- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
11-Web应用防护
本章节下载: 11-Web应用防护 (441.71 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ CC攻击防护
· 配置指南
|
Web应用防护功能需要安装License才能使用。License过期后,Web应用防护功能可以用,但无法升级特征库,只能使用设备中已存在的特征库。关于License的详细介绍请参见“License联机帮助”。 |
Web应用防护功能用于阻断Web应用层攻击,保护内网用户和内部Web服务器。当设备收到来自外部的HTTP或HTTPS请求后,会执行防护策略,对请求内容的安全性和合法性进行检测和验证,对非法的请求予以实时阻断,从而对内网的用户和Web服务器进行有效防护。
Web应用防护特征用来扫描网络中的攻击行为以及对攻击行为采取防御措施,设备通过将数据流与Web应用防护特征进行比较来检测和防御攻击。
Web应用防护特征包含多种属性,例如攻击分类、动作、保护对象、严重级别和方向。这些属性可作为过滤条件来筛选Web应用防护特征。
· 预定义特征:由系统中的特征库自动生成,不可进行修改和删除。
· 自定义特征:由用户手工配置。可以创建、修改和删除。
缺省情况下,设备基于配置文件统一动作对符合Web应用防护特征的报文进行处理。当需要对符合某个Web应用防护特征的报文采取不同的动作时,可以将此特征设置为特征例外。或者,当Web应用防护配置文件中不包含某个Web应用防护特征时,可以将此特征设置为特征例外,添加到该Web应用防护配置文件中。
特征例外中动作的优先级高于配置文件统一动作的优先级。
Web应用防护动作是指设备对匹配上Web应用防护特征的报文做出的处理。Web应用防护处理动作包括如下几种类型:
· 黑名单:阻断符合特征的报文。如果设备上同时开启了IP黑名单过滤功能,则阻断时间内(在安全动作中的阻断功能中配置)来自此IP地址的所有报文将被直接丢弃;如果设备上未开启黑名单过滤功能,报文的源IP地址仍会被添加到IP黑名单表项中,但后续来自该源IP地址的报文不会被直接丢弃。有关黑名单功能的详细介绍请参见“攻击防范联机帮助”。
· 丢弃:丢弃符合特征的报文。
· 允许:允许符合特征的报文通过。
· 重置:通过发送TCP的reset报文或UDP的ICMP端口不可达报文断开TCP或UDP连接。
· 重定向:把符合特征的报文重定向到指定的Web页面上。
· 缺省:对符合特征的报文执行特征中缺省的动作。
· 抓包:捕获符合特征的报文。
· 日志:对符合特征的报文生成日志信息。
在设备配置了Web应用防护功能的情况下,当用户的数据流量经过设备时,设备将进行Web应用防护处理。处理流程如图-1所示:
图-1 Web应用防护数据处理流程图
Web应用防护处理的整体流程如下:
1. 如果虚服务器引用了Web应用防护配置文件,则设备将对报文进行深度内容检测:首先,识别报文的协议,然后根据协议分析方案进行更精细的分析,并深入提取报文特征。
2. 设备将提取的报文特征与Web应用防护特征进行匹配,并对匹配成功的报文进行如下处理:
¡ 如果报文同时与多个Web应用防护特征匹配成功,则根据这些动作中优先级最高的动作进行处理。但是,对于黑名单、日志和捕获三个动作只要匹配成功的特征中存在就会执行。动作优先级从高到低的顺序为:重置 > 重定向 > 丢弃 > 允许。
¡ 如果报文只与一个Web应用防护特征匹配成功,则根据此特征中指定的动作进行处理。
3. 如果报文未与任何Web应用防护特征匹配成功,则设备直接允许报文通过。
CC(Challenge Collapsar)攻击防护是一种对以网站页面为目标的攻击进行阻断的应用层安全防护功能。CC攻击防护通过对来自Web应用程序客户端的请求进行内容检测、规则匹配和统计计算,对攻击请求予以实时阻断,从而对内网的Web服务器进行有效防护。
CC攻击防护功能是通过在虚服务器中引用Web应用防护配置文件,并且在Web应用配置文件中引用CC攻击防护配置文件来实现的。当用户的数据流量经过设备时,设备将进行CC攻击防护处理。处理流程如下图所示:
图-2 CC攻击防护数据处理流程图
1. 如果报文与例外IP地址匹配成功,则直接放行该报文。
2. 设备对报文进行深度内容检测,并提取报文内容。
3. 设备将提取的报文内容与CC攻击防护规则进行匹配,并进行如下处理:
¡ 如果未匹配到任何CC攻击防护规则,则设备对报文执行允许动作。
¡ 如果匹配到一条CC攻击防护规则,则不再进行后续规则匹配,进入步骤4处理。
4. 如果当前处于检测周期内,则对报文数据进行统计,并与规则下配置的检测指标阈值进行比较,并进行如下处理:
¡ 如果达到阈值,则执行规则下配置的动作,包括允许、黑名单和记录日志。
¡ 如果未达到阈值,则放行报文。
5. 如果当前处理超过检测周期,则不对报文内容进行统计,直接放行报文。
Web应用防护功能的配置思路如下图所示:
图-3 Web应用防护功能配置指导图
设备上存在一个名称为default的Web应用防护配置文件,缺省Web应用防护配置文件使用当前系统中所有缺省处于启用状态的Web应用防护特征,缺省Web应用防护配置文件不能修改和删除。
管理员也可以根据实际需求创建自定义的Web应用防护配置文件。
1. 选择“对象 > 应用安全 > Web应用防护 > 配置文件”。
2. 在“Web应用防护配置文件”页面单击<新建>按钮,进入“新建Web应用防护配置文件”页面。
3. 新建Web应用防护配置文件,具体配置内容如下:
表-1 Web应用防护配置文件配置内容
|
参数 |
说明 |
|
名称 |
Web应用防护配置文件的名称 |
|
CC攻击防护配置文件 |
用于引用CC攻击防护配置文件 |
|
筛选特征 |
通过保护对象、攻击分类、方向、缺省动作和严重级别可灵活选择此Web应用防护配置文件中所需的Web应用防护特征。可通过单击<查看特征筛选结果>按钮来查看当前配置文件中已选择的Web应用防护特征 若不配置任何一项筛选条件(保持缺省情况),则此配置文件中将会包含所有缺省处于启用状态的Web应用防护特征 |
|
保护对象 |
通过选择保护对象可快速选择所需的Web应用防护特征 |
|
攻击分类 |
通过选择攻击分类可快速选择所需的Web应用防护特征 |
|
方向 |
Web应用防护特征库中的特征分为服务端和客户端两类,可通过选择服务端和客户端来筛选配置文件所需的Web应用防护特征 |
|
缺省动作 |
Web应用防护特征的缺省动作分为如下四种:丢弃、允许、重置、黑名单,可通过选择不同的缺省动作来筛选配置文件所需的Web应用防护特征 |
|
严重级别 |
Web应用防护特征的严重级别分为如下四种:严重、高、中、低,可通过选择不同的严重级别来筛选配置文件所需的Web应用防护特征 |
|
设置配置文件统一动作 |
通过设置配置文件统一动作,对筛选出的特征执行统一的动作。如果动作为缺省,则对筛选出的特征执行各自的缺省动作 |
|
动作 |
选择配置文件统一动作,动作类型包括:缺省、黑名单、丢弃、允许、重置和重定向。符合此配置文件的报文将被按照此配置文件中指定的动作进行处理。缺省情况下,动作为缺省 |
|
日志 |
开启日志功能后,设备将对与Web应用防护特征匹配成功的报文生成日志信息 |
|
抓包 |
开启抓包功能后,设备会将捕获到的报文保存在本地并输出到指定的路径,有关捕获参数的详细配置,请参见“安全动作联机帮助” |
|
设置例外特征 |
添加特征例外包括如下两种方式: · 在“新建Web应用防护配置文件”页面的特征例外输入框中直接输入Web应用防护特征的ID号,然后单击右边<添加>按钮,即可把此特征加入特征例外中 · 在“新建Web应用防护配置文件”页面,先单击<查看特征筛选结果>按钮,进入“查看特征”页面,在此页面选中需要加入特征例外的Web应用防护特征,然后单击此页面上方的<添加到例外列表>按钮,在弹出的“修改例外特征”页面中修改特征的动作和状态等。单击<确定>按钮,即可把此特征加入特征例外中 |
|
修改特征例外 |
在特征例外列表中单击目标Web应用防护特征右边的<编辑>按钮,进入“修改例外特征”页面,在此页面可配置此特征的动作、状态、日志和抓包功能。单击<确定>,此例外特征修改成功 |
4. 单击<确定>按钮,新建Web应用防护配置文件成功,且会在“Web应用防护配置文件”页面中显示。
5. 在虚服务器的内容安全配置中引用此Web应用防护配置文件,有关虚服务器的详细配置介绍请参见“应用负载均衡联机帮助”。
6. 单击<提交>按钮,激活Web应用防护配置文件的配置内容。配置此功能会暂时中断DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的配置文件后统一配置此功能。
设备基于CC攻击防护配置文件对攻击报文进行处理,且CC攻击防护配置文件仅在被Web应用防护配置文件引用后才能生效。
CC攻击防护配置文件中可以配置匹配报文的过滤条件以及检测指标等,管理员可以根据实际需求进行配置。
1. 选择“对象 > 应用安全 > Web应用防护 > CC攻击防护配置文件”。
2. 在“CC攻击防护配置文件”页面单击<新建>按钮,进入“新建CC攻击防护配置文件”页面。
3. 在“基本配置”区域可配置CC攻击防护配置文件的基本信息,具体配置内容如下:
表-2 新建CC攻击防护配置文件
|
参数 |
说明 |
|
名称 |
CC攻击防护配置文件的名称 |
|
描述 |
通过合理编写描述信息,便于管理员快速理解和识别CC攻击防护配置文件的作用,有利于后期维护 |
|
例外IP地址 |
如果用户HTTP报文中的源IP地址与例外IP地址匹配成功,则直接允许此报文通过;如果匹配失败,则继续进行后续的CC攻击检测 |
|
检测周期 |
用于检测是否存在CC攻击行为的计时周期,从一条流的首个报文命中CC攻击防护规则时开始计时 |
4. 在“CC攻击防护规则”区域可配置CC攻击防护规则,单击<新建>按钮,进入新建CC攻击防护规则页面,具体配置内容如下:
表-3 新建CC攻击防护规则
|
参数 |
说明 |
|
规则名称 |
CC攻击防护规则的名称 |
|
目的IPv4地址 |
配置作为CC攻击防护规则过滤条件的目的IPv4地址 |
|
目的IPv6地址 |
配置作为CC攻击防护规则过滤条件的目的IPv6地址 |
|
目的端口 |
配置作为CC攻击防护规则过滤条件的目的端口 |
|
请求方法 |
配置作为CC攻击防护规则过滤条件的请求方法 |
|
防护路径 |
配置防护的网站资源的路径 |
|
X-Forwarded-For检测 |
开启X-forward-For字段检测功能后,设备将从客户端HTTP请求报文头的X-forward-for字段获取真正的源IP地址,本功能适用于客户端使用代理方式访问服务器的场景 |
|
检测指标 |
用于检测是否存在CC攻击的指标项,包括请求速率和请求集中度 · 请求速率:用于检测客户端是否过于频繁地访问某网站,包括如下参数: ¡ 速率阈值:表示一个检测周期内,访问任意防护路径的最大次数 · 请求集中度:用于检测客户端是否主要针对某网站进行访问,包括如下参数: ¡ 访问基数:表示所有访问路径的命中总次数,仅当达到访问基数后,才计算请求集中度 ¡ 集中度阈值:表示最常访问的防护路径的访问次数占所有防护路径访问总次数的百分比 |
|
动作 |
配置CC攻击的防护动作,包括允许和黑名单。配置动作为黑名单后,还需要配置黑名单的老化时间 |
|
日志 |
开启日志记录功能后,当设备检测出存在CC攻击时,将记录日志 |
5. 单击<确定>按钮,完成CC攻击防护规则的配置。
6. 单击<确定>按钮,完成CC攻击防护配置文件的配置。
7. 选择“对象 > 应用安全 > Web应用防护 > 配置文件”。
8. 在“Web应用防护配置文件”页面编辑或者新建一个Web应用防护配置文件,在配置文件中引用CC攻击防护配置文件。新建Web应用防护配置文件的步骤请参见“配置Web应用防护配置文件”。
9. 单击<提交>按钮,激活Web应用防护配置文件的配置内容。
当需要的特征在设备当前特征库中不存在时,用户可通过手工配置的方式新建自定义特征。
自定义特征包括属性和规则。
一个自定义特征下可配置多条规则,规则间包含如下规则逻辑:
· 逻辑与:表示报文需要匹配该自定义特征的所有规则才认为与该特征匹配成功。
· 逻辑或:表示报文匹配到该自定义特征的任何一条规则即认为与该特征匹配成功。
自定义特征规则下支持配置规则的匹配条件(包括源/目的IPv4地址、源/目的端口、请求方法等)、检查项和检查项触发条件。
自定义特征规则包括如下类型:
· 关键字类型:配置关键字类型规则时,需要配置检查项和检查项触发条件。只有匹配检查项触发条件后才会继续匹配检查项。仅当所有检查项都匹配成功,才表示该规则成功匹配。
· 数值类型:配置数值类型规则时,可以配置检查项,只有所有检查项都匹配成功,才表示规则成功匹配。
新建自定义特征的配置步骤如下:
1. 选择“对象 > 应用安全 > Web应用防护 > 特征”。
2. 在“Web应用防护特征”页面,单击<新建自定义特征>按钮,进入“新建自定义特征”页面。
3. 在“基本配置”区域可配置自定义特征的属性,具体配置内容如下:
表-4 配置自定义特征属性
|
参数 |
说明 |
|
名称 |
自定义特征的名称 |
|
描述 |
通过合理编写描述信息,便于管理员快速理解和识别自定义特征的作用,有利于后期维护 |
|
严重级别 |
可根据具有该特征报文对网络攻击造成危害的严重程度配置不同的严重级别。严重级别分为如下四种:严重、高、中、低 |
|
方向 |
可根据具有该特征报文的传输方向进行配置,包括服务端和客户端 |
|
动作 |
对具有该特征的报文执行的动作。动作类型包括:黑名单、丢弃、允许和重置 |
|
日志 |
开启日志功能后,设备将对与Web应用防护特征匹配成功的报文生成日志信息 |
|
抓包 |
开启抓包功能后,设备会将捕获到的报文保存在本地并输出到指定的路径,有关捕获参数的详细配置,请参见“安全动作联机帮助” |
4. 在“规则”区域可配置自定义特征规则。一个自定义特征下可配置多条规则,用户需要先配置规则逻辑,包括逻辑或和逻辑与。
5. 单击<新建>按钮,进入新建规则页面,具体配置内容如下:
表-5 新建自定义特征规则
|
参数 |
说明 |
|
ID |
自定义特征规则的ID |
|
匹配类型 |
表示自定义特征的类型,包括关键字类型和数值类型 |
|
请求方法 |
HTTP报文的请求方法,如:GET、POST等 |
|
源IPv4地址 |
自定义特征匹配的源IPv4地址 |
|
源端口 |
自定义特征匹配的源端口 |
|
目的IPv4地址 |
自定义特征匹配的目的IPv4地址 |
|
目的端口 |
自定义特征匹配的目的端口 |
6. 在“检查项触发条件”区域配置检查项的触发条件,仅当自定义特征规则为关键字类型时需要配置。具体配置内容如下:
表-6 新建检查项触发条件
|
参数 |
说明 |
|
协议字段 |
检查项触发条件检测的协议字段 |
|
匹配模式 |
检查项触发条件检测内容的匹配模式,包括文本方式和十六进制方式 |
|
匹配内容 |
检查项触发条件检测的内容 |
|
检测深度 |
检查项触发条件的检测深度,从起始检测位置开始,检测数据的长度 |
|
偏移量 |
检查项触发条件的偏移量,从协议字段开始,偏移指定长度,作为检查项触发条件的起始检测位置 |
7. 单击<确定>按钮,完成检查项触发条件的配置。
8. 在“检查项”区域配置自定义特征规则的检查项,具体配置内容如下:
表-7 新建检查项
|
参数 |
说明 |
|
ID |
检查项的ID |
|
协议字段 |
检查项检测的协议字段 |
|
操作符 |
表示检查项和检测内容的匹配方式,不同类型的自定义特征规则支持的操作符不同,取值包括: · 关键字类型规则的操作符包括:包含和不包含 · 数值类型规则的操作符包括:大于、小于、等于、不等于、大于等于和小于等于 |
|
匹配模式 |
检查项检测内容的匹配模式,包括文本、正则表达式和十六进制 |
|
匹配内容 |
检查项检测的内容 |
|
偏移量 |
检查项的偏移量,从检查项触发条件检测的结束位置开始偏移指定长度,作为检查项的检测起始位置 |
|
检测深度 |
检查项的检测深度,从检查项检测的起始位置开始,检测数据的长度 |
|
相对偏移量 |
表示当前检查项与上一个检查项之间的相对偏移量,从上一个检查项的结束位置开始偏移的长度 |
|
相对检测深度 |
表示当前检查项的检测深度 |
9. 单击<确定>按钮,完成检查项的配置。
10. 单击<确定>按钮,完成自定义特征规则的配置。
11. 单击<确定>按钮,完成自定义特征的配置。
12. 单击<提交>按钮,使新建的自定义特征生效。
删除自定义特征的配置步骤如下:
选择“对象 > 应用安全 > Web应用防护 > 特征”。在“Web应用防护特征”页面,选择需要删除的自定义特征,单击<删除特征>按钮,选择删除选中的自定义特征。
数值类型的自定义特征规则仅支持配置一个检查项。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
