明御WEB应用防火墙产品配置手册V3.0.4.0.doc-道客多多

资源描述

1、明御 Web 应用防火墙WAF-V3.0.4.0产品配置手册文档版本 01发布日期 2014-12-08杭州安恒信息技术有限公司华为 Secospace Web 应用防火墙产品配置手册前言文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司 i 版权所有杭州安恒信息技术有限公司 2007-2014。保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他安恒商标均为杭州安恒信息技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特

2、性等应受杭州安恒公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，杭州安恒公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。杭州安恒信息技术有限公司地址：杭州市滨江区通和路 68 号中财大厦 15 层邮编：310051网址： http:/客户服务邮箱：客户服务电话： 4006059110华为 Secospace Web 应用防火墙产品配置手册前言文档版本 01 (2013-

3、05-30) 杭州华为专有和保密信息版权所有华为技术有限公司 ii 前言读者对象本文档提供了通过 Web 方式对安恒明御 Web 应用防火墙 WAF-V3.0.4.0（以下简称明御 WAF）进行配置的方法。本文档主要适用于以下工程师：网络规划工程师硬件安装工程师安装调测工程师现场维护工程师数据配置工程师系统维护工程师符号约定在本文中可能出现下列标志，它们所代表的含义如下。符号说明以本标志开始的文本表示有高度潜在危险，如果不能避免，会导致人员死亡或严重伤害。以本标志开始的文本表示有中度或低度潜在危险，如果不能避免，可能导致人员轻微或中等伤害。以本标志开始的文本表示有潜在风险，

4、如果忽视这些文本，可能导致设备损坏、数据丢失、设备性能降低或不可预知的结果。以本标志开始的文本能帮助您解决某个问题或节省您的时间。以本标志开始的文本是正文的附加信息，是对正文的强调和补充。华为 Secospace Web 应用防火墙产品配置手册前言文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司 iii 修订记录修订记录累积了每次文档更新的说明。最新版本的文档包含以前所有文档版本的更新内容。文档版本 01 (2014-12-08)第一次发布。华为 Secospace Web 应用防火墙产品配置手册资料问题反馈渠道文档版本 01 (2013-05

5、-30) 杭州华为专有和保密信息版权所有华为技术有限公司 iv 资料问题反馈渠道杭州安恒信息技术有限公司非常欢迎和珍惜您的意见和建议，请通过下列方式反馈您对产品文档的意见和建议：通过杭州安恒信息技术有限公司驻当地办事处的热线电话或代理商反馈通过电子邮件反馈，请发送至。明御华为 Secospace Web 应用防火墙产品配置手册目录文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司v目录前言 .ii资料问题反馈渠道 iv目录 v1 产品概述 12关于本章 .121.1 安恒 WAF 产品概述 131.2 产品功能介绍 131.3 产

6、品特点介绍 152 如何使用 Web 界面 16关于本章 .162.1 操作 Web 界面的注意事项 .172.2 Web 界面构成 .182.2.1 按钮区域 .182.2.2 菜单导航 .182.3 常用的 Web 界面操作 .202.3.1 登录与退出 .202.3.2 修改管理员密码 .212.3.3 修改 Web 服务超时时间 223 快速入门 24关于本章 .244 实时状态 26关于本章 .264.1 实时状态简介 274.2 风险趋势 274.2.1 风险趋势简介 .274.2.2 风险趋势查看 .274.3 系统概况 304.3.1 系统概况简介 .30明御华为 Secos

7、pace Web 应用防火墙产品配置手册目录文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司vi4.3.2 系统概况查看 .304.4 站点侦测 314.4.1 站点侦测简介 .314.4.2 站点侦测查看 .314.5 Web 统计 .334.5.1 Web 统计简介 334.5.2 Web 统计查看 334.6 网络接口 344.6.1 网络接口简介 .344.6.2 网络接口查看 .344.7 网络流量 354.7.1 网络流量简介 .354.7.2 网络流量查看 .354.8 历史数据 364.8.1 历史数据简介 .364.8.2 历史

8、数据查询 .365 日志 39关于本章 .395.1 应用防护日志 405.1.1 应用防护日志简介 .405.1.2 应用防护日志查询 .405.1.3 安恒风暴中心 .425.1.4 应用防护日志参数说明 .435.2 网络防护日志 455.2.1 网络防护日志简介 455.2.2 网络防护日志查询 455.3 CC 防护日志 .465.3.1 CC 防护日志简介 465.3.2 CC 防护日志查询 465.4 访问审计日志 485.3.1 审计日志 48访问审计日志简介 .48访问审计日志查询 .485.4.2 统计报表 .49访问统计日志简介 .49访问统计日志查询 .495.5 防篡

9、改日志 505.5.1 防篡改日志简介 .505.5.2 防篡改日志查询 .50明御华为 Secospace Web 应用防火墙产品配置手册目录文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司vii5.5.3 防篡改日志参数说明 .505.6 误判分析 515.6.1 误判分析简介 .515.6.2 误判分析操作步骤 .515.7 操作日志 525.7.1 操作日志简介 .525.7.2 操作日志查询 .525.7.3 操作日志参数说明 .535.7.4 操作日志导出 .535.8 系统日志 555.8.1 系统日志简介 .555.8.2 系统

10、日志查询 .555.8.3 系统日志参数说明 .575.9 升级日志 575.9.1 升级日志简介 .575.9.2 升级日志查询 .576 报表 58关于本章 .586.1 自定义报表 596.1.1 自定义报表简介 .596.1.2 自定义报表配置 .596.1.3 自定义报表配置示例 .606.2 组合报表 626.2.1 组合报表简介 .626.2.2 组合报表功能配置 .626.2.3 组合报表配置示例 .646.3 定时报表 676.3.1 定时报表简介 .676.3.2 定时报表配置 .676.3.3 定时报表配置示例 .686.4 合规报表 706.4.1 合规报表简介 .70

11、6.4.2 合规报表配置 .707 策略 73关于本章 .737.1 规则组 747.1.1 安全规则组简介 .747.1.2 安全规则组配置 .747.1.3 安全规则组配置示例 .80明御华为 Secospace Web 应用防火墙产品配置手册目录文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司viii7.1.4 Cookie 防篡改 81Cookie 防篡改原理 81Cookie 防篡改配置示例 827.1.5 HTTPOnly 防护机制 .83HTTPOnly 防护原理 837.1.5.1 HTTPOnly 配置示例 837.2 自定义

12、规则 847.2.1 自定义规则简介 .847.2.2 自定义规则配置 .847.2.3 自定义规则配置示例 .887.3 自学习建模 927.3.1 自学习建模简介 .927.3.2 自学习建模配置 .927.4 CC 攻击防御 .977.4.1 CC 攻击防御简介 977.4.2 CC 攻击防御配置 977.5 防盗链 1027.5.1 防盗链简介 .1027.5.2 防盗链配置 .1027.6 规则升级 1057.6.1 规则升级简介 .1057.6.2 规则包离线升级配置 .1057.6.3 规则升级配置示例 .1057.6.4 规则在线升级简介 .1077.6.5 规则在线升级配置

13、.1078 配置 109关于本章 .1098.1 全局配置 1118.1.1 部署模式 .111透明代理模式 .111旁路监听模式 .111反向代理模式 .111路由模式 .111桥模式 .1118.1.2 MAC 地址透明 112MAC 地址透明简介 .1128.1.3 站点健康检查 .112站点健康检查简介 .112站点健康检查配置步骤 .112明御华为 Secospace Web 应用防火墙产品配置手册目录文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司ix8.1.4 阻断页面 .1138.1.5 源 IP 解析 1148.2 保护站点

14、1168.2.1 保护站点简介 .1168.2.2 添加保护站点 .1178.2.3 修改保护站点 .1208.2.4 删除保护站点 .1218.2.5 清空保护站点 .1228.3 访问控制 1228.3.1 访问控制简介 .1228.3.2 访问控制配置 .1228.3.3 访问控制配置示例 .1238.4 网络防护 1268.4.1 网络防护简介 .1268.4.2 网络防护配置 .1268.5 日志记录 1278.5.1 日志记录简介 .1278.5.2 日志记录配置 .1288.5.3 日志记录配置示例 .1288.6 消息通知 1298.6.1 消息通知简介 .1298.6.2 消

15、息通知配置 .1318.6.3 消息通知配置示例 .1338.7 防篡改 1368.7.1 防篡改简介及工作原理 .1368.7.2 防篡改功能配置 .1378.8 HA1408.8.1 HA 简介及工作原理 .1408.8.2 HA 配置 .1418.9 监控管理 1438.9.1 监控管理简介 .1438.9.2 监控管理配置 .1438.10 接口配置 1468.10.1 接口配置简介 .1468.10.2 链路聚合接口配置 .1468.10.3 Vlan 接口的配置 .1508.10.4 网桥配置 .1528.11 高性能网关 1588.11.1 高性能网关简介 .158明御华为 S

16、ecospace Web 应用防火墙产品配置手册目录文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司x8.11.2 高性能网关规则配置步骤 .1588.11.3 地理位置规则配置步骤 .1608.12 配置管理 1618.12.1 配置管理简介 .1618.12.2 配置管理操作 .1619 系统 164关于本章 .1649.1 系统维护 1659.1.1 应用更改 .1659.1.2 清空数据 .1659.1.3 运行模式切换 .1679.1.4 抓包 .1689.1.5 接口配置 .1699.1.6 设备操作 .1709.2 系统设置 171

17、9.2.1 系统运行参数配置 .1719.2.2 系统时间 .1739.2.3 远程管理接口 .1739.3 用户管理 1749.3.1 用户管理简介 .1749.3.2 用户管理配置 .1749.3.3 LDAP 协议的配置 .1769.4 授权许可 1779.4.1 许可信息显示 .1789.4.2 授权许可更新 .1789.5 数据维护 1799.5.1 数据自动备份配置 .1799.5.2 数据导出 .1809.5.3 数据导入 .1819.6 系统升级 1819.6.1 系统升级简介 .1819.6.2 系统升级配置 .18110 附录 183关于本章 .18310.1 Consol

18、e 口调试 .18410.1.1 Console 口登录及主界面 18410.1.2 重置 Web 管理密码 18910.2 部署模式介绍 19010.2.1 透明代理模式 .190明御华为 Secospace Web 应用防火墙产品配置手册目录文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司xi10.2.2 旁路监听模式 .19410.2.3 反向代理代理模式 .19610.2.4 反向代理牵引模式 .20110.2.5 路由模式 .20610.2.6 桥模式 .21010.3 Syslog 日志 21210.3.1 引言 .21210.

19、3.2 应用防护日志格式说明 .21310.3.3 系统日志格式说明 .215华为 Secospace Web 应用防火墙产品配置手册 1 产品概述文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司121 产品概述关于本章本节内容主要是介绍安恒明御 Web 应用防火墙，对安恒明御 Web 应用防火墙的主要特点及其功能进行描述。1.1 安恒 WAF 产品概述简述安恒明防御 Web 应用防火墙产品。1.2 产品特点介绍简述安恒明御 Web 应用防火墙产品特点。1.3 产品功能介绍简述安恒明御 Web 应用防火墙产品功能。华为 Secospace Web

20、应用防火墙产品配置手册 1 产品概述文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司131.1 安恒 WAF 产品概述安恒明御 Web 应用防火墙（简称明御 WAF）是安恒自主开发、拥有知识产权的新一代的 Web 安全防护产品。与上一代以代理技术为基础 Web 应用防火墙不同点主要在于：上一代 Web 防火墙以研究安全攻击特征为核心，依赖于安全特征匹配技术；新一代Web 应用防火墙以用户网站为核心，自动依据网站学习建模，生成基于用户网站的专有安全规则，因此防护更有针对性，误判极低，且性能得到更大的提升。明御 WAF 结合多年研发经验，充分考虑 Web

21、应用系统可能存在的安全风险，通过对网络层、 Web服务层、Web 应用程序层、应用内容属性四个层面进行全方位安全分析与防御。1.2 产品功能介绍表 1-1 产品功能介绍表序号技术功能功能价值1 防护 30 余类Web 通用攻击系统内置了 30 余类的通用 Web 攻击特征有效的防御来自外部的如 SQL 注入、文件注入、命令注入、配置注入、LDAP 注入、跨站脚本等，部署明御 WAF 后自动障蔽相应的 Web 攻击行为。2 协议规范性检查通过 HTTP 协议规范性检查可以实现 Web 主动防御功能，如请求头长度限制、请求编码类型限制等从而障蔽了大部分非法的未知攻击行为。3 抗

22、 Web 扫描器扫描明御 WAF 能自动识别扫描器的扫描行为，并智能阻断如 Nikto、Paros proxy、WebScarab、WebInspect 、Whisker 、libwhisker、Burpsuite、Wikto 、Pangolin、Watchfire AppScan 、N-Stealth、Acunetix Web Vulnerability Scanner 等多种扫描器的扫描行为。4 防护敏感信息泄露明御 WAF 具备双向内容检测的能力，能识别服务器页面内容的敏感信息，防止敏感信息泄露，如服务器出错信息，数据库连接文件信息，Web 服务器配置信息，网页中的连续出现的身份证、手机

23、、邮箱等个人信息均可被明御 WAF 识别并依据策略采取相应的措施。5 防止恶意言论提交Web 应用防火墙支持中文关键字解析技术，通过对用户提交信息进行过滤，有效的解决了用户提交政冶敏感、违反法规相关的言论信息，从而保障网站的内容健康呈现。6 CC 攻击防护可基于请求字段细粒度检测 CC 攻击，支持请求速率和请求集中度双重算法检测，双重检测算法更精准科学，有效减少误判，并可应对 CC 慢速攻击，挑战模式可识别人机访问，支持流量自学习建模和攻击者区域检测算法，完全隔离海外肉机。支持统计访问流量信息，进行人机对抗。华为 Secospace Web 应用防火墙产品配置手册 1 产品概述文档版本 01

24、 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司14序号技术功能功能价值7 防护盗链行为明御 WAF 支持多种盗链识别算法能有效解决单一来源盗链、分布式盗链、网站数据恶意采集等信息盗取行为，从而确保网站的资源只能通过本站才能访问。8 虚拟补丁明御 WAF 将 Web 漏洞扫描系统的检测结果直接导入到 WAF 中，形成虚拟补丁，提高修复网站漏洞的时效性。9 白名单技术明御 WAF 可以对网站访问流量进行学习，滤出安全噪音后自动形成安全规则，基于白名单的安全检测技术实现对 0day 攻击的主动防御。10 智能防护明御 WAF 推出的攻击者识别与锁定功能可以

25、快速的发现攻击者，将并试图采用穷举攻击、扫描等攻击行为的入侵者直接锁定 IP 地址，降低被入侵的风险。11 WEB 服务自发现复杂网络环境中服务器 IP、域名众多，WAF 实施过程经常询问多人，甚至配置错误的对象导致网站中断情况时有发生。自发现可实现即插即用勿须询问。12 应用程序错误跟踪明御 WAF 能自动记录应用程序的出错信息，并能将应用程序出错信息进行分类汇总，为程序人员进行分析原因和修复程序提供了重要参考。13 静态网页篡改防护明御 WAF 专注于动态应用程序的安全防护，考虑到门户网站对防篡改的要求，明御 WAF 内置了静态网页篡改防护与预警功能，防止篡改的页面显示到用户端并将篡改事

26、件及时告警。14 Web 应用加速采用 WebCache 技术对防护的网站进行加速，通过对静态文件的缓存技术，动态请求的 TCP 连接复用技术实现了网站访问速度的提升。15 Web 负载均衡通过明御 WAF 实现对防护站点的轻量级负载均衡，有效的缓解了因单台服务器可能存在单点故障的情况，从而实现了网站不间断服务。16 站点访问审计对网站的访问情况进行统计分析呈现即时访问量趋势图、用户最关注的网页、访问者最集中的地市区域等信息，便于分析网站的业务模块的访问情况，并为业务功能的价值提供评价参考。华为 Secospace Web 应用防火墙产品配置手册 1 产品概述文档版本 01 (2013-

27、05-30) 杭州华为专有和保密信息版权所有华为技术有限公司151.3 产品特点介绍明御 WAF 提供高效的 Web 应用安全边界检查功能。明御 WAF 整合了 Web 安全深度防御及站点隐藏等功能，能全方位的保护用户的 Web 数据中心。通过对所有 Web 流量（包括客户端请求流量和服务器返回的数据流量）进行深度检测，提供了实时有效的入侵防护功能。明御 WAF 充分考虑用户已有环境的差异性，对环境兼容性、应用多样性进行了深入的分析和总结。表 1-2 产品特点表序号产品特点描述1 防御能力强明御 WAF 所集成的安全特征库是当前国内最为全面的Web 应用安全特征库。同类产品只

28、集成了 SQL 注入、跨站脚本 2 个类别的特征库，明御 WAF 集成了 30 余类的安全特征库，不但能防护通用的攻击，而且能为特定的开发语言、Web 服务器版本、CMS 等提供特需的防护。2 易用性好产品采用业界最领先的透明代理技术，对网络及应用透明，对现有环境零改动。产品特征库经过安全专家的深入测试和众多用户场景的实际应用，具有极低的误判率。3 安全态势实时告知产品能自动分析和检测实时面临的安全威胁，当防护站点受到攻击时自动将安全事件告知主管人员，从而管理人员能在第一时间采取相应的安全措施。4 安全日志产品工作在应用层，能详细的记录 HTTP 协议相关的任何攻击信息，如请求的 URL、

29、POST 内容、响应头部、页面内容等，为安全事件分析、安全事件追溯以及安全取证等提供了最为直接的依据。5 多种防御措施基于 URL 级别的请求阻断，不影响用户对业务的正常访问。提供请求者黑名单，限制攻击者的持续攻击行为。响应伪装，挫败恶意攻击行为。6 部署模式灵活支持全透明部署、单臂模式部署、牵引模式部署、网关模式等多种部署方式，从而能广泛的应用于政府、金融、运营商、教育、企业等众多复杂多变的网络环境。7 电子商务电子政务环境兼容性Web 核心业务系统大多采用了 SSL 加密以及 CDN 加速技术，由于上述技术的引入导致网络层 IP 地址的变化，普通 Web 应用防火墙无法识别真实的访问者

30、 IP，应用层的访问控制措施也无法实施。明御 Web 应用防火墙采用应用层的 HTTP 数据挖掘技术解决了常规Web 应用防火墙存在的这个问题。8 多协议支持 HTTP 0.9、HTTP1.0 、HTTP1.1、Web 2.0 应用、WAP协议、 xml 应用、Webdav 应用。华为 Secospace Web 应用防火墙产品配置手册 2 如何使用 Web 界面文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司162 如何使用 Web 界面关于本章介绍使用 Web 界面的一些基础知识和常用操作。2.1 操作 Web 界面的注意事项介绍在使用 Web

31、界面过程中的一些注意事项，这些注意事项将帮助您提前避免一些可能发生的问题。2.2 Web 界面的构成介绍 Web 界面的主要构成部分与作用。2.3 常用 Web 界面操作介绍一些常用的 Web 界面的操作方法。华为 Secospace Web 应用防火墙产品配置手册 2 如何使用 Web 界面文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司172.1 操作 Web 界面的注意事项明御 WAF 支持多浏览器，支持 Firefox3.0 及以上版本、 IE（Internet Explorer )6.0 及以上版本浏览器登录明御 WAF 的 Web 管理

32、平台。注意事项如下。1. 当使用 IE 8.0 或 IE 9.0 版本的浏览器登录 Web 系统后，为确保 Web 界面能正确显示，请在浏览器菜单栏中选择“工具”“ 兼容性视图” 。2. 使用 IE 浏览器时，安全级别不能设置为高，否则 Web 页面将无法显示。3. 升级版本后，为确保页面显示正常，建议清空浏览器缓存和 Cookies 后再访问页面。以 IE 6.0 为例：在 IE 浏览器菜单栏中选择“ 工具”“Internet 选项”，在“常规” 页签的“浏览历史记录” 区域框中，点击“ 删除”，勾选“Cookie”点击“删除”。华为 Secospace Web 应用防火墙产品配置手册 2

33、如何使用 Web 界面文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司182.2 Web 界面构成2.2.1 按钮区域Web 界面按钮功能说明如表 2-1 所示。表 2-1 按钮功能表按钮功能退出退出本次登录，点击“退出” ，就安全退出本次登录。如果希望重新进入 Web 界面，需要再次输入用户名和密码。应用更改使更改的配置生效，管理员通过 Web 界面进行配置更改、删除等选项时，点击“应用更改” ，这个管理员的操作才会生效。admin（超级管理员）修改管理员用户信息，点击“admin(超级管理员） ”，将会弹出“修改管理员用户信息”对

34、话框，输入新旧密码后，将修改登录密码。关于产品查看“关于产品”信息， “关于产品”信息主要包含当前的软件版本号及版权信息。2.2.2 菜单导航菜单导航位于界面上面，一级菜单如图 2-2 所示。华为 Secospace Web 应用防火墙产品配置手册 2 如何使用 Web 界面文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司19图 2-2 一级菜单表 2-2 菜单导航功能表一级菜单功能状态查看设备的安全状态，例如安全危险等级、攻击事件。查看系统的运行状态，例如 CPU 信息、内存信息、系统运行时间、平均负载、部署模式、运行模式

35、、HA 状态等。站点侦测，通过明御 WAF 自动检测当前在线的 Web 服务器。查看系统 Web 流量状态，例如 Web 流量、Web 连接数、Web新建连接数。查看网络接口状态，例如接口的运行状态、接口接收流量、接口发送流量等。查看流经明御 WAF 接口的实时网络流量状态。查看历史数据，例如对 CPU、内存、磁盘使用率，以及网络流量、Web 流量、Web 连接数等进行历史查询功能。日志应用防护日志信息，应用防护日志主要是对于攻击事件进行记录如 SQL 注入、XSS、CSRF 等，日志中记录的信息主要有攻击客户端 IP、攻击手法、攻击时间、触发规则等信息。审计信息，访问审计提供用户查询历史访

36、问日志信息，以方便用户对 Web 业务访问的情况进行统计分析。防篡改日志信息，防篡改日志主要用于记录被篡改的 Web 页面的相关信息。操作日志信息，操作日志主要用于记录用户自身登陆明御 WAF管理平台后进行的各种配置操作。系统日志，系统日志主要用于记录明御 WAF 系统事件的名称和发生时间。升级日志，升级日志主要用于记录系统升级日志的时间以及版本所修复的问题。报表自定义报表，用户可以根据自己的需求来选择报表项生成报表或保存报表，比如选择动作威胁、输入时间段、主机名等选项。组合报表，明御 WAF 可以采用对自定义报表的任意组合方式和按任意时间段生成组合报表。定时报表，明御 WAF 可以按照用户

37、的需求在指定的时间段将报表发到指定的邮箱中。策略规则组，系统默认有一套“预设规则” ， “预设规则”是各种攻击特征的组合，可以直接对它信息修改并应用与保护站点。自定义规则，管理员可根据被保护 Web 站点的具体情况，通过正则表达式匹配的方式创建自定义规则来检测和防护 Web 站点。自学习，通过学习每个 Web 站点下每个页面的参数特征，其学习结果形成规则对访问进行“白名单”控制。规则升级，规则特征库升级。华为 Secospace Web 应用防火墙产品配置手册 2 如何使用 Web 界面文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司20一级菜单

38、功能配置配置明御 WAF 部署模式。配置 Web 保护站点。访问控制功能，对 Web 保护站点的访问客户端进行拦截或放行。日志记录，对保护站点的应用防护日志详细级别配置。消息通知，应用防护日志或系统日志通过邮件、短信、Syslog 进行通知。防篡改，对于 Web 保护站点进行页面防篡改检测和拦截。HA 配置，启用或者关闭设备 HA 功能。监控管理，提供对明御 WAF 自身的 CPU、内存、磁盘进行检测的功能，并能在设定时间内，当 CPU、内存、磁盘超过设定值时告警通知管理员。网桥配置，对明御 WAF 链路网桥进行配置。配置管理，对配置文档进行保存或者上传配置文档。系统清空日志、报表等业务。

39、切换运行模式（物理直通、网桥直通、透明代理）。设备重启、关机、恢复出厂值。网络工具。系统运行参数设置，包括管理 IP、管理端口等。系统时间设置。创建、删除用户。授权许可信息。数据维护，提供应用防护日志自动备份配置功能，及对应用防护日志以数据库形式的备份、导入与导出功能。系统软件版本升级。2.3 常用的 Web 界面操作介绍一些常用的 Web 界面的操作方法。2.3.1 登录与退出使用缺省接口登录 Web 界面。设备出厂后，缺省可以通过 Admin 接口来登录 Web 界面。步骤 1 将管理员 PC 的网络连接 IP 地址设置为 192.168.1.0/24 网段中一个地址（192.168.1

40、.100 排除）。步骤 2 将 PC 的以太网接口与设备缺省的管理接口相连，或者通过交换机中转相连。步骤 3 在 PC 浏览器中访问 http:/192.168.1.100，进入 Web 界面的登录页面。步骤 4 默认的用户名为 admin，密码为 adminadmin。华为 Secospace Web 应用防火墙产品配置手册 2 如何使用 Web 界面文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司21如果在登录 Web 界面的过程中出现问题，请进行以下几项检查：1、如果管理员 PC 的网络连接处于断开状态，请检查设备是否已经正常开机，网线是否完好

41、好并且已经正确连接。2、使用缺省方式登录 Web 界面时，如果管理员 PC 的网络连接显示已经连接上，但是还是无法登录 Web 界面，请检查 PC 设备网络连接 IP 地址是否为 192.168.1.0/24 网段中的地址。2.3.2 修改管理员密码设备超级管理员 admin 能够修改其他管理员的密码，其他级别管理员只能修改自己的密码。修改管理员密码具体操作步骤如下。步骤 1 使用默认管理员用户名 admin 和密码 adminadmin 登录明御 WAF Web 管理平台。步骤 2 登录管理平台后，在 Web 界面右上角选择“admin(超级管理员） ”，如下图 2-3 所示。图 2-3

42、admin(超级管理员）步骤 3 在“原始密码”中输入以前的密码，在“新密码”和“确认新密码”中输入新密码，然后点击“保存”即可完成管理员密码修改。如图 2-4 所示。图 2-4 修改管理员密码华为 Secospace Web 应用防火墙产品配置手册 2 如何使用 Web 界面文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司222.3.3 修改 Web 服务超时时间为了提高设备安全性，当管理员超过一定时间没有操作 Web 界面，Web 系统将自动注销该管理员的登录。此后管理员需要重新输入用户名和密码才可再次进入 Web 界面。

43、只有超级管理员 admin 才能配置此项。超时自动退出时间默认设置为 0 分钟（0 表示不限时间），用户可根据自身需求对其进行设置修改。修改超时自动退出时间具体操作步骤如下。步骤 1 选择“系统”“系统设置” ，如图 2-5 所示。图 2-5 服务器超时设置界面步骤 2 在“超时自动退出”中输入需要设置的超时时间，然后点击“保存”。如图 2-6 所示。图中“超时自动退出”为 10 分钟，表示用户超过 10 分钟没有操作 Web 界面，明御 WAF 将自动注销该管理员的登录，如要操作 Web 界面，则需使用用户名和密码重新登录。华为 Secospace Web 应用防火墙产

44、品配置手册 2 如何使用 Web 界面文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司23图 2-6 修改超时时间华为 Secospace Web 应用防火墙产品配置手册 3 快速入门文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司243 快速入门关于本章本节内容能够快速指引您完成明御 WAF 的业务配置，业务配置之前建议仔细阅读此部分内容。华为 Secospace Web 应用防火墙产品配置手册 3 快速入门文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限

45、公司25用户通过 Web 界面配置明御 WAF 的快速流程，如图 3-1 所示，明御 WAF 配置主要分为两个部分，前期工作和后期工作。 “前期工作”工作主要是将明御 WAF 上架，将策略引擎选择为“仅检测” 模式，检测 Web 服务器是否能够正常运行，详细操作见快速入门。 “后期工作” 明御 WAF 上架大约一周左右时间，需要根据日志告警中日志进行判断，哪些日志警告属于误报信息，需要将哪些策略禁用，最后将策略引擎选择为“开启”模式。图 3-1 快速配置流程图华为 Secospace Web 应用防火墙产品配置手册 4 实时状态文档版本 01 (2013-05-30) 杭州华为

46、专有和保密信息版权所有华为技术有限公司264 实时状态关于本章针对明御 Web 应用防火墙产品“状态”配置进行说明。4.1 实时状态简介介绍明御 Web 应用防火墙产品“状态”实时监控，了解 WAF 的网络流量统计、并发连接数统计、访问统计等信息。同时，状态页还提供对这些信息的历史查询，以便在出现故障时追踪历史记录，查找故障原因。4.2 风险趋势介绍明御 Web 应用防火墙产品“状态”菜单中的风险趋势包含的信息。4.3 系统概况介绍明御 Web 应用防火墙产品“状态”菜单中的系统概况包含的信息。4.4 站点侦测介绍明御 Web 应用防火墙产品“状态”菜单中的站点侦测的配置操作。4.5 We

47、b 统计介绍明御 Web 应用防火墙产品“状态”菜单中的 Web 统计包含的信息。4.6 网络接口介绍明御 Web 应用防火墙产品“状态”菜单中的网络接口包含的信息。4.7 网络流量介绍明御 Web 应用防火墙产品“状态”菜单中的网络流量包含的信息。4.8 历史数据介绍明御 Web 应用防火墙产品“状态”菜单中的历史数据包含的信息。华为 Secospace Web 应用防火墙产品配置手册 4 实时状态文档版本 01 (2013-05-30) 杭州华为专有和保密信息版权所有华为技术有限公司274.1 实时状态简介用户通过了解状态信息可获得设备的运行状态等信息，能够实现对设备的实时监管，保障设

48、备的正常运行。可以了解设备的网络流量统计、并发连接数统计、访问统计等信息。同时，状态页还提供对这些信息的历史查询，以便在出现故障时追踪历史记录，查找故障原因。表 4-1 实时状态内容介绍表内容说明风险趋势风险趋势中可以查看安全威胁等级，Web 保护站点被攻击的次数以及攻击类型。系统概况系统概况展现了系统的当前状态，包括硬件资源（磁盘、内存、处理器）的使用率、系统时间、运行时间、部署模式、运行模式、平均负载以及软件版本、HA 状态等。站点侦测站点侦测主要对于网络环境中的 Web 服务器进行自动侦测。Web 统计 Web 统计中可以对 Web 流量、Web 并发连接数、Web新建连接数、Web 请求数进行统计。网络接口网络接口中可以查看接口的运行情况，包括接口接受流量、发送流量、丢弃的数据包等。网络流量统计流经网络接口的实时网络流量。历史数据状态页历史数据查询提供了对 CPU、内存、磁盘使用率，以及网络流量、Web 流量、Web 连接数、Web 请求数等进行历史查询的功能。4.2 风险趋势4.2.1 风险趋势简介用户通过查看风险趋势信息，可以掌握当前设备的安全危险等级以及

展开阅读全文