Imperva常见问题处理手册V5.doc

Version:1文档名称: IMPERVA产品的常见问题处理手册 IMPERVA产品的常见问题处理手册Version 1Sinogrid Information Technology Ltd.2020-03-23修改记录时间版本编写/修改人员审核人员备注2010-05-19V1.0Levin Chen创建该文档2010-06-06V1.0Levin Chen增加1.9、1.10、1.11、3.122010-06-07V1.0Ruiqiang Lu增加3.8，以前3.8节到3.12节往后顺延，另增加3.14、3.152010-09-18V1.0Ruiqiang Lu增加3.16，2.1，2.2，2.3，2.42010-09-21V1.0Ruiqiang Lu增加2.52010-11-29V1.0Ruiqiang Lu增加3.172011-01-14V1.0Ruiqiang Lu增加1.12、1.13、1.14。、1.15目 录第1章DSG设置相关问题处理说明11.1.如何对数据库中的敏感表设置操作限制，当有用户对敏感表进行限制操作时，立即产生告警？11.2.如何对数据库中的敏感表设置用户访问限制，当没有权限的用户对敏感表进行操作时，立即产生告警？21.3.如何对数据库表的字段设置用户访问限制，当没有权限的用户对该表的字段进行操作时，立即产生告警？41.4.如何对数据库敏感表中的敏感数据设置访问限制，当用户对敏感数据进行操作时，立即产生告警，且敏感数据在告警中以星号显示？61.5.如何设置数据库Profile中的Black list table groups，当用户访问特别禁止其访问的表（黑列表）时，立即产生告警？101.6.如何清除当前的审计数据？131.7.如何设置没有具体数据库访问内容的违规告警，当用户访问执行“Select *”时，立即产生告警？141.8.如何设置数据库存储过程访问权限的违规告警，当为授权用户访问存储过程时，立即产生告警？171.9.出现日志The log is “file number limit reached, data is lost” and “Gateway lost audit data due to extreme collection rate ”，没有审计数据，重新启动后也不行如何处理？201.10.默认情况下，设备阻断请求的方式是使用发送reset数据包，这样在一些情况下可能会发现攻击还是可以通过设备后如何处理？211.11.如何配置UUT，实现数据库审计的前端WEB应用用户跟踪？21第2章WAF设置相关问题处理说明272.1.如何disable威胁雷达功能？272.2.如何配置使SecureSphere只学习有参数的url成为profile？272.3.如何监控WEB页面的返回内容？282.4.如何定制错误页面？292.5.如何为特定策略添加例外？31第3章设备运维处理说明333.1.如何查看设备序列号？333.2.如何查看设备平台号？333.3.如何快速查看设备管理口配置？333.4.如何快速查看Sniffing模式下设备监听接口配置？333.5.如何查看设备软件版本号和Patch号？343.6.如何查看设备gateway情况？343.7.如何在命令行中实时查看设备流量情况？343.8.如何在命令行中实时查看设备CPU的负载情况（CPU使用率）？353.9.如何更新设备的测试license文件？353.10.如何重置设备admin用户的密码？373.11.如何重置设备root用户的密码？383.12.如何更改设备管理口地址？403.13.如何更新设备的ADC特征库？473.14.如何查看最新patch及更新设备patch？483.15.License上传不成功的处理方法之一？493.16.如何重新启用SecureSphere的初始化向导？49Version:1文档名称: IMPERVA产品的常见问题处理手册 第1章 DSG设置相关问题处理说明1.1. 如何对数据库中的敏感表设置操作限制，当有用户对敏感表进行限制操作时，立即产生告警？进入MainPoliciesSecurity Create NewDB Service，在From Scratch Type中选择DB Service Custom，然后填写好策略名称，新建一条告警策略：在Destination Tables中选择敏感表，在Operations选择敏感操作：测试对该敏感表的限制操作，并在MonitorAlerts中查看实时告警：警告：在设置好告警策略后一定要应用到相应的数据库Server Group中的service，否则告警无效。注：以上配置也可以在Profile中实现1.2. 如何对数据库中的敏感表设置用户访问限制，当没有权限的用户对敏感表进行操作时，立即产生告警？进入MainPoliciesSecurity Create NewDB Service，在From Scratch Type中选择DB Service Custom，然后填写好策略名称，新建一条告警策略：在Database User Names中选择有权限的用户名，在Database and Schema选择数据库方案，在Destination Tables中选择敏感表：测试用没有敏感表权限的用户操作，并在MonitorAlerts中查看实时告警：1.3. 如何对数据库表的字段设置用户访问限制，当没有权限的用户对该表的字段进行操作时，立即产生告警？进入MainPoliciesSecurity Create NewDB Service，在From Scratch Type中选择DB Service Custom，然后填写好策略名称，新建一条告警策略：在Database User Names中选择有权限的用户名，在Database and Schema选择数据库方案，在Columns中填写表的敏感字段：测试用没有该表权限的用户操做敏感字段，并在MonitorAlerts中查看实时告警：1.4. 如何对数据库敏感表中的敏感数据设置访问限制，当用户对敏感数据进行操作时，立即产生告警，且敏感数据在告警中以星号显示？进入MainSetup Global Objects Database Table Groups中创建自定义敏感表组，填写好名称，选择好数据分类（分类可以自定义，只是标识）在新建Table Groups中将表名在右边添加进去进入MainSitesServer GroupDB Service Default Oracle Application中，在Table Groups中将刚才新建的Users Table Groups添加进去进入MainPoliciesSecurityCreate NewDB Service，在From Scratch Type中选择DB Service Custom，然后填写好策略名称，新建一条告警策略：在Sensitive Data Access中选择Sensitive，在Sensitive Dictionary Search选择敏感数据字典，在Table Groups中选择敏感表：进入MainSitesServer GroupOperation中，设置敏感数据在Imperva设备中以*显示，防止敏感数据的泄露：测试敏感数据操作，并在MonitorAlerts中查看实时告警：注：以下配置为敏感数据在审计中的审计实现，同样保证敏感数据的安全进入MainPoliciesAuditCreate New Policy，然后填写好策略名称，新建一条审计策略：在Sensitive Data Access中选择Sensitive，在Sensitive Dictionary Search选择敏感数据字典，在Table Groups中选择敏感表：测试敏感数据操作，并在AuditData中查看实时告警：1.5. 如何设置数据库Profile中的Black list table groups，当用户访问特别禁止其访问的表（黑列表）时，立即产生告警？进入MainSetup Global Objects Database Table Groups中创建自定义敏感表组，填写好名称，选择好数据分类（分类可以自定义，只是标识）在新建Table Groups中将表名在右边添加进去进入MainSitesServer GroupDB Service Default Oracle Application中，在Table Groups中将刚才新建的Users Table Groups添加进去进入MainProfileServer GroupDB Service Default Oracle Application中，在Restrictions中将刚才新建的Users Table Groups添加到Black list table groups测试访问该表，并在MonitorAlerts中查看实时告警：1.6. 如何清除当前的审计数据？因为审计数据是跟策略有关联，所以删除审计数据指的是删除审计策略的审计数据，进入MainPoliciesAudit，选择需要清除审计数据的策略，然后点击右上角的Actions选择下拉菜单Purge Now：在右边的Archiving标签中勾选Purge records older than 1 Days，表示清除一天前的审计数据，即，例如今天是23日就是删除22日前的所有数据。然后等待过程完成，在回到审计数据查看页面Update数据，就可以看到数据已经清除。注：如果无法清除数据，可以重试一两次，再无法清除请查看设备补丁情况，如：在7.0系统中，Patch13和Patch 2都有对无法清除数据的Bug修复。1.7. 如何设置没有具体数据库访问内容的违规告警，当用户访问执行“Select *”时，立即产生告警？进入MainSetup Signatures中创建自定义签名库，填写好名称，选择分类在新建的签名库中添加签名，注意正则表达式为：part=”select”,rgxp=”selects+*(?!.*where).*$)”上述签名是用于匹配不带条件的Select *操作，下面的签名是匹配带条件的Select *，如下：part=”select”,rgxp=”selects+*s.*where” 进入MainPoliciesSecurityCreate NewDB Service，在From Scratch Type中选择Oracle Signatures，然后填写好策略名称，新建一条审计策略，将刚才的签名库关联该策略：分别测试两种签名，不带条件的Select *如下：像上述测试，带条件的操作应该会被排除出去，告警结果如下：带条件的Select *如下：告警结果如下：1.8. 如何设置数据库存储过程访问权限的违规告警，当为授权用户访问存储过程时，立即产生告警？进入MainPoliciesSecurityCreate NewDB Service，在From Scratch Type中选择DB Service Custom，然后填写好策略名称，新建一条告警策略：在Stored Procedure中选择相应的存储过程名，在Database User Names选择有权限的用户名：测试创建储存过程skeleton：测试操作存储过程，并在AuditData中查看实时告警：1.9. 出现日志The log is “file number limit reached, data is lost” and “Gateway lost audit data due to extreme collection rate ”，没有审计数据，重新启动后也不行如何处理？修改GW的配置文件/opt/SecureSphere/etc/bootstrap.xml 中的参数max-saved-files=2190 把默认的值2190修改为10000，然后重新启动设备就能解决问题。此问题的产生是由于用户频繁的查看审计数据，频繁使用Last hour，Last day等选项，这些操作会自动产生很多临时的文件，导致系统的文件数超过了2190。而这些文件不能手工进行删除，系统会在purge数据的时候自动清除临时文件。1.10. 默认情况下，设备阻断请求的方式是使用发送reset数据包，这样在一些情况下可能会发现攻击还是可以通过设备后如何处理？修改设备的配置参数，使得设备能够直接丢弃攻击数据，修改GW上的配置文件/opt/SecureSphere/etc/hades.cfg，在7.5版本中此文件是链接到/opt/SecureSphere/etc/hades_ob.cfg，修改此文件中的tcp_drop_after_block参数，此参数的默认值为0，修改为1即可。1.11. 如何配置UUT，实现数据库审计的前端WEB应用用户跟踪？首先，合理创建你的web服务器组和数据库服务器组，这样可以使设备正确的学习到你的Web架构，即Profile。进入ProfileOverviewxx Server Groupxx ServiceDefault Web Application，点击右上角Display按钮，选择Web Application User Tracking，配置用户跟踪页面，例如login.asp，一般情况下该URL会自己学习到，如果没有则需要手工增加；然后设置用户名字段以及登录尝试规则，可以参考截图设置，尝试登录失败，查看设备警告看是否正确学习到User：在MainSitexx DB Server Groupxx DB ServiceApplication User Tracking中选择Service name，即Web服务器组的service，并且选择Enable启用，选择完service name后，点击+可以选择IP Group和数据库用户名，至此UUT的配置以及完毕，这时候到数据库审计数据查看中添加Application User和Web source IP等字段。注意：如果环境中没有流量，需要尝试登录操作数次然后在查看是否有学习到审计数据，测试中可以通过更改/opt/SecureSphere/etc/ hades.cfg使设备可以快速学习到流量，此方法适用于测试环境webdb_grace_period_time: 60 1webdb_min_system_time: 5400 1webdb_min_query_time: 5400 1webdb_min_url_time: 5400 1webdb_sensitivity_factor: 6 1更改完可以通过查看cat /proc/hades/sg_XXXServer_Group/nzcounters | grep webdb查看测试结果。警告：以上参数修改需要重启设备才可以生效！（以上方法适用于7.0以下版本）1.12. DB2Agent (Shared Memory)是否可以本地阻断？系统可以成功设置阻断，无需重启或者其他设置。在AgentSetting中设置BlockInline后，save后立即生效。触发阻断动作后，Agent会直接把该用户的数据库连接阻断。也就是把数据库连接踢下去了，需要重新connect DB才可以重新做数据库操作。1.13. DB2数据库审计中，使用sniffering模式下，上线时不能看到数据的分析在使用Imperva sniffering模式，直接镜像数据后看不到审计数据，此时需要数据库连接断开，并重新连接一下， 最简单方法是把DB2的实例重新启动一下，即可。此情况下，如果是oracle或MS SQL server，Imperva可以看到SQL语句，但不能看到用户名，用户名处会显示Connected User，Imperva可以识别这两种数据库协议中的部分数据，但对于DB2需要Imperva从连接初就要进行监控，否则Imperva不能识别数据库协议中的数据字段，所以在DB2中如果不是重新建立的连接，则不能审计到。1.14. Init 0关机的注意事项Init0只是关机的不同方式，init0可以实现命令结束后，设备就直接掉电了（没有按设备上硬件的on off开关），shutdown命令，可以关闭所有进程和系统，但是设备还是没有掉电，需要手工按一下on off开关，掉电。所以如果init 0命令执行后，设备掉电了，但是on off开关还处于on的状态，如果你的电源线没有拔掉重插上，那么按on off开关就没有反应。必须把电源线全部重新拔插一遍，然后on off按钮才复位。1.15. IMPHA配置及切换在GW上使用impcfg命令进行模式的设定，将模式设定为IMPHA，然后再进入Interface的配置，将指定的Bridge变为HA on的模式。GUI上无需配置什么，登陆GUI界面后会看到GW的状态为IMPHA的模式，fail open、fail close的部分不可以选，是灰掉的，显示为IMPHA状态。IMPHA其实还是一个类似STP的机制，系统插拔网线或者关闭电源切换，会丢失大概6-7个ping包。故障GW重新恢复回来后，会重新切换，又会丢6-7个ping包。第2章 WAF设置相关问题处理说明2.1. 如何disable威胁雷达功能？威胁雷达功能需要单独购买license，如果没有license的时候，会经常进行报警，可以通过disable威胁雷达功能来实现清除关于威胁雷达的报警信息，步骤如下：通过AdminSystem DefinitionThreatRadar SettingsGeneral Settings中，取消ThreatRadar is Enabled的复选框即可disable威胁雷达功能，反之亦然。2.2. 如何配置使SecureSphere只学习有参数的url成为profile？对于没有参数的url学习成为Profile，会使得profile的数量很大，降低SecureSphere的性能。为了保证系统的性能可以只学习有参数的url为profile，配置如下：1 使用root通过SSH登录系统。2 编辑/opt/SecureSphere/etc/bootstrap.xml增加下列加黑内容：增加的位置在“gateway” 和“hsms”之间。如下：3 重新启动gateway，使用命令：impctl gateway restart注意：此配置只针对GET，HEAD2.3. 如何监控WEB页面的返回内容？对于某些WEB页面，需要监控其返回的内容，在SecureSphere中需要配置特定策略，策略中配置返回页面，配置如下：MainPoliciesSecurityAdvancedDisplay response page in alerts，选择此复选框即可完成针对此策略的监控返回内容的配置。返回页面的内容会在：MainMonitorViolationsResponse中显示，如下图：2.4. 如何定制错误页面？对于各种攻击SecureSphere配置错误页面，错误页面分为另种：默认错误页面和自定义错误页面。默认错误页面配置如下：MainSetupOperationDefault Error Page，选中Use Default Error Page复选框，同时选择redirect或page即可。自定义错误页面配置如下：1.创建错误页面：MainSetupGlobal ObjectsWeb Error Page GroupsWeb Error Pages，选择新建一个页面，新页面可以选择重定向或自定义页面，如下图：2.创建错误页面策略：MainSetupGlobal ObjectsWeb Error Page GroupsWeb Error Page Policies，选择新建一个错误页面策略，此策略可以根据IP、HTTP版本、语言、文件类型、Host、Cookie等信息的不同指向不同的自定义新页面，如下图：3.在Service中配置错误页面策略：MainSetupOperation，取消Use Default Error Page复选框，同时在Web Error Page Policies中创建并选择相应的错误页面策略，即可完成，如下图：2.5. 如何为特定策略添加例外？例外是为特定应用而设置，可以保证某些触发了特征值，但属于正常业务的应用正常的运行。添加例外可以通过两种方式进行：1通过告警信息来设置：MainMonitorAlerts Add as ExceptionOK，即可完成。添加例外的结果如下（添加的例外是针对这个特定的特征以及URL）：2直接在策略中添加例外：MainPoliciesSecurityAdvanced，再设置例外条件即可完成，见下图：第3章 设备运维处理说明3.1. 如何查看设备序列号？rootlocalhost tmp# impctl platform dmi show |grep Serial Number: Serial Number: 0913131100093 这是设备序列号 Serial Number: QSCL85000095 Serial Number: Not Specified Serial Number: Not Specified Serial Number: Not Specified Serial Number: 00000000 Serial Number: 00000000 Serial Number: MemUndefined Serial Number: 00000000 Serial Number: 00000000 Serial Number: MemUndefined3.2. 如何查看设备平台号？rootlocalhost tmp# impctl platform show asset-tag G4CLS4hard-asset-tag G4CLS4vendor Impervamodel G4CLS4version 442注：可以同时看到设备平台号G4和设备软件版本号为6.2.64423.3. 如何快速查看设备管理口配置？rootlocalhost tmp# impctl platform network interface showmanagement device=eth0,address=18,mask=,broadcast=55,proto=staticrootlocalhost # impctl platform network route showplatform:default gateway=543.4. 如何快速查看Sniffing模式下设备监听接口配置？rootlocalhost sniffing# impctl gateway sniffing showsniffing device=eth2sniffing device=eth3sniffing device=eth4sniffing device=eth5blocking device=eth1注：如果设备无法抓取到数据时，请确认你的监听接口配置3.5. 如何查看设备软件版本号和Patch号？rootsinogrid_imperva # impctl -version564rootsinogrid_imperva # cat /opt/SecureSphere/etc/patch_level Fri Apr 16 15:25:01 CST 20564-0注：上述结果显示设备的软件版本号为564，Patch号为0（即，安装Patch 0补丁。）3.6. 如何查看设备gateway情况？rootsinogrid_imperva # impctl gateway showname sinogrid_imperva 设备名称mode bridge-stp 设备部署模式var-dir data-encryption local-dir server-address server-port 8080listener-address listener-port 80listener-sslEnabled external-listener-address 16 设备管理口地址external-listener-port 443external-listener-ssl br0 devices=eth2 eth3,high-availability=false,stp=truebr1 devices=eth4 eth5,high-availability=false,stp=true3.7. 如何在命令行中实时查看设备流量情况？rootsinogrid_imperva # watch -d -n 1 cat /proc/hades/status 每秒刷新数据Every 1.0s: cat /proc/hades/status Tue May 25 16:03:09 2010Global: 20 Kbps 0 Kbps applicative 应用吞吐量 0 connection/sec 设备TCP连接数 0 overload connection/sec 超出设备处理能力的连接数，也就是bypass的连接 0 HTTP hits/sec HTTP点击数（Pageview） 0 SQL hits/sec 数据库SQL事务数3.8. 如何在命令行中实时查看设备CPU的负载情况（CPU使用率）？rootsinogrid_imperva # watch -d -n 1 cat /proc/hades/cpuload 每秒刷新数据Every 1.0s: cat /proc/hades/cpuload Mon Jun 7 15:10:51 2010average load: 0 CPU的平均负载情况cpu0 load: 0 CPU0的负载情况cpu1 load: 0 CPU1的负载情况3.9. 如何更新设备的测试license文件？由于Imperva设备demo license时限问题，在测试期未结束需要及时更新license避免影响正常使用，以下介绍更新Imperva的license配置步骤：点击Admin工作区，点击Licensing。点击界面右上角Actions下拉菜单中的Upload License File。在license上传对话框中点击浏览选择相应的license文件，点击Upload完成license的更新，无需重启服务或者设备等操作。校验更新后的license信息。3.10. 如何重置设备admin用户的密码？由于种种原因遗忘了Imperva的GUI（admin）登录密码重置如下：以root通过ssh登录imperva设备。执行su oracle命令。执行sqlplus system/登录imperva oracle数据库，例如：sqlplus system/webco123在SQL提示符后输入如下命令将密码重置admin12，由于数据库密码以md5存储，如果需要其他密码可以查询一些md5数值产生网站，当然重置完密码后可以登录界面进行更改。UPDATE SECURE_OLD.CONF_SECURE_MEMBERS SET password = 1844156d4166d94387f1a4ad031ca5fa WHERE dn = admin;commit;输入exit命令两次，分别退出SQL*Plus和oracle帐号，退回到root shell帐号，重启imperva server才可以是帐号更给生效。3.11. 如何重置设备root用户的密码？当设备被遗忘了root密码时，采用单用户模式修改root密码。用console线连接设备，启动电源，当出现GRUB菜单的时候，按两次e键进行编辑，在quiet后面加空格和single，然后Enter回GRUB界面，按b键继续启动即可进入单用户模式SH-2.05b#。SH-2.05b# passwd rootChanging password for user root.New password: 输入新密码Retype new password: 再次输入新密码SH-2.05b# reboot3.12. 如何更改设备管理口地址？由于设备环境的变更需要更改设备的管理口地址，设置步骤如下：启动设备，通过console连接设备，console的配置参数如下图，其中com口根据自己的电脑配置自己选择。登录imperva设备，默认的用户名/密码为：root/webco123进入imperva交互式Impcfg Shell配置界面，在命令行下输入su secure：进入imperva配置界面，这里可以对设备的server、gateway、platform进行选择，这里选择3，进入管理平台：进入管理平台，可以设置网络配置、系统时间以及root密码，选择1，进入网络配置进入网络配置，可以管理接口、LAN、网关、路由等，这里选择1，进入接口管理：进入接口管理，可以设置管理接口、IP地址、掩码等，这里选择2，设置IP地址：这里就可以输入IP地址如果需要修改掩码，再输入3即可修改。修改完毕之后，输入t返回顶级目录：到目前为止，已经修改了配置，但没有保存也没有应用，需要先输入S，进行配置保存；再输入A，进行应用，应用过程中需要输入C，进行确认。注：这里输入都是大写字母验证网络连通性。等配置应用完成之后，从imperva设备ping网关，或网络中的其他机器，如果能通，则配置完成。警告：imperva设备禁ping，所以不能从其他机器ping imperva的地址。3.13. 如何更新设备的ADC特征库？进入AdminADC，有两种方式可以更新ADC：手动或者自动。手动方式：点击Download连接到Imperva官方网站下载ADC库文件content.mprv到本地计算机 ，然后点击浏览上选择刚才下载到ADC库文件，点击Upload上传到设备实现ADC库的手动更新。自动方式：在Automatic ADC Update选择Recurring，根据需要设置自动更新的时间，设备变化在该时间自动下载并更新ADC。查看自动更新ADC是否更新成功，可以进入AdminJobs StatusADC Content Update查看。注意：设置自动更新ADC需要为设备配置网关和DNS，并确保你的防火墙已经对设备开放访问Internet的权限。警告：如果无法更新ADC，请检查设备patch的Release Note，安装Patch然后才能更新ADC！3.14. 如何查看最新patch及更新设备patch？查看最新patch首先可以通过imperva的网站上的customer portal中查看最新的patch，或者可以通过imperva提供的ftp网站（）上查看最新patch版本，通过ftp下载最新的patch。上传patch把patch上传到imperva设备，可以通过ssh进行上传，一般我们可以上传到/tmp目录中。安装patchPatch是一个使用压缩文件，可以使用tar命令解压缩此文件，命令格式为：tar -zxvf 7061_Patch15.tar.gz。在7.5