安恒明御WAF防火墙系统管理功能指南

1、安恒明御WAF防火墙系统管理功能指南技术创新 变革未来2系统管理系统维护系统设置用户管理授权许可数据维护系统升级31、系统维护清空业务数据清空业务数据，主要是清空访问审计日志、应用防护日志及趋势图数据、防篡改数据、系统日志、网络防护日志、CC防护日志、站点侦测数据等业务数据。41、系统维护清空业务数据注意：默认是清空所有的数据，可以勾选需要清空的日志进行删除5系统维护清空操作日志清空操作日志，清空设备所有用户的操作日志。6系统维护运行模式切换WAF在透明代理模式下有三种运行模式：正常模式、网桥直通、物理直通7系统维护运行模式说明网桥直通模式：设备处于包转发模式，WAF的安全检测失效，设备可以统

2、计到流量、接口收发等信息，可在设备上抓取数据包信息；物理直通模式：设备网口处于短路状态，WAF的安全检测失效，设备无法统计到流量、接口收发等信息，无法在设备上抓取数据包信息；正常模式：设备处于安全检测状态，配置保护对象后，WAF会对去往保护对象的流量进行过滤，该工作模式为正常工作模式；注：物理直通模式只用于透明代理部署时存在，反向代理、旁路监听、网关等模式均不支持。8系统维护网络工具抓包功能目前WAF可以支持多个接口多个抓包动作同时进行，对抓包的时间无限制，需要注意的是抓包条件要进行控制，以免数据包过大影响分析9系统维护抓包配置Step 1:选择“系统”“系统维护”网络工具中的“抓包”10系统

3、维护抓包配置Step 2:点击“新建抓包”按钮，设置抓包的运行时间，选择需要抓包的网络接口，另外可以根据需要设置抓包的个数以及抓包的大小，如果需要同时抓两个接口的流量，则需要再点击“新建抓包”按钮，最后点击“开始抓包”按钮进行抓包注意：如果需要指定IP地址进行抓包，一定要将指定的IP地址填入到“任意方向IP”中，这样才能抓到双向的流量包11系统维护接口配置WAF串接在网络中时，需要与两端设备进行端口自协商，一般都是自动协商，但在某些特殊环境中，比如设备兼容性或者对端设备强制速率时，WAF也需要对端口进行强制更改Step 1:选择“系统”“系统维护”网络工具中的“接口配置”12系统维护接口配置S

4、tep 2:设置协商模式和MTU，并点击“设定”按钮完成设置13系统维护设备重启、关机、恢复出厂设置WAF前台管理界面可以实现设备的重启、关机，另外还可以将设备恢复出厂默认配置142、系统设置配置管理口IP地址Step 1:选择“系统”“系统设置”，将浏览器下拉至“系统运行参数”模块中，然后修改管理口IP地址15系统设置系统时间配置选择“系统”“系统设置”，下拉至系统时间栏，默认系统时间取设备的BIOS时间。选择“设置系统时间”栏，弹出时间插件，可设置系统时间。或通过选择“操作”中的“与本地同步按钮”，与当前登录WAF管理平台的客户机时间进行同步。16系统设置NTP时间同步配置Step 1:选

5、择“系统”“系统设置”将浏览器下拉至“系统时间”模块，开启NTP时间同步功能，填写NTP服务器IP地址，然后点击保存Step 2:点击“立即与NTP同步”按钮则可与NTP时间服务器立即进行同步。17系统设置远程管理接口远程管理接口主要是为了实现中心机与节点机进行数据传输秘钥的确认183、用户管理WAF可以创建管理员和审计员，管理员可以做任何操作但是没有权限删除其他用户，审计员只能查看系统状况、WEB流量、历史数据、告警日志、系统日志等日志信息，没有操作权限。Step 1:选择“系统”“用户管理”，创建新用户19用户管理Step 2:输入用户名、密码和邮件地址等信息，点击保存用户出创建成功。20

6、4、授权许可明御WAF通过授权许可限制对于软件模块的使用和许可时间，提供管理界面展示证书许可信息、授权许可的功能模块等内容和导入授权许可证书操作。214、更新授权许可先将提供的授权许可证书上传，点击“替换为此授权证书”按钮，系统后台将完成更新操作。225、数据维护数据维护提供应用防护日志自动备份配置功能，以及对应用防护日志以数据库形式的备份、导入与导出功能。另外还可以对告警日志留库的时间和占用的磁盘空间进行限制23告警日志备份配置Step 1:选择“系统”“数据维护”点击创建新备份24告警日志备份配置Step 2:选择起始和结束时间，并点击创建备份Step 3:查看备份的告警日志25数据防护配

7、置留库数据默认WAF最多保留720天的告警日志，如果超过720天将会自动清空早期的告警日志；另外告警日志占用数据分区的磁盘空间如果超过80%，将自动清除早期的告警日志。26常见的问题FAQ271、忘记前台密码怎么办？通过SSH工具或者Console连接到WAF上，输入用户名admin，密码admin，选择2.系统配置4.密码管理2.重置前台密码，输入前台默认密码adminadmin后重置即可。282、设备上架保护站点添加之后没有告警日志293、攻击日志显示的攻击IP都是同一个IP，是什么问题，如何处理？WAF查看的攻击日志源IP都是同一个，一般有以下两个原因：如果部署在防火墙后端，有些防火墙会

8、把源IP转成防火墙IP，这种情况WAF无法识别源IP，可以建议客户将防火墙的地址转换去掉；如果是部署在负载均衡设备后端，负载均衡会把源IP转成负载均衡自身IP，这种情况需要打开WAF的X-Forwarded-For源IP识别功能，如果仍无法识别，建议客户在F5上转发时加上X-Forwarded-For字段。304、前台应用更改出错问题描述：WAF前台管理界面配置完成之后进行应用更改会出现应用更改出错的现象解决方案：登录WAF后台，service waf restart将输出结果发给项目经理315、告警日志自定义查询或者报表导出无结果问题描述：1.告警日志自定义查询非常慢甚至无法查询结果2.自定

9、义报告导不出任何结果解决方案：1.WAF在日志量较多的情况下，告警日志自定义查询和自定义报表导出建议将查询时间缩短2.告警日志比较多一般是因为规则误报比较多导致的，检查误报比较多的规则，建议将这些规则关闭326、攻击日志发送到syslog服务器有乱码怎么办？将syslog通知的编码类型由默认的UTF8改成GBK试试337、WAF可以防护DDOS攻击吗？WAF可以支持应用层DDOS，CC攻击、CC慢攻击WAF不支持网络层DDOS， syn flood、udp flood等WAF不支持蠕虫病毒防护、 ARP攻击等348、WAF上架之后网站无法访问或者某个业务访问不正常问题描述：1.保护站点添加之后

10、，网站所有页面无法访问2.保护站点添加之后，网站某个业务无法访问问题分析思路：WAF工作分为两部分：规则引擎和代理引擎，如果有问题要么是因为规则阻断引擎的，要么是代理引擎将数据包丢弃。359、WAF代理工作原理IN口： IN口为client与WAF TCP连接数据交换的过程Lo口：Lo口为WAF内部代理引擎 TCP连接数据交互的过程OUT口：OUT口为WAF与Server TCP连接数据交换的过程3610、WAF上架之后导致网站访问异常排错步骤3712、WAF后台抓包命令Tcpdump使用简介：可以将网络中传送的数据包的内容完全截获下来提供分析，该命令运行在linux系统中；使用：tcpdum

11、p i ethx w xx.pcap s 0 host x.x.x.x-i指定监听的网络接口-nn不进行端口名称的转换-s 0默认数据包抓取的长度为68byte，-s 0可抓取完整的数据包-c指定抓取数据包的个数-C指定抓取数据包的文件大小，配合-w命令使用，单位为Mb-w 保存为cap文件，使用wireshark等网络分析软件进行分析-nn 不对IP地址到主机名和端口号到名称进行转换Host指定抓取的IP地址，可抓取该IP地址的双向数据包，指定src可抓取源IP为host的数据包，指定dst可抓取目标IP为host的数据包，格式为src host x.x.x.x。3812、WAF后台抓包命令

12、举例eth0为进口，eth1为出口，后台抓取eth0、eth1、lo口的数据包tcpdump i eth0 w eth0dl.pcap s 0 host x.x.x.xtcpdump i eth1 w eth1dl.pcap s 0 host x.x.x.xtcpdump i lo w lodl.pcap s host x.x.x.x3913、Wireshark简介一款开源网络数据包分析工具，用于网络数据包抓取和数据包分析；4013、Wireshark常用功能数据包抓取：点击工具栏的按钮，可查看抓包的网络接口信息，可通过查看网卡的packets数据来决定需要对哪块网卡进行抓包。41数据包分析：

13、双击已经抓取的数据包，如cap、pcap文件格式13、Wireshark常用功能4213、Wireshark常用功能打开Wireshark后显示如下界面4313、Wireshark常用功能显示过滤器显示过滤器（DisplayFilters）：抓包完成后在捕捉结果中进行详细查找。4413、Wireshark常用功能显示过滤器过滤语法1.协议过滤在Filter输入框中输入tcp，就只会显示TCP协议的流量在Filter输入框中输入udp，就只会显示UDP协议的流量在Filter输入框中输入icmp，就只会显示icmp（ping包）协议的流量4513、Wireshark常用功能显示过滤器过滤语法2.

14、IP过滤在Filter输入框中输入ip.addr=x.x.x.x，比如ip.addr=,显示源或目的IP为的数据包在Filter输入框中输入ip.src=x.x.x.x，比如ip.src=，显示源IP为的数据包在Filter输入框中输入ip.dst=x.x.x.x，比如ip.dst=，显示目的IP为的数据包4613、Wireshark常用功能显示过滤器过滤语法3.端口过滤在Filter输入框中输入tcp.port=xx，比如tcp.port=80，显示源端口和目的端口为80的数据包在Filter输入框中输入tcp.srcport=xx，比如tcp.srcport=80，显示源端口为80的数据包

15、在Filter输入框中输入tcp.dstport=xx，比如tcp.dstport=80，显示目的端口为80的数据包4713、Wireshark常用功能显示过滤器过滤语法4.过滤SYN包，ACK包，RST包在Filter输入框中输入tcp.flags.syn=1，显示包含tcp syn标志位的数据包在Filter输入框中输入tcp.flags.ack=1，显示包含tcp ack标志位的数据包在Filter输入框中输入tcp.flags.reset=1，显示包含tcp tcp reset标志位的数据包在Filter输入框中输入tcp.flags.ack=0，显示不包含tcp ack标志位的数据包

16、4813、Wireshark常用功能TCP连接三次握手TCP三次握手简介在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。第一次握手：建立连接时，客户端发送syn包(Seq=j)到服务器，并进入SYN_SEND状态，等待服务器确认；第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（Seq=k），即SYN+ACK包，此时服务器进入SYN_RECV状态 第三次握手：客户端收到服务器的SYNACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。 完成

17、三次握手，客户端与服务器开始传送数据.4913、Wireshark常用功能TCP连接三次握手在客户端向服务器请求数据时，需要先与服务器建立TCP三次握手，握手成功后开始请求数据5013、Wireshark常用功能TCP连接三次握手5113、Wireshark常用功能TCP四次握手关闭连接TCP四次握手关闭连接在完成数据传输后TCP会通过四次挥手断开连接，由于TCP为双工，需要客户端和服务器双向断开，也可以通过发送rst包快速完成断开。5213、Wireshark常用功能TCP四次握手关闭连接5313、Wireshark常用功能显示过滤器过滤语法5.过滤HTTP请求方式过滤在Filter输入框中

18、输入http.request.method=GET，显示所有的GET请求，注意GET必须是大写，不能小写在Filter输入框中输入http.request.method=POST，显示所有的POST请求，注意POST必须大写，不能小写5413、Wireshark常用功能显示过滤器过滤语法6.过滤HTTP请求的URL在Filter输入框中输入http.request.uri= “xxxxx“，比如在数据包中查询所有访问/login.php页面的请求， http.request.uri=/login.php5513、Wireshark常用功能显示过滤器过滤语法7.逻辑运算符取值: =（等于）, !

19、=（不等于）, （大于）, =（大于等于）,（大小）,=（小于等于）取值： and（逻辑与）, or（逻辑或）, xor（逻辑异域）, not（逻辑非）and表示和，可以用&替代，not表示非可以用!替代5613、Wireshark常用功能显示过滤器过滤语法5713、Wireshark常用功能显示过滤1器注意事项显示过滤器注意事项：区分大小写，如http.request.method = GET有效，http.request.mothod = get无效应用层内容value取值需要加上”，如http.request.uri = “/index.asp”有效， http.request.uri

20、= /index.asp无效显示过滤器的语法是正确则表达式的背景呈绿色，语法有误呈红色5813、Wireshark常用功能跟踪T完整的TCP数据流跟踪完整的TCP数据流1.根据过滤器对数据流进行过滤，比如通过ip.addr、tcp.port、 tcp.flags.ack=0&tcp.flags.syn=1等过滤方法2.选择数据包，右击Follow TCP Stream可跟踪整个TCP会话流，并可查看整个数据流的报文信息。5913、Wireshark常用功能跟踪T完整的TCP数据流一个完整的TCP数据流会显示TCP连接三次握手的过程，同时也会显示客户端发起的GET/POST请求，HTTP的请求头

21、部、服务器返回的响应头部等信息6013、Wireshark常用功能Wireshark与对应的OSI七层应用层表示层会话层传输层网络层数据链路层物理层6114、数据包分析案例1用户访问某个页面返回502问题现象：WAF上架，保护站点添加之后，访问/search.aspx?Classification=A1返回502 Proxy Error6214、数据包分析案例1用户访问某个页面返回502需要收集的信息：1.WAF保护的服务器IP地址：582.有问题页面，请求方式为POST，URL为/search.aspx?Classification=A13.网络拓扑，如下所示4.将策略禁用依然存在问题，排错

22、策略导致的问题，需要在WAF上进行抓包，需要抓取IN口、Lo口、OUT口三个口的包，抓包的过程中需要访问有问题的页面6314、数据包分析案例1用户访问某个页面返回5021.首先分析WAF IN口的数据包，通过过滤的方式，找到有问题的URL： /search.aspx?Classification=A1，通过抓包分析，发现IN口有POST请求这个页面6414、数据包分析案例1用户访问某个页面返回5022.查看IN口对POST页面请求的返回内容，发现WAF直接返回了502 Proxy Error，初步判断是WAF返回了5026514、数据包分析案例1用户访问某个页面返回5023.查看WAF Lo口

23、的数据包，通过过滤的方式找到访问的URL地址，发现Lo口中WAF也是直接返回了502 Proxy Error6614、数据包分析案例1用户访问某个页面返回5024.查看WAF OUT口的流量，OUT有看到POST请求该URL，说明WAF已经将POST请求发给了服务器，但是服务器IP直接返回了RST并没有返回响应内容推断：从目前来看应该是服务器存在问题6714、数据包分析案例1用户访问某个页面返回502经过对WAF IN口、Lo口、OUT口的抓包流量分析，目前初步判断是服务器存在问题，因此接下来需要在服务器上面进行抓包，查看服务器是否有接收到POST请求6.在服务器上面进行抓包，抓包的同时需要访

24、问有问题的页面，经过抓包发现，服务器并没有接收到POST请求7.查看网络拓扑发现在服务器的前端有个网御星云的网络防火墙，经过刚才WAF OUT口和服务器抓包分析，目前判断是网御星云的网络防火墙将POST请求丢弃并且返回了RST最终解决方案：将WAF调换位置，放到网御星云网络防火墙的后面，发现页面可以正常访问，再一次证明是网御星云防火墙将POST请求丢弃导致页面无法访问6814、数据包分析案例2POST提交数据失败问题现象：用户反馈WAF上架之后部分用户在提交数据时出现失败的问题。需要收集的信息：1.WAF保护的服务器IP地址：62.有问题页面，请求方式为POST，URL为xxxxx3.网络拓扑

25、，如下所示6914、数据包分析案例2POST提交数据失败1.首先我们来看一下WAF的IN口（连接客户端）的抓包情况client在16:03:55.106796发起POST请求，只发送了POST头部，需要等待服务器返回HTTP/1.1 100 Continue7014、数据包分析案例2POST提交数据失败客户端在16:03:55.107694收到服务器返回的HTTP/1.1 100 Continue7114、数据包分析案例2POST提交数据失败client在接受到HTTP/1.1 100 Continue之后，同时在16:03:55.107738接受到Server端发送的FIN包，导致TCP连接

26、断开7214、数据包分析案例2POST提交数据失败目前WAF的IN口还没有接受到Client发送的POST内容，但是Server已经主动断开连接，IN口在16:03:55.13.6714才接受到Client发送的POST内容，中间间隔30毫秒7314、数据包分析案例2POST提交数据失败查看OUT口（连接Server）的抓包情况，因为WAF到Server端采用短连接的方式，HTTP头部里面会添加Connection: close字段，Server在响应POST头部之后，看到Close字段而断开连接。7414、数据包分析案例2POST提交数据失败问题原因：虽然后端采用短连接的方式，而服务器在未接

27、受POST的内容而直接断开，本身Server的业务逻辑处理是存在问题的，但是就目前的问题来看确实是由于短连接而引起的问题。解决方法：将WAFServer采用长连接的方式。注意：默认情况下客户端到WAF是采用的长连接的，而WAF到后端服务器采用短连接的方式7514、数据包分析案例3 证书链缺失导致HTTPS网站无法访问问题现象：用户反馈WAF上架之后导致HTTPS网站出现交易失败的问题。7614、数据包分析案例3 证书链缺失导致HTTPS网站无法访问需要收集的信息：1.WAF保护的服务器IP地址：02.有问题页面，请求方式为POST，URL为xxxxx3.网络拓扑，如下所示7714、数据包分析案

28、例3 证书链缺失导致HTTPS网站无法访问首先查看WAFIN口的抓包情况，client在17:22:15.766547向服务器发出SYN包。7814、数据包分析案例3 证书链缺失导致HTTPS网站无法访问在17:22:15.768993，client发出ack包，client和WAF的TCP连接建立完成。7914、数据包分析案例3 证书链缺失导致HTTPS网站无法访问在17:22:15.769543，client端发送clienthello包启动握手请求（该消息时当客户第一次连接服务器时向服务器发送的第一条消息。该消息中包括了客户端支持的各种算法。若服务器端不能支持，则本次会话可能失败）。8014、数据包分析案例3 证书链缺失