1、安恒明御WAF防火墻技術介紹 技術創新 變革未來2目 錄WEB應用防火墻介紹WAF基本部署配置系統狀態配置管理策略管理日志管理報告管理系統管理常見問題FAQ3WEB應用防火墻介紹4一、WEB應用防火墻介紹WEB防火墻發展歷史WEB防火墻的價值WEB防火墻的工作原理51.WEB防火墻的發展歷史IPS架構代表：綠盟早期WAF反向代理代表：梭子魚透明代理代表：安恒、綠盟流模式代表：啟明、銥迅62.WEB防火墻的價值安恒WAF更安全更快速更易用黑名單規則引擎白名單規則引擎CC防護模塊智能防護地圖區域訪問控制IP信譽庫高速緩存加速文件內容壓縮WEB服務自發現特征庫在線更新策略誤判分析73.WEB防火墻的

2、工作原理客戶端WAF服務器SYN透明代理模式通訊過程SYNSYN+ACKSYN+ACKACKACKGETGETHTTP200HTTP20088透明代理模式工作示意圖9二、WAF基本部署配置面板、接口及指示燈說明設備默認配置信息管理口IP配置常見的部署模式WAF快速部署101、面板、接口及指示燈說明端口說明Console口：即串口，產品初始化配置使用Admin口：即管理口，遠程管理使用HA口：雙機熱備使用Seckey：加密狗USB接口一個橋內兩個接口，沒有進出口之分11指示燈說明12指示燈說明指示燈顏色含義PWR燈常亮電源工作正常不亮電源工作異常HDD燈/LOG燈閃爍硬盤工作正常 不亮硬盤工作異

3、常LINK燈不亮網口工作在10Mbps速率亮綠色網口工作在100Mbps速率亮橙色網口工作在1000Mbps速率ACT 燈不亮網口工作在物理直通或斷線狀態132、設備默認配置信息默認管理口IP：00默認WEB管理地址：00隱藏WEB管理地址： 53（防止前臺管理IP時可以使用）默認前臺超級管理員賬戶：admin默認前臺超級管理員賬戶密碼：adminadmin默認串口波特率：115200默認串口賬戶：admin默認串口密碼：admin14143、管理IP配置方式一：配置管理口IP地址（ console口配置）Step 1:使用PuttysecureCRT超級終端等工具登陸串口Step 2:輸入默

4、認用戶名密碼admin/admin1515方式一：配置管理口IP地址（ console口配置）Step 3 :輸入數字“2”，進入下一步Step 4 :輸入“1”，進入下一步1616方式一：配置管理口IP地址（ console口配置）Step 5 :輸入IP地址、子網掩碼、網關、DNS1717方式二：配置管理口IP地址（ web界面配置）Step 1:用網線直連Admin口，將電腦網卡地址設置為/24網段任意地址即可（排除00）Step 2:登00默認用戶名/密碼admin/adminadmin1818方式二：配置管理口IP地址（ web界面配置）Step 3:進入【系統】【系統配置】，如下圖

5、所示：1919注意：默認WAF對管理者IP是有限制的，只允許私有IP地址（192.168.*.*,10.*.*.*,172.16.8.*）可以管理WAF設備。如果WAF管理口IP地址設置為公網地址則需要關閉“管理者IP限制”20204、常見的部署模式透明代理模式反向代理模式（代理模式、牽引模式）旁路監控模式橋模式路由模式21透明代理模式透明代理部署模式支持透明串接部署方式。串接在用戶網絡中，可實現即插即用，無需用戶更改網絡設備與服務器配置。部署簡單易用，應用于大部分用戶網絡中。部署特點：不需要改變用戶的網絡結構，對于用戶而言是透明的。安全防護能力強故障恢復快，可支持Bypass22反向代理模式

6、代理模式部署特點：可旁路部署，對于用戶網絡不透明，防護能力強故障恢復時間慢，不支持Bypass，恢復時需要重新將域名或地址映射到原服務器。此模式應用于復雜環境中，如設備無法直接串接的環境。訪問時需要先訪問明御WAF配置的業務口地址。支持VRRP主備23反向代理模式代理模式工作原理：用戶訪問的是WAF的前端鏈路地址，WAF在接收到流量之后通過后端鏈路地址去訪問真實的服務器，因此服務器看到客戶端地址為WAF的后端鏈路地址24反向代理模式代理模式接入鏈路：WAF采用反向代理接入環境中一般用一個業務口就可以，也可以采用兩個接口，如果采用一個接口，那么前端和后端選擇同一個接口鏈路地址（前端）：前端鏈路地

7、址是客戶訪問的地址，通過訪問前端地址可以訪問到服務器業務，前端地址可以和保護站點的IP地址在同一個網段也可以在不同的網段，只要前端地址和保護站點地址的路由可通就可以鏈路地址（后端）：WAF在接受到客戶端的流量之后，WAF充當客戶端通過后端地址去訪問真實的服務器地址，因此服務器看到的客戶端地址為WAF的后端地址。WAF的后端地址可以和前端地址是同一個IP地址也可以是相同網段的不同地址。鏈路模式：需要選擇代理模式或者牽引模式25反向代理模式代理模式客戶端IP地址透明：有兩個選項透明和不透明，但是一般WAF反向代理模式下都要選擇不透明。客戶端IP地址如果選擇透明，服務器就可以看到真實的客戶端IP地址

8、，那么服務器在返回流量時就會通過服務器網關直接返回給客戶端而不返回給WAF，這樣WAF代理就會失敗，為了保證WAF代理成功必須在交換機上面做策略路由將服務器返回的流量牽引到WAF，這樣WAF代理才能成功，因為選擇透明比較麻煩因此正常情況下面一般都是選擇不透明客戶端IP地址如果選擇不透明，服務器看到的客戶端IP地址為WAF的后端地址，這樣服務器返回的流量就會返回給WAFX-Forwarded-For字段名稱，如果選擇客戶端IP地址不透明，為了告警日志能夠顯示證真實的客戶端IP地址，必須要啟用X-Forwarded-For26反向代理模式VRRPVRRP主備模式簡介WAF在反向代理模式下可以支持主

9、備模式，正常情況下只有主機工作，備機不工作，當主機業務口出現問題時，備機自動切換為主機進行工作27反向代理模式VRRPVRRP主備模式配置說明啟用VRRP功能，vrrp是按保護站點來的，啟用了vrrp，這個保護站點上的前端鏈路上的ip就會變成虛ip，同時支持bond。通過 配置=保護站點=VRRP支持 來配置VRRP功能。狀態：是否開啟VRRP功能；本機角色：選擇本機角色，主機或備機；虛擬路由ID：同一個VRRP組的ID相同28反向代理模式VRRPVRRP主備模式工作細節VRRP的心跳包通信接：管理 VRRP的監控端口：業務必要條件：反代模式，主備機開啟VRRP功能，主備機管理互通主備機正常工

10、作時主機業務被分配虛ip，備機業務無ip，業務流量通過主機轉發；主機業務down掉時備機業務被分配虛ip，業務流量通過備機轉發；主機業務由down轉換到up時主機業務被分配ip，備機業務無ip，業務流量通過主機轉發；主機管理down時主備機都有虛ip，業務流量通過主機轉發。29反向代理模式牽引模式部署特點：可旁路部署，對于用戶網絡不透明。故障恢復時間慢，不支持Bypass，恢復時需要刪除路由器策略路由配置。此模式應用于復雜環境中，如設備無法直接串接的環境。訪問時仍訪問網站服務器。支持VRRP30反向代理模式牽引模式用戶訪問的是服務器的真實的IP地址，需要在交換機上面將用戶訪問服務器的http流

11、量通過策略路由的方式牽引到WAF，策略路由的下一跳地址為WAF的前端地址，WAF在接受到地址之后通過后端地址去請求真實的服務器。注意：做策略路由牽引流量時不需要將服務器IP的所有流量都牽引過來，只需要針對IP+PORT的方式做策略路由，因為其他協議的流量WAF是不會處理的31旁路監控模式采用旁路監聽模式，在交換機做服務器端口鏡像，將流量復制一份到明御WAF上，部署時不影響在線業務。部署特點：明御WAF在旁路監聽模式部署下只能用于流量分析或日志審計，不能實現防護。32橋模式部署特點：橋模式是真正意義上的透明，不會更改數據包任何內容，比如源MAC、源端口、TCP序列號、HTTP協議版本等內容，所以

12、不會存在代理模式中的長短連接問題、健康檢查、端口安全、協議不兼容等問題。橋模式不跟蹤TCP會話，可支持路由不對稱環境。橋模式下部分功能不支持，比如緩存壓縮、智能防護、自學習建模、日志審計等功能。對服務器響應包的內容不檢測。防護能力不如透明代理，可能會存在漏報現象。33路由模式部署特點：路由模式（無冗余結構）故障恢復慢，不支持bypass，恢復時需要重新修改靜態路由。路由模式（冗余結構）故障恢復速度快，恢復時不需要修改任何配置。路由模式支持非對稱路由。345、WAF快速部署35三、系統狀態地區區域訪問控制系統概況（硬件使用情況和系統運行狀態）站點偵測功能WEB統計（WEB請求數）網絡接口狀態網絡

13、流量和WEB流量的區別歷史數據查詢361、地圖區域訪問控制地圖區域訪問控制簡介WAF可以實現對中國或者世界某個區域的IP地址進行控制禁止其訪問保護的web服務器，目前中國地圖可以以省級為單位進行IP控制，而世界地圖以國家為單位進行IP控制371、地圖區域訪問控制點擊“配置”“應用層訪問控制”查看添加的區域訪問控制381、地圖區域訪問控制點擊“狀態”“風險趨勢”，查看地圖選擇“區域訪問控制”，查看阻斷的信息391、地圖區域訪問控制取消地理區域訪問控制，選擇“狀態”“風險趨勢”，查看地圖選擇“區域訪問控制”，在地圖中選擇需要需要取消訪問控制的地理位置，然后雙擊地理位置402、系統概況硬件使用情況檢

14、查CPU、內存、磁盤使用率CPU使用率在80%以下為正常內存使用率在80%以下為正常數據分區在80%以下為正常413、站點偵測功能介紹 站點偵測功能用于自動監測網絡中的WEB服務器，方便用戶對站點進行配置，特別是在要保護的站點比較多時，通過WAF自動檢測，可以減少用戶的輸入，并提示用戶進行保護以防止遺漏。42站點偵測工作原理開啟站點偵測后WAF會對過往的流量進行自動學習，獲取WEB服務器信息，如服務器IP、TCP端口、域名等信息；用于自動監測WEB服務器，不需要復雜的環境調研，即可智能完成站點部署；應用于站點較多，環境復雜的應用環境中；43站點偵測配置步驟Step 1:選擇”狀態”“站點偵測”

15、“配置”44站點偵測配置步驟Step 2:啟用“自動偵測”，啟用“忽略外網IP”，指定需要偵測的網段，然后點擊“確定”。建議將忽略外網IP保護站點功能啟用，否則會學習到大量內網訪問出去的流量，另外不建議在公網環境中使用。偵測完成后，查看服務器列表，添加需防護的服務器。454、WEB統計WEB請求數TPS TPS（每秒事務處理量(TransactionPerSecond)），每秒鐘系統能夠處理的交易或事務的數量，是衡量系統處理能力的重要指標。TPS統計可以精確展現業務壓力情況。465、網絡接口狀態 用戶通過查看網絡接口信息，可知道網絡接口的運行狀態以及網絡接口接收的流量、發送的流量、丟棄的流量。

16、47網絡接口狀態參數說明參數名稱說明指派Admin、HA、Protect業務口接口接口的名稱。狀態接口是否運行，其中網絡設備的狀態為綠色表示該網絡接口已連接到網絡，并且工作正常，灰色表示網卡未接網線。TX發送流量。RX接收流量。packets數據包的數目。bytes字節數。errors錯誤的數據包個數，一般是硬件層面問題，比如網卡、網線等異常；。overruns超出的數據包個數，一般超出端口的最大速率會出現overruns。dropped丟棄的數據包個數，一般發生在軟件層面，比如內存溢出、數據包不識別被丟棄。486、網絡流量和WEB流量的區別WEB流量僅僅統計經過WAF的所保護站點的HTTP和

17、HTTPS流量49網絡流量和WEB流量的區別 網絡流量統計是對經過WAF的所有的流量進行統計，包括ICMP、SMTP、POP3等其他TCP和UDP協議，同時也不僅僅包括所保護的站點的IP地址的流量。507、歷史數據查詢 用戶通過歷史數據，可對CPU、內存、磁盤使用率，以及網絡流量、Web流量、Web連接數等情況，進行歷史數據查詢。Step 1:選擇”狀態”“歷史數據”51歷史數據查詢Step 2:選擇相應的時間段、網橋以及CPU、Web并發連接數等信息注：查詢的時間段不能早于1個月之前52歷史數據查詢Step 3:點擊“查詢歷史數據”，可查看到相應的歷史數據。53四、配置管理全局配置保護站點配

18、置訪問控制網絡防護日志記錄配置消息通知HA監控管理接口配置應用層訪問控制配置管理541、全局配置部署模式目前共5種部署模式：透明代理、反向代理、旁路監控、路由模式、橋模式55全局配置MAC地址透明默認3.9版本及3.9以上版本，WAF運行在透明代理模式下，MAC地址透明默認是開啟的，也就是WAF不會更改轉發給客戶端/服務端的源MAC，不建議修改！56全局配置阻斷頁面明御WAF提供了三種阻斷頁面的配置方式：使用內置的阻斷頁面自定義阻斷頁面重定向到指定URL57全局配置源IP解析原理WAF部署在代理設備（如SSL網關或CDN）后端，代理設備將實際請求轉發到后端服務器時源IP會轉換為代理設備自身IP

19、，代理設備在轉發時一般會在HTTP頭部帶上源IP信息，如X-Forwarded-For頭，該頭部記錄了真實用戶IP信息，WAF源IP解析模塊可解析到真實IP地址，并可對真實IP配置訪問控制；該功能一般用于網銀環境或經過CDN加速的環境。58源IP解析配置選擇配置全局配置，將源IP解析選擇為啟用，默認反向代理級數為1，在某些復雜環境可能會經過多層代理，每次代理后都會把轉換前的IP加在X-Forwarded-For頭部，X-Forwarded-For格式如下：X-Forwarded-For: client1, proxy1, proxy2，如頭部為X-Forwarded-For：,，那么在反向代理

20、級數選1的情況下，日志顯示的源IP為，如果配置為2則顯示。將配置保存后按右上角的應用更改生效；59源IP解析驗證Step 1:選擇”配置”“全局配置”源IP解析”，啟用X-Forwarded-For，將反向代理級數設置為1Step 2:打開burp suite代理工具，IE瀏覽器開啟代理功能，然后訪問5/instructions.php?id=1%20and%201=1，并在代理工具中添加“X-Forwarded-For： ”字段60源IP解析驗證Step 3:選擇“日志”“應用防護日志”查看日志源IP為612、保護站點配置Step 1:選擇”配置”“保護站點”，點擊“添加保護站點”62保護站

21、點配置Step 2:添加“保護站點名稱”，填寫需要保護的IP地址和端口，選擇相應的策略規則組，選擇接入的鏈路，舉例需要保護的IP地址為39，端口為80，選擇的策略規則組為“預設規則”，接入的鏈路為“Protect1”，然后點擊保存。63保護站點配置域名支持同一IP+PORT下可能會對應多個域名，WAF可以實現對這多個域名進行防護，同時也可以針對不同的域名采用不同的策略規則組。64保護站點配置智能防護原理智能防護客戶端IP在一定時間內觸發某級別的規則超過預設的次數，WAF將會鎖定該客戶端IP地址并進行告警，鎖定的客戶端IP將無法訪問保護站點。注意：智能防護只能鎖定網絡層IP，無法識別應用層IP地

22、址（X-Forword-For）65保護站點配置訪問控制對保護的目標站點進行訪問控制功能，默認只勾選了原始地址，如果部署在HTTP代理的環境中（如F5、SSL網關中)建議勾選X-Forwarded-For選項，如果不勾選X-Forwarded-For選項，那么WAF對真實的客戶端IP地址做訪問控制（黑名單）就不會生效。注意：訪問控制可以對應用層IP（ X-Forwarded-For ）做黑名單限制，但是不能做白名單放行66保護站點配置訪問審計原理WAF可記錄所有訪問日志，通過提取數據包的應用層內容，并解析為WEB日志，可記錄訪問時間、訪問URL、訪問者IP、訪問者區域等信息；根據日志信息生成統

23、計報表，如月訪問統計、訪問者URL和IP等統計。67保護站點配置訪問審計配置Step 1:選擇”配置”“保護站點”，編輯要開啟訪問審計功能的保護站點，將瀏覽器下拉至訪問審計功能模塊，將狀態選擇為“啟用”，并且選擇是否忽略query string（如/index.asp?id=1，如果選擇忽略query string，則報表統計時只統計index.asp,不會統計后面的參數id=1），填寫默認頁面，如index.asp、index.html，可根據選擇所要審計的文件類型，將配置保存后按右上角的應用更改生效。68保護站點配置訪問審計驗證Step 2:客戶端使用瀏覽器訪問WEB站點后，通過日志訪問審

24、計查看完整訪問列表查看訪問日志，查看統計報表可通過日志訪問審計控制臺，選擇開啟訪問審計的保護站點，點擊顯示。注：開啟訪問審計會占用大量磁盤使用空間，請按照實際情況選擇是否開啟。69保護站點配置HTTPS加解密原理WAF部署在SSL服務器前端，將服務器的公鑰和私鑰加載至WAF上，客戶端訪問時WAF先使用私鑰解密，查看數據包中報文信息是否存在安全問題，清洗后再使用公鑰重新加密轉發給SSL服務器；該功能一般用于SSL證書在服務器的環境。70HTTPS公鑰介紹證書公鑰主要用于數據的加密，WAF上傳公鑰的主要的作用是檢測完數據之后將數據進行加密再發送給服務器和客戶端。linux服務器下證書公鑰的擴展名一

25、般為crt而Windows服務器下證書公鑰的擴展名一般為cer71HTTPS私鑰介紹證書的私鑰的主要作用是將加密的報文通過私鑰轉換為明文。WAF通過上傳證書私鑰對加密的報文進行解密，解密之后才能查看報文里面是否存在攻擊，因此WAF上傳私鑰的目的是對加密的報文進行解密。證書私鑰的擴展名格式一般為key。72HTTPS私鑰介紹還有一種情況就是私鑰被加密，加密的私鑰上傳之后WAF是無法識別的而且會導致業務中斷，如果私鑰中含有“ENCRYPTED”字樣，表示私鑰被加密，必須讓用戶提供解密密碼進行解密私鑰解密方法： openssl pkcs8 -topk8 -inform PEM -in aaabbbc

26、ccddd.key -outform PEM nocrypt輸完命令之后需要輸入解密密碼73HTTPS證書鏈介紹目前一般客戶申請證書都是從根CA（位于證書層次結構頂部的CA）或者從屬CA（中間CA）機構申請證書。如果客戶是從根CA申請的證書那么WAF不需要上傳證書鏈。如果客戶是從中間CA申請的證書，WAF需要上傳證書鏈，證書鏈中包括根CA和中間CA74保護站點配置HTTPS加解密配置及驗證Step 1:選擇”配置”“保護站點”，編輯需要開啟https加解密的保護站點，將瀏覽器下拉至“HTTPS/SSL加解密模塊”，啟用HTTPS/SSL加解密功能，將服務器的公鑰、私鑰或者證書鏈上傳至WAF，將

27、配置保存后點擊右上角的應用更改生效。注意：目前4.2版本提供了對證書的校驗功能，如果用戶提交的公鑰、私鑰、證書鏈的格式有問題或者內容不對，那么在保存保護站點時就會提示證書有誤75保護站點配置HTTPS加解密配置及驗證Step 2:使用客戶端訪問SSL服務器，驗證服務器是否訪問正常以及防護功能是否正常注意：目前我們碰到的WAF保護HTTPS網站之后導致網站無法訪問的問題，幾乎所有的問題都是證書上傳錯誤或者證書鏈不全導致的。76保護站點配置WEB數據壓縮原理一般瀏覽器可接收頁面的壓縮格式，但有些服務未啟用壓縮，WAF在開啟壓縮功能后會主動將服務器返回的頁面文件（支持text/html、text/x

28、ml、text/plain等文本格式）進行壓縮，默認使用gzip格式，壓縮比率80%左右77保護站點配置WEB數據壓縮配置及驗證Step 1:選擇”配置”“保護站點”，編輯需要開啟數據壓縮的保護站點，將瀏覽器下拉至“WEB加速及防篡改”模塊，啟用“傳輸至客戶端時壓縮”，將配置保存后點擊右上角的應用更改生效。Step 2:開啟數據壓縮之前，瀏覽網站用HTTPWatch工具查看服務器返回的內容是否為gzip壓縮。開啟數據壓縮之后，瀏覽網站用HTTPWatch工具查看服務器返回的內容是否為gzip壓縮。78保護站點配置WEB數據壓縮配置及驗證未開啟WEB數據壓縮開啟WEB數據壓縮79保護站點配置WE

29、B緩存加速原理WAF將用戶訪問過的靜態文件（如jpg、gif、html等文件）緩存到物理內存中，當另一用戶也訪問靜態文件時，WAF將直接返回給用戶，而無需再轉發到服務器，從而可以節省服務器的性能開銷；80保護站點配置WEB緩存加速配置及驗證Step 1:選擇”配置”“保護站點”，編輯需要開啟緩存加速的保護站點，將瀏覽器下拉至“WEB加速及防篡改”模塊，啟用“緩存加速”，將配置保存后點擊右上角的應用更改生效。81保護站點配置WEB緩存加速配置及驗證Step 2:選”配置“”應用層訪問控制”,將“靜態文件放行”關閉。Step 3:客戶端訪問網站一段時間之后，進行測試，在服務器上用Wireshark

30、進行抓包查看是否有流量82保護站點配置防篡改原理WAF防篡改基于緩存模塊，防篡改先使用學習模式對網站的頁面內容進行學習，學習完成后將頁面內容存儲在緩存中，當服務器頁面發生篡改并有用戶訪問該頁面時，WAF首先會獲取服務器的頁面內容，并和緩存中的頁面內容進行比對，當發現頁面篡改時WAF則使用緩存中的頁面返回給客戶端，達到視覺防篡改；注：3.9之前的版本只支持靜態頁面防篡改，3.9版本增加對asp、jsp、php等動態頁面防篡。83保護站點配置防篡改配置及驗證Step 1:選擇”配置”“保護站點”，編輯需要開啟防篡改的保護站點，將瀏覽器下拉至“WEB加速及防篡改”模塊，將緩存加速功能選擇為啟用，在將

31、防篡改功能選擇為啟用。84保護站點配置防篡改配置及驗證Step 2:選擇”首先將運行模式選擇為“學習模式”，并填寫默認頁面如index.php,選擇需要進行防篡改的文件類型，將配置保存后按右上角的應用更改生效。85保護站點配置防篡改配置及驗證Step 3:選”配置“”應用層訪問控制”,將“靜態文件放行”關閉。86保護站點配置防篡改配置及驗證Step 4:通過瀏覽網頁，學習一段時間后，選擇“配置”“防篡改”點擊下載被保護URL列表，查看是否有學習到需要被保護的URL，如果學習到URL，則說明該URL的內容已經緩存到WAF本地。87保護站點配置防篡改配置及驗證Step 5:在服務器端篡改5/log

32、in.php該頁面的內容。Step 6:首先將防篡改的“學習模式”切換為“保護模式”，然后客戶端再次訪問5/login.php頁面，查看返回的頁面內容是否發生篡改，同時選擇“日志”“防篡改日志”查看是否有篡改日志生成。88保護站點配置HTTP響應頭操作原理一般用戶在訪問服務器時，服務器會在響應頭帶上自身信息，如服務器類型、版本等，這些信息容易被黑客利用，WAF響應頭操作模塊通過刪除頭信息可實現服務器隱藏，如刪除Server字段，過濾WEB應用類型信息；該功能默認未啟用，需要自定義配置。89保護站點配置HTTP響應頭操作配置及驗證Step 1:選擇”配置”“保護站點”，編輯需要開啟HTTP響應頭

33、操作的保護站點，將瀏覽器下拉至“HTTP響應頭操作”模塊，啟用HTTP響應頭操作，添加需要刪除的響應頭字段，如Server字段Step 2:將HTTP響應頭操作功能開啟后，用戶使用IE瀏覽器訪問服務器，并使用httpwatch進行抓包，查看響應頭沒有Server頭信息。90保護站點配置VLAN支持問題現象上線后保護站點防護訪問正常但嘗試攻擊后無告警日志？可能的原因首先檢查保護對象是否配置正確，檢查保護站點的IP、端口、保護鏈路等信息，再檢查是否部署在trunk鏈路上，如部署在trunk鏈路上需要在保護站點上開啟VLAN支持，并填上服務器的VLAN號。如何識別Vlan？在WAF前臺針對保護站點進

34、行抓包分析91保護站點配置VLAN支持原理及配置實現原理WAF在數據包進入時將數據包的VLAN tag剝除，對應用層數據包檢查后再加上VLAN tag轉發出去。注意：現在4.1版本及4.2版本默認支持VLAN標簽的自動識別，不需要手工添加VLAN4.1以下的版本需要手工開啟VLAN支持并填寫相應的VLAN IDWAF4.1及4.2版本默認自動識別VLAN標簽92保護站點配置VLAN支持原理及配置WAF4.1和4.2版本默認自動識別VLAN標簽，同時也可以手工設置VLAN IDDST VLANID (至保護站點)：表示客戶請求的流量所使用的VLAN IDSRC VLANID (自保護站點)：表示

35、服務器返回的流量所使用的VLAN ID注意：在有些特殊的用戶環境中會存在請求流量和服務器返回的流量采用不同的VLAN ID的情況，這種情況下必須手工設置DST VLANID 和SRC VLANID 933、訪問控制 訪問控制針對于明御WAF防護的Web站點的訪問客戶端源IP進行訪問控制，可實現黑白名單控制功能。同時，明御WAF支持客戶端網絡層IP和應用層IP的訪問控制功能。測試注意：如需對應用層IP進行訪問控制，可通過配置保護站點，修改測試站點，勾選訪問控制中源IP檢測的X-Forwarded-For選項。目前WAF的訪問控制只能實現對應用層IP的黑名單控制，無法實現對應用層IP的白名單放行。

36、94訪問控制配置及驗證Step 1:選擇”配置“”訪問控制“”新建訪問控制“，配置目標IP地址，選擇動作為攔截或者放行（攔截為黑名單，WAF會將客戶端IP對保護站點的請求直接丟棄；放行為白名單，客戶端IP對保護站點的訪問流量WAF將不會在進行代理，也不會進行流量檢查），并勾選保護站點，將配置保存后點擊右上角的應用更改生效。95Step 2:通過客戶端IP對保護站點進行訪問驗證是否可訪問，并登陸到WAF上，查看應用防護日志是否有黑名單日志。訪問控制配置及驗證964、網絡防護 網絡防護針對WAF所保護的Web站點的源客戶端進行黑白名單的限制，可以對用戶進行網絡層的IP的限制，同時也可以對單個IP的

37、并發連接及連接次數進行限制。97網絡防護配置及驗證Step 1:選擇”配置“”網絡防護“”配置“，啟用”IP黑名單“并記錄日志98網絡防護配置及驗證Step 2:選擇”配置“”網絡防護“”管理“，瀏覽器下拉至”黑名單“模塊，點擊”添加黑名單IP“，填寫客戶端IP并點擊確定，然后保存點擊右上角應用更改生效。99網絡防護配置及驗證Step 3:通過客戶端IP對保護站點進行訪問驗證是否可訪問，并登陸到WAF上，查看“日志”“網絡防護日志”1005、日志記錄默認WAF的日志記錄級別為“基本”只記錄請求頭和響應頭。WAF有三個日志記錄級別：“基本”、“詳細”、“全部”，如果保護的站點數量比較多不建議開啟

38、日志記錄級別為“全部”。建議調整為“詳細”1016、消息通知 明御WAF采用多種消息通知模式，可及時的將當前保護的Web站點的攻擊情況，以及明御WAF系統本身的狀態提供給管理員。明御WAF目前支持郵件、短信、Syslog及管理界面通知方式。102消息通知郵件通知配置Step 1:選擇“配置”“消息通知”“通知方式”，在通知方式面板中選擇“郵件通知”對應的“配置”按鈕，選擇“發送方式”為“直接發送”，填入發件人和收件人郵箱的郵箱地址，選擇“確定”后保存。103消息通知郵件通知配置Step 2:選擇“配置”“消息通知”“通知方式”，在告警配置面板中啟用郵件通知，配置觸發條件為當1分鐘內超過20條危

39、險等級為“中級或以上”的應用防護日志時發送郵件通知到指定郵箱，然后保存并點擊右上角的應用更改選項。104消息通知Syslog通知配置Step 1:選擇“配置”“消息通知”“通知方式”，在通知方式面板中選擇“Syslog通知”對應的“配置”按鈕，在“應用防護日志”填寫Syslog服務器IP，選擇“確定”后保存。105消息通知Syslog通知配置Step 2:選擇“配置”“消息通知”“通知方式”，在告警配置面板中啟用Syslog通知，選擇語言為“zh-cn”，編碼格式為GBK，然后保存并點擊右上角的應用更改按鈕。1067、HA配置原理WAF本身并不是通過VRRP協議協商主備模式的，必須借助第三方產

40、品如交換機或者借助客戶現有的主備鏈路環境形成主備關系。107HA配置原理b) WAF主備設備的切換機制是通過web流量來實現的，有web流量的WAF設備自動協商為主設備，主設備為正常模式；沒有web流量的WAF自動協商為備設備，備設備為網橋直通模式。c) WAF HA功能可以實現配置文件的手工同步，但是無法實現會話同步。d) 如果要開啟HA功能，兩臺WAF設備最好采用相同的型號和相同的軟件版本。108HA配置配置及驗證Step 1:主機配置，選擇配置HA配置，將狀態勾選為啟用，配置本機角色為主機，其他配置為默認。Step 2:備機配置，選擇配置HA配置，將狀態勾選為啟用，配置本機角色為備機，其

41、他配置為默認。109HA配置配置及驗證Step 3:配置完成后WAF主備機會進行協商，主備機將選舉有通訊流量的一端為主機，一般在開啟快速生成樹的環境中10秒內可完成協商，可通過狀態系統概況查看是否協商正常。1108、監控管理 監控管理是指對明御Web應用防火墻自身的CPU、內存、磁盤進行檢測的功能，并能判斷在設定時間內，當CPU、內存、磁盤超過設定值時告警通知管理員并切換到bypass狀態。另外明御WAF還提供了SNMP支持，支持第三方設備通過V2、V3協議對明御WAF設備進行遠程監控。111監控管理設備自身監控配置及驗證Step 1:選擇“配置”“監控配置”將瀏覽器下拉至“設備自身監控”模塊

42、。開啟設備自身監控功能，勾選需要檢測的硬件狀態，配置在一定時間內硬件使用率高于配置值時記錄系統日志，并配置檢測到異常后的動作，然后保存并點擊右上角的應用更改按鈕。112監控管理SNMP支持配置Step 1:選擇“配置”“監控配置”將瀏覽器下拉至“SNMP支持”模塊，勾選v2或者v3版本。選擇v2協議，版本為不加密協議，只需填寫設備名稱和community即可；選擇v3協議版本為加密協議，需要填寫傳輸密鑰和認證用戶名密碼。SNMPV2配置SNMPV3配置1139、接口配置原理正常情況下WAF一個Protect里面只有兩個接口，一個IN口一個OUT口WAF網橋支持交換機模式，可支持一進三出；用于保

43、護三臺以內WEB服務器；注：光電口不能同時復用，當進口為光口時，出口不能為電口，光口和電口不能在同一個橋里面。114接口配置及驗證Step 1:選擇配置接口配置，將其中一個Protect刪除，比如將Protect3刪除115Step 2:將Protect3刪除之后，選擇Protect1點擊配置按鈕，將eth0和eth1接口加入到Protect1中接口配置及驗證116接口配置及驗證Step 3:查看Protect1中的接口117端口聚合LACP目前4.0版本及以上版本WAF都支持端口聚合功能，目前WAF僅支持基于動態協議LACP協商的端口聚合，不支持手工靜態端口聚合。118端口聚合配置目前WAF

44、端口聚合的配置文檔已經上傳到了SVN，SVN路徑為tech產品資料明御WEB應用防火墻指導性文檔4.0版本WAF鏈路聚合LACP配置119端口檢測原理WAF端口檢測功能可以檢測Protect橋內接口的狀態，開啟端口檢測后如果Protect橋內任何一個接口down掉，WAF都會將運行模式切換為物理直通模式。切換到物理直通之后，設備無法自動切換為正常模式，默認端口檢測是沒有開啟的。120端口檢測原理默認端口檢測設置為時間為10s，建議端口檢測的時間要大于等于6s，如果設置時間低于6s，端口檢測會存在問題。121端口聯動原理WAF端口聯動可以檢測Protect橋內接口的狀態，如果Protect橋內一

45、個接口down掉，就會強制down掉Protect橋內的另外一個接口。down掉的接口恢復之后，另外一個接口也會自動恢復。默認端口聯動功能是沒有開啟的。12210、應用層訪問控制原理應用層訪問控制為用戶提高網站訪問性能及防護水平，WAF將一些靜態的文件直接通過應用層訪問控制模塊進行清洗，一般攻擊只發生在動態頁面中，可提升WAF處理性能。123應用層訪問控制原理目前應用層訪問控制支持四個檢測對象分別為文件后綴名，比如.html .jpg .mdb .log等URL，是指URI路徑請求方法，包括GET、POST、DELETE等地理位置注意：受應用層訪問控制影響的功能有：WEB緩存、防篡改功能，因此

46、，在配置WEB緩存和防篡改的時候需要將“靜態文件放行關閉”12411、配置文件導出Step 1:選擇“配置”“配置管理”，在“配置導出”界面中勾選需要導出的設備相關配置，并選擇操作欄中的“導出”按鈕，如要導出設備所有配置可選擇操作欄中的“全部”按鈕。注意：建議在導出配置文件時只導出保護站點和策略就可以，“接口配置”和“網橋配置”不要導出，因為將不同型號的WAF配置導入另外一臺WAF設備會導致接口錯亂的問題導致管理口無法管理125配置文件導出Step 2:將導出后的配置文件進行保存，配置文件經過加密，無法直接打開126配置文件導入Step 1:選擇“配置”“配置管理”，下拉至“配置導入”界面，將

47、已導出的配置文件進行上傳。127配置文件導入Step 2:上傳完成后，出現“選擇要導入的配置”界面，勾選需要導入的配置。128五、策略管理黑名單技術（規則庫）自定義規則自學習建模CC攻擊防御防盜鏈IP信譽庫規則升級1291、黑名單技術（規則庫）WAF安全策略存在于黑名單特征庫中，默認情況下特征庫為“僅檢測”模式，不會對攻擊進行過濾只會形成日志。如果想讓特征庫生效則需要選擇為“開啟”模式。如果不想讓特征庫引擎工作則需要選擇為“禁用”模式。130規則引擎工作原理WAF黑名單是從四個方面對Web應用內容進行防護檢測的。這四個方面分別為：請求包頭請求包內容響應包頭響應包內容131規則引擎工作原理132

48、規則引擎工作原理特征庫黑名單實現原理步驟說明如下：步驟1 :WAF先檢查HTTP請求包頭，檢查HTTP頭部字段名是否符合協議規范性檢查，如使用不存在的請求方法或使用超長長度的字段，檢查頭部字段值是否存在攻擊，如是否會在URL、Cookie、User-agent等字段中插入攻擊。步驟2: WAF檢查HTTP請求包內容，當請求方法為post時檢查請求包內容是否存在攻擊，如XSS攻擊。步驟3: WAF檢查HTTP返回包頭，檢查頭部字段名可實現服務器隱藏，檢查頭部字段值，如500響應碼，則可屏蔽服務器錯誤信息，防止被黑客利用。步驟4:WAF檢查返回包內容，檢查頁面是否存在服務器信息泄露，如信用卡號泄露

49、。133規則引擎設置開啟、僅檢測、禁用默認WAF出廠規則引擎設置為僅檢測，設備跑一段時間之后，調整完策略規則，需要將規則引擎設置為開啟狀態134黑名單技術響應包正文內容檢測問題現象服務器返回的頁面中含有敏感信息，WAF卻不能阻斷？問題原因默認WAF并沒有開啟對響應包內容的檢測，因此對于服務器返回頁面中含有敏感信息的問題，WAF是不能阻斷的。135黑名單技術響應包正文內容檢測問題解決方法Step 1:選擇“策略”“規則組”，選中需要進行“響應包正文內容檢測”調整的規則組，比如預設規則組，將瀏覽器下拉至“預設規則”模塊，開啟響應包正文內容檢測功能，然后點擊保存更改并點擊右上角應用更改按鈕。136黑

50、名單技術響應包正文內容檢測注意：響應包內容檢測不開啟也不會影響敏感詞過濾功能注意：響應包內容檢測主要影響的規則為信息泄露規則，包括服務器信息泄露、數據庫泄露、源代碼泄露137黑名單技術URL白名單規則庫URL白名單分為全局URL白名單和單條規則的URL白名單。全局URL白名單會對所有的策略規則都會生效，URL加入到白名單之后，WAF所有的特征庫規則都不會對該URL進行檢測。單條規則URL白名單只會對單條規則本身生效，并不影響其他的策略規則，URL加入到白名單之后，添加URL白名單的規則不會對該URL進行檢測，而其他規則然后會對該URL進行檢測。138黑名單技術全局URL白名單配置Step 1:

51、選擇“策略”“規則組”，選中需要添加URL白名單的規則組，比如預設規則組，將瀏覽器下拉至“操作”模塊，點擊URL白名單139黑名單技術全局URL白名單配置Step 2:將瀏覽器下拉至“全局URL白名單”模塊，添加需要放行的URL，然后點擊保存并點擊右上角的應用更改按鈕。140黑名單技術單條規則URL白名單配置Step 1:選擇“策略”“規則組”，選中需要添加URL白名單的規則組，比如預設規則組，選擇相應的策略規則組，如注入攻擊中的SQL注入攻擊，然后選中一條規則，點擊配置141黑名單技術單條規則URL白名單配置Step 2:在URL白名單中添加需要放行的URL1422、自定義規則 自定義規則是

52、指明御WAF可根據用戶對于安全的需求自行添加規則，可基于不同條件組合，如HTTP頭部各字段、URL地址、post內容、文件類型等字段，實現復雜的規則需求，并設置阻斷、放行、重定向等多種策略動作。注：默認自定義規則的優先級是高于系統策略規則，不過優先級是可以調整的。143自定義規則檢測字段目前WAF內置26種檢測字段，可以根據自己的需求選擇相應的檢測字段定制策略規則。144自定義規則檢測字段字段名稱描述備注請求IP地址指客戶端網絡層IP，不屬于應用層IP無請求URL關鍵字指URI（統一資源標識符）如要針對以下URL做策略：/admin/admin.asp，要將域名后面的字符加至正則中，這里的正則

53、為/admin/admin.asp$。請求包內容關鍵字指post提交的內容無請求文件類型指請求的Ruest_basename字段/test.log，log就是文件類型字段，在正則中只需填log即可。請求URL引用字段關鍵字指URL中查詢的字段/index.asp?id=1，?后面的字符id=1就是URL引用關鍵字。請求方法指請求Web服務器的方法，一般比較常見的請求方法是GET、POST無請求頭部指HTTP整個協議頭部的內容包括URL、host、User-agent、cookie等字段145自定義規則檢測字段字段名稱描述備注請求頭部Referer指該頁面的上一跳是哪個URL 可用在防護盜鏈規則

54、配置中請求頭部Content-Type指post提交時請求接受的MIME類型或上傳文件類型。如Content-Type: application/x-www-form-urlencoded，指設置表單的格式是URL編碼請求頭部User-Agent指瀏覽器類型探索引擎在爬行網站時也會帶上自己的User-agent信息，如Google的爬蟲會帶上googlebot信息請求頭部host指域名或主機名。請求頭部Transfer-Encoding指傳輸編碼，如chunked請求頭部Content-Length指post提交時的報文長度請求頭部Cookie指HTTP會話標識，用于辨別訪問者身份，從而跟蹤H

55、TTP會話146自定義規則檢測字段字段名稱描述備注請求參數URL中/index.asp?id=1，參數為1請求參數名指提交的參數名，如id=1中參數名為id敏感詞（請求包）指提交參數中檢測的敏感關鍵字，如法輪功、色情等中文字符應答狀態碼指服務器返回的HTTP應答狀態碼，如http 200為正常返回狀態碼響應包內容關鍵字指服務器返回的頁面內容響應包長度指下載的頁面長度，也就是Content-Length字段響應頭部Content-type服務器返回的對象類型如Content-type:text/html上傳文件長度指post提交的數據包長度上傳文件類型指上傳文件的類型147自定義規則匹配正則(P

56、CRE正則表達式）對于“匹配正則”內容的填寫需要符合PCRE正則表達式的寫法，如IP地址則需要寫成,需要掌握基本的正則表示的知識。字符說明匹配輸入字符串的開始位置$匹配輸入字符串的結尾位置()標記一個子表達式的開始和結束位置字符集合。匹配所包含的任意一個字符。例如，“abc”可以匹配“plain”中的“a”。修飾匹配次數的符號，例如，“o2”不能匹配“Bob”中的“o”，但是能匹配“food”中的兩個o。.匹配除了換行符（n）以外的任意一個字符*修飾匹配次數為 0 次或任意次+修飾匹配次數為至少 1 次?修飾匹配次數為 0 次或 1 次148自定義規則匹配正則(PCRE正

57、則表達式）字符說明|左右兩邊表達式之間 或 關系轉義字符標識!表示非b匹配一個單詞邊界，例如，“erb”可以匹配“never”中的“er”，但不能匹配“verb”中的“er”d匹配一個數字字符。等價于0-9149自定義規則匹配正則(PCRE正則表達式）簡單的轉義字符表達式可匹配匹配 符號本身$匹配 $ 符號本身.匹配小數點（.）本身匹配 本身150自定義規則匹配正則(PCRE正則表達式）舉例說明IP地址在填寫正則匹配時需要進行轉義為,這里的“.”需要表示“.”本身，不需要表示任何字符，因此需要進行轉義域名在填寫正則匹配時也是需要進行轉義為 1:選擇“策略”“自定義規則”“

58、創建自定義規則152自定義規則配置及驗證Step 2:將瀏覽器下拉至“自定義內容”模塊，檢測字段選擇“請求IP地址”，匹配正則內容為“!00”,注意：”.”需要加進行轉義；解碼類型選擇”字母最小化”、”URL解碼就可以”。153Step 3:添加組合條件，檢測字段選擇”請求URL關鍵字”,匹配正則內容為” /web/admin/admin_login.asp”,”和.”需要進行轉義，正則內容可以進行正則匹配測試，另外注意注意的是正則內容的大寫字母全部改為小寫。解碼類型選擇”字母最小化”和”URL解碼”自定義規則配置及驗證154自定義規則配置及驗證Step 4:將瀏覽器下拉

59、至“自定義選項”模塊，告警信息（可以隨便命名），動作選擇為阻斷，將自定義規則應用到指定的規則組中，然后點擊下一步，單擊保存并點擊右上角的應用更改按鈕。155自定義規則配置及驗證Step 5:指定客戶端訪問39/web/admin/Admin_Login.asp該URL，查看返回的內容以及查看應用防護日志是否有告警生成。156自定義規則配置及驗證舉例說明2描述：某客戶網站某個頁面存在源碼泄露，客戶要求對該頁面返回的內容進行阻斷，源碼泄露的現象如下圖所示157自定義規則配置及驗證Step 1:選擇“策略”“自定義規則”“創建自定義規則158自定義規則配置及驗證Step 2:將瀏覽器下拉至“自定義內

60、容”模塊，檢測字段選擇“敏感詞（響應包）”，匹配正則內容為” the server encountered an internal error”,匹配正則內容一定是要小寫，解碼類型類型選擇”字母最小化”和”URL解碼”159自定義規則配置及驗證Step 3:將瀏覽器下拉至“自定義選項”模塊，告警信息（可以隨便命名），動作選擇為阻斷，將自定義規則應用到指定的規則組中，然后點擊下一步，單擊保存并點擊右上角的應用更改按鈕。160Step 4:指定客戶端訪問存在源碼泄露的URL，查看返回的內容以及查看應用防護日志是否有告警生成自定義規則配置及驗證161自定義規則配置及驗證舉例說明3描述：某客戶網站被掃