云WAF-用户 操作手册.doc

.云WAF 用户操作手册一、背景随着互联网的广泛使用，Web应用已经融入到日常生活中的各个方面，例如：网上购物、网络银行应用、高校门户网站等。当WEB应用越来越丰富的同时，WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件，频繁发生。企业等用户一般采用防火墙作为安全保障体系的第一道防线。但是，在现实中，他们存在这样那样的问题，由此产生了WAF（Web应用防护系统）。 云WAF，也称WEB应用防火墙的云模式。它是一种全新的信息安全产品模式。这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备，就可以对网站实施安全防护。防SQL注入、防XSS、防DDOS等，这些传统WAF上存在的功能，云WAF同样具备。之所以称之为云WAF，就是因为它所有的WAF功能都是通过云端提供的，而不需要在本地部署产品。从用户的角度来看，云WAF更像是一种安全服务，只不过这种服务并非是通过人工来实施的。二、性能51云防护的Web应用防火墙(Web Application Firewall,，简称 WAF)基于云安全大数据能力实现，通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击，过滤海量恶意访问，避免网站资产数据泄露，保障网站的安全与可用性。1.产品特色WAF集群防护：布属多个云防护数据中心，总防护能力超过10Gb/s流量处理能力，故障自动切换。硬件WAF设备：采用高端WAF设备，性能直接秒杀所有，硬件式WAF，更安全，更稳定。不限站点数：系统平台，只计带宽，不限站点数，不限流量，更适合中小型企业使用。实时开通即时防护：直接在用注册，后台订单，即可轻松上线云WAF防护.5分钟即可体验防护效果。强大的防护能力：防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传。自动升级防护库：自动接入赛克特门数据库，24小时升级一次防御库，最新漏洞有效防护。弹性升级：可按最低标准购买，当流量以及防护不足时增加，并且可按需降级套餐。应用加速：后台可配置静态文件，采用内存级缓存+SSD级缓存，有效提高网站访问速度。2.产品功能（1）防SQL注入攻击SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。（2）网站挂马防上传木马(上传文件过滤)需要使用请求控制内的标记模块“post_file”。 Post_file支持使用正则表达式。可对asp、php、htm、html等上传文件进行过滤，系统默认仅针对html和htm禁止上传功能。防网静态网站被挂马情况。（3）跨站攻击在Web安全领域，跨站脚本攻击时最为常见的一种攻击形式，也是长久以来的一个老大难问题，而本文将向读者介绍的是一种用以缓解这种压力的技术，即HTTP-only cookie。（4）WebShell攻击防护webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目。3.产品防护应用流程（1）用户访问用户通过浏览器访问网站。（2）WAF防火墙防御SQL注入、XSS跨站脚本等。（3）云节点缓存用户网站内容，静态化。（4）用户服务器用户网站服务器，无须任何权限。4.产品类型三、云WAF管理平台针对SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击，云WAF管理平台对HTTP进行双向深层次检测，对于来自Internet的攻击进行实时防护，避免黑客利用应用层漏洞非法获取或破坏网站数据，可以有效地抵御黑客的各种攻击。同时，对Web服务器侧响应的出错信息、恶意内容及不合规格内容进行实时过滤，避免敏感信息泄露，确保网站信息的可靠性。云WAF还提供网络访问和流量的实时监控，以及Web服务器的性能、客户端环境和行为的实时访问信息，使用户直观地了解网站工作状态。（一）、应用对象1、注册并购买了云WAF产品的客户2、管理人员3、公司技术人员（二）、平台管理主要功能1.设备信息设备信息，顾名思义，主要用于显示云WAF设备的一些相关基本信息，包括系统状态、系统信息、授权信息等。2.网络监控网络监控包括带宽、攻击、访问、篡改等监控，其中，访问监控还包括实时访问、服务器性能，以及搜索&链接、访问时段、访客地理信息和客户端环境等。3.日志和报表日志和报表主要向用户提供了详细的日志信息以及报表功能，其中包括报表管理、访问日志、攻击日志、管理日志、以及篡改日志。通过查看各种不同类型的报表，用户可以直观地了解到对Web服务器的访问统计情况、攻击统计情况和篡改统计情况的详细视图。4.设备管理设备管理，主要用于对云WAF设备进行详细设置，包括部署模式、网络配置、用户管理的设置。5.设备维护在一项应用中，维护的重要性不言而喻，例如备份数据、诊断等。在云WAF系统中，设备维护模块，包括备份/恢复、规则库更新、邮件代理、诊断工具、系统重启/关机、密码设置、以及系统更新等功能。6.Web防护Web防护是云WAF的一个重点功能，针对防入侵、SQL注入等能实行不同策略，其中包括黑名单/白名单、安全策略、重写策略、缓存策略、服务器策略等。7.网页防篡改再强大的防护能力，由于各种因素，一般都很难做到100%的安全防护。有些黑客甚至会利用自己的高水平技术，直接绕过防护，对网站的网页等进行篡改，使网页被长时间暴露。此时，网页防篡改功能就显得尤为重要，防止网页被篡改暴露，实现网站安全。四、操作过程1.云WAF控制台站点管理入口通过云WAF控制台5:18080/login.php ，在方框内分别输入用户名、密码，账号和密码正确，即可登录进入云WAF管理后台，并进入首页。若账号或密码错误，则提示Wrong name/password: Please enter again，并返回登录界面，重新输入。2.系统首页从登陆界面登陆成功后，进入系统首页，在此界面上可看到网站访问次数统计、攻击/访问比、拦截/攻击比、恢复/篡改比。用户通过查看分析这些数据，可以更好地了解网站的攻击、篡改等情况。3.设备信息点击左边栏的“设备信息”，即可看到设备的系统状态、系统信息和授权信息。再点击各项，则会显示相应的信息，如点击“系统状态”，就会出现系统的状态信息，包括CPU状态、内存状态、硬盘状态等。其中每个状态又包括“当然状态”与“历史状态”。4.网络监控网络监控，是针对局域网内的计算机进行监视和控制，Emulex针对内部的电脑上互联网活动（上网监控）以及非上网相关的内部行为与资产等过程管理（内网监控）。在云WAF管理中，网络监控包括带宽、攻击、访问、篡改等监控，其中，访问监控还包括实时访问、服务器性能，以及客户端环境&行为。点击“带宽监控”，即可看到带宽的使用情况，分为实时状态与历史状态。点击“访问监控”，即可查看实时访问与服务器性能等。实时访问又包括HTTP流量、连接速率、处理请求速率的统计等。点击“客户端环境&行为”，则可查看客户端环境、访问时段、访客地理信息、搜索&连接等消息。通过此功能，可以更好地了解网站客户的情况，从而更好地保障网站的安全性。5.日志和报表用户可通过日志查看对Web服务器的攻击、访问和篡改日志，查看管理日志；通过报表查看已生成的报表信息、制定定期生成报表任务，或立即生成报表。日志和报表项功能包括报表管理、访问日志、攻击日志、管理日志、篡改日志等信息。用户可以分类查看详细的日志记录信息，并可以即时或定期生成各种不同内容的统计报表，定期报表根据用户配置的不同的统计周期可以生成日报表、周报表或任何时间段的统计报表信息，还可以通过指定域名即时生成用户所关注于域的报表。通过点击访问日志，则可以看到网站的访问详细情况。点击“报表管理”、“攻击日志”等同样可以看到相应的统计信息。6.设备管理设备管理功能包括部署模式、网络配置和用户管理。云WAF有两种工作模式，分别为在线工作模式与离线工作模式。而在线工作模式又分为网桥透明代理模式、路由透明代理模式、反向代理模式。离线方式仅对HTTP流量进行检测扫描并无拦截能力（仅检测功能），它可以实时和非实时的分析流量是否存在恶意性，适用于在线部署之前的准备工作，当然，在线方式也可以配置为仅检测功能。点击“部署模式”，即可对设备进行部署模式选择与监听端口配置。点击监听端口配置的“添加”按钮，弹出配置界面，输入相应的信息再点击“确定”，就可完成添加。最后，在选好模式选择下，再点击“应用”。网络配置包括接口配置、路由配置。接口配置用于配置接口的IP地址，以及创建桥、配置桥成员和IP地址等内容；路由配置用于配置接口的路由。7.设备维护设备的维护修理，如果只是在当问题出现时才着手进行的话，就会导致生产能力和品质低下，失去竞争力。因此为防止设备性能劣化或降低设备失效的概率，有必要按事先规定的计划或相应技术条件的规定进行的技术管理措施。云WAF的设备维护，包括备份/恢复、诊断工具、系统更新等。 点击左边“设备维护”，再点击“备份/恢复”，可对不同系统进行数据备份与恢复。点击“规则库更新”，可对规则库进行更新与恢复。 邮件诊断功能，主要是根据用户的设置发送告警信息和报表。用户通过诊断工具，可对云WAF系统进行网络故障诊断。在设备维护中，还能对云WAF的系统账号的密码进行修改8.Web防护Web防护的功能主要包括黑名单/白名单、安全策略、重写策略、缓存策略等。点击“Web防护”即可看到以上功能。点击“黑名单/白名单”，会出现黑白名单的相应设置界面，包括IP黑名单、IP白名单、URL黑名单、URL白名单、域名白名单。点击“安全策略”，可对安全策略进行配置。点击“重写策略”，可对重写策略进行配置。缓存策略与服务器策