- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-正文
本章节下载: 01-正文 (14.18 MB)
H3C Web应用防火墙(简称H3C WAF)是H3C自主开发、拥有知识产权的新一代的Web安全防护产品。与上一代以代理技术为基础Web应用防火墙不同点主要在于:上一代Web防火墙以研究安全攻击特征为核心,依赖于安全特征匹配技术;新一代Web应用防火墙以用户网站为核心,自动依据网站学习建模,生成基于用户网站的专有安全规则,因此防护更有针对性,误判极低,且性能得到更大的提升。H3C WAF结合多年研发经验,充分考虑Web应用系统可能存在的安全风险,通过对网络层、Web服务层、Web应用程序层、应用内容属性四个层面进行全方位安全分析与防御。
H3C WAF提供高效的Web应用安全边界检查功能。H3C WAF整合了Web安全深度防御及站点隐藏等功能,能全方位的保护用户的Web数据中心。通过对所有Web流量(包括客户端请求流量和服务器返回的数据流量)进行深度检测,提供了实时有效的入侵防护功能。H3C WAF考虑用户已有环境的差异性,对环境兼容性、应用多样性进行了深入的分析和总结。
表1-1 产品特点表
|
产品特点 |
描述 |
|
防御能力强 |
H3C WAF所集成的安全特征库是当前业界最为全面的Web应用安全特征库。同类产品只集成了SQL注入、跨站脚本2个类别的特征库,H3C WAF集成了30余类的安全特征库,不但能防护通用的攻击,而且能为特定的开发语言、Web服务器版本、CMS等提供特需的防护。 |
|
强大的CC攻击防御能力 |
H3C WAF可基于URL、请求头字段、目标IP、请求方法等多种组合条件进行检测,支持URL访问速率和指定URL访问集中度检测;H3C WAF支持真实攻击者IP识别,默认支持解析X-Forward-For头,并支持自定义方式;支持挑战模式。支持设置用户区域级检测算法,隔离海外或其他省内肉鸡攻击 |
|
易用性好 |
产品采用业界最领先的透明代理技术,对网络及应用透明,对现有环境零改动。产品特征库经过安全专家的深入测试和众多用户场景的实际应用,具有极低的误判率。 |
|
安全态势实时告知 |
产品能自动分析和检测实时面临的安全威胁,当防护站点受到攻击时自动将安全事件告知主管人员,从而管理人员能在第一时间采取相应的安全措施。 |
|
地图动态分析 |
H3C WAF支持中国地图和世界地图,可以按照地理区域对攻击次数进行统计,在地图上可以指定某一地理区域进行访问控制,阻断此区域IP的访问。 |
|
IP信誉库 |
H3C WAF根据国际权威机构提供的恶意IP名单库,对这些IP的访问实施告警或阻断。 |
|
规则智能适应 |
H3C WAF可以对海量日志进行分析,减少人工分析成本,一键完成规则的调整。 |
|
安全日志 |
产品工作在应用层,能详细的记录HTTP协议相关的任何攻击信息,如请求的URL、POST内容、响应头部、页面内容等,为安全事件分析、安全事件追溯以及安全取证等提供了最为直接的依据。 |
|
多种防御措施 |
基于URL级别的请求阻断,不影响用户对业务的正常访问。提供请求者黑名单,限制攻击者的持续攻击行为。响应伪装,挫败恶意攻击行为。 |
|
部署模式灵活 |
支持透明代理、反向代理、旁路监听、网关模式等多种部署方式,从而能广泛的应用于政府、金融、运营商、教育、企业等众多复杂多变的网络环境。 |
|
电子商务电子政务环境兼容性 |
Web核心业务系统大多采用了SSL加密以及CDN加速技术,由于上述技术的引入导致网络层IP地址的变化,普通Web应用防火墙无法识别真实的访问者IP,应用层的访问控制措施也无法实施。H3C WAF采用应用层的HTTP数据挖掘技术解决了常规Web应用防火墙存在的这个问题。 |
|
多协议支持 |
HTTP 0.9、HTTP1.0、HTTP1.1、Web 2.0应用、WAP协议、 xml应用、Webdav应用。 |
表1-2 产品功能介绍表
|
技术功能 |
功能价值 |
|
防护30余类Web通用攻击
|
系统内置了30余类的通用Web攻击特征,有效的防御来自外部的如SQL注入、文件注入、命令注入、配置注入、LDAP注入、跨站脚本等,部署H3C WAF后自动障蔽相应的Web攻击行为。 |
|
协议规范性检查 |
通过HTTP协议规范性检查可以实现Web主动防御功能,如请求头长度限制、请求编码类型限制等从而障蔽了大部分非法的未知攻击行为。 |
|
抗Web扫描器扫描 |
H3C WAF能自动识别扫描器的扫描行为,并智能阻断如Nikto、Paros proxy、WebScarab、WebInspect、Whisker、libwhisker、Burpsuite、Wikto、Pangolin、Watchfire AppScan、N-Stealth、Acunetix Web Vulnerability Scanner等多种扫描器的扫描行为。 |
|
防护敏感信息泄露 |
H3C WAF具备双向内容检测的能力,能识别服务器页面内容的敏感信息,防止敏感信息泄露,如服务器出错信息,数据库连接文件信息,Web服务器配置信息,网页中的连续出现的身份证、手机、邮箱等个人信息均可被H3C WAF识别并依据策略采取相应的措施。 |
|
防止恶意言论提交 |
Web应用防火墙支持中文关键字解析技术,通过对用户提交信息进行过滤,有效的解决了用户提交政冶敏感、违反法规相关的言论信息,从而保障网站的内容健康呈现。 |
|
CC攻击防护 |
基于URL、请求头字段、目标IP、请求方法等多种组合条件进行检测,支持URL访问速率和指定URL访问集中度检测;H3C WAF支持真实攻击者IP识别,默认支持解析X-Forward-For头,并支持自定义方式;支持挑战模式。支持设置用户区域级检测算法,隔离海外或其他省内肉鸡攻击 |
|
地图动态分析 |
H3C WAF支持中国地图和世界地图,可以按照地理区域对攻击次数进行统计,在地图上可以指定某一地理区域进行访问控制,阻断此区域IP的访问 |
|
IP信誉库 |
H3C WAF根据国际权威机构提供的恶意IP名单库,对这些IP的访问实施告警或阻断 |
|
防护盗链行为 |
H3C WAF支持多种盗链识别算法能有效解决单一来源盗链、分布式盗链、网站数据恶意采集等信息盗取行为,从而确保网站的资源只能通过本站才能访问。 |
|
应用程序错误跟踪 |
H3C WAF能自动记录应用程序的出错信息,并能将应用程序出错信息进行分类汇总,为程序人员进行分析原因和修复程序提供了重要参考。 |
|
静态网页篡改防护 |
H3C WAF专注于动态应用程序的安全防护,考虑到门户网站对防篡改的要求,H3C WAF内置了静态网页篡改防护与预警功能,防止篡改的页面显示到用户端并将篡改事件及时告警。 |
|
Web应用加速 |
采用WebCache技术对防护的网站进行加速,通过对静态文件的缓存技术,动态请求的TCP连接复用技术实现了网站访问速度的提升。 |
|
站点访问审计 |
对网站的访问情况进行统计分析呈现即时访问量趋势图、用户最关注的网页、访问者最集中的地市区域等信息,便于分析网站的业务模块的访问情况,并为业务功能的价值提供评价参考。 |
|
智能防护 |
对于一段时间内持续进行恶意攻击的客户端IP进行锁定,在锁定的时间内该IP地址是无法访问服务器的。 |
|
自学习白名单 |
H3C WAF对Web流量进行统计学习并定制生成白名单规则 |
H3C WAF支持多浏览器,支持Firefox3.0及以上版本、IE(Internet Explorer)8.0及以上版本浏览器登录H3C WAF的Web管理平台。注意事项如下:
· 当使用IE 8.0 或IE 9.0 版本的浏览器登录Web系统后,为确保Web界面能正确显示,请在浏览器菜单栏中选择“工具 > 兼容性视图”。
· 使用IE浏览器时,安全级别不能设置为高,否则Web页面将无法显示。
· 升级版本后,为确保页面显示正常,建议清空浏览器缓存和Cookies后再访问页面。
以IE 10.0为例,在IE浏览器菜单栏中选择“工具 > Internet选项”,在“常规”页签的“浏览历史记录”区域框中,点击<删除>,如图2-1所示。
在弹出来的窗口中勾选“Cookie”,然后点击<删除>,如图2-2所示。
Web界面按钮功能说明如表2-1所示。
|
按钮 |
功能 |
|
退出 |
退出本次登录,点击“退出”,就安全退出本次登录。如果希望重新进入Web界面,需要再次输入用户名和密码。 |
|
应用更改 |
使更改的配置生效,管理员通过Web界面进行配置更改、删除等选项时,点击“应用更改”,这个管理员的操作才会生效。 |
|
admin(超级管理员) |
修改管理员用户信息,点击“admin(超级管理员)”,将会弹出“修改管理员用户信息”对话框,输入新旧密码后,将修改登录密码。 |
菜单位于界面左边,一级菜单如图2-3所示。
表2-2 菜单导航功能表
|
一级菜单 |
功能 |
|
监控 |
查看设备的安全状态,例如安全危险等级、攻击事件。 查看系统的运行状态,例如CPU信息、内存信息、系统运行时间、平均负载、部署模式、运行模式、HA状态等。 站点发现,通过H3C WAF自动检测当前在线的Web服务器。 查看系统Web流量状态,例如Web流量、Web连接数、Web新建连接数。 查看网络接口状态,例如接口的运行状态、接口接收流量、接口发送流量等。 查看流经H3C WAF接口的实时网络流量状态。 查看历史数据,例如对CPU、内存、磁盘使用率,以及网络流量、Web流量、Web连接数等进行历史查询功能。 |
|
事件 |
查看告警日志信息,告警日志主要是对于攻击事件进行记录,如SQL注入、XSS、CSRF等。日志中记录的信息主要有攻击客户端IP、攻击手法、攻击时间、触发规则等信息。 查看CC防护日志,CC防护日志主要用于对于触发CC规则的攻击行为进行记录 查看审计信息,访问审计提供用户查询历史访问日志信息,以方便用户对Web业务访问的情况进行统计分析。 查看防篡改日志信息,防篡改日志主要用于记录被篡改的Web页面的相关信息。 查看IP信誉库日志信息,IP信誉库日志主要用于记录恶意的IP地址访问记录。 查看误判分析日志信息,误判分析日志是WAF对告警日志进行统计分析并生成统计结果以方便策略规则的调整。 查看操作日志信息,操作日志主要用于记录用户自身登录H3C WAF管理平台后进行的各种配置操作。 查看系统日志,系统日志主要用于记录H3C WAF系统事件的名称和发生时间。 查看升级日志,升级日志主要用于记录系统升级日志的时间以及版本所修复的问题。 |
|
报表 |
通过自定义报表,用户可以根据自己的需求来选择报表项生成报表或保存报表,比如选择动作威胁、输入时间段、主机名等选项。 通过组合报表,用户可对自定义报表的任意组合方式和按任意时间段生成组合报表。 通过定时报表,用户可按照自身需求在指定的时间段将报表发到指定的邮箱中。 通过合规报表,用户可对网站应用进行合规性的安全评估,然后生成合规报表。 |
|
规则 |
新建、修改、删除规则组。系统默认有一套“预设规则”,“预设规则”是各种攻击特征的组合,可以直接对它信息修改并应用与防护站点。 自定义规则。用户可根据被保护Web站点的具体情况,通过正则表达式匹配的方式创建自定义规则来检测和防护Web站点。 通过自学习每个Web站点下每个页面的参数特征,其学习结果形成规则对访问进行“白名单”控制。 CC攻击防御,通过新建CC策略规则来阻断CC攻击行为。 IP信誉库,可以对恶意的IP地址进行告警并阻断。 防盗链,通过配置防盗链规则阻止其他网站恶意盗链本网站的文件。 通过规则升级可对规则特征库进行升级。 |
|
配置 |
配置WAF部署模式。 配置Web防护站点。 配置访问控制,对Web防护站点的访问客户端进行拦截或放行。 配置事件记录,对防护站点的告警日志详细级别配置。 配置事件通知,告警日志或系统日志通过邮件、短信、Syslog行通知。 配置防篡改,对于Web防护站点进行页面防篡改检测和拦截。 配置双机热备,启用或者关闭设备双机热备功能。 配置资源监控,提供对H3C WAF自身的CPU、内存、磁盘进行检测的功能,并能在设定时间内,当CPU、内存、磁盘超过设定值时告警通知管理员。 接口配置,对H3C WAF链路网桥进行配置。 高性能网关配置,对静态文件、图片文件等进行放行处理。 配置管理,对配置文档进行保存或者上传配置文档。 |
|
系统 |
可清空日志、报表等业务。 切换运行模式(物理直通、网桥直通、透明代理)。 设置设备重启、关机、恢复出厂设置。 系统运行参数设置,包括管理IP、管理端口等。 系统时间设置。 创建、修改、删除用户。 授权许可信息查看及更新。 数据维护,提供告警日志自动备份配置功能,及对告警日志以数据库形式的备份、导入与导出功能。 系统当前软件版本信息查看,以及系统软件版本升级。 |
介绍一些常用的Web界面操作方法。
使用缺省接口登录Web界面。
设备出厂后,缺省可以通过Admin接口来登录Web界面。
(1) 将管理员PC的网络连接IP地址设置为192.168.0.1/24网段中一个地址(192.168.0.1排除)。
(2) 将PC的以太网接口与设备缺省的Admin接口相连,或者通过交换机中转相连。
(3) 在PC浏览器中访问https://192.168.0.1,进入Web界面的登录页面。
(4) 默认的用户名为admin,密码为admin。
如果在登录Web界面的过程中出现问题,请进行以下几项检查:
如果管理员PC的网络连接处于断开状态,请检查设备是否已经正常开机,网线是否完好好并且已经正确连接。
使用缺省方式登录Web界面时,如果管理员PC的网络连接显示已经连接上,但是还是无法登录Web界面,请检查PC设备网络连接IP地址是否为192.168.0.1/24网段中的地址。
设备超级管理员admin 能够修改其他管理员的密码,其他级别管理员只能修改自己的密码。修改管理员密码具体操作步骤如下。
(1) 使用默认管理员用户名admin和密码admin登录H3C WAF Web管理平台。
(2) 登录管理平台后,在Web界面右上角选择“admin(超级管理员)”,如下图2-4所示
图2-4 admin(超级管理员)
(3) 在“原始密码”中输入以前的密码,在“新密码”和“确认新密码”中输入新密码,然后点击“保存”即可完成管理员密码修改。如图2-5所示。
为了提高设备安全性,当管理员超过一定时间没有操作Web界面,Web系统将自动注销该管理员的登录。此后管理员需要重新输入用户名和密码才可再次进入Web界面。只有超级管理员admin 才能配置此项。
超时自动退出时间默认设置为0分钟(0表示不限时间),用户可根据自身需求对其进行设置修改。修改超时自动退出时间具体操作步骤如下。
(1) 选择[系统/系统设置],如图2-6所示。
(2) 在“超时自动退出”中输入需要设置的超时时间,然后点击“保存”。如所示。图中“超时自动退出”为10分钟,表示用户超过10分钟没有操作Web界面,H3C WAF将自动注销该管理员的登录,如要操作Web界面,则需使用用户名和密码重新登录。
图2-7 修改超时时间
用户通过了解状态信息可获得设备的运行状态等信息,能够实现对设备的实时监管,保障设备的正常运行。可以了解设备的网络流量统计、并发连接数统计、访问统计等信息。同时,状态页面还提供对这些信息的历史查询,以便在出现故障时追踪历史记录,查找故障原因。
表3-1 实时状态内容介绍表
|
内容 |
说明 |
|
安全趋势 |
安全趋势中可以查看安全威胁等级,Web防护站点被攻击的次数以及攻击类型。 |
|
系统负载 |
系统负载展现了系统的当前状态,包括硬件资源(磁盘、内存、处理器)的使用率、系统时间、运行时间、部署模式、运行模式、平均负载以及软件版本、HA状态等。 |
|
站点发现 |
站点发现主要对于网络环境中的Web服务器进行自动侦测。 |
|
Web流量 |
Web流量中可以对Web流量、Web并发连接数、Web新建连接数、Web请求数进行统计。 |
|
接口状态 |
接口状态中可以查看接口的运行情况,包括接口接受流量、发送流量、丢弃的数据包等。 |
|
接口流量 |
统计流经网络接口的实时网络流量。 |
|
历史数据 |
状态页历史数据查询提供了对CPU、内存、磁盘使用率,以及网络流量、Web流量、Web连接数、Web请求数等进行历史查询的功能。 |
用户通过查看安全趋势信息,可以掌握当前设备的安全危险等级以及Web防护站点被攻击的次数,以保证Web业务的正常运行。
查看安全趋势内容的操作步骤如下
(1) 选择[监控/安全趋势],如图3-1所示。
(2) 选择需要显示的时间范围、防护站点、危险等级,如图3-2和图3-3所示。
风险等级对应色彩说明如表3-2所示。
|
颜色 |
含义 |
|
黄色 |
风险等级为低。 |
|
橙黄色 |
风险等级为中。 |
|
红色 |
风险等级为高。 |
|
紫色 |
风险等级为严重。 |
点击攻击类型就可以查看详细的日志信息,如图3-2点击中的漏洞防护即可查看漏洞防护攻击日志,如图3-4所示。
点击任意一条日志记录即可查看详细的日志信息,如图3-5所示。
用户通过查看系统负载,可以了解硬件资源(磁盘、内存、处理器)的使用率、系统时间、运行时间、部署模式、运行模式、平均负载以及软件版本、HA状态等信息,通过这些信息可以判断设备是否运行正常,以保证Web业务的正常运行。
系统负载查看具体操作步骤如下:
选择[状态/系统负载],如图3-6所示。
系统负载中可查看设备的硬件资源CPU、内存、磁盘的使用率情况,如图3-6所示。
系统负载中可查看设备的运行时间、部署模式、软件版本、平均负载、HA状态运行模式信息,如图3-6所示。
站点发现功能方便用户对站点进行配置,特别是在要保护的站点比较多时,通过H3C WAF自动检测,可以减少用户的输入,并提示用户进行保护以防止遗漏。
站点发现查询具体操作步骤如下。
(1) 选择[监控/站点发现],如图3-7所示。
(2) 点击<配置>按钮,如图3-8所示。
(3) 启用“自动发现”,启用“忽略外网IP”填写需要侦测的IP网段,比如192.168.25.0/25网段则填写为“192.168.25.*”,然后点击<确定>按钮,如图3-9所示。
(4) 点击管理界面上方的[应用更改]按钮,然后进入应用更改页面,点击<应用更改>按钮生效,如图3-10所示。
(5) 选择[监控/站点发现],查看WAF侦测到内网的Web服务器,如图3-11所示。
用户通过Web流量,可查看流经设备的Web流量、Web并发连接数、Web新建连接、Web请求数情况。
Web统计查看具体操作步骤如下
(1) 选择[监控/Web流量],如图3-12、图3-13和图3-14所示。
图3-12 Web流量
图3-13 Web连接数
图3-14 Web请求数
(2) 在[选择防护站点]下拉框中选择需要查看的Web防护站点,如图3-15和图3-16所示。
图3-15 查看192.168.25.157防护站点Web统计
图3-16 Web连接数
用户通过查看接口状态信息,可知道网络接口的运行状态以及网络接口接收的流量、发送的流量、丢弃的流量。
查看接口状态信息具体操作步骤如下:选择[状态/网络接口],即可查看相应的网络接口的信息,如图3-17所示。
接口状态信息说明如表3-3所示。
|
参数名称 |
说明 |
|
指派 |
接口所属网桥或HA口、管理口。 |
|
接口 |
接口的名称。 |
|
状态 |
接口是否运行,其中网络设备的状态为绿色表示该网络接口已连接到网络,并且工作正常,灰色表示网卡未接网线。 |
|
TX |
发送流量。 |
|
RX |
接收流量。 |
|
packets |
数据包的数目。 |
|
bytes |
字节数。 |
|
errors |
错误的数据包个数,一般是硬件层面问题,比如网卡、网线等异常;。 |
|
overruns |
超出的数据包个数,一般超出端口的最大速率会出现overruns。 |
|
dropped |
丢弃的数据包个数,一般发生在软件层面,比如内存溢出、数据包不识别被丢弃。 |
用户通过接口流量,可查看当前经过网络接口实时网络流量,方便管理员实时观测当前链路的网络负载情况。
查看接口流量信息具体操作步骤如下。
(1) 选择[监控/接口流量],如图3-18所示。
(2) 选择需要查看网络流量的接口,如图3-19所示。
用户通过历史数据,可对CPU、内存、磁盘使用率,以及网络流量、Web流量、Web连接数等情况,进行历史数据查询。查询的时间范围从当天算起向前不能超过一个月的时间。
历史数据查询具体操作步骤如下
(1) 选择[监控/历史数据],如图3-20所示。
(2) 选择需要查询的时间段、网络接口、内存、Web流量等信息,点击<查询历史数据>按钮,如图3-21所示。
(3) 查看查询到的历史数据,如图3-22、图3-23和图3-24所示。
图3-24 查看查询到的Web流量统计历史数据
应用防护是对攻击事件的记录审计,常见的攻击行为有SQL注入、XSS、CSRF等攻击行为都可以通过应用防护日志进行记录。应用防护记录的内容主要有攻击者IP地址、攻击特征、攻击时间、URL地址等内容,通过应用防护日志能够更好的协助管理员及时的了解攻击行为和攻击来源。
应用防护查询具体操作步骤如下。
(1) 选择[事件/应用防护],在告警页面中可以显示最近的1000条日志信息,如图4-1所示。
(2) 如需查看所有的告警项,点击<设置告警显示>按钮,选择[显示所有告警项]选项,如图4-2所示。
(3) 点击[确定]按钮,查看所有的告警信息,如图4-3所示。
用户可通过自定义查询对特定的告警信息进行搜索和筛选。在自定义查询中可以通过威胁等级、客户端IP地址、客户端端口、服务器IP、服务器端口、服务器主机名、标签、时间段等进行指定,查询特定类型的告警信息,来进行具体分类和分析。
自定义查询日志具体操作步骤如下。
(1) 选择[事件/应用防护/自定义查询],如图4-4所示。
(2) 用户根据自己的需要,选择相应的查询选项,如客户端IP、动作、URL、时间等选项,如图4-5所示。
(3) 点击<执行查询>按钮,即可查看到相应的应用防护日志,如图4-6所示。
应用防护日志详细信息如图4-7所示。
应用防护日志详细信息参数说明如表4-1所示。
|
序号 |
参数说明 |
|
主机名 |
指请求头的host字段,一般指域名。 |
|
事件 |
指什么攻击事件,示例中指SQL注入攻击。 |
|
发生时间 |
指攻击事件发生的时间。 |
|
攻击特征串 |
指攻击事件的特征串。 |
|
威胁 |
指攻击事件的危害等级。 |
|
发规则 |
指本次攻击事件触发的规则。 |
|
动作 |
指当用户访问符合某条规则时,H3C WAF采取的保护措施。 |
|
标签 |
指攻击事件的规则集,如SQL注入。 |
|
HTTP/S响应码 |
指攻击事件发生后,H3C WAF或服务器的响应码,如200、403,H3C WAF开启防护后该字段为H3C WAF的响应码,一般为403。 |
|
客户端 |
指攻击者的IP地址。 |
|
服务器 |
指攻击者攻击对象(服务器)的IP地址。 |
|
URL地址 |
指攻击者访问的URL地址。 |
|
客户端环境 |
指攻击者所使用的浏览器类型,示例中为IE8.0。 |
|
客户端地域 |
指攻击者所在的地理匹配,示例中为局域网。 |
|
唯一编码 |
指应用防护日志的唯一哈希值,用于日志统计。 |
网络防护主要是记录对Web服务发起穷举攻击的攻击者,可以记录攻击的时间、攻击者的IP地址、所攻击的Web服务器。
网络防护日志查询具体步骤如下:
(1) 选择[事件/网络防护],可以查看到相应的的网络防护日志信息,如图4-8所示。
(2) 客户可以根据自己的需要自定义查询网络防护日志,点击<自定义查询>按钮,如图4-9所示。
(3) 根据需要选择相应的自定义查询选项,可以选择客户端IP、服务器IP、时间范围等信息,并点击<执行查询>按钮,如图4-10所示。
(4) 查看自定义查询内容,如图4-11所示。
CC防护日志是对CC攻击进行防护后产生的日志。CC防护日志记录的内容主要有攻击时间、攻击者IP地址、触发规则、动作和原因等内容,通过CC防护日志能够更好的协助管理员及时地了解攻击行为和攻击来源。
CC防护日志查询具体操作步骤如下。
(1) 选择[事件/CC防护],在告警页面中可以显示所有日志信息,如图4-12所示。
图4-12 CC防护日志告警信息
(2) 点击<某个URL>按钮就可以查看哪个URL被CC攻击,如图4-13所示。
图4-13 被CC攻击的URL
(3) 选择[事件/CC防护/自定义查询],用户根据自己的需要,选择相应的查询选项,如客户端IP、触发规则、动作、时间等选项,如图4-14所示。
图4-14 CC防护日志自定义查询
(4) 点击<执行查询>按钮,即可查询到相应的CC防护日志信息,如图4-15所示。
图4-15 CC防护日志信息
访问审计提供用户查询历史访问日志信息,以便用户对访问日志进行统计分析。可以针对客户端IP、URL、时间、主机名等选项进行查询。
访问审计日志查询具体操作步骤如下。
(1) 选择[事件/访问审计],点击<查看完整访问列表>按钮,如图4-16所示。
(2) 查看访问审计的日志信息,如图4-17所示。
(3) 选择<自定义查询>按钮,户根据响应的需要,选择响应的查询参数,如防护站点、客户端IP、URL等选项,如图4-18所示。
(4) 点击<执行查询>按钮,既可查看到详细的访问审计日志信息,如图4-19所示。
访问统计主要是对每日、每周、每月Web防护站点的访问流量进行日志统计,可以对每日、每天、每月的Web的访问流量、访问者的IP(TOP10)、访问URL(TOP10)、访问的文件类型等信息进行统计。通过这些信息可以有助于管理员更好的了解每日、每周、每月的Web业务是否正常。
访问统计日志查询具体操作步骤如下。
(1) 选择[事件/访问审计],用户根据实际的需要选择相应的“防护站点”、选择相应的时间段,如图4-20所示。
(2) 点击<重新统计>按钮,即可查看到相应的访问统计日志,如图4-21所示。
防篡改日志主要记录的是被篡改的Web页面的相关访问信息。点击日志菜单的防篡改日志可查看防篡改的日志信息,从中我们可以看到被篡改页面的所在服务器,篡改发生时间,被篡改页面的URL地址,原文件内容,篡改后的文件内容。
防篡改日志查询具体操作如下。
(1) 选择[事件/防篡改],可查看到相应的防篡改日志信息,如图4-22所示。
防篡改日志参数说明如表4-2所示。
|
参数 |
参数说明 |
|
发生时间 |
指发生网页篡改的时间。 |
|
服务器 |
指发生篡改的服务器IP。 |
|
类型 |
指被篡改的页面的类型。 |
|
URL地址 |
指发生篡改的URL地址。 |
|
原始文件 |
指未被篡改前的原始文件。 |
|
下载 |
指可下载未被篡改前的原始文件。 |
|
篡改文件 |
指被篡改后的文件。 |
IP信誉库日志主要记录的是触发WAF IP信誉库中的恶意的IP地址。
(1) 选择[事件/IP信誉库],可查看到相应的IP信誉库的日志信息,如图4-23所示。
图4-23 IP信誉库日志
H3C WAF可以自动针对一段时间的告警日志进行汇总、分析并生成分析结果,工程师可以根据分析结果进行规则调整。
误判分析具体操作步骤如下。
(1) 选择[事件/误判分析],点击<新分析>按钮,如图4-24所示。
(2) 选择分析的起始时间,按<确定>按钮等待一段时间后生成分析结果(分析时间根据日志数量决定),如图4-25所示。
(3) 生成的误判分析结果如图4-26所示。
策略规则调整的方法:
如结论中出现少量URL频繁触发可将触发的URL添加至该规则白名单中;
出现较多的URL触发该规则,可将该规则直接禁用。
操作事件记录的是用户自身登录H3C WAF管理平台后进行的各种配置操作的记录,及时跟踪用户的操作情况。
普通管理员和审计员都只能查看和导出自己的操作日志。超级管理员不仅可以查看和导出自己的操作日志,还可以通过用户管理,查看其他普通管理员和审计员的操作日志,并可对其操作日志进行导出。
操作事件查询具体操作步骤如下。
(1) 选择[事件/操作事件],即可以看到操作日志信息,如图4-27所示。
(2) 用户可根据用自身需求进行自定义查询,点击<自定义查询>按钮,如图4-28所示。
(3) 查看生成的自定义查询内容,如图4-29所示
操作日志参数说明如表4-3所示。
|
参数 |
参数说明 |
|
时间 |
指设备操作的时间。 |
|
操作 |
指具体做的操作如:应用更改、退出系统、登录系统等。 |
|
结果 |
指操作是成功还是失败。 |
|
IP |
指进行操作的IP地址。 |
操作日志导出步骤如下。
(1) 选择[事件/操作事件],点击<导出>按钮,如图4-30所示。
(2) 点击<保存>按钮,将日志保存到桌面。
系统事件记录的是H3C WAF系统事件的名称和发生时间。系统事件主要包括CPU使用率、磁盘使用率、内存使用率等信息。
系统日志查询具体操作步骤如下。
(1) 选择[事件/系统事件],可以查看到系统日志信息,如图4-31所示。
(2) 用户可将系统事件进行导出,点击<导出数据文件>按钮,如图4-32所示。
(3) 点击[保存]按钮,将系统日志保存到本地。
图4-33 点击保存
表4-4 系统事件参数说明表
|
参数 |
参数说明 |
|
发生时间 |
指系统日志产生的时间。 |
|
等级 |
指系统日志的风险等级,风险等级分为告警和严重。 |
|
事件 |
指产生系统日志的事件。 |
升级事件主要对升级的软件版本进行记录,主要记录升级的时间、软件版本、以及版本中所增加的功能。
选择[事件/升级事件]可查看到当前的软件版本信息以及该版本中所修复的问题。
用户可根据不同的需要来选择报表选项来生成报表或保存报表。比如选择动作、威胁,输入时间段,主机名、规则号、访问URL等的限制范围来保存报表或生成报表。
自定义报表配置步骤如下。
(1) 选择[报表/自定义报表],点击[新建自定义报表],如图5-1所示。
(2) 用户根据自身需求选择报表选项配置,比如选择动作、访问URL、时间、客户端IP等信息,如图5-2所示。
(3) 配置完成后,点击<生成报表>或<保存报表>,即可看到响应的报表信息,如图5-3、图5-4和图5-5所示。
自定义报表配置示例:将本月的攻击事件以报表的形式输出。
自定义报表配置示例操作步骤如下。
(1) 选择[报表/自定义报表],点击<新建自定义报表>,如图5-6所示。
(2) 选定“时间范围”、指定报表列选择“事件”、填写“报表名称”,如图5-7所示。
(3) 配置完成后,点击<生成报表>或<保存报表>,如图5-8所示。
(4) 查看自定义报表,如图5-9、图5-10和图5-11所示。
H3C WAF可以采用对自定义报表的任意组合方式和按任意时间段生成组合报表,对于采用组合报表汇报的客户来说,显得非常方便。
(1) 选择[报表/组合报表],点击<新建组合报表>按钮,如图5-12所示。
(2) 用户根据不同的需要选择合适的自定义报表,填写“报表名称”,选择相应的开始时间段,并点击<保存报表>或者<生成报表>,如图5-13所示。
(3) 查看生成的组合报表信息,如图5-14和图5-15所示。
H3C WAF可按照用户需要定时自动生成报表,用户可选择要定时生成的报表,如自定义报表或组合报表:可选择报表类型为日报、周报或月报;可选择报表格式为PDF、word或html格式;可选择告警的开始结束时间;可选择报表生成时间及是否发送邮件。
定时报表配置步骤如下。
(1) 选择[报表/定时报表],点击<新建定时报表>按钮,如图5-16所示。
(2) 用户根据自身需求选择相应的报表类型、报表生成时间、填写邮箱地址等信息,并点击[保存报表]按钮,如图5-17所示。
(3) 在指定时间内会收到定时报表,如图5-18所示。
定时报表配置示例:每天早上9点将攻击事件统计以PDF文档格式发送到指定的邮箱中。
定时报表配置示例操作步骤如下。
(1) 选择[报表/定时报表],点击<新建定时报表>按钮,如图5-19所示。
(2) 选择报表的类型为PDF,选择生成时间为每天9点,选择报表的类型为“按攻击事件统计”,填写邮箱地址为ceshi@126.com,并单击<保存报表>按钮,如图5-20所示。
(3) 在每天的9时将会收到PDF格式的攻击事件统计报表,如图5-21所示。
根据PCI-DSS的要求,H3C WAF可以对用户的网站应用进行合规性的安全评估,然后生成合规报表,合规报表对于金融或者支付行业是非常有用的。
合规报表配置步骤如下。
(1) 选择[事件/合规报表],选择相应的防护站点,点击<评估>按钮,如图5-22所示。
(2) 查看评估结果,如图5-23所示。
(3) 将评估结果导出,导出的格式可以是doc、html、pdf,如图5-24所示。
H3C WAF以规则组的形式表示一套规则的集合,默认有三套规则组:“低安全级别”、“预设规则”、“高安全级别”,“低安全级别”用于立即需要开启防护的用户,仅开启高风险规则,如文件限制、SQL注入、Web应用漏洞等,“预设规则”用于先以仅检测模式运行的用户,仅开启部分规则,如HTTP协议规范性检查、SQL注入、跨站脚本、木马、信息泄露等规则,“高安全级别”用于在PK测试场景下,开启所有防护规则,用户可根据安全需求启用不同的规则组。
规则组下分二级规则组,二级规则组包括具体的规则条目。
· 请求方法是否异常、缺失报头、头部字段长度限制(可配置,防溢出攻击)、访问文件格式限制。
· 注入攻击:包括SQL注入、SQL盲注、代码、命令等注入攻击。
· 跨站攻击:包括跨站脚本、IE8跨站等跨站脚本攻击。
· 通用攻击:包括HTTP请求响应分割攻击、Session-Fixation等通用攻击。
· 恶意软件:包括木马攻击、webshell检测。
· 信息泄露:包括目录遍录、服务器数据库信息、源代码泄露等服务器信息泄露,此规则需要通过规则组—预设规则,将响应包正文内容检查启用。
· 自动检测规则组包括扫描器、网络爬虫等自动化工具攻击防护。
· 特殊攻击规则组包括Struts框架、KuWebs、phpcms、nginx等第三方系统的漏洞攻击防护。
· 特殊防护:包括应用层DOS/CC、暴力猜解、机器人行为、cookie安全等防护,该规则组需要配置才能生效。
安全规则全局配置步骤如下。
(1) 选择[规则/规则组],点击预设规则中的<配置>按钮,如图6-1所示。
(2) 显示该规则组的具体信息,如所图6-2示。
规则组具体信息说明如表6-1所示。
|
参数名称 |
参数说明 |
|
规则引擎 |
指规则引擎的工作模式,包括启用、仅检测、禁用三种模式。 启用:表示当H3C WAF检测到被防护站点受到攻击时,拦截该攻击行为,并记录相应的应用防护日志。 仅检测:表示当H3C WAF检测到被防护站点受到攻击时,不拦截该攻击行为,只记录相应的应用防护日志。H3C WAF默认为仅检测模式。 禁用:表示当H3C WAF不对过往流量进行规则检测,但对被防护站点仍代理转发。 |
|
策略规则 |
指H3C WAF启用的规则分类数和规则项条数。 规则分类:指二级规则组分类。 规则项:指二级规则组所属的规则条目。 |
|
请求包正文内容检测 |
指是否启用post提交内容的安全检测,H3C WAF默认为启用。 |
|
响应包正文内容检测 |
指是否启用服务器返回内容的安全检测,H3C WAF默认为禁用。 |
|
保存更改 |
指对规则组的配置进行保存。 |
|
查看更改项 |
指以H3C WAF默认规则为基准对安全规则组做过调整的规则分类和规则条目。 |
|
URL白名单 |
指对URL的白名单放行查看和全局URL白名单配置。 查看URL白名单:可查看规则条目中配置URL白名单列表,该URL白名单只对单个规则条目生效,详细配置见图6-7 规则条目配置。 全局URL白名单:可对所有规则条目设置URL白名单,此处配置不支持正则方式,以/开头,多个URL以回车隔开。 |
|
重命名 |
指对安全规则组进行重命名。 |
|
制作副本 |
指根据当前安全规则组复制生成另一套安全规则组。 |
(3) 用户配置完成后,点击<保存更改>按钮。保存成功后,再点击管理界面上方的<应用更改>按钮,如图6-3所示。
(4) 进入应用更改页面,点击<应用更改>按钮生效,如图6-4所示。
在规则组的详细信息中列出了规则的所有分类。勾选表示启用这一分类,点击规则分类名称可以对下属规则条目进行更为详细的设置。不勾选表示不启用这一分类规则,即使下属的规则条目为启用状态,也不生效。
H3C WAF提供的所有策略规则都是可配置的,下属规则条目配置步骤如下:
(1) 选择[规则/规则组],点击[预设规则]按钮,浏览所有的安全规则及相关信息,如图6-5所示。
(2) 点击规则分类名称后,可以对每一条规则进行定制修改。在图6-6中选择一条规则点击[配置]按钮。
(3) 弹出规则条目配置图,对该条规则进行配置,如图6-7所示。
在图6-7中,可以设置该条规则的危险等级、返回码、URL白名单和具体动作,具体动作主要包括:阻断并告警、阻断不告警、丢弃并告警、丢弃不告警、仅检测和重定向。
规则条目配置参数说明如表6-2所示。
|
参数名称 |
参数说明 |
|
配置规则 |
指该规则条目的规则编号,格式为8位数字,示例中12代表注入攻击规则组,1201代表SQL注入规则组,0003代表规则条目号。 |
|
描述 |
指该规则条目所防护的攻击描述。 |
|
威胁 |
指该规则条目的告警威胁等级,分信息、低、中、高、严重五种等级。 |
|
动作 |
指该规则条目对于攻击的处理。 阻断并告警:当规则组“安全引擎”为“启用”状态,且流量触发此规则条目时,H3C WAF对流量进行拦截,并产生应用防护应用防护日志。 阻断不告警:当规则组“安全引擎”为“启用”状态,且流量触发此规则条目时,H3C WAF对流量进行拦截,但不产生应用防护应用防护日志。 仅检测:当流量触发该规则条目时,H3C WAF不对流量进行拦截,只产生应用防护应用防护日志。 重定向:选择为重定向动作时,需要配置重定向URL地址,当流量触发该规则条目时,H3C WAF返回HTTP 302重定向到指定的URL地址。 |
|
返回码 |
指当流量触发该规则条目,并且规则组“安全引擎”为启用状态时,H3C WAF返回给客户端的HTTP响应码,默认一般为403。 |
|
URL白名单 |
指当流量触发该规则条目时,可设置将该流量的URL加至该规则条目的白名单中,当访问该URL时,该规则条目就不进行检测。在H3C WAF规则对流量有误判时调整规则时使用。 |
(4) 配置完成后点击管理界面上方的<应用更改>按钮,进入到应用更改的页面,点击<应用更改>进行生效,如图6-8所示。
(1) 选择[策略/规则组],点击<新建规则组>按钮,如图6-9所示。
(2) 填写“规则组名称”,将“系统默认规则”作为模板,并点击<创建>按钮,如图6-10所示。
(3) 选择[配置/防护站点],点击<添加防护站点>按钮,将“策略规则”选择为“Web防护规则”,如图6-11所示。
(4) 点击<保存>按钮对防护站点配置进行保存,如图6-12所示。
(5) 点击管理界面上方的<应用更改>按钮,然后进入应用更的页面,点击<应用更改>进行生效,如图6-13所示。
目前H3C WAF可防护cookie篡改劫持,并支持httponly机制。客户端使用用户名和密码登录网站成功后,服务器返回set-cookie字段,为该用户颁发cookie,WAF收到服务器的set-cookie后使用IP+cookie+UA等不同条件,生成该用户的哈希值存放在WAF的哈希表中,客户端收到后,将cookie存放在本地,在下一次请求时使用该cookie进行访问服务器,攻击者通过工具将cookie修改后,WAF会将cookie哈希表和攻击者请求的cookie进行对比,发现cookie篡改后则拦截。
Cookie防篡改具体操作步骤如下。
(1) 选择[规则/规则组/预设规则/特殊防护/Cookie防篡改],如图6-14所示。
图6-14 Cookie防篡改
(2) 选择<添加>按钮,创建一个新的Cookie防护规则,如图6-15所示。
(3) 配置Cookie防护规则,填写“域名”、“Cookie名称”信息,如图6-16所示。
在Cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到Cookie信息,这样能有效的防止XSS攻击。
HTTPOnly配置具体步骤如下。
(1) 选择[规则/规则组/预设规则/特殊防护/HTTPOnly],如图6-17所示。
(2) 选择<添加>按钮,创建一个新的HTTPOnly规则,如图6-18所示。
(3) 配置HTTPOnly规则,添加域名、URL地址、Cookie名称,如图6-19所示。
自定义规则是指H3C WAF可根据用户对于安全的需求自行添加规则,可基于不同条件组合,如HTTP头部各字段、URL地址、post内容、文件类型等字段,实现复杂的规则需求,并设置阻断、放行、重定向等多种策略动作。
自定义规则配置步骤如下。
(1) 选择[规则/自定义规则],点击<创建自定义规则>按钮,如图6-20所示。
(2) 进入创建自定义规则配置界面,如图6-21所示。
选择规则的检测字段,如URL、请求方法、Cookie等,详细说明见表6-3自定义规则检测字段说明表。
手工添加匹配正则,H3C WAF使用perl正则语法,可添加多个组合条件,如URL和请求IP的策略组合,解码类型可支持base64、16进制、URL等多种编码。
设置规则动作,设置完成后需要应用到规则组,如预设规则,点击“下一步”完成规则设置。
规则动作可设置为仅检测、重定向、放行、阻断、丢弃。设置为仅检测动作时,当匹配该规则时还会继续匹配系统内置规则;设置为重定向动作匹配该规则时可重定向到某个URL;设置为放行动作匹配该规则时则直接转发,而无需再匹配系统内置规则;设置为阻断匹配该规则时则直接将请求拦截;设置为丢弃动作匹配改规则时则直接丢弃请求。
(3) 完成配置后保存自定义规则,建议将自定义规则拖动至系统规则之前,然后点击<保存>按钮,如图6-22所示。
(4) 点击管理界面上方的<应用更改>按钮,进入应用更改界面,点击<应用更改>进行生效,如图6-23所示。
自定义规则检测字段说明表如表6-3所示。
|
头部字段名称 |
描述 |
备注 |
|
请求IP地址 |
指客户端网络层IP。 |
无。 |
|
请求URL关键字 |
指URI(统一资源标识符)。 |
如要针对以下URL做策略:http://www.test.com/admin/admin.asp,要将域名后面的字符加至正则中,这里的正则为^\/admin\/admin\.asp$。 |
|
请求包内容关键字 |
指post提交的内容。 |
无。 |
|
请求文件类型 |
指请求的Ruest_basename字段。 |
如访问http://www.test.com/test.log,log就是文件类型字段,在正则中只需填log即可。 |
|
请求URL引用字段关键字 |
指URL中查询的字段。 |
如访问http://www.test.com/index.asp?id=1,?后面的字符id=1就是URL引用关键字。 |
|
请求方法 |
指请求Web服务器的方法,一般比较常见的请求方法是GET、POST。 |
如Trace、Delete都是有风险的请求方法。 |
|
请求头部 |
指HTTP整个协议头部的内容。 |
包括URL、host、User-agent、cookie等字段。 |
|
请求头部Referer |
指该页面的上一跳是哪个URL 。 |
可用在防护盗链规则配置中。 |
|
请求头部Content-Type |
指post提交时请求接受的MIME类型或上传文件类型。 |
如Content-Type: application/x-www-form-urlencoded,指设置表单的格式是URL编码。 |
|
请求头部User-Agent |
指浏览器类型,如Mozilla/5.0 (Windows;U;Windows NT 5.1;zh-CN;rv:1.9.0.19) Firefox/3.0.19 (.NET CLR 3.5.30729)。 |
探索引擎在爬行网站时也会带上自己的User-agent信息,如Google的爬虫会带上googlebot信息,Baidu会带上Baidubot信息,可以根据此字段区分是否为恶意的爬虫。 |
|
请求头部host |
指域名或主机名。 |
H3C WAF应用防护日志中的目标服务器取的就是host字段名。 |
|
请求头部Transfer-Encoding |
指传输编码,如chunked。 |
无。 |
|
请求头部Content-Length |
指post提交时的报文长度。 |
无。 |
|
请求头部Cookie |
指HTTP会话标识,用于辨别访问者身份,从而跟踪HTTP会话。 |
无。 |
|
请求参数 |
指提交的参数,如id=1&name=test中,一般以&分隔。 |
无。 |
|
请求参数名 |
指提交的参数名,如id=1中参数名为id。 |
无。 |
|
敏感词(请求) |
指提交参数中检测的敏感关键字,如法轮功、色情等中文字符。 |
无。 |
|
应答状态码 |
指服务器返回的HTTP应答状态码,如http 200为正常返回状态码。 |
无。 |
|
响应包内容关键字 |
指服务器返回的页面内容。 |
无。 |
|
响应包长度 |
指下载的页面长度,也就是Content-Length字段。 |
无。 |
|
上传文件长度 |
指post提交的数据包长度 |
|
|
上传文件类型 |
指上传文件的类型 |
|
自定义规则示例:禁止任何人访问http://10.2.2.3/user.action。
(1) 点击[策略/自定义规则/创建自定义规则],如图6-24所示。
(2) 配置完成后,点击<下一步>按钮, 将阻断user.action拖动到合适的位置后点击<保存>,如图6-25所示。
(3) 击右上角的<应用更改>按钮进入应用更改页面,点击<应用更改>按钮进行生效,如图6-26所示。
自定义策略放行示例:只允许10.1.1.1访问管理页面,禁止其他用户访问。
(1) 点击[策略/自定义规则/创建自定义规则],先建一条允许IP为10.1.1.1访问/admin/admin.asp的策略,如图6-27所示。
(2) 配置完成后点击<下一步>按钮,再点击<保存>按钮,如图6-28所示。
(3) 然后,再建一条禁止访问管理页面的策略,配置如图6-29所示。
(4) 配置完成后点击<下一步>按钮,同时将策略1放在策略2的前面,点击<保存>按钮,如图6-30所示。
(5) 最后点击右上角的<应用更改>按钮进入应用更改页面,点击<应用更改>进行生效。
自定义规则防盗链示例:阻止其他网站盗链本网站的图片文件。
(1) 点击[规则/自定义规则/创建自定义规则],配置如图6-31所示。
(2) 配置完成后点击<下一步>按钮,将防其他网站盗链图片拖动到合适的位置后点击<保存>按钮,如图6-32所示。
(3) 点击右上角的<应用更改>进入应用更改页面,点击<应用更改>按钮进行生效,如图6-33所示。
H3C WAF的策略涉及诸如Cookie、URI、POST内容、响应状态码等多种HTTP元素,常规情况下的策略调整稍有不当会导致业务不能正常使用,或者产生新的漏洞可被直接入侵。H3C Web应用防火墙策略中的自学习模建技术采用对访问流量的自学习和概率统计算法实现自动生成白名单规则,可解决传统黑名单难以防护的0day攻击。
通过自学习得到每个站点下每个页面的行为特征,其结果可生成白名单规则,具体配置步骤如下:
(1) 登录H3C WAF系统管理界面,选择[规则/自学习],点击[配置]按钮”,将学习状态选择为“学习”状态,过滤文件扩展名可设置不需要自学习的文件类型,点击[确定],如图6-34所示。
(2) 开启自学习模块后,H3C WAF会对网站服务器流量进行学习,学习周期建议最少为一周,学习周期越长自学习的效果越好,在流量自学习完成后将自学习配置中的自学习状态选择为“停止”,可以查看自学习的结果,如图6-35下自学习结果图。
(3) 选择站点树(如图6-35自学习结果)中的某一页面,可查看该页面自学习到的参数名、参数长度、参数类型、匹配的次数及匹配率等。并且,可通过“编辑”链接修改参数类型。如图6-36所示,该示例学习了以下信息:请求方法为POST、参数名为Login,数值长度最小为5,数值长度最大为5,匹配类型为数字,访问次数为1次,均匹配到字母参数,匹配率100%。
自学习访问行为信息参数说明如表6-4所示。
|
参数名称 |
参数说明 |
|
参数项 |
指自学习到某个URL所提交的参数名。如http://192.168.27.165/show.asp?id=1000中id为参数名。 |
|
值最小长度 |
指自学习到某个URL所提交的参数值最小长度。 |
|
值最大长度 |
指自学习到某个URL所提交的参数值最大长度。 |
|
匹配类型 |
指自学习到某个URL所提交的参数值类型,H3C WAF内置了多种类型模板,如空、数字、字母、整数、数值、十六进制数字、标识符、日期、邮件地址、路径、URL等多种类型,可通过策略—自学习—匹配类型管理进行查看及新建。 |
|
匹配次数 |
指自学习到某个URL所提交的参数类型匹配次数。 |
|
匹配率 |
指自学习到某个URL所提交的参数类型匹配率,如同一参数项匹配到数字类型为1次,匹配到字母类型为1次,那么两种类型的匹配率都为50%。 |
(4) 点击<生成规则>按钮可生成白名单规则,如图6-37所示。
自学习生成规则信息参数说明如表6-5所示。
|
参数名称 |
参数说明 |
|
规则编号 |
指生成白名单规则的编号,以9998xxxx命名 |
|
状态 |
指生成白名单规则的引擎状态; 选择为启用时,该白名单规则会对流量进行规则检查; 选择为禁用时,该白名单规则不会对流量进行规则检查。 |
|
危险等级 |
指生成白名单规则的危险等级,分信息、低、中、高、严重五种危险等级。 |
|
返回码 |
指当流量触发该白名单规则时,并且规则组“安全引擎”为启用状态时,H3C WAF返回给客户端的HTTP响应码,默认一般为403。 |
|
动作 |
指该白名单规则的处理动作; 若匹配不到则告警:当流量不符合该白名单规则,H3C WAF不对流量拦截,只产生应用防护日志,该流量仍需要再匹配黑名单特征模块。 若匹配不到则阻断:当流量不符合该白名单规则,H3C WAF对流量拦截。 放行:当流量符合该名单规则H3C WAF直接放行,而不需要再匹配黑名单特征模块。 |
|
告警记录 |
指该名单对流量处理后是否启用告警记录。 |
(5) 生成后点击右上角的<应用更改>进入应用更改界面,点击<应用更改>进行生效。生成的规则可通过点击图6-35中的<生成规则>管理]按钮查看,并可对规则进行编辑和删除,如图6-38所示。
在完成规则生成后需要验证规则是否生效,具体验证步骤如下:
(1) 访问网站http://192.168.25.139/login.php,提交用户名:admin999,则被拦截,如图6-39所示。
图6-39 WAF拦截图
(2) 查看WAF告警日志信息,如图6-40所示。
图6-40 WAF告警日志信息
CC攻击是是DDOS(分布式拒绝服务)的一种,也是一种常见的网站攻击方法,攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包,造成对方服务器资源耗尽,一直到宕机崩溃;
目前流量型的攻击方式由于成本很高,攻击事件越来越少,而基于应用层的CC攻击由于攻击成本低越来越常见,攻击者只需找一些代理服务器就可以完成。
H3C WAF可基于请求字段细粒度检测CC攻击,支持请求速率和请求集中度双重算法检测,有效减小误报率,可应对CC慢速攻击,挑战模式可向客户端发起验证,有效识别人机访问,支持流量自学习建模和攻击者区域检测算法,完全隔离海外肉机。
(1) 选择[规则/CC攻击防御],点击<新建规则>按钮,如图6-41所示。
(2) 配置匹配条件,点击<添加请求匹配条件>按钮,如图6-42所示。
匹配条件可以是网站的访问路径、目的IP、目的端口、请求方法等多种匹配条件,在未知CC攻击的情况下我们建议配置全局检测条件为目的IP,也就是需要防护的网站服务器IP地址,这样可以对所有访问网站服务器的流量进行检查(需要配置防护站点才会生效),示例中目标IP为192.168.27.164,如果是整个网段可配置为192.168.27.0/24。
图6-42 CC攻击防御—配置匹配条件
(3) 配置组合条件,如图6-43所示。
匹配条件配置完成后,再将规则名称加载至组合方法中,如下图将Web和Web1都加载,多个条件可使用!(非运算关系)、&&(和运算关系)、||(或运算关系)等多个运算符进行组合。
图6-43 CC攻击防御—匹配组合条件
(4) 配置检测对象,如图6-44所示
检测对象主要是检测客户端的对象访问,一般CC攻击时攻击的页面不会太分散,因此检测对象建议采用IP+URL的算法,如果CC攻击攻击的页面非常分散,就需要采用IP全局算法,IP获取方法使用常规代表匹配的是网络层IP,如果服务器前端有代理设备或CDN加速,那么IP获取方法需要采用从请求字段获取,也就是客户端真实源IP,默认为X-Forwarded-For字段。
图6-44 CC攻击防御—配置检测对象
(5) 配置测量指标,如图6-45所示。
测量指标是CC攻击防护时配置的检测阈值,主要是两种测量指标:请求速率和请求集中度,请求速率是某个客户端在一定时间内访问某个URL的访问次数,请求集中度代表CC攻击时某个客户端访问同一个URL的集中度检查(配置检测对象为IP+URL才支持请求集中度检查),配置的两条规则无论匹配到哪一条都会触发CC防御,一般用于多个代理肉机以慢速的方式进行攻击,以下为请求速率和请求集中度配置范例:
图6-45 CC攻击防御—配置测量指标
超过设置的阈值后动作可设置为告警和阻断,并且在阻断模式下可配置挑战模式,挑战模式可视CC防护情况而定,在挑战模式下WAF向客户端发起302重定向与js挑战验证是真实客户还是CC工具发起的访问,并且可以减少误报现象,以下为WAF开启挑战模式后浏览器访问网站的验证页面:
图6-46 CC攻击防御—挑战验证图
图6-47 CC攻击防御—保存规则
(7) 点击<应用规则>按钮,如图6-48所示。
图6-48 CC攻击防御—应用规则
(8) 最后需要根据不同状态按需开启CC防护,在测试情况下将运行模式开启为始终运行,在学习完流量模型后可根据业务系统的实际情况改为由启动条件确定,这样CC防护会在流量异常时才会开启,减小系统开销及误报率。选择[规则/CC攻击防御],点击<配置>按钮,如图6-49所示。
图6-49 开启CC攻击防御
在完成CC防御规则配置后需要验证规则是否生效,具体验证步骤如下:
选择[事件/CC防护],查看是否有日志产生,如图6-50所示。
图6-50 CC防护日志
在特殊的环境下,客户可能要求CC攻击防护放行部分IP地址,不需要对某个IP地址进行CC攻击防护,比如用户的公网IP等,选择[规则/CC攻击防御],点击<配置>按钮,在IP白名单中填入需要放行的IP地址或者IP网段,如图6-51所示。
图6-51 CC攻击防御IP白名单放行
H3C WAF IP信誉库是根据国际权威机构提供的恶意IP名单库整理的,可以对恶意的IP进行阻断并告警。
(1) 选择[规则/IP信誉库],状态可以选择“禁用”、“告警不阻断”、“告警并阻断”,然后点击<保存>按钮,如图6-52所示。
图6-52 配置IP信誉库
盗链是指服务提供商自己不提供服务的内容,通过技术手段绕过其它有利益的最终用户界面(如广告),直接在自己的网站上向最终用户提供其它服务提供商的服务内容,骗取最终用户的浏览和点击率。目前WAF通过检查请求域名和referer字段判断是否为盗链行为并进行阻断。
H3C WAF可以对文件类型进行盗链防护,比如jpg、gif、mp3等文件类型,H3C WAF防盗链功能可以对合法域名的链接进行白名单放行处理
防盗链配置步骤如下。
(1) 选择[规则/防盗链],选择相应的保护站点,点击<配置>按钮,如图6-53所示。
(2) 选择“防盗链方式”,目前WAF的防盗链的方式有两种分别为“全站防盗链”和“对指定文件类型防盗链”,“全站防盗链”模式为对整个网站的文件进行盗链防护,“对指定文件类型防盗链”模式是指可以根据用户的需求对特定的文件类型进行盗链防护比如(jpg、png、gif)等,如图6-54所示。
(3) 如果盗链模式选择为“对指定文件类型防盗链”则需要填写相应的文件后缀名,如图6-55所示。
(4) 填写“站点白名单”,如果允许某些域名可以链接本网站的资源,则需要将相应的域名添加到“站点白名单”比如www.baidu.com,如图6-56所示。
(5) 选择相应的动作和返回码,然后点击<保存>按钮,如图6-57所示。
H3C Web应用防火墙可定期对黑名单特征库进行升级,目前支持升级包离线升级和在线升级。
升级前准备:为避免升级失败,升级前建议备份原规则配置,选择[配置/配置管理],将规则组和自定义规则配置导出;
开始升级:选择[规则/规则升级],将升级包上传后进行更新,需要将配置应用更改后生效,升级完成后查看当前版本是否为升级后的规则版本,并查看升级日志。
(1) 选择[配置/配置管理],将护站点及规则中的规则组和自定义规则配置导出。
(2) 选择[规则/规则升级],点击<浏览>按钮上传规则库,如图6-58所示。
(3) 点击<开始升级>按钮,确认升级后系统会自动应用更改将本次规则升级进行生效,如图6-59所示。
(4) 选择[规则/规则升级],点击<查看升级内容>,查看规则升级的内容,如图6-60所示。
目前H3C WAF支持在线升级方式,默认H3C WAF自动更新策略规则功能是关闭,如果需要策略规则实现自动更新,则需要开启“自动下载更新”功能。WAF自动下载更新功能开启之后,会自动将更新的策略下载到本地,H3C WAF可以对管理员进行通知由管理员进行手工升级,同时也可以将更新的策略下载完毕之后自动进行升级并告知管理员。
规则在线升级步骤如下。
(1) 选择[规则/规则升级],点击<设置>按钮,如图6-61所示。
(2) 启用“自动下载更新”功能,并选择下载完成之后的动作,目前WAF策略规则下载完成之后提供两种动作“提示但不升级”和“提示并自动升级”,根据客户的需求选择相应的动作,如图6-62所示。
图6-62 启用WAF规则自动下载更新功能
(3) 选择[规则/规则升级],点击<检查更新>按钮,如图6-63所示。
全局配置是指配置H3C Web应用防火墙的防护模式、全局拦截动作处理、及源IP解析、敏感词过滤。
防御模式用于指定当前H3C WAF以何种方式进行部署,有五种模式供选择:透明代理、旁路监控、反向代理、路由模式和桥模式。
H3C Web应用防火墙推荐采用透明代理部署方式,切换到其他部署模式需要将设备重启后才生效。
H3C Web应用防火墙默认部署模式为透明代理。H3C WAF使用该模式部署时,需要将H3C WAF串接在用户网络中,同时对用户网络透明,即部署时H3C WAF不需要配置接口IP地址。透明代理部署模式支持bypass,可用于大部分网络环境。详细部署及配置见附录9.2.1 透明代理部署模式说明。
H3C WAF使用旁路监听模式部署时,需要在交换机配置服务器端口镜像,并将流量复制一份到H3C WAF上,用于流量分析及日志审计。同时,H3C WAF部署时不影响在线业务。但是,旁路监听模式部署不能实现防护。详细部署及配置见附录9.2.2 旁路监控模式。
H3C WAF使用反向代理模式部署时,需要在用户网络设备上的域名解析到H3C WAF上,或H3C WAF将实际服务器IP抢占。反向代理模式使H3C WAF对用户网络不透明,并不具备bypass、HA等功能。反向代理模式适用于复杂网络环境中。详细部署及配置见附录9.2.3 反向代理部署模式说明。
H3C WAF使用路由模式部署时,需要在H3C WAF接口上设置IP地址、静态路由或者BGP路由。路由模式使H3C WAF对用户网络不透明,并不具备bypass功能。路由模式适用于复杂的网络环境中。详细部署及配置见附录9.2.5 路由模式说明。
H3C WAF使用桥模式部署时,H3C WAF使用该模式部署时,需要将H3C WAF串接在用户网络中,同时对于用户网络而言是完全透明的,即部署时H3C WAF不需要配置接口IP地址。桥模式支持bypass,但不支持日志审计、自学习建模等功能。详细部署及配置见附录9.2.6 路由模式说明。
阻断页面是指当攻击者对防护站点的非法访问被H3C WAF阻断时,H3C WAF返回给攻击者的Web页面。
H3C WAF提供了三种阻断页面配置方式:
· 使用系统内置阻断页面
当选用“使用系统内置的阻断页面”配置时,攻击被拦截返回的页面如图7-1所示。
· 自定义阻断页面
用户可自定义阻断页面文字。
· 重定向到指定URL
当选用“重定向到指定URL”配置时,攻击者页面会跳转到H3C WAF指定的URL地址。URL地址的格式为http://hostname[:port]/path[?query],各参数含义说明如表7-1所示。
表7-1 URL参数说明表
|
参数名称 |
参数说明 |
|
http:// |
指使用HTTP协议。 |
|
Hostname |
指Web服务器的域名或者IP 地址。 |
|
port |
指HTTP通信端口,可选。各种应用协议都有默认的端口号,如HTTP协议的默认端口为80。当Web服务器采用非标准端 口时,URL中不能省略端口号。 |
|
path |
指主机上的一个目录或文件地址,由零或多个“/”符号隔开的字符串。 |
|
?query |
用于给动态网页传递参数,可选 |
当H3C WAF部署在代理设备(如SSL网关或CDN)后端时,代理设备会将实际请求转发到后端服务器,同时源IP会转换为代理设备自身IP,而代理设备在转发时一般会在HTTP头部带上源IP信息。如X-Forwarded-For头,该头部记录了真实用户IP信息,H3C WAF源IP解析模块可解析到真实IP地址,并可对真实IP配置访问控制。
(1) 选择[配置/全局配置],将源IP解析“启用”,默认反向代理级数为1,如图7-2所示。
图7-2 源IP解析配置
在某些复杂环境可能会经过多层代理,每次代理后都会把转换前的IP加在X-Forwarded-For头部。
X-Forwarded-For格式如下:X-Forwarded-For: client1, proxy1, proxy2。
如头部为X-Forwarded-For:115.238.8.8,192.168.1.1,那么在反向代理级数选1的情况下,日志显示的源IP为192.168.1.1;如果配置为2则显示115.238.8.8。
(2) 点击[保存]按钮,点击管理界面上方的<应用更改>按钮进入应用更改页面,然后点击<应用更改>按钮,如图7-3所示。
图7-3 源IP解析配置应该更改生效
(3) 选择[事件/应用防护],查看日志中的客户端地址是否为源IP,如图7-4所示。
(4) 点击<详细>按钮,查看到X-Forwarded-For中的真实源IP地址为1.1.1.1,如图7-5所示。
H3C WAF可以对服务器返回的敏感内容进行过滤,H3C WAF默认内置了对身份证、手机号、银行卡号、信用卡号、社保号敏感内容的过滤,同时客户也可以根据自己的需求定制敏感内容的过滤。
敏感词过滤配置步骤如下。
(1) 选择[配置/全局配置],在<敏感词过滤>模块中勾选需要过滤的内容同时点击<添加敏感词>按钮可以自定义需要过滤的敏感词,如图7-6所示。
(2) 配置完成之后,点击<保存>按钮,然后点击上面的<应用更改>按钮进入应用更改界面,如图7-7所示。
防护站点是指H3C WAF防护目标对象,可对防护站点进行配置、新增、修改、删除、清空操作。H3C WAF只对添加至防护站点的网站服务器进行防护。
选择[配置/防护站点]进入防护站点管理页面,默认情况下右侧显示为空,表示没有添加任何防护站点。防护站点管理页面如图7-8所示。
防护站点管理信息说明如表7-2所示。
|
参数名称 |
参数说明 |
|
序号 |
指保护目标网站的序号,为系统自动产生。 |
|
启用 |
指是否启用保护目标网站,勾选为启用,可选择启用全部或禁用全部选择,不勾选目标网站时,H3C WAF不对目标网站进行流量检测。 |
|
名称 |
指保护目标网站的名称,可填写主机名或IP。 |
|
IP地址 |
指保护目标网站的IP地址。 |
|
端口 |
指保护目标网站的TCP端口,如80。 |
|
保护链路 |
指保护目标网站的物理链路,如Protect1。 |
|
策略规则 |
指保护目标网站所应用的安全规则组。 |
|
操作 |
指对保护目标网站的管理功能,可选择修改或删除。 |
添加防护站点具体操作步骤如下。
(1) 选择[配置/防护站点],点击<添加防护站点>按钮,如图7-9所示。
(2) 点击[添加防护站点]按钮后,进入站点配置界面,按照图7-10默认配置,同时用户需核对选用的策略正确之后将站点保存,完成站点部署。
表7-3 防护站点配置信息说明表
|
参数名称 |
参数说明 |
|
防护站点名称 |
指保护目标网站的名称,可以填IP或主机名。 |
|
IP地址 |
指保护目标网站的IP地址,支持IPV4和IPV6地址。 |
|
端口 |
指保护目标网站的TCP端口,如80。 |
|
策略规则 |
指保护目标网站所应用的规则。 |
|
接入链路 |
指保护目标网站的物理链路,如Protect1。 |
|
域名支持 |
指可对保护目标网站上一个IP多域名定义不同的策略规则,规则可通过策略—新建规则组进行配置。 |
|
智能防护 |
指对攻击者进行跟踪及防护,对于采用穷举攻击、扫描攻击的用户进行短暂的IP锁定。 |
|
访问控制 |
指对保护目标网站访问控制功能,默认只勾选原始地址,如部署在HTTP代理设备的环境(如F5、SSL网关)中建议勾选X-Forwarded-For选项,X-Forwarded-For指代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。 |
|
访问审计 |
指对保护目标网站是否开启访问审计功能,对用户的正常访问记录并形成审计报表,开启后会占用大量磁盘空间,不建议开启。 |
|
HTTPS/SSL加解密 |
指对HTTPS目标网站防护时,需要添加服务器的公钥和私钥。 |
|
Web加速及防篡改 |
指对保护目标网站是否开启Web缓存及防篡改功能。 |
|
HTTP响应头操作 |
指对服务器响应头部中的字段进行删除,防止服务器信息的泄露。 |
|
VLAN支持 |
指对保护目标网站是否开启trunk支持,H3C WAF可以自动识别服务器所带的VLAN标签同时也可以针对VLAN标签来回不一致的情况手工填写VLAN ID。 |
|
防护站点 |
指是否需要将该配置进行保存和取消。 |
(3) 点击管理界面上方的<应用更改>按钮后进入应该更改管理页面,如图7-11所示,点击<应用更改>按钮,即可生效。
每种部署模式添加防护站点的配置页面都不一样,本例介绍的是透明代理模式下站点配置页面,其他部署模式可参见附录部署模式介绍。
修改防护站点具体操作步骤如下。
(1) 在添加完防护站点之后,如需要重新配置该防护站点,可选择[配置/防护站点],选择需要重新配置的防护站点,点击<修改>按钮,如图7-12所示。
(2) 进入配置防护站点,用户可根据自身需求进行配置修改,修改完成后点击<保存>按钮。
(3) 点击管理界面上方的<应用更改>按钮后进入应该更改管理页面,如图7-13所示,点击<应用更改>按钮,即可生效。
访问控制针对于H3C WAF防护的Web站点的访问客户端源IP进行访问控制,可实现黑白名单控制功能。同时,H3C WAF支持客户端网络层IP和应用层IP的访问控制功能,详细配置信息见表7-4中的描述。
选择[配置/访问控制]点击<新建访问控制>按钮,进入访问控制配置页面,如图7-14所示。
|
参数名称 |
参数说明 |
|
目标 |
指需配置访问控制的客户端IPv4/IPv6地址或地址段,格式如下: IPv4:192.168.1.1; IPv6:2001:250:3000:1::1:1; IP段:192.168.1.0/24。 |
|
动作 |
指对目标IP(段)采取的措施: 拦截:相当于黑名单功能,对目标的IP地址(段),采取禁止访问的功能,对目标IP的所有访问都进行拦截; 放行:相当于白名单功能,对目标的IP地址(段),采取放行的功能,对目标IP地址(段)不进行任何安全检测。 |
|
防护站点 |
指对目标IP应用访问控制的防护站点。 |
|
操作 |
指对访问控制配置进行保存。 |
访问控制配置示例:IP地址192.168.1.100无法访问防护站点a,具体操作步骤如下。
(1) 选择[配置/访问控制]点击<新建访问控制>按钮,如图7-15所示。
(2) 进入新建访问控制配置页面,在目标栏填入IP地址(可支持Ipv4或ipv6地址)172.16.12.21,动作设置为拦截,勾选防护站点。配置完成后点击<保存>按钮,如图7-16所示。
(3) 点击管理界面上方的<应用更改>按钮进入应用更改页面,点击<应用更改>进行生效,如图7-17所示。
(4) 使用IP地址为172.16.12.21的客户端访问防护站点a,无法正常访问网站,如图7-18所示。
图7-18 WAF拦截图
(5) 选择[日志/应用防护日志],可查看标签为访问控制的应用防护日志,如图7-19所示。
网络防护针对WAF所保护的Web站点的源客户端进行黑白名单的限制,可以对用户进行网络层的IP的限制,同时也可以对单个IP的并发连接及连接次数进行限制。
网络防护配置步骤如下。
(1) 选择[配置/网络防护],单击<配置>按钮,如图7-20所示。
(2) 根据用户的需求开启“IP黑名单”、“不作限制的IP名单”、“并发数限制”、“连接频率限制”功能,其中“不作限制的IP名单”可对IP设置白名单规则,可用于对智能防护进行白名单放行,如图7-21所示。
(3) 点击<管理>按钮,配置黑名单IP”、“不作限制的IP名单”,如图7-22所示。
(4) 配置IP黑名单,如图7-23所示。
图7-23 添加IP黑名单
H3C WAF可配置记录自身对防护站点的应用防护日志详细级别,可根据实际需求进行日志记录详细程度的配置。
(1) 选择[配置/事件记录],可查看事件记录分基本、详细、全部三种级别,默认为基本级别,只记录请求头和响应头,根据需要选择所配置的记录级别,如图7-24所示。
要记录响应包正文内容,需要在安全规则配置中开启响应包正文内容检测。
(1) 选择[配置/事件记录],将记录级别选择为详细,点击[保存]按钮,如图7-25所示。
(2) 点击管理界面上方的<应用更改>按钮后进入应该更改管理页面,如图7-26所示,点击<应用更改>按钮,即可生效。
(3) 选择[事件/应用防护],查看应用防护日志记录了请求内容信息。
H3C Web应用防火墙采用多种事件通知模式,可及时的将当前保护的Web站点的攻击情况,以及H3C WAF系统本身的状态提供给管理员。H3C WAF目前支持邮件、短信、Syslog及管理界面通知方式。邮件、短信、Syslog三种通知方式必须进行配置才能生效,默认不启用,界面则显示为不可用,如图7-27和图7-28红圈所示。
选择[配置/事件通知/通知方式],选择邮件通知对应的[配置]按钮,邮件通知配置:H3C Web应用防火墙支持“直接发送”和“通过SMTP服务器发送”两种方式。
“直接发送”配置说明:H3C WAF管理口需要访问公网,并能解析公网域名,然后填上收件人邮箱地址和发件人邮箱地址即可直接发送邮件
“通过SMTP服务器发送”配置说明:H3C WAF需要登录到邮箱服务器,并经过SMTP服务器认证后发送邮件。
邮件通知配置参数说明如表7-5所示。
|
参数名称 |
参数说明 |
|
发送方式 |
支持“直接发送”和“通过SMTP服务器发送”两种方式。 |
|
发件人 |
指告警邮件所使用的发送者邮箱地址,直接发送时发送者无需经过邮箱服务器验证即可直接发送。 |
|
收件人 |
指告警邮件接收者的邮箱地址,可设置多个收件人,每个收件人的邮箱地址之间以逗号隔开。 |
|
SMTP服务器 |
指发件人所使用的SMTP邮箱服务器,选择“发送方式”为“通过SMTP服务器发送”才显示该列。 |
|
SMTP端口 |
指发件人所使用的SMTP服务器端口,默认为25,选择“发送方式”为“通过SMTP服务器发送”才显示该列。 |
|
TLS/SSL加密 |
指发送邮件时是否使用加密协议,默认为不启用。 |
|
用户名 |
指发件人所使用的邮箱用户名。 |
|
密码 |
指发件人所使用的邮箱密码,以*号显示。 |
短信方式配置:选择[配置/事件通知/通知方式],选择短信通知对应的<配置>按钮,填写短信网关帐号、短信网关密码、收信人、短信网关URL地址等配置。
短信通知配置参数说明如表7-6所示。
|
参数名称 |
参数说明 |
|
短信网关帐号 |
指申请短信网关服务时,服务商提供的用户账号。 |
|
短信网关密码 |
指申请短信网关服务时,与用户账号对应的用户密码。 |
|
收信人 |
指告警短信接收者的手机号码,多个接收人的号码之间以逗号隔开。 |
|
短信网关URL地址 |
设置发送短信的短信网关URL地址,由短信服务商提供。 短信网关由专门提供短信转发业务的服务商提供。短信网关用户通过网络,将短信发送到短信网关,由短信网关负责将短信发给短信接收者。H3C WAF通过短信网关,转发告警短信。用户需要事先申请短信网关服务 |
Syslog方式配置:选择[配置/事件通知/通知方式],选择Syslog通知对应的<配置>按钮,填写告警事件和系统事件的接收服务器地址。
Syslog通知配置参数说明如表7-7所示。
表7-7 Syslog通知配置参数说明表
|
参数名称 |
参数说明 |
|
告警事件 |
指接收应用防护事件的Syslog服务器。 接收服务器格式如下: IP格式,示例192.168.1.1。 域名,示例www.test.com。 自定义端口,示例192.168.1.1:514,Syslog服务器默认运行在udp 514端口。 |
|
系统事件 |
指接收系统事件的Syslog服务器。 接收服务器格式同应用防护事件。 |
在配置完相关通知方式后,可配置应用防护日志的触发条件和通知等级,选择[配置/事件通知/告警配置],可启用邮件通知、短信通知和Syslog通知。邮件通知和短信通知必须设置触发条件和危险等级等条件,Syslog通知必须设置语言类型及编码方式。
告警配置参数说明如表7-8所示。
|
参数名称 |
参数说明 |
|
邮件通知 |
触发条件:一定时间内超过多少条危险等级以上的攻击日志进行发送。 |
|
短信通知 |
触发条件:一定时间内超过多少条危险等级以上的攻击日志进行发送。 |
|
Syslog通知 |
可选择语言类型为zh-cn、en-us。 选择zh-cn为中文编码,选择en-us为英文编码。 选择zh-cn编码,可配置为GBK和UTF-8中文编码格式。 GBK是国家标准GB2312基础上扩容后兼容GB2312的标准。 UTF-8(Unicode TransformationFormat-8bit),是用以解决国际上字符的一种多字节编码,它对英文使用8位(即一个字节),中文使用24为(三个字节)来编码。 |
在配置完相关通知方式后,可配置系统日志的消息通知启用和触发等级。
选择[配置/事件通知/系统事件],可选择启用管理界面通知、邮件通知、短信通知和Syslog通知。
默认情况下系统启用管理界面通知,通知等级为警告和严重,其他消息通知需要启用后才生效。
配置完成后,可选择通知方式中的“测试”按钮测试H3C WAF是否与邮箱服务器、短信网关和Syslog服务器连接正常。
邮件通知配置示例:当1分钟内超过20条危险等级为“中级或以上”的应用防护日志时发送邮件通知到指定邮箱,具体操作步骤如下。
(1) 确保H3C WAF管理口可访问公网,并解析服务器域名。
(2) 选择[配置/事件通知/通知方式],在通知方式面板中选择“邮件通知”对应的<配置>按钮,选择“发送方式”为“直接发送”,填入发件人和收件人邮箱的邮箱地址,选择<确定>后保存。如图7-29所示。
(3) 选择[配置/事件通知/通知方式],在告警配置面板中启用邮件通知,配置触发条件为当1分钟内超过20条危险等级为“中级或以上”的应用防护日志时发送邮件通知到指定邮箱。如图7-30所示。
(4) 点击<保存>按钮,点击管理界面上方的<应用更改>按钮进入应用更改页面,点击<应用更改>,如图7-31所示。
(1) 选择[配置/事件通知/通知方式],在通知方式面板中选择“Syslog通知”对应的<配置>按钮,在“应用防护日志”填写Syslog服务器IP为192.168.1.100,点击<确定>后保存,如图7-32所示。
图7-32 Syslog通知配置
(2) 选择[配置/事件通知/通知方式],在告警配置面板中启用Syslog通知,选择语言为“zh-cn”,编码格式为GBK,如图7-33所示。
图7-33 Syslog告警配置
(3) 单击<保存>按钮后,点击管理界面上方的<应用更改>进入应用更改页面,点击<应用更改>进行生效,如图7-34所示。
H3C Web应用防火墙防篡改功能,可实现检测和防止被篡改后的Web页面被发布到访问的客户端。防篡改功能采用了第二代数字水印的技术,实时进行防篡改检测和拦截。
H3C WAF防篡改基于缓存模块,防篡改先使用学习模式对网站的页面内容进行学习,学习完成后将页面内容存储在缓存中,当服务器页面发生篡改并有用户访问该页面时,H3C WAF首先会获取服务器的页面内容,并和缓存中的页面内容进行比对,当发现页面篡改时H3C WAF则使用缓存中的页面返回给客户端,达到视觉防篡改。H3C WAF防篡改工作原理如图7-35所示。
开启防篡改功能,需要禁用高性能网关中静态文件后缀规则。
防篡改功能配置步骤如下:
(1) 开启防篡改功能需要在防护站点中先启用防篡改模块,选择[配置/防护站点],点击<修改>按钮,需要开启防篡改的防护站点,下拉至“Web加速及防篡改”功能模块,将缓存加速功能选择为启用,再将防篡改功能选择为启用,如图7-36所示。
图7-36 Web加速及防篡改
(2) 将防篡改运行模式切换为学习模式,并填写默认页面,勾选需要防护的文件类型,将操作保存并应用更改后生效,H3C WAF防篡改将自动学习页面内容和页面特征码,并产生水印,如图7-37所示。
可以通过网站爬行工具,加速学习进程。
(3) 选择[配置/防篡改],选择[操作/下载被保护URL列表],查看是否对所有需防护的页面都学习完成,如图7-38所示。
网页防篡改配置参数说明如表7-9所示。
|
参数名称 |
参数说明 |
|
防护站点 |
指已开启防篡改功能的防护站点。 |
|
模式 |
指防篡改的工作模式。 |
|
下载被保护URL列表 |
指防篡改功能学习到的具体URL页面,可以将URL列表文件下载到本地,用文本编辑器打开查看。或点击“打开”按钮,直接打开URL列表文件查看。 |
|
清空篡改记录 |
在自学习过程中学习的页面数量会随时间而增长。管理员需要定期手动清空这些备份页面。具体操作步骤如下: 1. 关闭防篡改功能。 2. 选择“清空备份页面”按钮。 注:由于清空备份页面以后,所有自学习过程中学习到的页面内容都将被清空。系统将自动切换到“自学习模式”。 |
|
配置 |
指防篡改的功能配置,会链接到该防护站点的防篡改功能配置。 |
(4) 将防篡改运行模式切换为保护模式或仅检测模式,运行在保护模式下可防止页面被篡改后被访问者浏览,运行在仅检测模式下仅产生防篡改日志,不起到防护效果。如图7-39所示。
防篡改配置参数说明如表7-10所示
|
参数名称 |
参数说明 |
|
Web加速 |
开启防篡改功能前需要先开启Web加速功能,选择状态为“启用”。 |
|
防篡改 |
开启防篡改功能,选择状态为“启用”。 |
|
运行模式 |
防篡改的工作模式:学习模式、保护模式、仅检测、定时模式。 学习模式:指对防护站点需要防护的页面内容进行学习; 保护模式:指当防护站点需要防护的页面篡改时,并且有客户端访问时,H3C WAF返回篡改前的页面内容给客户端,达到防护效果; 仅检测:指当防护站点需要防护的页面篡改时,并且有客户端访问时,H3C WAF不进行防护,仅产生应用防护日志; 定时模式:指H3C WAF可将防篡改功能定时在某个时间段运行于某个工作模式,选择“点击配置定时模式”进行定时配置,可选择默认的工作模式:保护模式、学习模式、仅检测,也就是在平时的工作模式,选择“添加”定时在某个时间段运行的工作模式:保护模式、学习模式、仅检测; 示例:当选择默认工作模式为保护模式,定时工作模式为学习模式时,说明H3C WAF防篡改平时为防护模式,定时在某个时间段对网站页面内容进行学习。 |
|
默认页面 |
指防护站点的目录索引,即DirectoryIndex。 |
|
文件类型 |
指H3C WAF所支持防篡改文件类型,根据需求选择要添加保护的文件类型,进行防篡改保护。 |
(5) 当被防护站点的防篡改页面内容需要更新时,需要将H3C WAF运行模式切换为学习模式,以防H3C WAF将新更新的页面视为被篡改的页面。具体操作步骤如下:
a. 选择[配置/防篡改],点击[配置]需要更新的防护站点,将防护站点运行模式切换到自学习模式。
b. 管理员对页面内容进行更新.。
c. 通过客户端访问更新后的页面,或通过网站爬行工具,加速自学习进程。
d. 切换到保护模式,开启页面篡改防护。
两台H3C WAF使用双机热备部署,实现链路冗余。部署时将两台H3C WAF的HA口互连,从而实现心跳探测。由于两交换机之间串接两台H3C WAF时,交换机的STP机制会Block掉其中一条链路,H3C WAF通过检测保护对象流量来决策工作主机,如图7-40双机热备部署示意图。
双机热备配置操作步骤如下:
(1) 使用网线将主备两台H3C WAF的HA口互连,通过查看HA口的网口指示灯检查两端是否连接正常,HA网口LINK灯常亮为连接正常,LINK灯不亮为连接异常。
(2) 先配置主机H3C WAF,选择[配置/双机热备]”,将状态勾选为“启用”;选择本机角色为“主机”,其他配置为默认,将配置保存后生效,如图7-41所示。
图7-41 HA配置
HA配置参数说明如表7-11所示。
表7-11 HA配置参数说明表
|
参数名称 |
参数说明 |
|
状态 |
指是否开启双机热备,勾选为启用。 |
|
本机角色 |
指本机的工作角色,可选择为“主机”和“备机”。 主备协商成功后,主机运行为透明代理模式,备机运行为网桥直通模式。 |
|
CPU检测 |
指是否启用CPU状态检测,当主机工作时,CPU使用率高于配置值并且续一定时间时将切换到备机,同理备机工作时将切换到主机。 |
|
内存检测 |
指是否启用内存状态检测,当主机工作时,内存使用率高于配置值并且续一定时间时将切换到备机,同理备机工作时将切换到主机。 |
|
硬盘检测 |
指是否启用硬盘状态检测,当主机硬盘使用率高于配置值时将切换到备机,同理备机工作时将切换到主机。 |
|
主机通信端口IP |
指H3C WAF主机的HA口IP,默认为50.50.50.50,用于和备机的HA口进行通信。 |
|
备机通信端口IP |
指H3C WAF备机的HA口IP,默认为50.50.50.51,用于和主机的HA口进行通信。 |
|
可用STP优先级 |
指H3C WAF所配置的STP优先级,系统将根据不同运行状态设置主备机网桥接口STP优先级,用于切换主备机,STP优先级值越小优先级越高,该配置建议使用默认配置。 |
(3) 再配置备机H3C WAF,选择[配置/双机热备],将状态勾选为启用,选择本机角色为备机”,其他配置为默认,将配置保存后生效。
(4) 配置完成后H3C WAF主备机会进行协商,主备机将选举有通讯流量的一端为主机,一般在持续流量访问的情况下30秒内可完成协商。可选择[监控/系统负载]查看是否协商正常,如图7-42所示。
资源监控是指对H3C Web应用防火墙自身的CPU、内存、磁盘进行检测的功能,并能判断在设定时间内,当CPU、内存、磁盘超过设定值时告警通知管理员并切换到bypass状态。另外H3C WAF还提供了SMTP支持,支持第三方设备通过V2、V3协议对H3C WAF设备进行远程监控。
设备自身监控配置操作步骤如下:
(1) 选择[配置/资源监控],将设备自身监控状态勾选为“启用”,勾选需要检测的硬件状态,配置在一定时间内硬件使用率高于配置值时记录系统日志,并配置检测到异常后的动作,如图7-43所示。
(2) 点击<保存>按钮后,单击管理界面上方的<应用更改>按钮进入应用更改页面,点击<应用更改,如图7-44所示。
设备自身监控配置说明如表7-12所示。
|
参数名称 |
参数说明 |
|
状态 |
指是否开启设备自身监控,设备默认为不启用。 |
|
CPU检测 |
指是否启用CPU状态检测,当H3C WAFCPU使用率高于配置值并且续一定时间时将记录系统日志。 |
|
内存检测 |
指是否启用内存状态检测,当H3C WAF内存使用率高于配置值并且续一定时间时将记录系统日志,系统日志可通过“日志”—“系统日志”进行查看,并且设备的右上角会出现未读信息。 |
|
硬盘检测 |
指是否启用硬盘状态检测,当硬盘使用率高于配置值时将记录系统日志,系统日志可通过“日志”—“系统日志”进行查看,并且设备的右上角会出现未读信息。 |
|
检测到异常后的动作 |
指触发硬件自身监控阈值时,设备处理的动作,支持告警、告警并网桥直通、告警并物理直通,系统默认为告警。 告警:仅消息通知,不做任何处理。 告警并网桥直通:将系统运行模式切换为网桥直通,并产生消息通知。 告警并物理直通:将系统运行模式切换为物理直通,并产生消息通知。 |
· 当触发设备自身监控阈值后,H3C WAF会产生系统日志,可选择[时间/系统事件]进行查看。
· 当配置检测到异常后的动作为告警并网桥直通或告警并物理直通后,H3C WAF会自动切换到网桥直通或物理直通模式。待查明异常原因,且H3C WAF系统状态恢复至正常状态时,可选择“系统”—“系统维护”—“运行模式切换”,将设备重新切换到透明代理模式。
设备自身监控功能只支持透明代理模式,不支持其他部署模式。
SNMP支持配置操作步骤如下:
(1) 选择[配置/资源监控],将SNMP支持中支持版本勾选v2或v3。
(2) 选择v2协议,版本为不加密协议,只需填写设备名称和community即可,如图7-45所示。
(3) 选择v3协议版本为加密协议,需要填写传输密钥和认证用户名密码,如图7-46所示。
图7-45 SNMP支持配置V2
图7-46 SNMP支持配置V3
设备自身监控配置说明如表7-13所示。
|
参数名称 |
参数说明 |
|
支持版本 |
指H3C WAF支持的SNMP协议版本。 V2为不加密协议,安全机制较弱,通信不加密,所有通信字符串和数据都以明文方式发送。 V3增加SNMP在安全性和远端配置方面的强化。 |
|
设备名称 |
指配置本机的设备名称,用于标识本机,此选项在勾选v2、v3选项都会显示。 |
|
Community(v2) |
指团体名称,用于在访问管理器之前认证管理器,默认为public。 |
|
硬盘检测 |
指是否启用硬盘状态检测,当硬盘使用率高于配置值时将记录系统日志,系统日志可通过“日志”—“系统日志”进行查看,并且设备的右上角会出现未读信息。 |
|
检测到异常后的动作 |
指触发硬件自身监控阈值时,设备处理的动作,支持告警、告警并网桥直通、告警并物理直通,系统默认为告警。 告警:仅消息通知,不做任何处理。 告警并网桥直通:将系统运行模式切换为网桥直通,并产生消息通知。 告警并物理直通:将系统运行模式切换为物理直通,并产生消息通知。 |
(4) 配置完成后点击<保存>按钮。
(5) 使用第三方SNMP工具监控H3C WAF,如Solarwinds,可查看H3C WAF的CPU、内存、磁盘和网络流量等状态。
接口配置是为了更好的适应不同的环境需求,更加人性化的灵活的配置网桥。除了可灵活配置网桥外,还提供网络设备的连接端口的状态检测和STP的开启和关闭。端口检测功能开启后,当检测到网络持续断开大于设定的时间时,系统自动切换到物理直通模式。另外接口配置也可以创建链路聚合接口(bond接口),bond接口在透明代理模式下可以实现主备模式、802.3ad,而bond接口在反向代理模式下可以实现“主备模式”、“负载均衡”和“802.3ad”三种模式。主备模式和负载均衡模式主要是为了提升网络的带宽、增加容错性和链路负载均衡。
已知现场被保护服务器有三台,可将H3C WAF改为交换机模式,配置成一进三出。
(1) 将H3C WAF的其中一个口IN口接交换机,另外三个端口接服务器,如图7-47所示。
(2) 选择[配置/接口配置],如图7-48所示。
(3) 选择Protect2,点击<删除>按钮,然后点击<应用更改>按钮进行保存,如图7-49所示。
(4) 选择[配置/接口配置],选择Protect1,点击<配置>按钮,如图7-50所示。
(5) 将Protect2中的两个接口加入到Protect1中,并点击保存,如图7-51所示。
(6) 选择[配置/接口配置],查看Protect1,,目前Protect1已经包含4个接口,如图7-52所示。
Protect1是指保护对象的接入链路,对于不同的设备型号,接入链路的数量不相同。另外,添加保护对象时设置的接入链路一定要与实际接入链路一致。
开启端口检测可检测H3C WAF连接到网络设备的上下联端口状态,当上下联设备的端口断开一段时间后,H3C WAF将运行模式自动切换到物理直通模式,防止网络中主备链路切换异常。
(1) 配置端口检测频率,默认为检测到网络持续断开10秒后自动切换到物理直通模式选择[配置/接口设置],点击右上角的<设置按钮>,如图7-53所示。
(2) 选择[配置/接口配置],选择响应的Protect,点击<配置>按钮,开启端口检测,如图7-54所示。
(3) 点击<保存配置>后设备需要重启,如图7-55所示。
可在网桥上开启STP用于检测STP协议。
(1) 选择[配置/接口配置],选择响应的Protect,点击<配置>按钮,开启STP,如图7-56所示。
(2) 点击<保存配置>后设备需要重启,如图7-57所示。
图7-57 网桥STP开启后设备重启
H3C WAF可以创建链路聚合接口(bond接口),bond接口在透明代理模式下可以实现主备模式、802.3ad,而bond接口在反向代理模式下可以实现“主备模式”、“负载均衡”和“802.3ad”三种模式。主备模式和负载均衡模式主要是为了提升网络的带宽、增加容错性和链路负载均衡。
链路聚合接口配置步骤如下。
(1) 选择[配置/接口配置],首先删除现有的两个网桥,比如Protect1和Protect4,如图7-58所示。
(2) 选择[配置/接口配置],点击<创建接口>按钮,如图7-59所示。
(3) 选择接口类型为“链路聚合”,如图7-60所示。
(4) 选择需要汇聚的接口,并点击保存完成创建,如图7-61所示。
(5) 选择[配置/接口配置],查看创建完成的bond口,如图7-62所示。
(6) 参考以上方法创建bond2口,bond2口创建完成之后,如图7-63所示。
(7) 修改链路聚合接口的模式,目前WAF在透明代理模式下、提供“主备模式”和“802.3ad”,在反向代理模式下提供“主备模式”、“负载均衡”和“802.3ad”三种模式,选择[配置/接口配置],点击<设置>按钮进行修改,如图7-64所示。
1、 透明代理模式下,当WAF上聚合模式使用802.3ad、上下行交换机聚合口也配置了802.3ad时,若出现流量不通,可以检查一下WAF上使用的聚合口所属的网桥,其上的LACP(802.3ad)是否选择的是“解析LACPDU包”,如果不是,需要选择为该项并应用,之后再查看流量是否能正常;另一个选项“透传LACPDU包”是在进行排错时使用,实际部署中不能使用该项。
2、 当WAF上链路聚合选择“负载均衡”或“802.3ad”时,交换机上对应接口也需要设置聚合口。当WAF聚合模式为“负载均衡”时,交换机的聚合接口需要设置为静态聚合口;当WAF聚合模式为“802.3ad”时,交换机的聚合接口需要设置为动态聚合口。
3、 当WAF上链路聚合选择为“主备模式”时,交换机上对应接口不需要设置聚合口,由WAF决定走聚合口的哪条链路。
目前只能在反向代理模式下才能够创建Vlan接口,创建Vlan接口的目的主要是为了能够让WAF识别带有Vlan标签的数据,目前WAF可以实现对多个Vlan进行识别。
VLAN接口配置步骤如下。
(1) 选择[配置/接口配置],点击<创建接口>按钮,如图7-65所示。
(2) 选择接口类型VLAN ,如图7-66所示。
图7-66 选择VLAN接口类型
(3) 选择相应的接口,填写VLAN TAG,然后点击<保存>按钮,如图7-67所示。
(4) 选择[配置/接口配置],查看生成的VLAN接口,如图7-68所示。
高性能网关是在原规则引擎前端又加载了一层引擎,用于高性能转发像jpg、gif、doc、css这样的静态文件,提升WAF处理能力。
高性能网关开启后会导致页面缓存和防篡改功能失效,在需要开启页面缓存及防篡改功能时需要将高性能网关禁用。
高性能网关会在系统负载较高会启用设备自我保护机制,将超出的流量不检测,已连接的流量继续检测;
高性能网关模块支持对用户地理位置的检测,可设置对特定位置的放行及检测,如图7-69所示。
(1) 选择[配置/高性能网关],点击<创建规则>按钮,如图7-70所示。
(2) 配置新规则,选择相应的对象、动作、内容和防护站点,如图7-71所示。
高性能网关配置参数说明表如表7-14所示。
|
参数名称 |
参数说明 |
|
对象 |
指需要进行高性能网关处理的URL类型,目前有三种对象分别是针对“文件后缀名”、“URL”、“请求方法”。 |
|
动作 |
指高性能网关模块对于对象是进行放行处理还是检测处理。 |
|
内容 |
针对选择的对象类型,填写相应的对象内容。 |
|
防护站点 |
指定需要进行高性能网关处理的防护站点。 注:不支持对https(443端口)防护站点的处理 |
配置管理是对WAF设备的配置进行备份和恢复的操作,可在设备升级、设备迁移等场景下使用。
只有admin超级管理员权限支持配置管理功能,其他用户不支持此功能。
(1) 选择[配置/配置管理],在“配置导出”界面中勾选需要导出的设备相关配置,并选择操作栏中的<导出>按钮,如果导出设备所有配置可选择操作栏中的[全选]按钮,如图7-72所示。
(2) 将导出后的配置文件进行保存,配置文件经过加密,无法直接打开,生成的文件如图7-73所示。
(1) 选择[配置/配置管理],下拉至“配置导入”界面,将已导出的配置文件进行上传,如图7-74所示。
(2) 上传完成后,出现“选择要导入的配置”界面,勾选需要导入的配置,如所示。
图7-75 配置导入
在系统菜单,可以进行系统维护管理,对H3C WAF系统进行相关维护操作。如应用更改、清空数据、运行模式切换、网络工具、设备操作等维护。
当修改了策略和配置的任何信息时,需要将配置应用更改才能生效。
具体操作步骤如下。
(1) 选择[系统/系统维护],下拉至“Web应用安全防护服务”栏,点击<应用更改>按钮进入应用更改页面。或者管理界面上方按钮进入应用更改页面,如图8-1所示。
(2) 单击<应用更改>按钮生效,如图8-2所示。
可有选择性地删除日志、报表等业务数据,以及清空全部用户的操作日志。
清空业务数据具体操作如下。
(1) 选择[系统/系统维护],下拉至“清空数据”栏,如图8-3所示。
(2) 点击[清空业务数据]按钮,默认勾选“清空全部业务数据”选项,清除历史状态数据、应用防护日志及趋势图数据、报表、防篡改数据、访问审计数据、系统日志、站点发现数据等业务数据,如图8-4所示。
如只删除某类应用防护日志,先将“清空全部业务数据”选项不勾选,然后勾选需要删除的应用防护日志,点击[执行所选项目]按钮生效。
清空操作日志具体操作如下。
(1) 选择[系统/系统维护],下拉至“清空数据”栏。
(2) 点击[清空操作日志]按钮,按<确定>后,将清空所有用户的操作日志,如图8-5所示。
H3C WAF支持三种运行模式:正常模式、网桥直通、物理直通。
图8-6 运行模式说明图
网桥直通模式:设备处于包转发模式,H3C WAF的安全检测失效,设备可以统计到流量、接口收发等信息,并可在设备上抓取数据包信息,用于回退时排查故障;
物理直通模式:设备网口处于短路状态,H3C WAF的安全检测失效,设备无法统计到流量、接口收发等信息,无法在设备上抓取数据包信息;
正常模式:设备处于流量检测状态,配置保护对象后,H3C WAF会对去往保护对象的流量进行过滤,透明代理的正常模式为正常工作模式,此模式只在配置完防护站点才支持,在未配置任何防护站点不显示该模式。
1、 只有透明代理部署支持物理直通、网桥直通模式切换,反向代理、旁路监控等其他部署模式均不支持链路模式切换。
2、 将运行模式在“物理直通”和其他两种模式之间切换时,设备会重启网卡,因此该过程中会存在一定时间的断流现象。
运行模式切换操作步骤如下:
选择[系统/系统维护],下拉至“运行模式切换”栏,将操作选择所要切换的运行模式,选择“切换运行模式”按钮生效,如图8-7所示。
网络抓包的具体步骤如下。
(1) 选择[系统/系统维护],点击<抓包>,如图8-8所示。
(2) 点击<新建抓包>按钮,如图8-9所示。
(3) 填写相应的抓包选项,然后开启抓包,如图8-10所示。
WAF串接在网络中时,需要与两端设备进行端口自协商,一般都是自动协商,但在某些特殊环境中,比如设备兼容性或者对端设备强制速率时,WAF也需要对端口进行强制,接口配置的具体步骤如下。
(1) 选择[系统/系统维护],点击[链路配置]按钮,如图8-11所示。
(2) 设置协商模式和MTU,如图8-12所示。
(3) 点击<设定>按钮完成设置,如图8-13所示。
设备重启、关机、恢复出厂设置操作步骤如下:
选择[系统/系统维护],下拉至“设备”栏,如图8-14所示。
H3C WAF的系统运行参数可配置管理口IP、子网掩码、管理口的网关、管理口的DNS服务器、管理方式(采用HTTP还是HTTPS)、管理的端口,以及登录出错处理、管理者IP限制等内容。选择[系统/系统设置/系统运行参数],如图8-15所示。
系统运行参数说明如 表8-1所示。
|
参数名称 |
参数说明 |
|
管理口IP地址 |
指H3C WAF的Admin接口IP地址,默认为192.168.1.100,可使用该IP地址访问H3C WAF管理平台。 |
|
子网掩码 |
指H3C WAF的Admin接口子网掩码。 |
|
网关地址 |
指H3C WAF的Admin接口网关IP地址。 |
|
DNS服务器 |
指H3C WAF的Admin接口DNS服务器地址。 |
|
管理方式 |
指采用哪种协议访问H3C WAF平台,默认使用HTTPS协议; HTTP:非安全HTTP协议。 HTTPS:安全HTTP协议。 |
|
管理端端口 |
指H3C WAF管理口所使用的TCP端口,默认为443。 |
|
超时退出 |
指登录到H3C WAF管理页面后,多长时间不操作自动退出的时间设置,默认为10分钟,设置为0表示不限制超时时间。 |
|
串口超时自动退出 |
指登录到串口管理平台后,多长时间不操作自动退出的时间设置,默认为1分钟。 |
|
登录出错次数容限 |
指登录时输入用户名、密码错误次数限制,默认为5次。 |
|
登录出错锁定时间 |
指登录时输入用户名、密码达到错误次数限制后,被锁定的时间。 |
|
管理者IP地址限制 |
指可以访问H3C WAF管理平台的IP限制,默认为不限制,格式如下,多个IP以;隔开: 单个IP:192.168.10.5 多个IP:192.168.10.5;192.168.10.6 通配符:192.168.10.* 组合:192.168.10.*;192.168.11.6;192.168.20.10* |
选择[系统/系统设置],下拉至系统时间栏,默认系统时间取设备的BIOS时间。选择“设置系统时间”栏,弹出时间插件,可设置系统时间。或通过选择“操作”中的“与本地同步按钮”,与当前登录H3C WAF管理平台的客户机时间进行同步,如图8-16所示。
如果需要实现与NTP时间服务器自动同步,则可以启用“NTP时间同步”并设置好更新频率,H3C WAF系统时间将自动按设定频率与NTP时间服务器自动同步。点击“立即与NTP同步”按钮则可与NTP时间服务器立即进行同步。
用户管理可对H3C WAF管理平台用户进行创建、删除和修改用户,同时WAF可以支持LDAP。
创建用户操作步骤如下。
(1) 选择[系统/用户管理],如图8-17所示。
(2) 点击<创建新用户>按钮,输入用户名、密码和邮件地址等信息,如图8-18所示。
创建用户参数说明如表8-2所示。
|
参数名称 |
参数说明 |
|
用户名 |
指创建的登录用户名。 |
|
分组 |
指管理的分组权限。 管理员:除了“配置”—“配置管理”权限无法使用外(该权限只有admin超级管理员可使用),可配置H3C WAF所有管理页面权限。 审计员:仅可以查看状态、日志和报表。 |
|
密码 |
指创建的登录密码,密码长度在6-25之间。 |
|
确认密码 |
指确认密码,和密码一致。 |
|
邮件地址 |
指管理员的邮件地址。 |
(3) 点击<保存>按钮,用户创建成功。
修改用户操作步骤如下。
(1) 选择[系统/用户管理]
(2) 选中需要修改的用户,点击<修改>按钮,进入修改用户信息界面,修改完成点击<保存>即可,如图8-19所示。
LDAP配置步骤如下。
(1) 选择[系统/用户管理],点击<LDAP支持>按钮,如图8-20所示。
(2) 启用LDAP,并填写LDAP主机,选择LDAP协议,填写管理员DN和管理员密码并单击<保存>按钮,如图8-21所示。
H3C WAF通过授权许可限制对于软件模块的使用和许可时间,提供管理界面展示证书许可信息、授权许可的功能模块等内容和导入授权许可证书操作。
可显示目前设备的许可信息,如用户、授权类型、过期时间、最大防护站点个数、支持的软件模块等信息,如图8-22所示。
表8-3 许可信息参数说明表
|
参数名称 |
参数说明 |
|
用户 |
指授权的客户名称。 |
|
授权类型 |
指许可的授权类型,分测试版、正式版。 试用版:用于试用用户。 正式版:用于正式用户。 |
|
过期时间 |
指授权许可的到期时间,正式版为2099年。 |
|
最大防护站点个数 |
指可配置防护站点的个数,目前无限制。 |
|
软件模块 |
指可使用的功能模块,目前无限制。 |
先将H3C提供的授权许可证书上传,上传后的页面如图8-23所示,点击“替换为此授权证书”按钮,系统后台将完成更新操作。
数据管理提供应用防护事件自动备份配置功能,以及对应用防护事件以数据库形式的备份、导入与导出功能
数据自动备份配置具体操作步骤如下
(1) 选择[系统/数据管理],,如图8-24所示。
图8-24 数据管理
(2) 点击“配置”后,进入备份选项配置页面,如图8-25所示,只保留多少天以内的日志和保留磁盘多少使用率,如果超出其中任一条件,都会以天为单位进行清理,以达到设置的条件,比如设置保留100天内和保留磁盘80%的日志,如果100天内的日志超过磁盘80%使用率,则清理到80%以下,如图8-25所示。
数据导出具体操作步骤如下。
(1) 选择[系统/数据管理],点击<创建新备份>,如图8-26所示。WAF可以设定告警备份的相关配置,应用防护日志数据在设定的“日志结束时间”开始进行备份。
(2) 备份完成后,可在备份显示页面看到该备份记录,在该页面中可对日志备份文件进行下载和删除,如图8-27所示。
数据导入具体操作步骤如下:
选择[系统/数据管理],点击数据导入中的<导入>按钮,将日志备份文件导入,如图8-28所示。
H3C WAF提供前台导入系统升级包的方式对系统进行升级。
(1) 升级前备份配置,版本升级后会清空设备配置。点击[配置/配置管理],在升级前导出配置(如防护站点、规则、HA等配置,可选择全选导出所有配置项)。
(2) 升级前备份日志,版本升级后会清空设备日志。点击[系统/数据管理/创建新备份],将日志备份后下载。
(3) 为避免升级失败,升级前建议备份管理口IP信息、设备许可等信息。
(4) 开始升级:点击[系统/系统升级],将升级包上传后进行更新。升级成功后将设备重启。重启完成后,点击右下角的关于产品,查看版本号是否为升级后的版本。
(5) 升级后导入之前备份的配置,并验证网站访问和防护是否正常。
(6) 升级完成。
通过Console口管理H3C WAF设备,以Windows XP为例,操作步骤如下。
(1) 打开超级终端,如图9-1所示。
(2) 配置超级终端,新建连接,如图9-2所示。
(3) 确定连接com口,如图9-3所示。
(4) 设置com口的属性,还原为默认值,再修改每秒位数为115200,如图9-4所示。
图9-4 com配置图
(5) 显示登录对话框,如图9-5所示。
(6) 使用系统用户admin登录管理H3C WAF设备,使用账号admin、密码admin登录后,主菜单界面如图9-6所示。
H3C WAF设备默认是有管理账号的,用于设备的日常管理,账号admin,密码admin。
上述超级终端界面只能输入数字1、2、3,x为退出当前界面返回到系统登录对话框。
(7) 系统状态查看:在主菜单界面输入数字1,回车,如图9-7所示。
上述超级终端界面只能输入数字1、2、3、4;根据系统提示查看系统各项状态;q为返回上一层菜单;x为退出当前界面返回到系统登录对话框。
(8) 系统配置:在主菜单界面输入数字2,回车,如图9-8所示。
上述超级终端界面只能输入数字1、2、3、4;根据系统提示进行网络信息配置、系统时间设定、运行模式切换及密码管理;q为返回上一层菜单;x为退出当前界面返回到系统登录对话框。
(9) 系统关闭/重启:在主菜单界面输入数字3,回车,如图9-9所示。
图9-9 系统关闭/重启图
· 系统关机:输入1,回车,再次出现提示,根据提示输入yes或no。
· 系统重启:输入2,回车,再次出现提示,根据提示输入yes或no。
· q为返回上一层菜单。
· x为退出当前界面返回到系统登录对话框。
重置Web管理密码步骤如下。
(1) 输入用户名admin,密码admin后,登录管理H3C WAF设备,如图9-6所示。
(2) 输入数字“2”,回车,如图9-8所示。
(3) 输入数字“4”,回车。
(4) 输入数字“2”,回车。
(5) 输入前台默认密码admin,回车,按Y后提示重置前台密码为默认密码成功。
透明代理部署模式支持透明串接部署方式。串接在用户网络中,可实现即插即用,无需用户更改网络设备与服务器配置。部署简单易用,应用于大部分用户网络中。
图9-10 H3C WAF透明代理部署图
按照图9-10部署方式将H3C WAF部署在核心交换机与接入交换机之间,防护连接到接入交换机的网站服务器。
透明代理模式部署特点如下。
· 不需要更改数据包内容,对于用户网络是透明的。
· 防护能力强,可支持CSRF、Cookie篡改等防护。
· 故障恢复快,可支持Bypass。
透明代理模式部署条件如下。
· H3C WAF设备开机后正常运行。
· 物理直通模式/网桥直通下,Web服务器可达。
(1) 部署模式切换到透明代理模式。
H3C WAF默认部署方式即为透明代理,可通过[配置/全局配置]查看防护站点的部署方式,确认是否为透明代理模式,如图9-11所示。如是则直接执行下一步,如不是则切换到透明代理模式。
图9-11 H3C WAF透明代理模式切换图
点击[配置/防护站点/新增防护站点],按照图9-12输入防护站点名称、IP地址、端口等信息,将配置保存,完成站点部署。
在透明代理模式部署下,防护站点配置参数说明如表9-1所示。
表9-1 透明代理模式-防护站点配置参数说明表
|
参数名称 |
参数说明 |
|
防护站点名称 |
指保护目标网站的名称,可以填IP或主机名。 |
|
IP地址 |
指保护目标网站的IP地址。 |
|
端口 |
指保护目标网站的TCP端口,如80。 |
|
策略规则 |
指保护目标网站所应用的规则。 |
|
接入链路 |
指保护目标网站的物理链路,如Protect1。 |
|
长连接 |
指保护目标网站所使用的连接保持方式,如长连接(HTTP1.1协议)、短连接(HTTP1.0协议),建议将长连接启用。 |
|
智能防护 |
指对攻击者进行跟踪及防护,对于采用穷举攻击、扫描攻击的用户进行短暂的IP锁定。 |
|
访问控制 |
指对保护目标网站访问控制功能,默认只勾选原始地址,如部署在HTTP代理设备的环境(如F5、SSL网关)中建议勾选X-Forwarded-For选项,X-Forwarded-For指代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。 |
|
访问审计 |
指对保护目标网站是否开启访问审计功能,对用户的正常访问记录并形成审计报表,开启后会占用大量磁盘空间,不建议开启。 |
|
HTTPS/SSL加解密 |
指对HTTPS目标网站防护时,需要添加服务器的公钥和私钥。 |
|
Web加速及防篡改 |
指对保护目标网站是否开启Web缓存及防篡改功能。 |
|
HTTP响应头操作 |
指对服务器响应头部中的字段进行删除,防止服务器信息的泄露。 |
|
VLAN支持 |
指对保护目标网站是否开启trunk支持,需要填写服务器所在的VLAN号,一般用于Trunk环境中。 |
|
防护站点 |
指是否需要将该配置进行保存和取消。 |
完成上述配置后,可以执行如下操作验证H3C WAF是否部署成功。
· 使用客户端访问被保护对象,检查是否访问正常。
· 使用IE浏览器模拟攻击(如http://www.test.com/index.asp?id=1 and 1=1,将www.test.com替换成被防护站点),然后查看H3C WAF是否有攻击日志。
告警信息如图9-13所示。
在透明代理模式部署下,告警详细信息参数说明如表9-1所示。
表9-2 告警详细信息参数说明表
|
参数名称 |
参数说明 |
|
主机名 |
指请求头的host字段,一般指域名。 |
|
事件 |
指攻击事件的名称,示例中指SQL注入攻击。 |
|
发生时间 |
指攻击事件发生的时间。 |
|
攻击特征串 |
指攻击事件的特征串。 |
|
威胁 |
指攻击事件的危害等级。 |
|
触发规则 |
指本次攻击事件触发的规则。 |
|
动作 |
指当用户访问符合某条规则时,H3C WAF采取的保护措施。 |
|
标签 |
指攻击事件的规则集,如SQL注入攻击。 |
|
HTTP/S响应码 |
指攻击事件发生后,H3C WAF或服务器的响应码,如200、403,H3C WAF开启防护后该字段为H3C WAF的响应码,一般为403。 |
|
客户端 |
指攻击者的IP地址及通信端口号。 |
|
服务器 |
指攻击者攻击对象(服务器)的IP地址。 |
|
URL地址 |
指攻击者访问的URL地址。 |
|
客户端环境 |
指攻击者所使用的浏览器类型,示例中为IE8.0。 |
|
客户端地域 |
指攻击者所在的地理匹配,示例中为局域网。 |
|
唯一编码 |
指应用防护日志的唯一哈希值,用于日志统计。 |
采用旁路监控模式,在交换机做服务器端口镜像,将流量复制一份到H3C WAF上,部署时不影响在线业务。
图9-14 H3C WAF旁路监控部署图
按照图9-14部署方式将H3C WAF旁路部署在交换机上,交换机做网站服务器的端口镜像将流量复制到H3C WAF上。
H3C WAF在旁路监控模式部署下只能用于流量分析或日志审计,不能实现防护。
旁路监控模式部署条件如下。
· H3C WAF设备开机后正常运行。
· 交换机配置网站服务器为源端口镜像,并将镜像目的端口连接到H3C WAF的任意端口。
登录到H3C WAF,选择[配置/全局配置],将防护站点的部署模式切换为旁路监控模式,如图9-15所示。然后点击<保存>后重启设备。
图9-15 H3C WAF旁路监听模式切换图
点击[配置/防护站点/新增防护站点],按照图9-16输入防护站点名称、IP地址、端口等信息,将配置保存,完成站点部署。
在旁路监控模式部署下,防护站点配置参数说明如表9-3所示。
表9-3 旁路监控模式-防护站点配置参数说明表
|
参数名称 |
参数说明 |
|
防护站点名称 |
指保护目标网站的名称,可以填IP或主机名。 |
|
IP地址 |
指保护目标网站的IP地址。 |
|
端口 |
指保护目标网站的TCP端口,如80。 |
|
策略规则 |
指保护目标网站所应用的规则,示例中为配置策略所配置的规则。 |
|
接入链路 |
指保护目标网站的物理链路,如Protect1,可将镜像端口连接IN、OUT口中的任意一个端口。 |
|
VLAN支持 |
指对保护目标网站是否开启trunk支持,需要填写服务器所在的VLAN号,一般用于Trunk环境中。 |
验证是否部署成功与透明代理模式的9.2.1 5. (3)(验证是否部署成功)相同。
反向代理—代理模式支持旁路部署,部署时需要在用户网络设备上将域名解析到设备上或将地址映射到设备上。
图9-17 H3C WAF反向代理单臂部署图
按照图9-17部署方式将H3C WAF单臂部署在交换机上,通过防火墙将域名解析到192.168.1.1或将公网地址映射到H3C WAF的业务口192.168.1.1。
反向代理—代理模式部署特点如下。
· 可旁路部署,对于用户网络不透明,防护能力强。
· 故障恢复时间慢,不支持Bypass,恢复时需要重新将域名或地址映射到原服务器。
· 此模式应用于复杂环境中,如设备无法直接串接的环境。
· 访问时需要先访问H3C WAF配置的业务口地址。
· 支持请求源IP透明和不透明,不透明时可采用X_Forwarded_For或者自定义字段标识源IP。
· 支持多台WAF设备冗余和集群部署。
反向代理—代理模式部署条件如下。
· H3C WAF设备开机后正常运行。
· 需要将域名或地址映射到H3C WAF业务口。
· H3C WAF配置的业务口IP与防护站点通信正常。
(1) 部署模式切换到反向代理—代理模式
登录到H3C WAF,选择[配置/全局配置],将防护站点的部署模式切换为反向代理模式,如图9-18所示。
图9-18 H3C WAF反向代理代理模式切换图
(2) 配置保护对象。
点击[配置/防护站点/新增防护站点],按照图9-19输入防护站点名称、IP地址、端口等信息,将配置保存,完成站点部署。
在反向代理—代理模式部署下,防护站点配置参数说明如表9-4所示。
表9-4 反向代理—代理模式-防护站点配置参数说明表
|
参数名称 |
参数说明 |
|
保护站点名称 |
指保护目标网站的名称,可以填IP或主机名。 |
|
IP地址 |
指保护目标网站的IP地址。 |
|
端口 |
指保护目标网站的TCP端口,如80。 |
|
接入链路 |
指保护目标网站的物理链路,在代理模式下,前端和后台选择的接口是一样的。 |
|
链路地址(前端) |
指客户端与WAF进行通信的IP地址,在代理模式下,客户端所访问的IP就是前端IP。 |
|
链路地址(后端) |
指WAF与后端服务器进行通信的IP,在代理模式下,前端IP和后端IP可以采用同一网段的不同IP。 |
|
链路模式 |
可以采用代理模式或者牵引模式 |
|
策略规则 |
指保护目标网站所应用的规则,示例中为配置策略所配置的规则。 |
|
客户端IP地址透明 |
如果客户端IP地址选择“透明”,后端的服务器就可以看到真实的客户端IP地址,同时在代理和牵引模式下,必须要保证服务器返回的流量也要经过WAF,因为WAF采用的代理的方式,因为服务器看到的是真实的客户端IP地址,因此服务器返回的流量就会通过网关返回给客户而不会再经过WAF,因此如果客户端IP地址选择为“透明”,必须也要保证服务器返回的流量也要经过WAF,可以通过PBR来实现。注意:在反代部署的项目中很少将客户端IP地址选择为“透明”,一般都是选择“不透明” |
|
VRRP支持 |
虚拟路由冗余协议,支持多台WAF设备冗余和集群部署,可以选择本设备为主机还是备机。 |
|
域名支持 |
如果一个IP+port下对应多个域名,WAF可以针对每个域名进行策略规则的防护,添加需要保护的域名信息。 |
|
智能防护 |
可以设定客户端IP地址在一定的时间内如果触发一定的规则,则可以对该IP地址进行锁定,禁止访问服务器。 |
|
访问控制 |
指对保护目标网站访问控制功能,默认只勾选原始地址,如部署在HTTP代理设备的环境(如F5、SSL网关)中建议勾选X-Forwarded-For选项,X-Forwarded-For指代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。 |
|
访问审计 |
指对保护目标网站是否开启访问审计功能,对用户的正常访问记录并形成审计报表,开启会占用大量磁盘空间,不建议开启。 |
|
Web加速及防篡改 |
指对保护目标网站是否开启Web缓存及防篡改功能。 |
|
HTTP响应头操作 |
指对服务器返回的响应头部中的字段进行删除,防止服务器信息泄露。 |
(3) 验证是否部署成功。
验证是否部署成功与透明代理模式的9.2.1 5. (3)(验证是否部署成功)相同。
反向代理—牵引模式部署先通过路由器将访问目的去往服务器的下一跳指向到H3C WAF。
图9-20 H3C WAF反向代理牵引部署图
按照图9-20将WAF旁路部署在交换机上,路由器配置策略路由将访问网站服务器的下一跳指向WAF,并将策略路由起在路由器的靠近客户端的接口。
反向代理—牵引模式部署特点如下。
· 可旁路部署,对于用户网络不透明。
· 故障恢复时间慢,不支持Bypass,恢复时需要删除路由器策略路由配置。
· 此模式应用于复杂环境中,如设备无法直接串接的环境。
· 访问时仍访问网站服务器。
· 支持请求源IP透明和不透明,不透明时可采用X_ Forwarded_For或者自定义字段标识源IP。
· 支持多台WAF设备冗余和集群部署。
反向代理—牵引模式部署条件如下。
· H3C WAF设备开机后正常运行。
· 需支持配置策略路由的路由器或三层交换机。
· H3C WAF配置的业务口IP与防护站点通信正常。
(1) 部署模式切换到反向代理模式。
登录到H3C WAF,选择[配置/全局配置],将防护站点的部署模式切换为反向代理模式,如图9-21所示。
图9-21 H3C WAF反向代理牵引模式切换图
(2) 配置保护对象。
点击[配置/防护站点/新增防护站点],按照图9-22输入防护站点名称、IP地址、端口等信息,将配置保存,完成站点部署。
在反向代理—牵引模式部署下,防护站点配置参数说明如表9-5所示。
表9-5 反向代理—牵引模式-防护站点配置参数说明表
|
参数名称 |
参数说明 |
|
保护站点名称 |
指保护目标网站的名称,可以填IP或主机名。 |
|
IP地址 |
指保护目标网站的IP地址。 |
|
端口 |
指保护目标网站的TCP端口,如80。 |
|
接入链路 |
指保护目标网站的物理链路,在代理模式下,前端和后台选择的接口是一样的。 |
|
链路地址(前端) |
指客户端与WAF进行通信的IP地址,在代理模式下,客户端所访问的IP就是前端IP。 |
|
链路地址(后端) |
指WAF与后端服务器进行通信的IP,在代理模式下,前端IP和后端IP可以采用同一网段的不同IP。 |
|
链路模式 |
可以采用代理模式或者牵引模式 |
|
策略规则 |
指保护目标网站所应用的规则,示例中为配置策略所配置的规则。 |
|
客户端IP地址透明 |
如果客户端IP地址选择“透明”,后端的服务器就可以看到真实的客户端IP地址,同时在代理和牵引模式下,必须要保证服务器返回的流量也要经过WAF,因为WAF采用的代理的方式,因为服务器看到的是真实的客户端IP地址,因此服务器返回的流量就会通过网关返回给客户而不会再经过WAF,因此如果客户端IP地址选择为“透明”,必须也要保证服务器返回的流量也要经过WAF,可以通过PBR来实现。注意:在反代部署的项目中很少将客户端IP地址选择为“透明”,一般都是选择“不透明” |
|
VRRP支持 |
虚拟路由冗余协议,支持多台WAF设备冗余和集群部署,可以选择本设备为主机还是备机。 |
|
域名支持 |
如果一个IP+port下对应多个域名,WAF可以针对每个域名进行策略规则的防护,添加需要保护的域名信息。 |
|
智能防护 |
可以设定客户端IP地址在一定的时间内如果触发一定的规则,则可以对该IP地址进行锁定,禁止访问服务器。 |
|
访问控制 |
指对保护目标网站访问控制功能,默认只勾选原始地址,如部署在HTTP代理设备的环境(如F5、SSL网关)中建议勾选X-Forwarded-For选项,X-Forwarded-For指代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。 |
|
访问审计 |
指对保护目标网站是否开启访问审计功能,对用户的正常访问记录并形成审计报表,开启会占用大量磁盘空间,不建议开启。 |
|
Web加速及防篡改 |
指对保护目标网站是否开启Web缓存及防篡改功能。 |
|
HTTP响应头操作 |
指对服务器返回的响应头部中的字段进行删除,防止服务器信息泄露。 |
(3) 验证是否部署成功。
验证是否部署成功与透明代理模式的9.2.1 5. (3)(验证是否部署成功)相同。
路由模式需要在H3C WAF接口上配置IP地址、静态路由和BGP路由,需要改动用户原有的网络环境。
按照图9-23所示WAF部署在路由器和核心交换机之间,WAF的两个接口分别设置IP地址,并且WAF做了一条到路由器和核心交换机的静态路由。在路由模式下WAF是没有bypass功能的,如果WAF出现故障,将导致Web服务器无法访问,导致业务中断。
按照图9-24所示WAF旁路连接在交换机上,其中WAF连接交换机的接口设置了IP地址,WAF与路由器启用BGP动态路由,原静态路由设置为浮动路由,WAF将服务器的路由进行通告,默认流量先路由指向WAF,当WAF异常时,可无缝切换到浮动路由,切换时对网络无影响。
路由模式部署特点如下:
· 路由模式(无冗余结构)故障恢复慢,不支持bypass,恢复时需要重新修改静态路由。
· 路由模式(冗余结构)故障恢复速度快,恢复时不需要修改任何配置。
· 路由模式支持非对称路由
路由模式部署条件如下。
· H3C WAF设备开机后正常运行。
· H3C WAF需要做两条默认路由分别到路由器和核心交换机(无冗余结构)
· H3C WAF和路由器分别配置BGP动态路由器并建立邻居关系,同时H3C WAF需要做一条到另一台路由的静态路由。(冗余结构)。
· 确保H3C WAF和Web服务器的连通性。
(1) 部署模式切换到路由模式。
登录到H3C WAF,选择[配置/全局配置],将部署模式更改为“路由模式”,点击<保存>,然后重启设备,如图9-25所示。
(2) 配置保护对象
点击[配置/防护站点/添加防护站点],按照图9-26输入防护站点名称、IP地址、端口等信息,将配置保存,完成站点部署。
在路由模式下,防护站点的配置参数如表9-6所示。
|
参数名称 |
参数说明 |
|
防护站点名称 |
指保护目标网站的名称,可以填IP或主机名。 |
|
IP地址(段) |
指保护目标网站的IP地址。 |
|
端口 |
指保护目标网站的TCP端口,如80。 |
|
策略规则 |
指保护目标网站所应用的规则,示例中为配置策略所配置的规则。 |
(3) 配置接口地址及路由
选择[配置/接口配置]配置接口地址、静态路由、BGP路由信息,配置完成后点击“保存配置”,如图9-27所示。
接口配置的配置参数如表9-7所示。
|
参数名称 |
参数说明 |
|
接口配置 |
主要用于配置接口的IP地址。 |
|
路由配置 |
主要用于配置静态路由。 |
|
BGP配置 |
主要用于配置BGP路由。 |
(4) 验证是否部署成功
验证是否部署成功与透明代理模式的步骤 3(验证是否部署成功)相同。
桥模式支持透明串接部署方式。串接在用户网络中,可实现即插即用,无需用户更改网络设备与服务器配置。桥模式是真正意义上的透明模式,继承了IPS模式的透明工作机制和代理模式的防护能力,工作时将流量复制一份到硬件缓存中进行分析,而不需要像代理模式那样需要对TCP进行拆解。
按照图9-28部署方式将H3C WAF部署在核心交换机与接入交换机之间,防护连接到接入交换机的网站服务器。桥模式的部署方式和透明代理的部署方式是一样的。
· 桥模式是真正意义上的透明,不会更改数据包任何内容,比如源MAC、源端口、TCP序列号、HTTP协议版本等内容,所以不会存在代理模式中的长短连接问题、健康检查、端口安全、协议不兼容等问题。
· 桥模式不跟踪TCP会话,可支持路由不对称环境。
· 可支持添加网段式防护站点,如192.168.0.0/24、0.0.0.0/0。
· 桥模式下部分功能不支持,比如缓存压缩、智能防护、自学习建模、日志审计等功能。
· 对服务器响应包的内容不检测。
· 防护能力不如透明代理,可能会存在漏报现象。
桥模式的部署条件如下。
· H3C WAF设备开机后正常运行。
· 物理直通模式/网桥直通下,Web服务器可达。
(1) 部署模式切换到桥模式。
选择[配置/全局配置],将部署模式切换为“桥模式”,点击保存并重启设备,如图9-29所示。
(2) 配置防护对象
点击[配置/防护站点/添加防护站点],按照图9-30输入防护站点名称、IP地址、端口等信息,将配置保存,完成站点部署。
桥模式下防护站点的配置参数如表9-8所示。
|
参数名称 |
参数说明 |
|
防护站点名称 |
指保护目标网站的名称,可以填IP或主机名。 |
|
IP地址(段) |
指保护目标网站的IP地址。 |
|
端口 |
指保护目标网站的TCP端口,如80。 |
|
策略规则 |
指保护目标网站所应用的规则,示例中为配置策略所配置的规则。 |
|
接入链路 |
指保护目标网站的物理链路,如Protect1。 |
(3) 验证是否部署成功
验证是否部署成功与透明代理模式的步骤 3(验证是否部署成功)相同。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
