- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
10-WAF配置
本章節下載: 10-WAF配置 (475.78 KB)
WAF(Web application firewall,Web應用防火牆)用於阻斷Web應用層攻擊,保護內網用戶和內部Web服務器。當設備收到來自外部的HTTP或HTTPS請求後,會執行防護策略,對請求內容的安全性和合法性進行檢測和驗證,對非法的請求予以實時阻斷,從而對內網的用戶和Web服務器進行有效防護。
WAF支持通過如下功能對Web應用層攻擊進行檢測與防護。
設備通過對攻擊行為的特征進行檢測,保護內網用戶和服務器免受Web應用層攻擊。
CC(Challenge Collapsar,挑戰黑洞)攻擊是DDoS(Distributed Denial of Service,分布式拒絕服務)攻擊的一種,也是一種常見的網站攻擊方法。CC攻擊防護功能通過對來自Web應用程序客戶端的請求進行內容檢測、規則匹配和統計計算,對攻擊請求予以實時阻斷,從而對內網的Web服務器進行有效防護。
設備基於WAF策略對攻擊報文進行處理。WAF策略中定義了匹配報文的WAF特征和處理報文的WAF特征動作。
WAF特征用來描述網絡中的Web應用層攻擊行為的特征,設備通過將報文與WAF特征進行比較來檢測和防禦攻擊。WAF特征包含多種屬性,例如攻擊分類、動作、保護對象、嚴重級別和方向。這些屬性可作為過濾條件來篩選WAF特征。
設備支持以下兩種類型的WAF特征:
· 預定義WAF特征:係統中的WAF特征庫自動生成。設備不支持對預定義WAF特征的內容進行創建、修改和刪除。
· 自定義WAF特征:管理員在設備上手工創建。通常新的網絡攻擊出現後,與其對應的攻擊特征會出現的比較晚一些。如果管理員已經掌握了新網絡攻擊行為的特點,可以通過自定義方式創建WAF特征,及時阻止網絡攻擊,否則,不建議用戶自定義WAF特征。
WAF特征動作是指設備對匹配上WAF特征的報文做出的處理。WAF處理動作包括如下幾種類型:
· 重置:通過發送TCP的reset報文斷開TCP連接。
· 重定向:把符合特征的報文重定向到指定的Web頁麵上。
· 源阻斷:阻斷符合特征的報文,並會將該報文的源IP地址加入IP黑名單。如果設備上同時開啟了IP黑名單過濾功能(由blacklist global enable開啟),則一定時間內(由block-period命令指定)來自此IP地址的所有報文將被直接丟棄;否則,此IP黑名單不生效。有關IP黑名單過濾功能的詳細介紹請參見“安全配置指導”中的“攻擊檢測與防範”,有關block-period命令的詳細介紹請參見“DPI深度安全”中的“應用層檢測引擎”。
· 丟棄:丟棄符合特征的報文。
· 放行:允許符合特征的報文通過。
· 捕獲:捕獲符合特征的報文。
· 生成日誌:對符合特征的報文生成日誌信息。
WAF特征匹配處理流程如圖1-1所示:
圖1-1 WAF特征匹配處理流程圖
WAF特征匹配功能是通過在DPI應用profile中引用WAF策略,並在安全策略中引用DPI應用profile來實現的,WAF特征匹配處理的具體實現流程如下:
(1) 設備識別應用層報文協議並提取報文特征。
(2) 設備將提取的報文特征與WAF特征進行匹配,並進行如下處理:
¡ 如果報文未與任何WAF特征匹配成功,則設備對報文執行允許動作。
¡ 如果報文隻與一個WAF特征匹配成功,則根據此特征中指定的動作進行處理。
¡ 如果報文同時與多個WAF特征匹配成功,則根據這些動作中優先級最高的動作進行處理。動作優先級從高到低的順序為:重置 > 重定向 > 丟棄 > 允許。但是,對於源阻斷、生成日誌和捕獲三個動作隻要匹配成功的特征中存在就會執行。
設備基於CC攻擊防護策略對CC攻擊行為進行檢測,CC攻擊防護策略中定義了攻擊報文的匹配條件、攻擊行為的檢測方式以及處理報文的動作等。
設備支持使用請求速率和請求集中度雙重檢測方式對CC攻擊進行檢測。
· 請求速率檢測:用於檢測客戶端是否過於頻繁地訪問某網站。
· 請求集中度檢測:用於檢測客戶端是否主要針對某網站進行訪問。
每種檢測方式可以分別配置檢測閾值,設備將統計到的用戶訪問網站的結果與檢測閾值進行比較,如果統計結果達到任意一個檢測閾值,則認為客戶端的訪問為CC攻擊。
CC攻擊防護功能是通過在安全策略中引用WAF策略,並且在WAF策略中引用CC攻擊防護策略來實現的。當用戶的數據流量經過設備時,設備將進行CC攻擊防護處理。處理流程如圖1-2所示:
圖1-2 CC攻擊防護數據處理流程圖
(1) 如果報文與例外IP地址匹配成功,則直接放行該報文;如果未匹配成功,則進入步驟(2)處理。
(2) 設備對報文進行深度內容檢測,並提取報文內容。
(3) 設備將提取的報文內容與CC攻擊防護策略規則進行匹配,並進行如下處理:
¡ 如果未匹配到任何CC攻擊防護策略規則,則對報文執行允許動作。
¡ 如果匹配到一條CC攻擊防護策略規則,則不再進行後續規則匹配,進入步驟(4)處理。
(4) 設備對報文數據進行統計,並與規則下配置的檢測項閾值進行比較,並進行如下處理:
¡ 如果統計結果達到任意一個檢測項的閾值,則認為存在CC攻擊行為,並執行規則下配置的動作,包括允許、黑名單和記錄日誌。
¡ 如果未達到閾值,則放行報文。
當WAF特征匹配與CC攻擊防護功兩種功能檢測出同一個攻擊報文時,則對報文執行兩種功能的處理動作中更高優先級的動作。動作優先級從高到低依次為:重置 > 重定向 > 丟棄 > 允許,對於黑名單、日誌和捕獲三個動作隻要處理動作中包含就會執行。
WAF特征庫是用來對經過設備的應用層流量進行Web攻擊檢測和防禦的資源庫。隨著網絡攻擊不斷的變化和發展,需要及時升級設備中的WAF特征庫,同時設備也支持WAF特征庫回滾功能。
WAF特征庫的升級包括如下幾種方式:
· 定期自動在線升級:設備根據管理員設置的時間定期自動更新本地的WAF特征庫。
· 立即自動在線升級:管理員手工觸發設備立即更新本地的WAF特征庫。
· 手動離線升級:當設備無法自動獲取WAF特征庫時,需要管理員先手動獲取最新的WAF特征庫,再更新設備本地的WAF特征庫。
如果管理員發現設備當前WAF特征庫對報文進行檢測和防禦Web攻擊時,誤報率較高或出現異常情況,則可以將其進行回滾到出廠版本和上一版本。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
F1000係列 |
型號 |
說明 |
|
F1000-X-G5係列 |
F1000-A-G5、F1000-C-G5、F1000-C-G5-LI、F1000-E-G5、F1000-H-G5、F1000-S-G5 |
支持 |
|
F1000-X-G3係列 |
F1000-A-G3、F1000-C-G3、F1000-E-G3、F1000-S-G3 |
支持 |
|
F1000-X-G2係列 |
F1000-A-G2、F1000-C-G2、F1000-E-G2、F1000-S-G2 |
支持 |
|
F1000-9X0-AI係列 |
F1000-9390-AI、F1000-9385-AI、F1000-9380-AI、F1000-9370-AI、F1000-9360-AI、F1000-9350-AI、F1000-990-AI、F1000-980-AI、F1000-970-AI、F1000-960-AI、F1000-950-AI、F1000-930-AI、F1000-920-AI |
支持 |
|
F1000-9330-AI、F1000-9320-AI、F1000-9310-AI、F1000-9305-AI、F1000-910-AI、F1000-905-AI |
不支持 |
|
|
F1000-C83X0係列 |
F1000-C8395、F1000-C8390、F1000-C8385、F1000-C8380、F1000-C8370、F1000-C8360、F1000-C8350 |
支持 |
|
F1000-C8330、F1000-C8320、F1000-C8310、F1000-C8305 |
不支持 |
|
|
F1000-C81X0係列 |
F1000-C8180、F1000-C8170、F1000-C8160 |
支持 |
|
F1000-C8150、F1000-C8130、F1000-C8120、F1000-C8110 |
不支持 |
|
|
F1000-7X0-HI係列 |
F1000-770-HI、F1000-750-HI、F1000-740-HI |
支持 |
|
F1000-730-HI、F1000-720-HI、F1000-710-HI |
不支持 |
|
|
F1000-C-X係列 |
F1000-C-EI、F1000-C-HI、F1000-C-XI、F1000-E-XI |
支持 |
|
F1000-V係列 |
F1000-E-VG |
支持 |
|
F1000-S-VG |
不支持 |
|
|
SecBlade IV |
LSPM6FWD8、LSQM2FWDSC8 |
支持 |
|
F100係列 |
型號 |
說明 |
|
F100-X-G5係列 |
F100-E-G5 |
支持 |
|
F100-A-G5、F100-C-G5、F100-C-G5-EI、F100-C-G5-SI、F100-M-G5、F100-M-G5-EI、F100-S-G5 |
不支持 |
|
|
F100-X-G3係列 |
F100-A-G3、F100-E-G3 |
支持 |
|
F100-C-G3、F100-M-G3、F100-S-G3 |
不支持 |
|
|
F100-X-G2係列 |
F100-A-G2、F100-E-G2 |
支持 |
|
F100-C-G2、F100-M-G2、F100-S-G2 |
不支持 |
|
|
F100-WiNet係列 |
F100-A80-WiNet、F100-A91-WiNet |
支持 |
|
F100-C80-WiNet、F100-C60-WiNet、F100-C50-WiNet、F100-S80-WiNet、F100-A81-WiNet |
不支持 |
|
|
F100-C-A係列 |
F100-C-A6、F100-C-A5、F100-C-A3、F100-C-A2、F100-C-A1、F100-C-A6-WL、F100-C-A5-W、F100-C-A3-W |
不支持 |
|
F100-X-XI係列 |
F100-A-EI、F100-A-HI、F100-A-SI、F100-E-EI |
支持 |
|
F100-C-EI、F100-C-HI、F100-A-XI、F100-C-XI、F100-S-HI、F100-S-XI |
不支持 |
WAF功能需要購買並正確安裝License後才能使用。License過期後,WAF功能可以采用設備中已有的WAF特征庫正常工作,但無法升級到官方網站在過期時間後發布的新版本的特征庫。關於License的詳細介紹請參見“基礎配置指導”中的“License管理”。
(1) 創建WAF策略
(2) 配置篩選WAF特征的屬性
(3) 配置WAF特征動作
(4) 配置WAF特征動作引用的應用層檢測引擎動作參數profile
(1) 創建WAF策略
(2) 創建CC攻擊防護策略
(3) 創建CC攻擊防護策略規則
(5) (可選)管理CC攻擊防護策略規則
(1) (可選)激活WAF策略配置
(4) (可選)配置自定義WAF特征
(5) (可選)配置WAF特征庫升級和回滾
缺省情況下,WAF策略將使用當前設備上所有處於生效狀態的WAF特征與報文進行匹配,並對匹配成功的報文執行WAF特征屬性中的動作。管理員可根據實際需求,在新建的WAF策略中,將WAF特征的屬性作為過濾條件,篩選出需要與報文進行匹配的WAF特征,並配置WAF特征動作。
(1) 進入係統視圖。
system-view
(2) 創建WAF策略,並進入WAF策略視圖。
waf policy policy-name
缺省情況下,存在一個缺省WAF策略,名稱為default,且不能被修改或刪除。
在WAF策略中,可以定義不同類型的屬性作為WAF特征的過濾條件。如果某個屬性中配置了多個參數,則WAF特征至少需要匹配上其中一個參數,才表示匹配上該屬性。
(1) 進入係統視圖。
system-view
(2) 進入WAF策略視圖。
waf policy policy-name
(3) 配置篩選WAF特征的屬性。
¡ 配置篩選WAF特征的保護對象屬性。
protected-target { target [ sub-target subtarget ]| all }
缺省情況下,WAF策略匹配所有保護對象的特征。
¡ 配置篩選WAF特征的攻擊分類屬性。
attack-category { category [ sub-category subcategory ] | all }
缺省情況下,WAF策略匹配所有攻擊分類的特征。
¡ 配置篩選WAF特征的動作屬性。
action { block-source | drop | permit | reset } *
缺省情況下,WAF策略匹配所有動作的特征。
¡ 配置篩選WAF特征的方向屬性。
object-dir { client | server } *
缺省情況下,WAF策略匹配所有方向的特征。
¡ 配置篩選WAF特征的嚴重級別屬性。
severity-level { critical | high | low | medium } *
缺省情況下,WAF策略匹配所有嚴重級別的特征。
缺省情況下,新建WAF策略執行特征屬性中的動作。管理員也可以根據實際網絡需求,為WAF策略中所有特征配置統一的動作,或者為指定的特征配置動作。
設備對以上動作執行的優先級為:WAF策略中為指定特征配置的動作 > WAF策略為所有特征配置的統一動作 > WAF特征自身屬性的動作。
若動作配置為logging,生成的日誌信息不會輸出到控製台和監視終端。此時如需獲取該日誌,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 進入WAF策略視圖。
waf policy policy-name
(3) 配置WAF策略中所有特征的統一動作。
signature override all { { block-source | drop | permit | redirect | reset } | capture | logging } *
缺省情況下,WAF策略執行特征屬性中的動作。
(4) (可選)修改WAF策略中指定特征的動作和生效狀態。
signature override pre-defined signature-id { disable | enable } [ { block-source | drop | permit | redirect | reset } | capture | logging ] *
缺省情況下,預定義WAF特征使用係統預定義的狀態和動作。
每類WAF特征動作的具體執行參數由應用層檢測引擎動作參數profile來定義,該profile的具體配置請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
如果WAF特征動作引用的應用層檢測引擎動作參數profile不存在或沒有引用,則使用係統各類動作參數的缺省值。
(1) 進入係統視圖。
system-view
(2) 配置WAF特征動作引用的應用層檢測引擎動作參數profile。
waf { block-source | capture | logging | redirect } parameter-profile parameter-name
缺省情況下,WAF特征動作未引用應用層檢測引擎動作參數profile。
WAF策略中未引用CC攻擊防護策略,用戶需要手工新建一個WAF策略,並在其中引用CC攻擊防護策略才能使CC攻擊防護功能生效。
(1) 進入係統視圖。
system-view
(2) 創建WAF策略,並進入WAF策略視圖。
waf policy policy-name
缺省情況下,存在一個缺省WAF策略,名稱為default,不能被修改或刪除,且未引用CC攻擊防護策略。
設備基於CC攻擊防護策略對攻擊報文進行處理,管理員可以根據實際需求配置匹配報文的過濾條件以及檢測項等。
(1) 進入係統視圖。
system-view
(2) 創建CC攻擊防護策略,並進入CC攻擊防護策略視圖。
cc-defense policy policy-name
(3) (可選)配置CC攻擊防護策略的描述信息。
description text-string
(4) (可選)配置CC攻擊檢查項的檢測周期。
detection-interval interval
缺省情況下,CC攻擊檢查項的檢測周期為30秒。
(5) (可選)配置CC攻擊防護例外IP地址。
exception { ipv4 ipv4-address | ipv6 ipv6-address }
缺省情況下,未配置CC攻擊防護例外IP地址。
CC攻擊防護策略規則下可以配置如下內容:
· CC攻擊檢測的過濾條件,包括:目的IP地址、目的端口號和請求方法。
· CC攻擊防護策略規則防護的路徑。
· CC攻擊檢測的檢查項閾值。
· CC攻擊防護策略規則的動作。
CC攻擊防護策略規則的匹配順序為配置順序,當報文與一條規則匹配成功時,則結束匹配過程。
(1) 進入係統視圖。
system-view
(2) 進入CC攻擊防護策略視圖。
cc-defense policy policy-name
(3) 創建CC攻擊防護策略規則,並進入CC攻擊防護策略規則視圖。
rule name rule-name
(4) 配置過濾條件。
¡ 配置作為CC攻擊防護策略規則過濾條件的目的IP地址。
destination-address { ipv4 ipv4-address | ipv6 ipv6-address }
¡ 配置作為CC攻擊防護策略規則過濾條件的目的端口。
destination-port port-number
¡ 配置作為CC攻擊防護策略規則過濾條件的請求方法。
method { connect | delete | get | head | options | post | put | trace } *
(5) 配置CC攻擊防護策略規則防護的路徑。
protected-url url-text
缺省情況下,未配置CC攻擊防護策略規則防護的路徑。
(6) 開啟X-Forwarded-For字段檢測功能。
xff-detection enable
缺省情況下,X-Forwarded-For字段檢測功能處於關閉狀態。
(7) 配置CC攻擊檢測項。
cc-detection-item { request-concentration [ concentration-value ] [ request-number number ] | request-rate [ rate-value ] }
缺省情況下,未配置CC攻擊檢測項,設備不對檢查項進行檢測。
(8) 配置規則動作。
action { block-source [ block-time ] | permit }
缺省情況下,CC攻擊防護策略規則的動作為permit。
(9) 開啟日誌記錄功能。
logging enable
缺省情況下,日誌記錄功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入WAF策略視圖。
waf policy policy-name
(3) 在WAF策略中引用CC攻擊防護策略。
apply cc-defense policy policy-name
(1) 進入係統視圖。
system-view
(2) 進入CC攻擊防護策略視圖。
cc-defense policy policy-name
(3) 移動CC攻擊防護策略規則。
rule move rule-name1 { after | before } rule-name2
(1) 進入係統視圖。
system-view
(2) 進入CC攻擊防護策略視圖。
cc-defense policy policy-name
(3) 複製CC攻擊防護策略規則。
rule copy rule-name new-rule-name
缺省情況下,當WAF策略發生變更時(即被創建、修改和刪除),係統將會檢測在20秒的間隔時間內是否再次發生了配置變更,並根據判斷結果執行如下操作:
· 如果間隔時間內未發生任何配置變更,則係統將在下一個間隔時間結束時(即40秒時)執行一次激活操作,使這些策略的配置生效。
· 如果間隔時間內再次發生了配置變更,則係統將繼續按照間隔時間周期性地檢測是否發生配置變更。
如果用戶希望對變更的配置立即進行激活,可執行inspect activate命令手工激活,使配置立即生效。
有關此功能的詳細介紹請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
(1) 進入係統視圖。
system-view
(2) 激活WAF策略配置。
inspect activate
缺省情況下,WAF策略被創建、修改和刪除後,係統會自動激活配置使其生效。
執行此命令會暫時中斷DPI業務的處理,可能導致其他基於DPI功能的業務同時出現中斷。例如,安全策略無法對應用進行訪問控製等。
DPI應用profile是一個安全業務的配置模板,為實現WAF功能,必須在DPI應用profile中引用指定的WAF策略。
一個DPI應用profile中隻能引用一個WAF策略,如果重複配置,則新的配置會覆蓋已有配置。
(1) 進入係統視圖。
system-view
(2) 進入DPI應用profile視圖。
app-profile profile-name
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
(3) 在DPI應用profile中引用WAF策略。
waf apply policy policy-name mode { protect | alert }
缺省情況下,DPI應用profile中未引用WAF策略。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作為允許。
action pass
缺省情況下,安全策略規則動作是丟棄。
(5) 配置安全策略規則引用DPI應用profile。
profile app-profile-name
缺省情況下,安全策略規則中未引用DPI應用profile。
當需要的WAF特征在設備當前WAF特征庫中不存在時,可通過手工方式創建所需的WAF特征。
(1) 進入係統視圖。
system-view
(2) 創建自定義WAF特征,並進入自定義WAF特征視圖。
waf signature user-defined name signature-name
缺省情況下,未配置自定義WAF特征。
(3) (可選)配置自定義WAF特征的描述信息。
description text
特征具有多種屬性,包括動作、檢測方向、嚴重級別和特征下規則間的邏輯關係。
一個自定義特征下可以配置多條規則作為特征的匹配條件,如果規則間是邏輯與的關係,報文需要匹配該自定義特征的所有規則才結束匹配過程;如果規則間是邏輯或的關係,一旦報文與某條規則匹配成功就結束此匹配過程。
(1) 進入係統視圖。
system-view
(2) 進入自定義WAF特征視圖。
waf signature user-defined name signature-name
缺省情況下,不存在自定義WAF特征。
(3) 配置自定義WAF特征屬性。
¡ 配置自定義WAF特征的動作。
action { block-source | drop | permit | reset } [ capture | logging ] *
缺省情況下,自定義WAF特征的動作為permit。
¡ 配置自定義WAF特征的檢測方向。
direction { any | to-client | to-server }
缺省情況下,自定義WAF特征的檢測方向為any。
¡ 配置自定義WAF特征的嚴重級別。
severity-level { critical | high | low | medium }
缺省情況下,自定義WAF特征的嚴重級別為low。
¡ 配置自定義WAF特征下規則間的邏輯關係。
rule-logic { and | or }
缺省情況下,自定義WAF特征下規則間的邏輯關係為or。
設備支持以下兩種類型自定義WAF特征規則:
· 關鍵字類型
· 數值類型
規則下可以配置匹配條件以及檢查項。僅當報文與規則的匹配條件匹配成功後,才會對規則的檢查項進行檢測。
一條規則可以配多個檢查項,用於精確匹配報文中所需檢測的內容。檢查項之間為邏輯與的關係,匹配順序為配置順序,隻有所有檢查項都匹配成功,規則才算成功匹配。
觸發檢查項是同一規則下檢查項的觸發條件,隻有關鍵字類型自定義特征規則才需要配置觸發檢查項。如果一條規則的觸發檢查項匹配失敗,則該規則匹配失敗,不會再對該規則下的檢查項進行檢測。
· 檢查項僅檢測指定協議字段範圍內的數據。
· 配置檢查項匹配的協議字段時,建議依據HTTP協議中各協議字段順序進行配置,否則可能會影響設備的檢測結果。
· 對於關鍵字類型的自定義特征規則,在配置檢查項之前,必須先配置觸發檢查項。刪除觸發檢查項後,將一並刪除所有的檢查項。
· 可使用偏移量、檢測深度和相對偏移量、相對檢測深度兩組參數中的任意一組精確定位檢查項檢測的起始和終止位置。
(1) 進入係統視圖。
system-view
(2) 進入自定義WAF特征視圖。
waf signature user-defined name signature-name
(3) 創建自定義WAF特征規則,並進入自定義WAF特征規則視圖。
rule rule-id pattern-type { integer | keyword }
缺省情況下,未配置自定義WAF特征規則。
(4) 配置自定義WAF特征規則的匹配條件。
¡ 配置自定義WAF特征規則匹配的源IP地址。
source-address ip ip-address
缺省情況下,自定義WAF特征規則匹配所有源IP地址。
¡ 配置自定義WAF特征規則匹配的目的IP地址。
destination-address ip ip-address
缺省情況下,自定義WAF特征規則匹配所有目的IP地址。
¡ 配置自定義WAF特征規則匹配的源端口。
source-port start-port [ to end-port ]
缺省情況下,自定義WAF特征規則匹配所有源端口。
¡ 配置自定義WAF特征規則匹配的目的端口。
destination-port start-port [ to end-port ]
缺省情況下,自定義WAF特征規則匹配所有目的端口。
¡ 配置自定義WAF特征規則匹配的HTTP報文請求方法。
http-method method-name
缺省情況下,自定義WAF特征規則匹配所有HTTP報文請求方法。
(5) 配置關鍵字類型自定義WAF特征規則的觸發檢查項和檢查項。
a. 配置觸發檢查項。
trigger field field-name include { hex hex-string | text text-string } [ offset offset-value ] [ depth depth-value ]
b. 配置檢查項。
detection-keyword detection-id field field-name match-type { exclude | include } { hex hex-string | regex regex-pattern | text text-string } [ offset offset-value [ depth depth-value ] | relative-offset relative-offset-value [ relative-depth relative-depth-value ] ]
(6) 配置數值類型自定義WAF特征規則的檢查項。
detection-integer field field-name match-type { eq | gt | gt-eq | lt | lt-eq | nequ } number
本功能的支持情況與設備型號有關,請以設備的實際情況為準。
|
F1000係列 |
型號 |
說明 |
|
F1000-X-G5係列 |
F1000-A-G5、F1000-C-G5、F1000-C-G5-LI、F1000-E-G5、F1000-H-G5、F1000-S-G5 |
支持 |
|
F1000-X-G3係列 |
F1000-A-G3、F1000-C-G3、F1000-E-G3、F1000-S-G3 |
支持 |
|
F1000-X-G2係列 |
F1000-A-G2、F1000-C-G2、F1000-E-G2、F1000-S-G2 |
支持 |
|
F1000-9X0-AI係列 |
F1000-9390-AI、F1000-9385-AI、F1000-9380-AI、F1000-9370-AI、F1000-9360-AI、F1000-9350-AI、F1000-990-AI、F1000-980-AI、F1000-970-AI、F1000-960-AI、F1000-950-AI、F1000-930-AI |
支持 |
|
F1000-9330-AI、F1000-9320-AI、F1000-9310-AI、F1000-9305-AI、F1000-920-AI、F1000-910-AI、F1000-905-AI |
不支持 |
|
|
F1000-C83X0係列 |
F1000-C8395、F1000-C8370、F1000-C8360、F1000-C8350、F1000-C8390、F1000-C8385、F1000-C8380 |
支持 |
|
F1000-C8330、F1000-C8320、F1000-C8310、F1000-C8305 |
不支持 |
|
|
F1000-C81X0係列 |
F1000-C8180、F1000-C8170、F1000-C8160 |
支持 |
|
F1000-C8150、F1000-C8130、F1000-C8120、F1000-C8110 |
不支持 |
|
|
F1000-7X0-HI係列 |
F1000-770-HI、F1000-750-HI、F1000-740-HI |
支持 |
|
F1000-730-HI、F1000-720-HI、F1000-710-HI |
不支持 |
|
|
F1000-C-X係列 |
F1000-C-EI、F1000-C-HI、F1000-C-XI、F1000-E-XI |
支持 |
|
F1000-V係列 |
F1000-E-VG |
支持 |
|
F1000-S-VG |
不支持 |
|
|
SecBlade IV |
LSPM6FWD8、LSQM2FWDSC8 |
支持 |
|
F100係列 |
型號 |
說明 |
|
F100-X-G5係列 |
F100-E-G5 |
支持 |
|
F100-A-G5、F100-C-G5、F100-C-G5-EI、F100-C-G5-SI、F100-M-G5、F100-M-G5-EI、F100-S-G5 |
不支持 |
|
|
F100-X-G3係列 |
F100-A-G3、F100-E-G3 |
支持 |
|
F100-C-G3、F100-M-G3、F100-S-G3 |
不支持 |
|
|
F100-X-G2係列 |
F100-A-G2、F100-M-G2、F100-C-G2、F100-S-G2 |
不支持 |
|
F100-E-G2 |
支持 |
|
|
F100-WiNet係列 |
F100-A91-WiNet |
支持 |
|
F100-C80-WiNet、F100-C60-WiNet、F100-C50-WiNet、F100-S80-WiNet、F100-A80-WiNet、F100-A81-WiNet |
不支持 |
|
|
F100-C-A係列 |
F100-C-A6、F100-C-A5、F100-C-A3、F100-C-A2、F100-C-A1、F100-C-A6-WL、F100-C-A5-W、F100-C-A3-W |
不支持 |
|
F100-X-XI係列 |
F100-A-EI、F100-A-HI、F100-A-XI、F100-C-HI、F100-S-HI、F100-C-EI、F100-C-XI、F100-S-XI |
不支持 |
|
F100-A-SI、F100-E-EI |
支持 |
· 請勿刪除設備存儲介質根目錄下的/dpi/文件夾,否則設備升級或回滾特征庫會失敗。
· 當係統內存使用狀態處於告警門限狀態時,請勿進行特征庫升級或回滾,否則易造成設備特征庫升級或回滾失敗,進而影響WAF業務的正常運行。有關內存告警門限狀態的詳細介紹請參見“基礎配置指導”中的“設備管理”。
· 自動在線升級(包括定期自動在線升級和立即自動在線升級)WAF特征庫時,需要確保設備能通過靜態或動態域名解析方式獲得官方網站的IP地址,並與之路由可達,否則設備升級WAF特征庫會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
· 同一時刻隻能對一個特征庫進行升級,如果當前已有其他特征庫正在升級,請稍後再試。
如果設備可以訪問官方網站上的特征庫服務專區,可以采用定期自動在線升級方式來對設備上的WAF特征庫進行升級。
(1) 進入係統視圖。
system-view
(2) 開啟定期自動在線升級WAF特征庫功能,並進入自動在線升級配置視圖。
waf signature auto-update
缺省情況下,定期自動在線升級WAF特征庫功能處於關閉狀態。
(3) 配置定期自動在線升級WAF特征庫的時間。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情況下,設備在每天01:00:00至03:00:00之間自動升級WAF特征庫。
(4) (可選)開啟WAF特征文件自動覆蓋功能。
override-current
缺省情況下,設備定期自動在線升級WAF特征庫時會將當前的特征庫文件備份為上一版本。
當管理員發現官方網站上的特征庫服務專區中的WAF特征庫有更新時,可以選擇立即自動在線升級方式來及時升級WAF特征庫版本。
(1) 進入係統視圖。
system-view
(2) 立即自動在線升級WAF特征庫。
waf signature auto-update-now
如果設備不能訪問官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級WAF特征庫版本。
· 本地升級:使用本地保存的特征庫文件升級係統上的WAF特征庫版本。
· FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統上的WAF特征庫版本。
使用本地升級方式離線升級特征庫版本時,特征庫文件隻能存儲在當前主用設備上,否則設備升級特征庫會失敗。
如果管理員希望手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IP地址是一個特定的地址時,可配置source參數。例如,當組網環境中設備發出的報文需要經過NAT地址轉換後才能訪問TFTP、FTP服務器時,則需要管理員通過source參數指定一個符合NAT地址轉換規則的源IP地址(其中,如果設備需要經過一台獨立的NAT設備進行地址轉換時,本命令指定的IP地址必須可以與NAT設備三層路由可達),使設備發出的報文可以進行NAT地址轉換等處理,正常訪問TFTP、FTP服務器。
當同時配置了source和vpn-instance參數時,需要保證source中指定的源IP地址或接口所屬VPN實例與vpn-instance中配置的VPN實例相同。
(1) 進入係統視圖。
system-view
(2) 手動離線升級WAF特征庫。
waf signature update [ override-current ] file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]
WAF特征庫版本每次回滾前,設備都會備份當前版本。多次回滾上一版本的操作將會在當前版本和上一版本之間反複切換。例如當前WAF特征庫版本是V2,上一版本是V1,第一次執行回滾到上一版本的操作後,特征庫替換成V1版本,再執行回滾上一版本的操作則特征庫重新變為V2版本。
(1) 進入係統視圖。
system-view
(2) 回滾WAF特征庫。
waf signature rollback { factory | last }
完成上述配置後,在任意視圖下執行display命令可以顯示配置後WAF的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 WAF顯示和維護
|
操作 |
命令 |
|
顯示WAF策略信息 |
display waf policy policy-name |
|
顯示WAF特征庫版本信息 |
display waf signature library |
|
顯示WAF特征屬性列表 |
display waf signature [ pre-defined | user-defined ] [ direction { any | to-client | to-server } ] [ category category-name | fidelity { high | low | medium } | severity { critical | high | low | medium } ] * |
|
顯示WAF預定義特征的詳細信息 |
display waf signature pre-defined signature-id |
|
顯示WAF自定義特征的詳細信息 |
display waf signature user-defined signature-id |
如圖1-3所示,Device分別通過Trust安全域和Untrust安全域與內部網絡和Internet相連。現要求使用設備上的缺省WAF策略對內部網絡進行Web攻擊防禦。
圖1-3 在安全策略中引用缺省WAF策略配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置DPI應用profile並激活WAF策略配置
# 創建名為sec的DPI應用profile,在sec中引用名稱為default的缺省WAF策略,並指定該WAF策略的模式為protect。
[Device] app-profile sec
[Device-app-profile-sec] waf apply policy default mode protect
[Device-app-profile-sec] quit
# 激活WAF策略配置。
[Device] inspect activate
(5) 配置安全策略
# 配置名稱為trust-untrust的安全策略規則,使內網用戶可以訪問外網,並對交互報文進行WAF攻擊防禦。具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] profile sec
[Device-security-policy-ip-10-trust-untrust] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效後,使用缺省WAF策略可以對已知攻擊類型的Web攻擊進行防禦。比如GNU_Bash_Remote_Code_Execution_Vulnerability(CVE-2014-6271)類型的攻擊報文經過Device設備時,Device會匹配該報文,並對報文按照匹配成功的WAF特征的動作(reset和logging)進行處理。
如圖1-4所示,Device分別通過Trust安全域和Untrust安全域與內部網絡和Internet相連。現有組網需求如下:
· 使用設備上的WAF策略對內部網絡進行Web攻擊防禦。
· 將編號為2的預定義WAF特征的動作改為丟棄並生成日誌。
圖1-4 在安全策略中引用自定義WAF策略配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置WAF策略
# 創建一個名稱為waf1的WAF策略,配置篩選WAF特征的方向屬性為客戶端,並配置編號為2的預定義WAF特征的狀態為開啟,動作為丟棄並生成日誌信息。
[Device] waf policy waf1
[Device-waf-policy-waf1] object-dir client
[Device-waf-policy-waf1] signature override pre-defined 2 enable drop logging
[Device-waf-policy-waf1] quit
(5) 配置DPI應用profile並激活WAF策略配置
# 創建名為sec的DPI應用profile,在DPI應用profile sec中引用WAF策略waf1,並指定該WAF策略的模式為protect。
[Device] app-profile sec
[Device-app-profile-sec] waf apply policy waf1 mode protect
[Device-app-profile-sec] quit
# 激活WAF策略配置。
[Device] inspect activate
(6) 配置安全策略
# 配置名稱為trust-untrust的安全策略規則,使內網用戶可以訪問外網,並對交互報文進行WAF攻擊防禦。具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] profile sec
[Device-security-policy-ip-10-trust-untrust] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效後,將有如下驗證結果:
· 使用自定義WAF策略可以對已知類型的Web攻擊進行防禦。
· 當有報文匹配到編號為2的預定義WAF特征時,設備將丟棄該報文並生成日誌信息。
如圖1-5所示,位於Trust安全域的內部網絡可通過Device訪問Untrust安全域的Internet資源,以及DMZ安全域的FTP服務器。FTP服務器根目錄下保存了最新的WAF特征庫文件waf-1.0.8-encrypt.dat,FTP服務器的登錄用戶名和密碼分別為waf和123。現需要手動離線升級WAF特征庫,加載最新的WAF特征。
圖1-5 手動離線升級WAF特征庫配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
(4) 配置安全策略
¡ 配置安全策略規則放行Trust到Untrust安全域的流量,使內網用戶可以訪問外網資源
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] quit
¡ 配置安全策略規則放行Trust到DMZ安全域的流量,使內網用戶可以訪問DMZ安全域中的服務器
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-dmz
[Device-security-policy-ip-11-trust-dmz] source-zone trust
[Device-security-policy-ip-11-trust-dmz] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-11-trust-dmz] destination-zone dmz
[Device-security-policy-ip-11-trust-dmz] action pass
[Device-security-policy-ip-11-trust-dmz] quit
¡ 配置安全策略規則放行設備與FTP服務器之間的流量,使設備可以訪問FTP服務器,獲取特征庫文件
[Device] security-policy ip
[Device-security-policy-ip] rule name downloadlocalout
[Device-security-policy-ip-12-downloadlocalout] source-zone local
[Device-security-policy-ip-12-downloadlocalout] destination-zone dmz
[Device-security-policy-ip-12-downloadlocalout] destination-ip-subnet 192.168.2.0 24
[Device-security-policy-ip-12-downloadlocalout] application ftp
[Device-security-policy-ip-12-downloadlocalout] application ftp-data
[Device-security-policy-ip-12-downloadlocalout] action pass
[Device-security-policy-ip-12-downloadlocalout] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(5) 手動升級WAF特征庫
# 采用FTP方式手動離線升級設備上的WAF特征庫,且被加載的WAF特征庫文件名為waf-1.0.8-encrypt.dat。
[Device] waf signature update ftp://waf:123@192.168.2.4/waf-1.0.8-encrypt.dat
WAF特征庫升級後,可以通過display waf signature library命令查看當前特征庫的版本信息。
如圖1-6所示,位於Trust安全域的內部網絡可以通過Device訪問Untrust安全域的Internet資源。現要求每周六上午九點前後半小時內,開始定期自動在線升級設備的WAF特征庫。
圖1-6 定時自動升級WAF特征庫配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置DNS服務器地址
# 指定DNS服務器的IP地址為10.72.66.36,確保Device可以獲取到官網的IP地址,具體配置步驟如下。
[Device] dns server 10.72.66.36
(5) 配置安全策略
¡ 配置安全策略規則放行Trust到Untrust安全域的流量,使內網用戶可以訪問外網資源
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] quit
¡ 配置安全策略規則放行Local到Untrust安全域的流量,使設備可以訪問官網的特征庫服務專區,獲取特征庫文件
[Device] security-policy ip
[Device-security-policy-ip] rule name downloadlocalout
[Device-security-policy-ip-11-downloadlocalout] source-zone local
[Device-security-policy-ip-11-downloadlocalout] destination-zone untrust
[Device-security-policy-ip-11-downloadlocalout] action pass
[Device-security-policy-ip-11-downloadlocalout] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(6) 配置定期自動在線升級WAF特征庫
# 設置定時自動升級WAF特征庫計劃為:每周六上午9:00:00前後30分鍾內,開始自動升級。
[Device] waf signature auto-update
[Device-waf-sig-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60
[Device-waf-sig-autoupdate] quit
設置的定期自動在線升級WAF特征庫時間到達後,可以通過display waf signature library命令查看當前特征庫的版本信息。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
