- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
08-WAF命令
本章节下载: 08-WAF命令 (568.89 KB)
目 录
1.1.1 action(CC-defense policy rule view)
1.1.3 action(waf signature view)
1.1.8 description (WAF whitelist entry view)
1.1.9 description(CC-defense policy view)
1.1.10 description(waf signature view)
1.1.11 destination-address(CC-defense policy rule view)
1.1.12 destination-address(waf signature rule view)
1.1.13 destination-port(CC-defense policy rule view)
1.1.14 destination-port(waf signature rule view)
1.1.21 display waf signature library
1.1.22 display waf signature pre-defined
1.1.23 display waf signature user-defined
1.1.35 rule(CC-defense policy view)
1.1.36 rule(waf signature view)
1.1.38 semantic-analysis enable
1.1.39 severity-level(waf policy view)
1.1.40 severity-level(waf signature view)
1.1.45 source-address (WAF whitelist entry view)
1.1.54 waf signature auto-update
1.1.55 waf signature auto-update-now
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
设备型号 |
业务板类型 |
说明 |
|
M9006 M9010 M9014 |
Blade IV防火墙业务板 |
支持 |
|
Blade V防火墙业务板 |
支持 |
|
|
NAT业务板 |
不支持 |
|
|
M9010-GM |
加密业务板 |
支持 |
|
M9016-V |
Blade V防火墙业务板 |
支持 |
|
M9008-S M9012-S |
Blade IV防火墙业务板 |
支持 |
|
入侵防御业务板 |
支持 |
|
|
视频网关业务板 |
支持 |
|
|
M9008-S-V |
Blade IV防火墙业务板 |
支持 |
|
M9000-AI-E4 M9000-AI-E8 M9000-AI-E16 |
Blade V防火墙业务板 |
支持 |
|
M9000-AK001 |
Blade V防火墙业务板 |
支持 |
|
M9000-X06 M9000-X06-B M9000-X06-B-G M9000-X06-G M9000-X10 |
Blade VI防火墙业务板 |
支持 |
|
M9000-AI-X06 M9000-AI-X10 |
Blade VI防火墙业务板 |
支持 |
action命令用来配置CC攻击防护的动作。
undo action命令用来恢复缺省情况。
【命令】
action { block-source [ block-time ] | permit }
undo action
【缺省情况】
CC攻击防护策略规则的动作为允许。
【视图】
CC攻击防护策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
block-source:表示源阻断动作。该动作阻断检测为CC攻击行为的报文,并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能,则在block-time指定的阻断时间内直接丢弃来自此IP地址的所有报文;否则,此IP黑名单不生效。有关IP黑名单过滤功能的详细介绍请参见“安全命令参考”中的“攻击检测与防范”。
block-time:表示阻断时间,取值范围为1~86400,单位为秒。如果未配置本参数,则表示使用缺省值,缺省为300秒。
permit:表示允许报文通过。
【使用指导】
当设备检测出CC攻击时,执行本命令配置的动作。
【举例】
# 在名称为news的CC攻击防护策略下,配置名称为test的防护规则动作为源阻断,阻断时间为350秒。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule name test
[Sysname-cc-defense-policy-news-rule-test] action block-source 350
action命令用来配置筛选WAF特征的动作属性。
undo action命令用来恢复缺省情况。
【命令】
action { block-source | drop | permit | reset } *
undo action
【缺省情况】
未配置动作属性筛选条件。
【视图】
WAF策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
block-source:表示源阻断动作,该动作将阻断符合特征的报文,并将该报文的源IP地址加入IP黑名单。
drop:表示丢弃报文的动作。
permit:表示允许报文通过的动作。
reset:表示重置动作,该动作通过发送TCP的reset报文使TCP连接断开。
【使用指导】
可通过配置动作分类属性筛选出具有该属性的特征,WAF策略将使用筛选出的特征与报文进行匹配。可多次执行本命令,配置多个动作。只要符合其中一个,具有该动作的特征将会被筛选出来。
特征库升级过程中,不能成功执行本命令以及undo命令。
【举例】
# 在名称为test-policy的WAF策略中配置筛选WAF特征的动作属性为drop和reset。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] action drop reset
【相关命令】
· display waf policy
action命令用来配置WAF自定义特征的动作。
undo action命令用来恢复缺省情况。
【命令】
action { block-source | drop | permit | reset } [ capture | logging ] *
undo action
【缺省情况】
WAF自定义特征的动作是permit。
【视图】
WAF自定义特征视图
【缺省用户角色】
network-admin
context-admin
【参数】
block-source:表示阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单。
drop:表示丢弃报文。
permit:表示放行报文动作。
reset:表示通过发送TCP的reset报文使TCP连接断开。
capture:表示捕获符合特征的报文。
logging:表示记录日志。
【使用指导】
本命令用来配置对匹配上WAF自定义特征的报文所执行的动作。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置WAF自定义特征的动作为permit。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] action permit
apply cc-defense policy命令用来在WAF策略中引用CC攻击防护策略。
undo apply cc-defense policy命令用来恢复缺省情况。
【命令】
apply cc-defense policy policy-name
undo apply cc-defense policy
【缺省情况】
WAF策略未引用CC攻击防护策略。
【视图】
WAF策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:表示CC攻击防护策略的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
CC攻击防护策略仅在被WAF策略引用后生效。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在WAF策略master中引用CC攻击防护策略news。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] quit
[Sysname] waf policy master
[Sysname-waf-policy-master] apply cc-defense policy news
attack-category命令用来配置筛选WAF特征的攻击分类属性。
undo attack-category命令用来删除筛选WAF特征的攻击分类属性。
【命令】
attack-category { category [ sub-category subcategory ] | all}
undo attack-category { category [ sub-category subcategory | all] }
【缺省情况】
未配置攻击分类属性筛选条件。
【视图】
WAF策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
category:表示设备中已有的攻击分类名称。不区分大小写,可通过输入“?”获取支持的攻击分类名称。
sub-category subcategory:表示设备中已有攻击分类中的子分类名称。若不指定本参数,则表示指定攻击分类中的所有子分类。不区分大小写,可通过输入“?”获取支持的子分类名称。
all:表示设备中已有的所有攻击分类。
【使用指导】
可通过配置攻击分类属性筛选出具有该属性的特征,WAF策略将使用筛选出的特征与报文进行匹配。可多次执行本命令,配置多个攻击分类。只要符合其中一个,具有该攻击分类的特征将会被筛选出来。
【举例】
# 在名称为test-policy的WAF策略中配置筛选WAF特征的攻击分类为Vulnerability攻击分类中的SQLInjection子分类。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] attack-category Vulnerability sub-category SQLInjection
【相关命令】
· display waf policy
cc-defense policy命令用来创建CC攻击防护策略,并进入CC攻击防护策略视图。如果指定的CC攻击防护策略已存在,则直接进入CC攻击防护策略视图。
undo cc-defense policy命令用来删除指定的CC攻击防护策略。
【命令】
cc-defense policy policy-name
undo cc-defense policy policy-name
【缺省情况】
不存在CC攻击防护策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:表示CC攻击防护策略的名称,为1~31个字符的字符串,不区分大小写,不可输入“-”。
【使用指导】
CC攻击防护策略仅在被WAF策略引用后生效。
【举例】
# 创建一个名称为news的CC攻击防护策略。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news]
【相关命令】
· apply cc-defense policy
cc-detection-item命令用来配置CC攻击检测项。
undo cc-detection-item命令用来恢复缺省情况。
【命令】
cc-detection-item { request-concentration [ concentration-value ] [ request-number number ] | request-rate [ rate-value ] }
undo cc-detection-item { request-concentration | request-rate }
【缺省情况】
未配置CC攻击检测项,设备不对检查项进行检测。
【视图】
CC攻击防护策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
request-concentration concentration-value:表示请求集中度阈值的百分比数值,取值范围为1~100,缺省值为25。
request-number number:表示访问次数。取值范围为10~65535,缺省值为100。
request-rate rate-value:表示请求速率。rate-value表示请求速率的阈值,取值范围为1~65535,缺省值为150,单位为次/检测周期。
【使用指导】
CC攻击防护策略规则的检测项包括请求速率和请求集中度。
· 请求速率:用于检测客户端是否过于频繁地访问某网站。
· 请求集中度:用于检测客户端是否主要针对某网站进行访问。
设备以检测周期为单位,对用户访问的网站进行统计,并对最常访问的URL检验是否达到检查项阈值,只要有一个检查项达到阈值,则认为客户端的访问为CC攻击。
检查项的计算方式分别为:
· 请求速率=用户最常访问的URL的访问次数/检测周期。
· 请求集中度=用户最常访问的URL的访问次数/所有URL的访问次数*100%。
其中,仅当达到配置的请求次数后,才计算请求集中度。
如果CC攻击防护策略下配置了防护路径,则URL为不同域名下的防护路径;如果CC攻击防护策略下未配置防护路径,则URL为用户访问的每个网站的URL。
多次执行本命令,配置同一个检查项时,最后一次执行的命令生效。
【举例】
# 在CC攻击防护策略news下名称为test的规则中配置请求速率的阈值为10次/检测周期。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule name test
[Sysname-cc-defense-policy-news-rule-test] cc-detection-item request-rate 10
【相关命令】
· detection-interval
· protected-url
description命令用来配置WAF白名单表项的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
未配置WAF白名单表项的描述信息。
【视图】
WAF白名单表项视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:WAF白名单表项的描述信息,为1~255个字符的字符串,可以包含空格,不区分大小写。
【使用指导】
通过合理编写描述信息,便于管理员快速理解和识别WAF白名单表项的作用,有利于后期维护。
【举例】
# 配置编号为1的WAF白名单表项描述信息为News information。
<Sysname> system-view
[Sysname] waf whitelist 1
[Sysname-waf-whitelist-1] description News information
【相关命令】
· waf whitelist
description命令用来配置CC攻击防护策略的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text-string
undo description
【缺省情况】
未配置CC攻击防护策略的描述信息。
【视图】
CC攻击防护策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
text-string:CC攻击防护策略的描述信息,为1~255个字符的字符串,可以包含空格,不区分大小写。
【使用指导】
通过合理编写描述信息,便于管理员快速理解和识别CC攻击防护策略的作用,有利于后期维护。
【举例】
# 配置CC攻击防护策略news的描述信息为News information。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] description News information
description命令用来配置WAF自定义特征的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
未配置WAF自定义特征的描述信息。
【视图】
WAF自定义特征视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:表示WAF自定义特征的描述信息,为1~127个字符的字符串,可以包含空格,区分大小写。
【使用指导】
通过合理编写描述信息,便于管理员快速理解和识别WAF自定义特征的作用,有利于后期维护。
【举例】
# 在WAF自定义特征mysignature中,配置描述信息为Http protocol check。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] description Http protocol check
destination-address命令用来配置作为CC攻击防护策略规则过滤条件的目的IP地址。
undo destination-address命令用来删除作为CC攻击防护策略规则过滤条件的目的IP地址。
【命令】
destination-address { ipv4 ipv4-address | ipv6 ipv6-address }
undo destination-address { ipv4 ipv4-address | ipv6 ipv6-address }
【缺省情况】
不存在目的IP地址过滤条件。
【视图】
CC攻击防护策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4 ipv4-address:表示IPv4地址。
ipv6 ipv6-address:表示IPv6地址。
【使用指导】
目的IP地址为受保护的网站服务器的IP地址。
多次执行本命令,可配置多个目的IP地址作为CC攻击防护策略规则的过滤条件。
【举例】
# 在CC攻击防护策略news下名称为test的规则中配置作为过滤条件的目的IPv4地址为192.168.4.83。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule name test
[Sysname-cc-defense-policy-news-rule-test] destination-address ipv4 192.168.4.83
destination-address命令用来配置WAF自定义特征规则匹配的目的IP地址。
undo destination-address命令用来恢复缺省情况。
【命令】
destination-address ip ip-address
undo destination-address
【缺省情况】
未配置WAF自定义特征规则匹配的目的IP地址。
【视图】
WAF自定义特征规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address:表示WAF自定义特征规则匹配的目的IPv4地址。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在WAF自定义特征mysignature中,配置编号为1的关键字类型规则,配置自定义特征规则匹配的目的IP地址为10.1.1.1。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] rule 1 pattern-type keyword
[Sysname-waf-signature-mysignature-rule-1] destination-address ip 10.1.1.1
destination-port命令用来配置作为CC攻击防护策略规则过滤条件的目的端口。
undo destination-port命令用来删除作为CC攻击防护策略规则过滤条件的目的端口。
【命令】
destination-port port-number
undo destination-port port-number
【缺省情况】
不存在目的端口过滤条件。
【视图】
CC攻击防护策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
port-number:表示CC攻击防护策略规则中的目的端口,取值范围为1~65535。
【使用指导】
多次执行本命令,可配置多个目的端口作为CC攻击防护策略规则的过滤条件。
【举例】
# 在CC攻击防护策略news下名称为test的规则中配置作为过滤条件的目的端口为8080。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule name test
[Sysname-cc-defense-policy-news-rule-test] destination-port 8080
destination-port命令用来配置WAF自定义特征规则匹配的目的端口。
undo destination-port命令用来恢复缺省情况。
【命令】
destination-port start-port [ to end-port ]
undo destination-port
【缺省情况】
未配置WAF自定义特征规则匹配的目的端口。
【视图】
WAF自定义特征规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
start-port:表示目的端口的起始端口号,取值范围为1~65535。
to end-port:指定结束目的端口号。end-port,表示目的端口的结束端口号,取值范围为1~65535。若不指定本参数,则表示仅匹配起始端口号。
【使用指导】
本命令用于配置基于TCP协议的端口号。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在WAF自定义特征mysignature中,新建编号为1的关键字类型规则,配置自定义特征规则匹配的目的端口范围为1~3550。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] rule 1 pattern-type keyword
[Sysname-waf-signature-mysignature-rule-1] destination-port 1 to 3550
detection-integer命令用来配置数值类型自定义特征规则的检查项。
undo detection-integer命令用来删除数值类型自定义特征规则的检查项。
【命令】
detection-integer field field-name match-type { eq | gt | gt-eq | lt | lt-eq | nequ } number
undo detection-integer
【缺省情况】
未配置数值类型自定义特征规则的检查项。
【视图】
WAF自定义特征规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
field-name:表示待检测的协议字段。field-name表示待检测的协议字段名称,不区分大小写,需要通过输入“?”获取支持的协议字段。
match-type{ eq | gt | gt-eq | lt | lt-eq | nequ }:表示检查项和待检测数值的匹配方式。
· eq:等于。
· gt:大于。
· gt-eq:大于等于。
· lt:小于。
· lt-eq:小于等于。
· nequ:不等于。
number:表示检查项要比较的数值,取值范围为1~4294967295。
【使用指导】
一条规则可以配多个检查项,检查项之间为逻辑与的关系,匹配顺序为配置顺序。配置检查项匹配的协议字段时,建议依据HTTP协议中各协议字段顺序进行配置,否则可能会影响设备的检测结果。
【举例】
# 在WAF自定义特征mysignature中,新建编号为1的数值类型规则,配置编号为1的检查项的协议字段为http-uri、匹配方式为等于、检测内容为123456。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] rule 1 pattern-type integer
[Sysname-waf-signature-mysignature-rule-1] detection-integer field http-uri match-type eq 123456
【相关命令】
· trigger
detection-interval命令用来配置CC攻击检查项的检测周期。
undo detection-interval命令用来恢复缺省情况。
【命令】
detection-interval interval
undo detection-interval
【缺省情况】
CC攻击检查项的检测周期为30秒。
【视图】
CC攻击防护策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
interval:表示CC攻击检查项的检测周期,取值范围为10~720,单位为秒。
【使用指导】
检测周期是用于检测是否存在CC攻击行为的计时周期,从一条流的首个报文命中CC攻击防护规则时开始计时。
设备使用请求速率和请求集中度两个检查项判定是否存在CC攻击行为。在检测周期内,如果设备检测到检查项已达到阈值,则判定用户的访问为CC攻击,并执行CC攻击防护动作,包括允许、黑名单和记录日志;如果未达到阈值,则不认为遭受到CC攻击,放行报文。
【举例】
# 配置CC攻击检查项的检测周期为10秒。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] detection-interval 10
【相关命令】
· detection
detection-keyword命令用来配置关键字类型自定义特征规则的检查项。
undo detection-keyword命令用来删除关键字类型自定义特征规则的检查项。
【命令】
detection-keyword detection-id field field-name match-type { exclude | include } { hex hex-string | regex regex-pattern | text text-string } [ offset offset-value [ depth depth-value ] | relative-offset relative-offset-value [ relative-depth relative-depth-value ] ]
undo detection-keyword detection-id
【缺省情况】
未配置关键字类型自定义特征规则的检查项。
【视图】
WAF自定义特征规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
detection-id:表示检查项的ID,取值范围为1~10。
field field-name:表示待检测的协议字段。field-name表示协议字段名称,不区分大小写。需要通过输入“?”获取支持的协议字段。
match-type { exclude | include }:表示检查项和关键字的匹配方式。
· include:包含。
· exclude:不包含。
hex hex-string:表示用来匹配的十六进制字符内容,hex-string表示匹配内容,为8~254个字符的字符串,且必须输入偶数个字符,输入参数必须在两个竖杠“|”之间,仅支持输入“0-9、A-F、a-f”,区分大小写,例如|1234f5b6|。
regex regex-pattern:表示用来匹配的正则表达式,为3~255个字符的字符串,区分大小写,只能以字母、数字、下划线开头,不能以特殊符号开头,支持特殊字符配置,且必须包含连续的3个非通配符。
text text-string:表示用来匹配的文本内容,为3~255个字符的字符串,不区分大小写。
offset offset-value:表示检查项的偏移量,从协议字段起始位置开始偏移的长度。取值范围为1~65535,单位为字节。若不配置该参数,则表示从协议字段的起始位置开始对检查项进行检测。
depth depth-value:表示检查项的检测深度,从检查项的起始位置开始,检测的长度。取值范围为3~65535,单位为字节。若不配置该参数,则表示检查项对整个协议字段进行检测。
relative-offset relative-offset-value:表示当前检查项与上一个检查项之间的相对偏移量,取值范围为-32767~-1,1~32767,单位为字节。从上一个检查项的检测结束位置开始偏移。如果取值为正数,则表示向后偏移;如果取值为负数,则表示向前偏移。
relative-depth relative-depth-value:表示检查项的检测深度,从检测的起始位置开始检测的长度,取值范围为3~65535,单位为字节。
【使用指导】
本命令仅在配置触发检查项之后才可配置。
一条规则可以配多个检查项,检查项之间为逻辑与的关系,匹配顺序为配置顺序。
检查项仅检测指定协议字段范围内的数据,可使用偏移量、检测深度和相对偏移量、相对检测深度两组参数中的任意一组精确定位检测的起始和终止位置。
配置检查项匹配的协议字段时,建议依据HTTP协议中各协议字段顺序进行配置,否则可能会影响设备的检测结果。
【举例】
# 在WAF自定义特征mysignature中,新建编号为1的关键字类型规则,配置编号为1的检查项的协议字段为http-uri、匹配类型为包含、检测内容为文本abc、偏移量为10字节、检测深度为50字节。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] rule 1 pattern-type keyword
[Sysname-waf-signature-mysignature-rule-1] detection-keyword 1 field http-uri match-type include text abc offset 10 depth 50
【相关命令】
· trigger
direction命令用来配置WAF自定义特征的检测方向。
undo direction命令用来恢复缺省情况。
【命令】
direction { any | to-client | to-server }
undo direction
【缺省情况】
WAF自定义特征的检测方向是any。
【视图】
WAF自定义特征视图
【缺省用户角色】
network-admin
context-admin
【参数】
any:表示发往服务器和客户端的两个方向。
to-client:表示发往客户端的方向。
to-server:表示发往服务器的方向。
【使用指导】
不支持通过多次执行本命令修改自定义特征的检测方向,如需修改检测方向,请先执行undo direction命令。执行undo命令后,将删除该特征下的所有规则。
【举例】
# 配置WAF自定义特征的检测方向为发往客户端的方向。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] direction to-client
display waf policy命令用来显示WAF策略信息。
【命令】
display waf policy policy-name
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
policy-name:表示WAF策略名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 显示名称为aa的WAF策略信息。
<Sysname> display waf policy aa
Semantic-analysis status : enabled
Total signatures : 100
Pre-defined signatures : 10
User-defined signatures : 90
Flags:
B: Block-source D: Drop P: Permit Rs: Reset Rd: Redirect C: Capture L: L
ogging
Pre: pre-defined User: user-defined
Type SigID Target SubTarget Severity Direction Category
SubCategory Status Action
Pre 23723 OperationSystem Any High Any Vulnerability
RemoteCodeExecu Enable RsL
Pre 24728 OperationSystem Any Critical Server Malware
Backdoor Enable DL
Pre 25066 OperationSystem Any Critical Any Malware
Backdoor Enable DL
Pre 25067 OperationSystem Any Critical Server Malware
Backdoor Enable RsL
Pre 25824 OperationSystem Any Critical Server Vulnerability
Overflow Enable RsL
---- More ----
表1-1 display waf policy命令显示信息描述表
|
字段 |
描述 |
|
Semantic-analysis status |
语义分析功能的启用状态,取值包括: · enabled:表示开启状态 · disabled:表示关闭状态 |
|
Total signatures |
WAF策略中的特征总数 |
|
Pre-defined signatures |
预定义WAF特征数目 |
|
User-defined signatures |
自定义WAF特征数目 |
|
Flags |
标识符缩写,取值包括: · B: Block-source:表示源阻断动作 · D: Drop:表示丢弃 · P: Permit:表示允许 · Rs: Reset:表示重置 · C: Capture:表示捕获 · L: Logging:表示记录日志 · Pre: pre-defined:表示预定义特征 · User: user-defined:表示自定义特征 |
|
Type |
WAF特征的类型,包括如下取值: · Pre:表示预定义特征 · User:表示自定义特征 |
|
SigID |
WAF特征编号 |
|
Target |
攻击对象 |
|
SubTarget |
攻击子对象 |
|
Severity |
WAF特征的攻击严重程度属性,从低到高分为四级:Low、Medium、High、Critical |
|
Category |
WAF特征的攻击类别名称 |
|
SubCategory |
WAF特征的子攻击类别名称 |
|
Status |
WAF特征的状态,包括如下取值: · Enabled:表示此特征已生效 · Disabled:表示此特征未生效 |
|
Action |
对报文的处理动作,包括如下取值: · Block-source:表示阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单 · Drop:表示丢弃符合特征的报文 · Permit:表示允许符合特征的报文通过 · Reset:表示发送TCP的reset报文或UDP的ICMP端口不可达报文使TCP或UDP连接断开 · Redirect:表示重定向符合特征的报文 · Capture:表示捕获符合特征的报文 · Logging:表示对符合特征的报文生成日志 |
display waf signature命令用来显示WAF特征的简要信息。
【命令】
display waf signature [ pre-defined | user-defined ] [ direction { any | to-client | to-server } ] [ category category-name | fidelity { high | low | medium } | severity { critical | high | low | medium } ] *
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
pre-defined:显示预定义WAF特征。
direction { any | to-client | to-server }:显示符合指定方向属性的WAF特征。如果未指定此参数,则显示所有方向上的WAF特征。
· any:表示一个会话的两个方向。
· to-server:表示一个会话的客户端到服务器的方向。
· to-client:表示一个会话的服务器到客户端的方向。
category category-name:显示符合指定攻击类别属性的WAF特征,category-name是攻击类型的名称,可通过输入“?”获取支持的攻击类型名称。如果未指定此参数,则显示所有攻击类型的WAF特征。
fidelity { high | low | medium }:显示符合指定可信度属性的WAF特征。如果未指定此参数,则显示所有可信度的WAF特征。可信度是指此WAF特征识别攻击行为准确度,且从低到高分为如下三个级别:
· low:可信度比较低。
· medium:可信度中等。
· high:可信度比较高。
severity { critical | high | low | medium }:显示符合指定严重级别属性的WAF特征。如果未指定此参数,则显示所有严重级别的WAF特征。严重级别是指匹配此WAF特征的网络攻击造成危害的严重程度,且从低到高分为四个级别:
· low:攻击严重程度比较低。
· medium:攻击严重程度中等。
· high:攻击严重程度比较高。
· critical:攻击严重程度非常高。
【使用指导】
若不指定任何参数,则显示所有WAF特征。
【举例】
# 显示可信度为中等的所有预定义WAF特征。
<Sysname> display waf signature pre-defined fidelity medium
Pre-defined signatures total:88 failed:0
Flag:
Pre: predefined User: user-defined
Type SigID Direction Severity Fidelity Category Protocol SigName
Pre 3295 To-client Critical Medium Vulnerability TCP
Pre 5379 To-client Critical Medium Vulnerability TCP
Pre 6017 To-client Critical Medium Vulnerability TCP
Pre 7453 To-server High Medium Other TCP
Pre 10033 To-client High Medium Vulnerability TCP
Pre 23227 To-server Medium Medium Vulnerability TCP
Pre 23285 To-server Medium Medium Vulnerability TCP
Pre 23309 To-server Medium Medium Vulnerability TCP
Pre 23482 To-server High Medium Vulnerability TCP
Pre 23530 To-server High Medium Vulnerability TCP
Pre 23666 To-server High Medium Vulnerability TCP
Pre 23722 To-server Medium Medium Vulnerability TCP
Pre 23747 To-server Medium Medium Vulnerability TCP
Pre 24346 To-client Medium Medium Vulnerability TCP
Pre 25044 To-server High Medium Vulnerability TCP
Pre 25086 To-server High Medium Vulnerability TCP
Pre 25100 To-server High Medium Vulnerability TCP
---- More ----
# 显示攻击严重程度为比较高的所有WAF特征。
<Sysname> display waf signature severity high
Total signatures :45 failed:0
Pre-defined signatures total:45 failed:0
User-defined signatures total:0 failed:0
Flag:
Pre: predefined User: user-defined
Type SigID Direction Severity Fidelity Category Protocol SigName
Pre 7453 To-server High Medium Other TCP
Pre 10033 To-client High Medium Vulnerability TCP
Pre 23192 To-server High High Vulnerability TCP
Pre 23448 To-server High High Vulnerability TCP
Pre 23474 To-server High Low Vulnerability TCP
Pre 23482 To-server High Medium Vulnerability TCP
Pre 23530 To-server High Medium Vulnerability TCP
Pre 23666 To-server High Medium Vulnerability TCP
Pre 24485 To-server High High Vulnerability TCP
Pre 25044 To-server High Medium Vulnerability TCP
Pre 25086 To-server High Medium Vulnerability TCP
Pre 25100 To-server High Medium Vulnerability TCP
Pre 30781 To-server High Medium Vulnerability TCP
Pre 30807 To-server High Medium Vulnerability TCP
Pre 30851 To-server High Medium Vulnerability TCP
---- More ----
表1-2 display waf signature命令显示信息描述表
|
字段 |
描述 |
|
Total signatures |
WAF特征总数 |
|
Pre-defined signatures total |
预定义WAF特征数目 |
|
User-defined signatures total |
自定义WAF特征数目 |
|
Flags |
标识符缩写,取值包括: · Pre: pre-defined:表示预定义特征 · User: user-defined:表示自定义特征 |
|
Type |
WAF特征的类型,包括如下取值: · Pre:表示预定义特征 · User:表示自定义特征 |
|
SigID |
WAF特征的编号 |
|
Direction |
WAF特征的方向属性,包括如下取值: · any:表示一个会话的两个方向 · To-server:一个会话的客户端到服务器方向 · To-client:一个会话的服务器到客户端方向 |
|
Severity |
WAF特征的攻击严重程度属性,严重程度从低到高分为四个级别:Low、Medium、High、Critical |
|
Fidelity |
WAF特征的可信度属性,可信度从低到高分为三个级别:Low、Medium、High |
|
Category |
WAF特征的攻击类别名称 |
|
Protocol |
WAF特征的协议属性 |
|
SigName |
WAF自定义特征的名称 |
display waf signature library命令用来显示WAF特征库信息。
【命令】
display waf signature library
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示WAF特征库信息。
<Sysname> display waf signature library
WAF signature library information:
Type SigVersion ReleaseTime Size (bytes)
Current 1.02 Fri Sep 13 09:05:35 2014 71594
Last - - -
Factory 1.00 Fri Sep 11 09:05:35 2014 71394
表1-3 display waf signature information命令显示信息描述表
|
字段 |
描述 |
|
Type |
WAF特征库版本,包括如下取值: · Current:表示当前版本 · Last:表示上一版本 · Factory:表示出厂版本 |
|
SigVersion |
WAF特征库版本号 |
|
ReleaseTime |
WAF特征库发布时间 |
|
Size |
WAF特征库文件大小,单位是Bytes |
display waf signature pre-defined命令用来显示WAF预定义特征的详细信息。
【命令】
display waf signature pre-defined signature-id
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
signature-id:指定WAF预定义特征的编号,取值范围为1~536870911。
【举例】
# 显示编号为3295的预定义WAF特征的详细信息。
<Sysname> display waf signature pre-defined 3295
Type : Pre-defined
Signature ID: 3295
Status : Enable
Action : Permit & Logging
Name : WEB_SERVER_Possible_HTTP_503_XSS_Attempt_(Internal_Source)
Protocol : TCP
Severity : Critical
Fidelity : Medium
Direction : To-client
Category : Vulnerability
Reference :
Description : WEB_SERVER_Possible_HTTP_503_XSS_Attempt_(Internal_Source)
表1-4 display waf signature pre-defined命令显示信息描述表
|
字段 |
描述 |
|
Type |
WAF特征的类型 |
|
Signature ID |
WAF特征的编号 |
|
Status |
WAF特征的状态,包括如下取值: · Enabled:表示此特征已生效 · Disabled:表示此特未生效 |
|
Action |
对报文的处理动作,包括如下取值: · Block-source:表示阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单 · Drop:表示丢弃符合特征的报文 · Permit:表示允许符合特征的报文通过 · Reset:表示发送TCP的reset报文或UDP的ICMP端口不可达报文使TCP或UDP连接断开 · Capture:表示捕获符合特征的报文 · Logging:表示对符合特征的报文生成日志 |
|
Name |
WAF特征的名称 |
|
Protocol |
WAF特征的协议属性 |
|
Severity |
WAF特征的攻击严重程度属性,严重程度从低到高分为四个级别:Low、Medium、High、Critical |
|
Fidelity |
WAF特征的可信度属性,可信度从低到高分为三个级别:Low、Medium、High |
|
Direction |
WAF特征的方向属性,包括如下取值: · Any:表示一个会话的两个方向 · To-server:一个会话的客户端到服务器方向 · To-client:一个会话的服务器到客户端方向 |
|
Category |
WAF特征的攻击类别名称 |
|
Reference |
WAF特征的参考信息 |
|
Description |
WAF特征的描述信息 |
display waf signature user-defined命令用来显示WAF自定义特征的详细信息。
【命令】
display waf signature user-defined signature-id
【视图】
任意视图
【缺省用户角色】
network-admin
context-admin
【参数】
signature-id:表示WAF自定义特征的ID,取值范围为536870928~1073741808。
【举例】
# 显示ID为536870944的WAF自定义特征的详细信息。
<Sysname> display waf signature user-defined 536870944
Signature ID: 536870944
Signature name: mysignature
Status: Enabled
Action: Permit & Logging
Severity: High
Fidelity: Medium
Direction: To-server
Rulelogic: Or
Description: Http method check
Total rules: 2
Rule list:
Rule ID: 1
Match-type: Keyword
HTTP method: Get
Source address: 10.1.1.1
Source port: 1-35560
Destination address: 20.1.1.1
Destination port: 1-35560
trigger entry:
Field: Http_Uri
Value: abcksdhosihendsid
Offset: 20
Depth: 1000
Detection entry list:
Entry ID Field Match type Content-type Content
1 http_cookie include text sduhskdjs
Rule ID: 2
---- More ----
display waf signature user-defined name my-signature
|
字段 |
描述 |
|
Signature ID |
特征的编号 |
|
Signature name |
特征的名字 |
|
Status |
特征的状态,取值包括: · Enabled:表示生效状态 · Disabled:表示失效状态 |
|
Action |
报文与特征匹配成功后对该报文执行的动作,取值包括: · Permit:允许报文通过 · Drop:丢弃报文 · Reset:表示通过发送TCP的reset报文从而使TCP或UDP连接断开 · Block-source:阻断报文 · Logging:生成报文日志 · Capture:捕获报文 |
|
Severity |
特征的严重程度,从低到高分为四级:Low、Medium、High、Critical |
|
Fidelity |
特征的可信度属性,可信度从低到高分为三个级别:Low、Medium、High |
|
Direction |
特征匹配的方向,取值包括: · Any:双向 · To-client:服务器到客户端的方向 · To-server:客户端到服务器的方向 |
|
Rulelogic |
特征下规则间的逻辑关系 |
|
Description |
特征的描述信息 |
|
Total rules |
特征下的规则数量 |
|
Rule List |
特征下的规则列表 |
|
Rule ID |
特征下的规则编号 |
|
Match-type |
特征匹配内容的类型,取值包括: · Keyword:关键字类型 · Integer:数值类型 |
|
HTTP method |
特征匹配的HTTP报文请求方法 |
|
Source address |
特征匹配的源IP地址 |
|
Source port |
特征匹配的源端口范围 |
|
Destination address |
特征匹配的目的IP地址 |
|
Destination port |
特征规则匹配的目的端口范围 |
|
trigger entry |
特征规则的触发检查项 |
|
Field |
特征规则触发检查项检测的协议字段 |
|
Value |
特征规则触发检查项检测的内容 |
|
Offset |
特征规则触发检查项的绝对偏移量 |
|
Depth |
特征规则触发检查项的检测深度 |
|
Detection entry list |
特征规则的检查项列表 |
|
Entry ID |
特征规则的检查项编号 |
|
Field |
特征规则检查项的协议字段 |
|
Match type |
特征规则检查项的匹配方式,取值包括: · include:包含 · exclude:不包含 |
|
Content-type |
特征规则检查项检查内容的类型,取值包括: · hex:表示十六进制字符 · regex:表示正则表达式 · text:表示文本 |
|
Content |
特征规则检查项的检查内容 |
entry enable命令用来启用WAF白名单表项。
undo entry enable命令用来禁用WAF白名单表项。
【命令】
entry enable
undo entry enable
【缺省情况】
WAF白名单表项处于启用状态。
【视图】
WAF白名单表项视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
创建WAF白名单表项后,该表项将自动启用。当某个WAF白名单表项暂时不需要用于匹配时,可配置undo entry enable命令禁用该白名单表项。
【举例】
# 禁用编号为1的WAF白名单表项。
<Sysname> system-view
[Sysname] waf whitelist 1
[Sysname-waf-whitelist-1] undo entry enable
【相关命令】
· waf whitelist
exception命令用来配置CC攻击防护例外IP地址。
undo exception命令用来删除CC攻击防护例外IP地址。
【命令】
exception { ipv4 ipv4-address | ipv6 ipv6-address }
undo exception { all | ipv4 ipv4-address | ipv6 ipv6-address }
【缺省情况】
未配置CC攻击防护例外IP地址。
【视图】
CC攻击防护策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4 ipv4-address:表示例外IPv4地址。
ipv6 ipv6-address:表示例外IPv6地址。
all:表示所有例外IP地址。
【使用指导】
如果用户HTTP报文中的源IP地址与例外IP地址匹配成功,则直接允许此报文通过;如果匹配失败,则继续进行后续的CC攻击检测。
【举例】
# 在名称为news的CC攻击防护策略中,配置IPv4例外地址为192.168.4.83。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] exception ipv4 192.168.4.83
http-method命令用来配置WAF自定义特征规则匹配的HTTP报文请求方法。
undo http-method命令用来恢复缺省情况。
【命令】
http-method method-name
undo http-method
【缺省情况】
未配置WAF自定义特征规则匹配的HTTP报文的请求方法。
【视图】
WAF自定义特征规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
method-name:HTTP报文的请求方法,不区分大小写。如:GET、POST等。需要通过输入“?”获取支持的请求方法。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在WAF自定义特征mysignature中,新建编号为1的关键字类型规则,配置自定义特征规则匹配的HTTP报文的请求方法为GET。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] rule 1 pattern-type keyword
[Sysname-waf-signature-mysignature-rule-1] http-method get
logging enable命令用来开启日志记录功能。
undo logging enable命令用来关闭日志记录功能。
【命令】
logging enable
undo logging enable
【缺省情况】
日志记录功能处于关闭。
【视图】
CC攻击防护策略规则视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启日志记录功能后,当设备检测出存在CC攻击时,将以快速日志方式输出CC攻击防护日志到日志主机。有关快速日志的详细介绍请参见“网络管理和监控命令参考”中的“快速日志输出”。
【举例】
# 在CC攻击防护策略news下名称为test的规则中开启日志记录功能。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule name test
[Sysname-cc-defense-policy-news-rule-test] logging enable
method命令用来配置作为CC攻击防护策略规则过滤条件的请求方法。
undo method命令用来删除作为CC攻击防护策略规则过滤条件的请求方法。
【命令】
method { connect | delete | get | head | options | post | put | trace } *
undo method { connect | delete | get | head | options | post | put | trace }
【缺省情况】
不存在请求方法过滤条件。
【视图】
CC攻击防护策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
connect:表示CONNECT请求方法,用于要求用隧道协议连接代理。
delete:表示DELETE请求方法,用于删除文件。
get:表示GET请求方法,用于获取资源。
head:表示HEAD请求方法,用于获得报文首部。
options:表示OPTIONS请求方法,用于询问支持的方法。
post:表示POST请求方法,用于传输实体的主体。
put:表示PUT请求方法,用于传输文件。
trace:表示TRACE请求方法,用于追踪路径。
【使用指导】
多次执行本命令,可配置多个请求方法作为CC攻击防护策略规则的过滤条件。
【举例】
# 在CC攻击防护策略news下名称为test的规则中配置作为过滤条件的请求方法为POST。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule name test
[Sysname-cc-defense-policy-news-rule-test] method post
object-dir命令用来配置筛选WAF特征的方向属性。
undo object-dir命令用来恢复缺省情况。
【命令】
object-dir { client | server } *
undo object-dir
【缺省情况】
未配置方向属性筛选条件。
【视图】
WAF策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
client:表示从服务器到客户端方向上的对象。
server:表示从客户端到服务器方向上的对象。
【使用指导】
可通过配置方向属性筛选出具有该属性的特征,WAF策略将使用筛选出的特征与报文进行匹配。可同时配置多个方向,只要符合其中一个,具有该方向属性的特征将会被筛选出来。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为test-policy的WAF策略中配置筛选WAF特征的方向属性为client。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] object-dir client
override-current命令用来配置定期自动在线升级WAF特征库时覆盖当前的特征文件。
undo override-current命令用来恢复缺省情况。
【命令】
override-current
undo override-current
【缺省情况】
定期自动在线升级WAF特征库时不会覆盖当前的特征库文件,而是将当前的特征库文件备份为上一版本。
【视图】
自动升级配置视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
可以通过开启此功能解决升级WAF特征库时设备内存不足的问题。在设备剩余内存充裕的情况下,不建议配置该功能,因为WAF特征库升级时,如果没有备份当前特征库文件,则不能回滚到上一版本。
【举例】
# 配置定期自动在线升级WAF特征库时覆盖当前的特征文件。
<Sysname> system-view
[Sysname] waf signature auto-update
[Sysname-waf-sig-autoupdate] override-current
【相关命令】
· waf signature auto-update-now
protected-target命令用来配置筛选WAF特征的保护对象属性。
undo protected-target命令用来删除筛选WAF特征的保护对象属性。
【命令】
protected-target { target [ sub-target subtarget ] | all }
undo protected-target { target [ sub-target subtarget ] | all }
【缺省情况】
未配置保护对象属性筛选条件。
【视图】
WAF策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
target:表示保护对象分类名称。不区分大小写,可通过输入“?”获取支持的对象分类名称。
subtarget:表示保护对象分类中的子对象名称。若不指定本参数,则表示保护某对象分类中的所有子对象。不区分大小写,可通过输入“?”获取支持的子对象分类名称。
all:表示所有保护对象。
【使用指导】
可通过配置保护对象属性筛选出具有该属性的特征,WAF策略将使用筛选出的特征与报文进行匹配。可多次执行本命令,配置多个保护对象。只要符合其中一个,具有该保护对象属性的特征将会被筛选出来。
【举例】
# 在名称为test-policy的WAF策略中配置筛选WAF特征的保护对象为WebServer中WebLogic子对象。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] protected-target WebServer sub-target WebLogic
【相关命令】
· display waf policy
protected-url命令用来配置CC攻击防护策略规则防护的路径。
undo protected-url命令用来删除CC攻击防护策略规则防护的路径。
【命令】
protected-url url
undo protected-url url
【缺省情况】
未配置CC攻击防护策略规则防护的路径。
【视图】
CC攻击防护策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
url:表示CC攻击防护策略规则防护的URL,取值范围为1~255个字符,不区分大小写,不包含域名以及请求参数部分,以“/”开头。例如/portal/release/ir/default.jsp。
【使用指导】
本命令用来配置CC攻击防护的网站资源的路径。
多次执行本命令,可配置多个CC攻击防护策略规则防护的路径。
【举例】
# 在CC攻击防护策略news下名称为test的规则中配置防护的路径为/portal/release/ir/default.jsp。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule name test
[Sysname-cc-defense-policy-news-rule-test] protected-url /portal/release/ir/default.jsp
rule copy命令用来复制CC攻击防护策略规则。
【命令】
rule copy rule-name new-rule-name
【视图】
CC攻击防护策略规图
【缺省用户角色】
network-admin
context-admin
【参数】
rule-name:表示被复制的规则的名称,为1~31个字符的字符串,不区分大小写。
new-rule-name:表示新规则的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
在CC攻击防护策略中,如果需要创建的新规则的配置和已存在的规则非常相似,可通过复制此规则来生成新规则,再修改差异配置来实现,方便用户快速创建新规则。
【举例】
# 在CC攻击防护策略news下,复制名称为test的规则为名称为testtmp的新规则。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule copy test testtmp
rule move命令用来移动CC攻击防护策略规则。
【命令】
rule move rule-name1 { after | before } rule-name2
【视图】
CC攻击防护策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
rule-name1:指定待移动CC攻击防护策略规则名称,为1~31个字符的字符串,不区分大小写。
after:表示将待移动规则移动到目标规则之后。
before:表示将待移动规则移动到目标规则之前。
rule-name2:指定目标CC攻击防护策略规则的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
CC攻击防护策略规则按照配置顺序进行匹配,可通过移动规则位置调整规则匹配的顺序。
【举例】
# 在CC攻击防护策略news的匹配规则列表中,将名称为rule2的规则移动到名称为rule1的规则前面。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule move rule2 before rule1
rule命令用来创建CC攻击防护策略规则,并进入CC攻击防护策略规则视图。如果指定的CC攻击防护策略规则已经存在,则直接进入CC攻击防护策略规则视图。
undo rule命令用来删除指定的CC攻击防护策略规则。
【命令】
rule name rule-name
undo rule name rule-name
【缺省情况】
不存在CC攻击防护策略规则。
【视图】
CC攻击防护策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
name rule-name:表示CC攻击防护策略规则的名称,rule-name表示规则名称,为1~31个字符的字符串,不区分大小写,不可输入“-”。
【使用指导】
CC攻击防护策略规则下可以配置如下内容:
· CC攻击检测的过滤条件,包括:目的IP地址、目的端口号和请求方法。
· CC攻击防护策略规则防护的路径。
· CC攻击检测的检查项阈值。
· CC攻击防护策略规则的动作。
CC攻击防护策略规则的匹配顺序为配置顺序,当报文与一条规则匹配成功时,则结束匹配过程。
【举例】
# 在名称为news的CC攻击防护策略中创建一条名称为test的CC攻击防护策略规则,并进入CC攻击防护策略规则视图。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule name test
[Sysname-cc-defense-policy-news-rule-test]
rule命令用来创建WAF自定义特征规则,并进入WAF自定义特征规则视图。如果指定的WAF自定义特征规则已经存在,则直接进入WAF自定义特征规则视图。
undo rule命令用来删除WAF自定义特征规则。
【命令】
rule rule-id pattern-type { integer | keyword }
undo rule { rule-id | all }
【缺省情况】
未配置WAF自定义特征规则。
【视图】
WAF自定义特征视图
【缺省用户角色】
network-admin
context-admin
【参数】
rule-id:表示WAF自定义特征规则的ID,取值范围为1~8。
pattern-type:表示WAF自定义特征匹配内容的类型。
integer:表示数值类型。
keyword:表示关键字类型。
all:表示所有WAF自定义特征规则。
【使用指导】
一个自定义特征下可以配置多条规则作为特征的匹配条件,规则间可以配置逻辑关系(即通过rule-logic命令配置)。
不支持通过多次执行本命令修改同一ID的自定义特征规则的匹配类型,如需修改匹配类型,请先执行undo rule命令。
【举例】
# 在WAF自定义特征mysignature中,创建编号为1的自定义特征规则,并配置匹配内容的类型为字符串。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] rule 1 pattern-type keyword
[Sysname-waf-signature-mysignature-rule-1]
rule-logic命令用来配置WAF自定义特征下规则间的逻辑关系。
undo rule-logic命令用来恢复缺省情况。
【命令】
rule-logic { and | or }
undo rule-logic
【缺省情况】
WAF自定义特征下规则间的逻辑关系为or。
【视图】
WAF自定义特征视图
【缺省用户角色】
network-admin
context-admin
【参数】
and:表示逻辑与关系。
or:表示逻辑或关系。
【使用指导】
如果规则间是逻辑与的关系,报文需要匹配该自定义特征的所有规则才结束匹配过程;如果规则间是逻辑或的关系,一旦报文与某条规则匹配成功就结束此匹配过程。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置WAF自定义特征下规则间为逻辑与的关系。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] rule-logic and
semantic-analysis enable命令用来开启语义分析功能。
undo semantic-analysis enable命令用来关闭语义分析功能。
【命令】
semantic-analysis enable
undo semantic-analysis enable
【缺省情况】
语义分析功能处于关闭状态。
【视图】
WAF策略视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
语义分析功能通过对报文中的SQL语法进行分析来检测SQL注入攻击行为。
开启本功能后,设备将同时使用特征匹配和语义分析功能对SQL注入攻击进行检测,可以提升该类攻击的识别率,但同时会对设备性能产生影响,请管理员根据实际情况配置。
当设备通过语义分析功能检测出攻击时,将对该报文执行WAF策略动作(通过signature override all命令配置);如果未配置WAF策略动作,则放行报文,并以快速输出方式发送WAF日志。
【举例】
# 在名称为test的WAF策略中,开启语义分析功能。
<Sysname> system-view
[Sysname] waf policy test
[Sysname-waf-policy-test] semantic-analysis enable
【相关命令】
· signature override all
severity-level命令用来配置筛选WAF特征的严重级别属性。
undo severity-level命令用来恢复缺省情况。
【命令】
severity-level { critical | high | low | medium } *
undo severity-level
【缺省情况】
未配置严重级别属性筛选条件。
【视图】
WAF策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
critical:表示严重级别最高。
high:表示严重级别高。
low:表示严重级别低。
medium:表示严重级别一般。
【使用指导】
严重级别是指匹配此WAF特征的网络攻击造成危害的严重程度。可通过配置严重级别属性筛选出具有该属性的特征,WAF策略将使用筛选出的特征与报文进行匹配。可同时配置多个严重级别,只要符合其中一个,具有该严重级别属性的特征将会被筛选出来。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为test-policy的WAF策略中配置筛选WAF特征的严重级别为critical和medium。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] severity-level critical medium
【相关命令】
· waf policy
severity命令用来配置WAF自定义特征的严重级别。
undo severity命令用来恢复缺省情况。
【命令】
severity-level { critical | high | low | medium }
undo severity-level
【缺省情况】
WAF自定义特征的严重级别为low。
【视图】
WAF自定义特征视图
【缺省用户角色】
network-admin
context-admin
【参数】
critical:表示自定义特征的严重级别为严重。
high:表示自定义特征的严重级别为高。
low:表示自定义特征的严重级别为低。
medium:表示自定义特征的严重级别为中。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在WAF自定义特征mysignature中,配置严重级别为low。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] severity low
signature override命令用来修改WAF策略中指定预定义特征的动作和状态。
undo signature override命令用来恢复WAF策略中指定预定义特征属性中的动作和状态。
【命令】
signature override pre-defined signature-id { disable | enable } [ { block-source | drop | permit | redirect | reset } | capture | logging ] *
undo signature override pre-defined signature-id
【缺省情况】
预定义WAF特征使用系统预定义的状态和动作。
【视图】
WAF策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
signature-id:WAF预定义特征的编号,取值范围为1~536870911。
disable:表示禁用此WAF特征。在某些网络环境中,如果一些WAF特征暂时不会被用到,而且又不想将其从WAF策略中删除时,可以使用disable参数来禁用这些规则。
enable:表示启用此WAF特征。
block-source:表示源阻断,该动作阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能,则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名单过滤功能的详细介绍请参见“安全命令参考”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。
drop:表示丢弃报文。
permit:表示允许报文通过。
redirect:表示把符合特征的报文重定向到指定的Web页面上。
reset:表示通过发送TCP的reset报文使TCP连接断开。
capture:表示捕获报文。
logging:表示生成报文日志。
【使用指导】
本命令用于修改WAF特征的动作和状态,名称为default的缺省WAF策略中特征的动作和状态不能被修改。
在同一个WAF策略视图中对同一WAF特征多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为test-policy的WAF策略中配置编号为2的预定义WAF特征的状态为开启,动作为丢弃和捕获报文,并生成日志信息。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] signature override pre-defined 2 enable drop capture logging
【相关命令】
· blacklist enable (security zone view)(安全命令参考/攻击检测与防范)
· signature override all
signature override all命令用来配置WAF策略动作。
undo signature override all命令用来恢复缺省情况。
【命令】
signature override all { { block-source | drop | permit | redirect | reset } | capture | logging } *
undo signature override all
【缺省情况】
未配置WAF策略动作。
【视图】
WAF策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
block-source:表示源阻断,该动作用于阻断报文,并将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能,则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名单过滤功能的详细介绍请参见“安全命令参考”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。
drop:表示丢弃报文。
permit:表示允许报文通过。
redirect:表示把报文重定向到指定的Web页面上。
reset:表示通过发送TCP的reset报文使TCP连接断开。
capture:表示捕获报文。
logging:表示生成报文日志。
【使用指导】
当设备检测到攻击报文时,将对报文进行如下处理:
· 当设备仅通过特征匹配方式检测出攻击时,如果配置了WAF策略动作,则将根据该动作对报文进行处理。否则,设备将根据特征属性中的动作对报文进行处理。如果特征配置了例外动作(通过signature override命令配置),则无论是否配置了WAF策略动作,设备都优先根据例外动作对报文进行处理。
· 当设备仅通过语义分析方式检测出攻击时(该方式仅支持检测SQL注入攻击),如果配置了WAF策略动作,则将根据该动作对攻击报文进行处理。否则,设备将放行攻击报文,并以快速输出方式发送日志。
· 当设备通过特征匹配和语义分析功能同时检测出攻击时,则执行两种检测方式下严重级别最高的动作。其中,只要一种检测方式下开启了日志记录功能,设备就会记录日志。
【举例】
# 在名称为test-policy的WAF策略中配置WAF策略动作为丢弃,并生成日志信息和捕获报文。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] signature override all drop logging capture
【相关命令】
· blacklist enable (security zone view)(安全命令参考/攻击检测与防范)
· signature override
signature-id命令用来向WAF白名单表项中添加特征ID。
undo signature-id命令用来删除WAF白名单表项中的特征ID。
【命令】
signature-id [ serial-number ] sig-id
undo signature-id [ serial-number ]
【缺省情况】
WAF白名单表项中不存在特征ID。
【视图】
WAF白名单表项视图
【缺省用户角色】
network-admin
context-admin
【参数】
serial-number:表示WAF白名单表项中特征ID的序号,取值范围为1~10。若不指定本参数,系统将从1开始,按照步长为1自动分配一个大于现有最大编号的最小编号。在删除特征ID时,用户仅需要指定特征ID的序号即可,方便用户配置。
sig-id:表示WAF特征ID,取值范围为1~4294967295。其中,4294967295为语义分析功能检测出的攻击所共用的特征ID。
【使用指导】
当发现WAF日志存在误报的情况时,可以通过本配置将日志中提取到的WAF特征ID加入指定编号的WAF白名单。设备对匹配白名单的报文放行,可以减少误报。
当白名单表项中同时存在特征ID、URL和源IP地址中的两者或以上时,只有报文同时匹配上所有配置项才认为匹配成功。
当管理员希望将通过语义分析功能识别出的WAF攻击的信息添加到白名单中时,需要先将源IP地址或URL添加到白名单表项中,再添加特征ID(4294967295)。否则配置将下发失败。
执行undo signature-id命令时,若不指定任何参数,则表示删除所有特征ID。
【举例】
# 在编号为1的WAF白名单表项中,添加特征ID 936。
<Sysname> system-view
[Sysname] waf whitelist 1
[Sysname-waf-whitelist-1] signature-id 936
【相关命令】
· source-address (WAF whitelist entry view)
· url
source-address命令用来配置WAF自定义特征规则匹配的源IP地址。
undo source-address命令用来恢复缺省情况。
【命令】
source-address ip ip-address
undo source-address
【缺省情况】
未配置WAF自定义特征规则匹配的源IP地址。
【视图】
WAF自定义特征规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address:表示自定义特征匹配的源IPv4地址。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在WAF自定义特征mysignature中,新建编号为1的关键字类型规则,配置自定义特征规则匹配的源IP地址为10.1.1.1。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] rule 1 pattern-type keyword
[Sysname-waf-signature-mysignature-rule-1] source-address ip 10.1.1.1
source-address命令用来向WAF白名单表项中添加源IP地址。
undo source-address命令用来恢复缺省情况。
【命令】
source-address { ip ipv4-address | ipv6 ipv6-address }
undo source-address
【缺省情况】
WAF白名单表项中不存在源IP地址。
【视图】
WAF白名单表项视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip ipv4-address:表示IPv4地址。
ipv6 ipv6-address:表示IPv6地址。
【使用指导】
当发现WAF日志存在误报的情况时,可以将日志中提取到的源IP地址加入WAF白名单。设备对匹配白名单的报文放行,可以减少误报。
当白名单表项中同时存在特征ID、URL和源IP地址中的两者或以上时,需要同时匹配才认为匹配成功。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 向编号为1的WAF白名单表项中添加源IP地址为192.168.0.1。
<Sysname> system-view
[Sysname] waf whitelist 1
[Sysname-waf-whitelist-1] source-address ip 192.168.0.1
【相关命令】
· signature-id
· url
source-port命令用来配置WAF自定义特征规则匹配的源端口。
undo source-port命令用来恢复缺省情况。
【命令】
source-port start-port [ to end-port ]
undo source-port
【缺省情况】
未配置WAF自定义特征匹配的源端口。
【视图】
WAF自定义特征规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
start-port:表示源端口的起始端口号,取值范围为1~65535。
to end-port:指定结束源端口号。end-port表示源端口的结束端口号,取值范围为1~65535。若不指定该参数,则表示仅匹配起始端口号。
【使用指导】
本命令用于配置TCP协议的端口号。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在WAF自定义特征mysignature中,新建编号为1的关键字类型规则,配置自定义特征规则匹配的源端口范围为1~3550。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] rule 1 pattern-type keyword
[Sysname-waf-signature-mysignature-rule-1] source-port 1 to 3550
trigger命令用来配置WAF自定义特征规则的触发检查项。
undo trigger命令用来恢复缺省情况。
【命令】
trigger field field-name include { hex hex-string | text text-string } [ offset offset-value ] [ depth depth-value ]
undo trigger
【缺省情况】
未配置WAF自定义特征规则的触发检查项。
【视图】
WAF自定义特征规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
field-name:表示协议字段名称,不区分大小写。需要通过输入“?”获取支持的协议字段。
include:表示触发检查项与检测内容的匹配方式是包含。
hex hex-string:表示触发检查项匹配的十六进制字符内容,hex-string表示匹配内容,为8~254个字符的字符串,且必须输入偶数个字符,输入参数必须在两个竖杠“|”之间,仅支持输入“0-9、A-F、a-f”,区分大小写,例如|1234f5b6|。
text text-string:表示触发检查项匹配的字符串内容,text-string表示匹配内容,为3~255个字符的字符串,不区分大小写。
offset offset-value:表示触发检查项的偏移量,从协议字段的起始位置开始偏移的长度。取值范围为1~65535,单位为字节。若不配置该参数,则表示触发检查项从协议字段的起始位置开始检测。
depth depth-value:表示触发检查项的检测深度,从触发检查项检测的起始位置开始,检测的长度。取值范围为3~65535,单位为字节。若不配置该参数,则表示触发检查项检测整个协议字段。
【使用指导】
只有自定义特征规则的匹配类型为关键字的情况下才需要配置触发检查项,触发检查项是同一规则下检查项的触发条件。如果一条规则的触发检查项匹配失败,则该规则匹配失败,不会再对该规则下的检查项进行检测。
对于关键字类型的自定义特征规则,在配置检查项之前,必须先配置触发检查项。
删除触发检查项后,将一并删除所有的检查项。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在WAF自定义特征mysignature中,新建编号为1的关键字类型规则,配置触发检查项的协议检测字段为http-uri、匹配内容为字符串abc、偏移量为10、检测深度为50。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] rule 1 pattern-type keyword
[Sysname-waf-signature-mysignature-rule-1] trigger field http-uri include text abc offset 10 depth 50
update schedule命令用来配置定期自动在线升级WAF特征库的时间。
undo update schedule命令用来恢复缺省情况。
【命令】
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
undo update schedule
【缺省情况】
设备在每天01:00:00至03:00:00之间自动在线升级WAF特征库。
【视图】
自动升级配置视图
【缺省用户角色】
network-admin
context-admin
【参数】
daily:表示自动升级周期为每天。
weekly:表示以一周为周期,在指定的一天进行自动升级。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
start-time time:指定自动升级开始时间,time的格式为hh:mm:ss,取值范围为00:00:00~23:59:59。
tingle minutes:指定抖动时间,即实际自动升级开始时间的偏差范围,取值范围为0~120,单位为分钟。在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围,例如,指定自动升级的开始时间为01:00:00,抖动时间为60分钟,则自动升级的时间范围为00:30:00至01:30:00。
【举例】
# 配置WAF特征库的定期自动在线升级时间为每周一20:30:00,抖动时间为10分钟。
<Sysname> system-view
[Sysname] waf signature auto-update
[Sysname-waf-sig-autoupdate] update schedule weekly mon start-time 20:30:00 tingle 10
【相关命令】
· waf signature auto-update
· waf signature auto-update-now
url命令用来向WAF白名单表项中添加URL。
undo url命令用来恢复缺省情况。
【命令】
url match-type { accurate | substring } url-text
undo url
【缺省情况】
WAF白名单表项不存在URL。
【视图】
WAF白名单表项视图
【缺省用户角色】
network-admin
context-admin
【参数】
match-type:表示URL的匹配方式。
accurate:表示精确匹配,即报文中URL必须和配置的URL完全一致才能匹配成功。
substring:表示模糊匹配,即报文中携带的URL只要包含配置的URL即可匹配成功。
url-text:表示WAF攻击报文中携带的URL,为3~460个字符的字符串,不区分大小写。
【使用指导】
当发现WAF日志存在误报的情况时,可以将日志中提取到的URL加入指定的WAF白名单。设备对匹配白名单的报文放行,可以减少误报。
当白名单表项中同时存在特征ID、URL和源IP地址中的两者或以上时,需要同时匹配才认为匹配成功。
多次执行本命令,最后一次执行的命令生效。
配置本命令后,需要执行waf whitelist activate命令使WAF白名单表项生效。
【举例】
# 在编号为1的WAF白名单表项中,添加URL为example.com,匹配方式为精确匹配。
<Sysname> system-view
[Sysname] waf whitelist 1
[Sysname-waf-whitelist-1] url match-type accurate example.com
【相关命令】
· signature-id
· source-address (WAF whitelist entry view)
· waf whitelist activate
waf apply policy命令用来在DPI应用profile中引用WAF策略。
undo waf apply policy命令用来删除引用的WAF策略。
【命令】
waf apply policy policy-name mode { alert | protect }
undo waf apply policy
【缺省情况】
DPI应用profile中未引用WAF策略。
【视图】
DPI应用profile视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:指定WAF策略名称,为1~63个字符的字符串,不区分大小写。
mode:表示WAF策略的模式。
alert:告警模式,表示报文匹配上该WAF策略中的特征后,仅可以生成日志或捕获报文,但其他动作均不能生效。
protect:保护模式,表示报文匹配上该WAF策略中的特征后,设备按照特征的动作对该报文进行处理。
【使用指导】
WAF策略仅在被DPI应用profile引用后生效。一个DPI应用profile视图下只能引用一个WAF策略。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为sec的DPI应用profile下引用WAF策略waf1,且配置WAF策略为保护模式。
<Sysname> system-view
[Sysname] app-profile sec
[Sysname-app-profile-sec] waf apply policy waf1 mode protect
【相关命令】
· app-profile(DPI深度安全命令参考/应用层检测引擎)
· waf policy
waf { block-source | capture | email | logging | redirect } parameter-profile命令用来配置WAF策略动作引用应用层检测引擎动作参数profile。
undo waf { block-source | capture | email | logging | redirect } parameter-profile命令用来取消配置WAF策略动作引用应用层检测引擎动作参数profile。
【命令】
waf { block-source | capture | email | logging | redirect } parameter-profile parameter-name
undo waf { block-source | capture | email | logging | redirect } parameter-profile
【缺省情况】
WAF策略动作未引用应用层检测引擎动作参数profile。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
block-source:表示设置WAF源阻断动作的参数。
capture:表示设置WAF捕获动作的参数。
email:表示设置WAF邮件动作的参数。
logging:表示设置WAF日志动作的参数。
redirect:表示设置WAF重定向动作的参数。
parameter-profile parameter-name:指定WAF策略动作引用的应用层检测引擎动作参数profile。parameter-name表示动作参数profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
每类WAF策略动作的具体执行参数由应用层检测引擎动作参数profile来定义,可通过引用各动作参数proflle为WAF策略动作提供执行参数。有关应用层检测引擎动作参数proflle的具体配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
如果WAF策略动作没有引用应用层检测引擎动作参数profile,或者引用的动作参数profile不存在,则使用系统中各动作参数的缺省值。
【举例】
# 创建名称为waf1的应用层检测引擎源阻断动作参数profile,配置其阻断源IP地址的时长为1111秒。
<Sysname> system-view
[Sysname] inspect block-source parameter-profile waf1
[Sysname-inspect-block-source-waf1] block-period 1111
[Sysname-inspect-block-source-waf1] quit
# 配置WAF源阻断动作引用名称为waf1的应用层检测引擎源阻断动作参数profile。
[Sysname] waf block-source parameter-profile waf1
【相关命令】
· inspect block-source parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· inspect capture parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· inspect email parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· inspect logging parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· inspect redirect parameter-profile(DPI深度安全命令参考/应用层检测引擎)
waf policy命令用来创建WAF策略,并进入WAF策略视图。如果指定的策略已经存在,则直接进入WAF策略视图。
undo waf policy命令用来删除指定的WAF策略。
【命令】
waf policy policy-name
undo waf policy policy-name
【缺省情况】
存在WAF策略,名称为default。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:表示WAF策略的名称,为1~63个字符的字符串,不区分大小写,创建策略时策略名称不能为default且不能包含“protected-website”字符串。
【使用指导】
WAF策略下可以配置特征过滤条件、匹配特征后执行的动作、防护的网站以及引用CC攻击防护策略。
名称为default的策略不可以被删除。
WAF策略需要在app-profile中引用才生效,有关app-profile的详细介绍,请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
【举例】
# 创建名称为test-policy的WAF策略,并进入该WAF策略视图。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy]
【相关命令】
· app-profile(DPI深度安全命令参考/应用层检测引擎)
· display waf policy
waf signature命令用来创建WAF自定义特征,并进入WAF自定义特征视图。如果指定的WAF自定义特征已经存在,则直接进入WAF自定义特征视图。
undo waf signature命令用来删除WAF自定义特征。
【命令】
waf signature user-defined name signature-name
undo waf signature user-defined { all | name signature-name }
【缺省情况】
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
signature-name:表示WAF自定义特征的名称,取值范围为1~63个字符的字符串,不区分大小写。
all:表示所有WAF自定义特征。
【使用指导】
多次执行本命令,可配置多个WAF自定义特征。
删除WAF自定义特征后,将删除该特征下的所有配置。
# 创建名称为mysignature的WAF自定义特征。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature]
【相关命令】
· display waf signature user-defined
waf signature auto-update命令用来开启定期自动在线升级WAF特征库功能,并进入自动升级配置视图。
undo waf signature auto-update命令用来关闭定期自动在线升级WAF特征库功能。
【命令】
waf signature auto-update
undo waf signature auto-update
【缺省情况】
定期自动在线升级WAF特征库功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的WAF特征库进行升级。
【举例】
# 开启定期自动在线升级WAF特征库功能,并进入自动升级配置视图。
<Sysname> system-view
[Sysname] waf signature auto-update
[Sysname-waf-sig-autoupdate]
【相关命令】
· update schedule
waf signature auto-update-now命令用来立即自动在线升级WAF特征库。
【命令】
waf signature auto-update-now
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
执行此命令后,将立即自动升级设备上的WAF特征库,且会备份当前的WAF特征库文件。此命令的生效与否,与是否开启了定期自动升级WAF特征库功能无关。
当管理员发现官方网站上的特征库服务专区中的WAF特征库有更新时,可以选择立即自动在线升级方式来及时升级WAF特征库版本。
【举例】
# 立即自动在线升级WAF特征库版本。
<Sysname> system-view
[Sysname] waf signature auto-update-now
waf signature rollback命令用来回滚WAF特征库。
【命令】
waf signature rollback { factory | last }
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
factory:表示WAF特征库的出厂版本。
last:表示WAF特征库的上一版本。
【使用指导】
WAF特征库回滚是指将当前的WAF特征库版本回滚到指定的版本。如果管理员发现设备当前WAF特征库版本在检测和防御网络攻击时,误报率较高或出现异常情况,则可以对当前WAF特征库版本进行回滚。目前支持将设备中的WAF过滤特征库版本回滚到出厂版本和上一版本。
WAF特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前WAF特征库是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
【举例】
# 配置WAF特征库回滚到上一版本。
<Sysname> system-view
[Sysname] waf signature rollback last
【相关命令】
· override-current
waf signature update命令用来手动离线升级WAF特征库。
【命令】
waf signature update [ override-current ] file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
override-current:表示覆盖当前版本的特征库文件。如果不指定本参数,则表示当前特征库在升级之后作为备份特征库保存在设备上。
file-path:指定特征库文件的路径,为1~255个字符的字符串。
vpn-instance vpn-instance-name:表示TFTP、FTP服务器所属的VPN实例。vpn-instance-name为MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示TFTP、FTP服务器位于公网中。
source:指定手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IP地址。如果不指定该参数,则表示使用系统根据路由表项查找到的出接口的地址。
ip ip-address:指定手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IPv4地址。
ipv6 ip-address:指定手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IPv6地址。
interface interface-type interface-number:指定该接口的主IPv4地址或接口上最小的IPv6地址为源IP地址。
【使用指导】
如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级WAF特征库版本。
· 本地升级:使用本地保存的特征库文件升级系统上的WAF特征库版本。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的WAF特征库版本。
使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前主用主控板上,否则设备升级特征库会失败。(独立运行模式)
使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前全局主用主控板上,否则设备升级特征库会失败。(IRF模式)
参数file-path的取值与手动离线升级的操作方式有关。本地升级时参数file-path取值请参见表1-5;FTP/TFTP升级时参数file-path取值请参见表1-6。
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件的存储位置与当前工作路径一致 |
filename |
可以执行pwd命令查看当前工作路径 有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上 |
filename |
需要先执行cd命令将工作路径切换至特征库文件所在目录下 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不在相同存储介质上 |
path/ filename |
需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下,再指定特征库文件的相对路径 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
表1-6 FTP/TFTP升级时参数file-path取值说明表
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件存储在开启FTP服务的远程服务器上 |
ftp://username:password@server/filename |
username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名 当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f” |
|
特征库文件存储在开启TFTP服务的远程服务器上 |
tftp://server/filename |
server为TFTP服务器的IP地址或主机名 |
当采用FTP/TFTP方式升级特征库时,如果指定的是服务器的主机名,则需要确保设备能通过静态或动态域名解析方式获得FTP/TFTP服务器的IP地址,并与之路由可达。否则设备升级特征库会失败。有关域名解析功能的详细配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
如果管理员希望手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IP地址是一个特定的地址时,可配置source参数。例如,当组网环境中设备发出的报文需要经过NAT地址转换后才能访问TFTP、FTP服务器时,则需要管理员通过source参数指定一个符合NAT地址转换规则的源IP地址(其中,如果设备需要经过一台独立的NAT设备进行地址转换时,本命令指定的IP地址必须可以与NAT设备三层路由可达),使设备发出的报文可以进行NAT地址转换等处理,正常访问TFTP、FTP服务器。
当同时配置了source和vpn-instance参数时,需要保证source中指定的源IP地址或接口所属VPN实例与vpn-instance中配置的VPN实例相同。
【举例】
# 配置手动离线升级WAF特征库,且采用TFTP方式,WAF特征库文件的远程路径为tftp://192.168.0.10/waf-1.0.2-en.dat。
<Sysname> system-view
[Sysname] waf signature update tftp://192.168.0.10/waf-1.0.2-en.dat
# 配置手动离线升级WAF特征库,且采用FTP方式,WAF特征库文件的远程路径为ftp://192.168.0.10/waf-1.0.2-en.dat,用户名为user:123,密码为user@abc/123。
<Sysname> system-view
[Sysname] waf signature update ftp://user%3A123:user%40abc%2F123@192.168.0.10/waf-1.0.2-en.dat
# 配置手动离线升级WAF特征库,且采用本地方式,WAF特征库文件的本地路径为cfa0:/waf-1.0.23-en.dat,且当前工作路径为cfa0:。
<Sysname> system-view
[Sysname] waf signature update waf-1.0.23-en.dat
# 配置手动离线升级WAF特征库,且采用本地方式,WAF特征库文件的本地路径为cfa0:/dpi/waf-1.0.23-en.dat,且当前工作路径为cfa0:。
<Sysname> cd dpi
<Sysname> system-view
[Sysname] waf signature update waf-1.0.23-en.dat
# 配置手动离线升级WAF特征库,且采用本地方式,WAF特征库文件的本地路径为cfb0:/dpi/waf-1.0.23-en.dat,当前工作路径为cfa0:。
<Sysname> cd cfb0:/
<Sysname> system-view
[Sysname] waf signature update dpi/waf-1.0.23-en.dat
waf whitelist命令用来创建并进入WAF白名单表项视图。如果指定的WAF白名单表项视图已存在,则直接进入WAF白名单表项视图。
undo waf whitelist命令用来删除指定的WAF白名单表项。
【命令】
waf whitelist entry-id
undo waf whitelist entry-id
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
entry-id:表示WAF白名单ID,取值范围为1~2048。
【使用指导】
当管理员发现WAF日志存在误报的情况时,可在指定的WAF白名单表项视图下,将日志中提取到的WAF特征ID、源IP地址或URL加入WAF白名单。设备对匹配白名单的报文放行,可以减少误报。
【举例】
# 创建并进入编号为1的WAF白名单表项视图。
<Sysname> system-view
[Sysname] waf whitelist 1
[Sysname-waf-whitelist-1]
waf whitelist activate命令用来激活WAF白名单配置。
【命令】
waf whitelist activate
【缺省情况】
创建、修改和删除含有URL的WAF白名单后,系统会自动激活白名单配置使其生效。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
缺省情况下,当创建、修改和删除含有URL的WAF白名单后,系统将在10秒后自动激活白名单配置使其生效,如果希望对白名单立即进行激活,可执行本命令手工激活。
【举例】
# 激活WAF白名单配置。
<Sysname> system-view
[Sysname] waf whitelist activate
【相关命令】
· url
waf whitelist enable命令用来开启WAF白名单功能。
undo waf whitelist enable命令用来关闭WAF白名单功能。
【命令】
waf whitelist enable
undo waf whitelist enable
【缺省情况】
WAF白名单功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
当管理员发现WAF日志存在误报的情况时,可通过开启白名单功能,将日志中获取到的特征ID、URL和源IP地址加入白名单。设备将放行匹配白名单的报文,从而降低误报率。
【举例】
# 关闭WAF白名单功能。
<Sysname> system-view
[Sysname] undo waf whitelist enable
xff-detection enable命令用来开启X-Forwarded-For字段检测功能。
undo xff-detection enable命令用来恢复缺省情况。
【命令】
xff-detection enable
undo x-forwarded-for enable
【缺省情况】
X-Forwarded-For字段检测功能处于关闭状态。
【视图】
CC攻击防护策略规则视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
本功能适用于客户端使用代理方式访问服务器的场景。
设备需要对客户端的源IP地址进行检测,当客户端使用代理方式访问服务器时,源IP地址将会发生改变,设备无法获取真正的源IP地址。开启X-forward-For字段检测功能后,设备将从客户端HTTP请求报文头的X-forward-for字段获取真正的源IP地址,避免上述问题。
【举例】
# 在名称为news的CC攻击防护策略下,配置名称为test的防护规则中开启X-Forwarded-For字段检测功能。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule name test
[Sysname-cc-defense-policy-news-rule-test] xff-detection enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
