WAF 2.0 配置培训.ppt

LogReport Log *所有安全检查的log都记录在“攻击日志”中。 *“记录Web访问日志”功能的log记录在“访问日志”中。 *“启用上传病毒扫描”功能的log记录在“病毒日志”中。 LogReport Report 分类统计 Web应用防火墙 HTTP连接超时设置 test# set http connection-timeout 60-3600 The range is from 60 to 3600 seconds. test# show http connection-timeout Connection timeout: 60 remote-assistance 为什么增加远程协助功能： 当用户处box出现故障时，研发需要足够的信息，并且最好能够在出现问题时调试设备，这样便于迅速的查找问题原因，由于有些客户没有给box分配公网IP，所以导致研发人员无法登陆box，为了解决此问题，我们增加了VPN功能，box作为客户端与公司的VPN Server建立隧道，然后研发人员登录到VPN server上调试Client box。 VPN Server： Public IP：85 port：80 Box配置步骤： step1:设置本地IP为10.0.0.*。（不可以设置，因为该地址为服务器地址） test# set remote-assistance local-ip 10.0.0.* cr step2:设置服务器IP地址为85 test# set remote-assistance remote-server 85 cr step3:启动隧道 test# set remote-assistance cr Thanks Secure and Manage  Your Internet Access * WAF 2.0基本配置培训 Zhou Jiangang 2009.1.28 主要议题 配置步骤 安全访问规则 服务器安全组 黑名单/白名单 LogReport 配置步骤 Step1:指定“非信任接口”。 非信任接口就是client端连接接口。由于WAF是保护Web服务器，所以通常情况下非信任接口就是internet接口。 配置步骤 Step2:添加“安全访问规则” 配置步骤 Step3：添加服务器安全组 *服务器安全组的匹配顺序是顺序匹配。 配置步骤 Step 4：在服务器安全组中引用安全访问规则 安全访问规则 安全访问规则 基本特征库检查包括： 1.SQL注入攻击检查 2.跨站脚本攻击检查 3.命令注入攻击检查 4.挂马检查 5.溢出检查 安全访问规则 扩展SQL注入攻击检查 扩展跨站脚本攻击检查 扩展命令注入攻击检查 扩展攻击检查是对有可能产生危害的关键字做检查，设备中有系统默认的关键字，用户也可以自定义。其中，系统默认给出的关键字不可以删除，勾选即生效；用户自定义关键字可以删除。 安全访问规则 弱口令攻击检查 这里需要注意的是，高级选项中系统默认给出的关键字是口令表单名，而不是口令。 弱口令是预置在系统中的，用户不可见，也不可添加。少于4个字符全部视为弱口令,系统定义的口令共150个，如：password, 00000,8888 等都被认为是弱口令。 安全访问规则 数据库错误信息检查： 屏蔽数据库错误信息，当数据库返回码为500时，在响应体的最后1024个字节中搜索关键字，匹配上关键字后，执行用户定义的动作。 安全访问规则 Web目录内容泄露检查 有些服务器会显示目录的信息，这种情况下屏蔽目录信息。 安全访问规则 Web程序代码泄露检查 主要针对服务器出错时，有可能出现访问的页面是源代码的情况，这个时候需要屏蔽源代码． 安全访问规则 危险文件类型下载检查 危险文件类型上传检查 对上传，下载的文件的扩展名做检查，检查扩展名是否被禁止。 填写规则：直接添加扩展名即可，不需要输入通配符。 安全访问规则 IP访问限制 只有授权的ip才能访问该服务器，并且也做对应的规则过滤，其他的client ip则按照管理员指定动作处理。 这里需要注意的是，IP访问控制这里所设