ASM(V11.6)自动模式实战宝典.docxVIP

BIG-IP ASM(V11.6) 配置 编写 陈嘉俊 审核 硬件平台 F5-BIG-VE-LAB 软件版本 V11.6.0 文档版本 V1.0 完成日期 2015.4.13 目录 TOC \o 1-3 \h \z \u 1 ASM自动模式配置 3 1.1 基础配置 3 1.2 配置LTM 4 1.3 配置ASM 7 2 微调ASM安全策略配置 11 2.1 文件类型过滤 11 2.2 URL过滤 12 2.3 参数过滤 13 2.4 数据过滤 16 3 常见攻击手段攻防例子 17 3.1 SQL_injection攻击 17 3.2 XSS跨站脚本攻击 20 3.3 File Type防护 23 3.4 Parameter Value防护 29 ASM自动模式配置 基础配置 ASM部署建议部署在内网，最好是在需要保护的服务器前面。尽量把不需要ASM保护的流量都不要经过ASM设备。 配置VLAN 。 VLAN名称、VLAN-ID、关联的接口。 配置IP。 名称、 IP地址、子网掩码、关联对应的VLAN 配置LTM 配置POOL 点击Local Traffic ? Pools 点击Create按钮 配置Pool名称、健康检测方式、服务器地址、服务端口 配置VS 点击Local Traffic ?Virtual Servers Create按钮 服务名称、服务器地址、服务器端口、关联HTTP Profile、关联Pool，更具体配置请查阅LTM配置。 配置ASM 点击Security?Application Security Create按钮 可以选择关联已建好的VS，也可以在这里选择新建。前面已经建好需要保护的VS，所以选择关联已有的VS。 选择需要保护的VS，以及协议HTTP或HTTPS 选择Create a security policy automatically (recommended) Application Language编码方式一定跟WEB应用匹配。具体编码方式可通过应用页面右键编码查看。Security Policy is case sensitive安全策略是否大小写敏感。Differentiate between HTTP and HTTPS URLs HTTP与HTTPS是否使用不同的安全策略。 选择对应的应用的系统、WEB Server、DB。如果有不确定的可选多项。涉及ASM的性能，所以跟客户沟通获得的信息越准确对ASM性能影响越小。Signature Staging enable.将学习模式打开。 Police Type选择Fundamental （基本策略）、Enhanced （增强型策略）或Comprehensive （广泛性策略）。Rules可以选择策略学习的速度。Trusted IP Addresses可以填写学习策略期间的受信ip。 Finish完成配置。 Apply Policy。修改完配置一定要Save 和 Apply policy。 微调ASM安全策略配置 ASM安全策略常见加强配置 文件类型过滤 点击 Security ? Application Security ? File Types ? Allowed File Types(+) 在Allowed File Type中能看到学习回来的页面文件类型，勾选允许通过的文件类型，点击enforce。把*通配文件类型删除掉。Apply Policy使配置修改生效。 Security ? Application Security ?Blocking?Setting里将相应选项Blocking勾选。 URL过滤 点击Security –Application Security -URL-Allowed URLS(+) 在Allowed URLs中能看到学习回来的URL，勾选允许访问的URL，点击enforce。把*通配URL删除掉。Apply Policy使配置修改生效。 Security ? Application Security ?Blocking?Setting里将相应选项Blocking勾选。 参数过滤 点击Security?Application Security?Parameters?Parameters List(+) 在Parameters中能看到学习回来的HTML Parameter，勾选允许访问的Parameter，点击enforce。把*通配Parameter删除掉。Apply Policy使配置修改生效。 点击特定Parameter可以修改相应的Parameter属性。 Parameter Name参数名称 Pa