- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
48-WEB安全防護
本章節下載: 48-WEB安全防護 (448.46 KB)
目 錄
隨著網絡信息化的發展,越來越多的企業利用WEB應用係統提供客戶服務,進行產品推廣、市場宣傳、培訓服務、遠程服務協作甚至網上交易。WEB2.0的發展更是加強了用戶和WEB服務之間的交互性,但是各種安全問題也隨之而來。WEB應用數據被竊取、網頁被篡改,甚至WEB站點成為傳播木馬的傀儡,給更多訪問者造成危害,帶來損失;也對政府、公司形象造成嚴重的破壞。
WEB防護功能通過增加WEB應用防護策略,匹配條件是源地址、目的地址(Web服務器地址)和端口,同時在策略下配置各個防護功能(規則防護、精確訪問控製、防盜鏈、CSRF攻擊防護、CC攻擊防護、應用隱藏、網頁防篡改),當報文匹配策略時,就會逐一進行防護功能的處理,並執行相應的動作。可以幫助用戶進行Web安全防禦,提高網站安全性,而且集成了網絡爬蟲識別和過濾、網站資源盜鏈防護、內容關鍵字過濾、HTTP協議合規性和URL參數合規性檢查等功能,幫助用戶對網站的訪問進行過濾和優化,提高網站運營的穩定性和服務質量。
如圖1-1所示,在導航欄中選擇“策略配置>安全設置>WEB防護>防護策略”,進入防護策略界麵。
表1-1 防護策略界麵詳細描述表
|
標題項 |
說明 |
|
名稱 |
策略名稱 |
|
源地址 |
策略匹配的源地址 |
|
目的地址 |
策略匹配的目的地址 |
|
服務端口 |
HTTP服務的端口默認80 |
|
描述 |
策略描述 |
|
啟用 |
策略狀態 |
|
防護配置 |
策略啟用的防護類型 |
|
操作 |
操作動作:編輯,刪除 |
如圖1-2示,在導航欄中選擇“策略配置>安全設置>WEB防護>防護策略”,進入防護策略的配置界麵。點擊“新建”彈框進入防護策略配置界麵。
表1-2 防護策略配置界麵詳細描述表
|
標題項 |
說明 |
|
名稱 |
策略名稱 |
|
源地址 |
策略匹配的源地址 |
|
目的地址 |
策略匹配的目的地址 |
|
服務端口 |
HTTP服務的端口默認80 |
|
域名 |
服務的域名,可選項 |
|
描述 |
策略描述 |
|
啟用 |
策略狀態 |
|
防護配置 |
策略啟用的防護類型 |
Web防護的優先級是精確訪問控製、規則防護、防盜鏈、CSRF攻擊防護、CC攻擊防護、網頁防篡改、應用隱藏,在未阻斷情況下依次防護。
精確訪問控製是指用戶可以根據自己的防護需求,自行定義一些防護規則,用於控製客戶端的訪問。這些規則不同於引擎規則,主要是基於HTTP協議頭部的檢測規則,可以實現黑白名單、封禁特定的URL等功能。
在導航欄中選擇“策略配置>安全設置>WEB防護>防護策略”,點擊“新建”進入防護策略配置界麵,在防護配置中選擇“精確訪問控製”標簽頁進入精確訪問控製配置頁麵。如圖1-3所示,界麵顯示信息的含義如表1-3所示。
|
標題項 |
說明 |
|
啟用 |
啟用禁用精確訪問控製 |
|
ID |
規則ID |
|
匹配條件 |
規則匹配條件 |
|
處理動作 |
精確訪問規則處理動作:允許,拒絕 |
|
日誌級別 |
日誌級別 |
|
描述 |
精確訪問規則描述 |
|
操作 |
操作動作:編輯,刪除 |
如圖1-4所示,在精確訪問控製頁麵。點擊“新建”彈框進入精確訪問控製規則配置頁麵。各個配置項的含義如表1-4所示。
|
標題項 |
說明 |
|
檢測字段 |
匹配的檢測字段 |
|
匹配方式 |
匹配的方式 |
|
匹配內容 |
匹配的內容 |
|
處理動作 |
動作:允許,拒絕 |
|
不再繼續安全檢查 |
其它WAF安全模塊是否繼續檢查報文 |
|
日誌級別 |
日誌級別設置 |
|
描述 |
規則描述 |
|
啟用 |
開啟禁用規則 |
支持多種類型攻擊防護(規則分類)
· HTTP協議檢查。
· SQL注入攻擊防護。
· XSS攻擊防護。
· 目錄遍曆防護。
· 惡意掃描與爬蟲防護。
· 木馬防護。
· 敏感信息泄漏防護。
· 會話劫持防護。
· 文件上傳防病毒掃描。
· 其它攻擊防護(命令執行,代碼執行,文件包含、會話固定、HTTP響應拆分等相關規則)
在導航欄中選擇“策略配置>安全設置>WEB防護>防護策略”,點擊“新建”進入防護策略配置界麵,在防護配置中選擇“規則防護”標簽頁進入規則防護配置頁麵。如圖1-5所示,界麵顯示信息的含義如表1-5所示。
|
標題項 |
說明 |
|
啟用 |
開啟關閉規則防護 |
|
日誌 |
開啟關閉日誌 |
|
防護等級 |
默認規則庫模板選擇 |
|
防護類型 |
規則庫自定義規則選擇 |
如圖1-6所示,在規則防護配置界麵點擊“防護類型”後麵的藍色超鏈接,彈框出現防護類型配置頁麵。
表1-6 防護類型配置界麵詳細描述表
|
標題項 |
說明 |
|
名稱 |
勾選需要開啟防暴力破解功能的服務 |
|
ID |
防暴力破解的檢測周期 |
|
級別 |
攻擊次數,達到閾值觸發防暴力破解記錄攻擊事件 |
|
啟用 |
啟用禁用規則 |
|
日誌 |
啟用禁用日誌記錄 |
|
阻斷 |
阻斷數據 |
盜鏈是指某些網站自己並沒有存儲內容,其資源,比如圖片和文件,都是通過技術手段從其它網站盜取的。防盜鏈也就是禁止其它網站盜用本網站的鏈接,這樣不僅可以避免對本網站利益的損害,還可以減輕服務器的負擔。
WEB防護通過檢查HTTP請求頭部的referer字段來判斷是否為盜鏈行為。該字段會存儲訪問目的網頁的來源網頁,如果該字段不為空,且其值不是允許的入口時,就認為是盜鏈。
防盜鏈支持全站防盜鏈、對指定的URL防盜鏈和對指定的文件類型防盜鏈。
如圖1-7所示,在防護策略配置界麵選擇“防盜鏈”標簽頁,進入防盜鏈配置頁麵。
表1-7 防盜鏈配置界麵詳細描述表
|
標題項 |
說明 |
|
啟用 |
啟用禁用防盜鏈功能 |
|
防護範圍 |
範圍:全站,指定URL,指定文件類型 |
|
站點白名單 |
白名單站點 |
|
處理動作 |
動作:允許,拒絕 |
|
日誌級別 |
日誌級別設定 |
CSRF 攻擊可在受害者毫不知情的情況下以受害者名義偽造請求發送給受攻擊站點,從而在並未授權的情況下執行在權限保護之下的操作。通過對http頭中referer字段的檢查,檢測並防護此類攻擊。通過部署WEB應用防火牆並對所保護的服務器配置CSRF防禦功能,包括防護的url及允許訪問的referer,可以有效防止網站受到CSRF攻擊。
如圖1-8所示,在防護策略配置界麵選擇“CSRF攻擊防護”標簽頁,進入CSRF攻擊防護配置頁麵。
圖1-8 CSRF攻擊防護配置界麵
如圖1-9所示,在CSRF攻擊防護頁麵。點擊“新建”彈框出現CSRF攻擊防護規則配置頁麵。
圖1-9 CSRF攻擊防護配置界麵
表1-8 CSRF攻擊防護配置界麵詳細描述表
|
標題項 |
說明 |
|
防護的URL |
被保護的URL |
|
允許的來源URL |
允許的URL |
|
處理動作 |
動作:允許,拒絕 |
|
日誌級別 |
日誌級別設定 |
|
啟用 |
啟用禁用規則 |
CC攻擊是一種針對HTTP服務的DDOS攻擊,攻擊者通過代理服務器或者肉雞向受害主機不停地發送大量請求包,消耗HTTP服務器資源,拖慢甚至癱瘓受害主機,從而影響正常的HTTP訪問。CC攻擊防護支持全站防護和對指定的URL進行防護。
如圖1-10所示,在防護策略配置界麵選擇“CC攻擊防護”標簽頁,進入CC攻擊防護配置頁麵。
圖1-10 CC攻擊防護配置界麵
表1-9 CC攻擊防護配置界麵詳細描述表
|
標題項 |
說明 |
|
啟用 |
啟用禁用CC攻擊防護 |
|
防護範圍 |
範圍:全站,指定URL |
|
檢測時長 |
CC防護檢測周期 |
|
訪問次數 |
訪問指定url的次數 |
|
處理動作 |
動作:允許,拒絕 |
|
日誌級別 |
日誌的級別設定 |
如圖1-11所示,在防護策略配置界麵選擇“網頁防篡改”標簽頁,進入網頁防篡改配置頁麵。
表1-10 網頁防篡改配置界麵詳細描述表
|
標題項 |
說明 |
|
啟用 |
啟用禁用網頁防篡改功能 |
|
起始URL |
被保護的URL |
|
例外URL |
不檢測的URL |
|
處理動作 |
動作:允許,拒絕 |
|
日誌級別 |
日誌的級別設定 |
應用隱藏是指隱藏HTTP服務端返回的某些信息,比如服務器版本,服務器端編碼方式以及某些特定的錯誤碼等,這些信息很可能被攻擊者利用從而進行有針對的攻擊,比如服務器版本為Apache/2.4.23,那麼如果攻擊者知道這個版本的漏洞,就能輕易的進行攻擊。
應用隱藏支持屏蔽HTTP頭部的Server字段和X-Powered-By字段,Server字段是服務器版本信息,比如Apache/2.4.23,X-Powered-By字段是服務器端編碼方式,比如PHP/5.5.38。
此外,還支持4xx(客戶端錯誤碼)和5xx(服務端錯誤碼)錯誤碼的檢查和返回內容的替換。服務器返回的錯誤信息往往包含服務器的重要信息,這些信息也很可能被攻擊者利用。當返回碼是4xx或5xx時,設備會將返回頁麵替換為一個不包含任何關鍵信息的預設頁麵,避免服務器信息的泄漏。
對於某個被防護的站點,Server字段的屏蔽、X-Powered-By字段的屏蔽、4xx錯誤碼的替換以及5xx錯誤碼的替換,都支持單獨開啟關閉。
如圖1-12所示,在防護策略配置界麵選擇“應用隱藏”標簽頁,進入應用隱藏配置頁麵。
表1-11 應用隱藏配置界麵詳細描述表
|
標題項 |
說明 |
|
啟用 |
啟用禁用應用隱藏功能 |
|
隱藏Server信息 |
隱藏服務器信息 |
|
隱藏X-powered-By |
隱藏服務器信息 |
|
替換客戶端出錯頁麵(4xx) |
替換(4xx)指定默認頁麵 |
|
替換服務器端出錯頁麵(5xx) |
替換(5xx)指定默認頁麵 |
|
日誌級別 |
日誌解綁設定 |
如圖1-13所示,在導航欄中選擇“策略配置>安全設置>WEB防護>規則庫”,進入規則庫查詢界麵。
表1-12 服務配置界麵詳細描述表
|
標題項 |
說明 |
|
命中次數清零 |
點擊清空規則命中次數 |
|
名稱 |
規則名稱 |
|
規則ID |
規則的ID |
|
級別 |
規則的級別 |
|
防護等級 |
規則的防護等級 |
|
命中次數 |
規則的命中次數 |
如圖1-14所示,在導航欄中選擇“策略配置>安全設置>WEB防護>防篡改網頁緩存”,進入防篡改網頁緩存配置界麵。
表1-13 防篡改網頁緩存配置界麵詳細描述表
|
標題項 |
說明 |
|
緩存清理 |
清理勾選的緩存URL |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
