freewaf使用指南产品特性

前 文档范 期望读 获得帮 格式约 概 产品概 产品特 产品 Web登录界 登录方 布局介 欢迎信 配置向 第一步：配置工作模 第二步：配置安全策 第三步：配置服务器策 设备信 系统状 CPU状 内存状 硬盘状 系统信 信 网络带宽实时状 历史状 实 服务器性 篡改日志和报 日 日 日 管理日 篡改日 报 创建即 配置定 删除选中报 设备管 部署模 网桥模 路由模 反向模 离线模 网络配 接口配 路由配 用户管 设备........................................................................................................................备份/恢 规则库更 邮件.........................................................................................................诊断工 系统重启/关 Web防 /白.................................................................................................IP..................................................................................................IP白..................................................................................................URL..............................................................................................URL白..............................................................................................安全策 添加安全策 编辑和删除安全策 重写策 添加重写策 编辑和删除重写策 缓存策 添加缓存策 编辑和删除缓存策 服务器策 添加服务策 编辑和删除服务策 网页防篡 WAF网页防篡改配 防篡改配 恢复操 其 意见反 Web服务器端软件安 Linux操作系 Windows操作系 附 管理口IP地址初始 系统账 前 WAF使用指前文档范 Web应用 期望读获得帮 ，从那可以到WAF的资料，寻找常见问题 WAF将会尽快予以回答。格式约注意事项 ——命令和关键字 【A】->【B概产品概随着互联网的广泛使用，Web应用已经融入到日常生活中的各个方面，例如：网上购物、网络银行应用、、行政、高校门户、运营商增值服务等等。Web应用已成为要的目的：如篡改网页内容、窃取重要内部数据、在网页中植入代码使得者受到基于这个背景下，WAF团队发起了Web应用的开源项目，其目的是通过该项目为用户提供一款Web应用产品，其命名为WAF，以解决上述的困扰；同时，让大家一起关Web应用安全，并邀请世界人们参与到该项目中来共同开发完善它。WAF工作在应用层，对HTTP进行双向次检测：对于来自Internet的进行实时防护，避免利用应用层缓冲区溢出、应用层DOS/DDOS等；同时，对Web服务器侧响应的出错信息、内容及不图1- 产品网络拓产品特 WAF功能。 WAF团队认为Web应用的价值就是防护的安全、拓宽它是基于对HTTP流量执行一系列安全策略检查来保护Web应用的安全，可应对Web应用中的各类安全，如SQL注入跨站（XSS、跨站请求(CSRF)而且还包了设备的、诊断、流量分析等，比如：HTTP吞吐量、HTTP并发连接数、HTTP新建连接数、HTTP事物处理数等指标。这样，方便了用户的管理。WAF团队会逐步完善和增加功能，比如：负载均衡、安全评估、检查扫描、主-产品本《WAF软件最终用户协议》（以下简称《协议》）是您（自然人、法人或其他组织）与WAF团队之间（以下简称“WAF软件”）有关、、安装、使用WAF软各项条款的约束。如果您不同意本《协议》中的条款，、、安装或以其他方式使用本 相关的所有信息内容为WAF团队的开源软件，使用GPLv2证进行开源，均受著作权法和 或，那么，软件都必须要以GPLv2证来。 ， WAF软件概不承担任何责任，即使 WAF软件已知可能会造 权力同时，也受到相关的约束和限制，本协议范围以外的行为，将直接本协议并构成。一旦您本协议的条款，WAF软件随时可能终止本“协议”、收回，并要求您Web登录界登录方 WAF的Web界面的操作方法确认客户端主机可以和WAF正常通讯（如果通过，请将18080端口打开 WAF的Web登录界 WAF欢迎信改，具体操作方法请参见7.3用户管理。

图2- WAF的Web界面布 11253467图3- WAF的Web欢迎信息界配置向导提供给用户快速的配置WAF，它跟从“系统菜单”中选择对应的子菜单配置的区别在于：它把配置WAF的整个过程简化的串联在一起，即提供了一条龙服务。但官网给出了WAF的与意见反配置向在【欢迎信息】界面中，点击【配置向导】，配置向导界面，如下图所示：图3- 配置向导界3个步骤：第一步：配置工作模式，第二步：配置安全策略，第三步：配置服务器策略，就可以完成WAF的配置，下面将详细介绍这3个步骤的具体配置。第一步：配置工作模式WAF支持2种工作方式，一种是工作方式；另一种是离线工作方式。工作方式又可分为3种工作模式，其分别为：网桥模式；路由模式；反向模式，而离线可以实时和非实时的分析流量是否存在性，适用于部署之前的准备工作，当然，方式也可以配置为仅检测功能，其具体配置参见“Web防护”中的“服务器策略”的配置。网桥模式需要对原有的网络拓扑结构进行修改，需要将WAF其中的一个网口接入图3- 网桥模式拓 图图3- 网模开头并其后紧跟数字，比如：br0、br1、br20等，当接口（如eth0）被加入到桥时，接口的IP地址自然被删除，桥中至少应该有2个接口；“br”开头并后紧跟数字，比如：br0、br1、br20等。端口配置其实质就是配置HTTP协议和端口，使得通过WAF的桥的这些路由也需要对原有的网络拓扑结构进行修改，但路由与网桥最大的不同点在于，路由的两个网口，一个接入到交换机上，另外一个通往后端的服务器，这两IPIP地址这里与网桥相同，在路由部署下，WAF不仅能够对数据流进行检测，还可以对信息进行和记录。通常建议用户在有使用WAF的经验的情况下使用此种部署模式。图3- 路由模式拓 图3- 路由模 端口配置其实质就是配置的IP地址、HTTP协议和端口，使得通过 含这些IP地址、协议和端口三元组的报文上送给本设备。反向与其他两种模式的最大不同在于，其他两种部署模式下，用户的还是服务器的IP地址，而反向模式下，用户将WAF当作最终的服务器来。通常需要将WAF实际的效果，另外还需要一个管理口，这里假设管理口IP地址为/24，以用于与其它两种模式相同，WAF不仅能够对数据流进行检测，还可以对信息进行和记录。通常建议用户在有使用WAF的经验的情况下使用此种部署模式。反向模式图3- 反向模式拓图3- 反向模 端口配置其实质就是配置的IP地址、HTTP协议和端口，使得通过 含这些IP地址、协议和端口三元组的报文上送给本设备。图3- 离线模式拓 图3- 离线模端口配协议和端口的报文，使得通过WAF的接口的这些IP地址、协议和端口三元组的报文第二步：配置安全策略安全策略是用于对HTTP进行双向次检测的策略库，这些策略库将会在“第三步：配置服务器策略”时被。安全策略之所以设计成可配置多实例，是因为它需要满足不同服务器有不同 仅需要SQL注入防护、XSS防护，不需要XML 仅需要XML防护，不需要SQL注入防护、XSS防护，这图3- 安全策略列图3- 安全策略中的子策要配置这些高级选项，请在功能菜单中，选择【Web防护】->【安全策略】进行配置。第三步：配置服务器策略服务器策略是根据后端真实Web服务器的防护需求进行配置，当然，也会结合WAF自身 理模式部署WAF，则应在“第一步：配置工作模式”中选择“反向模式”，在本步骤中配置 ；另一个用于反向。图3- 服务器策略列图3- 配置服务器策服务器配置。服务器配置有2种形式的界面：一种是配置反向的界面（在反向模0的全匹配地址，来匹配后端所有真实服务器。（可选4元唯一。如果用户没有配置后端真实服务器，则客户端将无法WAF去后端资源。全匹配服务器策略和定制型服务器策略之间的关系。用户会先去匹配定制型– 此，请求参数分隔符做成用户可配置，默认值为“&”。格式版本，它包括Version0和Version1两个版本，Version0也称Netscape，它也是Web应用常用的，在中不使用双引号对内容进行分割，举例：:session-id= ;session-id-time= 举例：:session-id=" ";session-id-time=" 值为Version0。系统状CPU状--->--->【CPU--->4-1CPU--->--->【CPU--->4-2CPU内存状态--->--->--->【当前状态】界面中，即可查看内图4- 内存当前状--->--->--->【历史状态】界面中，即可查看内图4- 内存历史状硬盘状态--->--->图4- 硬盘状系统信--->图4- 版本信信图图4- 产 网络带宽实时状态在【网络】--->【带宽】--->【实时状态】界面中，即可查看网络实时状态，如下图5- 带宽实时状历史状态在【网络】--->【带宽】--->【历史状态】界面中，即可查看网络历史状态，如下图5- 带宽历史状图5- 实时信实时

在【网络】--->【】--->【实时】界面中，即可查信息，如下图5- 实时服务器性能在【网络】--->【】--->【服务器性能】界面中，即可查看服务器性能信息，图5- 服务器性客户端环境&行为在【网络】--->【】--->【客户端环境&行为】--->【客户端环境】界面中，图5- 客户端环在【网络】--->【】--->【客户端环境&行为】--->【时段】界面中，即 图5- 时在【网络】--->【】--->【客户端环境&行为】--->【访客地理信息】界面中，图5- 访客地理信搜索在【网络】--->【】--->【客户端环境&行为】--->【搜索&】界面中，图5- 搜索&篡改图5- 篡改日志和报表WAF可向用户提供详尽的日志信息和丰富的报表功能。日志信息中详细记录了设备的管理以生成日报表、周报表或任何时间段的统计报表信息，还可以通过指定即时生成用户所关注于日(1)日(2)日为让日志时间准确性，强烈推荐管理员正确设置系统时间。请用Linux操作系统命令日志图6- 日用户可以根据时间和日志的各个字段（IPIP等）来筛选符合条件的 等Internet市URL表6- 日志字日图6- 日用户可以根据时间和日志的各个字段（IPIP等）来筛选符合条件的址连接、、离线检测。其中，允许、断开连接、为部署的处理方式，离高显示对Web服务器的方法，2种，1）GET，就是平常我们打开一个URL的方SpiderScanner 域显示发生的区域，即发市 robotactivityURL表6- 日志字管理日志图6- 管理日试图WAF进行管理的试图WAF进行管理的试图WAF进行管理的 表6- 日志字篡改日志图6- 篡改日防护一个服务器时都有一个名被防护的Web1恢复3种表6- 日志字报WAF能够产生可定制的行为报表，从报表的内容范围来说，可产生所有的综合报表，也可产生用户自定义的特殊报表，但是，报表的内容形式都是一样的，其内容形式包括： 图6- 报创建即 图6-6创建即 配置定图6- 配置即)(2)统计，其统计内容如下 (3)统计，其统计内容如下 删除选中报表6-5部署模WAF支持2种工作方式，一种是工作方式；另一种是离线工作方式。工作方式又可分为3种工作模式，其分别为：网桥模式；路由模式；反向模式，而离线3.1节部分，实际使用中，用户可以它可以实时和非实时的分析流量是否存在性，适用于部署之前的准备工作，当然，方式也可以配置为仅检测功能，其具体配置参见“Web防护”中的“服务器策略”的配置。网桥模

图7- 服务器策略配 图7- 网桥模使得通过WAF的桥的这些IP地址、协议和端口三元组报文上送给本设备。 路由模 图7- 路由模使得通过WAF的包含这些IP地址、协议和端口三元组的报文上送给本设备。 WAF端口与被保护服务器不在同一网段，用户必须【设备管理】--->【网络配置】 反向模 图7- 反向模在该界面中，仅要做“端口配置”，端口配置其实质就是配置的IP地址、HTTP离线模式 图7- 离线模端口配协议和端口的报文，使得通过WAFIP地址、协议和端口三元组的报文网络配接口配置图7- 网络配用户必须用该命令来配置桥，不能在Linux的S “br”开头并后紧跟数字，比如：br0、br1、br20等。路由配置用户管 图7- 用户管设备备份/恢复

图8- 备规则库更新图8- 规则库更邮件图图8- 邮 诊断工 图8- 诊断工系统重启/关机 图8- 系统重启/关Web/白WAF支持黑白功能，包括：ａ）“客户端IP”，其中的客户端将被 WAF设备阻断，所有的Web服务器；b）“动态客户端IP”，被 WAF确认为的客 ；c“户端IP白”，它是无条件信任的者；d“URL”，其中的URL将被 WAF设备阻断，所有的Web服务器e动态ReferrerURL”，被 WAF确认为的Referrer 器IP白 WAF设备的HTTP请求，将按照如下的顺序检查黑白：URL动态ReferrerURLURL的最大个数为128。 IP9-1IP在客户端IP列表输入框中输入需要的IP地址,，并点击【添加】即可增加一个黑名IP将后端服务器，并得到一个503的返回码。9-2在动态例外客户端IP列表输入框中添加例外IP地址，并点击【添加】即可增加一动态例外列表中的IP将不能被系统自动加入到动态客户端IP，也就是不会被系统的动态客户端IP。9-3IP当系统检测到某个客户端的频率超过系统限定的最大值时，便会将这个客户端的列表中删除。被添加到动态中的IP将不能后端服务器，并得到503状IP

除】即可删除一个IP。9-4IP在服务器IP白列表输入框中输入一个允许直接的服务器IP地址,，并点击【添加】即可增加一个服务器白IP，点击白操作列的【删除】即可删除对应的IP。当一个后端服务器的IP地址被加入到白中，则对这个服务器IP地址进行的请求都将不经过WAF的安全服务器图9-5服务器则通过这个进行的请求都将不经过WAF的安全策略校验，直接后端服务器。9-6IP在客户端IP白列表输入框中输入允许直接的IP地址,，并点击【添加】即可增加一个中的IP将直接服务器，不需要进过WAF安全策略的校验。URLURL9-7URL一个URL型，并点击【添加】即可增加一个URL，点击操作列的【删除】即可删除对应的URL。通过这个URL进行的请求将不能后端服务器，并得到一个503的返9-8动态例外ReferrerURL在动态例外ReferrerURL列表输入框中添加例外ReferrerURL地址，并点击【添加】即可增加一个例外ReferrerURL，点击动态例外ReferrerURL操作列的【删除】即可删除对应的例外ReferrerURL。被加入到动态例外ReferrerURL列表中的ReferrerURL将不能被系统自动加入到动态ReferrerURL动态，也就是不会被系统的动态ReferrerURL。9-9ReferrerURLRefererURL在统计周期内请求次数超过设定值时，便会将这个攻击的ReferrerURL地址添加到动态ReferrerURL，被添加到动态ReferrerURL黑名动将这个ReferrerURL地址从动态ReferrerURL列表中删除。动态ReferrerURL列表中的URL是由系统自动添加的，用户只能手动删除，点击操作列的【删除】即可删除一URL。白9-10URL白在URL白列表输入框中添加允许直接的URL地址,，在【类型】中选择URL类型，并点击【添加】即可增加一个白URL，点击URL白操作列的【删除】即可删除对应的URL。通过这个URL进行的请求将直接后端服务器，不需要经过WAF安全策添加安全策略9-11329-12这里需要配置各个安全子策略，HTTP流量匹配上安全子策略所采取的行动，这里有三种行动无无无无无无无无

20个。同时也可以删除关键字。20个。同时也可以删除关键字。弱口令防护需要配置URL和 名称，而URL有两种配置方名称就是“passwPOST/bank/login.aspxHTTP/1.1Accept:*/*Accept-User-Agent:Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.2;SV1;.NETCLR1.1.4322;.NETCLR2.0.50727;.NETCLR3.0.04506.30)Host:Content-Type:application/x-www-form-urlencodedContent-Length:20个。同时也可以删除关键字。 替换词，匹配上的设置的文件类型，在文本类型文本框中输入文件类型，这些类型不会被。同时也可以删除上述配置的文件总上传文件大小，总上传文件的大小，默认值为50Mib。 名校验；④值和客户端IP组合加密校验。 HttpOnly；③SecureandHttpOnly CCRefererURL速率，在计算周期内，RefererURL的9-1编辑和删除安全策略9-13除按钮，如果该安全策略未被任何服务器策略，即可立即删除该安全策略。如果该安全策略被服务器策略，则不能够删除该安全策略，需要将该安全策略的所有服务器策略删除后，才重写策添加重写策略9-14编辑和删除重写策略9-15

9-16匹配方法有如下5种：9-2缓存策添加缓存策略 9-17编辑和删除缓存策略9-18

9-19打开磁盘缓磁盘缓存清缓存的最大允许缓存的最大文件大小范围1MiB20MiB，当超过这个范围时，缓存过期时间配置允许缓存的配置存的9-3服务器策略添加服务策略--->9-20服务器策略名可以由字母、数字和下划线组成，长度不超过32个字符。9-21器（指IP地址、（可选、协议和端口4元唯一全匹配服务器策略和定制型服务器策略之间的关系。用户会HTTPS去启用日志启动日志请求参数分格式，它包括Version0和Version1两个版本，Version0也称 ，它也是Web应用常用的，在中不使用双引号对内容进行分割，举例：: ;session-id-time= ；而Version1与Version0相反，它在中会使用双引号等对内容进行分割，举例：:session- 9-4图9- 反向模式下服务器策略详细配表表9-5反 2)在反向模式下，目前，不支持绝对路径与后端真实服务器的多对多映射，举例：RFC2616http_URL的具体格式：http_URL="http:""//"host[":"port][abs_path["?"。 的IP地址，协议类和 编辑和删除服务策略图9- 编辑和删除服务器策网页防篡改WAF网页防篡改配置WAF中的防护引擎组件不可能做到100%的安全防护。那么一旦技术水平高的绕过了WAF的防护，对的网页实施了篡改，这时就需要对尽快进行恢复。如果没有被尽快恢复，那么被篡改的网页可能长时间的，造成不良影响。WAF网页防篡改功能将会对网防篡改配置--->Web服务10-1被保护服务器在WAF中的唯一识别名称。名称可以使用字母、数重复的名称讲不被。名称的字符限制是16个。提交生启用文件篡改