- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
10-WAF配置
本章節下載: 10-WAF配置 (523.35 KB)
WAF(Web application firewall,Web應用防火牆)用於阻斷Web應用層攻擊,保護內網用戶和內部Web服務器。當設備收到來自外部的HTTP或HTTPS請求後,會執行防護策略,對請求內容的安全性和合法性進行檢測和驗證,對非法的請求予以實時阻斷,從而對內網的用戶和Web服務器進行有效防護。
WAF支持通過如下功能對Web應用層攻擊進行檢測與防護。
設備通過對攻擊行為的特征進行檢測,保護內網用戶和服務器免受Web應用層攻擊。
設備通過對報文中的SQL語法進行分析來檢測SQL注入攻擊行為,保護內網用戶和服務器免受該類攻擊。
CC(Challenge Collapsar,挑戰黑洞)攻擊是DDoS(Distributed Denial of Service,分布式拒絕服務)攻擊的一種,也是一種常見的網站攻擊方法。CC攻擊防護功能通過對來自Web應用程序客戶端的請求進行內容檢測、規則匹配和統計計算,對攻擊請求予以實時阻斷,從而對內網的Web服務器進行有效防護。
設備通過對客戶端訪問的網頁資源進行檢測,判斷其是否被攻擊者惡意篡改。如果已被篡改,設備支持對篡改後的網頁資源進行恢複,避免客戶端因訪問篡改後的網頁(例如釣魚網站等)而遭到攻擊。
設備基於WAF策略對攻擊報文進行處理。WAF策略中定義了匹配報文的WAF特征和處理報文的WAF策略動作。
WAF特征用來描述網絡中的Web應用層攻擊行為的特征,設備通過將報文與WAF特征進行比較來檢測和防禦攻擊。WAF特征包含多種屬性,例如攻擊分類、動作、保護對象、嚴重級別和方向。這些屬性可作為過濾條件來篩選WAF特征。
設備支持以下兩種類型的WAF特征:
· 預定義WAF特征:係統中的WAF特征庫自動生成。設備不支持對預定義WAF特征的內容進行創建、修改和刪除。
· 自定義WAF特征:管理員在設備上手工創建。通常新的網絡攻擊出現後,與其對應的攻擊特征會出現的比較晚一些。如果管理員已經掌握了新網絡攻擊行為的特點,可以通過自定義方式創建WAF特征,及時阻止網絡攻擊,否則,不建議用戶自定義WAF特征。
WAF策略動作是指設備對檢測出攻擊的報文做出的處理。包括如下幾種類型:
· 丟棄:丟棄報文。
· 放行:允許報文通過。
· 重置:通過發送TCP的reset報文斷開TCP連接。
· 重定向:將報文重定向到指定的Web頁麵上。
· 源阻斷:丟棄報文並將該報文的源IP地址加入IP黑名單。如果設備上同時開啟了IP黑名單過濾功能(由blacklist global enable開啟),則一定時間內(由block-period命令指定)來自此IP地址的所有報文將被直接丟棄;否則,此IP黑名單不生效。有關IP黑名單過濾功能的詳細介紹請參見“安全配置指導”中的“攻擊檢測與防範”,有關block-period命令的詳細介紹請參見“DPI深度安全”中的“應用層檢測引擎”。
· 捕獲:捕獲報文。
· 生成日誌:記錄日誌信息。
WAF特征匹配處理流程如圖1-1所示:
圖1-1 WAF特征匹配處理流程圖
WAF特征匹配功能是通過在DPI應用profile中引用WAF策略,並在安全策略中引用DPI應用profile來實現的,WAF特征匹配處理的具體實現流程如下:
(1) 設備識別應用層報文協議並提取報文特征。
(2) 設備將提取的報文特征與WAF特征進行匹配,並進行如下處理:
¡ 如果報文未與任何WAF特征匹配成功,則設備對報文執行允許動作。
¡ 如果報文隻與一個WAF特征匹配成功,則根據此特征中指定的動作進行處理。
¡ 如果報文同時與多個WAF特征匹配成功,則根據這些動作中優先級最高的動作進行處理。動作優先級從高到低的順序為:重置 > 重定向 > 丟棄 > 允許。但是,對於源阻斷、生成日誌和捕獲三個動作隻要匹配成功的特征中存在就會執行。
設備通過對報文中的SQL語句進行語法分析來檢測是否存在SQL注入攻擊,並根據檢測結果對報文進行相應的處理:
· 如果檢測到攻擊,則判斷是否配置了WAF策略動作。如果已配置,則對報文執行指定的動作;如果未配置,則放行報文,並以快速日誌方式輸出WAF日誌。有關WAF動作的詳細介紹,請參見“1.1.2 2. WAF策略動作”。
· 如果未檢測到攻擊,則放行報文。
設備首先通過對正常情況下(由管理員根據組網環境、網絡狀況等實際情況自行判定)客戶端訪問的靜態網頁資源進行學習,並將該網頁文件保存為基線文件。當後續客戶端再訪問網頁時,設備會將服務器返回給客戶端的響應報文中的資源文件與基線文件進行對比,判斷網頁資源是否被惡意篡改。
網頁防篡改功能實現機製如下:
(1) 生成基線文件
開啟網頁防篡改功能後,設備默認進入學習狀態。在此狀態下,當客戶端訪問服務器網頁資源時,設備會對服務器返回給客戶端的響應報文中的網頁資源文件進行學習,並生成基線文件。其中,設備僅對如下資源進行學習。
¡ 滿足學習條件的資源:當客戶端請求訪問的URL中請求方法為“GET”且資源文件的類型為防篡改支持檢測的文件類型時,防篡改會進行自動學習。
¡ 管理員手動添加的靜態網頁資源路徑下的資源:當網頁資源不符合上述學習條件時,管理員可以根據實際需要,手動添加資源的路徑,防篡改會對該路徑下的網頁資源進行學習。
(2) 手動切換工作狀態
管理員可以通過查看Web頁麵中的“自學習URL列表”,判斷設備是否已完成學習。如果已完成,則需要手動關閉網頁自學習功能,使網頁防篡改功能切換到工作狀態。
由於服務器的靜態網頁資源可能會定期發生變更,管理員可以根據實際情況定期清除基線文件(通過reset waf tamper-proof baseline-file命令配置。)並重新進行網頁學習,避免由於基線文件老舊導致網頁防篡改功能產生誤報。
(3) 緩存網頁資源文件並與基線文件進行對比
在工作狀態下,設備會將服務器返回給客戶端的響應報文中的網頁資源與基線文件進行對比,並根據對比結果進行如下處理。
¡ 如果一致,則認為服務器網頁資源未被篡改,放行報文。
¡ 如果不一致,則認為網頁資源已被惡意篡改,設備將根據網頁防篡改功能所處的工作模式進行相應的處理,有關防篡改工作模式的詳細介紹,請參見2. 防篡改工作模式。
¡ 如果基線文件中未學習到該網頁資源且該網頁資源符合防篡改學習條件,設備會將其添加到基線文件中,並記錄日誌。管理員可到Web界麵的防篡改日誌頁麵中查看日誌信息。
¡ 如果基線文件中未學習到該網頁資源且該網頁資源不符合防篡改學習條件,則放行報文。
網頁防篡改功能在工作狀態下支持如下兩種工作模式:
· 監控模式:此模式下,當設備檢測到用戶訪問的網頁資源被惡意篡改時,僅記錄日誌。
· 保護模式:此模式下,當設備檢測到用戶訪問的網頁資源被惡意篡改時,會將服務器返回給客戶端的響應報文中已被篡改的網頁資源文件,替換為通過網頁自學習功能學習到的基線文件,並返回給客戶端,同時記錄日誌。管理員可到Web界麵的防篡改日誌頁麵中查看日誌信息。此模式僅當設備配置TCP代理或SSL代理(對於HTTPS流量需要配置SSL代理)的情況下生效。有關TCP代理和SSL代理的詳細介紹,請參見“DPI深度安全配置指導”中的“代理策略”。
設備基於CC攻擊防護策略對CC攻擊行為進行檢測,CC攻擊防護策略中定義了攻擊報文的匹配條件、攻擊行為的檢測方式以及處理報文的動作等。
設備支持使用請求速率和請求集中度雙重檢測方式對CC攻擊進行檢測。
· 請求速率檢測:用於檢測客戶端是否過於頻繁地訪問某網站。
· 請求集中度檢測:用於檢測客戶端是否主要針對某網站進行訪問。
每種檢測方式可以分別配置檢測閾值,設備將統計到的用戶訪問網站的結果與檢測閾值進行比較,如果統計結果超過任意一個檢測閾值,則認為客戶端的訪問為CC攻擊。
CC攻擊防護功能是通過在安全策略中引用WAF策略,並且在WAF策略中引用CC攻擊防護策略來實現的。當用戶的數據流量經過設備時,設備將進行CC攻擊防護處理。處理流程如圖1-2所示:
圖1-2 CC攻擊防護數據處理流程圖
(1) 如果報文與例外IP地址匹配成功,則直接放行該報文;如果未匹配成功,則進入步驟(2)處理。
(2) 設備對報文進行深度內容檢測,並提取報文內容。
(3) 設備將提取的報文內容與CC攻擊防護策略規則進行匹配,並進行如下處理:
¡ 如果未匹配到任何CC攻擊防護策略規則,則對報文執行允許動作。
¡ 如果匹配到一條CC攻擊防護策略規則,則不再進行後續規則匹配,進入步驟(4)處理。
(4) 設備對報文數據進行統計,並與規則下配置的檢測項閾值進行比較,並進行如下處理:
¡ 如果統計結果超過任意一個檢測項的閾值,則認為存在CC攻擊行為,並執行規則下配置的動作,包括允許、黑名單和記錄日誌。
¡ 如果未超過閾值(即小於或等於閾值),則放行報文。
當WAF特征匹配、語義分析檢測和CC攻擊防護功三種功能檢測出同一個攻擊報文時,則對報文執行三種功能的處理動作中更高優先級的動作。動作優先級從高到低依次為:重置 > 重定向 > 丟棄 > 允許,對於黑名單、日誌和捕獲三個動作隻要處理動作中包含就會執行。
WAF特征庫是用來對經過設備的應用層流量進行Web攻擊檢測和防禦的資源庫。隨著網絡攻擊不斷的變化和發展,需要及時升級設備中的WAF特征庫,同時設備也支持WAF特征庫回滾功能。
WAF特征庫的升級包括如下幾種方式:
· 定期自動在線升級:設備根據管理員設置的時間定期自動更新本地的WAF特征庫。
· 立即自動在線升級:管理員手工觸發設備立即更新本地的WAF特征庫。
· 手動離線升級:當設備無法自動獲取WAF特征庫時,需要管理員先手動獲取最新的WAF特征庫,再更新設備本地的WAF特征庫。
如果管理員發現設備當前WAF特征庫對報文進行檢測和防禦Web攻擊時,誤報率較高或出現異常情況,則可以將其進行回滾到出廠版本和上一版本。
本功能的支持情況與設備型號有關,請以設備實際情況為準。
|
F1000係列 |
型號 |
說明 |
|
F1000-X-G5係列 |
F1000-A-G5、F1000-C-G5、F1000-C-G5-LI、F1000-E-G5、F1000-H-G5、F1000-S-G5 |
支持 |
|
F1000-X-XI係列 |
F1000-D-XI、F1000-E-XI |
支持 |
|
F100係列 |
型號 |
說明 |
|
F100-X-G5係列 |
F100-A-G5、F100-C-G5、F100-M-G5、F100-S-G5 |
不支持 |
|
F100-E-G5 |
支持 |
|
|
F100-C-A係列 |
F100-C-A2、F100-C-A1 |
不支持 |
|
F100-X-XI係列 |
F100-A-XI、F100-C-XI、F100-S-XI |
不支持 |
WAF功能需要購買並正確安裝License後才能使用。License過期後,WAF功能可以采用設備中已有的WAF特征庫正常工作,但無法升級到官方網站在過期時間後發布的新版本的特征庫。關於License的詳細介紹請參見“基礎配置指導”中的“License管理”。
開啟SSL代理、TCP代理或者防病毒業務配置了發送告警信息功能後,WAF的捕獲動作將失效。有關SSL代理和TCP代理的詳細介紹,請參見“DPI深度安全配置指導”中的“代理策略”;有關防病毒業務的詳細介紹,請參見“DPI深度安全配置指導”中的“防病毒”。
(1) 創建WAF策略
(2) 配置篩選WAF特征的屬性
(3) 配置WAF策略動作
(4) 配置WAF策略動作引用的應用層檢測引擎動作參數profile
(1) 創建WAF策略
(2) 開啟語義分析檢測功能
(1) 創建WAF策略
(2) 開啟網頁防篡改功能
(3) 切換網頁防篡改功能工作狀態
(1) 創建WAF策略
(2) 創建CC攻擊防護策略
(3) 創建CC攻擊防護策略規則
(5) (可選)管理CC攻擊防護策略規則
(1) (可選)激活WAF策略配置
(1) (可選)配置自定義WAF特征
(2) (可選)配置WAF特征庫升級和回滾
(3) (可選)配置WAF白名單
(4) (可選)配置服務器信息隱藏功能
缺省情況下,WAF策略將使用當前設備上所有處於生效狀態的WAF特征與報文進行匹配,並對匹配成功的報文執行WAF特征屬性中的動作。管理員可根據實際需求,在新建的WAF策略中,將WAF特征的屬性作為過濾條件,篩選出需要與報文進行匹配的WAF特征,並配置WAF策略動作。
(1) 進入係統視圖。
system-view
(2) 創建WAF策略,並進入WAF策略視圖。
waf policy policy-name
缺省情況下,存在一個缺省WAF策略,名稱為default,且不能被修改或刪除。
在WAF策略中,可以定義不同類型的屬性作為WAF特征的過濾條件。如果某個屬性中配置了多個參數,則WAF特征至少需要匹配上其中一個參數,才表示匹配上該屬性。
(1) 進入係統視圖。
system-view
(2) 進入WAF策略視圖。
waf policy policy-name
(3) 配置篩選WAF特征的屬性。
¡ 配置篩選WAF特征的保護對象屬性。
protected-target { target [ sub-target subtarget ]| all }
缺省情況下,WAF策略匹配所有保護對象的特征。
¡ 配置篩選WAF特征的攻擊分類屬性。
attack-category { category [ sub-category subcategory ] | all }
缺省情況下,WAF策略匹配所有攻擊分類的特征。
¡ 配置篩選WAF特征的動作屬性。
action { block-source | drop | permit | reset } *
缺省情況下,WAF策略匹配所有動作的特征。
¡ 配置篩選WAF特征的方向屬性。
object-dir { client | server } *
缺省情況下,WAF策略匹配所有方向的特征。
¡ 配置篩選WAF特征的嚴重級別屬性。
severity-level { critical | high | low | medium } *
缺省情況下,WAF策略匹配所有嚴重級別的特征。
缺省情況下,新建WAF策略執行特征屬性中的動作。管理員也可以根據實際網絡需求,為WAF策略中所有特征配置統一的動作,或者為指定的特征配置動作。
設備對以上動作執行的優先級為:WAF策略中為指定特征配置的動作 > WAF策略動作 > WAF特征自身屬性的動作。
當動作配置為logging時,設備將記錄日誌並支持如下兩種方式輸出日誌。
· 快速日誌:此方式生成的日誌信息直接發送到管理員指定的日誌主機。
· 係統日誌:此方式生成的日誌信息將發送到信息中心,由信息中心決定日誌的輸出方向。本業務產生的係統日誌不支持輸出到控製台和監視終端。如需快速獲取日誌信息,可通過執行display logbuffer命令進行查看。
係統日誌會對設備性能產生影響,建議采用快速日誌方式。
有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”;有關快速日誌的詳細介紹,請參見“網絡管理和監控配置指導”中的“快速日誌輸出”。
(1) 進入係統視圖。
system-view
(2) 進入WAF策略視圖。
waf policy policy-name
(3) 配置WAF策略動作。
signature override all { { block-source | drop | permit | redirect | reset } | capture | logging } *
缺省情況下,WAF策略執行特征屬性中的動作。
(4) (可選)修改WAF策略中指定特征的動作和生效狀態。
signature override { pre-defined | user-defined } signature-id { disable | enable } [ { block-source | drop | permit | redirect | reset } | capture | logging ] *
缺省情況下,預定義WAF特征使用係統預定義的狀態和動作,自定義WAF特征使用自定義的狀態和動作。
每類WAF策略動作的具體執行參數由應用層檢測引擎動作參數profile來定義,該profile的具體配置請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
如果WAF策略動作引用的應用層檢測引擎動作參數profile不存在或沒有引用,則使用係統各類動作參數的缺省值。
(1) 進入係統視圖。
system-view
(2) 配置WAF策略動作引用的應用層檢測引擎動作參數profile。
waf { block-source | capture | email | logging | redirect } parameter-profile parameter-name
缺省情況下,WAF策略動作未引用應用層檢測引擎動作參數profile。
(1) 進入係統視圖。
system-view
(2) 創建WAF策略,並進入WAF策略視圖。
waf policy policy-name
缺省情況下,存在一個缺省WAF策略,名稱為default,且不能被修改或刪除。
開啟本功能後,設備將同時使用特征匹配和語義分析功能對SQL注入攻擊進行檢測,可以提升該類攻擊的識別率,但同時會對設備性能產生影響,請管理員根據實際情況進行配置。
開啟本功能後會對設備性能產生影響,建議僅在含有SQL注入類攻擊的場景中開啟。
(1) 進入係統視圖。
system-view
(2) 進入WAF策略視圖。
waf policy policy-name
(3) 開啟語義分析功能。
semantic-analysis enable
缺省情況下,語義分析檢測功能處於關閉狀態。
當設備未掛載硬盤或U盤時,基線文件保存在內存中,設備重啟後會被清空;當設備掛載了硬盤或U盤時,基線文件會被保存在硬盤或U盤中,可以長時間保存。其中,硬盤的存儲優先級高於U盤。僅當硬盤不在位時才會保存到U盤中。
當硬盤或U盤已達到係統規格上限時,網頁防篡改功能將停止工作。
設備僅支持對靜態網頁資源進行網頁防篡改檢測。
當服務器采用分塊傳輸方式發送HTTP響應報文時,設備會因為無法獲取到報文主體數據的開始和結束位置導致不能正常學習相應的靜態網頁資源,設備無法進行網頁防篡改檢測。
(1) 進入係統視圖。
system-view
(2) 創建WAF策略,並進入WAF策略視圖。
waf policy policy-name
缺省情況下,存在一個缺省WAF策略,名稱為default,且不能被修改或刪除。
(1) 開啟網頁防篡改功能。
tamper-proof enable
缺省情況下,網頁防篡改功能處於關閉狀態。
(2) (可選)添加網頁防篡改功能學習的靜態網頁資源路徑。
tamper-proof web-resources host method uri
當需要設備對指定的靜態網頁資源進行學習時(例如,該資源的文件類型不屬於防篡改支持檢測的文件類型,或者客戶端請求報文中的請求方法非“Get”),可通過本命令手動添加該資源路徑,設備將會對路徑下的網頁資源進行學習。
(3) (可選)清除WAF策略下的防篡改基線文件。
reset waf tamper-proof baseline-file [ policy-name ]
當管理員判定服務器的網頁資源內容發生正常的變更時,可通過本命令清除基線文件,重新學習基線文件。
(1) 關閉網頁自學習功能。
undo tamper-proof auto-learn enable
缺省情況下,網頁自學習功能處於開啟狀態。
管理員可通過查看Web頁麵中的“自學習URL列表”,判斷設備是否已完成網頁資源學習。如果已完成,則需要通過執行本命令,使網頁防篡改功能切換到工作狀態。
(2) (可選)配置網頁防篡改功能的工作模式為保護模式。
tamper-proof work-mode protect
缺省情況下,網頁防篡改功能的工作模式為監控模式。
本功能僅當設備配置了代理策略時生效,若未配置代理策略,當設備檢測到網頁資源被篡改時僅記錄日誌。有關代理策略的詳細介紹,請參見“DPI深度安全配置指導”中的“代理策略”。
(3) (可選)關閉網頁防篡改功能對指定類型的文件進行檢測。
undo tamper-proof file-type file-type enable
缺省情況下,網頁防篡改功能支持對XLS、HLP、CHM、PPT、DOC、PE、PDF、SWF、ZIP、GIF、JPEG、CSS、HTML、TXT類型文件進行檢測。
當組網環境中不需要對某種類型文件進行防篡改檢測時,可執行本命令,關閉對該類型文件的防篡改檢測。
(4) (可選)關閉篡改文件緩存功能。
undo waf tamper-proof cache-files enable
缺省情況下,篡改文件緩存功能處於開啟狀態,且僅當設備安裝了存儲介質(硬盤或U盤)時生效。當設備檢測到服務器返回給客戶端的網頁資源文件已被篡改時,會將其作為篡改文件緩存到存儲介質(硬盤或U盤)中。管理員可到Web界麵的防篡改日誌頁麵中下載篡改文件,用於分析。
緩存文件的過程會占用存儲介質的存儲空間,並影響設備轉發性能。當存儲介質存儲空間不足、設備的轉發性能降低或者管理員不關心篡改文件內容時,可關閉篡改文件緩存功能。
WAF策略中未引用CC攻擊防護策略,用戶需要手工新建一個WAF策略,並在其中引用CC攻擊防護策略才能使CC攻擊防護功能生效。
(1) 進入係統視圖。
system-view
(2) 創建WAF策略,並進入WAF策略視圖。
waf policy policy-name
缺省情況下,存在一個缺省WAF策略,名稱為default,不能被修改或刪除,且未引用CC攻擊防護策略。
設備基於CC攻擊防護策略對攻擊報文進行處理,管理員可以根據實際需求配置匹配報文的過濾條件以及檢測項等。
(1) 進入係統視圖。
system-view
(2) 創建CC攻擊防護策略,並進入CC攻擊防護策略視圖。
cc-defense policy policy-name
(3) (可選)配置CC攻擊防護策略的描述信息。
description text-string
(4) (可選)配置CC攻擊檢查項的檢測周期。
detection-interval interval
缺省情況下,CC攻擊檢查項的檢測周期為30秒。
(5) (可選)配置CC攻擊防護例外IP地址。
exception { ipv4 ipv4-address | ipv6 ipv6-address }
缺省情況下,未配置CC攻擊防護例外IP地址。
CC攻擊防護策略規則下可以配置如下內容:
· CC攻擊檢測的過濾條件,包括:目的IP地址、目的端口號和請求方法。
· CC攻擊防護策略規則防護的路徑。
· CC攻擊檢測的檢查項閾值。
· CC攻擊防護策略規則的動作。
CC攻擊防護策略規則的匹配順序為配置順序,當報文與一條規則匹配成功時,則結束匹配過程。
(1) 進入係統視圖。
system-view
(2) 進入CC攻擊防護策略視圖。
cc-defense policy policy-name
(3) 創建CC攻擊防護策略規則,並進入CC攻擊防護策略規則視圖。
rule name rule-name
(4) 配置過濾條件。
¡ 配置作為CC攻擊防護策略規則過濾條件的目的IP地址。
destination-address { ipv4 ipv4-address | ipv6 ipv6-address }
¡ 配置作為CC攻擊防護策略規則過濾條件的目的端口。
destination-port port-number
¡ 配置作為CC攻擊防護策略規則過濾條件的請求方法。
method { connect | delete | get | head | options | post | put | trace } *
(5) 配置CC攻擊防護策略規則防護的路徑。
protected-url url-text
缺省情況下,未配置CC攻擊防護策略規則防護的路徑。
(6) 開啟X-Forwarded-For字段檢測功能。
xff-detection enable
缺省情況下,X-Forwarded-For字段檢測功能處於關閉狀態。
(7) 配置CC攻擊檢測項。
cc-detection-item { request-concentration [ concentration-value ] [ request-number number ] | request-rate [ rate-value ] }
缺省情況下,未配置CC攻擊檢測項,設備不對檢查項進行檢測。
(8) 配置規則動作。
action { block-source [ block-time ] | permit }
缺省情況下,CC攻擊防護策略規則的動作為permit。
(9) 開啟日誌記錄功能。
logging enable
缺省情況下,日誌記錄功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入WAF策略視圖。
waf policy policy-name
(3) 在WAF策略中引用CC攻擊防護策略。
apply cc-defense policy policy-name
(1) 進入係統視圖。
system-view
(2) 進入CC攻擊防護策略視圖。
cc-defense policy policy-name
(3) 移動CC攻擊防護策略規則。
rule move rule-name1 { after | before } rule-name2
(1) 進入係統視圖。
system-view
(2) 進入CC攻擊防護策略視圖。
cc-defense policy policy-name
(3) 複製CC攻擊防護策略規則。
rule copy rule-name new-rule-name
缺省情況下,當WAF策略發生變更時(即被創建、修改和刪除),係統將會檢測在20秒的間隔時間內是否再次發生了配置變更,並根據判斷結果執行如下操作:
· 如果間隔時間內未發生任何配置變更,則係統將在下一個間隔時間結束時(即40秒時)執行一次激活操作,使這些策略的配置生效。
· 如果間隔時間內再次發生了配置變更,則係統將繼續按照間隔時間周期性地檢測是否發生配置變更。
如果用戶希望對變更的配置立即進行激活,可執行inspect activate命令手工激活,使配置立即生效。
WAF策略中對語義分析檢測功能和CC攻擊防護功能的修改是即時生效的,不需要配置本功能。
有關此功能的詳細介紹請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
(1) 進入係統視圖。
system-view
(2) 激活WAF策略配置。
inspect activate
缺省情況下,WAF策略被創建、修改和刪除後,係統會自動激活配置使其生效。
執行此命令會暫時中斷DPI業務的處理,可能導致其他基於DPI功能的業務同時出現中斷。例如,安全策略無法對應用進行訪問控製、七層負載均衡業務無法基於應用進行負載分擔等。
DPI應用profile是一個安全業務的配置模板,為實現WAF功能,必須在DPI應用profile中引用指定的WAF策略。
一個DPI應用profile中隻能引用一個WAF策略,如果重複配置,則新的配置會覆蓋已有配置。
(1) 進入係統視圖。
system-view
(2) 進入DPI應用profile視圖。
app-profile profile-name
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
(3) 在DPI應用profile中引用WAF策略。
waf apply policy policy-name mode { protect | alert }
缺省情況下,DPI應用profile中未引用WAF策略。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作為允許。
action pass
缺省情況下,安全策略規則動作是丟棄。
(5) 配置安全策略規則引用DPI應用profile。
profile app-profile-name
缺省情況下,安全策略規則中未引用DPI應用profile。
當需要的WAF特征在設備當前WAF特征庫中不存在時,可通過手工方式創建所需的WAF特征。
(1) 進入係統視圖。
system-view
(2) 創建自定義WAF特征,並進入自定義WAF特征視圖。
waf signature user-defined name signature-name
缺省情況下,未配置自定義WAF特征。
(3) (可選)配置自定義WAF特征的描述信息。
description text
特征具有多種屬性,包括動作、檢測方向、嚴重級別和特征下規則間的邏輯關係。
一個自定義特征下可以配置多條規則作為特征的匹配條件,如果規則間是邏輯與的關係,報文需要匹配該自定義特征的所有規則才結束匹配過程;如果規則間是邏輯或的關係,一旦報文與某條規則匹配成功就結束此匹配過程。
(1) 進入係統視圖。
system-view
(2) 進入自定義WAF特征視圖。
waf signature user-defined name signature-name
缺省情況下,不存在自定義WAF特征。
(3) 配置自定義WAF特征屬性。
¡ 配置自定義WAF特征的動作。
action { block-source | drop | permit | reset } [ capture | logging ] *
缺省情況下,自定義WAF特征的動作為permit。
¡ 配置自定義WAF特征的檢測方向。
direction { any | to-client | to-server }
缺省情況下,自定義WAF特征的檢測方向為any。
¡ 配置自定義WAF特征的嚴重級別。
severity-level { critical | high | low | medium }
缺省情況下,自定義WAF特征的嚴重級別為low。
¡ 配置自定義WAF特征下規則間的邏輯關係。
rule-logic { and | or }
缺省情況下,自定義WAF特征下規則間的邏輯關係為or。
設備支持以下兩種類型自定義WAF特征規則:
· 關鍵字類型
· 數值類型
規則下可以配置匹配條件以及檢查項。僅當報文與規則的匹配條件匹配成功後,才會對規則的檢查項進行檢測。
一條規則可以配多個檢查項,用於精確匹配報文中所需檢測的內容。檢查項之間為邏輯與的關係,匹配順序為配置順序,隻有所有檢查項都匹配成功,規則才算成功匹配。
觸發檢查項是同一規則下檢查項的觸發條件,隻有關鍵字類型自定義特征規則才需要配置觸發檢查項。如果一條規則的觸發檢查項匹配失敗,則該規則匹配失敗,不會再對該規則下的檢查項進行檢測。
· 檢查項僅檢測指定協議字段範圍內的數據。
· 配置檢查項匹配的協議字段時,建議依據HTTP協議中各協議字段順序進行配置,否則可能會影響設備的檢測結果。
· 對於關鍵字類型的自定義特征規則,在配置檢查項之前,必須先配置觸發檢查項。刪除觸發檢查項後,將一並刪除所有的檢查項。
· 可使用偏移量、檢測深度和相對偏移量、相對檢測深度兩組參數中的任意一組精確定位檢查項檢測的起始和終止位置。
(1) 進入係統視圖。
system-view
(2) 進入自定義WAF特征視圖。
waf signature user-defined name signature-name
(3) 創建自定義WAF特征規則,並進入自定義WAF特征規則視圖。
rule rule-id pattern-type { integer | keyword }
缺省情況下,未配置自定義WAF特征規則。
(4) 配置自定義WAF特征規則的匹配條件。
¡ 配置自定義WAF特征規則匹配的源IP地址。
source-address ip ip-address
缺省情況下,自定義WAF特征規則匹配所有源IP地址。
¡ 配置自定義WAF特征規則匹配的目的IP地址。
destination-address ip ip-address
缺省情況下,自定義WAF特征規則匹配所有目的IP地址。
¡ 配置自定義WAF特征規則匹配的源端口。
source-port start-port [ to end-port ]
缺省情況下,自定義WAF特征規則匹配所有源端口。
¡ 配置自定義WAF特征規則匹配的目的端口。
destination-port start-port [ to end-port ]
缺省情況下,自定義WAF特征規則匹配所有目的端口。
¡ 配置自定義WAF特征規則匹配的HTTP報文請求方法。
http-method method-name
缺省情況下,自定義WAF特征規則匹配所有HTTP報文請求方法。
(5) 配置關鍵字類型自定義WAF特征規則的觸發檢查項和檢查項。
a. 配置觸發檢查項。
trigger field field-name include { hex hex-string | text text-string } [ offset offset-value ] [ depth depth-value ]
b. 配置檢查項。
detection-keyword detection-id field field-name match-type { exclude | include } { hex hex-string | regex regex-pattern | text text-string } [ offset offset-value [ depth depth-value ] | relative-offset relative-offset-value [ relative-depth relative-depth-value ] ]
(6) 配置數值類型自定義WAF特征規則的檢查項。
detection-integer field field-name match-type { eq | gt | gt-eq | lt | lt-eq | nequ } number
· 請勿刪除設備存儲介質根目錄下的/dpi/文件夾,否則設備升級或回滾特征庫會失敗。
· 當係統內存使用狀態處於告警門限狀態時,請勿進行特征庫升級或回滾,否則易造成設備特征庫升級或回滾失敗,進而影響WAF業務的正常運行。有關內存告警門限狀態的詳細介紹請參見“基礎配置指導”中的“設備管理”。
· 自動在線升級(包括定期自動在線升級和立即自動在線升級)WAF特征庫時,需要確保設備能通過靜態或動態域名解析方式獲得官方網站的IP地址,並與之路由可達,否則設備升級WAF特征庫會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
· 同一時刻隻能對一個特征庫進行升級,如果當前已有其他特征庫正在升級,請稍後再試。
如果設備可以訪問官方網站上的特征庫服務專區,可以采用定期自動在線升級方式來對設備上的WAF特征庫進行升級。
(1) 進入係統視圖。
system-view
(2) 開啟定期自動在線升級WAF特征庫功能,並進入自動在線升級配置視圖。
waf signature auto-update
缺省情況下,定期自動在線升級WAF特征庫功能處於關閉狀態。
(3) 配置定期自動在線升級WAF特征庫的時間。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情況下,設備在每天01:00:00至03:00:00之間自動升級WAF特征庫。
(4) (可選)開啟WAF特征文件自動覆蓋功能。
override-current
缺省情況下,設備定期自動在線升級WAF特征庫時會將當前的特征庫文件備份為上一版本。
當管理員發現官方網站上的特征庫服務專區中的WAF特征庫有更新時,可以選擇立即自動在線升級方式來及時升級WAF特征庫版本。
(1) 進入係統視圖。
system-view
(2) 立即自動在線升級WAF特征庫。
waf signature auto-update-now
如果設備不能訪問官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級WAF特征庫版本。
· 本地升級:使用本地保存的特征庫文件升級係統上的WAF特征庫版本。
· FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統上的WAF特征庫版本。
使用本地升級方式離線升級特征庫版本時,特征庫文件隻能存儲在當前主用設備上,否則設備升級特征庫會失敗。
如果管理員希望手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IP地址是一個特定的地址時,可配置source參數。例如,當組網環境中設備發出的報文需要經過NAT地址轉換後才能訪問TFTP、FTP服務器時,則需要管理員通過source參數指定一個符合NAT地址轉換規則的源IP地址(其中,如果設備需要經過一台獨立的NAT設備進行地址轉換時,本命令指定的IP地址必須可以與NAT設備三層路由可達),使設備發出的報文可以進行NAT地址轉換等處理,正常訪問TFTP、FTP服務器。
當同時配置了source和vpn-instance參數時,需要保證source中指定的源IP地址或接口所屬VPN實例與vpn-instance中配置的VPN實例相同。
(1) 進入係統視圖。
system-view
(2) 手動離線升級WAF特征庫。
waf signature update [ override-current ] file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]
WAF特征庫版本每次回滾前,設備都會備份當前版本。多次回滾上一版本的操作將會在當前版本和上一版本之間反複切換。例如當前WAF特征庫版本是V2,上一版本是V1,第一次執行回滾到上一版本的操作後,特征庫替換成V1版本,再執行回滾上一版本的操作則特征庫重新變為V2版本。
(1) 進入係統視圖。
system-view
(2) 回滾WAF特征庫。
waf signature rollback { factory | last }
當管理員通過查看WAF日誌發現存在誤報的情況時,可配置WAF白名單功能,將日誌中獲取到的特征ID、URL和源IP地址加入白名單,設備將放行匹配白名單的報文,降低誤報率。
當白名單表項中同時存在特征ID、URL和源IP地址中的兩者或以上時,需要同時匹配才認為匹配成功。
(1) 進入係統視圖。
system-view
(2) 開啟WAF白名單功能。
waf whitelist enable
缺省情況下,WAF白名單功能處於開啟狀態。
(3) 創建並進入WAF白名單表項視圖。
waf whitelist entry-id
(4) 配置WAF白名單表項描述信息。
description text
缺省情況下,未配置WAF白名單表項描述信息。
(5) 向WAF白名單表項中添加匹配信息。請至少選擇其中一項進行配置。
¡ 向WAF白名單表項中添加特征ID。
signature-id [ serial-number ] sig-id
缺省情況下,WAF白名單表項中不存在特征ID。
¡ 向WAF白名單表項中添加源IP。
source-address { ip ipv4-address | ipv6 ipv6-address }
缺省情況下,WAF白名單表項中不存在源IP地址。
¡ 向WAF白名單表項中添加URL。
url match-type { accurate | substring } url-text
缺省情況下,WAF白名單表項中不存在URL。
(6) (可選)禁用WAF白名單表項。
undo entry enable
缺省情況下,WAF白名單表項處於啟用狀態。當某個WAF白名單表項暫時不需要時,可配置本命令禁用該白名單表項。
(7) 退回到係統視圖。
quit
(8) (可選)激活WAF白名單配置。
waf whitelist activate
缺省情況下,當創建、修改和刪除含有URL的WAF白名單後,係統將在10秒後自動激活白名單配置使其生效,如果希望對白名單立即進行激活,可執行本命令手工激活。對於不包含URL的WAF白名單,不需要激活,立即生效。
服務器向客戶端返回的一些應答報文中,可能攜帶了服務器信息,例如服務器的版本號、使用的操作係統等。攻擊者可通過獲取上述信息對服務器進行針對性的攻擊。管理員可通過配置服務器信息隱藏功能,將服務器返回的應答報文中的服務器信息進行隱藏,避免上述問題。
FTP協議報文服務器信息隱藏功能僅對返回碼為220的FTP協議應答報文生效。
(1) 進入係統視圖。
system-view
(2) 進入WAF策略視圖。
waf policy policy-name
(3) 配置服務器信息隱藏功能。請至少選擇其中一項進行配置。
¡ 配置FTP協議報文服務器信息隱藏功能。
hide-server-info ftp
缺省情況下,未配置FTP協議報文服務器信息隱藏功能。
¡ 配置HTTP錯誤響應狀態碼頁麵服務器信息隱藏功能。
hide-server-info http error-code { client-error | server-error } *
缺省情況下,未配置HTTP錯誤響應狀態碼頁麵服務器信息隱藏功能。
¡ 配置HTTP響應報文首部字段服務器信息隱藏功能。
hide-server-info http header header-name &<1-4>
缺省情況下,未配置HTTP響應報文首部字段服務器信息隱藏功能。
完成上述配置後,在任意視圖下執行display命令可以顯示配置後WAF的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 WAF顯示和維護
|
操作 |
命令 |
|
顯示WAF策略信息 |
display waf policy policy-name |
|
顯示WAF特征庫版本信息 |
display waf signature library |
|
顯示WAF特征屬性列表 |
display waf signature [ pre-defined | user-defined ] [ direction { any | to-client | to-server } ] [ category category-name | fidelity { high | low | medium } | severity { critical | high | low | medium } ] * |
|
顯示WAF預定義特征的詳細信息 |
display waf signature pre-defined signature-id |
|
顯示WAF自定義特征的詳細信息 |
display waf signature user-defined signature-id |
如圖1-3所示,Device分別通過Trust安全域和Untrust安全域與內部網絡和Internet相連。現要求使用設備上的缺省WAF策略對內部網絡進行Web攻擊防禦。
圖1-3 在安全策略中引用缺省WAF策略配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置DPI應用profile並激活WAF策略配置
# 創建名為sec的DPI應用profile,在sec中引用名稱為default的缺省WAF策略,並指定該WAF策略的模式為protect。
[Device] app-profile sec
[Device-app-profile-sec] waf apply policy default mode protect
[Device-app-profile-sec] quit
# 激活WAF策略配置。
[Device] inspect activate
(5) 配置安全策略
# 配置名稱為trust-untrust的安全策略規則,使內網用戶可以訪問外網,並對交互報文進行WAF攻擊防禦。具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] profile sec
[Device-security-policy-ip-10-trust-untrust] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效後,使用缺省WAF策略可以對已知攻擊類型的Web攻擊進行防禦。比如GNU_Bash_Remote_Code_Execution_Vulnerability(CVE-2014-6271)類型的攻擊報文經過Device設備時,Device會匹配該報文,並對報文按照匹配成功的WAF特征的動作(reset和logging)進行處理。
如圖1-4所示,Device分別通過Trust安全域和Untrust安全域與內部網絡和Internet相連。現有組網需求如下:
· 使用設備上的WAF策略對內部網絡進行Web攻擊防禦。
· 將編號為2的預定義WAF特征的動作改為丟棄並生成日誌。
圖1-4 在安全策略中引用自定義WAF策略配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置WAF策略
# 創建一個名稱為waf1的WAF策略,配置篩選WAF特征的方向屬性為客戶端,並配置編號為2的預定義WAF特征的狀態為開啟,動作為丟棄並生成日誌信息。
[Device] waf policy waf1
[Device-waf-policy-waf1] object-dir client
[Device-waf-policy-waf1] signature override pre-defined 2 enable drop logging
[Device-waf-policy-waf1] quit
(5) 配置DPI應用profile並激活WAF策略配置
# 創建名為sec的DPI應用profile,在DPI應用profile sec中引用WAF策略waf1,並指定該WAF策略的模式為protect。
[Device] app-profile sec
[Device-app-profile-sec] waf apply policy waf1 mode protect
[Device-app-profile-sec] quit
# 激活WAF策略配置。
[Device] inspect activate
(6) 配置安全策略
# 配置名稱為trust-untrust的安全策略規則,使內網用戶可以訪問外網,並對交互報文進行WAF攻擊防禦。具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] profile sec
[Device-security-policy-ip-10-trust-untrust] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效後,將有如下驗證結果:
· 使用自定義WAF策略可以對已知類型的Web攻擊進行防禦。
· 當有報文匹配到編號為2的預定義WAF特征時,設備將丟棄該報文並生成日誌信息。
如圖1-5所示,位於Trust安全域的內部網絡可通過Device訪問Untrust安全域的Internet資源,以及DMZ安全域的FTP服務器。FTP服務器根目錄下保存了最新的WAF特征庫文件waf-1.0.8-encrypt.dat,FTP服務器的登錄用戶名和密碼分別為waf和123。現需要手動離線升級WAF特征庫,加載最新的WAF特征。
圖1-5 手動離線升級WAF特征庫配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
(4) 配置安全策略
¡ 配置安全策略規則放行Trust到Untrust安全域的流量,使內網用戶可以訪問外網資源
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] quit
¡ 配置安全策略規則放行Trust到DMZ安全域的流量,使內網用戶可以訪問DMZ安全域中的服務器
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-dmz
[Device-security-policy-ip-11-trust-dmz] source-zone trust
[Device-security-policy-ip-11-trust-dmz] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-11-trust-dmz] destination-zone dmz
[Device-security-policy-ip-11-trust-dmz] action pass
[Device-security-policy-ip-11-trust-dmz] quit
¡ 配置安全策略規則放行設備與FTP服務器之間的流量,使設備可以訪問FTP服務器,獲取特征庫文件
[Device] security-policy ip
[Device-security-policy-ip] rule name downloadlocalout
[Device-security-policy-ip-12-downloadlocalout] source-zone local
[Device-security-policy-ip-12-downloadlocalout] destination-zone dmz
[Device-security-policy-ip-12-downloadlocalout] destination-ip-subnet 192.168.2.0 24
[Device-security-policy-ip-12-downloadlocalout] application ftp
[Device-security-policy-ip-12-downloadlocalout] application ftp-data
[Device-security-policy-ip-12-downloadlocalout] action pass
[Device-security-policy-ip-12-downloadlocalout] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(5) 手動升級WAF特征庫
# 采用FTP方式手動離線升級設備上的WAF特征庫,且被加載的WAF特征庫文件名為waf-1.0.8-encrypt.dat。
[Device] waf signature update ftp://waf:123@192.168.2.4/waf-1.0.8-encrypt.dat
WAF特征庫升級後,可以通過display waf signature library命令查看當前特征庫的版本信息。
如圖1-6所示,位於Trust安全域的內部網絡可以通過Device訪問Untrust安全域的Internet資源。現要求每周六上午九點前後半小時內,開始定期自動在線升級設備的WAF特征庫。
圖1-6 定時自動升級WAF特征庫配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置DNS服務器地址
# 指定DNS服務器的IP地址為10.72.66.36,確保Device可以獲取到官網的IP地址,具體配置步驟如下。
[Device] dns server 10.72.66.36
(5) 配置安全策略
¡ 配置安全策略規則放行Trust到Untrust安全域的流量,使內網用戶可以訪問外網資源
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] quit
¡ 配置安全策略規則放行Local到Untrust安全域的流量,使設備可以訪問官網的特征庫服務專區,獲取特征庫文件
[Device] security-policy ip
[Device-security-policy-ip] rule name downloadlocalout
[Device-security-policy-ip-11-downloadlocalout] source-zone local
[Device-security-policy-ip-11-downloadlocalout] destination-zone untrust
[Device-security-policy-ip-11-downloadlocalout] action pass
[Device-security-policy-ip-11-downloadlocalout] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(6) 配置定期自動在線升級WAF特征庫
# 設置定時自動升級WAF特征庫計劃為:每周六上午9:00:00前後30分鍾內,開始自動升級。
[Device] waf signature auto-update
[Device-waf-sig-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60
[Device-waf-sig-autoupdate] quit
設置的定期自動在線升級WAF特征庫時間到達後,可以通過display waf signature library命令查看當前特征庫的版本信息。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
