安信华WEB应用防火墙S系列快速安装指南.doc

资源描述

《安信华WEB应用防火墙S系列快速安装指南.doc》由会员分享，可在线阅读，更多相关《安信华WEB应用防火墙S系列快速安装指南.doc（31页珍藏版）》请在三一文库上搜索。

1、安信华 WEB 应用防火墙 S 系列快速安装指南 -1 - 安信华安信华 WEB 应用防火墙应用防火墙 S 系列快速安装指南系列快速安装指南 2011 北京安信华科技有限公司北京安信华科技有限公司安信华 WEB 应用防火墙 S 系列快速安装指南 -1 - 目目录录 1引言引言.1 1.1产品介绍.1 1.2有关本文档.1 1.3安信华服务和技术支持.2 2产品部署产品部署.3 3硬件特性硬件特性.5 3.1外观.5 3.2指示灯.5 4设备的安装设备的安装.6 4.1安装.6 4.2启动设备.6 4.3出厂配置.7 5初始配置初始配置.9 5.1登录设备.9 5.1.1通过Console口

2、登录设备.9 5.1.2通过WEBUI界面登录设备.12 5.1.3通过SSH协议登录设备.14 5.2更改管理员密码.17 5.3配置接口参数.18 5.3.1CLI配置步骤.18 5.3.2WEBUI配置步骤20 5.4添加默认路由.21 5.5配置 DNS 服务器.22 5.6导入 LICENSE22 5.7导入特征库.22 5.8更改接口默认配置.23 5.9添加 URL 安全策略.24 5.10配置服务器安全组 .26 6软件维护软件维护.29 安信华 WEB 应用防火墙 S 系列快速安装指南 -1 - 1 引言引言 1.1 产品介绍产品介绍安信华 WEB 应用防火墙 S 系列(简

3、称 Anchiva WAF)，通过对进出 WEB 服务器的 HTTP/HTTPS 流量相关内容的实时分析检测、过滤，来精确判定并阻止各种 WEB 应用入侵行为，阻断对 WEB 服务器的恶意访问与非法操作，适应 WEB2.0 时代的主动实时监测过滤风险技术，而不是被动的遭受攻击后的恢复，将恶意代码、非授权篡改、应用攻击等众多因素结合在一起进行综合防范，从而做到对 WEB 服务器的多重保护，确保 WEB 应用安全的最大化，防止网页内容被篡改，防止网站数据库内容泄露，防止口令被突破，防止系统管理员权限被窃取，防止网站被挂马和植入病毒、恶意代码、间谍软件等，防止用户输入信息的泄露，防止账号

4、失窃，防 SQL 注入，防 XSS 攻击等。 Anchiva WAF 可向系统管理员提供详尽的日志信息，在日志信息中详细记录了设备的系统日志、管理员日志，以及对 WEB 服务器的访问日志、攻击日志、病毒扫描日志。管理员可以分类查看详细的日志记录信息。日志可保存在设备的硬盘上、输出到 FTP 服务器或发送到 Syslog 服务器。管理员还可以在系统中设置日志报警机制：通过设置系统使用率的告警阈值，如果使用率达到或超过百分比阈值，系统将发送报警电子邮件给管理员，同时产生弹出式消息，警告管理员磁盘使用率高并删除或输出部分日志以清理磁盘空间。 1.2 有关本文档有关本文档本文档可以作为安

5、信华 WEB 应用防火墙 S 系列的安全管理员进行快速安装和配置设备的指导性手册。其他可用文档：安信华 WEB 应用防火墙 S 系列命令行参考手册安信华 WEB 应用防火墙 S 系列用户手册安信华 WEB 应用防火墙 S 系列快速安装指南 -2 - 1.3 安信华服务和技术支持安信华服务和技术支持安信华公司对于自身产品提供远程产品咨询服务，广大用户和合作伙伴可以通过登录我们公司的网站 http:/，下载到我们最新产品的资料，寻找常见问题答案或在线提交您的问题。如客户有技术问题和一般客服问题需要联系“安信华客户支持”，请参阅下列联系选项：地址：地址：北京市海淀区清华科技园科

6、技大厦北京市海淀区清华科技园科技大厦 B 座座 6 层层电话：电话：+86-10-51266678 安信华 WEB 应用防火墙 S 系列快速安装指南 -3 - 2 产品部署产品部署 Anchiva WAF 能以三种模式部署：在线预防模式、离线侦察模式和反向代理模式。预防模式 Anchiva WAF 在网络中在线部署，串联部署在 WEB 服务器前端，对进入 WEB 服务器的流量进行有效检测从而确保 WEB 应用的安全。侦察模式 Anchiva WAF 采用离线部署，部署于核心交换机外的 span 端口或监控端口上。交换机上 SPAN 端口必须可看到所有通往互联网的流量。反向代理模式

7、安信华 WEB 应用防火墙 S 系列快速安装指南 -4 - 在反向代理模式中，Anchiva WAF 通过配置代理端口并设定地址映射规则，即可作为 WEB 服务器的反向代理服务器接受客户端对 Web 服务器的连接请求，通过将访问 Web 服务器的流量导入到 Anchiva WAF，然后对流量进行检测，将对 Web 服务器有威胁的恶意访问过滤掉，正常的访问流量则转发给真实的 Web 服务器；对于从服务器返回的数据，也会首先转发给 Anchiva WAF，WAF 对数据进行处理之后再返回给客户端，从而实现对 Web 服务器的安全防护。Anchiva WAF 还可以均衡 WEB 服务器集

8、群内各个服务器的工作负载。注：只有在预防模式和反向代理模式中注：只有在预防模式和反向代理模式中 Anchiva WAF 才能够防止恶意软件到达终才能够防止恶意软件到达终端用户。在侦察模式中，端用户。在侦察模式中，Anchiva WAF 并不能拦截对并不能拦截对 WEB 服务器的恶意攻击。推荐服务器的恶意攻击。推荐用户在接入到网络中、提供防护之前，先采用旁路监听的侦察模式部署，学习网络环用户在接入到网络中、提供防护之前，先采用旁路监听的侦察模式部署，学习网络环境及境及 web 应用攻击特征，从而配置合理、有效的防护策略。然后再采用预防模式或反应用攻击特征，从而配置合理、有效的防护策略。然

9、后再采用预防模式或反向代理模式将设备部署在网络中。向代理模式将设备部署在网络中。安信华 WEB 应用防火墙 S 系列快速安装指南 -5 - 3 硬件特性硬件特性本章介绍设备的外观及指示灯等硬件特性。 3.1外观外观设备前面板示意图如下图所示。 Console 口：本地一台管理主机通过 CONSOLE 线缆与 WAF 设备的 CONSOLE 口连接，供管理员通过 CLI 对设备进行初步配置。 USB 口：外接 USB 设备。以太网口：Anchiva 网关型号不同，可用物理网络接口数量也各有不同。现有网关型号一般有 4 到 8 个网络接口。它们都是通用接口，可用于连接内部 LAN 网络

10、或面向防火墙或网络路由器的外部网络。 3.2指示灯指示灯 PWR 为系统电源指示灯，灯灭表示电源没有接通，灯亮表示电源已接通。 HDD 为硬盘指示灯，灯灭表示不对硬盘进行读写，灯闪烁表示正在对硬盘进行读写工作。安信华 WEB 应用防火墙 S 系列快速安装指南 -6 - 4 设备的安装设备的安装本章介绍 Anchiva WAF 设备的安装、启动及其出厂配置信息。 4.1安装安装 Anchiva WAF 设备必须在室内使用，为保证设备的正常工作和延长使用寿命，在设备的安装和使用过程中，特提出如下安全建议：请将设备放置在远离潮湿或远离热源的地方。工作温度建议：045。工作湿度建议范围：

11、1090%40 ，非冷凝。请确认设备已经正确接地。保护地线的正常连接是设备防雷、抗干扰的重要保障，所以用户在安装、使用设备时必须首先正确接好保护地线。请在安装维护过程中预防静电。建议用户使用 UPS（Uninterrupted Power Supply，不间断电源）。设备可以放在机架上或直接放置于平台上，设备四周要留出散热空间，并且不要在设备上面放置重物。 4.2启动设备启动设备设备的电源开关位于设备后面板上，启动上电之前应进行如下检查：电源线和地线连接是否正确。供电电压与设备的要求是否一致。配置电缆连接是否正确，配置用微机或终端是否已经打开，并设置完毕。启动电源开关后

12、，前面板上的“PWR”指示灯亮，表明电源工作正常。安信华 WEB 应用防火墙 S 系列快速安装指南 -7 - 4.3出厂配置出厂配置在出厂配置中，所有物理接口皆为透明模式且都属于 VLAN 1，eth0 口为管理端口，管理员必须通过 eth0 经由 VLAN1 通过 WEBUI 界面配置网关，然后再根据自身的网络状况配置接口的相关属性。下列表格显示了登录 WEBUI 和 CLI 的默认 IP 和管理账户。表表 1：默认管理员账户信息：默认管理员账户信息操作模式透明模式。 IP 地址192.168.20.200 用户名Administrator 密码Password 语言Engli

13、sh 设备名Anchiva 默认管理端口Eth0 Eth0 口开放服务默认开放 HTTPS、SSH 和 ping 服务；默认的安全策略：默认的安全策略： default-security-policy，其参数如下图所示。安信华 WEB 应用防火墙 S 系列快速安装指南 -8 - 具体参数及其说明请参阅安信华 Web 应用防火墙 S 系列用户手册。安信华 WEB 应用防火墙 S 系列快速安装指南 -9 - 5 初始配置初始配置 5.1 登录设备登录设备网络管理员可以通过多种方式管理 Anchiva WAF 设备。管理方式包括：本地管理：即通过 CONSOLE 口登录 WAF 设备进行管

14、理；远程管理：包括两种方式： A）使用浏览器和设备建立 HTTPS 连接对设备进行管理； B）通过 SSH 协议和设备建立安全连接登录 WAF 设备进行配置管理。第一次使用 WAF 设备，管理员可以通过 CONSOLE 口或 SSH 客户端连接设备，以命令行方式配置和管理设备，也可以通过浏览器以 WEBUI 方式进行配置和管理。 5.1.1 通过通过 Console 口登录设备口登录设备 Console 口即设备的控制台接口，本地一台管理主机通过 CONSOLE 线缆与 WAF 设备的 CONSOLE 口连接，可以通过 CLI 对设备进行本地配置，可以进行系统的调试、配置和管理工作。

15、管理员要想通过此串口直接连接并管理设备，需要进行如下的准备工作：准备一根 Console 线缆。带有可用串口的管理主机；在微机上运行终端仿真程序（如 Windows 9X 的 Hyperterm 超级终端等）建立连接；下面将详细介绍如何通过 CONSOLE 口连接到 WAF 设备： 1）使用 CONSOLE 口控制线连接计算机的串口（这里假设使用 COM1）和设备的 Console 口。 2）在主机上选择开始开始程序程序附件附件通讯通讯超级终端超级终端，建立管理主机和设备的网络连接。安信华 WEB 应用防火墙 S 系列快速安装指南 -10 - A）输入连接名称。 B）

16、选择 COM1 端口。 C）配置终端通信参数为：9600 波特、8 位数据位、无奇偶校验、1 位停止位、无数据流控，如下图所示。安信华 WEB 应用防火墙 S 系列快速安装指南 -11 - 点击“确定”按钮完成设置。成功连接到网络卫士防火墙后，超级终端界面会出现输入用户名和密码提示信息，如下图所示。安信华 WEB 应用防火墙 S 系列快速安装指南 -12 - 3）用户直接输入 WAF 默认的串口登录用户：administrator 和密码：password，即可登录到 WAF 设备。登录后界面如下图所示，用户就可使用命令行方式对设备进行配置管理等操作。 5.1.2 通过通过 WEB

17、UI 界面登录设备界面登录设备第一次使用 WAF 设备，管理员还可以使用安全的 HTTPS 连接，对 WAF 设备进行管理和配置。WAF 设备支持的浏览器包括： Internet Explorer 6.0 及 6.0 以上版本 Firefox 3.50 及 3.50 以上版本登录 Anchiva WAF 网关的 WEBUI 步骤描述如下： 1）通过 WEB 浏览器，输入路径和地址。 https:/ 特别说明：特别说明：安信华 WEB 应用防火墙 S 系列快速安装指南 -13 - VLAN1 的缺省出厂 IP 是 192.168.20.200/24，如果管理员没有通过 Console 口

18、修改 VLAN1 的 IP 地址，则管理主机的 IP 地址必须与缺省 IP 处于同一网段，并通过以太网连接到 Anchiva 网关的 eth0 接口。 2）登录 WEBUI，界面如下图。输入默认的管理员用户名 administrator 和密码 password。还可以在“语言”处选择 WEBUI 界面的显示语言，可选项为：English、“简体中文”或“繁体中文”。然后单击“登录”按钮即可。也可以登录后选择菜单管理管理系统设置系统设置语言语言，选择 WEBUI 显示语言，如下图所示。选择语言后点击“应用”按钮即可。安信华 WEB 应用防火墙 S 系列快速安装指南 -14

19、 - 5.1.3 通过通过 SSH 协议登录设备协议登录设备 SSH（Secure Shell，安全外壳）是一个用于在非安全网络中提供安全的远程登录以及其他安全网络服务的协议。当用户通过非安全的网络环境远程登录到设备时，每次发送数据前，SSH 都会自动对数据进行加密，当数据到达目的地时，SSH 自动对加密数据进行解密，以此提供安全的信息保障，以保护设备不受诸如明文密码截取等攻击。除此之外，SSH 还提供强大的认证功能，以保护不受诸如“中间人”等攻击方式的攻击。SSH 采用客户端服务器模式。 Anchiva WAF 设备可以作为 SSH 服务器接受 SSH 客户端的连接并提供认证。管理

20、员可以在本地主机上使用支持 SSH 的客户端软件，如用于 UNIX 系统的 OpenSSH，或用于 32 位 WINDOWS 平台的 PUTTY，来登录 WAF 设备。管理员通过认证后，管理主机与 WAF 设备之间建立 SSH 连接，可以通过 SSH 协议远程管理 WAF 设备。 WAF 设备作为设备作为 SSH 服务器的相关配置：服务器的相关配置： WAF 设备作为 SSH 服务器接收管理员的 SSH 协议连接请求，需要在设备的相应端口开放 SSH 服务。出厂配置中，设备的 eth0 口为管理端口，在 eth0 口默认开放 SSH 服务，管理员可以通过 eth0 口与设备建立

21、SSH 连接，查看 eth0 口开放的服务使用如下命令： #show interface eth0 manage 结果显示为：HTTPS、SSH、PING。表示 eth0 口开放 HTTPS 服务、SSH 服务和 ping 服务。如果管理员需要通过其他端口与设备建立 SSH 连接，则需要在相应接口开放 SSH 服务。例如要在 eth2 口开放 SSH 服务，在 CLI 下的配置命令为： #set interface eth2 manage ssh 在 WEBUI 界面操作为： 1）选择导航菜单管理管理网络配置网络配置网络接口网络接口，界面如下图所示。安信华 WEB 应用防火墙 S

22、系列快速安装指南 -15 - 2）点击 eth2 口左侧的“选择”一栏，然后点击“编辑”按钮；或者直接点击 eth2，进入设置界面，如下图所示。在“管理访问”处选择“SSH”，然后点击“应用”按钮即可。 SSH 客户端配置：客户端配置： SSH 客户端软件有很多，例如 PuTTY、OpenSSH 等。用户可根据自己的具体情况决定使用的 SSH 客户端软件。下面以 PUTTY 为例介绍 SSH 客户端的相关配置： 1）运行 Putty.exe 文件，出现如下图所示配置界面。安信华 WEB 应用防火墙 S 系列快速安装指南 -16 - 2）设置连接的协议类型，以及服务器参数。在“Host

23、Name（or IP address）”文本框中输入 SSH 服务器的 IP 地址，在 “port”处保证连接端口号为 22。在“connection type”处选择连接的协议类型为“SSH”，出现如下图所示的界面。如果需要保存此连接，请在“saved session”处输入保存名称，并点击“save”按钮，则该连接将保存在下面的文本框中，下次直接选择该连接，并点击“load”按钮即可，无需再次输入 SSH 服务器的名称和端口号等信息。 3）单击“Open”按钮，出现如所示的 SSH 客户端界面，如果连接正常则会提示用户输入用户名和密码。安信华 WEB 应用防火墙 S 系列快速安

24、装指南 -17 - 输入正确的管理员名和密码信息后，进入配置界面，如下图所示。 5.2更改管理员密码更改管理员密码出于安全考虑，首次登录后建议超级管理员修改“administrator”账户的密码。在 CLI 下的配置命令为：安信华 WEB 应用防火墙 S 系列快速安装指南 -18 - #set admin administrator password 123456 在 WEBUI 下的配置步骤为： 1）选择菜单管理管理访问管理访问管理用户账号，用户账号，修改“administrator”账户的密码，界面如下图所示。点击管理员名称“administrator”，弹出如下图所示界

25、面。输入默认密码“password”，然后在“新密码”和“确认新密码”处重复输入相同的密码，点击“应用”按钮即可。 5.3配置接口参数配置接口参数登录设备后管理员可以修改接口参数，包括修改接口的工作模式、更改物理接口或 VLAN 虚接口的 IP、启用接口的管理服务等。 5.3.1 CLI 配置步骤配置步骤下面以 eth0 为例进行介绍在 CLI 下如何设置接口参数。安信华 WEB 应用防火墙 S 系列快速安装指南 -19 - 1）查看接口的工作模式在上图中输入命令：show interface eth0，执行结果为： eth0 Link encap:Ethernet Mode:T

26、runkMode:TrunkMode:Trunk HWaddr 00:e0:81:43:6c:87 addr:0.0.0.0 Bcast:0.0.0.0 Mask:0.0.0.0 MTU:1500 RX packets:22069891 errors:9 dropped:0 overruns:0 TX packets:32376395 errors:0 dropped:0 overruns:0 collisions:0 Link: Yes Link type: autonegotiation, Duplex: full, Speed: 100Mbps RX:Off TX:Off AutoNeg

27、:On Internet Mode: No Inbound:Enable 上图红色字体中的内容表明接口工作在透明模式，且属于 Trunk VLAN。 2）设置接口工作模式。默认接口工作在透明模式。设置为路由模式：set interface eth0 mode route 设置为透明模式：set interface eth0 mode transparent 3）设置物理接口或 VLAN 虚接口的 IP 地址当接口工作在路由模式时设置物理接口 IP 地址即可。当接口工作在透明模式时则需要设置所属的 VLAN 虚接口的 IP 地址。添加接口添加接口 IP 命令为：命令为：set inter

28、face IF_NAME ip A.B.C.D/M 设置物理口的 IP 地址，例如设置 eth3 口 IP 为 11.11.11.1/24： set interface eth3 ip 11.11.11.1/24 设置 VLAN 虚接口的 IP 地址，例如设置 VLAN1 的 IP 为 11.11.11.1/24： set interface vlan1 ip 11.11.11.1/24 删除接口删除接口 IP 的命令为：的命令为：unset interface IF_NAME 删除物理口的 IP 地址，例如删除 eth3 口的 IP：unset interface eth3 删除 VLAN

29、虚接口的 IP 地址，例如删除 VLAN1 的 IP：unset interface vlan1 需要注意的是，更改需要注意的是，更改 VLAN 虚接口虚接口 IP 后，原有的后，原有的 SSH 连接会断开，需要管理员连接会断开，需要管理员重新建立重新建立 SSH 连接，才能继续进行连接，才能继续进行 CLI 配置。配置。安信华 WEB 应用防火墙 S 系列快速安装指南 -20 - 4）如果管理员需要通过其他端口与设备建立 HTTPS 连接或者 SSH 连接，则需要在相应接口启用 HTTPS 服务或者 SSH 服务。下面以 eth2 口为例进行说明。启用接口的 HTTPS 服务：set

30、 interface eth2 manage https 禁用接口的 HTTPS 服务：unset interface eth2 manage https 启用接口的 SSH 服务：set interface eth2 manage ssh 禁用接口的 SSH 服务：unset interface eth2 manage ssh 5.3.2 WEBUI 配置步骤配置步骤 WEBUI 下配置接口参数的步骤为： 1）查看接口配置选择导航菜单管理管理网络配置网络配置网络接口网络接口，界面如下图所示。可以查看接口的简单配置信息。在“模式”一栏可以查看各个接口的工作模式。 2）更改 VLAN1

31、的 IP 地址。选择 VLAN1 然后点击“编辑”按钮，或者直接单击 VLAN1 名称，修改 VLAN 虚接口的默认 IP 地址，界面如下图所示。设置完成后，点击“应用”按钮保存设置。设置后原有的连接将会断开，需要管理员使用新的 IP 地址登录 WAF 设备。安信华 WEB 应用防火墙 S 系列快速安装指南 -21 - 3）如果管理员需要通过其他端口与设备建立 HTTPS 连接，则需要在相应接口开放 HTTPS 服务。下面以 eth2 口为例进行说明。点击 eth2 口左侧的“选择”一栏，然后点击“编辑”按钮；或者直接点击 eth2，进入设置界面，如下图所示。在“管理访问”

32、处选择“HTTPS”，然后点击“应用”按钮提交并保存配置。 5.4添加默认路由添加默认路由如果管理员想通过不同的网段对设备进行管理，则需要添加默认路由。而且设备上所有特征库的更新都需要通过连接 ASDN 服务器来进行，也要求必须添加默认路由。添加默认路由的步骤为： 1）选择管理管理网络设置网络设置路由表路由表。点击“添加”按钮，界面如下图所示。勾选“添加为默认网关”，并设置 VLAN 虚接口所在网段的默认网关。 2）点击“应用”按钮保存并提交配置。安信华 WEB 应用防火墙 S 系列快速安装指南 -22 - 5.5 配置配置 DNS 服务器服务器对于 Anchiva 网关来说

33、，所有特征库的更新都是通过连接到服务器的域名来进行的，因此必须设置 DNS 服务器。选择管理管理系统设置系统设置主机主机，在下图中配置 DNS 服务器。设置完成后，点击“应用”按钮使设置生效。 5.6 导入导入 License 管理员导入许可证，相应模块的过滤功能才能生效。 1）选择管理管理维护维护许可证许可证，导入 License 文件。 2）点击“浏览”按钮，选择许可证文件。 3）点击“应用”按钮完成导入。期待结果及验证期待结果及验证: “Web 应用防火墙许可证”的状态由“无效”变为“有效”，并会显示有效日期。 5.7 导入特征库导入特征库导入 License 文件

34、后，需要管理员设置参数连接 Anchiva 公司的 ASDN 服务器导入特征库。更新特征库有 3 种方式：定期连接服务器更新手动连接服务器立即更新安信华 WEB 应用防火墙 S 系列快速安装指南 -23 - 本地导入特征库文件进行更新 1、选择菜单管理管理系统维护系统维护更新更新特征库特征库。 2 设置定期更新特征库设置定期更新特征库管理员可以设置系统按照固定的时间间隔（每隔数小时）或设置每天的某个时刻，连接“Anchiva 更新中心”获取最新的更新信息。 3 手动更新特征库手动更新特征库即便配置了自动更新功能，您仍可手动更新相应的特征库。在“手动更新”下，选择需要更新

35、的特征库，然后点击“应用”按钮系统将立即连接更新服务器完成手动更新。 4 离线更新特征库离线更新特征库管理员可以通过从本地导入更新文件对特征库进行离线升级。在“本地更新”下，选择需要更新的特征库，并单击“浏览”来选择您本地 PC 机上的特征库文件，然后点击“应用”按钮提交设定。 5.8更改接口默认配置更改接口默认配置默认配置中，所有的接口均为信任接口，即对于从所有接口发出的请求及收到的响应都不进行安全检查。选择管理管理网络配置网络配置网络接口网络接口，界面显示如下图所示：安信华 WEB 应用防火墙 S 系列快速安装指南 -24 - 因此，将 WAF 设备部署在用户网络中后，

36、首先应该修改接口的属性，将与客户端连接一端的物理接口设置为“非信任接口”，则对于客户端发出的请求和收到的响应均进行攻击、病毒等的扫描，从而起到保护 WEB 服务器的目的。 5.9 添加添加 URL 安全策略安全策略出厂配置中内置了一条 URL 安全策略“default-security-policy”，配置了对 WEB 服务器进行保护的基本的安全策略。管理员可以在服务器安全组中直接引用该默认的策略，也可以修改该策略的默认参数，或添加新的 URL 安全策略。具体设置步骤为： 1）选择 WEB 安全安全 URL 安全策略安全策略。界面中显示默认的 URL 安全策略。 2）查看默认策略的参

37、数设置。直接点击策略名“default-security-policy”，可以查看策略配置，界面如下图所示。安信华 WEB 应用防火墙 S 系列快速安装指南 -25 - 从上图可以看出，默认策略中启用了“Web 攻击特征库检查”，根据系统内置的特征库进行 SQL 注入攻击、跨站脚本攻击、命令注入攻击、服务器挂马攻击和防溢出攻击的检查。 WAF 设备还可以根据关键字列表，对有可能产生危害的关键字做扩展攻击检查，设备中有系统默认的关键字，用户也可以点击“高级选项”按钮自定义关键字。内置的关键字列表请查看安信华 WEB 应用防火墙 S 系列用户手册。 3）添加 URL 安全策略点击“添

38、加”按钮，界面如下图所示。安信华 WEB 应用防火墙 S 系列快速安装指南 -26 - 输入策略名，勾选相应选项，然后点击“应用”按钮保存设置。 3）编辑策略，设置自定义的关键字。 5.10配置服务器安全组配置服务器安全组添加服务器安全组，并在安全组中引用 URL 安全策略。添加后，从非信任接口访问这些服务器的流量都将受到 URL 安全策略的安全检查。 1）选择 WEB 安全安全服务器安全组服务器安全组。界面如下图所示。安信华 WEB 应用防火墙 S 系列快速安装指南 -27 - 2）点击“添加”按钮。 3）配置保护的服务器安信华 WEB 应用防火墙 S 系列快速安装指南 -28

39、- 在“服务器列表”配置所有受保护的服务器的 IP 地址及子网掩码，以及服务器使用的协议类型及端口号，可以添加 HTTP WEB 站点、HTTPS WEB 站点和 FTP 服务器。当用户使用一台主机充当多个域名的 WWW 服务器，而且对不同域名的服务器有不同的保护需求时，需要在“虚拟主机域名列表”处设定保护的 WEB 服务器的 IP 地址、域名、协议及端口号之间的对应关系。 4）引用 URL 安全策略默认情况下，使用系统内置的安全策略“default-security-policy”为 WEB 服务器提供保护。管理员可以选择其他自定义的安全策略。 5）点击“应用”按钮保存设置。安信华 WEB 应用防火墙 S 系列快速安装指南 -29 - 6 软件维护软件维护如果您购买了软件和特征库的在线更新 License，您可从“Anchiva 技术支持”网站下载软件更新和特征库，软件从“Anchiva 技术支持”网站下载时采用加密技术，保证了升级文件在传输过程中的安全性。 WAF 设备软件的升级、特征库的升级同杀毒软件的在线升级服务一样简单，并可随心定制升级检查频率，始终保障您的软件时时处于最新的版本。管理员还可通过手动更新方式立即更新软件或特征库，也可以从本地导入更新文件对系统软件和特征库进行离线升级。

展开阅读全文