F5 ASM的快速配置手册-赵文明

1、f5 asm的快速配置手册-赵文明 big-ip application security manager 快速配置手册 big-ip asm 快速配置手册 第 1页 共39页 目录 目录. 2 1 前言 .l 2.1串联部署 . 3 2.2透明部署 . 3 3 激活license . 3 3.1登录asm设备 . 4 3.2激活license . 4 3.3 provisioning asm module . 5 4 标准配置步骤 . 7 4.1 配置httpclass . 7 4.1.1 从ltm的profile作为配置入口 . 7 4.1.2 从asm的classes作为配置入口 . 9

2、 4.2 将httpclass关联到vs上面 . 10 4.3 配置asm上面的web application . 12 5 快速策略配置 . 12 6 策略维护 . 19 6.1 wildcard策略的添加 . 20 6.2 学习到的profile的添加 . 24 6.2.1 修改和完善file types、urls、parameters学习参数 . 24 6.2.2 urls的默认配置和修改 . 24 6.2.2 urls的默认配置和修改 . 26 6.2.3 parameters的默认配置和修改. 27 6.3 attack signatures的配置和更新 . 29 6.3.1 att

3、ack signatures的配置方法 . 29 6.3.2 更新attack signatures特征库 . 30 6.4 policy从transparent向blocking的变更操作 . 31 6.5 完成之后需要更新policy策略的方法 . 32 7 测试效果验证 . 33 7.1 修改header和cookies的长度来验证效果 . 33 7.2查看asm的reporting来验证效果 . 34 8查看asm信息 . 37 8.1 显示asm logs. 37 8.2 启动或者停止asm . 37 9 asm双机配置 . 37 9.1 硬件心跳方式. 38 9.2 络心跳方式.

4、39 10配置文件备份 . 42 11总结 . 42 big-ip asm 快速配置手册 第 2页 共39页 1 前言 配置f5 application security manager（asm）需要一定的ltm基础，并且要求： 了解asm的基本工作原理和流程，可以看懂基本的配置要素； 了解http等协议的规范； 了解常见的web安全漏洞和相关的攻击方式； 了解被动安全和主动安全防御方式的区别； 了解后台web服务器的类型，是iis、apache 、apache tomcat或者其它 了解后台app服务器的编程语言，是asp、jsp、php、asp.net、weblogic或者其它 了解后台d

5、b的类型，是mysql、oracle、postgre sql 、ibm db2或者其它 了解客户应用环境的负载情况； 安装最新的操作系统和hf补丁，目前最新版本是10.2.0，并且推荐以卷管理的方式安装在硬盘分区而不是cf卡上。 需要说明的是，asm不同版本的个别菜单界面显示不同,本文以v10.2.0为例予以描述。 2 络构架 2.1串联部署 f5 asm有standalone设备，也可以作为module形式共存在3600及其3600以上v10硬件平台。 一般采用串接方式部署，需要更改客户的络架构;正式上线环境推荐使用串接部署方式。 2.2透明部署 f5 asm也可以支持透明部署，但是由于as

6、m透明部署需要配置vlangroup,所以不建议生产环境采用这种结构. 详细的配置方法见askf5上的sol9372: configuring big-ip asm in transparent bridge mode 。 3 激活license 激活asm module的同时也激活了psm module，但是psm不能单独配置和使用,而是作为asm的一部分使用和配置.并且不同版本的asm显示界面和菜单位置略有区别，其硬件和系统软件的组合列表如下： big-ip asm 快速配置手册 第 3页 共39页 对于新一代v10对应的硬件平台来说，v10.1.0之后的变化： 1、asm单独只能跑在41

7、00（d46）、3600（c103）、3900（c106）、6900（d104）、8900（d106）平台； 2、wa、asm和ltm只能共存在3600（c103）、3900（c106）、6900（d104）、8900（d106）、8950（d107）、 11050（e102）平台； 补充：v10.0.0和v10.0.1版本，wa和asm只能共存在6900（d104）和8900（d016）平台。 3、gtm、asm、ltm可以共存在3600（c103）、3900（c106）、6900（d104）、8900（d106）、8950（d107）、 11050（e102）平台； 补充：v10.0.1版本，gtm和asm只能共存在6900（d104）和8900（d016）平台。 4、apm、asm、ltm可以共存在3600（c103）、3900（c106）、6900（d104）、8900（d106）、8950（d107）、 11050（e102）平台； 3.1登录asm设备 登录asm有web或者cli两种方式，和登录ltm设备没有什么两样，本文略去具体参数设置和登录步骤。 3.2激活license 请按照激活license的标准步骤实施，本文略去具体步骤。 license激活后,在system?license的页面会看到如下asm 的license被激活 big-ip asm