用户手册-freewaf使用指南

前 文档范 获得帮 格式约 概 产品概 产品特 产品 Web登录界 登录方 布局介 快捷功能 快速配 第一步：选择工作模 第二步：配置工作模 第三步：配置安全策 第四步：配置服务器策 意见反 安全退 设备信 系统状 CPU状 内存状 硬盘状 系统信 信 网络带宽实时状 历史状 实时服务器性 篡改日志和报 日 日 日 管理日 篡改日 报 创建即 配置定 删除选中报 列表管 设备管 部署模 网桥模 路由模 反向模 离线模 网络配 接口配 路由配 用户管 设备........................................................................................................................备份/恢 规则库更 邮件.........................................................................................................诊断工 系统重启/关 设 系统更 Web防 /白.................................................................................................IP..................................................................................................IP白..................................................................................................URL..............................................................................................URL白..............................................................................................白...............................................................................................安全策 添加安全策 编辑和删除安全策 重写策 添加重写策 编辑和删除重写策 缓存策 添加缓存策 编辑和删除缓存策 服务器策 添加服务策 编辑和删除服务策 添加习列 配置和删除习策 网页防篡 FreeWAF网页防篡改配 防篡改配 恢复操 Web服务器端软件安 Linux操作系 附 管理口IP地址初始 系统默认账 文档范获得帮 ，从那可以到FreeWAF的资料，寻找常见问题 中提交您的问题，FreeWAF将会尽快予以回答。格式约注意事项 ——命令和关键字【XXX 【A】->【B产品概随着互联网的广泛使用，Web应用已经融入到日常生活中的各个方面，例如：网上购物、网络银行应用、交易、行政、高校门户、运营商增值服务等等。Web应用已成为了们关注，使得他们将注意力转移到了对Web应用系统的上，利用达到其所想要的目的：如篡改网页内容、窃取重要内部数据、在网页中植入代码使得者受到基于这个背景下，FreeWAF团队发起了Web应用的开源项目，其目的是通过该项目为用户提供一款Web应用产品，其命名为FreeWAF，以解决上述的困扰；同时，让大家一起关HTTP进行双向次检测：对于来自Internet的进行实时防护，避免利用应用层缓冲区溢出、应用层DOS/DDOS等；同时，对Web服务器侧响应的出错信息、内容及不图1- 产品特绍一下FreeWAF功能。FreeWAF团队认为Web应用的价值就是防护的安全、拓宽中的各类安全，如SQL注入跨站XSS跨站请求(CSRF)它提供了灵活多样的部署方式，如：反向、网桥、路由、离线方式而且还包了设备的、诊断、流量分析等，比如：HTTP吞吐量、HTTP并发连接数、HTTP新建连接数、HTTP事物处理数等指标。这样，方便了用户的管理。FreeWAF团队会逐步完善和增加功能，比如：负载均衡、安全评估、检查扫描、主-产品各项条款的约束。如果您不同意本《协议》中的条款，、、安装或以其他方式使用本相关的所有信息内容为FreeWAF团队的开源软件，使用GPLv2证进行开源，均受著作权法和或，那么，软件都必须要以GPLv2证来。在接受本《协议》限制条件约束下，FreeWAF团队授予您以下关于本“软件”的非独占性， 本《协议》规定如果您要用于商业用途，则需征得FreeWAF团队的同意和。获得商业，FreeAF权力同时，也受到相关的约束和限制，本协议范围以外的行为，将直接本协议并Web登录界登录方 FreeWAF的Web登录界 建议使用IE8.0以上版本的浏览器，屏幕分辨率最好设置为1600×900及以初次使用本系统时可用默认用户登录，用户名是admin，是admn。建议首次登录后修改，具体操方法请参见7.3用管理。登录失败的原因有可能是：①用户名输入错误②输入错误③没区分大小写登录本系统之前，请检查浏览器是否设置了弹出窗口属性，如果是，请撤销此设置布局介113425

图2- FreeWAF的Web界面布//状态区：显示当前FreeWAF的工作状态，包括次数、 //快速配

图3- 4个步骤：第一步：选择工作模式，第二步：配置工作模式，第三步：第一步：选择工作模式第二步：配置工作模式FreeWAF支持两大类工作方式，一种是工作方式；另一种是离线工作方式。工作方式包含三种工作模式，其分别为：网桥模式；路由模式；反向模式，而离线方以实时和非实时的分析流量是否存在性，适用于部署之前的准备工作，当然，方式也可以配置为仅检测功能，其具体配置参见“Web防护”中的“服务器策略”的配置。FreeWAF部署在交换Web服务器之间，使FreeWAF设备Web服务器处于同一个局域能的集线器或者交换机设备，需要确保要检测的HTTP流量（指定IP和端口）需要流经该设备。与离线模式不同，该种模式是“”模式，它可以对指定的HTTP流量进行识别和。Web服务器的同时，觉察不到该设备的存在，是相对于“非透明”模式（即反向模式）而言图3- 图3- 用户必须在这里或者使用CLI命令来配置桥不能在Linux的S下通过brctl命令来配置桥，桥名只能以“br”开头并后紧跟数字，比如：br0、br1、br20等。个路由设备，可以将其作为路由器进行部署，同时确保要检测的HTTP流量（IP和端口）经过FreeWAF设备即可。路由也需要对原有的网络拓扑结构进行修改，但路由与网桥最大的不同点在于，路由的两个网口，一个接入到交换机上或者路由器，另外一个通往后端的服理。实际使用中，需要根据实际的拓扑情况，对安装FreeWAF的设备的路由表进行设置。与网桥相同，在路由部署下，FreeWAF不仅能够对数据流进行检测，还可以对信息进行和记录。通常建议用户在有使用FreeWAF的经验的情况下使用此种部署模式。图3- 图图3- 含这些IP地址、协议和端口三元组的报文上送给本设备。如果使用过Apache、Nginx、Squid等软件的反向功能，就会对FreeWAF的反向功能FreeWAFWebHTTP连接建立通信管道，并反向与其他两种模式的最大不同在于，其他两种部署模式下，用户的还是服务器的IP地址，而反向模式下，用户将FreeWAF当作最终的服务器来。反向模式，服务器，让Web服务用户能够WAF即可。实际使用中，用户可以根据具体的网络情况自行调与其它两种模式相同，FreeWAF不仅能够对数据流进行检测，还可以对信息进行和记录。反向是一种很灵活的部署方式，下图只是一种部署方式，参考（部署方式请参考小节：图3- 图3- 含这些IP地址、协议和端口三元组的报文上送给本设备。换机上即可，这里可以使用其他任意一个接口接到交换机上。其作为一个旁观者、者的角色，仅对HTTP数据流进行检测，并且记录和信息，而不对进行，除离线模式意外的其他三种模式，都是“”模式，可以对进行。注意，该模式下防篡改和习功能仍然适应Web服务器的具体情况，为后续部署其他工作模式做好准备。图3- 图3- 端口配FreeWAFIP地址、协议和端口三元组的报文第三步：配置安全策略安全策略是用于对HTTP进行双向次检测的策略库，这些策略库将会在“第三步：配置服务器策略”时被。安全策略之所以设计成可配置多实例，是因为它需要满足不同服务器有不同 仅需要SQL注入防护、XSS防护，不需要XML 仅需要XML防护，不需要SQL注入防护、XSS防护，这图3- 图3- 在配置向导中，用户不能配置安全子策略的高级选项，比如：配置用户自定义关键字等。用户要配置这些高级选项，请在功能菜单中，选择【Web防护】->【安全策略】进行配置。第四步：配置服务器策略服务器策略是根据后端真实Web服务器的防护需求进行配置，当然，也会结合FreeWAF自身 图3- 服务器策略必须配置图3- 在“方式”中，检测模式优先级最高。在“离线方式”中，检测模式都为“检测不拦服务器配置。服务器配置有2种形式的界面：一种是配置反向的界面（在反向模0的全匹配地址，来匹配后端所有真实服务器。定制型服务器策略。一个服务器策略可以配置多个后端真实服务器（IP地址、（可选4元唯一。如果用户没有配置后端真实服务器，则客户端将无法FreeWAF去后端资源。全匹配服务器策略和定制型服务器策略之间的关系。用户会先去匹配定制型日志配置。它包括：日志和日志的打开/关闭。日志有严重等级，总共8级。此，请求参数分隔符做成用户可配置，默认值为“&Version0Version1两个版本，Version0Netscape，它也是Web应用常用的 行分割，举例：:session-id= ;session-id-time= 举例：:session-id=" ";session-id-time=" 值为Version0。在配置多服务策略的网桥、路由、离线时，最好即配置全匹配服务器策略也配置定制型服务器意见反图3- 安全退系统状CPU状--->--->【CPU--->图4- --->--->【CPU--->图4- 内存状态--->--->--->【当前状态】界面中，即可查看内图4- --->--->--->【历史状态】界面中，即可查看内图4- 硬盘状态--->--->图4- 系统信图4- 4-74-8信图4- 带宽实时状态在【网络】--->【带宽】--->【实时状态】界面中，即可查看网络实时状态，如下历史状态

图5- 在【网络】--->【带宽】--->【历史状态】界面中，即可查看网络历史状态，如下图5- 图5- 实时

在【网络】--->【】--->【实时】界面中，即可查信息，如下图5- 时服务器性能在【网络】--->【】--->【服务器性能】界面中，即可查看服务器性能信息，图5- 客户端环境&行为在【网络】--->【】--->【客户端环境&行为】--->【客户端环境】界面中，图5- 在【网络】--->【】--->【客户端环境&行为】--->【时段】界面中，即 图5- 在【网络】--->【】--->【客户端环境&行为】--->【访客地理信息】界面中，图5- 搜索在【网络】--->【】--->【客户端环境&行为】--->【搜索&】界面中，图5- 篡改】--->图5- FreeWAF可向用户提供详尽的日志信息和丰富的报表功能。日志信息中详细记录了设备的管理以生成日报表、周报表或任何时间段的统计报表信息，还可以通过指定即时生成用户所关注于日(1)日(2)日为让日志时间准确性，强烈推荐管理员正确设置系统时间。请用Linux操作系统命令进行设日日志记录了所有客户端对Web服务器的行为。用户可以在此查看所有的日志、导图6- 用户可以根据时间和日志的各个字段（IPIP等）来筛选符合条件的2012-02-22 个URL的方法；2）POST，提交表 等市表6- 日日志记录了所有客户端对Web服务器的行为。用户可以在此查看所有的日志、导图6- 用户可以根据时间和日志的各个字段（IPIP等）来筛选符合条件的2012-02-22连接、、离线检测。其中，允许、断开连接、为部署的处理方式，离高显示对Web服务器的方法，2种，1）GET，就是平常我们打开一个URL的方 域市 robotactivity 表6- 管理日志图6- 2012-02-22IP地址show表6- 篡改日志篡改日志记录了所有Web服务器上的网页被篡改和恢复的轨迹。用户可以在此查看所有的篡改图6- 防护一个服务器时都有一个名2013-06-212013-06-212013-06-211恢复3种表6- 报FreeWAF能够产生可定制的行为报表，从报表的内容范围来说，可产生所有的综合报表，也可产生用户自定义的特殊报表，但是，报表的内容形式都是一样的，其内容形式包括 图6- 创建即 图6-6创建即 配置定 图6- 删除选中报表在图6- 列表管理图6-8 部署模FreeWAF支持2种工作方式，一种是工作方式；另一种是离线工作方式。工作方式又可分为3种工作模式，其分别为：网桥模式；路由模式；反向模式，而离线-->网桥模

图7- 图7- 图7- 在做“端口配置”之前，用户必须【设备管理】--->【网络配置】--->【接口配置】界如果FreeWAF网桥与被保护服务器不在同一网段，用户必须【设备管理】--->【网络配置--->【路由配置】界面中配置相应的路由模 图7- 图7- 用户必须先在【设备管理】--->【网络配置】--->【接口配置】界面中配置接口的IP如果FreeWAF端口与被保护服务器不在同一网段，用户必须【设备管理】--->【网络配置--->【路由配置】界面中配置相应的反向模图7- 透明模式不同的是，需要填写的是FreeWAF设备上的IP地址。点击“添加”按钮，弹出添用户必须先在【设备管理】--->【网络配置】--->【接口配置】界面中配置接口的IP离线模式 图7- 端口配这里是选择哪个物理网口，因为防护引擎要从这些接口抓取（或曰）报文，至于网络配接口配置图7- IP、掩码、是否开启等；也可以添加子IP。用户必须用该命令来配置桥，不能在LinuxS下通brctl命令来配置桥，桥名只能以“br”开头并后紧跟数字，比如：br0、br1、br20等。路由配置图7- 路由配用户管图7- 备份/恢复

图8- 规则库更新图8- 邮件图8- 用户必须用确认FreeWAF与邮件服务器通信正常，否则将无法正常发送邮件。诊断工图8- 系统重启/关机图8- 设图8- 设系统更 图8-8更Web/白；c““对于通过FreeWAF设备的HTTP请求，将按照如下的顺序检查黑白：URLURL白所有的黑/白名都遵循一个统一的原则：优先原则，也就是当用户配置的地址即在中又在白中时，则对该地址进行。目前每个黑/白中允许配置的地址128。FreeWAF确认为的客户端IP和ReferrerURL，会自动的把它加入到动态中，解IP 客户端IP在客户端IP列表输入框中输入需要的IP地址,，并点击【添加】即可增加一个黑名IP将后端服务器，并得到一个503的返回码。 动态例外客户端IP在动态例外客户端IP列表输入框中添加例外IP地址，并点击【添加】即可增加一动态例外列表中的IP将不能被系统自动加入到动态客户端IP，也就是不会被系统的动态客户端IP。 锁定时间以分钟为单位，有效数值范围为1~7200分钟，默认值为60分钟当系统检测到某个客户端的频率超过系统限定的最大值时，便会将这个客户端的列表中删除。被添加到动态中的IP将不能后端服务器，并得到503状IP

动态列表中的IP是由系统自动添加的，用户只能手动删除，点击操作列的【删除】即可删除一个IP。 服务器IP在服务器IP白列表输入框中输入一个允许直接的服务器IP地址,，并点击【添加】即可增加一个服务器白IP，点击白操作列的【删除】即可删除对应的IP。当一个后端服务器策略校验，直接后端服务器。服务器 服务器白配置方法参考服务器IP白，当一个后端服务器的被加入到白中，则通过这个进行的请求都将不经过FreeWAF的安全策略校验，直接后端服务器。 客户端IP白在客户端IP白列表输入框中输入允许直接的IP地址,，并点击【添加】即可增加一个中的IP将直接服务器，不需要进过FreeWAF安全策略的校验。URLURL9-7URL类型配置，URL的类型分为普通文本和正则表达式两种类型，如果用户想要只配置一条黑当用户配置的URL为正则表达式类型时，URL必须符合正则表达式的语法，否则该条将无效型，并点击【添加】即可增加一个URL，点击操作列的【删除】即可删除对应的URL。通过这个URL进行的请求将不能后端服务器，并得到一个503的返9-8动态例外ReferrerURL可增加一个例外ReferrerURL，点击动态例外ReferrerURL操作列的【删除】即可删除对应的例外ReferrerURL。被加入到动态例外ReferrerURL列表中的ReferrerURL将不能被系统自动加入到动态ReferrerURL动态，也就是不会被系统的动态ReferrerURL。 RefererURL在统计周期内请求次数超过设定值时，便会将这个攻击的ReferrerURL地址添加到动态ReferrerURL，被添加到动态ReferrerURL黑名动将这个ReferrerURL地址从动态ReferrerURL列表中删除。动态ReeerURL列表中的URL是由系统自动添加的，用户只能手动删除，点击操作列UL。白 URL白在URL白列表输入框中添加允许直接的URL地址,，在【类型】中选择URL类型，并点击【添加】即可增加一个白URL，点击URL白操作列的【删除】即可删除对应的URL。通过这个URL进行的请求将直接后端服务器，不需要经过FreeWAF安全策略校验。白为了适应中国ICP备案机制，增加白功能。如果客户端的在白列表中，则可以后端Web服务器；如果没在白列表中，就直接后端服务器。 安全策添加安全策略 532个。 这里需要配置各个安全子策略，HTTP流量匹配上安全子策略所采取的行动，这里有三种行动无无无无无XSS防无无无Misc防无无无XML防无弱口令防护需要配置URL和名称，而URL有两种配置方例说明，下面的POST请求，URL就是/ban/login.aspx“passwPOST/bank/login.aspxHTTP/1.1Accept:*/*Accept-User-Agent:Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.2;SV1;.NETCLR1.1.4322;.NETCLR2.0.50727;.NETCLR3.0.04506.30)Host:Content-Type:application/x-www-form-urlencodedReferer:Content-Length:护无无无无总上传文件大小，总上传文件的大小，默认值为50Mib。②值加密校验；③值和客户端IP组合签名校验；④值和客户端IP组合加密校验。RefererURL速率，在计算周期内，RefererURL 编辑和删除安全策 除按钮，如果该安全策略未被任何服务器策略，即可立即删除该安全策略。如果该安全策略被服务器策略，则不能够删除该安全策略，需要将该安全策略的所有服务器策略删除后，才重写策重写策略用于反向模式的“内容路由”部署类型，所谓重写策略就是将HTTP中响应中的添加重写策略 编辑和删除重写策略 写URL进行配置。 添加重写这里的URL填写的是要配置进行映射的相对URL，比如想将对子的射至路径上，则将URL配置为/test，点击“规则管理”按钮，出

如果用户选择表达式选项，则配置要符合正则表达匹配方法有如下5种：对于HTML语言不熟悉的用户，建议采用缺省配置 缓存策添加缓存策略在【Web--->【缓存策略】界面中，可进行FreeWAF 编辑和删除缓存策略

打开磁盘缓磁盘缓存清缓存的最大允许缓存的最大文件大小范围为1MiB至20MiB，当超过这个范围时，允许缓存的总大小为1MiB至4000MiB，当超过这个范围系统会提示错缓存过期时间配置允许缓配置 服务器策略添加服务策略---> 服务器策略名可以由字母、数字和下划线组成，长度不超过32个字符。 器（指IP地址、（可选、协议和端口4元唯一。全匹配服务器策略和定制型服务器策略之间的关系。用户会如果用户没有配置后端真实服务器，则客户端将无法FeeAF去启用志启动志请求参数分格式，它包括Version0和Version1两个版本，Version0也称 ，它也是Web应用常用的，在中不使用双引号对内容进行分割，举例：: ;session-id-time= ；而Version1与Version0相反，它在中会使引号等对内容进行分割，举例：:session- 图9-24反向单服务器部图9-25反向单服务器部署配图9-26反向多服务器部图9-27反向多服务器部署配在类型为负载均衡的【多服务器配置】界面中，至少需要配置一个，多个的情况每个负载均衡策略至少需要指定两台或者两台以上的基于负载均衡的被保护服务器，对每个服务器需要配置具体的IP、端和负载因子。在实际用户通过服务器时，负载因子越大，对应的服务器被到的频率会越高。当用户需要增加一个服务器时，可以点击“绿色加号”按钮进行增加；当用户需要删除一个服务器图9-30反向多服务器部署配P（图9-31反向内容路由部对FreeWAF上HTTP服务根路径的，就是对4这个IP上HTTP服务根路径的，即–>；的，即–>；的，即–>。图9- 编辑和删除服务策图9- 习习通过检查用户与目标Web服务器间