安恒明御WAF防火墙配置管理功能指南.pptxVIP

安恒明御

WAF防火墙配置管理功能指南技术创新变革未来

2配置管理

全局配置保护站点配置访问控制网络防护日志记录配置消息通知HA监控管理接口配置应用层访问控制配置管理

31、全局配置——部署模式目前共5种部署模式：透明代理、反向代理、旁路监控、路由模式、桥模式

4全局配置——MAC地址透明默认3.9版本及3.9以上版本，WAF运行在透明代理模式下，MAC地址透明默认是开启的，也就是WAF不会更改转发给客户端/服务端的源MAC，不建议修改！

5全局配置——阻断页面明御WAF提供了三种阻断页面的配置方式：使用内置的阻断页面自定义阻断页面重定向到指定URL

6全局配置——源IP解析原理WAF部署在代理设备（如SSL网关或CDN）后端，代理设备将实际请求转发到后端服务器时源IP会转换为代理设备自身IP，代理设备在转发时一般会在HTTP头部带上源IP信息，如X-Forwarded-For头，该头部记录了真实用户IP信息，WAF源IP解析模块可解析到真实IP地址，并可对真实IP配置访问控制；该功能一般用于网银环境或经过CDN加速的环境。

7源IP解析——配置选择配置—全局配置，将源IP解析选择为启用，默认反向代理级数为1，在某些复杂环境可能会经过多层代理，每次代理后都会把转换前的IP加在X-Forwarded-For头部，X-Forwarded-For格式如下：X-Forwarded-For:client1,proxy1,proxy2，如头部为X-Forwarded-For：,，那么在反向代理级数选1的情况下，日志显示的源IP为，如果配置为2则显示。将配置保存后按右上角的应用更改生效；

8源IP解析——验证Step1:选择”配置”—“全局配置—”源IP解析”，启用X-Forwarded-For，将反向代理级数设置为1Step2:打开burpsuite代理工具，IE浏览器开启代理功能，然后访问5/instructions.php?id=1%20and%201=1，并在代理工具中添加“X-Forwarded-For：”字段

9源IP解析——验证Step3:选择“日志”——“应用防护日志”查看日志源IP为

102、保护站点配置Step1:选择”配置”—“保护站点”，点击“添加保护站点”

11保护站点配置Step2:添加“保护站点名称”，填写需要保护的IP地址和端口，选择相应的策略规则组，选择接入的链路，举例需要保护的IP地址为39，端口为80，选择的策略规则组为“预设规则”，接入的链路为“Protect1”，然后点击保存。

12保护站点配置——域名支持同一IP+PORT下可能会对应多个域名，WAF可以实现对这多个域名进行防护，同时也可以针对不同的域名采用不同的策略规则组。

13保护站点配置——智能防护原理智能防护客户端IP在一定时间内触发某级别的规则超过预设的次数，WAF将会锁定该客户端IP地址并进行告警，锁定的客户端IP将无法访问保护站点。注意：智能防护只能锁定网络层IP，无法识别应用层IP地址（X-Forword-For）

14保护站点配置——访问控制对保护的目标站点进行访问控制功能，默认只勾选了原始地址，如果部署在HTTP代理的环境中（如F5、SSL网关中)建议勾选X-Forwarded-For选项，如果不勾选X-Forwarded-For选项，那么WAF对真实的客户端IP地址做访问控制（黑名单）就不会生效。注意：访问控制可以对应用层IP（X-Forwarded-For）做黑名单限制，但是不能做白名单放行

15保护站点配置——访问审计原理WAF可记录所有访问日志，通过提取数据包的应用层内容，并解析为WEB日志，可记录访问时间、访问URL、访问者IP、访问者区域等信息；根据日志信息生成统计报表，如月访问统计、访问者URL和IP等统计。

16保护站点配置——访问审计配置Step1:选择”配置”—“保护站点”，编辑要开启访问审计功能的保护站点，将浏览器下拉至访问审计功能模块，将状态选择为“启用”，并且选择是否忽略querystring（如/index.asp?id=1，如果选择忽略querystring，则报表统计时只统计index.asp,不会统计后面的参数id=1），填写默认页面，如index.asp、index.html，可根据选择所要审计的文件类型，将配置保存后按右上角的应用更改生效。

17保护站点配置——访问审计验证Step2:客户端使用浏览器访问WEB站点后，通过日志—访问审计—查看完整访问列表查看访问日志，查看统计报表可通过日志—访问审计—控制台，选择开启访问审计的保护站点，点击显示。注：开启访问审计会占用大量磁盘使用空间，请按照实际情况选择是否开启。

18保护站点配置——HTTPS加解密原