明御WEB应用防火墙用户操作手册

WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 1 页 共 73 页 0571- 明御明御 TMWEB WEB 应用防火墙应用防火墙 -国内首创全透明部署 WEB 应用安全网关 用户操作手册用户操作手册 版本 V2.6 杭州安恒信息技术有限公司杭州安恒信息技术有限公司 20202020 年年 5 5 月月 1818 日日 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 2 页 共 73 页 0571- 前前 言言 明御 TMWEB 应用防火墙（简称：WAF，Web Application Firewall）是杭州安恒信息技 术有限公司的产品，通过安恒信息专有的 WEB 入侵异常检测等技术，结合安恒团队多年 应用安全的攻防理论和应急响应实践经验积累的基础上自主研发而成。协助各级政府、企/ 事业单位全面保护 WEB 应用安全，实现 WEB 服务器的全方位防护解决方案。 本手册适合的对象本手册适合的对象 明御 TMWEB 应用防火墙用户操作手册适用于希望了解本产品功能、熟练掌握产 品的配置及日常操作维护的相关人员。 手册的组织手册的组织 本手册共九章，第一章介绍 WAF 的部署，第二章介绍 WAF 登录管理，第三章介绍 WAF 的首页管理，第四章介绍功能配置，第五章介绍 WAF 策略功能，第六章介绍系统配 置相关操作，第七章介绍 WAF 的日志功能，第八章介绍 WAF 的报表功能，第九章为版权 说明。 公司联系方式公司联系方式 用户可以通过如下的联系方式详细了解该产品： 市场销售： 电话：0571- 邮箱：info 支持服务： 热线电话：0571- 邮箱：support 24 小时支持电话： 传真：0571- 网址： WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 3 页 共 73 页 0571- 目目 录录 前前 言言.2 本手册适合的对象 .2 手册的组织 .2 公司联系方式 .2 第第 1 章章 WAF 的部署的部署.6 1.1 WAF 面板说明.6 1.2 透明代理模式 .7 1.3 旁路监控模式 .7 1.4 反向代理模式 .8 1.5 网关模式 .8 第第 2 章章 登录管理登录管理.9 2.1 WAF 登录界面.9 2.2 WAF 管理首页.10 第第 3 章章 首页首页.11 3.1 WEB流量.11 3.2 网络流量.12 3.3 连接数统计.12 3.4 访问统计.13 第第 4 章章 配置配置.14 4.1 保护站点管理 .14 4.2 防篡改功能.17 4.2.1防篡改功能配置.17 4.2.2防篡改功能操作步骤.19 4.3 黑名单.21 4.4 白名单.21 4.5 告警通知.22 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 4 页 共 73 页 0571- 4.6 阻断页面配置.23 4.7 ARP 自动检测配置.24 4.8 配置导入/导出.25 4.9 高可用性（HA）配置.25 第第 5 章章 策略策略.27 5.1 策略组设置.27 5.1.1安全策略设置.27 5.1.2定制策略规则.29 5.2 自定义策略项.30 第第 6 章章 系统系统.32 6.1 用户管理.32 6.2 系统维护.33 6.3 系统登录管理.34 6.4 系统升级.35 6.5 授权许可.36 6.6 数据维护.36 第第 7 章章 日志日志.39 7.1 攻击日志 .39 7.1.1告警显示设置.39 7.1.2 告警归并.40 7.1.3 自定义告警查询.41 7.1.4告警日志导出.43 7.2 防篡改日志.43 7.3 操作日志.44 7.4 HA 日志.45 第第 8 章章 报表报表.46 8.1 自定义报表.46 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 5 页 共 73 页 0571- 8.2 组合报表.48 8.3 定时报表.51 8.4 报表的导出.52 第第 9 章章 版权声明版权声明.53 附录一：使用附录一：使用 CONSOLE 口管理口管理 WAF 设备设备.54 附录二：报表操作手册附录二：报表操作手册.61 附录三：附录三：HA 操作手册操作手册.68 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 6 页 共 73 页 0571- 第第 1 章章 WAF 的部署的部署 1.1 WAF 面板说明面板说明 图图 1.1 WAF 面板图面板图 说明：说明： 、console 口：通用串口管理端口，通过串口线连接计算机进行管理配置，根据实 际生产环境修改 admin 口网络信息、重启/关闭 WAF 设备和修改系统时间（默认登陆用户名 为 admin，密码为 admin） ；使用 console 口管理 WAF 设备详见附录一附录一； 、RESET：使用针状物插入 RESET 孔，对设备进行复位操作； 、硬盘指示灯、电源指示灯：设备上电后，正常运行时的硬件健康指示灯； 、Admin 管理口：WAF 设备管理网络接口，默认 IP 地址为 00； 、IN 口：Web 访问的数据入口； 、OUT 口：Web 访问的数据出口，接被保护的 WEB 服务器，如保护多台 web 服务 器，可将该口接交换机，交换机接多台被保护 web 服务器； 、ProtectX（X=1、2、3 或 4）：保护对象的接入链路，对于不同的设备型号，接入 链路的数量不相同，注意：添加保护对象时设置的接入链路一定要与实际接入链路一致。注意：添加保护对象时设置的接入链路一定要与实际接入链路一致。 对于不同的保护站点，可以接入不同的接入链路进行保护。 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 7 页 共 73 页 0571- 1.2 透明代理模式透明代理模式 图图 1.2 透明直连部署模式透明直连部署模式 透明代理模式是指将 WAF 部署在被保护的 web 服务器前端，访问 web 服务器的数据 包经过 WAF 设备的过滤，即可达到防护目的。WAF 设备依据硬件型号的不同，带有一对 或多对 IN、OUT 数据接口。IN 口为访问流量的数据入口，OUT 口为到达 web 服务器的数 据出口。如果需要保护多台 web 服务器，可以在 OUT 口接一个交换机，通过交换机连接 多台要保护的 web 服务器。 透明代理模式需要特别注意的事项：由于 WAF 具有通用的安全策略防护规则，为防 止对 web 访问的某些正常访问造成错误的阻断，因此，WAF 出厂默认将规则引擎统一设 置为“仅检测”状态，即当检测到 web 攻击时，仅提示告警而不做阻断处理。客户经过一 段时间的测试，调整相关规则后，再将 WAF 的规则引擎切换到“启用”状态，这样 WAF 将对非法的 web 请求进行有效的阻断。 1.3 旁路监控模式旁路监控模式 图图 1.3 旁路监控部署模式旁路监控部署模式 旁路监控模式，是指客户在部署环境中，采用镜像交换机，将接 web 服务器的交换机 端口镜像另外一个端口（该端口接 WAF 设备的 IN 口） ，如此便可达到旁路监控的目的。 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 8 页 共 73 页 0571- 1.4 反向代理模式反向代理模式 反向代理模式分为两种模式：单臂牵引模式单臂牵引模式和网桥模式网桥模式。 单臂牵引模式的部署图同图 1.3，交换机需要通过配置策略路由的方式，将被保护站点 的流量先牵引到 WAF 设备，WAF 设备通过反向代理的方式，再将请求送至 WEB 服务器。 针对客户内网环境的多样性、复杂性，尤其是内网环境多层路由问题，明御 WAF 提 供反向代理-网桥模式功能，以保护内网多层路由后的 WEB 服务器。网桥模式的部署图 如图 1.4 所示。 注意：反向代理时，WAF 设备只需要使用一个网络接口，且该接口需要配置 IP 地址， 具体配置请参考保护站点管理一节。 图图 1.4 反向代理反向代理网桥模式网桥模式 1.5 网关模式网关模式 网关模式的部署图同图 1.2。网关模式将 WAF 设备部署在被保护的 web 服务器集群前 端，web 服务器集群的网关设置为添加保护站点时设置的“内网网关（本机 IP） ” 。网关模 式的负载均衡模式分为“按比例负载” 、 “平均负载”和“热备”三种。 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 9 页 共 73 页 0571- 第第 2 章章 登录管理登录管理 在浏览器中以 HTTPS 方式打开明御 WEB 应用防火墙的管理 IP 地址，出厂默认 IP 地 址为 00，通过 IE 浏览器输入 00 进行登录，请选择“是”以接 受明御 WAF 的安全证书，如图 1.1 所示。 图图 2.1 接受安全证书接受安全证书 2.1 WAF 登录界面登录界面 在接受安全证书后，可以进入明御 WAF 的登录界面，如图 1.2 所示。在该界面中可以 输入用户名和密码来登录到明御 WAF 的管理界面。初始用户为 admin，密码为 adminadmin。 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 10 页 共 73 页 0571- 图图 2.2 明御明御 WAF 登录界面登录界面 2.2 WAF 管理首页管理首页 明御 WAF 的管理界面如图 2.3 所示，在登录 WAF 后，首先进入的是管理界面的首页首页。 在图 2.3 中所示为明御 WAF 的首页。 图图 2.3 明御明御 WAF 管理首页管理首页 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 11 页 共 73 页 0571- 第第 3 章章 首页首页 明御 WAF 首页呈现的是 WAF 系统状态、Web 流量、当前接入链路的网络流量以及 连接数统计，访问统计等相关信息。如图 2.3 所示，首页展现了系统的当前状态，包括硬 件资源（磁盘、内存、处理器）的使用率，系统运行的时间，HA 状态，当前系统的保护 模式，软件版本等。首页的左栏，展示了当前的用户信息，以及最近几次登陆的历史纪录 信息。同时，首页还提供对这些信息的历史查询，以便在出现故障时追踪历史记录，查找 故障原因。 3.1 Web 流量流量 首页包含了 Web 流量的展现，方便管理员实时观测当前的 Web 流量情况。图 3.1 展示 了 Web 流量的实时情况。 图图 3.1 明御明御 WAF 管理主页管理主页 Web 流量统计图流量统计图 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 12 页 共 73 页 0571- 3.2 网络流量网络流量 首页包含了网络流量-Protectx 的展现，方便管理员实时观测当前链路的网络负载情况。 图 3.2 展示了网络流量-Protect1 的网络实时流量情况。 图图 3.2 明御明御 WAF 管理主页网络流量统计图管理主页网络流量统计图 3.3 连接数统计连接数统计 首页包含了连接数统计的展现，方便管理员实时观测当前的并发连接数情况。图 3.3 展示了当前的并发连接数统计。 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 13 页 共 73 页 0571- 图图 3.3 明御明御 WAF 管理主页并发连接数统计图管理主页并发连接数统计图 3.4 访问统计访问统计 首页包含了访问统计的展现，方便管理员观测当前的访问统计情况。图 3.4 展示了当 前的访问统计数据，选择“排序依据”单选钮可对统计数据进行排序。 图图 3.4 明御明御 WAF 管理主页访问统计管理主页访问统计 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 14 页 共 73 页 0571- 第第 4 章章 配置配置 4.1 保护站点管理保护站点管理 保护站点管理，包括新添加、修改和删除被保护的 WEB 站点相关信息的管理功能。 新增保护站点：新增保护站点： 点击配置菜单可以进入保护站点管理页面，默认情况下右侧显示为空，表示没有添加 任何保护站点。通过左侧栏可以进行新增保护站点操作。如图 4.1 所示。 图图 4.1 新增保护站点新增保护站点 在点击新增按扭后可以看到新增站点的详细配置页面，如图 4.2 所示。 （1）其中名称为保护站点的别名设置，方便管理员进行管理识别。 （2）协议项用于设定 WAF 是保护 HTTP 还是 HTTPS 站点。 （3）IP 地址、子网掩码对应于被保护站点的相关网络设置信息。 （4）下一跳（到保护对象）对应于数据包经由 WAF 到保护对象的下一跳地址；该 输入框为可选项，当 WAF 与保护对象处于不同网络时须填写，当 WAF 与保 护对象处于同一网络时无须填写。 （5）下一跳（到客户端）对应于数据包经由 WAF 到客户端的下一跳地址。 （6）配置策略路由：可以人为指定数据包按照目的地址标示的路由送往下一跳。 （7）接入链路对应于进行网络部署时，保护站点所选择的网络链路接口，WAF 硬 件面板上有详细的标识。 （8）长连接设置则根据保护站点的具体机制进行选择。 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 15 页 共 73 页 0571- （9）缓存启用项，即是否对保护站点启用 WEB 应用加速，配置示例如图 4.2 的所 示。 （10） 部署模式用于指定当前 WAF 以何种方式保护站点，有三种模式供选择：透明 代理、旁路监控和牵引防护；我们推荐的部属方式是：首先采用透明代理，并 将策略引擎设置为“仅检测”模式，测试一段时间并对策略规则进行相应的调 整以后，再将策略引擎从“仅检测”切换到“启用”模式。 （11） 在应用策略组中可以选择需要应用的策略组。 （12） 对于每一个保护站点，都提供了 DDOS 和 CC 攻击的防护设置，主要设置的信 息包括：允许单个客户端 IP 地址对保护站点访问的总连接数的限制，以及在 指定时间内的新建连接数的限制。 （13） 对于每个保护站点，明御 WAF 提供防篡改保护，防篡改的配置方法请参考 4.2 节。 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 16 页 共 73 页 0571- 图图 4.2 新增保护站点配置页面新增保护站点配置页面 注意在增加 HTTPS 保护站点时，在协议项选择 HTTPS 后，会出现证书上传框，进行 SSL 证书及密钥的上传，如图 4.3 所示。 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 17 页 共 73 页 0571- 图图 4.3 上传上传 SSL 证书证书 特别说明： 1、 明御 WAF 对 HTTPS 站点防护需上传的证书及密钥格式，是与 Openssl 兼容的，对于 其他格式的证书和密钥，需要进行相应的转换才能正常识别。 2、大多数需要提供认证或者加密的站点，以及 WAF 部署在负载均衡设备之前的情况，需 要启用长连接支持。 修改保护站点：修改保护站点： 点击配置菜单进入保护站点管理页面，可以看到全部站点列表，如图 4.4 所示。 图图 4.4 保护站点列表保护站点列表 点击上图中需要修改的保护站点右侧的修改小图标，进入站点修改页面，如图 4.5 所示。 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 18 页 共 73 页 0571- 图图 4.5 保护站点修改页面保护站点修改页面 删除保护站点：删除保护站点： 点击配置菜单进入保护站点管理页面，可以看到全部站点列表，如图 4.4 所示。点击图 中需要删除的保护站点右侧的删除小图标，可对保护站点进行删除。 4.2 防篡改功能防篡改功能 明御 WAF 的防篡改功能，主要是为了检测和防止被篡改后的 WEB 页面被发布到访问 的客户端。防篡改功能采用了第二代数字水印的技术，实时进行防篡改检测和拦截。 4.2.1 防篡改功能配置防篡改功能配置 WAF 可以针对不同被保护站点，设置不同的防篡改配置。具体配置如下图所示： WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 19 页 共 73 页 0571- 图图 4.6 启动防篡改功能启动防篡改功能 开启和关闭防篡改功能：开启和关闭防篡改功能： 开启防篡改功能步骤如下：打开“防篡改功能”列表，选择“启用”选项，如图 4.6 所示。页面将自动显示防篡改功能配置项。 图图 4.7 防篡改功能配置界面防篡改功能配置界面 关闭防篡改功能步骤如下：打开“防篡改功能”列表，选择“禁用”选项。页面将自 动隐藏防篡改功能配置项。 模式切换：模式切换： 在“模式切换”下拉列表中选择“自学习模式” ， “保护模式”或“仅检测模式” 。如图 4.8 所示。 图图 4.8 模式切换列表模式切换列表 设置被保护站点的目录索引：设置被保护站点的目录索引： 将被保护站点的目录索引，即 DirectoryIndex，网站根目录主页面的索引，填入“目录 索引”配置框。如图 4.9 所示。 图图 4.9 目录索引配置框目录索引配置框 添加保护页面类型：添加保护页面类型： 打开“文件类型”列表，选择要添加保护的文件类型。单击“新增”按钮。如图 4.10 所示。 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 20 页 共 73 页 0571- 图图 4.10 文件类型列表文件类型列表 注：为了在消耗最小系统资源的情况下，获得最大的效益，防篡改功能绑定了网站加 速缓存功能。开启防篡改功能必须先开启网站加速缓存功能。防篡改功能是否开启， 对网站加速功能没有影响。 4.2.2 防篡改功能操作步骤防篡改功能操作步骤 启用保护站点的防篡改功能步骤：启用保护站点的防篡改功能步骤： WAF 通过自学习来获取备份页面和页面特征码，作为在保护模式或仅检测模式下，判 断页面是否被篡改的依据。因此，在每次添加新的保护站点时，需要先将防篡改功能设置 为自学习模式。在完成自学习过程之后，再切换到保护模式或仅检测模式。具体操作步骤 如下： ）开启防篡改功能，启用自学习模式。填写相关配置项。防篡改模块将自动获取备 份页面和页面特征码。可以通过网站爬行工具，加速学习过程。 2）切换到保护模式或是仅检测模式，开始页面篡改防护或篡改检测。在防护模式下， 一旦发现某个页面被篡改，WAF 将阻止该页面被发布出去，而采用最初爬行的缓存页 面返回给访问的客户端；而检测模式下，被篡改的页面可发布出去，WAF 仅仅进行告 警通知。 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 21 页 共 73 页 0571- 被保护站点内容更新步骤：被保护站点内容更新步骤： 被保护站点内容的更新时，需要同时更新 WAF 中保存的备份页面和页面特征码。以 防 WAF 将新更新的页面视为被篡改的页面。具体操作步骤如下： 1）切换到自学习模式。 2）更新被保护站点内容。 3）清空网站加速的缓存，开始保护站点内容的自学习过程。 4）可以通过网站爬行工具，加速自学习过程。 5）切换到保护模式，开始页面篡改防护。 下载保护站点的被保护下载保护站点的被保护URL列表步骤：列表步骤： 明御 WAF 提供对被保护的 URL 列表的下载，方便用户查看当前篡改防护的具体 URL 页面。如图 4.11 所示，单击“点击下载”按钮，页面将弹出下载文件对话框。单击“保存” 按钮，将 URL 列表文件下载到本地，用文本编辑器打开查看。或单击“打开”按钮，直接 打开 URL 列表文件查看。 图图 4.11 下载被保护下载被保护 URL 列表列表 清空自学习过程中保存的备份页面步骤：清空自学习过程中保存的备份页面步骤： 在自学习过程中保存的备份页面数量会随时间而增长。管理员需要定期手动清空这些 备份页面。具体操作步骤如下： 1）关闭防篡改功能。 2）防篡改功能配置页面将显示“清空备份页面”链接。如图 4.12 所示。单击“清空 备份页面”链接。 图图 4.12 清空备份页面清空备份页面 注：由于清空备份页面以后，所有自学习过程中保存的内容都将被清空。系统将自动 切换到“自学习模式” 。 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 22 页 共 73 页 0571- 4.3 黑名单黑名单 黑名单功能主要是为了对某些特定的 IP 地址（段） ，采取禁止访问的功能。管理员可 以通过黑名单功能，添加、修改和删除相关的黑名单 IP 地址（段） 。 黑名单设置页面如图 4.13 所示，这一页面主要是对黑名单做增删和修改操作。设置在 黑名单中的 IP 地址，其对被保护 Web 站点的访问，无论正常访问还是攻击请求，都将全 部被阻断；因此，对黑名单的添加操作，必须慎重执行。 在增加黑名单时，可以选择应用到部分或全部保护站点。 图图 4.13 黑名单设置黑名单设置 4.4 白名单白名单 白名单功能主要是为了对某些特定的 IP 地址（段） ，开启“绿色通道” ，而对白名单内 的 IP 地址（段）不进行任何安全检测。管理员可以通过白名单功能，添加和删除相关的白 名单 IP 地址（段） 。 白名单设置页面如图 4.14 所示，这一页面主要是对白名单做增删操作。设置在白名单 中的 IP 地址，其对被保护 web 站点的访问，无论正常访问还是攻击请求，都将不受 WAF 策略规则的约束和限制。设置白名单的方法与黑名单相同。 图图 4.14 白名单设置白名单设置 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 23 页 共 73 页 0571- 4.5 告警通知告警通知 明御 WAF 的告警通知功能，提供了多种告警通知模式，可及时的将当前保护的 WEB 站点的相关危险情况，以及 WAF 系统本身的状态，提供给管理员。 图 4.15 为告警通知配置界面。WAF 目前支持 syslog、邮件和短信告警通知等三种方式， 将告警信息实时发送给管理员。 图图 4.15 告警通知设置告警通知设置 以下为配置项的说明： Syslog告警告警： 是否启用：启用则需要配置 Syslog 发送到的主机服务器 IP 地址。 邮件告警：邮件告警： 是否启用邮件告警选择“启用”为打开邮件告警功能， “禁用”为关闭邮件告警功 能。 发件人设置告警邮件中，发件人的 E-Mail 地址。 收件人设置告警邮件接收人的 E-Mail 地址。可以设置多个收件人，每个收件人的 E-Mail 地址之间以逗号隔开（如图中所示） 。 WEB 应用防火墙用户操作手册 杭州安恒信息技术有限公司 第 24 页 共 73 页 0571- 告警条件通过设置合理的告警条件，管理员可以灵活