明御WEB应用防火墙-用户操作手册V2.6

WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 1 页 共 73 页 0571 28860999 明御明御 TMWEB WEB 应用防火墙应用防火墙 国内首创全透明部署 WEB 应用安全网关 用户操作手册用户操作手册 版本 V2 6 杭州安恒信息技术有限公司杭州安恒信息技术有限公司 20202020 年年 3 3 月月 1818 日日 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 2 页 共 73 页 0571 28860999 前前 言言 明御 TMWEB 应用防火墙 简称 WAF Web Application Firewall 是杭州安恒信息技 术有限公司的产品 通过安恒信息专有的 WEB 入侵异常检测等技术 结合安恒团队多年 应用安全的攻防理论和应急响应实践经验积累的基础上自主研发而成 协助各级政府 企 事业单位全面保护 WEB 应用安全 实现 WEB 服务器的全方位防护解决方案 本手册适合的对象本手册适合的对象 明御 TMWEB 应用防火墙用户操作手册 适用于希望了解本产品功能 熟练掌握产 品的配置及日常操作维护的相关人员 手册的组织手册的组织 本手册共九章 第一章介绍 WAF 的部署 第二章介绍 WAF 登录管理 第三章介绍 WAF 的首页管理 第四章介绍功能配置 第五章介绍 WAF 策略功能 第六章介绍系统配 置相关操作 第七章介绍 WAF 的日志功能 第八章介绍 WAF 的报表功能 第九章为版权 说明 公司联系方式公司联系方式 用户可以通过如下的联系方式详细了解该产品 市场销售 电话 0571 86698512 邮箱 info 支持服务 热线电话 0571 86698513 邮箱 support 24 小时支持电话传真 0571 28860999 网址 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 3 页 共 73 页 0571 28860999 目目 录录 前前 言言 2 本手册适合的对象 2 手册的组织 2 公司联系方式 2 第第 1 章章 WAF 的部署的部署 6 1 1 WAF 面板说明 6 1 2 透明代理模式 7 1 3 旁路监控模式 7 1 4 反向代理模式 8 1 5 网关模式 8 第第 2 章章 登录管理登录管理 9 2 1 WAF 登录界面 9 2 2 WAF 管理首页 10 第第 3 章章 首页首页 11 3 1 WEB流量 11 3 2 网络流量 12 3 3 连接数统计 12 3 4 访问统计 13 第第 4 章章 配置配置 14 4 1 保护站点管理 14 4 2 防篡改功能 17 4 2 1防篡改功能配置 17 4 2 2防篡改功能操作步骤 19 4 3 黑名单 21 4 4 白名单 21 4 5 告警通知 22 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 4 页 共 73 页 0571 28860999 4 6 阻断页面配置 23 4 7 ARP 自动检测配置 24 4 8 配置导入 导出 25 4 9 高可用性 HA 配置 25 第第 5 章章 策略策略 27 5 1 策略组设置 27 5 1 1安全策略设置 27 5 1 2定制策略规则 29 5 2 自定义策略项 30 第第 6 章章 系统系统 32 6 1 用户管理 32 6 2 系统维护 33 6 3 系统登录管理 34 6 4 系统升级 35 6 5 授权许可 36 6 6 数据维护 36 第第 7 章章 日志日志 39 7 1 攻击日志 39 7 1 1告警显示设置 39 7 1 2 告警归并 40 7 1 3 自定义告警查询 41 7 1 4告警日志导出 43 7 2 防篡改日志 43 7 3 操作日志 44 7 4 HA 日志 45 第第 8 章章 报表报表 46 8 1 自定义报表 46 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 5 页 共 73 页 0571 28860999 8 2 组合报表 48 8 3 定时报表 51 8 4 报表的导出 52 第第 9 章章 版权声明版权声明 53 附录一 使用附录一 使用 CONSOLE 口管理口管理 WAF 设备设备 54 附录二 报表操作手册附录二 报表操作手册 61 附录三 附录三 HA 操作手册操作手册 68 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 6 页 共 73 页 0571 28860999 第第 1 章章 WAF 的部署的部署 1 1 WAF 面板说明面板说明 图图 1 1 WAF 面板图面板图 说明 说明 console 口 通用串口管理端口 通过串口线连接计算机进行管理配置 根据实 际生产环境修改 admin 口网络信息 重启 关闭 WAF 设备和修改系统时间 默认登陆用户名 为 admin 密码为 admin 使用 console 口管理 WAF 设备详见附录一附录一 RESET 使用针状物插入 RESET 孔 对设备进行复位操作 硬盘指示灯 电源指示灯 设备上电后 正常运行时的硬件健康指示灯 Admin 管理口 WAF 设备管理网络接口 默认 IP 地址为 192 168 1 100 IN 口 Web 访问的数据入口 OUT 口 Web 访问的数据出口 接被保护的 WEB 服务器 如保护多台 web 服务 器 可将该口接交换机 交换机接多台被保护 web 服务器 ProtectX X 1 2 3 或 4 保护对象的接入链路 对于不同的设备型号 接入 链路的数量不相同 注意 添加保护对象时设置的接入链路一定要与实际接入链路一致 注意 添加保护对象时设置的接入链路一定要与实际接入链路一致 对于不同的保护站点 可以接入不同的接入链路进行保护 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 7 页 共 73 页 0571 28860999 1 2 透明代理模式透明代理模式 图图 1 2 透明直连部署模式透明直连部署模式 透明代理模式是指将 WAF 部署在被保护的 web 服务器前端 访问 web 服务器的数据 包经过 WAF 设备的过滤 即可达到防护目的 WAF 设备依据硬件型号的不同 带有一对 或多对 IN OUT 数据接口 IN 口为访问流量的数据入口 OUT 口为到达 web 服务器的数 据出口 如果需要保护多台 web 服务器 可以在 OUT 口接一个交换机 通过交换机连接 多台要保护的 web 服务器 透明代理模式需要特别注意的事项 由于 WAF 具有通用的安全策略防护规则 为防 止对 web 访问的某些正常访问造成错误的阻断 因此 WAF 出厂默认将规则引擎统一设 置为 仅检测 状态 即当检测到 web 攻击时 仅提示告警而不做阻断处理 客户经过一 段时间的测试 调整相关规则后 再将 WAF 的规则引擎切换到 启用 状态 这样 WAF 将对非法的 web 请求进行有效的阻断 1 3 旁路监控模式旁路监控模式 图图 1 3 旁路监控部署模式旁路监控部署模式 旁路监控模式 是指客户在部署环境中 采用镜像交换机 将接 web 服务器的交换机 端口镜像另外一个端口 该端口接 WAF 设备的 IN 口 如此便可达到旁路监控的目的 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 8 页 共 73 页 0571 28860999 1 4 反向代理模式反向代理模式 反向代理模式分为两种模式 单臂牵引模式单臂牵引模式和网桥模式网桥模式 单臂牵引模式的部署图同图 1 3 交换机需要通过配置策略路由的方式 将被保护站点 的流量先牵引到 WAF 设备 WAF 设备通过反向代理的方式 再将请求送至 WEB 服务器 针对客户内网环境的多样性 复杂性 尤其是内网环境多层路由问题 明御 WAF 提 供反向代理 网桥模式功能 以保护内网多层路由后的 WEB 服务器 网桥模式的部署图 如图 1 4 所示 注意 反向代理时 WAF 设备只需要使用一个网络接口 且该接口需要配置 IP 地址 具体配置请参考保护站点管理一节 图图 1 4 反向代理反向代理 网桥模式网桥模式 1 5 网关模式网关模式 网关模式的部署图同图 1 2 网关模式将 WAF 设备部署在被保护的 web 服务器集群前 端 web 服务器集群的网关设置为添加保护站点时设置的 内网网关 本机 IP 网关模 式的负载均衡模式分为 按比例负载 平均负载 和 热备 三种 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 9 页 共 73 页 0571 28860999 第第 2 章章 登录管理登录管理 在浏览器中以 HTTPS 方式打开明御 WEB 应用防火墙的管理 IP 地址 出厂默认 IP 地 址为 192 168 1 100 通过 IE 浏览器输入 https 192 168 1 100 进行登录 请选择 是 以接 受明御 WAF 的安全证书 如图 1 1 所示 图图 2 1 接受安全证书接受安全证书 2 1 WAF 登录界面登录界面 在接受安全证书后 可以进入明御 WAF 的登录界面 如图 1 2 所示 在该界面中可以 输入用户名和密码来登录到明御 WAF 的管理界面 初始用户为 admin 密码为 adminadmin WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 10 页 共 73 页 0571 28860999 图图 2 2 明御明御 WAF 登录界面登录界面 2 2 WAF 管理首页管理首页 明御 WAF 的管理界面如图 2 3 所示 在登录 WAF 后 首先进入的是管理界面的首页首页 在图 2 3 中所示为明御 WAF 的首页 图图 2 3 明御明御 WAF 管理首页管理首页 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 11 页 共 73 页 0571 28860999 第第 3 章章 首页首页 明御 WAF 首页呈现的是 WAF 系统状态 Web 流量 当前接入链路的网络流量以及 连接数统计 访问统计等相关信息 如图 2 3 所示 首页展现了系统的当前状态 包括硬 件资源 磁盘 内存 处理器 的使用率 系统运行的时间 HA 状态 当前系统的保护 模式 软件版本等 首页的左栏 展示了当前的用户信息 以及最近几次登陆的历史纪录 信息 同时 首页还提供对这些信息的历史查询 以便在出现故障时追踪历史记录 查找 故障原因 3 1 Web 流量流量 首页包含了 Web 流量的展现 方便管理员实时观测当前的 Web 流量情况 图 3 1 展示 了 Web 流量的实时情况 图图 3 1 明御明御 WAF 管理主页管理主页 Web 流量统计图流量统计图 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 12 页 共 73 页 0571 28860999 3 2 网络流量网络流量 首页包含了网络流量 Protectx 的展现 方便管理员实时观测当前链路的网络负载情况 图 3 2 展示了网络流量 Protect1 的网络实时流量情况 图图 3 2 明御明御 WAF 管理主页网络流量统计图管理主页网络流量统计图 3 3 连接数统计连接数统计 首页包含了连接数统计的展现 方便管理员实时观测当前的并发连接数情况 图 3 3 展示了当前的并发连接数统计 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 13 页 共 73 页 0571 28860999 图图 3 3 明御明御 WAF 管理主页并发连接数统计图管理主页并发连接数统计图 3 4 访问统计访问统计 首页包含了访问统计的展现 方便管理员观测当前的访问统计情况 图 3 4 展示了当 前的访问统计数据 选择 排序依据 单选钮可对统计数据进行排序 图图 3 4 明御明御 WAF 管理主页访问统计管理主页访问统计 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 14 页 共 73 页 0571 28860999 第第 4 章章 配置配置 4 1 保护站点管理保护站点管理 保护站点管理 包括新添加 修改和删除被保护的 WEB 站点相关信息的管理功能 新增保护站点 新增保护站点 点击配置菜单可以进入保护站点管理页面 默认情况下右侧显示为空 表示没有添加 任何保护站点 通过左侧栏可以进行新增保护站点操作 如图 4 1 所示 图图 4 1 新增保护站点新增保护站点 在点击新增按扭后可以看到新增站点的详细配置页面 如图 4 2 所示 1 其中名称为保护站点的别名设置 方便管理员进行管理识别 2 协议项用于设定 WAF 是保护 HTTP 还是 HTTPS 站点 3 IP 地址 子网掩码对应于被保护站点的相关网络设置信息 4 下一跳 到保护对象 对应于数据包经由 WAF 到保护对象的下一跳地址 该 输入框为可选项 当 WAF 与保护对象处于不同网络时须填写 当 WAF 与保 护对象处于同一网络时无须填写 5 下一跳 到客户端 对应于数据包经由 WAF 到客户端的下一跳地址 6 配置策略路由 可以人为指定数据包按照目的地址标示的路由送往下一跳 7 接入链路对应于进行网络部署时 保护站点所选择的网络链路接口 WAF 硬 件面板上有详细的标识 8 长连接设置则根据保护站点的具体机制进行选择 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 15 页 共 73 页 0571 28860999 9 缓存启用项 即是否对保护站点启用 WEB 应用加速 配置示例如图 4 2 的所 示 10 部署模式用于指定当前 WAF 以何种方式保护站点 有三种模式供选择 透明 代理 旁路监控和牵引防护 我们推荐的部属方式是 首先采用透明代理 并 将策略引擎设置为 仅检测 模式 测试一段时间并对策略规则进行相应的调 整以后 再将策略引擎从 仅检测 切换到 启用 模式 11 在应用策略组中可以选择需要应用的策略组 12 对于每一个保护站点 都提供了 DDOS 和 CC 攻击的防护设置 主要设置的信 息包括 允许单个客户端 IP 地址对保护站点访问的总连接数的限制 以及在 指定时间内的新建连接数的限制 13 对于每个保护站点 明御 WAF 提供防篡改保护 防篡改的配置方法请参考 4 2 节 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 16 页 共 73 页 0571 28860999 图图 4 2 新增保护站点配置页面新增保护站点配置页面 注意在增加 HTTPS 保护站点时 在协议项选择 HTTPS 后 会出现证书上传框 进行 SSL 证书及密钥的上传 如图 4 3 所示 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 17 页 共 73 页 0571 28860999 图图 4 3 上传上传 SSL 证书证书 特别说明 1 明御 WAF 对 HTTPS 站点防护需上传的证书及密钥格式 是与 Openssl 兼容的 对于 其他格式的证书和密钥 需要进行相应的转换才能正常识别 2 大多数需要提供认证或者加密的站点 以及 WAF 部署在负载均衡设备之前的情况 需 要启用长连接支持 修改保护站点 修改保护站点 点击配置菜单进入保护站点管理页面 可以看到全部站点列表 如图 4 4 所示 图图 4 4 保护站点列表保护站点列表 点击上图中需要修改的保护站点右侧的修改小图标 进入站点修改页面 如图 4 5 所示 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 18 页 共 73 页 0571 28860999 图图 4 5 保护站点修改页面保护站点修改页面 删除保护站点 删除保护站点 点击配置菜单进入保护站点管理页面 可以看到全部站点列表 如图 4 4 所示 点击图 中需要删除的保护站点右侧的删除小图标 可对保护站点进行删除 4 2 防篡改功能防篡改功能 明御 WAF 的防篡改功能 主要是为了检测和防止被篡改后的 WEB 页面被发布到访问 的客户端 防篡改功能采用了第二代数字水印的技术 实时进行防篡改检测和拦截 4 2 1 防篡改功能配置防篡改功能配置 WAF 可以针对不同被保护站点 设置不同的防篡改配置 具体配置如下图所示 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 19 页 共 73 页 0571 28860999 图图 4 6 启动防篡改功能启动防篡改功能 开启和关闭防篡改功能 开启和关闭防篡改功能 开启防篡改功能步骤如下 打开 防篡改功能 列表 选择 启用 选项 如图 4 6 所示 页面将自动显示防篡改功能配置项 图图 4 7 防篡改功能配置界面防篡改功能配置界面 关闭防篡改功能步骤如下 打开 防篡改功能 列表 选择 禁用 选项 页面将自 动隐藏防篡改功能配置项 模式切换 模式切换 在 模式切换 下拉列表中选择 自学习模式 保护模式 或 仅检测模式 如图 4 8 所示 图图 4 8 模式切换列表模式切换列表 设置被保护站点的目录索引 设置被保护站点的目录索引 将被保护站点的目录索引 即 DirectoryIndex 网站根目录主页面的索引 填入 目录 索引 配置框 如图 4 9 所示 图图 4 9 目录索引配置框目录索引配置框 添加保护页面类型 添加保护页面类型 打开 文件类型 列表 选择要添加保护的文件类型 单击 新增 按钮 如图 4 10 所示 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 20 页 共 73 页 0571 28860999 图图 4 10 文件类型列表文件类型列表 注 为了在消耗最小系统资源的情况下 获得最大的效益 防篡改功能绑定了网站加 速缓存功能 开启防篡改功能必须先开启网站加速缓存功能 防篡改功能是否开启 对网站加速功能没有影响 4 2 2 防篡改功能操作步骤防篡改功能操作步骤 启用保护站点的防篡改功能步骤 启用保护站点的防篡改功能步骤 WAF 通过自学习来获取备份页面和页面特征码 作为在保护模式或仅检测模式下 判 断页面是否被篡改的依据 因此 在每次添加新的保护站点时 需要先将防篡改功能设置 为自学习模式 在完成自学习过程之后 再切换到保护模式或仅检测模式 具体操作步骤 如下 开启防篡改功能 启用自学习模式 填写相关配置项 防篡改模块将自动获取备 份页面和页面特征码 可以通过网站爬行工具 加速学习过程 2 切换到保护模式或是仅检测模式 开始页面篡改防护或篡改检测 在防护模式下 一旦发现某个页面被篡改 WAF 将阻止该页面被发布出去 而采用最初爬行的缓存页 面返回给访问的客户端 而检测模式下 被篡改的页面可发布出去 WAF 仅仅进行告 警通知 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 21 页 共 73 页 0571 28860999 被保护站点内容更新步骤 被保护站点内容更新步骤 被保护站点内容的更新时 需要同时更新 WAF 中保存的备份页面和页面特征码 以 防 WAF 将新更新的页面视为被篡改的页面 具体操作步骤如下 1 切换到自学习模式 2 更新被保护站点内容 3 清空网站加速的缓存 开始保护站点内容的自学习过程 4 可以通过网站爬行工具 加速自学习过程 5 切换到保护模式 开始页面篡改防护 下载保护站点的被保护下载保护站点的被保护URL列表步骤 列表步骤 明御 WAF 提供对被保护的 URL 列表的下载 方便用户查看当前篡改防护的具体 URL 页面 如图 4 11 所示 单击 点击下载 按钮 页面将弹出下载文件对话框 单击 保存 按钮 将 URL 列表文件下载到本地 用文本编辑器打开查看 或单击 打开 按钮 直接 打开 URL 列表文件查看 图图 4 11 下载被保护下载被保护 URL 列表列表 清空自学习过程中保存的备份页面步骤 清空自学习过程中保存的备份页面步骤 在自学习过程中保存的备份页面数量会随时间而增长 管理员需要定期手动清空这些 备份页面 具体操作步骤如下 1 关闭防篡改功能 2 防篡改功能配置页面将显示 清空备份页面 链接 如图 4 12 所示 单击 清空 备份页面 链接 图图 4 12 清空备份页面清空备份页面 注 由于清空备份页面以后 所有自学习过程中保存的内容都将被清空 系统将自动 切换到 自学习模式 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 22 页 共 73 页 0571 28860999 4 3 黑名单黑名单 黑名单功能主要是为了对某些特定的 IP 地址 段 采取禁止访问的功能 管理员可 以通过黑名单功能 添加 修改和删除相关的黑名单 IP 地址 段 黑名单设置页面如图 4 13 所示 这一页面主要是对黑名单做增删和修改操作 设置在 黑名单中的 IP 地址 其对被保护 Web 站点的访问 无论正常访问还是攻击请求 都将全 部被阻断 因此 对黑名单的添加操作 必须慎重执行 在增加黑名单时 可以选择应用到部分或全部保护站点 图图 4 13 黑名单设置黑名单设置 4 4 白名单白名单 白名单功能主要是为了对某些特定的 IP 地址 段 开启 绿色通道 而对白名单内 的 IP 地址 段 不进行任何安全检测 管理员可以通过白名单功能 添加和删除相关的白 名单 IP 地址 段 白名单设置页面如图 4 14 所示 这一页面主要是对白名单做增删操作 设置在白名单 中的 IP 地址 其对被保护 web 站点的访问 无论正常访问还是攻击请求 都将不受 WAF 策略规则的约束和限制 设置白名单的方法与黑名单相同 图图 4 14 白名单设置白名单设置 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 23 页 共 73 页 0571 28860999 4 5 告警通知告警通知 明御 WAF 的告警通知功能 提供了多种告警通知模式 可及时的将当前保护的 WEB 站点的相关危险情况 以及 WAF 系统本身的状态 提供给管理员 图 4 15 为告警通知配置界面 WAF 目前支持 syslog 邮件和短信告警通知等三种方式 将告警信息实时发送给管理员 图图 4 15 告警通知设置告警通知设置 以下为配置项的说明 Syslog告警告警 是否启用 启用则需要配置 Syslog 发送到的主机服务器 IP 地址 邮件告警 邮件告警 是否启用邮件告警 选择 启用 为打开邮件告警功能 禁用 为关闭邮件告警功 能 发件人 设置告警邮件中 发件人的 E Mail 地址 收件人 设置告警邮件接收人的 E Mail 地址 可以设置多个收件人 每个收件人的 E Mail 地址之间以逗号隔开 如图中所示 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 24 页 共 73 页 0571 28860999 告警条件 通过设置合理的告警条件 管理员可以灵活的或许所需的信息 特别说明 特别说明 告警条件需谨慎设置 否则容易造成告警风暴 告警条件需谨慎设置 否则容易造成告警风暴 短信告警 短信告警 是否启用短信告警 选择 启用 为打开短信告警功能 禁用 为关闭短信告警功 能 标识 ID 标识 ID 为申请短信网关服务时 服务商提供的用户 ID 密码 密码为申请短信网关服务时 与用户 ID 对应的用户密码 接收人 设置告警短信接收者的手机号码 可以设置多个接收人 每个接收人的号 码之间以逗号隔开 短信网关 URL 地址 设置发送短信的短信网关 URL 地址 短信网关 URL 地址由短 信服务商提供 告警条件 通过设置合理的告警条件 管理员可以灵活的或许所需的信息 特别说明 特别说明 告警条件需谨慎设置 否则容易造成告警风暴 告警条件需谨慎设置 否则容易造成告警风暴 补充说明 短信网关由专门提供短信转发业务的服务商提供 短信网关用户通过网络 将短信发 送到短信网关 由短信网关负责将短信发给短信接收者 明御 WAF 通过短信网关 转发告警短信 用户需要事先申请短信网关服务 4 6 阻断页面配置阻断页面配置 阻断页面配置功能 主要针对的是当攻击者对保护站点的非法访问被阻断时 返回给 攻击者的 WEB 页面 当选用默认配置时 攻击被拦截返回的页面如图 4 16 所示 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 25 页 共 73 页 0571 28860999 图图 4 16 攻击阻断默认返回页面攻击阻断默认返回页面 明御 WAF 对攻击阻断页面提供灵活的配置方式 其配置页面如图 4 17 所示 图图 4 17 攻击阻断配置页面攻击阻断配置页面 由图 4 17 可以看到 明御 WAF 除了使用默认的阻断页面以外 还可以提供阻断重 定向的功能 即当攻击者访问被阻断时 可以定向到指定的网页 明御 WAF 提供了示例 的阻断页面供客户下载到被保护的 WEB 服务器上 然后配置重定向 当然 管理员也可 以配置该阻断页面定向特定的网站 4 7 ARP 自动检测配置自动检测配置 ARP 检测主要用在 WAF 透明代理的过程中 需要学习到保护站点以及其网关地址的 ARP 地址 ARP 自动检测功能一般不需要开启 但在一些禁用 ARP 广播 以及网关和保 护站点跨设备的网络环境中 需要开启该项功能以使 WAF 正常工作 配置页面如图 4 18 所示 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 26 页 共 73 页 0571 28860999 图图 4 18 ARP 自动检测配置自动检测配置 4 8 配置导入配置导入 导出导出 配置导入 导出提供下载配置文件和导入配置文件功能 其功能界面如下图所示 图图 4 19 配置导入配置导入 导出界面导出界面 点击 导入 按钮导入配置文件 点击 点击下载 导出配置文件 注意进行相关操 作之后 需要进行 应用更改 方能生效 4 9 高可用性 高可用性 HA 配置 配置 WAF HA High Availability 即 WAF 高可用性与可靠性 主要是为了解决 WAF 的 双机热备 冷备的问题 在网络链路或者 WAF 发生故障时 不仅能保证客户环境的网络 畅通 同时能保证客户环境仍旧处于 WAF 的保护状态下 HA 配置如图 4 20 所示 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 27 页 共 73 页 0571 28860999 图图 4 20 HA 配置配置 以下为配置项的说明 状态 选择 启用 为打开 HA 功能 禁用 为关闭 HA 功能 部署模式 选择 双机热备 为主备机双机工作模式 选择 单机模式 为单机工 作模式 双机热备工作模式下 在网络链路 WAF 软件或硬件发生故障时 WAF 主机工 作状态可自动切换到备机工作状态 从而保障客户环境的网络畅通以及保证客户环境仍旧 处于 WAF 的保护状态下 在单机模式下 HA 的处理方式与双机模式热切功能相同 当 检测到系统资源占用过高 自动将系统切换到硬件 bypass 主备机配置 选择当前登录的 WAF 为主机或备机 检测项目 可选择对内存 处理器 磁盘或网络进行检测 其中系统默认对内存 处理器 磁盘进行检测 当内存占用 处理器占用 空闲磁盘超过或低于一定阈值及一定 时间时 主备机工作状态发生切换 系统对网络默认不检测 配置为备机时 也不能选择 对网络进行检测 只有当主机选择对网络进行检测 在网络流量低于一定阈值及一定时间 时 主备机工作状态才发生切换 同步配置文件按钮 在 WAF 主机前台点击同步配置文件同步配置文件按钮可使主机 HA 配置文 件同步到备机 在 WAF 备机前台点击同步配置文件按钮不能同步到主机 手动切换按钮 WAF 主机仅在处于工作状态时在 WAF 主机前台点击手动切换手动切换按钮 可使主机工作切换到备机工作 即备机代替主机处于防护状态 WAF 备机无此按钮 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 28 页 共 73 页 0571 28860999 第第 5 章章 策略策略 策略包含了 WAF 安全引擎相关的所有安全策略的设置功能 主要包含了 策略规则 和自定义策略项的创建 定制 修改等功能 管理员可以根据被保护 WEB 站点的具体情 况 创建合适的策略规则集和自定义策略项来检测和防护 WEB 站点 策略规则的配置界面如图 5 1 所示 图图 5 1 策略规则主界面策略规则主界面 5 1 策略组设置策略组设置 系统以策略组的形式表示一套策略的集合 系统默认有一套 预设规则 可以直接对 其进行修改并应用到保护站点 也可以新增一套策略组 如图 5 1 左边红色圈标记 在页面右边列表中 显示每套策略组具体信息 包括该策略组启用的策略分类数 策 略项数目 以及该策略组应用到的保护站点列表 如图 5 2 所示 图图 5 2 策略组信息策略组信息 在点击显示详细后 可以对该套策略组进行相应设置 以下对此作详细说明 5 1 1安全策略设置安全策略设置 如图 5 3 显示界面 展示了安全策略设置的所有选项 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 29 页 共 73 页 0571 28860999 图图 5 3 安全策略设置安全策略设置 策略引擎 策略引擎 策略引擎包括三个选项 1 启用 在启用状态 一旦 WAF 检测到某个攻击访问 将采取阻断措施 2 仅检测 WAF 对 Web 流量进行安全检查 当发现非法流量时 仅 采取告警措施 而不做任何阻断 3 禁用 WAF 将不关心经过的 Web 流量 不管是否 具有非法访问 策略规则的禁用和删除 WEB 保护站点的区别 只要配置并使能了 WEB 保护站点 所 有访问该站点的 WEB 流量 均由明御 WAF 进行透明代理访问 而其他流量 保护不保护 的 WEB 站点的流量 将通过网桥直通的方式流经 WAF 而不被检测 请求包正文内容检测 请求包正文内容检测 启用 WAF 安全策略规则将对 Web 流量的请求包进行正文内容的安全检测 禁用 WAF 安全策略规则将不对 Web 流量的请求包进行正文内容的安全检测 响应包正文内容检测 响应包正文内容检测 启用 WAF 安全策略规则将对 Web 流量的响应包进行正文内容的安全检测 禁用 WAF 安全策略规则将不对 Web 流量的响应包进行正文内容的安全检测 注意 以上两个选项指的是包的正文内容 在 Web 流量中 包含包头部和正文内容 这里 所说的正文内容通常指的是包的数据段部分 响应包数据段长度限制 字节 响应包数据段长度限制 字节 此处是为了限制请求客户端向 web 服务器请求较大长度的数据包 某些黑客可能通过 请求超过正常数据段长度的数据包 而获得一些额外的敏感信息 响应包数据段长度限制 字节 响应包数据段长度限制 字节 此处是为了限制客户端向 web 服务器发送较大长度的数据包 而导致 web 服务器无法 处理 甚至导致缓冲区溢出等严重后果 请求和响应正文长度的默认值设置为 100KB 客户可以根据自己保护站点的需求情况 对该数据做相应的调整 已到达安全可靠的效果 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 30 页 共 73 页 0571 28860999 5 1 2定制策略规则定制策略规则 在策略组的详细信息中列出了策略的所有分类 勾选表示启用这一分类 点击分类名 称可以对其进行更为详细的设置 不勾选表示不启用这一分类规则 属于这一分类的所有 规则都不起作用 图图 5 4 策略组设置策略组设置 WAF 系统提供的所有策略规则都是可定制的 用户可以通过策略界面 浏览所有的安 全策略及相关信息 在点击策略分类名称后 可以对每一条策略进行定制修改 如图 5 5 所示 策略只有在左上角的勾选框被选中时启用 在图 5 5 显示界面中 可以设置该条规 则的具体动作 主要包括 阻断 检测和放行 图图 5 5 策略规则定制修改策略规则定制修改 阻断阻断 当 web 流量符合该条策略规则时 且 安全引擎 设置为 启用 状态时 web 流 量将被阻断 并向客户端提示访问被禁止的信息 检测检测 该策略规则对检测到的非法流量 仅告警通知 而不做阻断操作 放行放行 当 web 流量匹配到该条规则时 对其访问直接放行 不做阻断操作 对每条规则 可以配置其是否启用告警 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 31 页 共 73 页 0571 28860999 5 2 自定义策略项自定义策略项 管理员可根据被保护 WEB 站点的具体情况 通过正则表达式匹配的方式创建自定义 策略项来检测和防护 WEB 站点 新增自定义策略项可点击自定义策略项自定义策略项右侧的新增新增 界 面如下图所示 图图 5 6 新增自定义策略项新增自定义策略项 以下为配置项的说明 1 插入位置 可选择在系统默认策略或任意一条自定义策略项之前之前或之后之后插入 系 统默认策略即该新增自定义策略项要应用到的策略组 选择插入位置在之前之前或之后之后决定了 不同的策略规则的处理的先后次序 2 选择类型 自定义策略项可对多种类型进行处理 如下图所示 图图 5 7 自定义策略项选择类型自定义策略项选择类型 3 匹配正则 根据防护需要 填写正则表达式 匹配所要防护的信息 可点击匹配 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 32 页 共 73 页 0571 28860999 正则右侧的测试测试对正则表达式进行测试 测试界面如下图 图图 5 8 测试自定义规则窗口测试自定义规则窗口 4 告警信息 输入自定义策略项的名称 该名称在日志里显示的就是事件名称 新增后的自定义策略显示如下图 图图 5 9 自定义策略项页面自定义策略项页面 在图 5 9 中 可点击编辑编辑 删除删除对自定义策略项进行编辑或删除 可点击上移上移 下移下移对自 定义策略项进行上移或下移 可点击之前之前 之后之后在该策略项的之前或之后新增策略项 另外 点击导入导入 导出导出对所有自定义策略项进行导入和导出 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 33 页 共 73 页 0571 28860999 第第 6 章章 系统系统 6 1 用户管理用户管理 用户管理界面 主要提供客户进行 WAF 用户管理 其中包括创建 删除和修改用户 的权限 用户组严格遵循三权分立的规定 主要分为超级管理员 管理员和审计员 超级 管理员具备系统管理的最大权限 WAF 系统只有一个超级管理员 超级管理员可以创建 删除和修改普通管理员和审计员 普通管理员除不能创建用户和查看用户的操作日志 不 能操作系统管理和系统升级功能外 其他功能与超级管理员一致 审计员只具备系统日志 相关状态的查看功能 不能对系统进行相关配置和更改 用户管理界面如下图所示 图图 6 1 新增用户界面新增用户界面 新增用户 新增用户 可以通过图 6 1 中的 新增 选项进行用户的添加 点击左侧 用户 链接 可以看 到新增后所有用户列表 除超级管理员以外 如下图所示 图图 6 2 用户列表界面用户列表界面 查看用户操作日志 查看用户操作日志 在上图中 超级管理员可以通过点击用户列表的 点击查看 链接 查看所有用户的 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 34 页 共 73 页 0571 28860999 操作日志等相关信息 编辑用户 编辑用户 对于已存在的用户 超级管理员可以点击图 6 2 操作 中的修改小图标 修改其角色 用户姓名 邮件地址 密码等信息 同时超级管理员也可以通过界面右上角 我的帐我的帐 户户 进行自身相关信息的修改 删除用户 删除用户 对于已存在的用户 超级管理员可以点击图 6 2 操作 中的删除小图标 对用户进 行删除 6 2 系统维护系统维护 在系统页面 除了包括之前说明的增减站点功能外 还可以进行系统维护管理 对 WAF 系统进行相关维护操作 如恢复出厂设置 清理业务数据 应用更改 重启关机 链 路物理模式切换等 如图 6 3 所示 在页面中对每一个操作都有对各操作的详细说明 在 使用前应仔细阅读 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 35 页 共 73 页 0571 28860999 图图 6 3 系统维护系统维护 WEB 应用安全服务应用安全服务 当进行了保护对象等相关系统配置和策略相关操作以后 要使 所有操作生效 需要进行 应用更改 清空数据清空数据 清空数据维护项 可以清空系统数据库的日志信息 WEB 加速缓存信息以 及用户的操作日志信息 物理链路模式切换物理链路模式切换 WAF 处于对保护站点的检测和防护状态时 物理链路处于正常模 式 当系统出现故障或者管理员需要调整链路模式时 可以手动切换到物理直通模式 当 添加保护站点后无法正常访问被保护站点 进行故障排查时 可以手动切换到网桥直通模 式 重启 关机重启 关机 重启与关闭 WAF 系统 恢复出厂设置恢复出厂设置 将 WAF 配置恢复到出厂状态 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 36 页 共 73 页 0571 28860999 6 3 系统登录管理系统登录管理 系统登录管理主要是为了保障明御 WAF 系统自身的安全性和进行的相关限制 图 6 4 为系统登陆管理设置界面 通过系统登陆管理设置界面 可以设置 WAF 系统管 理超时退出时间 即 WAF 管理界面在无操作的情况下的退出登陆时间 登陆出错次数 防止非法用户尝试破解登录密码 管理方式 采用 HTTP 还是 HTTPS 管理的端口 以及是否启用对管理员的 IP 进行限制 如果启用限制管理员的登陆 IP 则 WAF 系统的管 理 仅允许设定的 IP 地址进行 WAF 系统管理 图图 6 4 登陆管理设置登陆管理设置 6 4 系统升级系统升级 明御 WAF 提供管理界面对系统软件与策略规则库进行升级操作 系统升级接口如下 图所示 图图 6 5 系统升级管理接口系统升级管理接口 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 37 页 共 73 页 0571 28860999 升级时先将安恒公司提供的升级包上传 然后点击升级 系统后台将完成升级操作 6 5 授权许可授权许可 明御 WAF 提供管理界面导入授权许可证书 以及展示证书许可信息 授权许可的功 能模块等内容 授权许可界面如下图所示 图图 6 6 授权许可管理授权许可管理 更新证书时先将安恒公司提供的授权许可证书上传 然后点击更新 系统后台将完成 更新操作 6 6 数据维护数据维护 数据维护提供对系统告警日志以数据库形式的备份 导入与导出 其功能界面如下图 所示 图图 6 7 数据维护界面数据维护界面 在点击备份项的新增按钮后 可以设定告警备份的相关配置 数据备份在结束时间到 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 38 页 共 73 页 0571 28860999 达时开始 具体的设置页面如图 6 8 所示 图图 6 8 新建备份新建备份 在备份完成时 可以在备份显示页面看到 下载文件 链接 如图 6 9 所示 图图 6 9 下载备份下载备份 在系统备份页面 可以下载 删除系统自动生成的攻击日志备份文件 如图 6 10 所示 图图 6 10 系统备份系统备份 下载的备份文件可以通过备份数据导入功能添加到数据库中 如图 6 11 所示 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 39 页 共 73 页 0571 28860999 图图 6 11 备份数据导入备份数据导入 注意进行相关操作之后 需要进行 应用更改 方能生效 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 40 页 共 73 页 0571 28860999 第第 7 章章 日志日志 明御 WAF 的日志管理界面 包含了系统的攻击告警日志 防篡改日志以及管理员的 操作日志信息 进入日志页面 首先呈现的是保护站点的攻击日志 7 1 攻击日志攻击日志 日志页面默认呈现的是攻击日志 默认情况下告警页面会显示最近的 1000 条日志信息 每页显示 15 条 告警页面下方会显示告警信息总数 如图 7 1 所示 图图 7 1 攻击日志显示攻击日志显示 7 1 1 告警显示设置告警显示设置 通过点击设置告警显示链接 图 7 1 攻击日志标题栏红色圈标记 可以设置默认显示的告 警条数或者显示全部告警信息 默认为最近发生的 1000 条 如图 7 2 所示 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 41 页 共 73 页 0571 28860999 图图 7 2 告警显示设置告警显示设置 7 1 2 告警归并告警归并 在告警显示中 会将在一分钟内 同一客户端对一服务端进行相同类型攻击的告警进 行归并 当一项告警进行了归并时 表格左侧会有一个 号 通过点击可以展开被归 并的告警 如果被归并告警过多 页面只显示部分告警 通过 点击查看全部告警信息 可以查看属于该告警归并项的所有告警 另外在点击归并的告警项时 左侧会显示一些综合信息 如图 7 3 所示 图图 7 3 告警归并告警归并 在点击告警列表中的一项之后 可以在左侧显示该项的详细告警信息 管理员可以通 过查看详细的告警信息来追踪攻击者 如图 7 4 所示 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 42 页 共 73 页 0571 28860999 图图 7 4 详细攻击信息详细攻击信息 7 1 3 自定义告警查询自定义告警查询 可以通过自定义查询自定义查询对特定的告警信息进行搜索和筛选 点击告警列表左上角的 自 定义查询 链接 如图 7 1 红色圈标记所示 进入自定义查询 在自定义查询中可以通过威胁等级 客户端 IP 地址 客户端端口 服务器 IP 服务器 端口 服务器主机名 标签 时间段等进行指定 查询特定类型的告警信息 来进行具体 分类和分析 如图 7 5 所示 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 43 页 共 73 页 0571 28860999 图图 7 5 自定义查询页面自定义查询页面 如果需要对特定查询进行保存 只需点击告警页面左栏的 新增 已保存查询链接 之后的设置与自定义查询相似 如图 7 6 所示 已保存的查询在页面的左侧栏显示 通过 名称右侧的按钮可以编辑或修改相应的查询 图图 7 6 查询保存查询保存 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 44 页 共 73 页 0571 28860999 7 1 4 告警日志导出告警日志导出 通过攻击日志页面和自定义查询页面右上角的导出导出excel 和导出导出csv 按钮 可以将告警 日志以 excel 或 csv 文件格式的方式导出 如图 7 7 所示 将导出的 excel 文件 保存到本地 可以离线的方式 对告警日志进行 更细致深入的分析 特别说明 由于特别说明 由于 excel 表单所支持的最大长度为表单所支持的最大长度为 65535 行 因此 当导出的结果超行 因此 当导出的结果超 过过 65535 时 将以多文件分批次导出 时 将以多文件分批次导出 csv 文件则没有这个限制 文件则没有这个限制 通过自定义查询结果页面的导出到报表导出到报表按钮 可以跳转到自定义报表页面并将告警日 志生成报表或保存报表 生成报表 保存报表功能请参考章节 8 1 1 图图 7