对应,否则,WAF设备会自动替换WEB服务器发来的证书,即向客户端浏览器发送WAF自有的证书而不是Web服务器的证书,这是WEB服务器的管理员不希望看到的。
此处介绍Web服务器的证书管理,包括:
· 证书列表:介绍证书上传功能;
· 证书应用:将证书与服务器进行一一映射。
在WAF上导入WEB服务器的证书,可以导入两种格式的证书:PEM和PFX。
(1) 选择 Web安全 > 证书管理 > 证书列表,界面如下图所示。
图5-89 证书列表
下方显示已经导入的证书名称。
(2) 导入证书
a. 在“证书名称”处输入该证书的标识字符串。证书名称的长度最大值为32位。
b. 然后选择证书的格式,可选项为PEM或PFX。
c. 导入证书文件并正确设置证书文件的密码。
当选择PEM时需要导入证书文件、密钥文件,并正确设置证书文件的密码。
选择PFX时,仅需导入证书文件,并正确设置证书文件的密码即可。
d. 点击“添加”按钮。
(3) 删除证书
选择一个或多个证书,点击“删除”按钮即可。
导入证书后,还需要将证书与WEB服务器进行绑定。
(1) 选择 Web安全 > 证书管理 > 证书应用,界面如下图所示。
图5-90 证书应用
(2) 设置绑定规则
在“服务器IP”和“端口”处输入WEB服务器的IP地址及提供服务的SSL端口号,IP地址支持IPV4格式。然后在“证书名称”右侧的下拉列表中选择已经导入的证书名。然后点击“添加”按钮即可。
(3) 删除绑定规则
选择一个或多个规则,然后点击“删除”按钮即可。
· 双机模式下,证书管理的配置不同步
· 证书管理的配置无法导出
WAF可向系统管理员提供详尽的日志信息和丰富的报表功能。日志信息中详细记录了设备的系统日志、管理员日志,以及对Web服务器的访问日志、Web安全日志、病毒扫描日志。管理员可以分类查看详细的日志记录信息,并可以根据设置即时或定期生成各种不同内容的统计报表,根据不同的统计周期可以生成日报表、周报表或任何时间段的统计报表信息。报表以图形和文本格式提交数据信息,可配置为定时自动运行并自动提供到管理员的电子邮件账户中。通过查看各种不同类型的报表,管理员可以直观地了解到对Web服务器的访问统计情况、病毒扫描情况和攻击统计情况的详细视图。
本章包含下列主题:
· 报表:查看已生成的报表信息、制定定期生成报表任务,或即时制作报表。
· 日志:查看对Web服务器的攻击、病毒、爬虫、访问日志,查看管理员日志和系统日志信息。
管理员在此可以查看系统记录的日志信息。系统根据管理员在菜单 系统配置 > 日志 >系统日志设置 处的配置来记录日志信息。日志分为如下几类:
· Web安全日志
· 病毒日志
· 访问日志
· 爬虫日志
· 管理员日志
· 系统日志
· 为让日志信息生效,强烈推荐管理员正确设置系统时间。
· 有时会出现某些日志不能在浏览器中正确显示的情况,这是由于原始文件未包含任何编码信息,使得在浏览器中显示为乱码。此时可以通过在日志查看页面中选择“自动编码转换”,设备将对数据自动采用UTF-8编码进行转换。如果还是不能正确显示,管理员可以在浏览器的 查看 > 编码 菜单中选择合适的编码方式,使得日志可以正常显示。
Web安全日志记录了所有安全检查相关的行为, 管理员可以在此查看所有的Web安全日志、删除日志、导出日志,并可以按照设定的详细条件查询日志信息。
(1) 选择菜单 日志报表 > 日志 > Web安全日志,界面如下图所示。
默认情况下,系统按照“每页显示”的默认设置,在当前页面显示最新的25条日志记录,管理员可以在此修改每页显示的记录数。“总页数”处显示当前日志信息的总共页数。管理员可以点击翻页按钮进行查看,也可以在“页号”处输入页码,点击“翻到”可以直接跳转至指定的页面。
(2) 查看Web安全日志记录的下列信息:
表6-1 Web安全日志参数说明
|
参数 |
说明 |
|
日期时间 |
检测和拦截到攻击的日期和具体时间。 |
|
客户端IP |
试图访问Web服务器的用户IP地址。 |
|
服务器IP |
Web服务器端的IP地址。 |
|
方法 |
显示对Web服务器的访问方法,常见的有两种,一是GET,就是平常我们打开一个URL访问的动作,二是POST,提交表单时的动作。 |
|
协议 |
显示发动攻击连接的协议类型。 |
|
URL |
具体的URL的名称。 |
|
攻击名称 |
显示拦截到的攻击的具体名称。 |
|
攻击ID |
攻击所属规则的ID号。 |
|
攻击域 |
显示攻击发生的区域,即攻击发生在哪里,比如:URL参数,POST表单,Cookie等。 |
|
动作 |
针对攻击的动作。 |
|
操作 |
放行后,实际是在安全策略-内容安全-URL访问控制中,将IP地址设置为无过滤 |
(3) 要想删除所有日志记录,单击“清除所有日志”按钮。
(4) 要想保存日志到您本地PC机上,您可以在“输出类型”处选择输出日志的格式:HTML或CSV格式。然后单击“输出日志”按钮即可。
(5) 搜索日志
管理员可以根据时间和日志的各个字段(例如客户端IP、服务器端IP等)来搜索符合条件的日志信息。
(6) 在“日期/时间范围”处指定时间范围,可选项有:
· “今天”:指的是当天00:00:00到当前时刻的统计信息
· “本周”:指的是从本周一00:00:00到当前时刻的统计信息
· “过去7天”:指的是当前时刻之前七天的统计信息
· “本月”:指的是从本月1日00:00:00到当前时刻的统计信息
· “过去30天”:指的是当前时刻之前30天的统计信息
· “定制时间”:管理员可以在“开始日期/时间”和“结束日期/时间”处设定查询的起始和终止日期和时间。
(7) 在“过滤类别”处设定查询字段满足的条件。
在左侧列表框中选择查询字段,中间的列表框中选择匹配的精确度(“包含”或“等于”),在右侧的文本框中输入匹配的条件。
· 如果只需设定一个查询条件,则只能在红色框内设定条件,绿色框内选择“---”,蓝色框内即使设定条件也不生效。
· 如果需要设定两个查询条件,则需要在红色和蓝色框内同时设定查询条件,然后还必须在绿色框内选择这两个条件之间的关系:“与”表示查询同时满足两个条件的日志信息,“或”表示查询满足其中一个查询条件的日志信息。
(8) 在“操作”处选择对符合查询条件的日志所采取的操作,可选项为“搜索”或“清除”。
(9) 单击“运行”按钮。
如果选择“搜索”,则列表中将显示符合条件的日志信息。
如果选择“删除”,则系统将弹出如下提示框,管理员确认后符合条件的日志将直接从设备硬盘中删除掉。
入侵防护日志在配置入侵防御策略后,通过WAF的数据包均会记录并且检查,对于匹配到特征库的事件,设备会记录日志。管理员可以在此查看所有的入侵防御日志、删除日志、导出日志,并可以按照设定的详细条件查询日志信息。
(1) 选择菜单 日志报表 > 日志 > 入侵防御日志,界面如下图所示。
默认情况下,系统按照“每页显示”的默认设置,在当前页面显示最新的25条日志记录,管理员可以在此修改每页显示的记录数。“总页数”处显示当前日志信息的总共页数。管理员可以点击翻页按钮进行查看,也可以在“页号”处输入页码,点击“翻到”可以直接跳转至指定的页面。
(2) 查看病毒日志记录的下列信息:
表6-2 入侵防御日志参数说明
|
参数 |
说明 |
|
日期时间 |
检测和拦截到攻击的日期和具体时间。 |
|
来源IP |
攻击源的IP地址 |
|
源端口 |
攻击的源端口。 |
|
目的IP地址 |
攻击目的地址。 |
|
目的端口 |
攻击的目的端口号。 |
|
协议 |
显示连接所使用的协议类型。 |
|
风险级别 |
匹配特征的级别 |
|
威胁类型 |
匹配特征威胁的类型。 |
|
威胁ID |
匹配到特征的ID。 |
|
动作 |
显示对攻击采取的动作 |
(3) 要想删除所有日志记录,单击“清除所有日志”按钮。
(4) 要想保存日志到您本地PC机上,您可以在“输出类型”处选择输出日志的格式:HTML或CSV格式。然后单击“输出日志”按钮即可。
(5) 搜索日志
管理员可以根据时间和日志的各个字段(例如客户端IP、服务器端IP等)来搜索符合条件的日志信息。
(6) 在“日期/时间范围”处指定时间范围,可选项有:
· “今天”:指的是当天00:00:00到当前时刻的统计信息。
· “本周”:指的是从本周一00:00:00到当前时刻的统计信息。
· “过去7天”:指的是当前时刻之前七天的统计信息。
· “本月”:指的是从本月1日00:00:00到当前时刻的统计信息。
· “过去30天”:指的是当前时刻之前30天的统计信息。
· “定制时间”:管理员可以在“开始日期/时间”和“结束日期/时间”处设定查询的起始和终止日期和时间。
(7) 在“过滤类别”处设定查询字段满足的条件。
在左侧列表框中选择查询字段,中间的列表框中选择匹配的精确度(“包含”或“等于”),在右侧的文本框中输入匹配的条件。
· 如果只需设定一个查询条件,则只能在红色框内设定条件,绿色框内选择“---” ,蓝色框内即使设定条件也不生效。
· 如果需要设定两个查询条件,则需要在红色和蓝色框内同时设定查询条件,然后还必须在绿色框内选择这两个条件之间的关系:“与”表示查询同时满足两个条件的日志信息,“或”表示查询满足其中一个查询条件的日志信息。
(8) 在“操作”处选择对符合查询条件的日志所采取的操作,可选项为“搜索”或“清除”。
(9) 单击“运行”按钮。
如果选择“搜索”,则列表中将显示符合条件的日志信息。
如果选择“删除”,则系统将弹出如下提示框,管理员确认后符合条件的日志将直接从设备硬盘中删除掉。
· 反向代理模式下,由于WAF和服务器通信时都是使用的WAF的第一个代理IP,并且入侵防护处理机制和WEB安全有所差别,所以当请求报文触发了入侵防护规则后,日志记录的来源IP都是WAF的第一个代理IP
· 由于入侵防护规则对所有报文都会进行检测,如果服务器返回给WAF的报文触发了入侵防护规则,会产生来源IP是服务器IP的入侵防护日志
病毒日志记录“启用上传病毒扫描”后,向Web服务器上传的文件中查杀到病毒的行为。
管理员可以在此查看所有的病毒日志、删除日志、导出日志,并可以按照设定的详细条件查询日志信息。
(1) 选择菜单 日志报表 > 日志 > 病毒日志,界面如下图所示。
默认情况下,系统按照“每页显示”的默认设置,在当前页面显示最新的25条日志记录,管理员可以在此修改每页显示的记录数。“总页数”处显示当前日志信息的总共页数。管理员可以点击翻页按钮进行查看,也可以在“页号”处输入页码,点击“翻到”可以直接跳转至指定的页面。
(2) 查看病毒日志记录的下列信息:
|
参数 |
说明 |
|
日期时间 |
检测和拦截到病毒的日期和具体时间。 |
|
客户端IP |
试图访问Web服务器的用户IP地址。 |
|
服务器端IP |
Web服务器端的IP地址。 |
|
协议 |
显示连接所使用的协议类型。 |
|
URL |
具体的URL的名称。 |
|
文件名 |
显示携带病毒的文件名称。 |
|
恶意软件名称 |
检测到的恶意软件的名称。 |
|
动作 |
显示对病毒文件采取的动作。 block_log表示阻止并记录日志。 logged表示仅记日志。 |
(3) 要想删除所有日志记录,单击“清除所有日志”按钮。
(4) 要想保存日志到您本地PC机上,您可以在“输出类型”处选择输出日志的格式:HTML或CSV格式。然后单击“输出日志”按钮即可。
(5) 搜索日志
管理员可以根据时间和日志的各个字段(例如客户端IP、服务器端IP等)来搜索符合条件的日志信息。
(6) 在“日期/时间范围”处指定时间范围,可选项有:
· “今天”:指的是当天00:00:00到当前时刻的统计信息。
· “本周”:指的是从本周一00:00:00到当前时刻的统计信息。
· “过去7天”:指的是当前时刻之前七天的统计信息。
· “本月”:指的是从本月1日00:00:00到当前时刻的统计信息。
· “过去30天”:指的是当前时刻之前30天的统计信息。
· “定制时间”:管理员可以在“开始日期/时间”和“结束日期/时间”处设定查询的起始和终止日期和时间。
(7) 在“过滤类别”处设定查询字段满足的条件
在左侧列表框中选择查询字段,中间的列表框中选择匹配的精确度(“包含”或“等于”),在右侧的文本框中输入匹配的条件。
· 如果只需设定一个查询条件,则只能在红色框内设定条件,绿色框内选择“---”,蓝色框内即使设定条件也不生效。
· 如果需要设定两个查询条件,则需要在红色和蓝色框内同时设定查询条件,然后还必须在绿色框内选择这两个条件之间的关系:“与”表示查询同时满足两个条件的日志信息,“或”表示查询满足其中一个查询条件的日志信息。
(8) 在“操作”处选择对符合查询条件的日志所采取的操作,可选项为“搜索”或“清除”。
(9) 单击“运行”按钮。
如果选择“搜索”,则列表中将显示符合条件的日志信息。
如果选择“删除”,则系统将弹出如下提示框,管理员确认后符合条件的日志将直接从设备硬盘中删除掉。
访问日志记录了所有客户端对Web服务器的访问行为。
管理员可以在此查看所有的访问日志、删除日志、导出日志,并可以按照设定的详细条件查询日志信息。
(1) 选择菜单 日志报表 > 日志 > 访问日志,界面如下图所示。
默认情况下,系统按照“每页显示”的默认设置,在当前页面显示最新的25条日志记录,管理员可以在此修改每页显示的记录数。“总页数”处显示当前日志信息的总共页数。管理员可以点击翻页按钮进行查看,也可以在“页号”处输入页码,点击“翻到”可以直接跳转至指定的页面。
(2) 查看访问日志记录的下列信息:
表6-3 访问日志参数说明
|
参数 |
说明 |
|
日期时间 |
客户端正常访问Web服务器的日期和具体时间。 |
|
客户端IP |
试图访问Web服务器的用户IP地址。 |
|
服务器端IP |
Web服务器端的IP地址。 |
|
方法 |
显示对Web服务器的访问方法,常见的有两种,一是GET,就是平常我们打开一个URL访问的动作,二是POST,提交表单时的动作。 |
|
协议 |
显示连接所使用的协议类型。 |
|
URL |
具体的URL的名称。 |
|
返回码 |
显示从Web服务器返回的表现客户端和服务器连接情况的代码。 |
(3) 要想删除所有日志记录,单击“清除所有日志”按钮。
(4) 要想保存日志到您本地PC机上,您可以在“输出类型”处选择输出日志的格式:HTML或CSV格式。然后单击“输出日志”按钮即可。
(5) 搜索日志
管理员可以根据时间和日志的各个字段(例如客户端IP、服务器端IP等)来搜索符合条件的日志信息。
(6) 在“日期/时间范围”处指定时间范围,可选项有:
· “今天”:指的是当天00:00:00到当前时刻的统计信息。
· “本周”:指的是从本周一00:00:00到当前时刻的统计信息。
· “过去7天”:指的是当前时刻之前七天的统计信息。
· “本月”:指的是从本月1日00:00:00到当前时刻的统计信息。
· “过去30天”:指的是当前时刻之前30天的统计信息。
· “定制时间”:管理员可以在“开始日期/时间”和“结束日期/时间”处设定查询的起始和终止日期和时间。
(7) 在“过滤类别”处设定查询字段满足的条件
在左侧列表框中选择查询字段,中间的列表框中选择匹配的精确度(“包含”或“等于”),在右侧的文本框中输入匹配的条件。
· 如果只需设定一个查询条件,则只能在红色框内设定条件,绿色框内选择“---”,蓝色框内即使设定条件也不生效。
· 蓝色框内即使设定条件也不生效。
· 如果需要设定两个查询条件,则需要在红色和蓝色框内同时设定查询条件,然后还必须在绿色框内选择这两个条件之间的关系:“与”表示查询同时满足两个条件的日志信息,“或”表示查询满足其中一个查询条件的日志信息。
(8) 在“操作”处选择对符合查询条件的日志所采取的操作,可选项为“搜索”或“清除”。
(9) 单击“运行”按钮。
如果选择“搜索”,则列表中将显示符合条件的日志信息。
如果选择“删除”,则系统将弹出如下提示框,管理员确认后符合条件的日志将直接从设备硬盘中删除掉。
爬虫日志记录了网络爬虫识别和处理的日志。
管理员可以在此查看所有的爬虫日志、删除日志、导出日志,并可以按照设定的详细条件查询日志信息。
(1) 选择菜单 日志报表 > 日志 > 爬虫日志,界面如下图所示。
管理员可以查看到当前硬盘中的所有爬虫日志信息。如果日志中有乱码信息,可以尝试点击“启动编码自动转换”,如果还有乱码,可以在浏览器的菜单栏中选择 查看 > 编码,选择合适的编码信息。
默认情况下,系统按照“每页显示”的默认设置,在当前页面显示最新的25条日志记录,管理员可以在此修改每页显示的记录数。“总页数”处显示当前日志信息的总共页数。管理员可以点击翻页按钮进行查看,也可以在“页号”处输入页码,点击“翻到”可以直接跳转至指定的页面。
(2) 查看爬虫日志记录的下列信息:
表6-4 爬虫日志参数说明
|
参数 |
说明 |
|
日期时间 |
检测到网络爬虫的日期和具体时间。 |
|
客户端IP |
试图访问Web服务器的用户IP地址。 |
|
服务器端IP |
Web服务器端的IP地址。 |
|
方法 |
显示对Web服务器的访问方法,常见的有两种,一是GET,就是平常我们打开一个URL访问的动作,二是POST,提交表单时的动作。 |
|
协议 |
显示连接所使用的协议类型。 |
|
URL |
具体的URL的名称。 |
|
User Agent |
显示爬虫的User Agent信息。 |
|
动作 |
显示系统所采取的动作。 |
(3) 要想删除所有日志记录,单击“清除所有日志”按钮。
(4) 要想保存日志到您本地PC机上,您可以在“输出类型”处选择输出日志的格式:HTML或CSV格式。然后单击“输出日志”按钮即可。
(5) 搜索日志
管理员可以根据时间和日志的各个字段(例如客户端IP、服务器端IP等)来搜索符合条件的日志信息。
(6) 在“日期/时间范围”处指定时间范围,可选项有:
· “今天”:指的是当天00:00:00到当前时刻的统计信息。
· “本周”:指的是从本周一00:00:00到当前时刻的统计信息。
· “过去7天”:指的是当前时刻之前七天的统计信息。
· “本月”:指的是从本月1日00:00:00到当前时刻的统计信息。
· “过去30天”:指的是当前时刻之前30天的统计信息。
· “定制时间”:管理员可以在“开始日期/时间”和“结束日期/时间”处设定查询的起始和终止日期和时间。
(7) 在“过滤类别”处设定查询字段满足的条件
在左侧列表框中选择查询字段,中间的列表框中选择匹配的精确度(“包含”或“等于”),在右侧的文本框中输入匹配的条件。
· 如果只需设定一个查询条件,则只能在红色框内设定条件,绿色框内选择“---”,蓝色框内即使设定条件也不生效。
· 蓝色框内即使设定条件也不生效。
· 如果需要设定两个查询条件,则需要在红色和蓝色框内同时设定查询条件,然后还必须在绿色框内选择这两个条件之间的关系:“与”表示查询同时满足两个条件的日志信息,“或”表示查询满足其中一个查询条件的日志信息。
(8) 在“操作”处选择对符合查询条件的日志所采取的操作,可选项为“搜索”或“清除”。
(9) 单击“运行”按钮。
如果选择“搜索”,则列表中将显示符合条件的日志信息。
如果选择“删除”,则系统将弹出如下提示框,管理员确认后符合条件的日志将直接从设备硬盘中删除掉。
管理员日志记录了所有管理员的行为,包括登录系统、登出系统和对设备进行的配置。
(1) 选择 日志报表 > 日志 > 管理员日志,界面如下图所示。
管理员可以查看到当前硬盘中的所有管理员操作行为的日志信息。默认情况下,系统按照“每页显示”的默认设置,在当前页面显示最新的25条日志记录,管理员可以在此修改每页显示的记录数。“总页数”处显示当前日志信息的总共页数。管理员可以点击翻页按钮进行查看,也可以在“页号”处输入页码,点击“翻到”可以直接跳转至指定的页面。
(2) 查看Web安全日志记录的下列信息:
表6-5 管理员日志参数说明
|
参数 |
说明 |
|
日期时间 |
登录设备或者对设备进行配置的日期和具体时间。 |
|
管理员IP |
显示管理员访问设备的主机的IP地址。 |
|
管理员 |
显示管理员名称。 |
|
动作 |
显示管理员在设备上进行的操作的简单描述信息。 |
(3) 要想删除所有日志记录,单击“清除所有日志”按钮。
(4) 要想保存日志到您本地PC机上,您可以在“输出类型”处选择输出日志的格式:HTML或CSV格式。然后单击“输出日志”按钮即可。
(5) 搜索日志
管理员可以根据时间和日志的各个字段(例如管理员名称等)来搜索符合条件的日志信息。
(6) 在“日期/时间范围”处指定时间范围,可选项有:
· “今天”:指的是当天00:00:00到当前时刻的统计信息。
· “本周”:指的是从本周一00:00:00到当前时刻的统计信息。
· “过去7天”:指的是当前时刻之前七天的统计信息。
· “本月”:指的是从本月1日00:00:00到当前时刻的统计信息。
· “过去30天”:指的是当前时刻之前30天的统计信息。
· “定制时间”:管理员可以在“开始日期/时间”和“结束日期/时间”处设定查询的起始和终止日期和时间。
(7) 在“过滤类别”处设定查询字段满足的条件
在左侧列表框中选择查询字段,中间的列表框中选择匹配的精确度(“包含”或“等于”),在右侧的文本框中输入匹配的条件。
· 如果只需设定一个查询条件,则只能在红色框内设定条件,绿色框内选择“---”,蓝色框内即使设定条件也不生效。
· 蓝色框内即使设定条件也不生效。
· 如果需要设定两个查询条件,则需要在红色和蓝色框内同时设定查询条件,然后还必须在绿色框内选择这两个条件之间的关系:“与”表示查询同时满足两个条件的日志信息,“或”表示查询满足其中一个查询条件的日志信息。
(8) 在“操作”处选择对符合查询条件的日志所采取的操作,可选项为“搜索”或“清除”。
(9) 单击“运行”按钮。
如果选择“搜索”,则列表中将显示符合条件的日志信息。
如果选择“删除”,则系统将弹出如下提示框,管理员确认后符合条件的日志将直接从设备硬盘中删除掉。
系统日志记录了所有非管理员系统行为,如:HA、更新和接口状态。您可查看、搜索、删除或输出日志消息。
(1) 选择 日志报表 > 日志 > 系统日志。
管理员可以查看到当前硬盘中的所有系统日志信息。如果日志中有乱码信息,可以尝试点击“启动编码自动转换”,如果还有乱码,可以在浏览器的菜单栏中选择 查看 > 编码,选择合适的编码信息。
默认情况下,系统按照“每页显示”的默认设置,在当前页面显示最新的25条日志记录,管理员可以在此修改每页显示的记录数。“总页数”处显示当前日志信息的总共页数。管理员可以点击翻页按钮进行查看,也可以在“页号”处输入页码,点击“翻到”可以直接跳转至指定的页面。
(2) 查看Web安全日志记录的下列信息:
表6-6 系统日志参数说明
|
参数 |
说明 |
|
日期时间 |
显示系统事件发生的日期和具体时间。 |
|
系统事件 |
显示系统发生事件的简单描述信息。 |
(3) 要想删除所有日志记录,单击“清除所有日志”按钮。
(4) 要想保存日志到您本地PC机上,您可以在“输出类型”处选择输出日志的格式:HTML或CSV格式。然后单击“输出日志”按钮即可。
(5) 搜索日志
管理员可以根据时间和日志的各个字段(例如系统事件名称等)来搜索符合条件的日志信息。
(6) 在“日期/时间范围”处指定时间范围,可选项有:
· “今天”:指的是当天00:00:00到当前时刻的统计信息。
· “本周”:指的是从本周一00:00:00到当前时刻的统计信息。
· “过去7天”:指的是当前时刻之前七天的统计信息。
· “本月”:指的是从本月1日00:00:00到当前时刻的统计信息。
· “过去30天”:指的是当前时刻之前30天的统计信息。
· “定制时间”:管理员可以在“开始日期/时间”和“结束日期/时间”处设定查询的起始和终止日期和时间。
(7) 在“过滤类别”处设定查询字段满足的条件
在左侧列表框中选择查询字段,中间的列表框中选择匹配的精确度(“包含”或“等于”),在右侧的文本框中输入匹配的条件。
· 如果只需设定一个查询条件,则只能在红色框内设定条件,绿色框内选择“---”,蓝色框内即使设定条件也不生效。蓝色框内即使设定条件也不生效。
· 如果需要设定两个查询条件,则需要在红色和蓝色框内同时设定查询条件,然后还必须在绿色框内选择这两个条件之间的关系:“与”表示查询同时满足两个条件的日志信息,“或”表示查询满足其中一个查询条件的日志信息。
(8) 在“操作”处选择对符合查询条件的日志所采取的操作,可选项为“搜索”或“清除”。
(9) 单击“运行”按钮。
如果选择“搜索”,则列表中将显示符合条件的日志信息。
如果选择“删除”,则系统将弹出如下提示框,管理员确认后符合条件的日志将直接从设备硬盘中删除掉。
WAF设备能够产生可定制的行为报表。有多种报表模板可用以定制信息以满足各种各样需求。可用报表模板如下所列:
· 综合报表:包括系统网络流量、系统的CPU和内存使用率、会话的综合报表。
· 攻击报表:包括攻击事件时间分布图、攻击类型比例图,排列在前N位的服务器攻击事件、攻击事件次数地区排名、客户端攻击事件等的报表。
· 访问报表:包括访问事件时间分布图、排列在前N位的服务器访问事件、访问事件次数地区排名、客户端访问事件等产生的报表。
· 病毒报表:包括病毒事件时间分布图、排列在前N位的服务器病毒事件、服务器域名病毒事件排名 、客户端病毒事件,病毒上传事件等产生的报表。
· 爬虫报表:包括爬虫事件时间分布图和排列在前N位的爬虫访问事件。
· 威胁防御报表:包括前N名事件来源、前N名事件目的、事件趋势图等产生的报表。
系统所产生的报表包含分类图例和事件分析。管理员可按需产生日志报表,或通过配置循环时间表来让系统自动产生报表。所产生的报表可保存到本地硬盘或通过电子邮件发送给安全管理员。管理员还可查看本地硬盘上报表并将其输出到您的PC机上。
报表配置包括:
· 已生成的报表:查看定期生成和即时生成的所有报表,
· 定期生成报表:根据不同的统计周期可以生成日报表、周报表。
· 即时制作报表:手动生成报表。
“已生成报表”包括按照管理员的设置定期生成和即时生成的所有报表信息。管理员可查看、下载或删除已产生的报表。
(1) 选择 日志报表 > 日志 > 已生成报表, 界面如下图所示。
(2) 查看报表详细信息,单击“报表类别”中的具体报表,可以查看报表详细信息。报表以列表和柱状图的方式直观地显示了各种统计信息,不同类型的报表包含的内容有所区别。
(3) 单击“导出”一栏的图标,可以下载报表到管理员本地PC机上。
(4) 选择报表并单击“删除”按钮可以删除相应的报表。
当前,如果已生成报表内容超过了设置的报表保存磁盘空间,WAF不会自动删除之前的报表且不能再继续生成报表,需要管理员手动删除之前的报表(系统日志中会有相关日志提示)
管理员可根据需要,设置定期产生报表。根据不同的统计周期可以生成日报表、周报表。报表可以在设备本地保存,也可配置为自动提供到管理员的电子邮件账户中。
(1) 选择 日志报表 > 报表 > 定期生成报表。界面如下图所示。
(2) 选择生成的报表类型和具体参数。
在“报表”部分,可以选择是否生成“综合报表”、“攻击报表”、“访问报表”、“病毒报表”和“爬虫报表”五种报表。选择报表类型后,点击该报表类型左侧的“
”,可以查看到报表中包含的具体内容,并可以在“数目”处设置在报表中显示排列在前几位的统计信息。如下图所示。
(3) 选择报表的统计对象
默认情况下,选择“所有”,则系统为所有在安全组中设置的服务器生成报表信息。
如果仅需要为特定的服务器主机、特定子网中的服务器生成报表,则选择“选定:服务器范围(/掩码)”,并在右侧文本框中输入IP地址及子网掩码信息。
如果仅需要为特定的域中的所有服务器生成报表,请选择“选定:域名”,并在右侧的文本框中输入域名即可。
(4) 在“计划时间”部分进行设置,可以同时生成日报表和周报表:
· 选择“每天”则系统将在每天的指定“时间”生成日报表。
· 选择“每星期”,并选择在每周的星期几生成报表,则系统将在每周当天的指定时间产生周报表。
(5) 选择报表的保存方式:
在“对生成的报表的操作”处设置报表的保存方式:
· 选择“本地保存”则将保存报表到设备的硬盘上。
· 选择“邮件发送”,系统将通过电子邮件向设定的管理员邮件账户中发送报表。
如果不选择“本地保存”,则在本地磁盘中不存储生成的报表,则管理员无法在“已生成报表”处查看报表。
(6) 单击“应用”保存设置。
即时制作报表用于手动生成报表。产生的报表将自动保存到本地硬盘,但无法以电子邮件形式发送。报表产生后,可在WebUI界面查看与下载。
(1) 选择 日志报表 > 报表 > 即时制作报表。
(2) 在“报表”部分,可以选择是否生成“综合报表”、“攻击报表”、“访问报表”、“病毒报表”、
“爬虫报表”和“威胁防御报表”六种报表。选择报表类型后,点击该报表类型左侧的“”,可以查看到报表中包含的具体内容,并可以在“数目”处设置在报表中显示排列在前几位的统计信息。如下图所示。
(3) 选择报表的统计对象,默认情况下,选择“所有”,则系统为所有的服务器生成报表信息。如果仅需要为特定的服务器主机、特定子网中的服务器生成报表,则选择“选定:服务器范围(/掩码)”,并在右侧文本框中输入IP地址及子网掩码信息。如果仅需要为特定的域中的所有服务器生成报表,请选择“选定:域名”,并在右侧的文本框中输入域名即可。
(4) 选择生成报表的周期,在“选择时间范围生成报表”部分进行设置:
· 可以选择“今天”、“昨天”、“过去7天”、“过去14天”、“过去30天”或随意设定起始和结束时间。
¡ “今天”:指的是当天00:00:00到当前时刻的统计信息。
¡ “昨天”:指的是昨天00:00:00到23:59:59的统计信息。
¡ “最近7天”:指的是今天23:59:59之前七天的统计信息。
¡ “最近14天”:指的是今天23:59:59之前14天的统计信息。
¡ “过去30天”:指的是今天23:59:59之前30天的统计信息。
· 也可以在“从”和“到”右侧的列表框中,随意指定起始和结束的日期和时间。
(5) 单击“应用”立即产生指定报表。报表产生后,管理员可以选择“已生成报表”页面来查看报表。
在出厂配置中,设备物理接口都工作在透明模式且都属于VLAN1,管理IP地址分配到的是VLAN1接口。初次登录设备,管理员可通过GE0/0经由VLAN1通过WebUI界面配置WAF,然后再根据自身的网络状况配置接口的相关属性。只要在物理接口上开放了相关的管理控制服务(HTTPS、SSH、PING、SNMP等),就可以通过该物理接口来管理设备。
本节介绍基本的网络配置,包括:
· 设置接口工作模式
· 查看接口信息
· 编辑网络接口属性
WAF的任何物理接口都可以以路由模式或透明模式运行。首选部署模式是透明模式,因为它要求网络所做改动最少。
· 路由模式, WAF设备可以作为连接多个子网的静态路由器,但并不支持动态路由。
· 透明模式,WAF设备的透明模式实施的操作类似于网络第2层网桥设备。数据包可在接口接收并进行快速检查以确定应用类型,无需对数据包头中所包含的以太网、IP及TCP寻址以及端口信息进行修改。
选择 网络配置 > 网络接口,界面如下图所示。
图7-1 网络接口
显示设备所有的网络接口和VLAN虚接口信息。
表7-1 网络接口参数说明
|
参数 |
说明 |
|
名称 |
显示接口名称。 |
|
聚合接口 |
显示此网口属于哪个聚合接口。 |
|
IP地址 |
显示接口的IP地址。接口工作在透明模式时其IP地址显示为0.0.0.0。 |
|
Mac地址 |
显示接口的MAC地址。 |
|
连接状态 |
红、绿箭头表示接口的当前链路状态。绿箭头意味着接口已连接网络。 注: vlan1是虚拟的逻辑接口,受所有以透明模式配置的接口的限制。如果所有透明模式接口都处于断开状态,那么vlan1也将处于断开状态。如果任一个透明模式接口处于连接状态,那么vlan1接口也将显示为连接状态。 |
|
模式 |
显示接口的运行模式:透明模式或路由模式。 |
|
速率/双工 |
显示接口的速率:自动,10、100或1000,双工通讯设置:自动,全双工或半双工。 |
|
安全区域 |
显示该接口所属安全区。 |
“连接状态”UP、DOWN指的是该接口实际连接状态
单击您要编辑的接口名,或者先选择接口,然后单击“编辑”按钮来编辑接口属性,界面如下图。
图7-2 编辑网络接口属性
参数信息如下:
表7-2 网络接口属性参数说明
|
参数 |
说明 |
|
IP地址/子网掩码 |
如果您给接口选择的是路由模式,那么请输入接口的IP地址和子网掩码。 |
|
接口模式 |
选择接口的工作模式:“透明”或“路由”模式。 |
|
管理访问 |
指定允许管理员用以访问接口的协议:HTTPS、SSH、PING、SNMP。 注:由于反代代理接口如果开启了HTTPS的权限,用户也可以通过HTTPS访问代理IP登录到WAF页面,存在安全风险,因此,反代代理口建议不要开启HTTPS权限 |
|
端口状态 |
选择“Up”启用管理员端口/接口,允许接口的管理访问,选择“Down”禁用该接口,拦截接口的管理访问。 |
|
连接类型 |
指定接口的传输速率和双工设置。 自动协商:接口将与其它终端进行协商,实现最适合的设置。 固定的:指定接口的速率(每秒10、100或1000 MB)和双工设置(半双工或全双工)。 |
修改后,点击“应用”按钮使修改生效。
“端口状态”UP、DOWN指的是取消手动shutdown以及手动shutdown
在双机模式下网络接口配置不同步
WAF的接口能够同时支持IPV4和IPV6双栈,当工作在IPV6环境中时,需要将接口设置IPV6相关属性。
(1) 选择 网络配置 > 网络接口(IPV6),界面显示各个接口的属性。
图7-3 网络接口(IPV6)
(2) 编辑接口属性
单击您要编辑的接口名,或者先选择接口,然后单击“编辑”按钮来编辑物理接口和VLAN虚接口的属性。
编辑接口属性的界面如下图所示。
图7-4 编辑网络接口(IPV6)
参数配置如下:
表7-3 网络接口(IPV6)参数说明
|
参数 |
说明 |
|
IP地址/子网掩码 |
如果您给接口选择的是路由模式,那么请输入接口的IPV6格式的IP地址和子网掩码,然后点击“添加”按钮即可。 |
|
接口模式 |
选择“透明”或“路由”模式。 |
|
管理访问 |
指定允许管理员用以访问接口的协议:HTTPS、SSH、PING、SNMP。 |
|
端口状态 |
选择“启动”启用管理员端口/接口,允许接口的管理访问,选择“关闭”禁用该接口,拦截接口的管理访问。 |
|
连接类型 |
指定接口的速率和双工设置。 自动协商:接口将与其它终端进行协商,实现最适合的设置。 固定的:指定接口的速率(每秒10、100或1000 MB)和双工设置(半双工或全双工)。 |
修改后,点击“应用”按钮使修改生效。
聚合接口可以通过将多个物理接口进行绑定当做单一的逻辑连接来处理,通过聚合接口可实现多个端口并行连接同时传输数据以提供更高的带宽、更大的吞吐量和可恢复性。
选择 网络配置 > 聚合接口
图7-5 聚合接口
更改聚合模式,点击应用后,web界面会仍显示为切换之前的聚合模式,但保存并重启系统后可以显示为更改后的聚合模式。
参数说明:
表7-4 聚合接口参数说明
|
参数 |
说明 |
|
名称 |
聚合接口显示名称,目前预置了4个聚合接口名称bond0、bond1、bond2、bond3。 |
|
状态 |
显示聚合接口运行状态,状态分为两种:启用、禁用。 |
|
模式 |
显示聚合接口运行模式,运行模式分为两种:路由模式、透明模式。 |
|
IP地址/子网掩码 |
聚合接口配置的IP地址。 |
|
接口组 |
对接口进行组合编辑。 |
|
聚合模式 |
当前只支持平衡轮询模式与802.3ad两种方法。 |
设置聚合接口方法:
单击您要编辑的接口名,或者点击需要编辑的接口后的 “编辑”按钮来编辑聚合接口的属性,编辑接口属性的界面如下图所示。
图7-6 配置聚合接口
1、 将聚合接口添加成员口前,需要先设置聚合口为启用状态,之后再编辑该聚合口添加成员接口
2、 对路由模式的聚合口设置IP,需要注意IP不能与WAF上其他接口的IP冲突;此外,IP的子网掩码不支持设置为0或32位
3、 如果需要将一个已配置了IP的路由模式聚合口修改为透明模式聚合口,需要先将IP和子网掩码删除、点击确定,之后再进入该聚合口修改其模式为路由并点击确定
云Web应用防火墙不支持此功能。
WAF部署在串行链路上时,单一接口故障就会使整个网络瘫痪,使用接口联动可以在单一接口down的时候使得另外一共工作的接口同时down,从而切通知其余设备切换到备用链路。
选择 网络配置 > 聚合接口,如下图
图7-7 接口联动
添加接口联动:
图7-8 配置接口联动
一个联动组最多只能添加两个接口,且不支持添加聚合接口。
ARP表可以记录经过设备的IP与MAC地址对应关系,并记录该IP经过设备使用的接口,界面如下图:
选择网络配置 > ARP表
图7-9 ARP表
参数说明:
表7-5 ARP表参数说明
|
参数 |
说明 |
|
IP地址 |
显示经过设备的IP地址 |
|
MAC地址 |
显示每条IP地址所对应的MAC地址 |
|
接口 |
显示该IP地址经过设备使用的接口 |
云Web应用防火墙不支持此功能。
虚拟局域网(VLAN)是一种在物理网络中创建独立逻辑网络的方法。目前配置虚拟LAN使用的主要协议是IEEE 802.1Q协议,它描述了如何能通过采用额外字节来标记帧或数据包,以指出数据包所属虚拟网络,从而将单个物理网络上流量分割成多个虚拟LAN。
VLAN不管是属于哪个网络段,只要拥有相同VLAN ID均可相互通讯。例如:位于多个地点的R & D部门可能所属网络不同,但如果您将它们配置为具有相同ID的VLAN,它们就能象在同一网段一样相互通讯。
一个VLAN就是一个广播域。VLAN仅面向属于VLAN或干线链路的端口广播。因此,如果您在同一接口上添加了多个VLAN,那么您最好缩小广播域范围,这样能减少流量并提高安全水平。
WAF的物理接口可支持基于端口的VLAN(接入模式)和802.1Q干线VLAN(干线模式):
· 在接入模式中,一个物理接口只属于一个VLAN。
· 在干线模式中,一个物理接口可属于多个VLAN。
设置VLAN方法为:
(1) 选择网络配置 > 虚拟局域网,配置界面如下图。
图7-10 虚拟局域网
(2) 在右上角的下拉列表框中选择需要设置的接口,根据接口所连接的交换机接口的工作模式(Access口或Trunk口),相应地选择接口的工作模式。
· Access口:只需选择“访问VLAN”,并在右侧的文本框中设置所属的VLAN ID即可。
· Trunk口:需要选择“802.1Q VLAN”,并设置本接口所属的多个VLAN ID号。
在右侧的文本框中输入ID号,选择“添加”,然后点击“应用”按钮,可以添加该接口所属的VLAN ID,新加的VLAN ID将显示在左侧的文本框中。
在左侧文本框中选择已经添加的VLAN ID号,选择“删除”,并点击“应用”按钮,可以删除该接口所属的VLAN ID,被删除的VLAN ID将从左侧的文本框中消失。
接口工作在Trunk模式时,其Native VLAN为VLAN1。
默认情况下,所有的物理接口都属于VLAN 1。分配一个接口到VLAN 1则需要选择“Native VLAN”,然后点击“应用”按钮即可。
管理员可以配置静态MAC地址转发表,这样当设备转发二层数据报文时,无需经过学习,直接根据静态MAC地址表即可进行数据报文的转发。
(1) 选择网络配置 > 静态MAC地址。
图7-11 静态MAC地址
(2) 添加规则
图7-12 添加静态MAC地址
参数说明:
表7-6 静态MAC地址参数说明
|
参数 |
说明 |
|
MAC地址 |
指定MAC地址。 |
|
VLAN |
选择一个允许MAC地址所属的VLAN虚接口。 |
|
接口 |
选择该MAC地址的数据报文的转发接口。 |
(3) 点击“应用”按钮保存设置。
路由表中显示所有直连路由、静态路由和默认路由。
· 直连路由:如果工作在路由模式的物理接口和VLAN虚接口已经分配了IP地址,则自动在路由表中添加直连路由。
· 静态路由:配置静态路由后,去往指定目的地的数据报文将按照管理员指定的路径进行转发。
· 默认路由:如果报文的目的地址不能与路由表的任何入口项相匹配,那么该报文将根据默认路由进行转发。如果没有默认路由,且报文的目的地不在路由表中,那么该报文将被丢弃,将向源端返回一个ICMP报文报告该目的地址或网络不可达。
(1) 选择网络配置 > 路由表。
图7-13 路由表
可以查看到所有的直连路由、静态路由和默认路由。“网关”一栏显示“直连”时表示为直连路由,目的地址和子网掩码为0.0.0.0的为默认路由,其他的为静态路由。
(2) 添加静态路由
a. 点击“添加”按钮,界面如下图所示。
图7-14 添加路由
添加静态路由时不能勾选“添加为默认网关”。
“目的”处输入目的IP地址。
“子网掩码”处输入目的地址的子网掩码。
“网关”处指定路由转发的下一跳的IP地址。此地址不能为本地接口的IP地址,否则路由不会生效。
b. 单击“应用”按钮。
(3) 添加默认路由
a. 点击“添加”按钮,并勾选“添加为默认网关”,界面如下图所示。
图7-15 添加默认路由
在“网关”处指定路由转发的下一跳的IP地址。此地址不能为本地接口的IP地址,否则路由不会生效。
b. 单击“应用”按钮。
(4) 删除静态路由或默认路由,在列表中选择一个或多个表项,点击“删除”按钮即可。
PV6路由表中配置IPV6路由信息,其中的网络地址是IPV6格式的地址。
配置IPV6路由表的步骤为:
(1) 选择网络配置 > 路由表(IPV6)
图7-16 路由表(IPV6)
可以查看到所有的已经添加的IPV6路由。
(2) 添加静态路由
a. 点击“添加”按钮,界面如下图所示。
图7-17 添加路由(IPV6)
“目的IP/子网掩码”处输入IPV6格式的目的IP地址及其子网掩码。
管理员可以在“网关”处指定路由转发的下一跳的IP地址。此地址不能为本地接口的IP地址,否则路由不会生效。也可通过指定下一跳转发接口的方式指定转发接口。
b. 单击“应用”按钮。
(3) 删除路由,在列表中选择一个或多个表项,点击“删除”按钮即可。
安全区域功能为用户提供区域设置功能,用户可以建立多个不同的安全区域,通过安全区域的划分用户可以实现非对称路由的实现。用户在设定好安全区域后在网络接口中可将接口放置在安全区域下,从逻辑上将物理接口进行划分以实现非对称路由的实现。
配置界面如下:
选择网络配置> 安全区域,界面如下图所示。
图7-18 安全区域
参数说明
表7-7 安全区域参数说明
|
参数 |
说明 |
|
名称 |
安全区名称。 |
|
包含接口 |
显示此安全区中包含的接口名称。 |
|
非信任zone |
设置是否对从这个安全区发起的访问请求进行安全检查。 |
WAF设备支持使用虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)实现设备的双机热备功能。本节介绍如下内容:
· HA工作原理
· 如何建立HA集群
· HA基本设置
Bypass功能可以使得在设备故障的情况下,保证客户网络的运行,提高网络的稳定性。WAF提供可供配置的Bypass界面,客户可自定义Bypass和强制Bypass。
配置界面如下:
选择网络配置>高可用性> BYPASS配置,界面如下图所示
图7-19 BYPASS配置
参数说明:
表7-8 BYPASS参数说明
|
参数 |
说明 |
|
系统自动Bypass |
勾选后系统会根据CPU、内存自动跳转Bypass |
|
触发阀值 CPU使用率 |
当CPU使用率到达触发阀值时,设备跳转到Bypass状态 |
|
内存使用率 |
当内存使用率到达触发阀值时,设备跳转到Bypass状态 |
|
正常阀值 CPU使用率 |
当CPU使用率到达正常阀值时,设备跳转到正常运行状态 |
|
内存使用率 |
当内存使用率到达正常阀值时,设备跳转到正常运行状态 |
|
强制Bypass |
使系统强制进入Bypass状态,此处指硬件Bypass,透明模式不再防护(云Web应用防火墙不支持此功能) |
勾选强制Bypass后,系统的安全过滤功能将不生效,直到手工取消强制Bypass。
WAF设备使用VRRP协议实现双机热备功能。两台设备组成一个备份组,两台设备都正常工作时,VRRP协议将根据设备的优先级不同,选举优先级高的设备作为主设备,承担流量的检测和过滤任务,优先级低的设备则作为从设备,处于备份状态。主从设备之间通过心跳线连接HA接口,主设备会按照设定的心跳间隔向从设备发送VRRP报文,通报主设备的状态,并将主设备的连接状态、配置信息等数据同步到从设备,保证主设备或主链路发生故障时,业务被自动引导到从设备上继续处理,从而避免流量在切换到从设备后主设备上建立的业务中断。
以下是WAF设备的主从切换过程:
(1) 设定心跳间隔,如果从设备在超过3个心跳间隔后依然没有收到主设备的VRRP报文,则认为主设备已经无法正常工作,从设备会自动切换为主设备。
(2) 设定监控接口来监控主设备各个接口的工作状态,通过选择监控接口,监控接口工作是否正常。并为监控接口设定不同的加权系数,表明接口的权重值,当监控接口Down掉导致接口的权重值降低超过一定的限值时,VRRP才认为主设备的接口出现故障,由从设备来接替主设备的工作。
(3) 设定监控主机来监控主设备连接的各个链路是否畅通,将链路上关键部位的主机设定为监控主机,设备向监控主机发送ping包来监控链路是否畅通。并为监控主机设定不同的加权系数,表明链路的权重值,只有当链路的权重值降低超过一定的限值时,VRRP才认为主设备的链路出现故障,由从设备来接替主设备的工作。
(4) WAF设备还提供手工切换主从设备状态的功能,当需要升级主设备时,直接进行主从切换即可。
(5) 如果主设备配置为“抢占模式”时,主从切换后,只要主设备工作回复正常,该主设备将主动通过抢占重新作为主系统。
建立HA集群,需要注意的是:①主用和备用WAF必须是同一型号,运行同一固件版本。②主用和备用WAF上所用的HA接口(心跳口)必须一样。例如:如果一个WAF设置eth4端口为HA接口,另一个WAF必须也采用eth4端口。而且HA接口必须采用路由模式且分配有静态IP地址,HA接口的对端地址必须位于同一子网上。
建立HA集群的步骤如下:
(1) 在主从WAF上分别进行HA设置,需要配置相同的集群IP地址、相同的心跳间隔,主设备的优先级高于从设备,并互相设置HA接口。具体请参见下节内容。
(2) 连接主从设备的HA接口形成心跳连接,用来在主从设备之间传输协商报文以及其它数据。HA接口可直接连接或通过交换机连接到系统上。
完成主、备用系统HA配置后,主系统的配置将自动同步到备用系统也可以在主设备上单击<同步>按钮,将执行主系统与备用系统的配置同步。然后即可连接HA集群到您的网络。
主从系统必须要采取相同的连接方式。例如:如果主系统采用eth0和eth1接口连接网络、采用HA接口连接HA从设备,则从设备必须在同样方式进行连接(eth0和eth1连接网络,采用HA接口连接HA主系统)。
在建立HA主/备用对前,您必须在两个WAF上配置HA设置。
(1) 选择网络配置 > 高可用性。
图7-20 高可用性
(1) 勾选“启用HA”,启用双机热备功能。
(2) 选择HA模式
分为“主备”和“主主”模式。
使用“主主”模式需配置交换机使用。
在“HA 状态”处管理员可以查看设备的当前工作状态,显示为“Master”表示设备为主设备,显示为“backup”表示设备为从设备。
主设备不会接收从设备从心跳口发送过来的VRRP报文。
(3) 配置备份组的虚拟IP地址和优先级
a. 在“HA优先级”处设置备份组的优先级,如果两个WAF同时启动,优先级数值高的WAF将成为HA集群中的主WAF。如果你想让一个WAF不论何时启动都是主WAF,那么优先级数值要设为254。优先级数值的有效范围为1-254。
(4) 设置心跳连接相关的属性
主从设备同步连接状态、配置信息等数据通过心跳连接进行。
a. 在“HA接口”处选择本地心跳口。
· 两个心跳接口在主从设备必须使用同一个端口。例如:如果您在主WAF上设置eth3端口为心跳口进行HA连接,那么您在备用WAF上也必须采用eth3端口为心跳口。
· 选的HA心跳接口必须工作在“路由模式”,必须分配有IP地址。
b. 在“对等IP处”配置对端心跳口的IP地址。分配给主从设备上的HA心跳接口的IP地址必须位于同一个子网内。
c. 在“保持间隔”处设置主从设备之间发送心跳报文的时间间隔。如果从设备在连续三个保持间隔内均没有收到主设备发送的心跳报文,则从设备将假设主设备已关闭,自行承担起主设备的角色。
(5) 手工故障切换
点击“设置Failover”可以手工强制切换HA状态。
即:当WAF正在作为备份组中主WAF运行时,单击“设置Failover”将可让该WAF担任备用角色,而之前备用WAF将成为主WAF。要想结束设备的故障切换状态并让该WAF恢复到主WAF角色,请单击“取消Failover”。在执行固件升级时这一选项会起到很大作用。
升级固件时,主从两个WAF上固件都必须进行升级,建议采用如下步骤:
(1)先升级备用设备。
(3)升级主设备,
(4)再次进行手工故障切换。
(6) 采用监控接口权重值作为HA故障切换触发器
“监控接口”相关配置界面如下图。
图7-21 配置监控接口
a. 在“启用”一栏选择监控接口,则系统将监控接口工作是否正常。
b. 在“加权系数”处设定该接口的权重值,以控制HA故障切换事件发生的时间,避免过早的故障切换事件。设置范围为1-32。在主设备通告的VRRP报文中包含监控接口的工作状况及其权重值。备用设备会计算其处于UP状态的监控接口的权重值之和,并和主设备的相应计算结果进行比较。如果备用系统高于主系统,则备用系统认为主系统已发生故障,将自动切换到Master状态。
· 在主和备用系统上接口权重值可分开配置,二者的权重值无需同步。
· 为有效使用接口权重值来作为故障切换触发器,您在主系统上分配的权重值必须比备用系统要高。
(7) 采用监控主机权重值作为HA故障切换触发器
图7-22 配置跟踪
a. 设置“跟踪超时”, 设备向监控主机发送ping包来监控和主机的连接是否畅通,如果在此处设定的时间内未接收到回应的报文,则认为该主机不可达。
只有连续3次向跟踪主机发送ping包均不可达,才认为此链路不通。
b. 设置“设备切换频率临界值”,主设备会计算其出现故障的链路的权重值之和,并和此处设置的“设备切换频率临界值”进行比较。只有当断开的探测链路的权值之和不低于该处设定的值时,VRRP才认为主设备的链路出现故障,由从设备来接替主设备的工作。例如此处设定23,监控主机1的权值为12,监控主机2的权值为15,则链路1和链路2必须同时断开时他们的权值之和才大于23,设备才由“主状态”切换到“从状态”。如果此处设定为11,则链路1和链路2任何一条链路断开后设备都将发生状态切换。
c. 在“跟踪主机IP地址”处输入链路上关键部位的主机IP地址,设备向监控主机发送ping包来监控链路是否畅通。
d. 在“加权系数”处为监控主机设定不同的加权系数,表明链路的权重值。
(8) 设置是否启用“抢占模式”
如果在主备用系统中,客户要求仅当主设备出现故障时切换到备用设备,只要主设备工作恢复正常,该主设备将主动通过抢占重新作为主系统。则需要启用“抢占模式”。
图7-23 配置抢占
在设置抢占的同时,还可以设置“延迟时间”。这样可以使得从设备延迟一段时间切换成为Master。其目的是这样的,在性能不够稳定的网络中,Backup可能因为网络堵塞而无法正常收到Master的报文,配置了抢占延迟时间后,可以避免因网络的短暂故障而导致的备份组内路由器的状态频繁转换。
延迟的时间以秒计算,可设置范围为0~600。设置为“0”值时主设备将在成功重启和恢复后立即抢回“主系统”状态。WAF设备支持使用虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)实现设备的双机热备功能。
主备配置同步有如下说明:
· 网络配置栏:
1、网络接口中反向代理接口和聚合接口信息会同步,其它均不会同步
2、接口联动、虚拟局域网、静态MAC地址、路由表、安全区域配置会同步,ARP表信息不会同步
3、高可用性中BYPASS配置会同步,高可用性HA配置中跟踪主机和监控接口相关信息会同步,其它不会同步
· 安全策略栏:
1、策略引用、WEB安全策略、入侵防护策略、自学习、防DDOS/CC攻击、全局黑名单、动态攻击黑名单等配置会同步
2、Web漏洞扫描,证书管理不会同步
网络诊断提供丰富的网络测试功能,方便用户测试网络连通性与抓取报文分析查看。
· Ping:测试设备到目的地址是否可达。
· TraceRoute:测试设备到达目的地址所经过的路由。
· Nslookup:域名解析。
· Tcpdump:将网络中传送的数据包的“头”完全截获下来提供分析。
选择网络配置> 网络诊断,界面如下图所示。
图7-24 网络诊断
参数说明:
表7-9 网络诊断参数说明
|
参数 |
说明 |
|
Ping |
输入要测试连通的目的IP地址,点击执行。 |
|
TraceRoute |
输入要查看路由的目的IP地址,点击执行。 |
|
Nslookup |
输入需要解析的域名,点击执行。 |
|
TCPDump 数据包接口 |
选取要抓取数据包的接口,any为工具将抓任意地址和端口的双向流量。 |
|
TCPDump 协议 |
选取需要抓取数据包的协议类型。 |
|
TCPDump 源IP地址/端口 |
输入要抓取数据包的源IP、源端口号。 |
|
TCPDump 目的IP地址/端口 |
输入要抓取数据包的目的IP、目的端口号。 |
|
执行 |
执行所选的操作。 |
|
导出 |
导出Tcpdump所抓取的数据包。 |
|
停止 |
停止Tcpdump抓包。 |
网络诊断不支持中文域名。
“系统配置”页面包含以下内容:
· 主机:配置主机名称、启用SNMP、启用登录页面验证码、设置系统时间、配置DNS服务器。
· 侦测模式:设置侦测模式。
· 邮件配置:发送邮件报警的账号电子邮件设置。
· 报表:报表保存设置。
· 日志:日志磁盘保存、启用日志记录和发送到SYSLOG服务器设置。
· 警告通知:邮件、短信、SNMPtraps、告警或重定向配置。
· 高级选项:HTTP连接超时和专家模式配置。
管理员可以在此修改主机名,即设备的标识符,设备发送的日志信息中含有设备的标示符。还可以启用设备中的SNMP代理,SNMP管理设备可以读取设备的相关信息。还可以启用登录页面验证码,提高账号登录的可靠性。为了保证系统时间的精确性,管理员可以在此手工修改设备时间,也可以直接连接NTP服务器对系统时钟进行同步工作。还可设置DNS服务器的相关信息。
选择 系统配置 > 主机,可以设置主机相关信息。
图8-1 主机
设置包括:
· 设备名称
· 启用SNMP代理
· 启用登录页面验证码
· 设置系统时钟
· 设置DNS服务器
管理员可以查看和修改设备名称。
在“当前主机名”处显示设备的当前名称。
在“新主机名”下,管理员可以输入新的名称。主机名可由英文字母、数字和下划线‘_’等组成。
点击“应用”按钮完成修改。
WAF可以配置为允许只读SNMP polling,以接受SNMP管理设备的查询请求,从而读取设备的相关信息。
(1) 需要勾选 “启用SNMP”。
(2) 在“只读Community”处设置设备的SNMP代理对SNMP管理软件进行认证的字符串。认证通过后,WAF就可以接受SNMP管理设备的查询请求,从而读取设备的相关信息。出于安全考虑,推荐修改默认字符串。
(3) 要想设备接受SNMP管理设备的查询请求,还要求在设备用于接收SNMP请求的接口上启用SNMP管理功能。
(4) SNMP读取到的信息发生变化不能实时生效,需保存配置后重启方可生效。
(5) SNMP服务链接的情况下,mib-2子树信息,不支持walk功能,需单独查询获取某一节点。
WAF可以设置在登录页面使用验证码,以提高账号登录的可靠性,防止恶意破解密码等行为。
勾选“启用登录页面验证码”,并应用即可。
WAF设置正确的时间对于日志和报表同步,以及定期进行特征库更新极为重要。为了设置系统时间,WAF提供了手动时钟设置与使用NTP服务器进行时钟同步两种方法。
图8-2 设置系统时钟
在“系统时钟”处显示打开WebUI界面时的系统时间。点击“刷新”按钮可以获取最新的系统时间。
· 手动修改系统时钟,选择时区和精确的系统时间,点击“应用”按钮完成时间修改。
· 使用NTP服务器同步系统时钟,勾选“启用NTP服务”。输入NTP服务器的域名,并设置自动同步时间间隔,则系统将自动按照一定的时间间隔和NTP服务器进行时间同步。
· 点击“默认配置”按钮,则NTP服务器的域名恢复默认配置。
· 设置完成后,点击“应用”按钮使设置生效。
启用NTP服务器对系统时钟进行同步时,必须保证WAF和NTP服务器的正确连接。
可指定WAF所用的主/备用DNS服务器。对于WAF来说,所有特征库的更新都是通过连接到服务器的域名来进行的,因此必须设置DNS服务器。DNS服务器应具备可靠性和可访问性。
图8-3 设置DNS服务器
设置完成后,点击“应用”按钮使设置生效。
WAF能以三种模式部署:旁路监听模式、透明模式和反向代理模式。选择最适合您网络的部署模式。WAF设备可以同时工作在透明模式和反向代理模式。
云Web应用防火墙仅支持反向代理模式。
· 旁路监听模式
WAF采用离线部署,部署于Web接入交换机的镜像端口上。交换机上的镜像端口必须可看到所有与Web服务器通信的流量。
图8-4 旁路监听部署模式
· 透明模式
WAF在网络中在线部署,串联部署在Web服务器前端,对进出Web服务器的HTTP/HTTPS流量进行实时分析检测、过滤,来精确判定并阻止各种Web应用入侵行为,阻断对Web服务器的恶意访问与非法操作,从而确保Web应用的安全。
图8-5 在线透明部署模式
· 反向代理模式
在反向代理模式下, WAF首先接受客户端对Web服务器的连接请求,根据安全规则对流量进行检测,过滤掉对Web服务器有威胁的恶意请求,将合法的请求转发给Web服务器,服务器收到请求后,服务器返回的数据也会首先转发给 WAF,WAF根据安全规则检查之后再返回给客户端,从而实现对Web服务器的安全防护。
图8-6 反向代理部署模式
设置系统的运行模式的方法为:
(1) 选择 系统配置 > 侦测模式。
(2) 选择一种检查模式。
图8-7 侦测模式
选择设备的监控模式:可选择“旁路监听模式”或者“透明/反向代理模式”,WAF可以同时工作在透明模式和反向代理模式。
选择监控模式后点击“应用”提交配置,并点击页面右上方的“保存配置”按钮,然后重启设备。
1、 在配置旁路监听模式前,必须指定一个独立的管理接口,并配置该接口工作在路由模式。
2、 当前反代模式下,上传文件大小有如下注意事项:
(1) 若设备出厂版本为R6713,或者升级至R6713版本后恢复了出厂设置,在设备没有流量情况下,可以上传2G以内的文件;升级至R6713后没有恢复出厂设置,在设备没有流量情况下,可以上传500M以内的文件;
(2) 若需要上传500M以上2G以下大小的文件,可以使用admin用户登录后台,执行如下命令:
enter security-profile default-security-profile
set http upload_block filesize_limit 10
exit
save configuration
(3) 设备流量会影响上传文件大小,流量越大,实际能上传成功文件会越小。
(4) 后台输入命令后,修改文件缓存的大小为10M,当文件大小超过10M时,WAF策略>敏感词应用域>POST表单规则会因无法检测而失效。
3、 当前反代模式,仅支持选择一个接口作为反代口,可以是单个物理口或是聚合口。
配置反向代理模式的具体参数。
当选择“反向代理模式”时,管理员还需要进行如下配置:
点击“配置”按钮,界面如下图所示。
图8-8 反向代理模式配置
a. 配置反向代理接口
在“反向代理接口”处配置接收反向代理请求的接口,该接口必须工作在透明模式。然后单击“应用”按钮保存设置。
图8-9 配置反向代理接口
b. 配置反向代理规则
点击“添加”按钮,在下图所示的界面中配置反向代理IP到目标Web服务器IP的映射规则,反代模式支持将BOND口配置为反代接口。
图8-10 配置反向代理规则
反代模式支持HTTPS的安全代理,其中, “代理IP地址/子网掩码”处设置WAF接受外部Web连接请求的本地虚接口Veth1的IP地址及其子网掩码。
“代理监听端口”配置Web服务器提供服务的端口号,必须与“服务器IP地址:端口”处设置的端口号一致。
“主机名”配置反向代理IP所对应的提供Web服务的具体域名。当一个IP上配置有多个Web服务器时需要配置该选项。
“服务器IP地址:端口”处填写WAF所代理的Web服务器的真实IP地址及其子网掩码,以及提供Web服务的端口号。
然后单击“应用”按钮添加映射规则到设备。
c. 配置负载均衡规则
在多个Server提供相同服务的情况下,为保证整个系统的相应速度,可通过WAF对服务器进行负载均衡部署。
在“服务器组”点击“添加”按钮,在下图所示的界面中配置负载均衡服务器信息。
图8-11 配置服务器组
“服务器组名称”配置被保护服务器组的名称。
“服务器IP 端口”配置需要加入到服务器组的IP地址及端口号。
点击“添加”按钮,加入到该服务器组中。
点击“应用”保存服务器组信息。
在“服务器负载均衡”中点击“添加”按钮, 在下图所示的界面中配置负载均衡映射信息。
图8-12 配置服务器负载均衡规则
“服务器组”选择需要建立负载均衡的服务器组。
“代理IP地址/子网掩码:端口”配置发布服务IP地址及端口。
“负载均衡算法”配置负载均衡采用的负载均衡算法,系统现提供三种算法:IP哈希、最少连接数、轮询。
“主机名”配置该服务器组提供服务的域名。
点击“应用”保存负载均衡配置信息。
d. 在配置服务器安全组时,将真实Web服务器地址加入到被保护的服务器列表中。
在反向代理模式下,需要特别注意的是:
· 当设置某个物理接口为反向代理接口时,该接口会被自动加入到vlan100中。
· WAF设备在反向代理模式下工作时,支持IPV4和IPV6之间的协议转换,即客户端和服务器端可以工作在不同的协议栈。
· 如果客户端到WAF为IPv6地址,WAF到服务器端为IPv4地址,则需要将反向代理监听地址设置为IPv6地址,WAF到服务器端的回连源IPv4地址需要由管理员手工配置在veth1接口上,同时保证两个协议栈的网络地址可达即可。
电子邮件警告配置用于配置电子邮件账户信息,用该账户向Web管理员发送各种通知,如HA失败事件、许可证过期警告提醒等等。推荐用户使用自己设置的邮件服务器。
配置电子邮件账户信息:
(1) 选择 系统配置 >邮件配置。
图8-13 邮件配置
参数说明:
表8-1 邮件配置参数说明
|
参数 |
说明 |
|
发送邮件地址 |
配置发送邮件的账号信息。 |
|
接收邮件地址 |
配置接收告警信息的邮件地址。可以设置多个接收人。 |
|
邮件转发服务器设置 |
如果电子邮件必须由外部的电子邮件服务器来收发,那么需要在“转发服务器的地址或名称”处指定SMTP服务器的IP地址和域名,并指定服务器所用的端口号。如果SMTP服务有安全连接要求,那么请勾选“服务器要求安全传输”选项。 |
|
SMTP认证 |
如果SMTP服务器要求认证发件人的账号和密码,则需要勾选“SMTP认证”,并设置SMTP用户名和密码。 |
|
使用邮件转发服务器发送 |
隔离邮件必须使用邮件转发服务器来转发邮件。告警邮件、扫描报告和报表邮件可以选择是否使用邮件转发服务器来转发邮件,不使用邮件转发服务器时,将使用系统内置的QMAIL服务器,推荐用户使用邮件转发服务器。 |
点击“应用”按钮完成配置。
WAF可根据管理员的需要产生并保存各类报表。所有报表都可保存在设备的本地磁盘上。管理员可指定报表保存的最长天数、报表文件可用的最大磁盘空间。
配置报表保存设置
(1) 选择 系统配置 > 报表。
图8-14 报表
(2) 在“报表保存天数”中,输入1-60间一个数字。
(3) 在“报表保存磁盘空间”中,输入1-1000间一个数字(单位:MB)。
(4) 单击“应用”。
设备根据管理员的设定在日志中记录相关行为。日志可保存在设备的硬盘上或发送到Syslog服务器。日志相关配置包括:
· 系统日志设置
· Syslog服务器设置
设定在设备本地磁盘的日志中记录哪些行为,以及日志磁盘的管理策略。
选择系统配置 > 日志 > 系统日志,来启用日志功能、配置磁盘使用率。
图8-15 系统日志设置
参数说明:
表8-2 系统日志参数说明
|
参数 |
说明 |
|
最长保存天数 |
日志保存最长天数。超过最长时限的日志将会被自动删除。 |
|
最大磁盘空间 |
日志可用的最大硬盘空间。有效范围为5000-715000 MB。 云WAF中有效范围为5000-45000MB。 |
|
最大使用率 |
设置系统使用率的告警阈值,如果使用率达到或超过百分比阈值,系统将发送报警电子邮件给管理员,警告管理员磁盘使用率高并删除或输出部分日志以清理磁盘空间。可设置数值范围为1 - 100。默认为95。 |
|
启用系统日志功能 |
选择记录下列哪些行为到日志: (1)攻击事件:记录监测到的针对Web服务器的攻击事件的日志。 (2)病毒事件:记录监测到的向Web服务器上传的文件中查杀到病毒的行为日志。 (3)访问事件:记录监测到的针对Web服务器的访问行为的日志。 (4)爬虫事件:记录网络爬虫识别和处理的日志。 (5)管理事件:记录管理员行为,包括系统登录、登出以及所做的系统变更。 (6)系统事件:记录所有非管理员系统行为,如:HA、更新和接口状态。 (7)入侵防护事件:记录所有入侵防护类型相关攻击事件 |
|
过滤关键字 |
设置了过滤关键字后,在管理员日志中则不显示包含该关键字的日志 |
点击“应用”按钮提交并保存设置。
WAF设备支持将本地存储的系统日志发送到一台或多台Syslog服务器,并可以限制只向Syslog服务器发送特定级别的出错消息。
WAF设备的日志消息共有7个级别:
· 紧急:最高级别消息,网络正遭遇严重问题。
· 警铃:警报级别日志消息,包括从HTTP流量中检测到的病毒和间谍软件。
· 关键:严重日志消息,记录影响系统功能的信息。比如:高CPU使用率、低内存和低HDD空间。
· 错误:错误日志消息,系指可能影响系统功能的错误。
· 警告:可能影响系统功能性的消息,比如:接口连接/断开状态。
· 提示:记录正常系统事件,比如:系统配置变更(管理员审计)。
· 消息:一般系统日志事件,比如:固件更新、病毒库更新。
可保存日志文件到最多三台Syslog服务器上。
(1) 选择 系统配置 >日志 > Syslog设置。
图8-16 Syslog设置
(2) 选择向Syslog日志服务器发送的日志类型,并勾选“启用Syslog日志”,则系统将根据配置向Syslog服务器发送日志。设备的日志分为七类:
· 攻击事件日志:记录监测到的针对Web服务器的攻击事件的日志。
· 病毒事件日志:记录监测到的向Web服务器上传的文件中查杀到病毒的行为日志。
· 访问事件日志:记录监测到的针对Web服务器的访问日志。
· 爬虫事件:记录网络爬虫识别和处理的日志。
· 管理事件日志:记录管理员行为,包括系统登录、登出以及所做的系统变更。
· 系统事件日志:记录所有非管理员系统行为,如:HA、更新和接口状态。
· 入侵防护事件日志:记录所有IPS攻击类型事件日志。
管理员可以通过勾选相应类型日志,设置具体发送哪些日志到Syslog服务器。
(3) 设置日志服务器参数。可保存日志文件到最多三台Syslog服务器上。
表8-3 Syslog参数说明
|
参数 |
说明 |
|
IP地址 |
设置Syslog服务器的IP地址。 |
|
端口 |
设置Syslog服务器接收日志的端口号。 |
|
级别 |
限制向Syslog服务器发送日志的最低级别。例如选择“错误”,则只向Syslog服务器发送级别为“错误”、“严重”、“警报”和“紧急”的日志信息。 |
(4) 单击“应用”按钮使设置生效。
WAF设备提供邮件报警和SNMP Trap报警功能,系统检测到HA故障和许可证快要到期时,检测到病毒、Web攻击、挂马事件、静态网页篡改事件会触发邮件报警,将通过“邮件配置”中设置的参数,向指定的管理员发送报警邮件电子邮件。
配置包括:
· 邮件警告
· 短信警告
· SNMP Trap报警
· 告警或重定向
WAF设备提供邮件报警功能,当启用病毒邮件报警、Web攻击邮件告警、挂马事件邮件告警、篡改事件邮件告警、HA告警和许可证告警后,当系统发生触发报警的事件时,将通过“邮件配置”中设置的参数,向管理员发送报警邮件,电子邮件报警设置可在全局使用,用于发送电子邮件报警通知Web管理员。
配置电子邮件报警阈值设置为:
(1) 选择系统配置 > 警告通知 > 邮件警告。界面如下图所示。
图8-17 邮件告警
(2) 发送病毒告警邮件的相关配置
a. 勾选“发送统一的病毒警告邮件”,启用病毒邮件报警功能。
b. 设置触发病毒邮件报警的条件,只有在设定的时间(默认为10分钟,可设定范围为1-1440分钟)内发生的病毒事件达到指定的次数(可设定范围为1-10000),才会发送病毒报警的电子邮件。
c. 设置报警邮件的内容,“病毒提醒”处显示系统默认的报警邮件的内容。管理员可以使用系统内置的邮件内容,也可以根据自身要求修改邮件内容。
(3) 发送Web攻击告警邮件的相关配置
a. 勾选“发送统一的Web攻击警告邮件”,启用Web攻击邮件报警功能。管理员可以选择发现哪些Web攻击事件时进行邮件报警,可选项为:跨站脚本攻击、SQL注入攻击、Webshell攻击、CSRF攻击、盗链告警、弱口令攻击、命令注入攻击、关键字过滤告警。管理员可以选择其中的一个或多个,也可以直接勾选“任何攻击”选择所有的事件。
b. 设置触发Web攻击邮件报警的条件,只有在设定的时间(默认为10分钟,可设定范围为1-1440分钟)内发生的Web攻击事件达到指定的次数(可设定范围为1-10000),才会发送Web攻击报警的电子邮件。
c. 设置报警邮件的内容,“Web攻击提醒”处显示系统默认的报警邮件的内容。管理员可以使用系统内置的邮件内容,也可以根据自身要求修改邮件内容。
(4) 挂马事件电子邮件报警配置
a. 勾选“发送统一的挂马事件警告邮件”,启用挂马事件的邮件报警功能。
b. 设置触发邮件报警的条件,只有在设定的时间(默认为10分钟,可设定范围为1-1440分钟)内发生挂马事件,系统就会发送挂马事件报警的电子邮件。
c. 选择报警事件,“挂马事件提醒”处显示系统默认的报警邮件的内容。管理员可以使用系统内置的邮件内容,也可以根据自身要求修改邮件内容。
(5) 篡改事件报警配置
a. 勾选“发送统一的篡改事件警告邮件”,启用篡改事件的邮件报警功能。
b. 设置触发邮件报警的条件,只要在设定的时间(默认为10分钟,可设定范围为1-1440分钟)内发生的静态页面篡改事件,系统就会发送篡改事件报警的电子邮件。
c. 选择报警事件,“篡改事件提醒”处显示系统默认的报警邮件的内容。管理员可以使用系统内置的邮件内容,也可以根据自身要求修改邮件内容。
(6) HA事件报警设置
如果您打算发送HA故障报警电子邮件,选择“启用HA事件报警”。
(7) 许可证过期报警设置
选择“启用许可证警告”,系统会根据“距许可证过期天数”处的设定,在距离订阅服务过期还剩余指定的天数时,系统会向管理员来发送通知消息。
(8) 单击“应用”按钮提交并保存设置。
(9) “默认配置”该按钮只能恢复告警模板中的信息
WAF设备提供短信告警功能,将重要的告警通过短信方式发送给相关维护人员,及时提醒维护人员及时处理设备故障,大大提高了系统的可用性。
(1) 选择 系统配置 > 警告通知 > 短信报警
图8-18 短信告警
(2) 配置下列信息
· 通过短信网关发送:可选“赛昂科技”“上海鸿联九五”“中国联通”。
· 业务小号:填写运营商提供的业务小号。
· 短信网关用户名:填写短信网关的用户名。
· 短息网关密码:填写短息网关的密码。
· 短信模板:用户可自定义短信模板,长度最长为70字符。
· 短信接收人:填写接受短信告警的手机号,最多可填写5个。
· 报警配置:
· Web攻击提醒:分为SQL注入攻击、跨站脚本攻击、命令注入攻击、Webshell攻击、弱口令攻击、CSRF攻击、盗链告警、关键字过滤告警。用户可根据需要手工配置需要告警的时间类型。
· 报警阀值:配置需要告警事件的触发频率,如1次/1分钟,则为触发1次即告警
(3) 配置完成后点击“应用”配置生效。
管理员可配置WAF发送SNMP trap报警信息到SNMP管理软件,目前只有病毒事件可以触发。
在SNMP服务器端,您可以监控WAF的系统行为。WAF支持所有符合SNMP v1和v2标准的SNMP管理软件。
您可指定最多三台的SNMP服务器来接收WAF设备的SNMP trap。指定SNMP服务器的步骤为:
(1) 选择系统配置 > 警告通知 > SNMP Traps 。
图8-19 SNMP Traps
(2) 配置下列设置:
Trap版本:选择SNMP服务器支持的SNMP trap版本,可选项为V1,V2。
每台SNMP服务器均需配置下列设置:
· SNMP服务器IP:指定SNMP服务器的IP地址。
· 共同体:指定设备的SNMP代理向SNMP服务器发送Trap报警时的密码字符串,两边的设置必须一致。
· 端口:指定SNMP 服务器接收Trap报警的端口号。
(3) 设置完成后点击“应用”按钮保存设置。
管理员可配置WAF设备保护被访问内容不可见且提供页面警告信息或重定向到指定页面。
(1) 选择系统配置 >告警通知 > 告警或重定向 。
图8-20 告警或重定向
(2) 配置下列设置:
· 阻止后动作:告警或重定向,选择告警则将阻止后的动作变为替换告警内容页面,选择重定向则变为替换告警内容为重定向到某个设定的URL地址。
· 告警内容:自定义告警内容的页面内容,按照HTML格式进行格式内容变更及填写。
· 重定向URL:自定义重定向页面的URL地址。
(3) 设置完成后点击“应用”按钮保存设置。
WAF高级模式为用户提供更精细的控制,包含针对HTTP连接超时时间设置、设置专家模式。
WAF能够实现针对HTTP连接超时时间的限制。
选择 系统配置 > 高级选项>高级配置。
(1) 设置“HTTP连接超时时间”,启用“HTTP连接超时时间”,超过指定时间,连接就会断掉。
(2) 单击“应用”。
专家模式采用了零拷贝技术,使性能有较高的提升。
专家模式与非专家模式的区别在于:
(1) 专家模式的吞吐性能指标要明显高于非专家模式;
(2) 专家模式不支持U-TURN(报文2次穿越)及非对称路径部署环境,但是非专家模式支持;
(3) 专家模式仅在透明模式及反向代理模式下支持。
因此,建议在性能要求较高且在部署环境支持的情况下使用专家模式。
选择 系统配置 > 高级选项>高级配置。
(4) 勾选“专家模式”;
(5) 单机“应用”;
(6) 保存配置并重启设备。
在系统维护菜单下,管理员可以执行如下的系统维护配置:
· 系统更新:系统固件和特征库的手工和自动更新。
· 配置管理:配置的导出、导入,恢复出厂配置等。
· 许可证:许可证文件的手工和自动更新。
· 系统重启。
· 技术支持:获取客服人员所需的技术支持文件。
管理员可以通过手工导入更新文件,或者设置定时任务自动连接服务器进行系统固件和特征库的更新。特征库的更新支持直接连接服务器和通过代理连接服务器两种方式。还支持对系统配置文件的管理,包括导出备份、导入更新、回复出厂配置等操作。
· 系统固件:进行系统软件的更新和系统配置管理。
· 特征库:设备直接连接H3C服务器进行特征库的更新。
· 代理认证:设备通过代理认证连接H3C服务器进行特征库的更新。
管理员可以查看WAF中固件现的有版本、以前版本、上次更新日期以及上次更新状态。还可进行固件升级或恢复旧的版本。
更新系统固件需要重启系统,这会导致暂时的服务中断。
(1) 选择 系统维护 > 系统更新 > 系统固件,界面如下图所示。
在“更新状态”处,管理员可以查看WAF中固件现的有版本、以前版本、上次更新日期以及上次更新状态。
(2) 更新固件
a. 在“更新Firmware”处,单击“浏览”按钮选择本地PC机上的固件图。
b. 选择固件升级的时间。可选择“立即更新”在文件上传完成后立即进行更新,或选择“定时更新”并选定更新固件的具体时间。
c. 点击“应用”按扭提交设置。
(3) 补丁更新
a. 在“更新补丁包”处,单击“浏览”按钮选择本地PC机上的补丁包。
b. 点击“应用”按扭提交设置。
管理员可查看所有特征库(包括病毒特征库和Web攻击特征库)的现有版本和更新状态。管理员还可设置更新间隔定期更新特征库,或通过手动更新方式立即更新特征库,也可以从本地导入更新文件对特征库进行离线升级。
(1) 选择菜单 系统维护 > 系统更新 > 特征库。如下图所示。
(2) 查看特征库信息
管理员可以在列表中查看当前系统中所有特征库的版本、上次更新时间以及上次更新状态。
说明如下表:
表9-1 特征库信息表参数说明
|
参数 |
说明 |
|
更新 |
显示所有特征库名称:病毒特征库、Web攻击特征库和IPS特征库。 |
|
版本 |
显示WAF上加载和运行的现有版本。 |
|
以前版本 |
如果之前安装过旧版本,显示旧版本号。 |
|
最近更新时间 |
显示上次更新的时间戳。 |
|
状态 |
显示特征库更新的状态。 “Updated”表明版本已下载并应用。 “Up to date”表示系统已联系H3C更新服务器,但发现运行的版本是最新的。 |
(3) 设置定期更新特征库
管理员可以设置系统按照固定的时间间隔(每隔数小时)或设置每天的某个时刻,连接“H3C更新中心”获取最新的更新信息。
a. 勾选“特征库/引擎自动更新”。
b. 选择更新间隔。选择“按小时”,并指定更新间隔为几个小时。默认为1个小时。选择“按日期”,并指定每天下载更新的时间。如果您输入00:00,系统将在午夜下载更新。
c. 单击“应用”。
· H3C布置有多个更新中心,系统将自动选择连接最佳服务器来下载更新。系统根据域名连接更新中心,因此需要管理员事先设置好DNS服务器。
· 推荐配置更新时间表为每4-8小时轮询更新服务器来为WAF系统配备最新的特征库,阻止最新的威胁进入您的Web服务器。
(4) 手动立即更新特征库
即便配置了自动更新功能,您仍可手动方式立即更新病毒特征库和Web攻击特征库。
a. 选择菜单 系统维护 > 系统更新 > 特征库。
b. 在“更新”下,选择“手动更新病毒定义特征库”,或“手动更新Web攻击特征库”,然后点击“应用”按钮完成手动更新。
(5) 离线更新特征库
管理员可以通过从本地导入更新文件对特征库进行离线升级。
a. 选择菜单 系统维护 > 系统更新 > 特征库。
b. 在“更新”下,选择“本地更新病毒定义特征库”,或“本地更新Web攻击特征库”,点击“浏览”按钮选择特征库更新文件,然后点击“应用”按钮完成更新。
(6) 回滚旧版本特征库
选择“回滚到先前的病毒特征库”或“回滚到先前的Web攻击特征库”,然后点击“应用”按钮即可将特征库恢复到“更新状态”列表中显示的“以前版本”。
例如,下图中病毒特征库IPS特征库和Web攻击特征库的“先前版本”分别为1000.00 、1000.00和1001.47。则点击“回滚到先前的病毒特征库”按钮,系统会将病毒特征库恢复到1000.00版本,点击“回滚到先前的IPS特征库”按钮,系统会将IPS特征库恢复到1000.00版本,点击“回滚到先前的web攻击特征库”按钮,系统会将web攻击特征库恢复到1001.47版本。
WAF要更新特征库,就必须能连接到互联网。如果WAF通过代理服务器连接互联网,那么您必须配置代理认证设置。
配置方法为:
(1) 选择菜单 系统维护 > 系统更新 > 代理认证,界面如下图。
参数说明如下表所示:
表9-2 代理认证参数说明
|
参数 |
说明 |
|
启用代理认证 |
设置是否启用代理认证功能。如果WAF需要通过代理服务器连接互联网,那么请选择该选项。 |
|
认证机制 |
依据代理服务器认证方法,选择下列选项: 1)None-auth: 如果代理服务器不要求认证,那么选择该选项。选择好后,您只需指定代理服务器的IP地址和端口号即可。 2)Basic: 如果代理服务器使用本地用户名/密码数据库执行认证,那么选择该选项。选择好后,需要指定代理服务器IP和端口。 3)NTLM:如果代理服务器是依据远程Windows活动目录(AD)数据库认证用户,那么选择该选项。 |
|
域 |
如果代理服务器采用的是NTLM认证,那么您必须指定WAF所属的Windows域。 |
|
认证服务器IP地址 |
输入代理服务器的IP地址。 |
|
端口 |
输入局域网用以连接互联网的代理服务器端口。 |
|
用户名 |
输入代理服务器认证的用户名。 |
|
密码 |
输入代理服务器认证的密码。 |
(2) 点击“应用”按钮保存参数设置。
(1) 配置文件自动保存
配置自动保存配置文件的时间间隔。
· 如果配置时间间隔为0则不做自动保存
· 如果配置时间在0到30分钟内,系统将自动保存配置文件
(2) 管理配置文件
管理员可下载设备的配置文件到主机上、从管理主机上传配置文件到WAF上或将系统恢复到出厂默认配置。
· 上传系统配置,在“配置导入”处,单击“浏览”定位配置文件后,点击“应用”按钮即可。
· 保存系统配置,在“配置导出”处,单击“保存”即可保存文件到您的PC机上。
1、 配置文件加密存储,管理员无法查看与修改配置文件的内容。
2、 WEB漏洞扫描和证书管理模块的配置不支持导出。
(3) 恢复系统到出厂默认设置值
a. 在“恢复系统到默认策略”,单击“恢复”。弹出如下图所示确认框。
图9-6 恢复系统到出厂默认设置值
b. 在上图中单击“确认”按钮即可。
需要特别注意: 如果您恢复系统到出厂默认设置,您所有的配置变更都将丢失。包括管理IP地址都将恢复到出厂时的默认配置。
H3C互联网安全实验室会不断更新Web攻击特征库,以让WAF能根据最新的数据库来检测、阻止病毒和Web攻击。但是各种特征更新都是有使用期限的,其许可证到期后,想要获取最新的特征库更新,则必须更新许可证文件以获得授权,进而继续使用并及时更新特征库。
(1) 选择菜单 系统维护 > 许可证,界面如下图。
(2) 更新许可文件
单击“浏览”按钮并选择许可证密钥文件。然后单击“应用”按钮即可完成许可证文件更新。
管理员可通过WebUI远程重启或关闭WAF。
(1) 选择菜单 系统维护 > 系统重启。
(2) 从“操作列表”下拉列表中,选择一个动作:重启系统或关机。
(3) 单击“应用”按钮。
技术支持文件包含了关键的日志和系统核心文件,H3C技术支持团队根据这些文件处理并诊断系统问题。在采用H3C技术支持处理系统问题时,如有需要,可能会要求您产生技术支持文件并发送给H3C技术支持团队。
产生技术支持文件的方法为:
(1) 选择菜单 系统维护 > 技术支持。
(2) 单击“生成技术支持文件”。
(3) 保存文件到您的PC机上。
本节介绍如何在设备中设置管理员帐户的信息。管理员可以访问WAF设备并配置其操作。在设备初始安装完成后,默认的配置只有一个用户名为admin的管理员帐户。
admin通过连接到基于Web的管理器,可以配置更多的管理员账号,并设置管理员的管理权限。
管理员配置包含下列内容:
· 配置管理员账户
· 配置管理员访问控制
管理员账户通过安全WebUI的方式被用以管理和配置WAF。新的系统管理员在配置时可分配到下列三个角色之一:
· 读写—— 完全系统访问权,可添加和编辑配置选项。但不具有配置管理员账号的权限。
· 只读——受限系统访问权,系统配置与日志和报表的只查看模式。
· 审计——受限系统访问权,只查看日志和报表。审计角色不能查看系统配置的参数。
超级用户账户“admin”是有权创建新用户账户和编辑现有账户的唯一账户。
(1) 选择菜单 访问管理 > 用户账号,界面如下图。
(2) 添加管理员账号
点击“添加”按钮,界面如下图所示。
参数说明:
表10-1 添加管理员账号参数说明
|
参数 |
说明 |
|
管理员名称 |
输入管理员账号名称。 |
|
新密码 |
设置管理员密码。 |
|
确认新密码 |
再次输入“新密码”处设置的密码。 |
|
权限 |
设置管理员权限: Read-write:读写—— 完全系统访问权,可添加和编辑配置选项。但不具有配置管理员账号的权限。 Read-only:只读——受限系统访问权,系统配置与日志和报表的只查看模式。 Audit:审计——受限系统访问权,只查看日志和报表。审计角色不能查看系统配置的参数。 |
(3) 点击“应用”按钮完成设置。
管理员可以通过HTTPS协议、SSH协议等安全协议以对设备进行远程配置和管理。系统通过设置管理空闲超时、登录失败后允许重试的次数、管理员被锁定的时间等,保证对系统的安全配置。并且可以对所有的管理员帐户设置可信管理主机,管理员只能通过可信主机对设备进行管理和配置,进一步增强了远程管理的安全性。
配置步骤描述为:
(1) 选择菜单 访问管理 > 访问控制,界面如下图。
参数说明:
表10-2 访问控制参数说明
|
参数 |
说明 |
|
空闲超时值 |
当管理员在指定时间内处于不活动状态时,WebUI会将其自动注销。有效闲置超时时间为5-1440分钟。默认值为15分钟。 |
|
登录重试次数 |
系统阻止接受新的登录尝试前,允许的登录尝试失败次数。有效重试次数为0-5次。默认值为5次。 |
|
锁定时间 |
系统在超过“登录重试次数”后不准任何新的管理登录尝试的时间数。有效时间为5-30分钟。默认值为5分钟。 |
|
锁定类型 |
账号锁定和IP锁定 |
|
HTTPS端口 |
指定使用HTTPS协议对设备进行远程管理的端口号。默认端口号为443。 |
|
SSH端口 |
指定使用SSH协议对设备进行远程管理的端口号。默认端口号为22。 |
|
口令使用周期 |
0-365天 (0指无限制) |
|
信任主机 |
可选项,设置可信管理主机。 设置后,管理员只能通过设置的IP地址与子网掩码登录设备,其它任何主机对设备进行管理访问都不会得到回应。如果不设置可信管理主机,则管理员可以从任意主机登录设备进行管理,潜在的将设备暴露给未经授权的访问。 说明: 在文本框中输入主机IP地址或网络子网,然后点击“添加”按扭即可。选择后点击“删除”按钮可删除可信管理主机。 |
(2) 点击“应用”按钮保存设置。
管理员可以通过第三方Radius服务器认证来进行对设备进行远程配置和管理。系统可以设置是否启用Radius认证服务,配置Radius服务器的地址和密码。
配置步骤描述为:
(1) 选择菜单 访问管理 > Radius,界面如下图。
图10-4 Radius
参数说明:
表10-3 Radis配置说明
|
参数 |
说明 |
|
启用Radius认证 |
点击启用管理员Radius认证 |
|
Radius服务器 |
配置Radius认证服务器地址 |
|
Radius密码 |
配置Radius认证服务器密码 |
(2) 点击“应用”按钮保存设置。
云WAF不支持Radius功能。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
