管理用户使用手册

TITLE冰之眼Web应用防火墙Web管理用户使用手册©DATE\@"yyyy"2023绿盟科技

■版权声明©2023绿盟科技本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文献的任何片断。■商标信息NSFOCUS和冰之眼等均是绿盟科技的商标。目录TOC\h\z\t"附录1（绿盟科技）,1,附录2（绿盟科技）,2,附录3（绿盟科技）,3,附录4（绿盟科技）,4,标题1（绿盟科技）,1,标题2（绿盟科技）,2,标题3（绿盟科技）,3"前言 1文档范围 1盼望读者 1内容简介 1获得帮助 1格式约定 3一.概述 51.1产品概述 51.2公司简介 6二.登录Web界面 82.1登录方法 82.2布局介绍 9三.引擎Web管理 113.1首页 113.1.1状态 113.1.2事件 123.2系统 133.2.1升级与恢复 133.2.2下载与备份 133.2.3安全中心连接 143.2.4网络诊断工具 143.2.5用户管理 163.2.6证书与附加设立 183.2.7系统控制 213.3网络 213.3.1接口 213.3.2安全区 233.4对象 243.4.1Web 243.4.2网络 293.4.3域名 353.4.4服务 383.4.5时间 433.5策略 453.5.1Web应用防护 453.5.2网络访问控制 483.5.3Web应用扫描 513.6报表 533.6.1事件报表 533.6.2查询报表 543.6.3审计报表 553.6.4Web应用扫描报表 563.7帮助 58四.引擎串口管理 594.1功能概述 594.2登录串口 594.3具体介绍 624.3.1查看系统信息 624.3.2配置安全中心 634.3.3诊断工具 644.3.4维护工具 654.3.5系统初始化 664.3.6重新启动系统 664.3.7存储当前设立 674.3.8退出配置界面 67附录A 出厂参数 68A.1 引擎管理口初始设立 68A.2 引擎初始用户 68A.2.1 Web管理员初始帐号 68A.2.2 串口管理员初始帐号 68A.3 安全中心管理员初始帐号 68A.4 串口通讯参数 68

插图索引TOC\h\z\t"插图标注（绿盟科技）,1"图2.1登录时的安全警报界面 8图2.2冰之眼WAF的Web管理登录界面 8图2.3冰之眼WAF当前的运营状态信息 9图2.4冰之眼WAF的Web管理界面 10图3.1引擎接口的当前状态信息 11图3.2引擎的当前状态信息 11图3.3系统的当前状态信息 11图3.4冰之眼WAF引擎实时告警信息和流量信息的整体界面 12图3.5系统–导入升级文献 13图3.6系统–下载文献 13图3.7系统–配置引擎的安全中心 14图3.8系统–当前的网络连接状态和网卡状态 15图3.9系统–网络诊断工具（ping工具） 15图3.10系统–网络诊断工具（traceroute工具） 16图3.11系统–网络诊断工具（hping工具） 16图3.12系统–网络诊断工具（nmap工具） 16图3.13系统–用户管理 17图3.14系统–证书信息 19图3.15系统–高可用性设立 19图3.16系统–附加设立管理 21图3.17系统–系统控制 21图3.18网络–引擎网络接口列表 22图3.19网络–编辑网络接口信息 22图3.20网络–安全区列表 23图3.21网络–新建安全区 23图3.22对象–系统Web对象列表 25图3.23对象–编辑系统Web对象 25图3.24对象–自定义Web对象列表 26图3.25对象–新建自定义Web对象 27图3.26对象–Web组对象列表 28图3.27对象–新建Web组对象 28图3.28对象–选择Web组对象包含的对象 29图3.29对象–网络对象列表 30图3.30对象–新建网络对象 30图3.31对象–节点对象列表 31图3.32对象–新建节点对象 31图3.33对象–IP池对象列表 32图3.34对象–新建IP池对象 32图3.35对象–网络组对象列表 33图3.36对象–新建网络组对象 34图3.37对象–选择网络组对象包含的对象 34图3.38对象–自定义域名对象列表 35图3.39对象–新建自定义域名对象 36图3.40对象–域名组列表 37图3.41对象–新建域名组对象 37图3.42对象–选择域名组对象包含的对象 38图3.43对象–系统服务对象列表 39图3.44对象–自定义服务对象列表 39图3.45对象–新建自定义服务对象 40图3.46对象–服务组对象列表 41图3.47对象–新建服务组对象 42图3.48对象–选择服务组对象包含的对象 42图3.49对象–自定义时间对象列表 43图3.50对象–新建自定义时间对象 43图3.51对象–时间组对象列表 44图3.52策略–Web应用防护规则列表 46图3.53策略–添加Web应用防护规则 46图3.54策略–移动Web应用防护规则的位置 48图3.55策略–网络访问控制规则列表 49图3.56策略–添加访问控制规则 49图3.57策略–移动网络访问控制规则的位置 51图3.58策略–Web应用扫描规则列表 51图3.59策略–添加Web应用扫描规则 52图3.60报表–事件具体报表 53图3.61报表–查询报表 55图3.62报表–审计报表 55图3.63报表–Web应用扫描报表 56图3.64报表–查看Web应用扫描结果 57图4.1超级终端运营的位置信息 59图4.2输入超级终端连接描述 60图4.3选择超级终端连接端口 60图4.4设立超级终端连接端口 61图4.5选择引擎管理菜单语言 61图4.6引擎串口管理–查看系统信息 63图4.7引擎串口管理–配置网络引擎参数 64图4.8引擎串口管理–诊断工具 64图4.9引擎串口管理–维护工具 65图4.10引擎串口管理–系统初始化 66图4.11引擎串口管理–重新启动系统 67图4.12引擎串口管理–存储当前设立 67前言文档范围本文将覆盖冰之眼Web应用防火墙（ICEYEWebApplicationFirewall，以下简称冰之眼WAF）的Web管理界面的所有功能点，具体介绍使用方法。盼望读者盼望了解本产品重要技术特性和使用方法的用户、系统管理员、网络管理员等。本文假设您对下面的知识有一定的了解：系统管理Linux和Windows操作系统Internet协议内容简介一、概述：冰之眼WAF的概述以及绿盟科技公司的简介。二、登录Web管理界面：介绍冰之眼WAF引擎的Web管理界面的登录方法和注意事项，以及界面布局和相关含义说明。三、引擎Web管理：具体介绍冰之眼WAF引擎的Web管理方式下，各项功能的操作方法。四、引擎串口管理：具体介绍冰之眼WAF引擎的串口管理界面的各功能菜单。附录：冰之眼WAF引擎（硬件）和安全中心的出厂默认配置，以及串口通讯参数。获得帮助获取网络安全相关资料可以访问绿盟科技网站：获取冰之眼WAF相关最新信息可以访问网址：获取冰之眼SCM相关最新信息可以访问网址：获取冰之眼SAS相关最新信息可以访问网址：获取冰之眼NIPS相关最新信息可以访问网址：获取冰之眼NIDS相关最新信息可以访问网址：获取更详尽的绿盟科技网络安全专业服务信息、商务信息，您可通过如下方式和我们联系：北京总部地址：北京市海淀区北洼路4号益泰大厦3层邮编：100089客户服务热线：400-818-6868（手机和固话均可拨打）非工作时间服务热线：传真：客户支持中心网站：Email：北京分公司地址：北京市海淀区车道沟一号青东商务区A座东十层邮编：100089电话：传真：上海分公司地址：上海市徐汇区漕宝路221号怡宝商务园区2号楼5楼邮编：202333电话：/92，64823701传真：广州分公司地址：广州市人民中路555号美国银行中心1702室邮编：510180电话：/52传真：/52成都分公司地址：成都市青龙街51号倍特康派大厦15楼2座邮编：610031电话：/4028传真：/4028武汉分公司地址：武汉市汉口解放大道686号世界贸易大厦4606邮编：430023电话：传真：西安分公司地址：西安市高新区高新一路25号创新大厦N602邮编：710075电话：传真：沈阳分公司地址：沈阳市沈河区北站路55号财富大厦C座2-16-1邮编：110013电话：/3115传真：/3115格式约定粗体字——命令和关键字斜体字——需要您输入的变量——使用技巧、建议和引用信息等——重要信息【XXX】——菜单名称和按钮名称的表达方式【A】【B】——菜单项选择的表达方式注：本文中所有图例均为屏幕截取。概述产品概述近年来，互联网网站所面临的安全问题越来越复杂，安全威胁正在飞速增长。网站的安全性也越来越多地受到广大用户的关注。我们可以看到：网站漏洞百出，被篡改网站数量明显上升根据国家计算机网络应急技术解决协调中心（简称CNCERT/CC）2023年上半年的工作报告显示：目前中国的互联网安全实际状况仍不容乐观。各种网络安全事件与去年同期相比都有明显增长。对政府类和安全管理相关类网站重要采用篡改网页的袭击形式，以达成泄愤和炫耀的目的，也不排除放置恶意代码的也许，导致政府类网站存在安全隐患。对中小公司，特别是以网络为核心业务的公司，采用有组织的分布式拒绝服务袭击（DDoS）袭击等手段进行勒索，从而迫使公司接受相应条件，影响公司正常业务的开展。2023年上半年，中国大陆被篡改网站的数量相比往年处在明显上升趋势。网站安全问题严重，袭击手段层出不穷网站的安全问题严重，安全漏洞很多，并且防范困难。在SANSTop-20InternetSecurityAttackTargets中，WebApplications的安全漏洞名列前茅。以常见的Web袭击为例，共分为两类：一是运用Web服务器的漏洞进行袭击，如CGI缓冲区溢出、目录遍历漏洞运用等袭击；二是运用网页自身的安全漏洞进行袭击，如SQL注入、跨站脚本袭击等。常见的针对Web应用的袭击有：缓冲区溢出——袭击者运用超过缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令Cookie假冒——精心修改cookie数据进行用户假冒认证逃避——袭击者运用不安全的证书和身份管理非法输入——在动态网页的输入中使用各种非法数据，获取服务器敏感数据强制访问——访问未授权的网页隐藏变量篡改——对网页中的隐藏变量进行修改，欺骗服务器程序拒绝服务袭击——构造大量的非法请求，使Web服务器不能响应正常用户的访问跨站脚本袭击——提交非法脚本，其他用户浏览时盗取用户帐号等信息SQL注入——构造SQL代码让服务器执行，获取敏感数据冰之眼Web应用防火墙（冰之眼WAF）是绿盟科技自主知识产权的新一代安全产品，作为一种in-line产品，部署在Web应用服务器前端，其设计目的为：准确监测、辨认各类针对Web应用的袭击型流量并进行实时阻断，缓解针对Web应用的DDoS袭击，扫描Web应用安全漏洞以提高Web应用自身的安全。这类产品提供实时的、深度的、积极的安全防御，为政府/公司、互联网公司以及IDC提供了一个完善的Web应用防护解决方案。冰之眼WAF采用先进的体系架构，集成领先的Web扫描技术，以全面进一步的协议分析技术为基础，具有特性检测、协议异常检测、拒绝服务检测、关联分析为核心的引擎。其重要特点为：深度、精确Web应用防护，避免网页篡改及挂马，保护网站平安。强大的抗拒绝服务袭击能力，流量型和应用型DDoS一网打尽。独特的网游防护，保证网络游戏业务的高可用性。无缝集成Web漏洞扫描，提供积极安全防御。基于对象的虚拟防护，为每位用户量身定制安全防护策略，轻松增值。软/硬件BYPASS、双机热备，让用户放心部署，保证网络高可用。公司简介绿盟科技成立于2023年4月，是中国第一批提供专业网络安全产品和服务公司之一。在迅速的发展过程中获得了不同行业众多客户的认同，成为国内领先的专业安全产品和服务提供商。绿盟科技的总部和研发中心设在北京，在北京、广州、上海、成都、沈阳、西安、武汉建有7个分公司，在济南、石家庄、福州、长沙、深圳、南宁、海口、南京、杭州、南昌、重庆、昆明、贵阳、哈尔滨、长春、兰州、乌鲁木齐、郑州等地建立了办事处和技术支持中心，从而可认为我们的用户提供全国范围内的产品与服务支持。绿盟科技基础研究部在业内享有盛誉，长期对国内外最新的网络安全漏洞进行最及时、最紧密的跟踪，对重大安全问题通过成立专项研究小组进行技术攻关，取得了一系列在国内、国际处在领先水平的优秀成果，其中涉及：分布式拒绝服务袭击（DDoS）防护技术、Unix高级溢出袭击技术、WindowsNetBIOS安全问题、WindowsIIS安全问题、蠕虫传播与专杀等。绿盟科技迄今为止已经独立发现了30余个涉及网络安全的重大漏洞，并为Microsoft、SUN、NetScreen、CISCO等国际知名厂商提供过多个安全漏洞修补建议。绿盟科技产品开发中心具有雄厚的技术实力和丰富的网络安全产品开发经验。至今已经发布：冰之眼网络入侵检测/保护系统、冰之眼安全审计系统、冰之眼内容安全管理系统、极光网络漏洞扫描系统、黑洞抗拒绝服务袭击系统和矩阵终端安全保护系统等安全产品。所有产品均为绿盟科技独立自主研发，并可以提供完全本地化的深度支持。其中黑洞抗拒绝服务袭击系统和极光网络漏洞扫描系统已经居于国际领先地位，入侵检测/保护产品的部分技术还对美国安全公司作技术出口。在多项权威机构测试和用户评选中，绿盟科技的安全产品均获得了专家们与用户的高度评价和认同。绿盟科技在2023年一方面提出为客户提供可定制的专业安全服务：NSPS安全服务体系。为用户提供两大类专业服务：专业安全服务（PSS:ProfessionalSecurityServices）旨在减少用户在关键业务资产的威胁，通过公司级安全评估、安全设计、安所有署来提高安全管理的实效；可管理安全服务（MSS:ManagedSecurityServices）为用户提供完备的实时安全管理外包解决方案，涉及安全监控、724安全保障、应急解决等。数年来，我们专业的服务实行能力和效果赢得了用户的充足信赖。登录Web界面登录方法下面介绍登录冰之眼WAF的Web管理界面的操作方法：（1）确认客户端主机可以和冰之眼WAF正常通讯（假如通过防火墙，请将443端口打开）。（2）打开浏览器IE，用HTTPS方式连接冰之眼WAF的IP地址，比如。（3）回车后出现安全警报框，如图2.1所示（IE6.0及以下版本会出现安全警报框），单击【是】，接受冰之眼WAF证书加密的通道。登录时的安全警报界面（4）在如图2.2所示的冰之眼WAF登录界面中，输入对的的用户名和密码，并单击【登录】。冰之眼WAF的Web管理登录界面（5）成功登录后，进入系统当前运营状态的界面，如图2.3所示。冰之眼WAF当前的运营状态信息注意事项：建议使用IE6.0或Firefox2.0以上版本的浏览器，屏幕分辨率最佳设立为1024×768及以上。初次使用本系统时可用默认用户登录，用户名是webadmin，密码是nsfocus。建议初次登录后修改密码，具体操作方法请参见HYPERLINK3.2.5用户管理。登录失败的因素有也许是：①用户名输入错误②密码输入错误③没区分大小写。登录本系统之前，请检查浏览器是否设立了严禁弹出窗口属性，假如是，请撤消此设立。用户登录后，假如不活动的时间超过5分钟，系统将超时并自动退回到登录页面，请重新登录继续使用。布局介绍冰之眼WAF的Web管理界面如图2.4所示，下面介绍整个操作界面的布局情况。1212345冰之眼WAF的Web管理界面系统标题：冰之眼的LOGO。系统菜单：涉及功能主菜单及其相应的子菜单，单击主菜单的标题栏即可展开/隐藏其子菜单。状态区：单击【安全退出】即可注销当前登录用户退出本系统。当前位置栏：显示当前工作区所处的位置。工作区：各功能的重要操作均在此进行，操作结果列表也在此显示。某些页面的底部会提供相应的帮助信息。引擎Web管理首页状态成功登录冰之眼WAF后，即可看到引擎接口、引擎和系统的当前运营状态及各项信息，如图3.1、图3.2和图3.3所示。引擎接口的当前状态信息引擎的当前状态信息系统的当前状态信息引擎接口是根据硬件类型决定的，一般在出厂前就已定义。有关引擎接口的设立方法，请参见HYPERLINK3.3.1接口。事件在这里可以即时查看冰之眼WAF引擎实时流量记录和最新10条告警事件信息，如图3.4所示。冰之眼WAF引擎实时告警信息和流量信息的整体界面从上图可以看到，页面的顶部显示实时告警事件的记录数字和最新时间，从左至右依次是：告警事件的总量、阻断动作的告警事件数量、归并后的告警事件数量及记录的最新时间（每隔5秒钟，系统会自动更新一次记录结果），此外还可以看到以下两类信息：流量查看最新的流量记录信息、TCP协议分布信息、UDP协议分布信息和ICMP协议分布信息。最新事件显示最近发生的10条告警事件，涉及事件发生的时间、动作、事件名称、源IP及端口、目的IP及端口和事件摘要。将鼠标放在最新事件列表中无法完全显示的“事件摘要”区域，即可悬浮显示相应信息的完整内容。系统升级与恢复如图3.5所示，请在此导入以下文献：Web防护与访问控制策略文献——引擎的Web防护与访问控制策略文献（*.xml），文献大小不能超过2M，导入后引擎会自动加载生效。引擎升级文献——引擎的升级文献（*.waf），导入后引擎也许会自动重启。引擎参数文献——引擎运营时需要的参数配置文献（*.xml），导入后引擎会自动重启。流媒体服务器列表文献——冰之眼流媒体服务器列表文献（*.conf），文献大小不能超过100k，导入后引擎会自动重启。除了可以导入上述各类文献外，还可以恢复所有配置文献（*.ebk），恢复后规定重启系统才干生效。系统–导入升级文献下载与备份如图3.6所示，请按照说明下载相应的文献。系统–下载文献安全中心连接如图3.7所示，在这里可以配置引擎的本机数据传输地址、主安全中心IP地址和所要连接的安全中心IP地址。系统–配置引擎的安全中心下面介绍部分参数的含义：本机数据传输地址——指定引擎用于和安全中心通讯的IP地址，通常为某个接口的管理IP。引擎的主安全中心IP地址——指定主安全中心的IP地址，它可以对引擎有一定控制权，涉及远程启动/停止、升级、获得归并日记等控制管理权限。引擎的x号安全中心IP地址——指定需要引擎进行积极连接的安全中心的IP地址，对于由安全中心向引擎积极连接的安全中心，则不需要在此设立，在使用中请检查引擎和安全中心两端的配置以避免冲突。配置以上各参数信息时，需注意以下两点：“引擎的主安全中心IP地址”仅仅是设立主安全中心的IP，与主安全中心的连接参数还需要此外设立，假如从引擎端发起连接，则在x号安全中心IP地址中填上所要连接的安全中心的IP地址。设立“引擎的x号安全中心IP地址”时，最多可设立4个从引擎积极发起连接的安全中心。网络诊断工具如图3.8所示，在本页面的底部可以查看到当前网络的连接状态和网卡状态，假如发生异常情况，可通过ping或traceroute等工具进行相应的诊断和查看。系统–当前的网络连接状态和网卡状态ping工具输入目的主机的IPping命令的诊断结果输入目的主机的IPping命令的诊断结果系统–网络诊断工具（ping工具）traceroute工具traceroute工具即路由追踪，用于检测网络路由线路。输入目的主机的IPtraceroute命令的诊断结果输入目的主机的IPtraceroute命令的诊断结果系统–网络诊断工具（traceroute工具）hping工具hping命令的诊断结果hping命令的诊断结果输入目的主机的IP系统–网络诊断工具（hping工具）nmap工具nmap工具即端口扫描，用于网络主机存活判断、端口扫描、操作系统指纹辨认。输入目的主机的IPnm输入目的主机的IPnmap命令的诊断结果系统–网络诊断工具（nmap工具）用户管理如图3.13所示，用户列表中涉及系统默认的三个用户：webadmin、webaudit和weboper，分别从属于web管理员、web审计员和web操作员用户组，在此可以进行用户的添加、修改和删除等操作。添加用户的区域修改用户的区域添加用户的区域修改用户的区域用户列表系统–用户管理下表列出各个用户组分别具有哪些操作权限。用户组权限Web管理员登录退出、查看状态和事件、升级与恢复、下载与备份、安全中心连接、网络诊断工具、用户管理、证书与附加设立、系统控制（应用配置、重启引擎、重启系统、开始调试和结束调试）、网络配置管理（接口和安全区）、策略管理（Web应用防护策略、访问控制策略和Web应用扫描策略）、对象管理（Web对象、网络对象、域名对象、服务对象和时间对象）、报表管理（事件报表、查询报表、审计报表和Web应用扫描报表）、帮助Web审计员登录退出、修改当前用户密码、报表管理（审计报表）、帮助Web操作员登录退出、查看状态和事件、下载与备份、网络诊断工具、修改当前用户密码、系统控制（应用配置和重启引擎）、查看网络配置（接口和安全区）、策略管理（Web应用防护策略、访问控制策略和Web应用扫描策略）、对象管理（Web对象、网络对象、域名对象、服务对象和时间对象）、报表管理（事件报表、查询报表和Web应用扫描报表）、帮助添加用户在用户列表上方的添加用户区域，请填写以下用户信息：用户名称——即登录ID，长度必须在6至16个字符之间，可以由数字、字母或下划线组成，用户名开头不能是数字。用户密码——即登录密码，不能和用户名相同，长度必须在6至16个字符之间，不能包含空格，且不能全为数字或全为字母。许可登录——指允许该用户从哪个IP地址登录本系统（当前版本只接受单个IP地址和任意IP地址，使用*表达任意IP）。帐户状态——选择正常，表达该用户可用；选择禁用，表达该用户虽然存在，但被严禁使用。邮箱地址——该用户有效的电子邮件地址（可以不填）。组别选择——每个用户组拥有的权限不同，请选择该用户从属于哪个组。修改用户在用户列表中，每次选中一个要修改的用户，用户列表上方的修改用户区域即显示该用户信息。修改完毕，单击修改区域内的【拟定】。修改系统默认用户webadmin、webaudit和weboper的信息时，只能修改其登录密码、邮件地址和许可登录信息。删除用户在用户列表中，选中要删除的用户（可以多选），然后单击用户列表右上方的【删除】，确认后即可将所选的用户删除。不允许删除系统默认用户webadmin、webaudit和weboper。假如修改过系统默认用户的密码且不小心遗忘，可以通过引擎串口管理界面重置密码，具体操作方法请参见HYPERLINK4.3.4维护工具。证书与附加设立用户可以在此进行证书更新管理、高可用性设立和附加设立管理，以及下载SnmpAgentMIB文献及SnmpTrap相关文档。证书信息对的导入证书之前，证书状态为空。对的导入证书后，即可在此查看证书信息，涉及证书状态、证书类型、许可工作模式、有效工作口数、颁发对象、颁发日期和证书的截止日期，如图3.14所示。系统–证书信息许可工作模式显示为WAF（scan），表达Web应用扫描功能模块可用；许可工作模式显示为WAF，表达Web应用扫描功能模块不可用。有关导入引擎证书的操作方法，请查阅《冰之眼Web应用防火墙安装手册》中的3.1.2引擎配置。重启引擎后，证书才干加载并生效。高可用性设立高可用性设立涉及硬件Bypass和HA机制（双机热备）设立，如图3.15所示。系统–高可用性设立其中各项参数含义如下：强制硬件Bypass——仅合用于型号后缀为B的冰之眼WAF产品。选择是，表达仅使用硬件自身的Bypass功能（需要硬件支持，型号后缀为B的支持此功能），此时引擎一直处在硬件Bypass状态，不作检测保护；选择否，表达不启用强制硬件Bypass功能，此时引擎将处在默认工作状态，在软件失效的情况下才会自动切换到Bypass状态（通过串口管理界面也可以关闭强制硬件Bypass，具体操作方法请参见HYPERLINK4.3.4维护工具）。是否启用HA机制——冰之眼WAF支持HA机制，即需要两台冰之眼WAF来实现双机热备功能。请选择是否启用该机制。本机工作模式——本机启用HA机制后所处的地位，是主机还是从机（备份机）。从机配置口IP——备份机的IP地址，仅当本机工作模式为“主”时才需要填写此项。配置完毕，在从机的Web管理界面中开放HA机制。同步时间设立——HA机制使用定期同步方式，请设立同步的时间间隔（单位：秒），仅当本机工作模式为“主”时才需要填写此项。附加设立管理如图3.16所示，进行冰之眼WAF附属项的配置管理，然后单击【拟定】。附加设立管理的重要参数含义如下：远程协助——选择启动，可以通过50022端口进行远程管理（仅限绿盟科技的技术人员在网络调试时使用）。Ping(Icmp)——选择启动，允许当前冰之眼WAF设备对Icmp请求作出应答，方便管理员调试设备故障；选择严禁，表达当前冰之眼WAF设备对Icmp请求不作出应答。SnmpTrap主机——指定接受冰之眼WAF告警事件trap信息的服务器IP地址。若不指定，请设立为，并且把SnmpTrap开关置为关闭。SnmpAgent开关——选择启动，表达启动Snmp代理功能。时间同步服务器——指定期间同步的服务器IP地址，将冰之眼WAF的系统时间与其同步（时间同步间隔的单位：秒）。若不指定，请设立为，并且把时间同步开关置为关闭。域名服务器——指定本系统使用的域名服务器的IP地址，用来提供Web应用扫描中的域名解析。系统–附加设立管理系统控制如图3.17所示，通过单击相应的按钮可以进行以下系统控制的操作：应用配置——策略将被重新加载生效。这里的策略涉及Web应用防护策略、网络访问控制策略和Web应用扫描策略。重启引擎——重新启动引擎，策略和引擎配置将被重新加载生效。重启系统——重新启动冰之眼WAF硬件系统。开始调试——进入网络调试的模式（仅限绿盟科技的技术人员在网络调试时使用）。结束调试——退出网络调试的模式（仅限绿盟科技的技术人员在网络调试时使用）。系统–系统控制执行重启系统后，所有报表的数据将被清空，然后重新记录。网络管理员在这部分可以定义网络接口和安全区。接口接口是指网络物理硬件接口的逻辑对象，拥有配置网络地址并进行网络通讯的能力。如图3.18所示，列出当前引擎所有网络接口的信息。管理员可以对所有接口进行配置（不同的硬件型号，接口列表也不同，初始状态下，接口列表中所有接口的所属安全区为“带外管理（Mgt）”类型，并且每个接口都可管理）。刷新网络接口信息刷新网络接口信息网络–引擎网络接口列表在引擎网络接口列表的“配置”一栏下，单击【编辑】，即可编辑相应的接口信息，如图3.19所示。网络–编辑网络接口信息网络接口信息各参数含义如下：所属安全区——需要根据接口的工作方式来配置接口所属的安全区，在同一安全区内的接口之间存在通讯上的关联。以下两种情况不允许修改所属安全区：非intel网卡的接口不允许修改所属安全区；证书存在问题时不允许修改所属安全区，例如：未导入证书之前不允许修改任何接口的所属安全区。是否可管理——选中此项，表达该接口可以通过Web方式被远程管理。IP地址/网络掩码——输入网络接口的管理IP地址（仅当选中了“是否可管理”才需设立此项）。网关IP——跨网段远程管理时，才需要设立此项。选中是否缺省网关，其他接口的网关将不再作为缺省网关。双工模式——网络接口的工作模式，有auto（自动匹配）、full（全双工）和half（半双工）三个选项。连接速率——强制接口的协商速率，可选项涉及10Mb、100Mb、1000Mb以及auto（自动协商）。请根据与冰之眼WAF引擎连接的网络设备的特性，选择适当的协商速率，以保证网络通讯正常。假如接口接入速率为10Mb的集线器，请选择接口的连接速率为10Mb。有关安全区的配置方法，请参见HYPERLINK3.3.2安全区。接口配置变更后，需要手工执行【系统】【系统控制】【重启引擎】才可以生效，具体操作方法和注意事项请参见HYPERLINK3.2.7系统控制。安全区安全区是指拥有相同工作类型的接口的集合，涉及以下三种工作类型：监听——同一个安全区之内的接口处在监听工作模式。直通——同一个安全区之内的接口处在online工作模式。管理——安全区之内的接口处在正常工作模式，可以进行管理。global是系统缺省的安全区域，包含所有的安全区。如图3.20所示，列出当前所有网络安全区的信息，管理员可以对其进行配置。正处在使用状态中的安全区，表达该安全区内有从属于该安全区的接口或者正被规则（涉及Web应用防护和网络访问控制）使用，此时无法配置。刷新安全区信息刷新安全区信息网络–安全区列表新建安全区在安全区列表的右上方，单击【新建】，进入创建安全区的界面，如图3.21所示，配置安全区的各项参数信息。其中，安全区名称是安全区的唯一标记，不能重名；安全区类型涉及三种：Direct（直通）、Mgt（管理）和Monitor（监听）。网络–新建安全区编辑安全区在安全区列表的“配置”一栏中，单击【编辑】，即可编辑相应的安全区类型和备注信息。删除安全区在安全区列表的“配置”一栏中，单击【删除】，确认后即可将相应的安全区删除。系统缺省安全区global和正在使用中的安全区，不能编辑和删除。若要取消某个安全区被使用的状态，也许需要进行两个操作：①重新设立相应接口的所属安全区，具体操作方法请参见HYPERLINK3.3.1接口；②在Web应用防护或网络访问控制策略中，取消该安全区的使用状态，具体操作方法请参见HYPERLINK3.5策略。对象对象，即将一些分散的同类型事物组合在一起，并给该组定义一个别名，这个别名就是对象的名称。管理员在此可以定义系统中所有对象，涉及Web对象、网络对象、域名对象、服务对象和时间对象。Web在设立Web应用防护策略时，需要选择Web对象来定义规则，分为以下三类Web对象：系统Web、自定义Web和Web组。系统Web系统Web对象，即系统预定义的Web对象。如图3.22所示，列出了用户常用的Web对象。刷新系统Web对象信息刷新系统Web对象信息对象–系统Web对象列表编辑系统Web对象在系统Web对象列表的“配置”一栏中，单击【编辑】，即可编辑相应的系统Web对象，如图3.23所示。对象–编辑系统Web对象以HTTP_Connection_Flood袭击为例，编辑系统Web对象时，参数含义如下：编号——系统自动分派的系统Web对象编号，不能修改。对象类型——系统Web对象的类型，不能修改。对象名称——系统Web对象的名称，不能修改。action_type（动作类型）——可以选择deny_ip（封禁IP）或drop_oldest_session（断开最老会话）。此项必须配置。max_tcpsession_per_ip（单个源IP的最大连接数）——此项必须配置，且必须填写非0数值。conn_keep_time（连接保持时间）——连接闲置时间最大值。超过闲置时间最大值时连接会被断开。此项设立为0时表达不启用该功能。cumulate_conn_count（累计连接数）——单位时间内的累计连接数。该参数必须与cumulate_conn_time（累计连接时间）同时配置才有效。此项设立为0时表达不启用该功能。cumulate_conn_time（累计连接时间）——此项设立为0时表达不启用该功能。deny_time（封禁IP的时间）——仅当action_type（动作类型）设定为deny_ip（封禁IP）时才有效（单位：秒）。此项设立为0时表达不启用该功能。备注——填写备注信息，用来简朴描述该系统Web对象。系统Web对象为系统自带的，不能删除，它会随着版本升级而有所变动。自定义Web除了在系统Web对象中进行防护内容的设立，还可以进行自定义类别的Web对象设立。如图3.24所示，列出用户自定义Web对象的示例。对于无法删除的自定义Web对象，表达已包含在Web组对象中或者正被Web应用防护规则使用（无论规则是否启用）。刷新自定义Web对象信息刷新自定义Web对象信息对象–自定义Web对象列表新建自定义Web对象在自定义Web对象列表的右上方，单击【新建】，进入新建自定义Web对象的界面，如图3.25所示。对象–新建自定义Web对象以waf_onlinegame（网游袭击）类型为例，新建自定义Web对象时，参数含义如下：编号——系统自动分派的自定义Web对象编号，不能修改。对象名称——必须填写自定义Web对象名称，不能和已有对象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。类型——选择自定义Web对象的类型。事件列表——单击【多选】，选择该对象进行Web应用防护的网游袭击事件。备注——填写备注信息，用来简朴描述该自定义Web对象。编辑自定义Web对象在自定义Web对象列表的“配置”一栏中，单击【编辑】，即可编辑相应的自定义Web对象。删除自定义Web对象在自定义Web对象列表的“配置”一栏中，单击【删除】，确认后即可删除相应的自定义Web对象（不能删除正在使用中的自定义Web对象）。自定义Web对象一旦被某个Web组对象使用或被任一规则使用后都不允许被删除，可通过如下操作解除限制：①在Web组对象中，去掉该对象的选用，具体操作方法请参见HYPERLINKWeb组；②在Web应用防护策略中，去掉该对象的选用，具体操作方法请参见HYPERLINK3.5.1Web应用防护。Web组这里的组是指若干系统Web对象和自定义Web对象组成的逻辑集合，组同样也可以包含其他组。如图3.26所示，列出当前所有的Web组对象。对于无法删除的Web组对象，表达已包含在其他Web组对象中或者正被Web应用防护规则使用（无论规则是否启用）。若要查看Web组对象中包含的对象类型，将鼠标置于“包含对象”一栏中相应的图标上，即可显示对象类型。刷新Web组对象信息刷新Web组对象信息对象–Web组对象列表新建Web组对象在Web组对象列表的右上方，单击【新建】，进入新建Web组对象的界面，如图3.27所示。对象–新建Web组对象新建Web组对象时，各项参数含义如下：编号——系统自动分派的Web组对象编号，不能修改。对象名称——必须填写Web组对象名称，不能和已有对象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。包含对象——单击【多选】，选择该Web组对象包含的Web对象（可以多选），如图3.28所示。备注——填写备注信息，用来简朴描述该Web组对象。对象–选择Web组对象包含的对象编辑Web组对象在Web组对象列表的“配置”一栏中，单击【编辑】，即可编辑相应的Web组对象。删除Web组对象在Web组对象列表的“配置”一栏中，单击【删除】，确认后即可删除相应的Web组对象（不能删除正在使用中的Web组对象）。Web组对象一旦被其他Web组对象使用或被任一规则使用后都不允许被删除，可通过如下操作解除限制：①在Web组对象的其他组对象中，去掉该对象的选用；②在Web应用防护策略中，去掉该对象的选用，具体操作方法请参见HYPERLINK3.5.1Web应用防护。网络在设立Web应用防护策略或网络访问控制策略时，需要引用网络对象来定义规则，分为以下四类网络对象：网络、节点、IP池和网络组。网络这里的网络是指一个网段，即根据IP和网络掩码来指定的IP子网对象。如图3.29所示，列出当前所有IP子网对象，其中any是系统缺省的网络对象，不能编辑或删除。对于无法删除的网络对象，表达已包含在网络组对象中或者正被Web应用防护/网络访问控制规则使用（无论规则是否启用）。刷新网络对象信息刷新网络对象信息对象–网络对象列表新建网络对象在网络对象列表的右上方，单击【新建】，进入新建网络对象的界面，如图3.30所示。对象–新建网络对象新建网络对象时，各项参数含义如下：编号——系统自动分派的网络对象编号，不能修改。对象名称——必须填写网络对象名称，不能和已有对象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。IP地址——网络对象的IP地址（只能输入单个IP地址）。掩码——网络对象的子网掩码。是否取反——选中此项，表达将指定IP所在网络以外的IP地址作为该网络对象。备注——填写备注信息，用来简朴描述该网络对象。编辑网络对象在网络对象列表的“配置”一栏中，单击【编辑】，即可编辑相应的网络对象（不能编辑系统缺省的any对象）。删除网络对象在网络对象列表的“配置”一栏中，单击【删除】，确认后即可删除相应的网络对象（不能删除系统缺省的any对象和正在使用中的网络对象）。网络对象一旦被某个网络组对象使用或被任一规则使用后都不允许被删除，可通过如下操作解除限制：①在网络组对象中，去掉该对象的选用，具体操作方法请参见HYPERLINK网络组；②在Web应用防护策略中，去掉源/目的对象中对该对象的选用，具体操作方法请参见HYPERLINK3.5.1Web应用防护；③在网络访问控制策略中，去掉源/目的对象中对该对象的选用，具体操作方法请参见HYPERLINK3.5.2网络访问控制。节点这里的节点是指单个IP，即根据IP来指定的IP主机对象。如图3.31所示，列出当前所有节点对象。对于无法删除的节点对象，表达已包含在网络组对象中或者正被Web应用防护/网络访问控制规则使用（无论规则是否启用）。刷新节点对象信息刷新节点对象信息对象–节点对象列表新建节点对象在节点对象列表的右上方，单击【新建】，进入新建节点对象的界面，如图3.32所示。对象–新建节点对象新建节点对象时，各项参数含义如下：编号——系统自动分派的节点对象编号，不能修改。对象名称——必须填写节点对象名称，不能和已有对象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。IP地址——节点对象的单个IP地址。是否取反——选中此项，表达将指定IP以外的IP地址作为该节点对象。备注——填写备注信息，用来简朴描述该节点对象。编辑节点对象在节点对象列表的“配置”一栏中，单击【编辑】，即可编辑相应的节点对象。删除节点对象在节点对象列表的“配置”一栏中，单击【删除】，确认后即可删除相应的节点对象（不能删除正在使用中的节点对象）。节点对象一旦被某个网络组对象使用或被任一规则使用后都不允许被删除，可通过如下操作解除限制：①在网络组对象中，去掉该对象的选用，具体操作方法请参见HYPERLINK网络组；②在Web应用防护策略中，去掉源/目的对象中对该对象的选用，具体操作方法请参见HYPERLINK3.5.1Web应用防护；③在网络访问控制策略中，去掉源/目的对象中对该对象的选用，具体操作方法请参见HYPERLINK3.5.2网络访问控制。IP池IP池是指一段连续的IP，即从起始IP地址到结束IP地址之间的若干IP主机对象。如图3.33所示，列出当前所有IP池对象。对于无法删除的IP池对象，表达已包含在网络组对象中或者正被Web应用防护/网络访问控制规则使用（无论规则是否启用）。刷新IP池对象信息刷新IP池对象信息对象–IP池对象列表新建IP池对象在IP池对象列表的右上方，单击【新建】，进入新建IP池对象的界面，如图3.34所示。对象–新建IP池对象新建IP池对象时，各项参数含义如下：编号——系统自动分派的IP池对象编号，不能修改。对象名称——必须填写IP池对象名称，不能和已有对象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。开始地址/结束地址——IP池对象的起始IP地址和结束IP地址，由此组成一个IP地址范围。是否取反——选中此项，表达将指定IP范围以外的IP地址作为该IP池对象。备注——填写备注信息，用来简朴描述该IP池对象。编辑IP池对象在IP池对象列表的“配置”一栏中，单击【编辑】，即可编辑相应的IP池对象。删除IP池对象在IP池对象列表的“配置”一栏中，单击【删除】，确认后即可删除相应的IP池对象（不能删除正在使用中的IP池对象）。IP池对象一旦被某个网络组对象使用或被任一规则使用后都不允许被删除，可通过如下操作解除限制：①在网络组对象中，去掉该对象的选用，具体操作方法请参见HYPERLINK网络组；②在Web应用防护策略中，去掉源/目的对象对该对象的选用，具体操作方法请参见HYPERLINK3.5.1Web应用防护；③在网络访问控制策略中，去掉源/目的对象对该对象的选用，具体操作方法请参见HYPERLINK3.5.2网络访问控制。网络组这里的组是指若干个网络、节点或IP池对象组成的逻辑集合，组同样也可以包含其他组。如图3.35所示，列出当前所有网络组对象。对于无法删除的网络组对象，表达已包含在其他网络组对象中或者正被应用Web应用防护/网络访问控制规则使用（无论规则是否启用）。若要查看网络组对象中包含的对象类型，可以将鼠标置于“包含对象”一栏中相应的图标上，即可显示对象类型。刷新网络组对象信息刷新网络组对象信息对象–网络组对象列表新建网络组对象在网络组对象列表的右上方，单击【新建】，进入新建网络组对象的界面，如图3.36所示。对象–新建网络组对象新建网络组对象时，各项参数含义如下：编号——系统自动分派的网络组对象编号，不能修改。对象名称——必须填写网络组对象名称，不能和已有对象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。包含对象——单击【多选】，选择该网络组对象包含的网络对象（可以多选），如图3.37所示。是否取反——选中此项，表达将指定对象以外的网络对象作为该网络组对象。备注——填写备注信息，用来简朴描述该网络组对象。对象–选择网络组对象包含的对象编辑网络组对象在网络组对象列表的“配置”一栏中，单击【编辑】，即可编辑相应的网络组对象。删除网络组对象在网络组对象列表的“配置”一栏中，单击【删除】，确认后即可删除相应的网络组对象（不能删除正在使用中的网络组对象）。网络组对象一旦被其他网络组对象使用或被任一规则使用后都不允许被删除，可通过如下操作解除限制：①在网络组对象的其他组对象中，去掉该对象的选用；②在Web应用防护策略中，去掉源/目的对象对该对象的选用，具体操作方法请参见HYPERLINK3.5.1Web应用防护；③在网络访问控制策略中，去掉源/目的对象对该对象的选用，具体操作方法请参见HYPERLINK3.5.2网络访问控制。域名在设立Web应用防护策略或Web应用扫描策略时，需要引用域名对象来定义规则，分为以下两类域名对象：自定义域名和域名组。自定义域名如图3.38所示，列出当前所有自定义域名对象，其中any是系统缺省的域名对象。对于无法删除的自定义域名对象，表达已包含在域名组对象中或者正被Web应用防护/Web应用扫描规则使用（无论规则是否启用）。刷新自定义域名对象信息刷新自定义域名对象信息对象–自定义域名对象列表新建自定义域名对象在自定义域名对象列表的右上方，单击【新建】，进入新建自定义域名对象的界面，如图3.39所示。对象–新建自定义域名对象新建自定义域名对象时，各项参数含义如下：编号——系统自动分派的自定义域名对象编号，不能修改。对象名称——必须填写自定义域名对象名称，不能和已有对象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。域名——填写该对象的域名，例如：；或者通过*.domain的方式实现对子域名的支持，例如：*.163.com可以匹配所有以163.com结尾的域名。备注——填写备注信息，用来简朴描述该自定义域名对象。编辑自定义域名对象在自定义域名对象列表的“配置”一栏中，单击【编辑】，即可编辑相应的域名对象。删除自定义域名对象在自定义域名对象列表的“配置”一栏中，单击【删除】，确认后即可删除相应的域名对象（不能删除正在使用中的自定义域名对象）。自定义域名对象一旦被某个域名组对象使用或被任一规则使用后都不允许被删除，可通过如下操作解除限制：①在域名组对象中，去掉该对象的选用，具体操作方法请参见HYPERLINK域名组；②在Web应用防护策略中，去掉该对象的选用，具体操作方法请参见HYPERLINK3.5.1Web应用防护；③在Web应用扫描策略中，去掉该对象的选用，具体操作方法请参见HYPERLINK3.5.3Web应用扫描。域名组这里的组是指若干自定义域名对象组成的逻辑集合，组同样也可以包含其他组。如图3.40所示，列出当前所有域名组对象。对于无法删除的域名组对象，表达已包含在其他域名组对象中或者正被Web应用防护/Web应用扫描规则使用（无论规则是否启用）。若要查看域名组对象中包含的对象类型，将鼠标置于“包含对象”一栏中相应的图标上，即可显示对象类型。刷新域名组对象信息刷新域名组对象信息对象–域名组列表新建域名组对象在域名组对象列表的右上方，单击【新建】，进入新建域名组对象的界面，如图3.41所示。对象–新建域名组对象新建域名组对象时，各项参数含义如下：编号——系统自动分派的域名组对象编号，不能修改。对象名称——必须填写域名组对象名称，不能和已有对象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。包含对象——单击【多选】，选择该域名组对象包含的域名对象（可以多选），如图3.42所示。备注——填写备注信息，用来简朴描述该域名组对象。对象–选择域名组对象包含的对象编辑域名组对象在域名组对象列表的“配置”一栏中，单击【编辑】，即可编辑相应的域名组对象。删除域名组对象在域名组对象列表的“配置”一栏中，单击【删除】，确认后即可删除相应的域名组对象（不能删除正在使用中的域名组对象）。域名组对象一旦被其他域名组对象使用或被任一规则使用后都不允许被删除，可通过如下操作解除限制：①在域名组对象的其他组对象中，去掉该对象的选用；②在Web应用防护策略中，去掉该对象的选用，具体操作方法请参见HYPERLINK3.5.1Web应用防护；③在Web应用扫描策略中，去掉该对象的选用，具体操作方法请参见HYPERLINK3.5.3Web应用扫描。服务在设立Web应用防护策略、网络访问控制策略或Web应用扫描策略时，需要引用服务对象来定义规则，分为以下三类服务对象：系统服务、自定义服务和服务组。系统服务系统服务对象，即系统预定义的服务对象，支持协议自辨认和非固定端口的协议辨认，涉及常见的ftp、bittorrent等协议。如图3.43所示，列出出厂时已经设立的服务对象。刷新系统服务对象信息刷新系统服务对象信息对象–系统服务对象列表系统服务对象为系统自带的，不能编辑或删除，它会随着版本升级而有所变动。自定义服务除了系统服务对象，用户可以自定义服务对象，即自定义服务端口和协议类型。如图3.44所示，列出用户自定义的所有服务对象。对于无法删除的自定义服务对象，表达已包含在服务组对象中或者正被Web应用防护/网络访问控制/Web应用扫描规则使用（无论规则是否启用）。刷新自定义服务对象信息刷新自定义服务对象信息对象–自定义服务对象列表新建自定义服务对象在自定义服务对象列表的右上方，单击【新建】，进入新建自定义服务对象的界面，如图3.45所示。对象–新建自定义服务对象新建自定义服务对象时，各项参数含义如下：编号——系统自动分派的自定义服务对象编号，不能修改。类型——选择一个协议类型，不同的类型相应不同的参数设立，例如：选择TCP或UDP协议则需要设立源/目的端口；选择ICMP协议则需要设立type和code；选择IP协议则需要设立IP协议类型。对象名称——必须填写自定义服务对象名称，不能和已有对象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。源端口——该服务对象使用的源端口，可以指定多个端口或端口范围，填写范围是0-65535（仅当选择TCP或UDP协议时，设立此项），例如：80,135-139,4000-8000,10000。目的端口——该服务对象使用的目的端口，可以指定多个端口或端口范围，填写范围是0-65535（仅当选择TCP或UDP协议时，设立此项），例如：80,135-139,4000-8000,10000。type——该服务对象的类型（仅当选择ICMP协议时，设立此项）。code——该服务对象的代码（仅当选择ICMP协议时，设立此项）。IP协议类型——仅当选择IP协议时，设立此项。备注——填写备注信息，用来简朴描述该自定义服务对象。编辑自定义服务对象在自定义服务对象列表的“配置”一栏中，单击【编辑】，即可编辑相应的服务对象。删除自定义服务对象在自定义服务对象列表的“配置”一栏中，单击【删除】，确认后即可删除相应的服务对象（不能删除正在使用中的自定义服务对象）。自定义服务对象一旦被某个服务组对象使用或被任一规则使用后都不允许被删除，可通过如下操作解除限制：①在服务组对象中，去掉该对象的选用，具体操作方法请参见HYPERLINK服务组；②在Web应用防护策略中，去掉该对象的选用，具体操作方法请参见HYPERLINK3.5.1Web应用防护；③在网络访问控制策略中，去掉该对象的选用，具体操作方法请参见HYPERLINK3.5.2网络访问控制；④在Web应用扫描策略中，去掉该对象的选用，具体操作方法请参见HYPERLINK3.5.3Web应用扫描。服务组这里的组是指若干系统服务对象和自定义服务对象组成的逻辑集合，组同样也可以包含其他组。如图3.46所示，列出当前所有服务组对象。对于无法删除的服务组对象，表达已包含在其他服务组对象中或者正被Web应用防护/网络访问控制/Web应用扫描规则使用（无论规则是否启用）。若要查看服务组对象中包含的对象类型，将鼠标置于“包含对象”一栏中相应的图标上，即可显示对象类型。刷新服务组对象信息刷新服务组对象信息对象–服务组对象列表新建服务组对象在服务组对象列表的右上方，单击【新建】，进入新建服务组对象的界面，如图3.47所示。对象–新建服务组对象新建服务组对象时，各项参数含义如下：编号——系统自动分派的服务组对象编号，不能修改。对象名称——必须填写服务组对象名称，不能和已有对象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。包含对象——单击【多选】，选择该服务组对象包含的服务对象（可以多选），如图3.48所示。备注——填写备注信息，用来简朴描述该服务组对象。对象–选择服务组对象包含的对象编辑服务组对象在服务组对象列表的“配置”一栏中，单击【编辑】，即可编辑相应的服务组对象。删除服务组对象在服务组对象列表的“配置”一栏中，单击【删除】，确认后即可删除相应的服务组对象（不能删除正在使用中的服务组对象）。服务组对象一旦被其他服务组对象使用或被任一规则使用后都不允许被删除，可通过如下操作解除限制：①在服务组对象的其他组对象中，去掉该对象的选用；②在Web应用防护策略中，去掉该对象的选用，具体操作方法请参见HYPERLINK3.5.1Web应用防护；③在网络访问控制策略中，去掉该对象的选用，具体操作方法请参见HYPERLINK3.5.2网络访问控制；④在Web应用扫描策略中，去掉该对象的选用，具体操作方法请参见HYPERLINK3.5.3Web应用扫描。时间在设立Web应用防护策略、网络访问控制策略或Web应用扫描策略时，需要选择时间对象来定义规则，分为以下两类时间对象：自定义时间和时间组。自定义时间每个时间对象都可包含两个时间段，用户可以根据具体情况来自定义时间对象。如图3.49所示，列出当前所有自定义时间对象，其中any是系统缺省的时间对象。对于无法删除的自定义时间对象，表达已包含在时间组对象中或者正被Web应用防护/网络访问控制/Web应用扫描规则使用（无论规则是否启用）。刷新自定义时间对象信息刷新自定义时间对象信息对象–自定义时间对象列表新建自定义时间对象在自定义时间对象列表的右上方，单击【新建】，进入新建自定义时间对象的界面，如图3.50所示。对象–新建自定义时间对象新建自定义时间对象时，各项参数含义如下：编号——系统自动分派的自定义时间对象编号，不能修改。类型——分为天天、每个工作日、每周和每月四类，其中每个工作日表达每周一至周五。对象名称——必须填写自定义时间对象名称，不能和已有对象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。时间——时间对象可以包含两个时间段，假如只需定义一个时间段，只需将第二个时间段都保持为系统默认的00:00即可。备注——填写备注信息，用来简朴描述该自定义时间对象。编辑自定义时间对象在自定义时间对象列表的“配置”一栏中，单击【编辑】，即可编辑相应的时间对象。删除自定义时间对象在自定义时间对象列表的“配置”一栏中，单击【删除】，确认后即可删除相应的时间对象（不能删除any对象和正在使用中的自定义时间对象）。自定义时间对象一旦被某个时间组对象使用或被任一规则使用后都不允许被删除，可通过如下操作解除限制：①在时间组对象中，去掉该对象的选用，具体操作方法请参见HYPERLINK时间组；②在Web应用防护策略中，去掉该对象的选用，具体操作方法请参见HYPERLINK3.5.1Web应用防护；③在网络访问控制策略中，去掉该对象的选用，具体操作方法请参见HYPERLINK3.5.2网络访问控制；④在Web应用扫描策略中，去掉该对象的选用，具体操作方法请参见HYPERLINK3.5.3Web应用扫描。时间组这里的组是指若干自定义时间对象组成的逻辑集合，组同样也可以包含其他组。如图3.51所示，列出当前所有的时间组对象。对于无法删除的时间组对象，表达已包含在其他时间组对象中或者正被Web应用防护/网络访问控制/Web应用扫描规则使用（无论规则是否启用）。若要查看时间组对象中包含的对象类型，可以将鼠标置于“包含对象”一栏中相应的图标上，即可显示对象类型。刷新时间组对象信息刷新时间组对象信息对象–时间组对象列表新建时间组对象在时间组对象列表的右上方，单击【新建】，进入新建时间组对象的界面。新建方法与新建服务组对象的相同，详情请参见HYPERLINK服务组。编辑时间组对象在时间组对象列表的“配置”一栏中，单击【编辑】，即可编辑相应的时间组对象。删除时间组对象在时间组对象列表的“配置”一栏中，单击【删除】，确认后即可删除相应的时间组对象（不能删除正在使用中的时间组对象）。时间组对象一旦被其他时间组对象使用或被任一规则使用后都不允许被删除，可通过如下操作解除限制：①在时间组对象的其他组对象中，去掉该对象的选用；②在Web应用防护策略中，去掉该对象的选用，具体操作方法请参见HYPERLINK3.5.1Web应用防护；③在网络访问控制策略中，去掉该对象的选用，具体操作方法请参见HYPERLINK3.5.2网络访问控制；④在Web应用扫描策略中，去掉该对象的选用，具体操作方法请参见HYPERLINK3.5.3Web应用扫描。策略Web应用防护Web应用防护策略重要是用来保护Web服务器。如图3.52所示，默认情况下分组列出所有安全区的Web应用防护规则，并可进行Web应用防护规则的添加、编辑、删除、复制和上下移动等操作。若要查看Web应用防护规则的“动作”或“选项”，可以将鼠标置于相应的图标上，即可显示提醒信息；假如将鼠标置于规则编号上，即可显示该规则的源安全区、目的安全区和备注信息。对于出现红叉的编号，表达该规则没有使用。策略–Web应用防护规则列表添加Web应用防护规则在Web应用防护规则列表的上方，一方面选择要添加的Web应用防护规则所属的源安全区和目的安全区，然后单击【新建】，进入添加Web应用防护规则的页面，如图3.53所示。策略–添加Web应用防护规则Web应用防护规则涉及以下参数：安全区——表达该规则是匹配从源安全区到目的安全区的数据包。编号——系统自动分派的Web应用防护规则序号，不能修改。源地址对象——数据包的来源对象。可任意选择网络对象、节点对象、IP池对象或网络组对象，单击相应的【多选】也可选择多个源地址对象（有关网络对象的设立方法，请参见HYPERLINK3.4.2网络）。缺省为any对象，表达该规则对任意源地址都有效。目的地址对象——数据包的目的对象。可任意选择网络对象、节点对象、IP池对象或网络组对象，单击相应的【多选】也可选择多个目的地址对象（有关网络对象的设立方法，请参见HYPERLINK3.4.2网络）。缺省为any对象，表达该规则对任意目的地址都有效。域名对象——触发该规则的域名。可任意选择自定义域名对象或域名组对象，单击相应的【多选】也可选择多个域名对象（有关域名对象的设立方法，请参见HYPERLINK3.4.3域名）。缺省为any，表达该规则对任意域名都有效。服务对象——触发该规则的服务。可任意选择系统服务对象、自定义服务对象或服务组对象，单击相应的【多选】也可选择多个服务对象（有关服务对象的设立方法，请参见HYPERLINK3.4.4服务）。缺省为any对象，表达该规则对任意服务都有效。Web对象——触发该规则的Web防护内容。可任意选择系统Web对象、自定义Web对象或Web组对象，单击相应的【多选】也可选择多个Web对象（有关Web对象的设立方法，请参见HYPERLINK3.4.1Web）。时间对象——该规则的有效时间，即规则在所选的时间段内有效。可任意选择自定义时间对象或时间组对象，单击相应的【多选】也可选择多个时间对象（有关时间对象的设立方法，请参见HYPERLINK3.4.5时间）。缺省为any对象，表达该规则在任意时间都有效。动作——选择严禁，表达触发该规则的网络访问被阻断；选择允许，表达网络访问被允许。记录日记——表达引擎是否产生告警事件。选择是，表达所有触发该规则的事件都被记录到事件具体报表中，同时在Web管理界面【首页】【事件】中实时显示，否则将不被记录和显示（有关日记的查看方法，请参见HYPERLINK3.6.1事件报表）。备注——填写备注信息，用来简朴描述该规则的内容。添加Web应用防护规则时，源和目的安全区均不能是“所有安全区”。对于直通类型的安全区，源安全区和目的安全区必须为同一类型，否则无法添加规则。编辑Web应用防护规则在Web应用防护规则列表中，单击“配置”一栏中的【编辑】，即可编辑相应的Web应用防护规则。编辑Web应用防护规则时，不能修改源/目的安全区的设立。删除Web应用防护规则在Web应用防护规则列表中，单击“配置”一栏中的【删除】，确认后即可删除相应的Web应用防护规则。复制Web应用防护规则复制Web应用防护规则的目的是简化网络管理员的工作，填写类似规则时，只需修改其中的少数几项即可添加一条完整的规则。在Web应用防护规则列表中，单击“配置”一栏中的【复制】，即可复制相应的Web应用防护规则，并在其基础上进行修改生成一条新的Web应用防护规则。移动Web应用防护规则Web应用防护规则采用初次匹配的方式，即从上到下顺序匹配，一旦匹配即不再继续匹配。在Web应用防护规则列表中，单击某条规则相应的，弹出调整规则位置的窗口，如图3.54所示。通过输入规则编号的方式，可以在本组内调整规则的位置。假如输入规则编号-1，系统将会把该规则调整到本组的最后一行。策略–移动Web应用防护规则的位置启用Web应用防护规则在Web应用防护规则列表中，所有的规则默认均是启用状态。若要取消启用状态，单击“使用”一栏下的选框，取消选中的状态。查询Web应用防护规则在Web应用防护规则列表的上方，可以通过选择源安全区或目的安全区的方式进行查询。Web应用防护规则内容变更（增长、删除或修改）后，需要手工执行【系统】【系统控制】【应用配置】才可以生效，具体操作方法和注意事项请参见HYPERLINK3.2.7系统控制。网络访问控制网络访问控制策略是基于IP和端口的网络报文过滤控制。如图3.55所示，默认情况下分组列出所有安全区的网络访问控制规则，并可进行网络访问控制规则的添加、编辑、删除、复制和上下移动等操作。若要查看网络访问控制规则的“动作”或“选项”，可以将鼠标置于相应的图标上，即可显示提醒信息；假如将鼠标置于规则编号上，即可显示该规则的源安全区、目的安全区和备注信息。对于出现红叉的编号，表达该规则没有使用。策略–网络访问控制规则列表添加网络访问控制规则在网络访问控制规则列表的上方，一方面选择要添加的网络访问控制规则所属的源安全区和目的安全区，然后单击【新建】，进入添加网络访问控制规则的页面，如图3.56所示。策略–添加网络访问控制规则网络访问控制规则涉及以下参数：安全区——表达该规则是匹配从源安全区到目的安全区的数据包。编号——系统自动分派的访问控制规则序号，不能修改。源地址对象——数据包的来源对象。可任意选择网络对象、节点对象、IP池对象或网络组对象，单击相应的【多选】也可选择多个源地址对象（有关网络对象的设立方法，请参见HYPERLINK3.4.2网络）。缺省为any对象，表达该规则对任意源地址都有效。目的地址对象——数据包的目的对象。可任意选择网络对象、节点对象、IP池对象或网络组对象，单击相应的【多选】也可选择多个目的地址对象（有关网络对象的设立方法，请参见HYPERLINK3.4.2网络）。缺省为any对象，表达该规则对任意目的地址都有效。服务对象——触发该规则的服务。可任意选择系统服务对象、自定义服务对象或服务组对象，单击相应的【多选】也可选择多个服务对象（有关服务对象的设立方法，请参见HYPERLINK3.4.4服务）。缺省为any对象，表达该规则对任意服务都有效。时间对象——该规则的有效时间，即规则在所选的时间段内有效。可任意选择自定义时间对象或时间组对象，单击相应的【多选】也可选择多个时间对象（有关时间对象的设立方法，请参见HYPERLINK3.4.5时间）。缺省为any对象，表达该规则在任意时间都有效。动作——选择允许，表达网络访问被允许；选择严禁，表达触发该规则的网络访问被阻断。备注——填写备注信