实例管理
购买实例
租户通过本功能完成对服务实例的创建、维护和管理。
菜单路径
产品与服务 → 安全(云御) → 云 WAF→ 服务列表 → 点击购买云 WAF
操作步骤
- 登录控制台。
- 点击 产品与服务 → 安全(云御) → 云 WAF → 服务列表,进入实例操作界面。
- 点击"购买云 WAF",填写基本信息。 如下表所示:
| 属性 | 属性说明 |
|---|---|
| 服务名称 | 服务实例的名称。名称只能包含中文、数字、字母和"-",长度不超过 36。 |
| 计费模式 | 包年/包月:包年包月是预付费模式,按订单的购买周期计费,适用于可预估资源使用周期的场景。 |
| 区域 | 不同区域之间内网互不相通,请就近选择靠近您业务的区域,可减少网络延时,提高访问速度。 |
| 选择产品 | 选择已经定义好的产品 |
| 选择规格 | 选择对应产品下的规格 |
| 选择网络 | 选择已经定义好的网络 |
| 选择子网 | 选择已经定义好的网络对应的子网 |
| ip地址 | 允许手动分配ip地址,默认是自动分配 |
| 选择安全组 | 选择已经定义好的安全组 |
| 时长 | 选择购买服务实例的时长 |
注:安全组需要放开的端口如下:
| 访问控制方向 | 协议 | 端口号 | 用途 |
|---|---|---|---|
| 入方向 | TCP | Any | 用于数据的方向代理 |
| 入方向 | UDP | Any | 用于数据的方向代理 |
| 出方向 | TCP | Any | 用于数据的方向代理 |
| 出方向 | UDP | Any | 用于数据的方向代理 |
- 确认无误后,点击"立即购买",进入订单确认页, 支付成功后即完成一个云 WAF 的购买 。
开机
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 云 WAF → 服务列表,进入实例操作界面。
开启单个实例:勾选需要开机的,在列表顶部,单击"开机"。或在右侧操作栏中,单击"更多"-"开机"。
开启多个实例:勾选所有需要开机的实例,在列表顶部,单击"开机"。即可批量开机。
关机
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 云 WAF → 服务列表,进入实例操作界面。
关闭单个实例:勾选需要关机的,在列表顶部,单击"关机"。或在右侧操作栏中,单击"更多"-"关机"。
关闭多个实例:勾选所有需要关机的实例,在列表顶部,单击"关机"。即可批量关机。
重启
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 云 WAF → 服务列表,进入实例操作界面。
重启单个实例:勾选需要重启的,在列表顶部,单击"重启"。或在右侧操作栏中,单击"更多"-"重启"。
重启多个实例:勾选所有需要重启的实例,在列表顶部,单击"重启"。即可批量重启。
弹性公网 IP
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 云 WAF → 服务列表,进入实例操作界面。
绑定 fip:在实例列表右侧操作栏中,单击"更多"-"FIP"-"绑定"。
解绑 fip:在实例列表右侧操作栏中,单击"更多"-"FIP"-"解绑"。
续费
操作步骤
- 登录控制台。
- 点击 产品与服务 → 安全(云御) → 云 WAF → 服务列表,进入实例操作界面。
- 在需要续费的实例的操作栏中,点击"更多"选择"续费",跳转到续费订单界面。
- 选择续费的时长,点击"去支付"。
- 支付成功,完成续费。
负载均衡
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 云 WAF → 服务列表,进入实例操作界面。
绑定 负载均衡:在实例列表右侧操作栏中,单击"更多"-"负载均衡"-"绑定"。(需提前在负载均衡页面创建负载均衡及监听器)
解绑 负载均衡:在实例列表右侧操作栏中,单击"更多"-"负载均衡"-"解绑"。
管理实例
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 云 WAF → 服务列表,进入实例操作界面。
管理单个实例:在右侧操作栏中,单击"管理",即可登录到实例管理界面进行操作。
实例详情
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 云 WAF → 服务列表,进入实例操作界面。
点击需要查看详情的实例 ID 进入 。详情中的基本操作如下表所示
表 2 基本操作
| 操作名称 | 操作 | 详解 |
|---|---|---|
| 虚拟网络 | 点击“刷新” | 刷新虚拟网络名称 |
| 子网 | 点击“刷新” | 刷新子网名称 |
| 安全组 | 点击“刷新” | 刷新安全组名称 |
搜索实例
操作步骤
登录控制台
点击 产品与服务 → 安全(云御) → 云 WAF → 服务列表,进入实例操作界面。
在上方的搜索框中输入要搜索的实例的名称、ID 或内网 IP,点击"搜索"按钮。
产品登录
产品单点登录
具有 admin 权限的云平台用户,可通过实例的单点登录功能登录云 WAF 系统,登录后创建资产、用户和控制策略,操作步骤如下:
登录控制台。
点击 产品与服务 → 安全(云御) → 云 WAF → 服务列表,进入实例操作界面。
管理单个实例:在右侧操作栏中,单击"管理",即可登录到实例管理界面进行操作。
IP 地址登录
实例创建成功后超级管理员和运维人员可通过 IP 地址登陆管理,登录方式有:
1 通过租户的 VPN 网关连接进入租户 VPC 内部后,通过实例 IP 地址登陆。
2 为云 WAF 创建 FIP(使用于政务云场景),通过 VPN 连接进入云中心后,通过 FIP 登录云 WAF。
默认超级管理员用户名为 admin 密码为 admin,进入界面后请修改密码。
注:因为 WAF 采用反向代理模式部署,所有生成 WAF 实例后需要绑定 FIP,在通过边界防火墙等设备进行对 FIP 的代理端口的映射。
防护站点配置
云 WAF 产品采用反向代理的方式进行部署,外部人员访问 WAF 的接口地址+对外端口,经过 WAF 流量清洗就代理转发至 web 站点。
防护站点的配置需要配置站点组,该站点组内的站点为对外发布的地址(WAF 的接口地址),虚拟站点为被代理的真实 web 服务器地址(可通过域名代理至不同的站点)。
创建站点组
通过快速模式创建站点组。
单击站点组树图右上角的图标
,或者"root"根目录右侧的图标
,弹出新建站点组对话框。
反向代理部署模式下,WAF 自适应使用快速模式新建站点组,如图所示:
单击【下一步】按钮,进入站点组命名界面,如图所示:快速模式站点组命名
输入站点组名称,单击【完成】按钮,完成新建站点组并返回站点防护页面。
此时,新建的站点组内没有任何站点,需要后续添加站点和策略,才能对站点组内站点进行防护。
添加防护站点
单击站点组树图中的某一站点组,进入站点组管理页面。单击站点列表右下方的【新建站点】按钮,弹出新建站点对话框:
配置站点参数:
| 配置项 | 描述 |
|---|---|
| 服务器名称 | 站点的名称,不能包含<>"字符,最长不能超过 25 个字符。 |
| 服务器类型 | 访问站点使用的协议,有 http 和 https 两类。 如果选择 https 协议,还需配置证书文件。 |
| 接入接口 | 代理接入的接口 |
| 代理 IP 地址 | 代理接口的 IP 地址,选择接入接口后,会自动展示出该接口上已有的 IP 地址,若该接口上未配置地址,可直接编辑接口。在接口配置中,IP 地址支持 IPv4 和 IPv6。一个接口上可配置 253 个 IP 地址。 |
| 代理端口 | WAF 代理的通信端口。 服务器类型为 HTTP 或 HTTPS 时,都只能输入一个端口。 |
| 开启 Web 访问日志 | 是否开启 web 访问日志。开启后,所有经过 WAF 的访问请求都会记录访问日志;如果不开启,则不进行记录。 |
| 开启访问量统计 | 是否开启访问量统计。开启后,该站点所有经过 WAF 的访问流量都会进行流量统计;如果不开启,则不进行统计。 |
| HTTP 解码失败告警 | 选择是否开启 HTTP 解码失败告警。开启后,WAF 对来自该站点的请求进行解码,当解码失败后,WAF 将进行告警;如果不开启,则解码失败后不会进行告警。 |
| 开启 gzip | 选择是否开启 gzip。 如果 WAF 配置了跨站请求伪造防护、敏感信息过滤、内容过滤、webshell 防护 4 个响应方向策略中的一个或多个,那么: 开启 gzip,WAF 支持检测并向客户端返回 gzip 压缩的响应报文; 不开启 gzip,WAF 支持检测,但客户端收到的响应报文未进行压缩传输。 |
| gzip 压缩等级 | 开启 gzip 后选择 gzip 压缩等级。 压缩等级取值范围:1~9,值越高,压缩率越高,压缩速度越慢(1 最高压缩速度,9 最高压缩率)。 |
| Content-type | WAF 进行 gzip 压缩的文件类型。 WAF 默认支持压缩的常见文件类型包括:text、application/x-javascript、application/json、application/javascript。 用户可根据需要自行输入文件类型。 |
| SSL 协议选择 | 选择 SSL 协议类型,可选项包括: 通用协议:选择通用协议新建普通站点。 国密协议:选择国密协议则新建的是国密站点。 此配置项仅当以下条件均满足时才需配置: 服务器类型选择 HTTPS 协议; 系统维护员在 系统管理 > 系统参数配置 > 其他参数 中开启了国密模式。 |
| 证书文件 | 如果服务器类型选择 https 协议,还需配置协议使用的证书。可以选择已有证书或上传新的证书。 选择已有证书:选择系统内置或用户已上传的证书,管理员可以管理已有的证书文件。 上传证书:上传新的证书到 WAF。 |
| SSL 卸载 | 是否启用 SSL 卸载功能。 仅当服务器类型为 HTTPS 时可配置的高级选项。 |
| 客户端 | SSL 版本:WAF 支持的 SSL 版本,可以选择多个 SSL 版本。 加密算法:选择 WAF 与客户端通信使用的 SSL 加密算法,可以选择单个或多个,算法由系统内置。 仅当服务器类型为 HTTPS 时可配置的高级选项。 |
| 服务器 | SSL 版本:WAF 支持的 SSL 版本,可以选择多个 SSL 版本。 加密算法:选择 WAF 与服务器通信使用的 SSL 加密算法,可以选择单个或多个,算法由系统内置。 仅当服务器类型为 HTTPS 时可配置的高级选项。 |
单击【完成】按钮,保存配置,并返回站点组管理页面。如还需增加站点,单击【继续新建】按钮,继续新建站点。
新建虚拟站点
在站点组树图中,鼠标移动到某个站点组时,显示新建虚拟站点图标
,单击该图标,弹出新建虚拟站点对话框。
新建虚拟站点 -- 反向代理模式
配置虚拟站点参数,参数说明如表 4-15 所示。
虚拟站点参数说明
| 配置项 | 描述 |
|---|---|
| 虚拟站点名称 | 虚拟站点的名称。 |
| 域名 | 虚拟站点的域名,如果没有域名可输入* |
| 检测的 URI-Path | 进行检测的 URL 地址,如果无,可输入/* |
| 不检测的 URI-Path | 不进行检测的 URL 地址。 |
| 开启区域访问量 | 虚拟站点是否开启区域访问量统计功能。 |
| 开启协议降级 | 虚拟站点是否开启协议降级功能。 开启后,将 HTTP 的长连接变为短连接。 |
| 开启 HSTS | 防护站点是否开启 HSTS(HTTP Strict Transport Security)。 开启 HSTS,max-age 为必配参数,表示 HSTS Header 的过期时间,首次访问该站点时,手动在 URL 栏中输入https://IPor域名,强制使用HTTPS协议访问目标网站,第二次访问如果在max-age配置的时间范围内,则可不用输入https,直接输入站点IP或域名,浏览器将自动使用HTTPS协议访问目标网站,且浏览器的HSTS Header 时间自动刷新为 max-age 配置的时间,重新开始计时;若第二次访问超过 max-age 配置的时间范围,则需手动输入 https,浏览器不会自发使用 HTTPS 协议访问站点。 若当前域名未加入入 Google 发起的 Preload List,为保证 HSTS 功能生效,服务器需要提供将 HTTP 协议重定向到 HTTPS 协议的跳转功能。可在 WAF 上配置相同 IP 段的 HTTP 协议站点,并配置数据安全传输策略,即可实现 http 重定向到 https 的功能。 |
| max-age | 开启 HSTS 后必需配置该参数。 HSTS Header 在浏览器中的缓存时间。 初次开启时,建议设置较短时间。 |
| includeSubDomain | 仅开启 HSTS 后可配置该参数。 是否包含子域名。 开启后,需确保当前域名的所有子域名都已支持 HTTPS 协议,否则会导致访问不通。 |
| preload | 仅开启 HSTS 后可配置该参数。 是否申请将该域名加入 Google 发起的 Preload List。 开启即表示申请加入。申请加入 Preload List 需满足以下条件: max-age 不得少于 18 周(126 天) 必须开启 includeSubDomains 字段 必须开启 preload 字段但 Google 不会判定申请人的合法性,请谨慎开启此字段。 |
| 服务器 | 仅当反向代理部署模式下新建虚拟站点时需要配置。 选择IP**地址:需要输入被代理服务器的 IP 地址和端口号,同时可选择是否开启负载均衡。其中 IP 地址支持 Ipv4 和 Ipv6。 选择真实域名**:需要被代理服务器的真实域名和端口号,并单击【获取 IP 地址】,获取服务器的 IP,其中 IP 地址支持 Ipv4 和 Ipv6。 |
| 开启负载均衡 | 是否开启负载均衡功能,仅当反向代理部署模式下新建虚拟站点时需要配置。 开启负载均衡后,还需要配置负载均衡组中其他 WAF 设备的 IP 地址及端口。 |
| 高级选项 | 若站点组中有服务器类型为 HTTPS 的站点,还可以为虚拟站点配置以下高级选项: 证书文件:证书文件的导入方法,可选方式有选择已有证书和上传证书; 选择已有证书:选择已有的证书文件; SSL 版本支持:WAF 支持的 SSL 版本; 加密算法:默认为客户端。 |
单击【保存】按钮,保存配置。
防护策略配置
通过默认模板配置规则
完成防护站点配置后需要为该站点配置网站的安全防护规则。系统内置了默认的防护模板,一般情况下可直接引用模板实现基本的站点安全防护。
web 安全防护
web 安全防护是云 WAF 的防护核心,系统内置 default_low/default_medium/ default_high 三种防护模板(模板内容可通过策略管理&模板管理进行修改)。
default_low:宽松策略模板,只开启最必要的策略、只防范高危级别的漏洞;误报低,防御度也较低。
default_medium:标准策略模板,开启所有必要的策略和必要的规则防护;防御度与误报率较平衡(推荐使用)。
default_high:严格策略模板,所有规则、所有防御手段全开;防御度高,误报也较高。
选择快速模板配置,选择站点模板,选择需要的防护模板即可为各防护模块加载相应等级的防护规则。
- 站点模板
选择站点组,web 安全防护 tab 页进行 web 安全策略设置。为该站点组加载 web 防护策略,改站点组的所有虚拟站点均引用该模板进行防护。
- 虚拟站点模板
选择站点组的相应站点,选择策略配置,即可为该虚拟站点单独配置防护规则。
策略一键关停
选择站点组,通过站点组管理的"策略一键控制",设置站点组策略的一键开启个关停,当"一键接受"设置为开启模式时,所有安全防护策略均忽略。
定义策略模板
策略管理
云 WAF 产品内置各种防护策略的规则集,均以"高、中、低"的方式预置了防护策略。通过策略编辑,可对每种类型的防护策略集进行编辑,开启和关闭某种防护类型。
配置 Web 服务器/插件防护策略
Web 服务器/插件是指 Web 服务器以及运行在服务器上的业务逻辑。Web 服务器/插件防护针对已有的服务器漏洞和业务处理逻辑漏洞设置的规则,主要检测非法请求以及非法回应内容。WAF 的 Web 服务器/插件防护策略,可根据 Web 服务器和服务器上的业务处理逻辑,灵活地选择对应的防护规则。
在 Web 服务器/插件防护页面,可以进行新建、编辑、复制和删除 Web 服务器/插件防护策略的操作。下面介绍如何新建 Web 服务器/插件防护策略,有关如何编辑、复制和删除 Web 服务器/插件防护策略与对 HTTP 协议校验策略相同,详情请参考 HTTP 协议校验策略的相关介绍,此处不再赘述。
新建 WEB 服务器/插件防护策略步骤如下:
选择菜单 安全管理 > 策略管理 > 基础防护 > Web 服务器/插件防护,进入 Web 服务器/插件防护策略列表,如图
Web 服务器/插件防护策略配置
单击【新建】按钮,弹出新建 Web 服务器/插件防护策略对话框,如图所示。
新建 Web 服务器/插件防护策略
配置 Web 服务器/插件防护策略参数,参数详细信息如表:
| 配置项 | 描述 |
|---|---|
| 名称 | Web 服务器/插件防护策略的名称。 |
| 描述 | Web 服务器/插件防护策略的描述说明。 |
| 是否告警 | 是否产生告警日志。 |
| 动作 | 有 5 种类型的动作: 放过:对符合条件的请求,WAF 不再作任何安全检测而直接转发给服务器。 接受:对符合条件的请求,WAF 结束本次策略检测,但还会对其做其它安全检测。 阻断:对符合条件的请求,WAF 结束本次策略检测,并直接关闭当前 TCP 连接(当动作为“阻断”时,WAF 还提供“源 IP 封禁”选项)。 重定向:对符合条件的请求,WAF 构造一个 302 重定向页面回应客户端,并关闭当前 TCP 连接。 伪装:对符合条件的请求,WAF 使用用户自定义的 HTTP 响应码及响应文件的内容回应客户端,并关闭当前 TCP 连接。 |
| 源 IP 封禁 | 如果动作选择阻断,则该项为必选。 不封禁:不对源 IP 进行封禁; 永久封禁:永久阻断该源 IP 的访问; 自定义封禁:在设定时间内对源 IP 进行封禁。封禁时间可以配置为秒、分钟、小时。 |
| 重定向路径 | 如果动作选择重定向,则该项必选,设置重定向的 URL。 |
| 响应码 | 如果动作选择伪装,则该项必选,选择 HTTP 响应码。 |
| 响应文件 | 如果动作选择伪装,则该项必选,可以自行上传响应文件或选择已有响应文件。 |
| 匹配原则 | 匹配原则有两种: 匹配中即结束,是匹配一条规则后就不进行后续规则的匹配; 匹配中仍继续,是匹配一条规则后仍要进行策略中后续规则的匹配。 |
| 规则筛选 | 根据规则类型、ID、危险等级、操作系统、Web 服务器、名称、准确度、数据库、编程语言其中的一项或多项过滤条件,对规则列表进行筛选。单击【筛选】按钮后,下方的规则列表将显示根据指定条件过滤后的规则列表。 |
| 规则列表 | 默认显示全部规则,当进行规则筛选后,仅显示指定条件的规则列表。 至少选择一个规则。要将某个规则加入规则集,只需勾选规则对应的复选框。 |
配置 HTTP 访问控制策略
HTTP 访问控制策略是指对来自客户端的 HTTP 请求协议进行检测,根据配置的动作对不满足条件的数据包进行相应的处理。在一个"站点"中,用户可以配置多条 HTTP 访问控制策略。这些策略根据界面所展示的顺序被依次匹配,只要其中一条策略被匹配,则不会继续匹配后续的策略。
在 HTTP 访问控制策略页面,可以进行新建、编辑、复制和删除 HTTP 访问控制策略的操作。下面介绍如何新建 HTTP 访问控制策略,有关如何编辑、复制和删除 HTTP 访问控制策略与 HTTP 协议校验策略相同,详情请参考 HTTP 协议校验策略的相关介绍,此处不再赘述。
新建 HTTP 访问控制策略步骤如下:
选择菜单 安全管理 > 策略管理 > 基础防护 > HTTP 访问控制,进入 HTTP 访问控制策略列表,如图所示:
HTTP 访问控制策略列表
单击【新建】按钮,弹出新建 HTTP 访问控制策略对话框:
、
配置 HTTP 访问控制策略参数
| 配置项 | 描述 |
|---|---|
| 名称 | HTTP 访问控制策略的名称。 |
| 描述 | HTTP 访问控制策略的描述说明。 |
| 是否告警 | 是否产生告警日志。 |
| 动作 | 有 5 种类型的动作: 放过:对符合条件的请求,WAF 不再作任何安全检测而直接转发给服务器。 接受:对符合条件的请求,WAF 结束本次策略检测,但还会对其做其它安全检测。 阻断:对符合条件的请求,WAF 结束本次策略检测,并直接关闭当前 TCP 连接(当动作为“阻断”时,WAF 还提供“源 IP 封禁”选项)。 重定向:对符合条件的请求,WAF 构造一个 302 重定向页面回应客户端,并关闭当前 TCP 连接。 伪装:对符合条件的请求,WAF 使用用户自定义的 HTTP 响应码及响应文件的内容回应客户端,并关闭当前 TCP 连接。 |
| 源 IP 封禁 | 如果动作选择阻断,则该项为必选。 不封禁:不对源 IP 进行封禁; 永久封禁:永久阻断该源 IP 的访问; 自定义封禁:在设定时间内对源 IP 进行封禁。封禁时间可以配置为秒、分钟、小时。 |
| 重定向路径 | 如果动作选择重定向,则该项必选,设置重定向的 URL。 |
| 响应码 | 如果动作选择伪装,则该项必选,选择 HTTP 响应码。 |
| 响应文件 | 如果动作选择伪装,则该项必选,可以自行上传响应文件或选择已有响应文件。 |
| 防护信息 | HTTP 访问控制策略通过主机名、URI-Path、HTTP 方法以及客户端 IP 等多个条件实现对 HTTP 请求的组合控制。在策略中若选择多个条件,则表示这些条件必须同时匹配才能触发策略;若不选择任何条件则表示任意条件均匹配策略。关于配置参数的详情请参见界面在线帮助的介绍。 |
配置爬虫防护策略
网络爬虫,是一种按照一定的规则,自动抓取万维网信息的程序或者脚本。网络上有很多搜索引擎,如百度,雅虎等,都使用爬虫提供最新的数据。但如果恶意使用爬虫爬取大量的网站页面,不但占用网站带宽,而且影响服务器性能,WAF 通过设置该策略,可以防止信息被搜索引擎获取。
在爬虫防护策略页面,可以进行新建、编辑、复制和删除爬虫防护策略的操作。下面介绍如何新建爬虫防护策略,有关如何编辑、复制和删除爬虫防护策略与 HTTP 协议校验策略相同,详情请参考 HTTP 协议校验策略的相关介绍,此处不再赘述。
新建爬虫防护策略步骤如下:
选择菜单 安全管理 > 策略管理 > 基础防护 > 爬虫防护,进入爬虫防护策略列表,如图所示
爬虫防护策略配置
单击【新建】按钮,弹出新建爬虫防护策略对话框
配置爬虫防护策略参数,参数详细信息
| 配置项 | 描述 |
|---|---|
| 名称 | 爬虫防护策略的名称。 |
| 描述 | 爬虫防护策略的描述说明。 |
| 是否告警 | 是否产生告警日志。 |
| 动作 | 有 5 种类型的动作: 放过:对符合条件的请求,WAF 不再作任何安全检测而直接转发给服务器。 接受:对符合条件的请求,WAF 结束本次策略检测,但还会对其做其它安全检测。 阻断:对符合条件的请求,WAF 结束本次策略检测,并直接关闭当前 TCP 连接(当动作为“阻断”时,WAF 还提供“源 IP 封禁”选项)。 重定向:对符合条件的请求,WAF 构造一个 302 重定向页面回应客户端,并关闭当前 TCP 连接。 伪装:对符合条件的请求,WAF 使用用户自定义的 HTTP 响应码及响应文件的内容回应客户端,并关闭当前 TCP 连接。 |
| 源 IP 封禁 | 如果动作选择阻断,则该项为必选。 不封禁:不对源 IP 进行封禁; 永久封禁:永久阻断该源 IP 的访问; 自定义封禁:在设定时间内对源 IP 进行封禁。封禁时间可以配置为秒、分钟、小时。 |
| 重定向路径 | 如果动作选择重定向,则该项必选,设置重定向的 URL。 |
| 响应码 | 如果动作选择伪装,则该项必选,选择 HTTP 响应码。 |
| 响应文件 | 如果动作选择伪装,则该项必选,可以自行上传响应文件或选择已有响应文件。 |
| 匹配原则 | 匹配原则有两种: 匹配中即结束,是匹配一条规则后就不进行后续规则的匹配; 匹配中仍继续,是匹配一条规则后仍要进行策略中后续规则的匹配。 |
| 规则筛选 | 根据规则类型、ID、危险等级、名称和准确度中的一项或多项过滤条件,对规则列表进行筛选。单击【筛选】按钮后,下方的规则列表将显示根据指定条件过滤后的规则列表。 |
| 规则列表 | 默认显示全部规则,当进行规则筛选后,仅显示指定条件的规则列表。 至少选择一个规则。要将某个规则加入规则集,只需勾选规则对应的复选框。 |
配置 Web 通用防护策略
WEB 通用防护策略主要针对:SQL(Structured Query Language)注入防护、命令行注入攻击防护和跨站脚本攻击防护等几类防护。
SQL 注入,是指通过把 SQL 命令作为数据的一部分提交到服务器,并最终达到欺骗服务器执行这些 SQL 命令的过程。SQL 注入产生的原因往往是因为服务器的代码本身存在的缺陷,例如当服务器的应用程序未经校验而直接使用客户端提交的数据来构造动态 SQL 语句以访问数据库时,就会可能发生 SQL 注入攻击。
跨站脚本攻击,也称 XSS/CSS(Cross Site Scripting),是指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会单击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。
在 Web 通用防护策略页面,可以进行新建、编辑、复制和删除 Web 通用防护策略的操作。下面介绍如何新建 Web 通用防护策略,有关如何编辑、复制和删除 Web 通用防护策略与 HTTP 协议校验策略相同,详情请参考 HTTP 协议校验策略的相关介绍,此处不再赘述。
新建 Web 通用防护策略步骤如下:
选择菜单 安全管理 > 策略管理 > 基础防护 > Web 通用防护,进入 Web 通用防护策略列表,如图所示。
Web 通用防护策略配置
单击【新建】按钮,弹出新建 Web 通用防护对话框,如图 4-77 所示。
新建 Web 通用防护策略
配置 Web 通用防护策略参数,参数详细信息如所示。
| 配置项 | 描述 |
|---|---|
| 名称 | Web 通用防护策略的名称。 |
| 描述 | Web 通用防护策略的描述说明。 |
| 是否告警 | 是否产生告警日志。 |
| 动作 | 有 5 种类型的动作: 放过:对符合条件的请求,WAF 不再作任何安全检测而直接转发给服务器。 接受:对符合条件的请求,WAF 结束本次策略检测,但还会对其做其它安全检测。 阻断:对符合条件的请求,WAF 结束本次策略检测,并直接关闭当前 TCP 连接(当动作为“阻断”时,WAF 还提供“源 IP 封禁”选项)。 重定向:对符合条件的请求,WAF 构造一个 302 重定向页面回应客户端,并关闭当前 TCP 连接。 伪装:对符合条件的请求,WAF 使用用户自定义的 HTTP 响应码及响应文件的内容回应客户端,并关闭当前 TCP 连接。 |
| 源 IP 封禁 | 如果动作选择阻断,则该项为必选。 不封禁:不对源 IP 进行封禁; 永久封禁:永久阻断该源 IP 的访问; 自定义封禁:在设定时间内对源 IP 进行封禁。封禁时间可以配置为秒、分钟、小时。 |
| 重定向路径 | 如果动作选择重定向,则该项必选,设置重定向的 URL。 |
| 响应码 | 如果动作选择伪装,则该项必选,选择 HTTP 响应码。 |
| 响应文件 | 如果动作选择伪装,则该项必选,可以自行上传响应文件或选择已有响应文件。 |
| 匹配原则 | 匹配原则有两种: 匹配中即结束,是匹配一条规则后就不进行后续规则的匹配; 匹配中仍继续,是匹配一条规则后仍要进行策略中后续规则的匹配。 |
| 规则筛选 | 根据规则类型、ID、危险等级、操作系统、Web 服务器、名称、准确度、数据库、编程语言中的一项或多项过滤条件,对规则列表进行筛选。单击【筛选】按钮后,下方的规则列表将显示根据指定条件过滤后的规则列表。 |
| 规则列表 | 默认显示全部规则,当进行规则筛选后,仅显示指定条件的规则列表。 至少选择一个规则。要将某个规则加入规则集,只需勾选规则对应的复选框。 |
配置文件非法上传防护策略
当客户端用户向服务器上传数据时,WAF 可以对上传的文件类型进行防护,当有非法上传策略中配置的文件类型上传时,WAF 会根据策略中配置的动作允许或阻断该数据的上传,并记录告警日志。
在文件非法上传防护策略页面,可以进行新建、编辑、复制和删除文件非法上传防护策略的操作。下面介绍如何新建文件非法上传防护策略,有关如何编辑、复制和删除文件非法上传防护策略与 HTTP 协议校验策略相同,详情请参考 HTTP 协议校验策略的相关介绍,此处不再赘述。
新建文件非法上传防护策略步骤如下:
选择菜单 安全管理 > 策略管理 > 基础防护 > 文件非法上传防护,进入文件非法上传防护策略列表,如图所示。
文件非法上传防护策略配置
单击【新建】按钮,弹出新建文件非法上传防护策略对话框
配置文件非法上传防护策略参数,参数详细信息如表
| 配置项 | 描述 |
|---|---|
| 名称 | 文件非法上传防护策略的名称。 |
| 描述 | 文件非法上传防护策略的描述说明。 |
| 是否告警 | 是否产生告警日志。 |
| 动作 | 有 5 种类型的动作: 放过:对符合条件的请求,WAF 不再作任何安全检测而直接转发给服务器。 接受:对符合条件的请求,WAF 结束本次策略检测,但还会对其做其它安全检测。 阻断:对符合条件的请求,WAF 结束本次策略检测,并直接关闭当前 TCP 连接(当动作为“阻断”时,WAF 还提供“源 IP 封禁”选项)。 重定向:对符合条件的请求,WAF 构造一个 302 重定向页面回应客户端,并关闭当前 TCP 连接。 伪装:对符合条件的请求,WAF 使用用户自定义的 HTTP 响应码及响应文件的内容回应客户端,并关闭当前 TCP 连接。 |
| 源 IP 封禁 | 如果动作选择阻断,则该项为必选。 不封禁:不对源 IP 进行封禁; 永久封禁:永久阻断该源 IP 的访问; 自定义封禁:在设定时间内对源 IP 进行封禁。封禁时间可以配置为秒、分钟、小时。 |
| 重定向路径 | 如果动作选择重定向,则该项必选,设置重定向的 URL。 |
| 响应码 | 如果动作选择伪装,则该项必选,选择 HTTP 响应码。 |
| 响应文件 | 如果动作选择伪装,则该项必选,可以自行上传响应文件或选择已有响应文件。 |
| 输入文件扩展名 | 支持用户自定义输入待检测的文件扩展名。 |
| Shell 类型 | 需要检查的上传文件类型。勾选指定文件类型后,上传该类型文件时将根据配置的策略及动作,WAF 做出相应响应。 |
配置非法下载限制策略
当客户端用户从服务器端下载数据时,WAF 可以对下载的文件类型进行防护,当有非法下载策略中配置的文件类型下载时,WAF 会根据策略中配置的动作允许或阻断该数据的下载,并记录告警日志。
在非法下载限制策略页面,可以进行新建、编辑、复制和删除非法下载限制策略的操作。下面介绍如何新建非法下载限制策略,有关如何编辑、复制和删除非法下载限制策略与 HTTP 协议校验策略相同,详情请参考 HTTP 协议校验策略的相关介绍,此处不再赘述。
新建非法下载限制策略步骤如下:
选择菜单 安全管理 > 策略管理 > 基础防护 > 非法下载限制,进入非法下载限制策略列表,如图所示。
非法下载限制策略配置
单击【新建】按钮,弹出新建非法下载限制策略对话框
配置非法下载限制策略参数,参数详细信息如表
| 配置项 | 描述 |
|---|---|
| 名称 | 非法下载限制策略的名称。 |
| 描述 | 非法下载限制策略的描述说明。 |
| 是否告警 | 是否产生告警日志。 |
| 动作 | 有 5 种类型的动作: 放过:对符合条件的请求,WAF 不再作任何安全检测而直接转发给服务器。 接受:对符合条件的请求,WAF 结束本次策略检测,但还会对其做其它安全检测。 阻断:对符合条件的请求,WAF 结束本次策略检测,并直接关闭当前 TCP 连接(当动作为“阻断”时,WAF 还提供“源 IP 封禁”选项)。 重定向:对符合条件的请求,WAF 构造一个 302 重定向页面回应客户端,并关闭当前 TCP 连接。 伪装:对符合条件的请求,WAF 使用用户自定义的 HTTP 响应码及响应文件的内容回应客户端,并关闭当前 TCP 连接。 |
| 源 IP 封禁 | 如果动作选择阻断,则该项为必选。 不封禁:不对源 IP 进行封禁; 永久封禁:永久阻断该源 IP 的访问; 自定义封禁:在设定时间内对源 IP 进行封禁。封禁时间可以配置为秒、分钟、小时。 |
| 重定向路径 | 如果动作选择重定向,则该项必选,设置重定向的 URL。 |
| 响应码 | 如果动作选择伪装,则该项必选,选择 HTTP 响应码。 当响应码大于等于 200 小于 400 时,才会触发防护,产生安全告警事件。 |
| 响应文件 | 如果动作选择伪装,则该项必选,可以自行上传响应文件或选择已有响应文件。 |
| 文件大小检测 | 是否开启文件大小检测。如需开启,勾选该项并输入文件大小,当客户端下载超过设定值的文件时,触发此条策略,WAF 根据设置的动作采取相应操作。 |
| 文件扩展名检测 | 是否开启扩展名检测。如需开启,勾选该项并输入文件扩展名,当客户端下载设定的扩展名文件时,触发此条策略,WAF 根据设置的动作采取相应操作。 |
| MIME 类型检测 | 是否开启 MIME 类型检测。如需开启,勾选该项并选择文件的 MIME,当客户端下载设定的 MIME 类型文件时,触发此条策略,WAF 根据设置的动作采取相应操作。 |
配置信息泄露防护策略
服务器对不同的客户端请求会有不同的处理结果,用不同的状态码返回给客户端。有时状态码会泄露重要的服务器信息给攻击者,使攻击者进行更有效的网络攻击。因此阻断服务器返回的状态码给客户端,是很必要的防范措施。
WAF 通过信息过滤,将敏感数据直接丢弃,防止信息泄露。
在信息泄露防护策略页面,可以进行新建、编辑、复制和删除信息泄露防护策略的操作。下面介绍如何新建信息泄露防护策略,有关如何编辑、复制和删除信息泄露防护策略与 HTTP 协议校验策略相同,详情请参考 HTTP 协议校验策略的相关介绍,此处不再赘述。
新建信息泄露防护策略步骤如下:
选择菜单 安全管理 > 策略管理 > 基础防护 > 信息泄露防护,进入信息泄露防护策略列表,如图所示。
信息泄露防护策略列表
单击【新建】按钮,弹出新建信息泄露防护策略对话框
配置信息泄露防护策略参数,参数详细信息如表所示
| 配置项 | 描述 |
|---|---|
| 名称 | 信息泄露防护策略的名称。 |
| 是否告警 | 是否产生告警日志。 |
| 修改服务器名为 | 信息泄露的服务器名称,有助于区分被保护服务器;填写后所有 HTTP 响应的该服务器名都将被替换为所填写的内容。不填写时表示不修改服务器名称。 |
| 描述 | 信息泄露防护策略的描述说明。 |
| 动作 | 有四种类型的动作: 放过:对符合条件的请求,WAF 不再作任何安全检测而直接转发给服务器。 阻断:对符合条件的请求,WAF 结束本次策略检测,并直接关闭当前 TCP 连接。 重定向:对符合条件的请求,WAF 构造一个重定向页面回应客户端,并关闭当前 TCP 连接。 伪装:对符合条件的请求,WAF 使用用户自定义的 HTTP 响应码及响应文件的内容回应客户端,并关闭当前 TCP 连接。 |
| 响应状态 | 选择状态码。状态码对应信息类型的详细描述请参考表 4-25。 |
| 重定向路径/响应替换内容 | 如果动作选择重定向,需要在此处配置重定向路径。 重定向路径长度范围:1 ~ 2048。 如果动作选择伪装,需要在此处配置响应码及响应文件等。 如果动作选择放过或阻断,不需要配置该项。 |
策略模板管理
通过模板把不同的策略集进行组合,一站式应用在站点组或者某个虚拟站点上。
新建站点模板
新建站点模板,把系统预制的或自定义的防护策略集合进入一个策略模板,一次性应用在某一站点组。
选择菜单 安全管理 > 模板管理 > 新建,进入新建页面,如图所示
在模板中选择相应的防护策略,然后点击确定新建 WAF 防护策略模板。
新建虚拟站点模板
新建虚拟站点模板,把系统预制的或自定义的防护策略集合进入一个策略模板,一次性应用在某一虚拟站点上。
选择菜单 安全管理 > 模板管理 > 虚拟站点模板> 新建,进入新建页面,如图所示
在模板中选择相应的防护策略,然后点击确定新建 WAF 防护策略模板。
日志分析
查看 Web 安全日志
选择菜单 日志报表 > 安全防护日志 > Web 安全日志,进入 Web 安全日志页面,如图所示。
默认情况下,Web 安全日志只显示最新的 1000 条符合查询条件的日志,如需查询所有日志,请单击【查询所有日志】按钮。
勾选并配置 Web 安全日志查询参数,参数说明如表所示。
| 配置项 | 描述 |
|---|---|
| 日期 | 查询 Web 安全日志的时间段。 <=:查询所设定时间之前的 Web 安全事件信息。 >=:查询所设定时间至当前时间内的 Web 安全事件信息。 介于:查询所设定起止时间内的 Web 安全事件信息。 |
| 事件类型 | Web 安全事件类型,如 HTTP 协议校验、SQL 注入攻击等。 |
| 风险级别 | Web 安全事件的风险级别,分为高、中、低三种级别。 |
| 域名 | Web 安全事件对应的域名字段。域名同时支持精确查询和模糊查询: =:表示精确查询; >=:表示模糊查询; !=:查询时不进行匹配的内容。 |
| URI | Web 安全事件对应的 URL 路径字段。URI 同时支持精确查询和模糊查询: =:表示精确查询; >=:表示模糊查询; !=:查询时不进行匹配的内容。 |
| 服务器/客户端 IP | Web 安全事件对应的服务器/客户端 IP。 |
| 服务器/客户端端口 | Web 安全事件对应的服务器/客户端端口。 |
| 客户端地理位置 | Web 安全事件对应的客户端所在的地理位置信息。 |
| 动作 | WAF 针对 Web 安全事件采取的 HTTP 策略动作,分为放过、阻断、接受、重定向、伪装、清除、替换和验证码。。 |
| 方法 | Web 安全事件的 HTTP 请求方法,如 GET、POST 等。 |
| 协议类型 | Web 安全事件对应的协议类型。 |
单击【查询】按钮,即可得到符合条件的 Web 安全日志。
单击 Web 安全日志列表"匹配策略"栏中的策略名称,查看该通用防护策略的详情。
单击 Web 安全日志列表"匹配规则"栏中的规则名称,查看该通用防护策略引用的规则的详情。
单击 Web 安全日志列表"操作"栏中的图标
,查看该条 Web 安全日志对应的站点 ID、HTTP 请求/响应信息等日志详情。
单击 Web 安全日志列表"操作"栏中的图标
,选择"会话标识追踪"或"浏览器标识追踪",跳转到会话追踪日志页面查看该条 Web 安全日志对应的会话追踪日志。会话追踪日志的查看操作请参见会话追踪日志。
单击 Web 安全日志列表"操作"栏中的图标
,选择"添加到例外策略",弹出新建例外策略对话框。
单击 Web 安全日志列表"操作"栏中的图标,选择"添加到风险级别策略",弹出新建风险级别策略对话框。
查看网络层访问控制日志
选择菜单 日志报表 > 安全防护日志 > 网络层访问控制日志,进入网络层访问控制日志页面,如图所示。
配置网络层访问控制日志查询参数,参数说明如表所示。
| 配置项 | 描述 |
|---|---|
| 日期 | 查询网络层访问控制日志的时间段。 <=:查询所设定时间之前的网络层访问控制信息。 >=:查询所设定时间至当前时间内的网络层访问控制信息。 介于:查询所设定起止时间内的网络层访问控制信息。 |
| 服务器/客户端 IP | 发生网络层访问控制事件的服务器/客户端 IP 地址,IP 地址支持 IPv4 和 IPv6。 |
| 服务器/客户端端口 | 发生网络层访问控制事件的服务器/客户端端口。 |
| 策略 ID | 针对网络层访问的控制策略 ID。 |
| 匹配次数 | 与该条安全信息相匹配的网络层访问次数。 |
| 动作 | WAF 对网络层访问控制事件的处理方式,分为转发、阻断、接受三种情况。 转发:当前数据包不再经过后续检测,转发当前数据包。 阻断:丢弃当前数据包,同时关闭当前的 TCP 连接。 接受:不采取任何处理使当前数据包继续后续检测。 |
| 协议 | 网络层访问采用的协议,可选项为不限、ICMP、ICMPV6、TCP 和 UDP。 |
单击【查询】按钮,即可得到符合条件的网络层访问控制信息。
----结束
查看高危 IP 阻断日志
选择菜单 日志报表 > 安全防护日志 > 高危 IP 阻断日志,进入高危 IP 阻断日志页面,如图所示。
配置高危 IP 阻断日志查询参数,参数说明如表所示。
| 配置项 | 描述 |
|---|---|
| 日期 | 查询高危 IP 阻断日志的时间段,可选项有<=、>=和介于。 <=:查询所设定时间之前的高危 IP 阻断事件信息。 >=:查询所设定时间至当前时间内的高危 IP 阻断事件信息。 介于:查询所设定起止时间内的高危 IP 阻断事件信息。 |
| 服务器 IP | 高危 IP 阻断事件对应的服务器 IP 地址,IP 地址支持 IPv4 和 IPv6。 |
| 客户端 IP | 高危 IP 阻断事件对应的客户端 IP 地址,IP 地址支持 IPv4 和 IPv6。 |
单击【查询】按钮,即可得到符合条件的高危 IP 阻断日志。
查看 Web 访问日志
只有站点开启了 Web 访问日志功能,才能在 Web 访问日志中查看对应站点的 Web 访问日志。
选择菜单 日志报表 > 安全防护日志 > Web 访问日志,进入 Web 访问日志页面,如图。
默认情况下,Web 访问日志只显示最新的 1000 条符合查询条件的日志,如需查询所有日志,请单击【查询所有日志】按钮。
配置 Web 访问日志查询参数,参数说明如表所示。
| 配置项 | 描述 |
|---|---|
| 日期 | 查询 Web 访问日志的时间段。 <=:查询所设定时间之前的 Web 访问信息。 >=:查询所设定时间至当前时间内的 Web 访问信息。 介于:查询所设定起止时间内的 Web 访问信息。 |
| 服务器/客户端 IP | Web 访问事件对应的服务器/客户端 IP 地址,IP 地址支持 IPv4 和 IPv6。 |
| 服务器/客户端端口 | Web 访问事件对应的服务器/客户端端口。 |
| 方法 | Web 访问事件的 HTTP 请求方法,如 GET、POST 等。 |
| URI | Web 访问事件对应的 URL 路径字段。URI 同时支持精确查询和模糊查询: =:表示精确查询; >=:表示模糊查询; !=:查询时不进行匹配的内容。 |
| 匹配次数 | 与该条安全信息相匹配的 Web 访问次数。 |
| 浏览器 Agent | Web 访问事件对应的浏览器信息。 |
| 域名 | Web 访问事件对应的域名。 |
| Referer | Web 访问事件对应的 referer 内容。 |
| 协议类型 | Web 访问事件对应的协议类型。 |
| 客户端地理位置 | Web 访问事件对应的客户端所在的地理位置信息。 |
单击【查询】按钮,即可得到符合条件的 Web 访问日志。
单击 Web 访问日志列表"操作"栏中的图标
,查看该条 Web 访问日志对应的站点 ID、访问日期等日志详情。
单击 Web 访问日志列表"操作"栏中的图标
,选择"会话标识追踪"或"浏览器标识追踪",跳转到会话追踪日志页面查看该条 Web 访问日志对应的会话追踪日志。