- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-Web應用防護
本章節下載: 05-Web應用防護 (390.32 KB)
本幫助主要介紹以下內容:
· 特性簡介
· 配置指南
Web應用防護功能通過執行一係列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護。可對來自Web應用程序客戶端的各類請求進行內容檢測和驗證,確保其安全性與合法性,對非法的請求予以實時阻斷,從而對各類網站進行有效防護。
Web應用防護特征用來掃描網絡中的攻擊行為以及對攻擊行為采取防禦措施,設備通過將數據流與Web應用防護特征進行比較來檢測和防禦攻擊。
Web應用防護特征包含多種屬性,例如攻擊分類、動作、保護對象、嚴重級別和方向。這些屬性可作為過濾條件來篩選Web應用防護特征。
缺省情況下,設備基於配置文件統一動作對符合Web應用防護特征的報文進行處理。當需要對符合某個Web應用防護特征的報文采取不同的動作時,可以將此特征設置為特征例外。或者,當Web應用防護配置文件中不包含某個Web應用防護特征時,可以將此特征設置為特征例外,添加到該Web應用防護配置文件中。
特征例外中動作的優先級高於配置文件統一動作的優先級。
Web應用防護動作是指設備對匹配上Web應用防護特征的報文做出的處理。Web應用防護處理動作包括如下幾種類型:
· 黑名單:阻斷符合特征的報文。如果設備上同時開啟了IP黑名單過濾功能,則阻斷時間內(在安全動作中的阻斷功能中配置)來自此IP地址的所有報文將被直接丟棄;如果設備上未開啟黑名單過濾功能,報文的源IP地址仍會被添加到IP黑名單表項中,但後續來自該源IP地址的報文不會被直接丟棄。有關黑名單功能的詳細介紹請參見“攻擊防範聯機幫助”。
· 丟棄:丟棄符合特征的報文。
· 允許:允許符合特征的報文通過。
· 重置:通過發送TCP的reset報文或UDP的ICMP端口不可達報文斷開TCP或UDP連接。
· 重定向:把符合特征的報文重定向到指定的Web頁麵上。
· 缺省:對符合特征的報文執行特征中缺省的動作。
· 抓包:捕獲符合特征的報文。
· 日誌:對符合特征的報文生成日誌信息。
在設備配置了Web應用防護功能的情況下,當用戶的數據流量經過設備時,設備將進行Web應用防護處理。處理流程如圖-1所示:
圖-1 Web應用防護數據處理流程圖
Web應用防護處理的整體流程如下:
1. 如果報文與IP黑名單匹配成功,則直接丟棄該報文。
2. 如果報文匹配了某條安全策略,且此策略引用了Web應用防護配置文件,則設備將對報文進行深度內容檢測:首先,識別報文的協議,然後根據協議分析方案進行更精細的分析,並深入提取報文特征。
3. 設備將提取的報文特征與Web應用防護特征進行匹配,並對匹配成功的報文進行如下處理:
¡ 如果報文同時與多個Web應用防護特征匹配成功,則根據這些動作中優先級最高的動作進行處理。但是,對於黑名單、日誌和捕獲三個動作隻要匹配成功的特征中存在就會執行。動作優先級從高到低的順序為:重置 > (黑名單/丟棄) > 允許,其中黑名單與丟棄的優先級相同。
¡ 如果報文隻與一個Web應用防護特征匹配成功,則根據此特征中指定的動作進行處理。
4. 如果報文未與任何Web應用防護特征匹配成功,則設備直接允許報文通過。
Web應用防護功能的配置思路如下圖所示:
圖-2 Web應用防護功能配置指導圖
設備上存在一個名稱為default的Web應用防護配置文件,缺省Web應用防護配置文件使用當前係統中所有缺省處於使能狀態的Web應用防護特征,缺省Web應用防護配置文件不能修改。
管理員也可以根據實際需求創建自定義的Web應用防護配置文件。
1. 選擇“對象 > 應用安全 > Web應用防護 > 配置文件”。
2. 在“Web應用防護配置文件”頁麵單擊<新建>按鈕,進入“新建Web應用防護配置文件”頁麵。
3. 新建Web應用防護配置文件,具體配置內容如下:
表-1 Web應用防護配置文件配置內容
|
參數 |
說明 |
|
篩選特征 |
通過保護對象、攻擊分類、對象、缺省動作和嚴重級別可靈活選擇此Web應用防護配置文件中所需的Web應用防護特征。可通過單擊<查看特征篩選結果>按鈕來查看當前配置文件中已選擇的Web應用防護特征 若不配置任何一項篩選條件(保持缺省情況),則此配置文件中將會包含所有缺省處於使能狀態的Web應用防護特征 |
|
保護對象 |
通過選擇保護對象可快速選擇所需的Web應用防護特征 |
|
攻擊分類 |
通過選擇攻擊分類可快速選擇所需的Web應用防護特征 |
|
對象 |
Web應用防護特征庫中的特征分為服務端和客戶端兩類,可通過選擇服務端和客戶端來篩選配置文件所需的Web應用防護特征 |
|
缺省動作 |
Web應用防護特征的缺省動作分為如下四種:丟棄、允許、重置、黑名單,可通過選擇不同的缺省動作來篩選配置文件所需的Web應用防護特征 |
|
嚴重級別 |
Web應用防護特征的嚴重級別分為如下四種:嚴重、高、中、低,可通過選擇不同的嚴重級別來篩選配置文件所需的Web應用防護特征 |
|
設置配置文件統一動作 |
通過設置配置文件統一動作,對篩選出的特征執行統一的動作。如果動作為缺省,則對篩選出的特征執行各自的缺省動作 |
|
動作 |
選擇配置文件統一動作,動作類型包括:缺省、黑名單、丟棄、允許、重置和重定向。符合此配置文件的報文將被按照此配置文件中指定的動作進行處理。缺省情況下,動作為缺省 |
|
日誌 |
開啟日誌功能後,設備將對與Web應用防護特征匹配成功的報文生成日誌信息 |
|
抓包 |
開啟抓包功能後,設備會將捕獲到的報文保存在本地並輸出到指定的路徑,有關捕獲參數的詳細配置,請參見“安全動作聯機幫助” |
|
設置例外特征 |
添加特征例外包括如下兩種方式: · 在“新建Web應用防護配置文件”頁麵的特征例外輸入框中直接輸入Web應用防護特征的ID號,然後單擊右邊<添加>按鈕,即可把此特征加入特征例外中 · 在“新建Web應用防護配置文件”頁麵,先單擊<查看特征篩選結果>按鈕,進入“查看特征”頁麵,在此頁麵選中需要加入特征例外的Web應用防護特征,然後單擊此頁麵上方的<添加到例外列表>按鈕,即可把此特征加入特征例外中 |
|
修改特征例外 |
在特征例外列表中單擊目標Web應用防護特征右邊的<編輯>按鈕,進入“修改例外特征”頁麵,在此頁麵可配置此特征的動作、狀態、日誌和抓包功能。單擊<確定>,此例外特征修改成功 |
4. 單擊<確定>按鈕,新建Web應用防護配置文件成功,且會在“Web應用防護配置文件”頁麵中顯示。
5. 在安全策略的內容安全配置中引用此Web應用防護配置文件,有關安全策略的詳細配置介紹請參見“安全策略聯機幫助”。
6. 新建配置文件後,需要激活才能生效。如需立即激活,請單擊<提交>按鈕。否則,設備默認40秒後自動激活。
· Web應用防護功能需要安裝License才能使用。License過期後,Web應用防護功能可以用,但無法升級特征庫,隻能使用設備中已存在的特征庫。關於License的詳細介紹請參見“License聯機幫助”。
· Web應用防護配置文件和自定義特征變更後(包括新建、編輯和刪除),需要激活才能生效。如需立即激活,請單擊<提交>按鈕。否則,設備默認40秒後自動激活。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
