- 1、本文档共34页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
BIG-IP ASM(V11.6)
配置
编写
陈嘉俊
审核
硬件平台
F5-BIG-VE-LAB
软件版本
V11.6.0
文档版本
V1.0
完成日期
2015.4.13
目录
TOC \o 1-3 \h \z \u 1 ASM自动模式配置 3
1.1 基础配置 3
1.2 配置LTM 4
1.3 配置ASM 7
2 微调ASM安全策略配置 11
2.1 文件类型过滤 11
2.2 URL过滤 12
2.3 参数过滤 13
2.4 数据过滤 16
3 常见攻击手段攻防例子 17
3.1 SQL_injection攻击 17
3.2 XSS跨站脚本攻击 20
3.3 File Type防护 23
3.4 Parameter Value防护 29
ASM自动模式配置
基础配置
ASM部署建议部署在内网,最好是在需要保护的服务器前面。尽量把不需要ASM保护的流量都不要经过ASM设备。
配置VLAN 。 VLAN名称、VLAN-ID、关联的接口。
配置IP。 名称、 IP地址、子网掩码、关联对应的VLAN
配置LTM
配置POOL
点击Local Traffic ? Pools 点击Create按钮
配置Pool名称、健康检测方式、服务器地址、服务端口
配置VS
点击Local Traffic ?Virtual Servers Create按钮
服务名称、服务器地址、服务器端口、关联HTTP Profile、关联Pool,更具体配置请查阅LTM配置。
配置ASM
点击Security?Application Security Create按钮
可以选择关联已建好的VS,也可以在这里选择新建。前面已经建好需要保护的VS,所以选择关联已有的VS。
选择需要保护的VS,以及协议HTTP或HTTPS
选择Create a security policy automatically (recommended)
Application Language编码方式一定跟WEB应用匹配。具体编码方式可通过应用页面右键编码查看。Security Policy is case sensitive安全策略是否大小写敏感。Differentiate between HTTP and HTTPS URLs HTTP与HTTPS是否使用不同的安全策略。
选择对应的应用的系统、WEB Server、DB。如果有不确定的可选多项。涉及ASM的性能,所以跟客户沟通获得的信息越准确对ASM性能影响越小。Signature Staging enable.将学习模式打开。
Police Type选择Fundamental (基本策略)、Enhanced (增强型策略)或Comprehensive (广泛性策略)。Rules可以选择策略学习的速度。Trusted IP Addresses可以填写学习策略期间的受信ip。
Finish完成配置。
Apply Policy。修改完配置一定要Save 和 Apply policy。
微调ASM安全策略配置
ASM安全策略常见加强配置
文件类型过滤
点击 Security ? Application Security ? File Types ? Allowed File Types(+)
在Allowed File Type中能看到学习回来的页面文件类型,勾选允许通过的文件类型,点击enforce。把*通配文件类型删除掉。Apply Policy使配置修改生效。
Security ? Application Security ?Blocking?Setting里将相应选项Blocking勾选。
URL过滤
点击Security –Application Security -URL-Allowed URLS(+)
在Allowed URLs中能看到学习回来的URL,勾选允许访问的URL,点击enforce。把*通配URL删除掉。Apply Policy使配置修改生效。
Security ? Application Security ?Blocking?Setting里将相应选项Blocking勾选。
参数过滤
点击Security?Application Security?Parameters?Parameters List(+)
在Parameters中能看到学习回来的HTML Parameter,勾选允许访问的Parameter,点击enforce。把*通配Parameter删除掉。Apply Policy使配置修改生效。
点击特定Parameter可以修改相应的Parameter属性。
Parameter Name参数名称
Pa
文档评论(0)