F5-ASM的快速配置手册-赵文明

BIG-IP Application Security Manager快速配置手册目录目录21 前言32 网络构架32.1串联部署32.2透明部署33 激活License33.1登录ASM设备43.2激活license43.3 Provisioning ASM module54 标准配置步骤74.1 配置httpclass74.1.1 从LTM的Profile作为配置入口74.1.2 从ASM的Classes作为配置入口94.2 将httpclass关联到VS上面104.3 配置ASM上面的Web Application125 快速策略配置126 策略维护196.1 Wildcard策略的添加206.2 学习到的Profile的添加246.2.1 修改和完善File Types、URLs、Parameters学习参数246.2.2 URLs的默认配置和修改246.2.2 URLs的默认配置和修改266.2.3 Parameters的默认配置和修改276.3 Attack Signatures的配置和更新296.3.1 Attack Signatures的配置方法296.3.2 更新Attack Signatures特征库306.4 Policy从Transparent向Blocking的变更操作316.5 完成之后需要更新Policy策略的方法327 测试效果验证337.1 修改header和cookies的长度来验证效果337.2查看ASM的reporting来验证效果348查看ASM信息378.1 显示ASM logs378.2 启动或者停止ASM379 ASM双机配置379.1 硬件心跳方式389.2 网络心跳方式3910配置文件备份4211总结421 前言配置F5 Application Security Manager（ASM）需要一定的LTM基础，并且要求：了解ASM的基本工作原理和流程，可以看懂基本的配置要素；了解HTTP等协议的规范；了解常见的Web安全漏洞和相关的攻击方式；了解被动安全和主动安全防御方式的区别；了解后台Web服务器的类型，是IIS、Apache 、Apache Tomcat或者其它了解后台App服务器的编程语言，是ASP、JSP、PHP、ASP.NET、Weblogic或者其它了解后台DB的类型，是MySQL、Oracle、Postgre SQL 、IBM DB2或者其它了解客户应用环境的负载情况；安装最新的操作系统和HF补丁，目前最新版本是10.2.0，并且推荐以卷管理的方式安装在硬盘分区而不是CF卡上。需要说明的是，ASM不同版本的个别菜单界面显示不同,本文以V10.2.0为例予以描述。2 网络构架2.1串联部署F5 ASM有standalone设备，也可以作为Module形式共存在3600及其3600以上V10硬件平台。一般采用串接方式部署，需要更改客户的网络架构;正式上线环境推荐使用串接部署方式。2.2透明部署F5 ASM也可以支持透明部署，但是由于ASM透明部署需要配置Vlangroup,所以不建议生产环境采用这种结构.详细的配置方法见ASKF5上的SOL9372: Configuring BIG-IP ASM in transparent bridge mode 。3 激活License激活ASM Module的同时也激活了PSM Module，但是PSM不能单独配置和使用,而是作为ASM的一部分使用和配置.并且不同版本的ASM显示界面和菜单位置略有区别，其硬件和系统软件的组合列表如下：对于新一代V10对应的硬件平台来说，V10.1.0之后的变化：1、ASM单独只能跑在4100（D46）、3600（C103）、3900（C106）、6900（D104）、8900（D106）平台；2、WA、ASM和LTM只能共存在3600（C103）、3900（C106）、6900（D104）、8900（D106）、8950（D107）、11050（E102）平台；补充：V10.0.0和V10.0.1版本，WA和ASM只能共存在6900（D104）和8900（D016）平台。 3、GTM、ASM、LTM可以共存在3600（C103）、3900（C106）、6900（D104）、8900（D106）、8950（D107）、11050（E102）平台；补充：V10.0.1版本，GTM和ASM只能共存在6900（D104）和8900（D016）平台。4、APM、ASM、LTM可以共存在3600（C103）、3900（C106）、6900（D104）、8900（D106）、8950（D107）、11050（E102）平台； 3.1登录ASM设备 登录ASM有WEB或者CLI两种方式，和登录LTM设备没有什么两样，本文略去具体参数设置和登录步骤。3.2激活license请按照激活license的标准步骤实施，本文略去具体步骤。License激活后,在SystemLicense的页面会看到如下ASM 的License被激活3.3 Provisioning ASM module请在SystemResource Provisioning页面中按照截图中的显示点击相应的选项：确认以下界面中包含了ASM模块,并且通过上图的方式被激活.4 标准配置步骤4.1 配置httpclass4.1.1 从LTM的Profile作为配置入口从LTM的Profile作为配置入口可以配置，不过我们推荐4.1.2的方式。点击Local TrafficVirtual Servers-ProfilesProtocol-HTTP Class，然后再点击“Creat”按钮：其中：Hosts配置： 如果后台pool 里面有多个应用,多个host名称或IP，那么建议填写具体的应用的host名称或IP；如果只有一个，可以选择ALL也可以具体填写；Actions配置：None表示不使用ASM而送到VS关联的default pool；Pool表示送到特定的、包含Web应用的资源池；一般我们选择此项。Redirection to 重定向到一个特定的站点。注意:对于Pool的配置注意一下两点:首先如果在Send To配置了Pool而VS没有配置default pool的话，如果访问正确匹配HTTP class，访问会经过ASM处理再送到Pool，如果不匹配会丢掉访问。但是如果VS配置了default pool而Send To没有配置，如果业务访问没有匹配该HTTP class，会直接访问default pool 而失去安全防护。 4.1.2 从ASM的Classes作为配置入口配置路径（推荐），点击Application Security-Classes,然后再点击“Create“按钮.这里和上节进入的是同一个HTTP Class的配置界面,配置方法相同.4.2 将httpclass关联到VS上面点击Local Traffic-Virtual Servers，然后点击目标VS Name：点击“Resources”按钮，将目标HTTP Class选中，并且“Finished”：至此HTTP Class和VS的关联配置完成4.3 配置ASM上面的Web Application创建完http class后，在ASM的配置界面中，会自动生成一个和http class名字一样的web application.5 快速策略配置配置要求：ASM系统OS成功安装，并且激活ASM的License.需要启用ASM的VS和Pool已经创建，需要SSL时可以启用.将VS和POOL关联起来后，测试对于业务网站的访问正常，但是注意启用ASM时要将VS和POOL的关联断开.针对业务启用ASM的HTTP Class创建成功.针对标准配置要求的参数配置请参考上面的标准配置部分。本节完成的配置任务：针对WEB应用初始化一个基准策略.确认WEB应用的HTTP通讯经过ASM处理.针对WEB应用对策略做必要的调整.建立应用安全防护的维护流程.注意：XML的部署是类似的，但是也有一些不同之处，我们在这里不作讨论。快速部署配置步骤如下:1.点击“Configure Security Policy”按钮对应的内容，进行下一步的设置,至此策略配置开始：2.此处推荐选择“Manual Deployment”方式,并点击NEXT .请按照下图的步骤操作：其中：Application Language配置:可以通过浏览器查看编码然后选择正确编码选项。如果不知道也可以选择Unicode（UTF-8）Application-ready Security Policy配置：选择Rapid Deployment Security Policy (http)，建立一个快速部署的缺省安全策略,并点击NEXT。3.点击“Next”按钮之后，如下所示需要根据后台WEB站点的配置情况，选择和后台应用相关的合适的Attack Signature到缺省的Policy中去。以减少误报的风险,General Database、Various System、Systems Independent是默认就有的缺省配置,其中包含了超过70%的有用的攻击特征.4.继续点击“Next”按钮,页面显示你选择的策略配置摘要,其中包括自动分配的攻击特征集5.继续点击“Finish”按钮，进入下一步.6.注意有时会显示如下配置界面,注意保持策略为Transparent模式不变,根据需要修改注释等,点击save保存配置7.配置完毕后,我们转到Blocking策略的页面:8.以上配置中,在Enforcement Mode中切换Transparent到Blocking.修改所有Violation,关闭所有的Block( 去掉CheckBox上的打勾).注意:这里关闭每个Violation的Blocking并非是为了出现误报时不会阻挡数据通讯.而是ASM存在一个机制即在策略的全局级别和针对每个Violation的级别上可以分别提供控制.这样通过全局级别也就是在Policy上打开Blocking模式,但是在Violation上关闭所有的Blocking设置,我们可以为部署ASM提供更好的吞吐性能,尤其在高负载的应用环境下部署ASM.技巧:如果部署ASM的网站负载比较高,可以考虑关闭Data Guard 通过如下图示中Checkbox.9.接下来检查FileTypes,URLs和Parameters的相应配置策略,注意打开针对FileTypes和Parameters的wildcard策略的Tightening. ,URLs的Tightening根据实际情况决定是否需要Tightening. 注意:1. 前面的配置步骤会针对FileTypes,URLs和Parameters缺省自动生成相应的Wildcard的3个策略条目.2. 针对wildcard的策略只允许打开Tightening,不要打开Staging,更不需要二者同时打开.我们建立了Policy。目前处于Blocking模式，接下来需要按照前面的章节把策略所属的HTTP Class关联到VS上去,注意一定要观察几个小时,以确认ASM工作正常。10.确认业务的可用性:需要确认业务是可用的和ASM也在正常处理HTTP访问.,因为我们配置了策略和日志记录描述,也许你会在Reporting部分看不到任何日志产生.如果你没有看到日志,你还可以通过使用HTTPWatch之类的工具来查看ASM cookie(TSxxxxx)被设置来确认ASM工作正常.11.调整ASM策略:这一阶段的目的是经可能快的处理触发次数最多的误报.这样会减少记录日志和ASM分析所消耗的处理资源,提高处理性能.其中攻击特征会成为误报的主要原因,他们会出现在manual policy building page的Attack Signature Staging部分下面.如下图:注意:其它非法告警可能也会出现,如果出现应该一起处理.12.选择性的启用刚才关闭的违规的Blocking(大约10个,不同版本设置可能不同),专门针对illegal filetype,illegal parameter和illegal URL的违规打开Learn，Alarm和Block的开关。去掉FileTypes和Parameters 的Wildcards策略. URLs的Wildcards可以保留.使用如下指导原则来帮助你修改策略,确定哪些违规告警是合法的可以允许继续访问,哪些是真正恶意访问需要禁止.1. 针对违规访问尽可能快的在设置了学习和告警的的违规启用Blocking.2. 除非可以确定是业务受到攻击,否则是正常的业务访问触发了攻击特征或者非法特征,所以产生了误报.3. 如果触发违规的业务请求看上去是正常访问(不包括类似, CMD.EXE, SELECT FROM USERS, DROP TABLE 这样的字符串),那么可能是正常的业务访问.应该关闭触发的特征,以便于用户可能正常访问业务.对于是否应该关闭某一攻击特征匹配考虑如下:安全状况并不取决于某一个安全定义-有不同的方式组合来提供安全检测和安全防护.关闭某一安全特征的匹配对于整体安全状况不会造成大的影响.改变了安全状态:并没有说明是否业务由于关闭某一特征而变得受到此攻击-如果业务不是易于受到这一攻击的,说明这一攻击特征和你的业务关联性不大可能ASM侦测到符合2到100个攻击特征的访问并且正在造成特征匹配,甚至在100个特征正在触发的时候,和超过90%的攻击特征启用相比,ASM会有更好的性能.在部署完成后,审计会显示出是否有的地方需要再做安全工作.如果违规并没有触发任何告警或者建议,足够的业务访问通过ASM(确认所有的业务站点功能得到了遍历,ASM学习到了所有业务访问特征).那么就可以启用违规的Blocking设置. 基于协议的违规会第一个设置成Blocking,因为如果出现协议相关的问题就会立即触发. 在其它的设置成告警和Block的违规上继续处理,因为有相关的信息来帮助决策,帮助决定设置成Blocking,transparent还是完全关闭(disable)某个违规.6 策略维护建立维护流程:这个过程不难完成,不会花费很长的时间,ASM执行违规阻止的安全策略,这样提高了业务安全性。1. 定期查看日志，确保没有误报。你可能会看到一些请求被阻止，因为有程序或脚本随机扫描业务站点。2. 针对少量的正常业务访问触发的违规，由于已经打开学习功能，所以可以直接将学习到的违规设置成策略即可。3. 如果由于业务程序或模块上线，导致Web Profile变动很大，建议添加FileTypes,Parameters 和URLs的Wildcards策略并设置Tightening来学习流量。学习完毕后删除所有Wildcard策略.4. 定期更新特征库5. 运行应用级别审计，确保目前满足客户的安全规范要求。6.1 Wildcard策略的添加为了维护策略的更新,对于策略的学习,需要如下步骤添加wildcard策略,修改File Types,URL和Parameters的相关参数: 1添加针对FileTypes,URLs和Parameters的wildcard策略,并确认关闭Perform Staging,和打开Perform Tightening.关闭Perform Staging和打开Perform Tightening,使可以学习到的explict的流量模式,并且不会自动增加到策略中注意:针对HTTP和HTTPS的关闭Perform Staging和打开Perform Tightening.下面我们将访问VS 的新业务部分,进行新业务流量的学习和测试，逐步完善我们的这个policy策略。切记，一旦更新policy，一定要点击右上角的“Apply Policy”按钮使之生效.下面实际看看ASM学到了什么东东：可以看出，ASM学习到了illegal file types、illegal URL、illegal parameters，我们将在4.4部分予以详细展开，来进行下一步讨论。6.2 学习到的Profile的添加6.2.1 修改和完善File Types、URLs、Parameters学习参数顺便介绍一下ASM Policy的逻辑结构：File Types、URLs、Parameters、Headers（cookies）是ASM主动防御的内容，只有符合这些策略的流量才能通过ASM访问后台Web应用；Attack Signatures：是ASM被动防御的特征库，一旦匹配了攻击的特征，那么根据attack signature中的设置决定是block还是alarm。由于wildcard策略的添加，所有HTTP类型内容均命中wildcard并允许通过，并由Tightening产生学习建议。本文不去一一解释Files Types、URLs、Parameters默认参数的含义。只是描述在保持默认的情况下进行Manual Policy Building 学习之后，如何处理学习到的参数以及staging阶段和Tightening阶段的注意事项。6.2.2 URLs的默认配置和修改File Types包含Allowed File Types、Disallowed File Types以及Wildcards Order等3项内容： File Types的默认配置 学习流量之后File Types的完善点击Application Security-Manual Policy Building-Traffic Learning,将“Illegal file type”展开，可以看到9个“不合法”的file types：一般我们都需要“Accept”，因为存在于Web应用中。点击“Accept”并且“Apply Policy”之后，回到Application Security-Policy-File Types,发现了什么变化.6.2.2 URLs的默认配置和修改 URLs的默认配置 学习流量之后URLs的完善点击Application Security-Manual Policy Building-Traffic Learning,将“Illegal URL”展开，可以看到160个“不合法”的URLs：一般我们都需要“Accept”，因为存在于Web应用中。点击“Accept”并且“Apply Policy”之后，回到Application Security-Policy-URLs6.2.3 Parameters的默认配置和修改Parameters就是后台Web应用的变量，SQL Injection和Parameters tampering等攻击就是针对Parameters。 Parameters的默认配置 学习流量之后Parameters的完善点击Application Security-Manual Policy Building-Traffic Learning,将“Illegal parameter”展开，可以看到7种“不合法”的parameters：一般我们都需要“Accept”，因为存在于Web应用中。点击“Accept”之后并且“Apply Policy”之后，回到Application Security-Policy-Parameters.注意：学习完毕准备进入生产环境，需要把wildcard（*）对应的那一行删掉，然后把policy切换到blocking 模式；同时需要把涉及到的所有的Perform Staging关闭.需要说明的是，我们并不需要对每个Parameter都进行防护，只需对登录或者查询的关键Parameters防护就可以了。6.3 Attack Signatures的配置和更新Attack Signatures是Web应用识别攻击或者威胁的特征库，它可以使用在request或者response上面，并且需要定期更新，以便更好地应对新的攻击或者威胁。6.3.1 Attack Signatures的配置方法将右侧方框的“ALL Signatures”添加到左侧的方框中，并且“Apply Policy”完成配置。6.3.2 更新Attack Signatures特征库可以选择automated update或者Manual update，下面介绍Manual update：6.4 Policy从Transparent向Blocking的变更操作策略全局的模式切换的说明和操作方法：重要说明：在Transparent模式下，在这里进行被动防护的attack signature行为的配置。可以配置一旦某一些攻击的attack signature匹配之后，ASM所采取的行为，是learn，（在traffic learning中可以看到）还是alarm（在 reporting中可以看到）,还是block的动作。该配置是基于policy的，请根据实际情况选择和配置，但是一旦完成所有Policy策略的Learning，就要根据实际情况向Blocking阶段变更。6.5 完成之后需要更新Policy策略的方法我们已经按照前面的配置步骤配置完毕.不过，如果客户调整了后台相关应用，那么需要ASM更新Policy，请参考如下方法。当需要为Web应用增加新的policy的时候：1. 我们需要按照前面的步骤把File Types,URLs,Parameters的wildcard的policy再加回来，并把它们处于Tightening的模式.2. 然后访问Web应用产生流量，通过traffic learning去学习并产生学习建议。3. 然后按照前面的方法把识别出来的新应用中流量特征部分加到policy中去。4. 然后删除这三个wildcard的policy。5. 每条新的策略中的Staging会按照配置实现参数的细化，过期后进入Staging ready状态，需要手动执行Enforcement.使每个策略生效。 7 测试效果验证7.1 修改header和cookies的长度来验证效果先简单看看流量是不是正常经过ASM了，也算小试牛刀。请将下面方框中的默认内容8192改成1并且使之生效，在Blocking模式下去访问VS，那么看到的效果是：这个时候我们可以拿着页面上提示的support ID到reporting里面去查看流量被阻挡的原因，可以发现是我们刚才修改了head和cookies长度导致的，呵呵。其它的实际测试时本该通过却被blocking的解决办法一样，通过support ID来查明原因。还有，如果出现原本应该block的流量去能成功访问。这个时候，我们就要分析该流量中的内容，重新开启三条wildcard策略，并重新学习流量，把攻击的流量找出来，设定block策略予以阻止。 7.2查看ASM的reporting来验证效果通过reporting界面我们可以设置各种各样的查询条件，来查看和分析经过ASM处理的流量是否按照我们的pol