安信华WEB应用防火墙S系列快速安装指南.doc

安信华 web 应用防火墙 s 系列快速安装指南 -1 - 安信华安信华 web 应用防火墙应用防火墙 s 系列快速安装指南系列快速安装指南 2011 北京安信华科技有限公司北京安信华科技有限公司 安信华 web 应用防火墙 s 系列快速安装指南 -1 - 目目 录录 1引言引言.1 1.1产品介绍.1 1.2有关本文档.1 1.3安信华服务和技术支持.2 2产品部署产品部署.3 3硬件特性硬件特性.5 3.1外观.5 3.2指示灯.5 4设备的安装设备的安装.6 4.1安装.6 4.2启动设备.6 4.3出厂配置.7 5初始配置初始配置.9 5.1登录设备.9 5.1.1通过console口登录设备.9 5.1.2通过webui界面登录设备.12 5.1.3通过ssh协议登录设备.14 5.2更改管理员密码.17 5.3配置接口参数.18 5.3.1cli配置步骤.18 5.3.2webui配置步骤20 5.4添加默认路由.21 5.5配置 dns 服务器.22 5.6导入 license22 5.7导入特征库.22 5.8更改接口默认配置.23 5.9添加 url 安全策略.24 5.10配置服务器安全组 .26 6软件维护软件维护.29 安信华 web 应用防火墙 s 系列快速安装指南 -1 - 1 引言引言 1.1 产品介绍产品介绍 安信华 web 应用防火墙 s 系列(简称 anchiva waf)，通过对进出 web 服务器的 http/https 流量相关内容的实时分析检测、过滤，来精确判定并阻止各种 web 应用 入侵行为，阻断对 web 服务器的恶意访问与非法操作，适应 web2.0 时代的主动实时 监测过滤风险技术，而不是被动的遭受攻击后的恢复，将恶意代码、非授权篡改、应 用攻击等众多因素结合在一起进行综合防范，从而做到对 web 服务器的多重保护，确 保 web 应用安全的最大化，防止网页内容被篡改，防止网站数据库内容泄露，防止口 令被突破，防止系统管理员权限被窃取，防止网站被挂马和植入病毒、恶意代码、间 谍软件等，防止用户输入信息的泄露，防止账号失窃，防 sql 注入，防 xss 攻击等。 anchiva waf 可向系统管理员提供详尽的日志信息，在日志信息中详细记录了设 备的系统日志、管理员日志，以及对 web 服务器的访问日志、攻击日志、病毒扫描日 志。管理员可以分类查看详细的日志记录信息。 日志可保存在设备的硬盘上、输出到 ftp 服务器或发送到 syslog 服务器。 管理员还可以在系统中设置日志报警机制：通过设置系统使用率的告警阈值，如 果使用率达到或超过百分比阈值，系统将发送报警电子邮件给管理员，同时产生弹出 式消息，警告管理员磁盘使用率高并删除或输出部分日志以清理磁盘空间。 1.2 有关本文档有关本文档 本文档可以作为安信华 web 应用防火墙 s 系列的安全管理员进行快速安装和配置 设备的指导性手册。其他可用文档： 安信华 web 应用防火墙 s 系列命令行参考手册 安信华 web 应用防火墙 s 系列用户手册 安信华 web 应用防火墙 s 系列快速安装指南 -2 - 1.3 安信华服务和技术支持安信华服务和技术支持 安信华公司对于自身产品提供远程产品咨询服务，广大用户和合作伙伴可以通过 登录我们公司的网站 ，下载到我们最新产品的资料，寻找常见 问题答案或在线提交您的问题。 如客户有技术问题和一般客服问题需要联系“安信华客户支持”，请参阅下列联 系选项： 地址：地址： 北京市海淀区清华科技园科技大厦北京市海淀区清华科技园科技大厦 b 座座 6 层层 电话：电话：+86-10-51266678 安信华 web 应用防火墙 s 系列快速安装指南 -3 - 2 产品部署产品部署 anchiva waf 能以三种模式部署：在线预防模式、离线侦察模式和反向代理模式。 预防模式 anchiva waf 在网络中在线部署，串联部署在 web 服务器前端，对进入 web 服 务器的流量进行有效检测从而确保 web 应用的安全。 侦察模式 anchiva waf 采用离线部署，部署于核心交换机外的 span 端口或监控端口上。交 换机上 span 端口必须可看到所有通往互联网的流量。 反向代理模式 安信华 web 应用防火墙 s 系列快速安装指南 -4 - 在反向代理模式中，anchiva waf 通过配置代理端口并设定地址映射规则，即可 作为 web 服务器的反向代理服务器接受客户端对 web 服务器的连接请求，通过将访 问 web 服务器的流量导入到 anchiva waf，然后对流量进行检测，将对 web 服务器 有威胁的恶意访问过滤掉，正常的访问流量则转发给真实的 web 服务器；对于从服务 器返回的数据，也会首先转发给 anchiva waf，waf 对数据进行处理之后再返回给客 户端，从而实现对 web 服务器的安全防护。anchiva waf 还可以均衡 web 服务器集 群内各个服务器的工作负载。 注：只有在预防模式和反向代理模式中注：只有在预防模式和反向代理模式中 anchiva waf 才能够防止恶意软件到达终才能够防止恶意软件到达终 端用户。在侦察模式中，端用户。在侦察模式中，anchiva waf 并不能拦截对并不能拦截对 web 服务器的恶意攻击。推荐服务器的恶意攻击。推荐 用户在接入到网络中、提供防护之前，先采用旁路监听的侦察模式部署，学习网络环用户在接入到网络中、提供防护之前，先采用旁路监听的侦察模式部署，学习网络环 境及境及 web 应用攻击特征，从而配置合理、有效的防护策略。然后再采用预防模式或反应用攻击特征，从而配置合理、有效的防护策略。然后再采用预防模式或反 向代理模式将设备部署在网络中。向代理模式将设备部署在网络中。 安信华 web 应用防火墙 s 系列快速安装指南 -5 - 3 硬件特性硬件特性 本章介绍设备的外观及指示灯等硬件特性。 3.1外观外观 设备前面板示意图如下图所示。 console 口：本地一台管理主机通过 console 线缆与 waf 设备的 console 口连接，供管理员通过 cli 对设备进行初步配置。 usb 口：外接 usb 设备。 以太网口：anchiva 网关型号不同，可用物理网络接口数量也各有不同。现有网 关型号一般有 4 到 8 个网络接口。它们都是通用接口，可用于连接内部 lan 网络或面 向防火墙或网络路由器的外部网络。 3.2指示灯指示灯 pwr 为系统电源指示灯，灯灭表示电源没有接通，灯亮表示电源已接通。 hdd 为硬盘指示灯，灯灭表示不对硬盘进行读写，灯闪烁表示正在对硬盘进行读 写工作。 安信华 web 应用防火墙 s 系列快速安装指南 -6 - 4 设备的安装设备的安装 本章介绍 anchiva waf 设备的安装、启动及其出厂配置信息。 4.1安装安装 anchiva waf 设备必须在室内使用，为保证设备的正常工作和延长使用寿命，在 设备的安装和使用过程中，特提出如下安全建议： 请将设备放置在远离潮湿或远离热源的地方。 工作温度建议：045。工作湿度建议范围：1090%40 ，非冷凝。 请确认设备已经正确接地。 保护地线的正常连接是设备防雷、抗干扰的重要保障，所以用户在安装、使用设 备时必须首先正确接好保护地线。 请在安装维护过程中预防静电。 建议用户使用 ups（uninterrupted power supply，不间断电源）。 设备可以放在机架上或直接放置于平台上，设备四周要留出散热空间，并且不要 在设备上面放置重物。 4.2启动设备启动设备 设备的电源开关位于设备后面板上，启动上电之前应进行如下检查： 电源线和地线连接是否正确。 供电电压与设备的要求是否一致。 配置电缆连接是否正确，配置用微机或终端是否已经打开，并设置完毕。 启动电源开关后，前面板上的“pwr”指示灯亮，表明电源工作正常。 安信华 web 应用防火墙 s 系列快速安装指南 -7 - 4.3出厂配置出厂配置 在出厂配置中，所有物理接口皆为透明模式且都属于 vlan 1，eth0 口为管理端口， 管理员必须通过 eth0 经由 vlan1 通过 webui 界面配置网关，然后再根据自身的网络 状况配置接口的相关属性。 下列表格显示了登录 webui 和 cli 的默认 ip 和管理账户。 表表 1：默认管理员账户信息：默认管理员账户信息 操作模式透明模式。 ip 地址00 用户名administrator 密码password 语言english 设备名anchiva 默认管理端口eth0 eth0 口开放服务默认开放 https、ssh 和 ping 服务； 默认的安全策略：默认的安全策略： default-security-policy，其参数如下图所示。 安信华 web 应用防火墙 s 系列快速安装指南 -8 - 具体参数及其说明请参阅安信华 web 应用防火墙 s 系列用户手册。 安信华 web 应用防火墙 s 系列快速安装指南 -9 - 5 初始配置初始配置 5.1 登录设备登录设备 网络管理员可以通过多种方式管理 anchiva waf 设备。管理方式包括： 本地管理：即通过 console 口登录 waf 设备进行管理； 远程管理：包括两种方式： a）使用浏览器和设备建立 https 连接对设备进行管理； b）通过 ssh 协议和设备建立安全连接登录 waf 设备进行配置管理。 第一次使用 waf 设备，管理员可以通过 console 口或 ssh 客户端连接设备， 以命令行方式配置和管理设备，也可以通过浏览器以 webui 方式进行配置和管理。 5.1.1 通过通过 console 口登录设备口登录设备 console 口即设备的控制台接口，本地一台管理主机通过 console 线缆与 waf 设备的 console 口连接，可以通过 cli 对设备进行本地配置，可以进行系统的调试、 配置和管理工作。 管理员要想通过此串口直接连接并管理设备，需要进行如下的准备工作： 准备一根 console 线缆。 带有可用串口的管理主机； 在微机上运行终端仿真程序（如 windows 9x 的 hyperterm 超级终端等）建 立连接； 下面将详细介绍如何通过 console 口连接到 waf 设备： 1）使用 console 口控制线连接计算机的串口（这里假设使用 com1）和设备 的 console 口。 2）在主机上选择 开始开始 程序程序 附件附件 通讯通讯 超级终端超级终端，建立管理主机和设 备的网络连接。 安信华 web 应用防火墙 s 系列快速安装指南 -10 - a）输入连接名称。 b）选择 com1 端口。 c）配置终端通信参数为：9600 波特、8 位数据位、无奇偶校验、1 位停止位、 无数据流控，如下图所示。 安信华 web 应用防火墙 s 系列快速安装指南 -11 - 点击“确定”按钮完成设置。成功连接到网络卫士防火墙后，超级终端界面会出 现输入用户名和密码提示信息，如下图所示。 安信华 web 应用防火墙 s 系列快速安装指南 -12 - 3）用户直接输入 waf 默认的串口登录用户：administrator 和密码：password，即 可登录到 waf 设备。登录后界面如下图所示，用户就可使用命令行方式对设备进行配 置管理等操作。 5.1.2 通过通过 webui 界面登录设备界面登录设备 第一次使用 waf 设备，管理员还可以使用安全的 https 连接，对 waf 设备进 行管理和配置。waf 设备支持的浏览器包括： internet explorer 6.0 及 6.0 以上版本 firefox 3.50 及 3.50 以上版本 登录 anchiva waf 网关的 webui 步骤描述如下： 1）通过 web 浏览器，输入路径和地址。 https:/ 特别说明：特别说明： 安信华 web 应用防火墙 s 系列快速安装指南 -13 - vlan1 的缺省出厂 ip 是 00/24，如果管理员没有通过 console 口修改 vlan1 的 ip 地址，则管理主机的 ip 地址必须与缺省 ip 处于同一网段，并通过以太网 连接到 anchiva 网关的 eth0 接口。 2）登录 webui，界面如下图。 输入默认的管理员用户名 administrator 和密码 password。还可以在“语言”处选 择 webui 界面的显示语言，可选项为：english、“简体中文”或“繁体中文”。 然后单击“登录”按钮即可。 也可以登录后选择菜单 管理管理 系统设置系统设置 语言语言，选择 webui 显示语言，如下 图所示。 选择语言后点击“应用”按钮即可。 安信华 web 应用防火墙 s 系列快速安装指南 -14 - 5.1.3 通过通过 ssh 协议登录设备协议登录设备 ssh（secure shell，安全外壳）是一个用于在非安全网络中提供安全的远程登录 以及其他安全网络服务的协议。当用户通过非安全的网络环境远程登录到设备时，每 次发送数据前，ssh 都会自动对数据进行加密，当数据到达目的地时，ssh 自动对加 密数据进行解密，以此提供安全的信息保障，以保护设备不受诸如明文密码截取等攻 击。除此之外，ssh 还提供强大的认证功能，以保护不受诸如“中间人”等攻击方式 的攻击。ssh 采用客户端服务器模式。 anchiva waf 设备可以作为 ssh 服务器接受 ssh 客户端的连接并提供认证。管理 员可以在本地主机上使用支持 ssh 的客户端软件，如用于 unix 系统的 openssh， 或用于 32 位 windows 平台的 putty， 来登录 waf 设备。管理员通过认证后， 管理主机与 waf 设备之间建立 ssh 连接，可以通过 ssh 协议远程管理 waf 设备。 waf 设备作为设备作为 ssh 服务器的相关配置：服务器的相关配置： waf 设备作为 ssh 服务器接收管理员的 ssh 协议连接请求，需要在设备的相应 端口开放 ssh 服务。 出厂配置中，设备的 eth0 口为管理端口，在 eth0 口默认开放 ssh 服务，管理员可 以通过 eth0 口与设备建立 ssh 连接，查看 eth0 口开放的服务使用如下命令： #show interface eth0 manage 结果显示为：https、ssh、ping。表示 eth0 口开放 https 服务、ssh 服务和 ping 服务。 如果管理员需要通过其他端口与设备建立 ssh 连接，则需要在相应接口开放 ssh 服务。 例如要在 eth2 口开放 ssh 服务，在 cli 下的配置命令为： #set interface eth2 manage ssh 在 webui 界面操作为： 1）选择导航菜单 管理管理 网络配置网络配置 网络接口网络接口，界面如下图所示。 安信华 web 应用防火墙 s 系列快速安装指南 -15 - 2）点击 eth2 口左侧的“选择”一栏，然后点击“编辑”按钮；或者直接点击 eth2，进入设置界面，如下图所示。 在“管理访问”处选择“ssh”，然后点击“应用”按钮即可。 ssh 客户端配置：客户端配置： ssh 客户端软件有很多，例如 putty、openssh 等。用户可根据自己的具体情况 决定使用的 ssh 客户端软件。下面以 putty 为例介绍 ssh 客户端的相关配置： 1）运行 putty.exe 文件，出现如下图所示配置界面。 安信华 web 应用防火墙 s 系列快速安装指南 -16 - 2）设置连接的协议类型，以及服务器参数。 在“host name（or ip address）”文本框中输入 ssh 服务器的 ip 地址，在 “port”处保证连接端口号为 22。 在“connection type”处选择连接的协议类型为“ssh”，出现如下图所示的界面。 如果需要保存此连接，请在“saved session”处输入保存名称，并点击“save”按 钮，则该连接将保存在下面的文本框中，下次直接选择该连接，并点击“load”按钮即 可，无需再次输入 ssh 服务器的名称和端口号等信息。 3）单击“open”按钮，出现如所示的 ssh 客户端界面，如果连接正常则会提示 用户输入用户名和密码。 安信华 web 应用防火墙 s 系列快速安装指南 -17 - 输入正确的管理员名和密码信息后，进入配置界面，如下图所示。 5.2更改管理员密码更改管理员密码 出于安全考虑，首次登录后建议超级管理员修改“administrator”账户的密码。 在 cli 下的配置命令为： 安信华 web 应用防火墙 s 系列快速安装指南 -18 - #set admin administrator password 123456 在 webui 下的配置步骤为： 1）选择菜单 管理管理 访问管理访问管理 用户账号，用户账号，修改“administrator”账户的密码， 界面如下图所示。 点击管理员名称“administrator”，弹出如下图所示界面。 输入默认密码“password”，然后在“新密码”和“确认新密码”处重复输入相同 的密码，点击“应用”按钮即可。 5.3配置接口参数配置接口参数 登录设备后管理员可以修改接口参数，包括修改接口的工作模式、更改物理接口 或 vlan 虚接口的 ip、启用接口的管理服务等。 5.3.1 cli 配置步骤配置步骤 下面以 eth0 为例进行介绍在 cli 下如何设置接口参数。 安信华 web 应用防火墙 s 系列快速安装指南 -19 - 1）查看接口的工作模式 在上图中输入命令：show interface eth0，执行结果为： eth0 link encap:ethernet mode:trunkmode:trunkmode:trunk hwaddr 00:e0:81:43:6c:87 addr: bcast: mask: mtu:1500 rx packets:22069891 errors:9 dropped:0 overruns:0 tx packets:32376395 errors:0 dropped:0 overruns:0 collisions:0 link: yes link type: autonegotiation, duplex: full, speed: 100mbps rx:off tx:off autoneg:on internet mode: no inbound:enable 上图红色字体中的内容表明接口工作在透明模式，且属于 trunk vlan。 2）设置接口工作模式。默认接口工作在透明模式。 设置为路由模式：set interface eth0 mode route 设置为透明模式：set interface eth0 mode transparent 3）设置物理接口或 vlan 虚接口的 ip 地址 当接口工作在路由模式时设置物理接口 ip 地址即可。当接口工作在透明模式时则 需要设置所属的 vlan 虚接口的 ip 地址。 添加接口添加接口 ip 命令为：命令为：set interface if_name ip a.b.c.d/m 设置物理口的 ip 地址，例如设置 eth3 口 ip 为 /24： set interface eth3 ip /24 设置 vlan 虚接口的 ip 地址，例如设置 vlan1 的 ip 为 /24： set interface vlan1 ip /24 删除接口删除接口 ip 的命令为：的命令为：unset interface if_name 删除物理口的 ip 地址，例如删除 eth3 口的 ip：unset interface eth3 删除 vlan 虚接口的 ip 地址，例如删除 vlan1 的 ip：unset interface vlan1 需要注意的是，更改需要注意的是，更改 vlan 虚接口虚接口 ip 后，原有的后，原有的 ssh 连接会断开，需要管理员连接会断开，需要管理员 重新建立重新建立 ssh 连接，才能继续进行连接，才能继续进行 cli 配置。配置。 安信华 web 应用防火墙 s 系列快速安装指南 -20 - 4）如果管理员需要通过其他端口与设备建立 https 连接或者 ssh 连接，则需要 在相应接口启用 https 服务或者 ssh 服务。下面以 eth2 口为例进行说明。 启用接口的 https 服务：set interface eth2 manage https 禁用接口的 https 服务：unset interface eth2 manage https 启用接口的 ssh 服务：set interface eth2 manage ssh 禁用接口的 ssh 服务：unset interface eth2 manage ssh 5.3.2 webui 配置步骤配置步骤 webui 下配置接口参数的步骤为： 1）查看接口配置 选择导航菜单 管理管理 网络配置网络配置 网络接口网络接口，界面如下图所示。 可以查看接口的简单配置信息。在“模式”一栏可以查看各个接口的工作模式。 2）更改 vlan1 的 ip 地址。 选择 vlan1 然后点击“编辑”按钮，或者直接单击 vlan1 名称，修改 vlan 虚 接口的默认 ip 地址，界面如下图所示。 设置完成后，点击“应用”按钮保存设置。设置后原有的连接将会断开，需要管 理员使用新的 ip 地址登录 waf 设备。 安信华 web 应用防火墙 s 系列快速安装指南 -21 - 3）如果管理员需要通过其他端口与设备建立 https 连接，则需要在相应接口开 放 https 服务。下面以 eth2 口为例进行说明。 点击 eth2 口左侧的“选择”一栏，然后点击“编辑”按钮；或者直接点击 eth2， 进入设置界面，如下图所示。 在“管理访问”处选择“https”，然后点击“应用”按钮提交并保存配置。 5.4添加默认路由添加默认路由 如果管理员想通过不同的网段对设备进行管理，则需要添加默认路由。而且设备 上所有特征库的更新都需要通过连接 asdn 服务器来进行，也要求必须添加默认路由。 添加默认路由的步骤为： 1）选择 管理管理 网络设置网络设置 路由表路由表。点击“添加”按钮，界面如下图所示。 勾选“添加为默认网关”，并设置 vlan 虚接口所在网段的默认网关。 2）点击“应用”按钮保存并提交配置。 安信华 web 应用防火墙 s 系列快速安装指南 -22 - 5.5 配置配置 dns 服务器服务器 对于 anchiva 网关来说，所有特征库的更新都是通过连接到服务器的域名来进行 的，因此必须设置 dns 服务器。 选择 管理管理 系统设置系统设置 主机主机，在下图中配置 dns 服务器。 设置完成后，点击“应用”按钮使设置生效。 5.6 导入导入 license 管理员导入许可证，相应模块的过滤功能才能生效。 1）选择 管理管理 维护维护 许可证许可证，导入 license 文件。 2）点击“浏览”按钮，选择许可证文件。 3）点击“应用”按钮完成导入。 期待结果及验证期待结果及验证: “web 应用防火墙许可证”的状态由“无效”变为“有效”，并会显示有效日期。 5.7 导入特征库导入特征库 导入 license 文件后，需要管理员设置参数连接 anchiva 公司的 asdn 服务器导入 特征库。更新特征库有 3 种方式： 定期连接服务器更新 手动连接服务器立即更新 安信华 web 应用防火墙 s 系列快速安装指南 -23 - 本地导入特征库文件进行更新 1、选择菜单 管理管理 系统维护系统维护 更新更新 特征库特征库。 2 设置定期更新特征库设置定期更新特征库 管理员可以设置系统按照固定的时间间隔（每隔数小时）或设置每天的某个时刻， 连接“anchiva 更新中心”获取最新的更新信息。 3 手动更新特征库手动更新特征库 即便配置了自动更新功能，您仍可手动更新相应的特征库。 在“手动更新”下，选择需要更新的特征库，然后点击“应用”按钮系统将立即 连接更新服务器完成手动更新。 4 离线更新特征库离线更新特征库 管理员可以通过从本地导入更新文件对特征库进行离线升级。 在“本地更新”下，选择需要更新的特征库，并单击“浏览”来选择您本地 pc 机 上的特征库文件，然后点击“应用”按钮提交设定。 5.8更改接口默认配置更改接口默认配置 默认配置中，所有的接口均为信任接口，即对于从所有接口发出的请求及收到的 响应都不进行安全检查。选择 管理管理 网络配置网络配置 网络接口网络接口，界面显示如下图所示： 安信华 web 应用防火墙 s 系列快速安装指南 -24 - 因此，将 waf 设备部署在用户网络中后，首先应该修改接口的属性，将与客户端 连接一端的物理接口设置为“非信任接口”，则对于客户端发出的请求和收到的响应 均进行攻击、病毒等的扫描，从而起到保护 web 服务器的目的。 5.9 添加添加 url 安全策略安全策略 出厂配置中内置了一条 url 安全策略“default-security-policy”，配置了对 web 服务器进行保护的基本的安全策略。管理员可以在服务器安全组中直接引用该默认的 策略，也可以修改该策略的默认参数，或添加新的 url 安全策略。 具体设置步骤为： 1）选择 web 安全安全 url 安全策略安全策略