WEB应用防火墙操作界面详解.ppt

Event Name Here DBAPPSecurity Confidential 杭州安恒信息技术有限公司 部分国内客户案例 明御WEB应用防火墙 　　明御WEB应用防火墙（简称：WAF）是安恒结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成，满足各类法律法规如PCI、等级保护、企业内部控制规范等要求，以国内首创的全透明部署模式全面支持HTTPS，在提供WEB应用实时深度防御的同时实现WEB应用加速及敏感信息泄露防护，为Web应用提供全方位的防护解决方案。 明御WEB应用防火墙（WAF） 国内唯一全透明部署模式的WEB应用防火墙 明御Web应用防火墙部署方式 部署方式－－透明直连 部署方式－－镜像监控 主要功能菜单 系统 告警 策略规则 功能 报表 系统配置 系统菜单主要实现保护站点的设置、用户管理、系统维护与升级、数据备份等工作。 系统菜单－－保护站点设置 新增站点 新增站点设置 防篡改设置 系统菜单－－用户管理 用户管理界面，主要提供客户进行WAF用户管理，其中包括创建、删除和修改用户的权限，用户主要分为普通用户和管理员。 系统菜单－－系统维护 系统菜单－－系统升级 系统菜单－－数据维护 告警菜单 告警菜单－－攻击告警 告警菜单－－自定义查询 告警菜单－－导出查询结果 告警菜单－－防篡改告警 策略规则菜单 　　 策略规则菜单－－安全策略设置 策略规则－－可定制的策略规则 策略规则－－可定制的策略规则 策略规则－－HTTP/HTTPS访问规则配置 功能菜单 功能菜单－－黑白名单 功能菜单－－告警通知 功能菜单－－WEB加速缓存 报表菜单 报表菜单－－操作 新建备份 下载备份 备份数据导入 　　初次登录管理界面或是点击告警菜单都可以进入告警页面。默认情况下告警页面会显示最近的10000条告警信息， 可以通过自定义查询对特定的告警信息进行搜索和筛选， 　　通过告警页面右上角的导出查询结果，可以将告警日志以excel表格文件格式的方式导出如下图所示。将导出的excel文件，保存到本地，可以离线的方式，对告警日志进行更细致深入的分析。 防篡改告警 　　以查看被篡改页面的所在服务器和端口，篡改发生时间，被篡改页面的URL地址，原文件内容，篡改后的文件内容。 下载原文件： 在防篡改告警显示页面的“原文件”一栏下单击“下载”链接，可下载被篡改页面的原文件。 下载被篡改后文件： 在防篡改告警显示页面的“篡改后文件”一栏下单击“下载”链接，可下载被篡改后的文件。 　　策略规则包含了WAF安全引擎相关的所有安全策略的设置功能， 策略引擎：（1）启用：（2）禁用：（3）仅检测： 请求包正文内容检测：设置WAF安全策略规则是否对Web流量的请求包进行正文内容的安全检测； 响应包正文内容检测：设置WAF安全策略规则是否对Web流量的响应包进行正文内容的安全检测； 响应包正文内容检测最大长度（字节） 此处是为了限制请求客户端向web服务器请求较大长度的数据包，某些黑客可能通过请求超过正常数据段长度的数据包，而获得一些额外的敏感信息。 请求包正文内容检测最大长度（字节） 此处是为了限制客户端向web服务器发送较大长度的数据包，而导致web服务器无法处理，甚至导致缓冲区溢出等严重后果。 　　WAF系统提供的所有策略规则都是可定制的，用户可以通过策略规则界面，浏览所有的安全策略及相关信息，并可以对每一条策略，进行定制修改。这里的修改，主要是指策略动作：阻断、检测、直接放行和丢弃。 策略规则定制修改 阻断：当web流量符合该条策略规则时，且“安全引擎”设置为“启用”状态时，web流量将被阻断，并向客户端提示访问被禁止的信息； 检测：该策略规则对检测到的非法流量，仅告警通知，而不做阻断操作； 直接放行：当web流量匹配到该条规则时，对其访问直接放行，不做阻断操作； 丢弃：与阻断动作类似，唯一不同点是，不会向客户端提示任何阻断相关信息，从TCP连接的角度来说，相当于向客户端发送了一个reset的操作，即中断了客户端的TCP连接，防止非法攻击者占用TCP连接资源。 　　WAF可以对HTTP/HTTPS访问规则的方法进行直接的限制，其方法主要包括：GET、POST、PUT、CONNECT、DELETE、TRACE与HEAD这7类。客户可以根据自身web站点提供的服务情况，对某一些方法进行直接限制，从而减少了网站面临的风险。 　　在功能页面中主要是对明御WAF一些功能进行设定。如可以对黑白名单进行修改，设定告警通知方式。 　设置在黑名单中的IP地址，其对被保护Web站点的访问，无论正常访问还是攻击请求，都将全部被阻断；设置在白名单中的IP地址，其对被保护web站点的访问，无论正常访问还是攻击请求，都