1.应用背景
网络安全形式严峻
新型0day漏洞频发
等保2.0
热点需求
行业规范
安全事件
2.产品介绍
1.工作原理
a) 桥模式串行部署于Web服务器前端,对应用层攻击行为进行精确识别和实时阻断,主动而有效的保护 Web应用不被攻击及篡改 b) 单臂代理模式部署于Web服务器前端,通过负载或策略路由方式把Web流量导流到WAF,可对应用层 攻击行为进行精确识别和实时阻断,主动而有效的保护Web应用不被攻击及篡改
c) 旁路部署模式部署于Web服务器前端,通过交换机端口镜像把流量镜像给WAF,可对Web应用层流量 进行只检测不阻断
2.功能
3.管理方式
Web登录
管理口的默认配置为 192.168.1.250/24。允许对该接口的 Ping、SSH 和HTTPS 操作,系统默认的配置管理员用户为adm,密码为 venus70。
4.部署模式
串联模式:透明(桥)、代理、单臂模式部署
旁路模式
1.透明模式部署
串行部署
一般采用透明桥部署 不影响客户网络架构,客户无需修改原有设备配置 串行部署硬件BYPASS功能保障业务连续性
2.代理模式部署
串行部署
客户端访问地址为WAF代理地址;
WAF进行目的IP转换,源IP不做转换;
3.单臂代理模式部署
串行部署
物理上旁路逻辑上串行,大流量情况下,一般采用单臂部署
通过负载均衡将应用层流量引流给WAF进行检测,负载均衡可对WAF健康状态进行探测,如
有异常将流量引给其它设备,不影响客户网络结构
4.旁路模式
旁路部署
旁路部署情况下,通过端口镜像把流量镜像给WAF
旁路检测
旁路检测实现对Web应用流量全面检测
5.设备配置
1.控制台登陆
连接出厂设备Eth0管理口,WEB登录192.168.1.250,adm/venus70
2.网络配置
通过WEB管理界面配置网络: 系统管理员登录,在【网络配置】->【接口】->【接口】中点击网口名称进行配置。
3.授权导入
系统管理员登录,在【系统配置】->【授权配置】中导入授权码
4.系统升级
系统管理员登录,在【系统维护】->【升级管理】中点击“升级”上传升级包对设备进行升级。
6.上架部署
1.部署思路
网络配置:
1.网络配置->接口->接口,可配置接口IP地址/掩码。
2.网络配置->接口->透明桥,可进行网桥配置。
3.网络配置路由,可配置静态路由。配置web服务器地址及端口
1.对象管理->地址对象,可配置web应用服务器的地址。支持配置ip地址、ip子网、ip地址范围三种配置方法。
2.对象管理->服务对象,可配置web应用服务器的端口。支持配置单个端口、端口范围。配置虚拟服务
1.应用防护->虚拟服务,按照网络规划配置相应模式的虚拟服务策略开启
1.算法引擎:开启默认策略即可(web恶意扫描防护、SQL注入防护、XSS攻击防护),其他检测模块的开启需要了解用户web应用业务URL、参数、频率等业务特性后才能开启配置。
2.事件引擎:事件开启无需配置,默认即可。动作--全通过
算法引擎:
逐个修改检测模块响应动作为通过。
事件引擎:
1.进入应用防护事件集事件响应模板,
2.新建模板。响应动作选择通过,日志级别及事件启用选择保留。
3.进入应用防护站点安全事件引擎。
4.选定所有事件
5.点击应用模板进入模板选择界面。
6.选择要应用的模板以及要生效的站点安全。
7.提交过载保护:
推荐配置:
开启自动切换配置
CPU开启过载保护阈值:80%
CPU关闭过载保护阈值:40%
内存开启过载保护阈值:80%
内存关闭过载保护阈值:40%
恢复选择:自动恢复
过载保护方式:三层回退
CPU利用率计算方式:average-usage
过载保护事件:20s
采样间隔:5
2.策略优化思路
算法引擎:
SQL注入攻击:临时添加白名单->业务整改->删除白名单
xss攻击防护:策略优化思路统SQL注入攻击
web恶意防扫描:调整检测敏感度
事件引擎:
按事件安全等级高->中->低->非攻击的顺序进行逐级确认优化
1.所有事件配置响应动作未通过,避免影响业务
2.只开启高危事件
3.运行一段时间分析安全日志
4.修改事件响应动作
3.密码策略、登陆锁定
admin管理员,可对用户密码进行强度配置、和账户解锁、以及配置临时锁定
用户密码策略:密码最小/大位数、大小写字母、数字、特殊字符,密码周期、密码规则等。
注意:默认的用户管理员、系统管理员、审计管理员不可删除和修改
4.日志配置
支持syslog格式,本地日志,以及Data-Center日志,提供给用户掌握系统运行状况。
5.双机热备
三种配置:HA主-备、HA主-主、两台单机
6.HTTPS检测
https的两种模式
母、数字、特殊字符,密码周期、密码规则等。
注意:默认的用户管理员、系统管理员、审计管理员不可删除和修改
4.日志配置
支持syslog格式,本地日志,以及Data-Center日志,提供给用户掌握系统运行状况。
5.双机热备
三种配置:HA主-备、HA主-主、两台单机
6.HTTPS检测
https的两种模式
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iiLz6dIK-1649054959532)(C:\Users\huashuo\AppData\Roaming\Typora\typora-user-images\image-20220330162959762.png)]](https://img-blog.csdnimg.cn/c57f2be7b10f45dcabfbc6d0086363ef.png)
