- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-Web應用防護
本章節下載: 05-Web應用防護 (474.22 KB)
本幫助主要介紹以下內容:
· 特性簡介
○ CC攻擊防護
· 配置指南
Web應用防護功能用於阻斷Web應用層攻擊,保護內網用戶和內部Web服務器。當設備收到來自外部的HTTP或HTTPS請求後,會執行防護策略,對請求內容的安全性和合法性進行檢測和驗證,對非法的請求予以實時阻斷,從而對內網的用戶和Web服務器進行有效防護。
Web應用防護特征用來掃描網絡中的攻擊行為以及對攻擊行為采取防禦措施,設備通過將數據流與Web應用防護特征進行比較來檢測和防禦攻擊。
Web應用防護特征包含多種屬性,例如攻擊分類、動作、保護對象、嚴重級別和方向。這些屬性可作為過濾條件來篩選Web應用防護特征。
· 預定義特征:由係統中的特征庫自動生成,不可進行修改和刪除。
· 自定義特征:由用戶手工配置。可以創建、修改和刪除。
缺省情況下,設備基於配置文件統一動作對符合Web應用防護特征的報文進行處理。當需要對符合某個Web應用防護特征的報文采取不同的動作時,可以將此特征設置為特征例外。或者,當Web應用防護配置文件中不包含某個Web應用防護特征時,可以將此特征設置為特征例外,添加到該Web應用防護配置文件中。
特征例外中動作的優先級高於配置文件統一動作的優先級。
Web應用防護動作是指設備對匹配上Web應用防護特征的報文做出的處理。Web應用防護處理動作包括如下幾種類型:
· 黑名單:阻斷符合特征的報文。如果設備上同時開啟了IP黑名單過濾功能,則阻斷時間內(在安全動作中的阻斷功能中配置)來自此IP地址的所有報文將被直接丟棄;如果設備上未開啟黑名單過濾功能,報文的源IP地址仍會被添加到IP黑名單表項中,但後續來自該源IP地址的報文不會被直接丟棄。有關黑名單功能的詳細介紹請參見“攻擊防範聯機幫助”。
· 丟棄:丟棄符合特征的報文。
· 允許:允許符合特征的報文通過。
· 重置:通過發送TCP的reset報文或UDP的ICMP端口不可達報文斷開TCP或UDP連接。
· 重定向:把符合特征的報文重定向到指定的Web頁麵上。
· 缺省:對符合特征的報文執行特征中缺省的動作。
· 抓包:捕獲符合特征的報文。
· 日誌:對符合特征的報文生成日誌信息。
在設備配置了Web應用防護功能的情況下,當用戶的數據流量經過設備時,設備將進行Web應用防護處理。處理流程如圖-1所示:
圖-1 Web應用防護數據處理流程圖
Web應用防護處理的整體流程如下:
1. 如果報文匹配了某條安全策略,且此策略的動作是允許並引用了Web應用防護配置文件,則設備將對報文進行深度內容檢測:首先,識別報文的協議,然後根據協議分析方案進行更精細的分析,並深入提取報文特征。
2. 設備將提取的報文特征與Web應用防護特征進行匹配,並對匹配成功的報文進行如下處理:
3. 如果報文同時與多個Web應用防護特征匹配成功,則根據這些動作中優先級最高的動作進行處理。動作優先級從高到低的順序為:重置 > 重定向 > 丟棄 > 允許。但是,對於黑名單、抓包和日誌三個動作隻要匹配成功的特征中存在就會執行。
4. 如果報文隻與一個Web應用防護特征匹配成功,則根據此特征中指定的動作進行處理。
5. 如果報文未與任何Web應用防護特征匹配成功,則設備直接允許報文通過。
CC(Challenge Collapsar)攻擊防護是一種對以網站頁麵為目標的攻擊進行阻斷的應用層安全防護功能。CC攻擊防護通過對來自Web應用程序客戶端的請求進行內容檢測、規則匹配和統計計算,對攻擊請求予以實時阻斷,從而對內網的Web服務器進行有效防護。
CC攻擊防護功能是通過在安全策略中引用Web應用防護配置文件,並且在Web應用配置文件中引用CC攻擊防護配置文件來實現的。當用戶的數據流量經過設備時,設備將進行CC攻擊防護處理。處理流程如下圖所示:
圖-1 CC攻擊防護數據處理流程圖
1. 如果報文與例外IP地址匹配成功,則直接放行該報文。
2. 設備對報文進行深度內容檢測,並提取報文內容。
3. 設備將提取的報文內容與CC攻擊防護規則進行匹配,並進行如下處理:
4. 如果未匹配到任何CC攻擊防護規則,則設備對報文執行允許動作。
5. 如果匹配到一條CC攻擊防護規則,則不再進行後續規則匹配,進入步驟4處理。
6. 如果當前處於檢測周期內,則對報文數據進行統計,並與規則下配置的檢測指標閾值進行比較,並進行如下處理:
7. 如果達到閾值,則執行規則下配置的動作,包括允許、黑名單和記錄日誌。
8. 如果未達到閾值,則放行報文。
9. 如果當前處理超過檢測周期,則不對報文內容進行統計,直接放行報文。
· Web應用防護配置文件變更和自定義特征變更後(包括新建、編輯和刪除),需要激活才能生效。如需立即激活,請單擊<提交>按鈕。否則,設備默認40秒後自動激活。激活會暫時中斷DPI業務的處理,可能導致其他基於DPI功能的業務同時出現中斷。例如,安全策略無法對應用進行訪問控製等。
· 執行“提交”操作後,界麵上會提示設置成功,但是配置文件此時可能尚未完成激活,如果此時報文經過設備,可能會出現暫時無法識別的情況。
· Web應用防護功能需要購買並正確安裝License才能使用。License過期後,Web應用防護功能可以使用設備中已存在的特征庫繼續工作,但無法升級特征庫。關於License的詳細介紹請參見“License聯機幫助”。
· 數值類型的自定義特征規則僅支持配置一個檢查項。
· 本功能的支持情況與設備型號有關,請以設備實際情況為準。
Web應用防護功能的配置思路如下圖所示:
圖-2 Web應用防護功能配置指導圖
設備上存在一個名稱為default的Web應用防護配置文件,缺省Web應用防護配置文件使用當前係統中所有缺省處於啟用狀態的Web應用防護特征,缺省Web應用防護配置文件不能修改和刪除。
管理員也可以根據實際需求創建自定義的Web應用防護配置文件。
1. 選擇“對象 > 應用安全 > Web應用防護 > 配置文件”。
2. 在“Web應用防護配置文件”頁麵單擊<新建>按鈕,進入“新建Web應用防護配置文件”頁麵。
3. 新建Web應用防護配置文件,具體配置內容如下:
表-1 Web應用防護配置文件配置內容
|
參數 |
說明 |
|
名稱 |
Web應用防護配置文件的名稱 |
|
CC攻擊防護配置文件 |
用於引用CC攻擊防護配置文件 |
|
篩選特征 |
通過保護對象、攻擊分類、方向、缺省動作和嚴重級別可靈活選擇此Web應用防護配置文件中所需的Web應用防護特征。可通過單擊<查看特征篩選結果>按鈕來查看當前配置文件中已選擇的Web應用防護特征 若不配置任何一項篩選條件(保持缺省情況),則此配置文件中將會包含所有缺省處於啟用狀態的Web應用防護特征 |
|
保護對象 |
通過選擇保護對象可快速選擇所需的Web應用防護特征 |
|
攻擊分類 |
通過選擇攻擊分類可快速選擇所需的Web應用防護特征 |
|
方向 |
Web應用防護特征庫中的特征分為服務端和客戶端兩類,可通過選擇服務端和客戶端來篩選配置文件所需的Web應用防護特征 |
|
缺省動作 |
Web應用防護特征的缺省動作分為如下四種:丟棄、允許、重置、黑名單,可通過選擇不同的缺省動作來篩選配置文件所需的Web應用防護特征 |
|
嚴重級別 |
Web應用防護特征的嚴重級別分為如下四種:嚴重、高、中、低,可通過選擇不同的嚴重級別來篩選配置文件所需的Web應用防護特征 |
|
設置配置文件統一動作 |
通過設置配置文件統一動作,對篩選出的特征執行統一的動作。如果動作為缺省,則對篩選出的特征執行各自的缺省動作 |
|
動作 |
選擇配置文件統一動作,動作類型包括:缺省、黑名單、丟棄、允許、重置和重定向。符合此配置文件的報文將被按照此配置文件中指定的動作進行處理。缺省情況下,動作為缺省 |
|
日誌 |
開啟日誌功能後,設備將對與Web應用防護特征匹配成功的報文生成日誌信息 |
|
抓包 |
開啟抓包功能後,設備會將捕獲到的報文保存在本地並輸出到指定的路徑,有關捕獲參數的詳細配置,請參見“安全動作聯機幫助” |
|
設置例外特征 |
添加特征例外包括如下兩種方式: · 在“新建Web應用防護配置文件”頁麵的特征例外輸入框中直接輸入Web應用防護特征的ID號,然後單擊右邊<添加>按鈕,即可把此特征加入特征例外中 · 在“新建Web應用防護配置文件”頁麵,先單擊<查看特征篩選結果>按鈕,進入“查看特征”頁麵,在此頁麵選中需要加入特征例外的Web應用防護特征,然後單擊此頁麵上方的<添加到例外列表>按鈕,在彈出的“修改例外特征”頁麵中修改特征的動作和狀態等。單擊<確定>按鈕,即可把此特征加入特征例外中 |
|
修改特征例外 |
在特征例外列表中單擊目標Web應用防護特征右邊的<編輯>按鈕,進入“修改例外特征”頁麵,在此頁麵可配置此特征的動作、狀態、日誌和抓包功能。單擊<確定>,此例外特征修改成功 |
4. 單擊<確定>按鈕,新建Web應用防護配置文件成功,且會在“Web應用防護配置文件”頁麵中顯示。
5. 在安全策略的內容安全配置中引用此Web應用防護配置文件,有關安全策略的詳細配置介紹請參見“安全策略聯機幫助”。
6. 新建配置文件後,需要激活才能生效。如需立即激活,請單擊<提交>按鈕。否則,設備默認40秒後自動激活。
設備基於CC攻擊防護配置文件對攻擊報文進行處理,且CC攻擊防護配置文件僅在被Web應用防護配置文件引用後才能生效。
CC攻擊防護配置文件中可以配置匹配報文的過濾條件以及檢測指標等,管理員可以根據實際需求進行配置。
1. 選擇“對象 > 應用安全 > Web應用防護 > CC攻擊防護配置文件”。
2. 在“CC攻擊防護配置文件”頁麵單擊<新建>按鈕,進入“新建CC攻擊防護配置文件”頁麵。
3. 在“基本配置”區域可配置CC攻擊防護配置文件的基本信息,具體配置內容如下:
表-1 新建CC攻擊防護配置文件
|
參數 |
說明 |
|
名稱 |
CC攻擊防護配置文件的名稱 |
|
描述 |
通過合理編寫描述信息,便於管理員快速理解和識別CC攻擊防護配置文件的作用,有利於後期維護 |
|
例外IP地址 |
如果用戶HTTP報文中的源IP地址與例外IP地址匹配成功,則直接允許此報文通過;如果匹配失敗,則繼續進行後續的CC攻擊檢測 |
|
檢測周期 |
用於檢測是否存在CC攻擊行為的計時周期,從一條流的首個報文命中CC攻擊防護規則時開始計時 |
4. 在“CC攻擊防護規則”區域可配置CC攻擊防護規則,單擊<新建>按鈕,進入新建CC攻擊防護規則頁麵,具體配置內容如下:
表-2 新建CC攻擊防護規則
|
參數 |
說明 |
|
規則名稱 |
CC攻擊防護規則的名稱 |
|
目的IPv4地址 |
配置作為CC攻擊防護規則過濾條件的目的IPv4地址 |
|
目的IPv6地址 |
配置作為CC攻擊防護規則過濾條件的目的IPv6地址 |
|
目的端口 |
配置作為CC攻擊防護規則過濾條件的目的端口 |
|
請求方法 |
配置作為CC攻擊防護規則過濾條件的請求方法 |
|
防護路徑 |
配置防護的網站資源的路徑 |
|
X-Forwarded-For檢測 |
開啟X-forward-For字段檢測功能後,設備將從客戶端HTTP請求報文頭的X-forward-for字段獲取真正的源IP地址,本功能適用於客戶端使用代理方式訪問服務器的場景 |
|
檢測指標 |
用於檢測是否存在CC攻擊的指標項,包括請求速率和請求集中度 · 請求速率:用於檢測客戶端是否過於頻繁地訪問某網站,包括如下參數: ○ 速率閾值:表示一個檢測周期內,訪問任意防護路徑的最大次數 · 請求集中度:用於檢測客戶端是否主要針對某網站進行訪問,包括如下參數: ○ 訪問基數:表示所有訪問路徑的命中總次數,僅當達到訪問基數後,才計算請求集中度 ○ 集中度閾值:表示最常訪問的防護路徑的訪問次數占所有防護路徑訪問總次數的百分比 |
|
動作 |
配置CC攻擊的防護動作,包括允許和黑名單。配置動作為黑名單後,還需要配置黑名單的老化時間 |
|
日誌 |
開啟日誌記錄功能後,當設備檢測出存在CC攻擊時,將記錄日誌 |
5. 單擊<確定>按鈕,完成CC攻擊防護規則的配置。
6. 單擊<確定>按鈕,完成CC攻擊防護配置文件的配置。
7. 選擇“對象 > 應用安全 > Web應用防護 > 配置文件”。
8. 在“Web應用防護配置文件”頁麵編輯或者新建一個Web應用防護配置文件,在配置文件中引用CC攻擊防護配置文件。新建Web應用防護配置文件的步驟請參見“配置Web應用防護配置文件”。
9. 單擊<提交>按鈕,激活Web應用防護配置文件的配置內容。
當需要的特征在設備當前特征庫中不存在時,用戶可通過手工配置的方式新建自定義特征。
自定義特征包括屬性和規則。
一個自定義特征下可配置多條規則,規則間包含如下規則邏輯:
· 邏輯與:表示報文需要匹配該自定義特征的所有規則才認為與該特征匹配成功。
· 邏輯或:表示報文匹配到該自定義特征的任何一條規則即認為與該特征匹配成功。
自定義特征規則下支持配置規則的匹配條件(包括源/目的IPv4地址、源/目的端口、請求方法等)、檢查項和檢查項觸發條件。
自定義特征規則包括如下類型:
· 關鍵字類型:配置關鍵字類型規則時,需要配置檢查項和檢查項觸發條件。隻有匹配檢查項觸發條件後才會繼續匹配檢查項。僅當所有檢查項都匹配成功,才表示該規則成功匹配。
· 數值類型:配置數值類型規則時,可以配置檢查項,隻有所有檢查項都匹配成功,才表示規則成功匹配。
新建自定義特征的配置步驟如下:
1. 選擇“對象 > 應用安全 > Web應用防護 > 特征”。
2. 在“Web應用防護特征”頁麵,單擊<新建自定義特征>按鈕,進入“新建自定義特征”頁麵。
3. 在“基本配置”區域可配置自定義特征的屬性,具體配置內容如下:
表-3 配置自定義特征屬性
|
參數 |
說明 |
|
名稱 |
自定義特征的名稱 |
|
描述 |
通過合理編寫描述信息,便於管理員快速理解和識別自定義特征的作用,有利於後期維護 |
|
嚴重級別 |
可根據具有該特征報文對網絡攻擊造成危害的嚴重程度配置不同的嚴重級別。嚴重級別分為如下四種:嚴重、高、中、低 |
|
方向 |
可根據具有該特征報文的傳輸方向進行配置,包括服務端和客戶端 |
|
動作 |
對具有該特征的報文執行的動作。動作類型包括:黑名單、丟棄、允許和重置 |
|
日誌 |
開啟日誌功能後,設備將對與Web應用防護特征匹配成功的報文生成日誌信息 |
|
抓包 |
開啟抓包功能後,設備會將捕獲到的報文保存在本地並輸出到指定的路徑,有關捕獲參數的詳細配置,請參見“安全動作聯機幫助” |
4. 在“規則”區域可配置自定義特征規則。一個自定義特征下可配置多條規則,用戶需要先配置規則邏輯,包括邏輯或和邏輯與。
5. 單擊<新建>按鈕,進入新建規則頁麵,具體配置內容如下:
表-4 新建自定義特征規則
|
參數 |
說明 |
|
ID |
自定義特征規則的ID |
|
匹配類型 |
表示自定義特征的類型,包括關鍵字類型和數值類型 |
|
請求方法 |
HTTP報文的請求方法,如:GET、POST等 |
|
源IPv4地址 |
自定義特征匹配的源IPv4地址 |
|
源端口 |
自定義特征匹配的源端口 |
|
目的IPv4地址 |
自定義特征匹配的目的IPv4地址 |
|
目的端口 |
自定義特征匹配的目的端口 |
6. 在“檢查項觸發條件”區域配置檢查項的觸發條件,僅當自定義特征規則為關鍵字類型時需要配置。具體配置內容如下:
表-5 新建檢查項觸發條件
|
參數 |
說明 |
|
協議字段 |
檢查項觸發條件檢測的協議字段 |
|
匹配模式 |
檢查項觸發條件檢測內容的匹配模式,包括文本方式和十六進製方式 |
|
匹配內容 |
檢查項觸發條件檢測的內容 |
|
檢測深度 |
檢查項觸發條件的檢測深度,從起始檢測位置開始,檢測數據的長度 |
|
偏移量 |
檢查項觸發條件的偏移量,從協議字段開始,偏移指定長度,作為檢查項觸發條件的起始檢測位置 |
7. 單擊<確定>按鈕,完成檢查項觸發條件的配置。
8. 在“檢查項”區域配置自定義特征規則的檢查項,具體配置內容如下:
表-6 新建檢查項
|
參數 |
說明 |
|
ID |
檢查項的ID |
|
協議字段 |
檢查項檢測的協議字段 |
|
操作符 |
表示檢查項和檢測內容的匹配方式,不同類型的自定義特征規則支持的操作符不同,取值包括: · 關鍵字類型規則的操作符包括:包含和不包含 · 數值類型規則的操作符包括:大於、小於、等於、不等於、大於等於和小於等於 |
|
匹配模式 |
檢查項檢測內容的匹配模式,包括文本、正則表達式和十六進製 |
|
匹配內容 |
檢查項檢測的內容 |
|
偏移量 |
檢查項的偏移量,從協議字段開始,偏移指定長度,作為檢查項的檢測起始位置 |
|
檢測深度 |
檢查項的檢測深度,從檢查項檢測的起始位置開始,檢測數據的長度 |
|
相對偏移量 |
表示當前檢查項與上一個檢查項之間的相對偏移量,從上一個檢查項的結束位置開始偏移的長度 |
|
相對檢測深度 |
表示當前檢查項的檢測深度 |
9. 單擊<確定>按鈕,完成檢查項的配置。
10. 單擊<確定>按鈕,完成自定義特征規則的配置。
11. 單擊<確定>按鈕,完成自定義特征的配置。
12. 單擊<提交>按鈕,使新建的自定義特征生效。
刪除自定義特征的配置步驟如下:
1. 選擇“對象 > 應用安全 > Web應用防護 > 特征”。
2. 在“Web應用防護特征”頁麵,選擇需要刪除的自定義特征,單擊<刪除特征>按鈕,選擇刪除選中的自定義特征。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
