SteelApp-WAF基本操作指南

WAF操作指南基本操作首先在System-ApplicationFirewall中全局打开WAF功能在System-ApplicationFirewall下设置WAFDecider的数量，此处数字建议设置为等同于为STM分配的CPUcore（vCPU）的数量。Decideport保持不变。创建新的VirtualServers在创建的VirtualServers的BasicSetting中打开ApplicationFirewall功能选择菜单栏的ApplicationFirewall进入WAF的配置页面。WAF配置页面下可以通过点击右上角的TrafficManage返回到STM的配置页面在Administration-DeciderClusterNodes中查看到Decider节点（策略控制节点）的信息Administration-AdminServer显示出WAFAdmins·erver（管理服务器）的信息，如下图为两台STM构建的cluster，其adminserver为36WAF基本应用控制策略配置针对每个Application定义控制策略，Application的含义是指特定的域名或子频道。首先通过Wizard创建应用应用控制策略。创建应用的名称选择采用策略控制是保护模式还是侦测模式（类似于IPS和IDS的区别）为这个应用选择一个特定的customerkey。通过customerkey可以来标识某个特定的应用。这里可以选择“DefaultCustomerKey”输入Hostname，如，并通过addthishostname的按钮添加这个host，便于WAF系统侦听和处理。选择WAFlog是否采用简化的log日志，建议在PoC时去掉，便于troubleshooting选择是否打开fullrequestlogging，即针对request中的header和body都产生日志，建议测试时打开选择下载并激活baselines，即下载并激活基础特征代码库，整个应用控制创建完成进入ApplicationControl下定义的应用控制中（此处为test1）中的RulesetConfig（即规则配置），查看HandlerTemplates（攻击防护的规则模板），可以看到BaselineProtectionHandler，这就是基本的特征库，具体定义如下：可以看到当match到相应的攻击代码后，可以设定returnerrorcode，此处设置为403，禁止访问。可以在AddHandler中增加额外的处理规则修改了handlertemplate后，需要在applicationcontrol中update一下，即左边菜单栏的绿色向上箭头。可以通过选择Commit/Protection或者Commit/Detection选择这条策略是采用保护模式还是仅检测模式。WAF防护演示Js代码攻击测试，访问如下URL，/<script>alert(‘test’)</script>响应页面为设定的Responsecode403查询应用控制的日志，点击update，可以看到匹配的策略规则Handler是BaselineProtection：点击某一条log，可以查看viewhandlerconfig，这里就是可以查到到BaselineProtectionhandler的具体信息：通过setting，修改模式从Protection到Detection通过恶意URL访问页面，发现可以正常访问在log中可以同样看到有提示日志，并可通过点击suggestchanges查看建议操作如下：对于日志系统中出现的新的类型的log，可以根据suggestchanges新建对应的handler进行防护。Globalhandler一般只需要在处理SSL会话保持时才需要配置。自定义handler策略规则对于某一个application来说，我们都是在application-path下面为其定义和配置handler。如定义一个限制每秒钟request数量的handler如下：自定义handler策略例子：重定向自定义handler策略例子：匹配浏览器的useragent例如自定义一