ToPWAF培训-天融信ToPWAF培训-天融信

TOPSECToPWAF功能和配置操作培训

一、概述二、部署模式三、安全策略四、日志说明内容概述什么是WAF？

WebApplicationFirewall，简称：WAF，翻译成中文为Web应用防火墙或Web应用防护系统。

它是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品

主要常见的防护攻击包括：XSS防护、SQL注入、CSRF防护、防盗链及robots（爬虫）防护等等。天融信TOPWAF设备是在流模式下进行的HTTP流量防护设备，流模式具有高性能、低延迟的优点。天融信的WAF设备根据功能分，主要分为WEB防护、漏洞扫描、网页防防篡改、告警守护四个模块。

WEB防护模块：它是WAF防护的核心，实现WAF本身的核心防护功能，通过分析WEB流量，匹配规则库特征，从而阻断恶意攻击、防止服务器敏感数据泄露。告警守护：周期性发送告警邮件通知最近一段时间内服务器发生的攻击事件。让管理员了解服务器的状态。

概述

漏洞扫描：WAF自带漏洞扫描工具，可以扫描WEB服务器上的漏洞，生成漏洞扫描报告，并能指导WEB安全检测组件，生成对应的配置，优化WEB防护功能。网页防篡改：保护WEB服务器上的资源文件被恶意篡改周期性检查服务器资源文件指纹，并恢复已经被篡改的文件。

概述概述WEB防护为Waf防护的核心其他功能为WAF的附属功能

一、概述二、部署模式三、安全策略四、日志说明内容

TOPWAF设备目前有三种使用模式，每种使用模式对应于不同的使用环境。各种模式均需在服务器策略中配置，服务器策略为所有策略配置的核心。安全策略、DDOS防护及后面的邮件告警等都需要挂载到服务器策略中，才能够生效。三种模式分别：WEB保护模式（bridge模式）服务器负载均衡模式（NAT模式）离线检测模式（嗅探模式）

部署模式与对应配置操作WEB保护模式

交换或虚拟线模式接入：该模式一般用于在对现有网络不允许做任何改动，且WAF设备能够快速插入到环境中使用的情况下。WAF设备一般以透明的方式串接在防火墙设备之后，WEB服务器之前，无需更改网络拓扑，也无需再在WAF上配置内网IP，当WAF发生故障时可以硬件bypass而不影响业务。

路由模式接入：按实际网络环境进行接口路由配置，WAF可以进行路由转发，保证客户端到服务器请求及服务器对客户端响应报文均通过WAF设备。部署模式-WEB保护模式组网搭建说明：

1、WAF可以透明接入到网络中，也可以进行路由转发

2、WAF上的接口可以配置为交换模式or虚拟线模式、路由模式

3、WAF上还需要连接管理口进行webui控制台登录

部署模式-WEB保护模式配置操作打开Web防护-服务器策略，创建服务器策略

部署模式-WEB保护模式需要配置参数：1）服务器名称、2）开启流量日志开关、3）部署模式为Web保护、4）填写正确服务器地址和端口、支持保护单个服务器或服务器组5）配置安全策略、6）其他参数使用默认

注意:

运行模式建议根据实际客户需求进行配置，若初次使用waf可先配置检测不阻断先进行攻击检测查看，再进行阻断配置。WEB保护模式-

配置完成界面：部署模式-WEB保护模式运行模式介绍：服务器策略中运行模式分为：检测并阻断、检测不阻断与关闭检测。

检测并阻断是正常开启WAF防护，出现攻击时会自动进行连接阻断；

检测不阻断一般用户前期部署，对于出现的攻击或异常连接并不进行阻断，仅告警；

关闭检测是关闭该策略的检测功能，如果配置的服务器负载均衡功能，负载功能仍能够生效（这一点与禁用该策略存在区别，如果禁用了该策略，则负载功能也无法生效）部署模式-服务器策略运行模式运行模式检测并阻断，匹配上攻击后以规则库中对应攻击动作为主运行模式检测不阻断，所有匹配上攻击动作均为警告

部署模式-服务器策略运行模式

一、概述二、部署模式三、安全策略四、日志说明内容TopWAF默认安全策略主要是按照开启的web防护功能多少进行分类，分别为：

安全优先、标准策略、应用优先

安全策略-默认安全策略说明使用场景：对于无需进行CSRF防护、爬虫防护、敏感信息防护等需要手动配置的防护功能环境，可以直接在服务器策略中绑定默认安全策略直接进行安全防护。此界面不能操作注意事项：默认安全策略不可进行修改、删除且不开启需要手动配置的功能默认安全策略-安全优先默认安全策略之安全优先安全优先：

优先保护服务器安全，实现全方位的web防护开启功能：

1、HTTP协议合规、

2、参数限制、

3、文件上传限制、

4、防护策略各功能、

5、规则库中所有规则全部开启、

6、高级设置多重编码功能注意事项：默认安全策略不可进行修改、删除且不开启需要手动配置的功能默认安全策略-标准策略默认安全策略之标准策略标准策略：

安全策略的标准配置，包含防护的所有基本功能开启功能：

1、HTTP协议合规、

2、参数限制、

3、文件上传限制、

4、防护策略各功能、

5、规则库中部分规则不开启

注意事项：默认安全策略不可进行修改、删除且不开启需要手动配置的功能默认安全策略-应用优先默认安全策略之应用优先应用优先：

低误报率、极小的异常报告，高精准的web防护呈现开启功能：

1、参数限制、

2、文件上传限制、

3、防护策略中信息泄露防护、目录遍历防护关闭

4、规则库部分规则不开启

除默认安全策略外，可以跟据需求进行自定义web应用安全策略，自定义安全策略无不可操作限制。添加有两种方式：

1、在安全策略界面进行新建或在服务器策略中点击安全策略新建

2、克隆已有的安全策略，对已有安全策略再进行修改，克隆策略名称可以自定义

安全策略-自定义安全策略安全策略-自定义安全策略-访问控制

访问控制：对保护的服务器中的URI地址进行访问控制的策略，可以针对该类URI进行对应防护检测执行动作，动作包含继续、阻断、跳转等。继续表示检测到该类uri请求直接放过不进行攻击检测、阻断表示直接阻断对该类uri的请求、跳转表示是遇到该类uri请求重定向到其他uri。安全策略-自定义安全策略-HTTP协议合规

HTTP协议合规：根据HTTP报文的结构中的不同参数，对客户端发起的HTTP请求报文进行限制。配置时可以跟据服务器实际限制情况进行设置，无限制使用默认配置即可。安全策略-自定义安全策略-参数限制

参数限制：根据不同的参数对客户端发起的请求进行过滤。配置时可以跟据服务器实际限制情况进行设置，无限制使用默认配置即可。安全策略-自定义安全策略-文件上传限制

文件上传限制：用于检查用户上传的文件，防止恶意用户利用上传的文件攻击Web服务器文件。TopWAF支持检查客户端上传服务器的文件个数、大小、类型等参数，防止恶意文件上传至服务器，对服务器造成恶意攻击。安全策略-自定义安全策略-URI例外

URI例外：针对单独URI设置其防御策略，不与全局防御策略混淆，topwaf对该类uri的请求和响应优先匹配该例外防护设置。URIURIURIWEB

ServerAPServerDBServerURI定制的URI策略安全策略-自定义安全策略-URI例外安全策略-自定义安全策略-防护策略

防护策略：规则库中对应规则总开关，开启对应开关才能触发规则库中具体攻击对应的防御规则。安全策略-规则库升级

规则库升级：规则库有对应的服务器，若本地存在规则库也可以执行导入功能，进行本地升级。安全策略-自定义安全策略-自学习

自学习主要分两大功能：1、学习客户端发送的请求和服务器返回的网页内容中URL支持的参数的长度、类型等内容2、将学习完成的参数特征生成对应的参数规则进行防护自学习功能可以通过参数类型和长度进行客户端对服务器端输入值限制，从最基础点出发对服务器进行动态保护。安全策略-自定义安全策略-自学习结果

自学习结果：首先将服务器策略中对应自学习功能开关开启，此功能默认配置为关闭。

自学习结果生成防护规则需要学习状态、结果均为学习完成。学习的结果只针对该url请求方法、该url下参数的类型和长度进行匹配防护，其他参数不防护学习结果中最大长度需要手动进行配置才能生效internetWEB

ServerAPServerDBServer用户请求…参数类型参数长度…生成规则提取大量用户参数，经过时间与阀值的学习参数异常安全策略-自定义安全策略-自学习流程安全策略-自定义安全策略-高级设置

高级设置：Web服务器处理攻击者或合法用户提交的错误信息消耗资源，以及防止Web服务器为用户响应敏感数据而带来用户信息的安全隐患。1、自定义类型：参数类型自定义功能全局配置2、多重编码：开启多重编码绕过检测

3、保护等级：对应规则库中规则精准度级别（高：全部生效；中：精准度中、高的生效；低：精准度高的生效）4、敏感数据：WAF对服务器返回的报文进行检测，匹配敏感数据类型正则表达式，若数据类型和正则表达式全部匹配上则根据敏感数据策略将敏感数据按照规则替换为其他特定字符，达到敏感数据防护的作用安全策略-自定义安全策略

参数自定义类型：自定义参数类型对于自学习参数的类型会进行优先匹配

一、概述二、部署模式三、安全策略四、日志说明内容流量日志：对应服务器策略中流量日志开关，可以通过该日志查看对应服务器流量是否正常通过topwaf。

各日志说明攻击日志：topwaf检测到的攻击，生成对应攻击日志说明，威胁统计信息以此为依据进行统计，告警日志中提示攻击信息也以此为准。

各日志说明防篡改日志：记录防篡改功能相关信息，包含签名规则库操作信息、出现篡改情况信息以及篡改出现后topwaf的相应操作：自动恢复或报警。

各日志说明DDOS日志：记录DDOS攻击情况及针对该攻击的相关处理动作。

各日志说明系统日志记录系统操作、管理员登录日志记录管理员登录情况，不多做介绍调试日志：记录topwaf后台运行信息，该日志不建议开启提供给查看，若出现某功能异常可以开启调试信息设置级别为调试查看后台报错即可。

各日志说明日志搜索可以自定义查询条件，随意进行单个或范围内目标查找