《安信华WEB应用防火墙S系列快速安装指南.doc》由会员分享,可在线阅读,更多相关《安信华WEB应用防火墙S系列快速安装指南.doc(31页珍藏版)》请在三一办公上搜索。
1、安信华WEB应用防火墙S系列快速安装指南 2011 北京安信华科技有限公司目 录1引言11.1产品介绍11.2有关本文档11.3安信华服务和技术支持22产品部署33硬件特性53.1外观53.2指示灯54设备的安装64.1安装64.2启动设备64.3出厂配置75初始配置95.1登录设备95.1.1通过Console口登录设备95.1.2通过WEBUI界面登录设备125.1.3通过SSH协议登录设备145.2更改管理员密码175.3配置接口参数185.3.1CLI配置步骤185.3.2WEBUI配置步骤205.4添加默认路由215.5配置DNS服务器225.6导入License225.7导入特征库
2、225.8更改接口默认配置235.9添加URL安全策略245.10配置服务器安全组266软件维护291 引言1.1 产品介绍安信华WEB应用防火墙S系列(简称Anchiva WAF),通过对进出WEB服务器的HTTP/HTTPS流量相关内容的实时分析检测、过滤,来精确判定并阻止各种WEB应用入侵行为,阻断对WEB服务器的恶意访问与非法操作,适应WEB2.0时代的主动实时监测过滤风险技术,而不是被动的遭受攻击后的恢复,将恶意代码、非授权篡改、应用攻击等众多因素结合在一起进行综合防范,从而做到对WEB服务器的多重保护,确保WEB应用安全的最大化,防止网页内容被篡改,防止网站数据库内容泄露,防止口令
3、被突破,防止系统管理员权限被窃取,防止网站被挂马和植入病毒、恶意代码、间谍软件等,防止用户输入信息的泄露,防止账号失窃,防SQL注入,防XSS攻击等。Anchiva WAF可向系统管理员提供详尽的日志信息,在日志信息中详细记录了设备的系统日志、管理员日志,以及对WEB服务器的访问日志、攻击日志、病毒扫描日志。管理员可以分类查看详细的日志记录信息。日志可保存在设备的硬盘上、输出到FTP服务器或发送到Syslog服务器。管理员还可以在系统中设置日志报警机制:通过设置系统使用率的告警阈值,如果使用率达到或超过百分比阈值,系统将发送报警电子邮件给管理员,同时产生弹出式消息,警告管理员磁盘使用率高并删除
4、或输出部分日志以清理磁盘空间。1.2 有关本文档本文档可以作为安信华WEB应用防火墙S系列的安全管理员进行快速安装和配置设备的指导性手册。其他可用文档:安信华WEB应用防火墙S系列命令行参考手册安信华WEB应用防火墙S系列用户手册1.3 安信华服务和技术支持安信华公司对于自身产品提供远程产品咨询服务,广大用户和合作伙伴可以通过登录我们公司的网站,下载到我们最新产品的资料,寻找常见问题答案或在线提交您的问题。如客户有技术问题和一般客服问题需要联系“安信华客户支持”,请参阅下列联系选项:地址:北京市海淀区清华科技园科技大厦B座6层电话:+86-10-512666782 产品部署Anchiva WA
5、F能以三种模式部署:在线预防模式、离线侦察模式和反向代理模式。 预防模式Anchiva WAF在网络中在线部署,串联部署在WEB服务器前端,对进入WEB服务器的流量进行有效检测从而确保WEB应用的安全。 侦察模式Anchiva WAF采用离线部署,部署于核心交换机外的span端口或监控端口上。交换机上SPAN端口必须可看到所有通往互联网的流量。 反向代理模式在反向代理模式中,Anchiva WAF通过配置代理端口并设定地址映射规则,即可作为WEB服务器的反向代理服务器接受客户端对Web服务器的连接请求,通过将访问Web服务器的流量导入到Anchiva WAF,然后对流量进行检测,将对Web服务
6、器有威胁的恶意访问过滤掉,正常的访问流量则转发给真实的Web服务器;对于从服务器返回的数据,也会首先转发给Anchiva WAF,WAF对数据进行处理之后再返回给客户端,从而实现对Web服务器的安全防护。Anchiva WAF还可以均衡WEB服务器集群内各个服务器的工作负载。注:只有在预防模式和反向代理模式中Anchiva WAF才能够防止恶意软件到达终端用户。在侦察模式中,Anchiva WAF并不能拦截对WEB服务器的恶意攻击。推荐用户在接入到网络中、提供防护之前,先采用旁路监听的侦察模式部署,学习网络环境及web应用攻击特征,从而配置合理、有效的防护策略。然后再采用预防模式或反向代理模式
7、将设备部署在网络中。3 硬件特性本章介绍设备的外观及指示灯等硬件特性。3.1 外观设备前面板示意图如下图所示。Console口:本地一台管理主机通过CONSOLE 线缆与WAF设备的CONSOLE 口连接,供管理员通过CLI对设备进行初步配置。USB口:外接USB设备。以太网口:Anchiva 网关型号不同,可用物理网络接口数量也各有不同。现有网关型号一般有4到8个网络接口。它们都是通用接口,可用于连接内部LAN网络或面向防火墙或网络路由器的外部网络。3.2 指示灯PWR为系统电源指示灯,灯灭表示电源没有接通,灯亮表示电源已接通。HDD为硬盘指示灯,灯灭表示不对硬盘进行读写,灯闪烁表示正在对硬
8、盘进行读写工作。4 设备的安装本章介绍Anchiva WAF设备的安装、启动及其出厂配置信息。4.1 安装Anchiva WAF设备必须在室内使用,为保证设备的正常工作和延长使用寿命,在设备的安装和使用过程中,特提出如下安全建议: 请将设备放置在远离潮湿或远离热源的地方。工作温度建议:045。工作湿度建议范围:1090%40 ,非冷凝。 请确认设备已经正确接地。保护地线的正常连接是设备防雷、抗干扰的重要保障,所以用户在安装、使用设备时必须首先正确接好保护地线。 请在安装维护过程中预防静电。 建议用户使用UPS(Uninterrupted Power Supply,不间断电源)。设备可以放在机架
9、上或直接放置于平台上,设备四周要留出散热空间,并且不要在设备上面放置重物。4.2 启动设备设备的电源开关位于设备后面板上,启动上电之前应进行如下检查: 电源线和地线连接是否正确。 供电电压与设备的要求是否一致。 配置电缆连接是否正确,配置用微机或终端是否已经打开,并设置完毕。启动电源开关后,前面板上的“PWR”指示灯亮,表明电源工作正常。4.3 出厂配置在出厂配置中,所有物理接口皆为透明模式且都属于VLAN 1,eth0口为管理端口,管理员必须通过eth0经由VLAN1通过WEBUI界面配置网关,然后再根据自身的网络状况配置接口的相关属性。下列表格显示了登录WEBUI和CLI的默认IP和管理账
10、户。表1:默认管理员账户信息操作模式透明模式。IP地址192.168.20.200用户名Administrator密码Password语言English设备名Anchiva默认管理端口Eth0Eth0口开放服务默认开放HTTPS、SSH和ping服务;默认的安全策略:default-security-policy,其参数如下图所示。具体参数及其说明请参阅安信华Web应用防火墙S系列用户手册。5 初始配置5.1 登录设备网络管理员可以通过多种方式管理Anchiva WAF设备。管理方式包括: 本地管理:即通过CONSOLE 口登录WAF设备进行管理; 远程管理:包括两种方式:A)使用浏览器和设备
11、建立HTTPS连接对设备进行管理;B)通过SSH协议和设备建立安全连接登录WAF设备进行配置管理。第一次使用WAF设备,管理员可以通过CONSOLE 口或SSH客户端连接设备,以命令行方式配置和管理设备,也可以通过浏览器以WEBUI方式进行配置和管理。5.1.1 通过Console口登录设备Console口即设备的控制台接口,本地一台管理主机通过CONSOLE 线缆与WAF设备的CONSOLE 口连接,可以通过CLI对设备进行本地配置,可以进行系统的调试、配置和管理工作。管理员要想通过此串口直接连接并管理设备,需要进行如下的准备工作: 准备一根Console线缆。 带有可用串口的管理主机; 在
12、微机上运行终端仿真程序(如Windows 9X 的Hyperterm 超级终端等)建立连接; 下面将详细介绍如何通过CONSOLE 口连接到WAF设备:1)使用CONSOLE 口控制线连接计算机的串口(这里假设使用COM1)和设备的Console口。2)在主机上选择 开始 程序 附件 通讯 超级终端,建立管理主机和设备的网络连接。A)输入连接名称。B)选择COM1端口。C)配置终端通信参数为:9600波特、8 位数据位、无奇偶校验、1 位停止位、无数据流控,如下图所示。点击“确定”按钮完成设置。成功连接到网络卫士防火墙后,超级终端界面会出现输入用户名和密码提示信息,如下图所示。3)用户直接输入
13、WAF默认的串口登录用户:administrator和密码:password,即可登录到WAF设备。登录后界面如下图所示,用户就可使用命令行方式对设备进行配置管理等操作。5.1.2 通过WEBUI界面登录设备第一次使用WAF设备,管理员还可以使用安全的HTTPS连接,对WAF设备进行管理和配置。WAF设备支持的浏览器包括: Internet Explorer 6.0及6.0以上版本 Firefox 3.50及3.50以上版本登录Anchiva WAF网关的WEBUI步骤描述如下:1)通过WEB浏览器,输入路径和地址。https:/特别说明:VLAN1的缺省出厂IP是192.168.20.200
14、/24,如果管理员没有通过Console口修改VLAN1的IP地址,则管理主机的IP地址必须与缺省IP处于同一网段,并通过以太网连接到Anchiva 网关的eth0接口。2)登录WEBUI,界面如下图。输入默认的管理员用户名administrator和密码password。还可以在“语言”处选择WEBUI界面的显示语言,可选项为:English、“简体中文”或“繁体中文”。然后单击“登录”按钮即可。也可以登录后选择菜单 管理 系统设置 语言,选择WEBUI显示语言,如下图所示。选择语言后点击“应用”按钮即可。5.1.3 通过SSH协议登录设备SSH(Secure Shell,安全外壳)是一个用
15、于在非安全网络中提供安全的远程登录以及其他安全网络服务的协议。当用户通过非安全的网络环境远程登录到设备时,每次发送数据前,SSH都会自动对数据进行加密,当数据到达目的地时,SSH自动对加密数据进行解密,以此提供安全的信息保障,以保护设备不受诸如明文密码截取等攻击。除此之外,SSH还提供强大的认证功能,以保护不受诸如“中间人”等攻击方式的攻击。SSH采用客户端服务器模式。Anchiva WAF设备可以作为SSH服务器接受SSH客户端的连接并提供认证。管理员可以在本地主机上使用支持SSH 的客户端软件,如用于UNIX 系统的OpenSSH,或用于32 位WINDOWS 平台的PUTTY, 来登录W
16、AF设备。管理员通过认证后,管理主机与WAF设备之间建立SSH连接,可以通过SSH协议远程管理WAF设备。WAF设备作为SSH服务器的相关配置:WAF设备作为SSH服务器接收管理员的SSH协议连接请求,需要在设备的相应端口开放SSH服务。出厂配置中,设备的eth0口为管理端口,在eth0口默认开放SSH服务,管理员可以通过eth0口与设备建立SSH连接,查看eth0口开放的服务使用如下命令:#show interface eth0 manage结果显示为:HTTPS、SSH、PING。表示eth0口开放HTTPS服务、SSH服务和ping服务。如果管理员需要通过其他端口与设备建立SSH连接,则
17、需要在相应接口开放SSH服务。例如要在eth2口开放SSH服务,在CLI下的配置命令为:#set interface eth2 manage ssh在WEBUI界面操作为:1)选择导航菜单 管理 网络配置 网络接口,界面如下图所示。2)点击eth2口左侧的“选择”一栏,然后点击“编辑”按钮;或者直接点击eth2,进入设置界面,如下图所示。在“管理访问”处选择“SSH”,然后点击“应用”按钮即可。SSH客户端配置:SSH客户端软件有很多,例如PuTTY、OpenSSH等。用户可根据自己的具体情况决定使用的SSH客户端软件。下面以PUTTY为例介绍SSH客户端的相关配置:1)运行Putty.exe
18、文件,出现如下图所示配置界面。2)设置连接的协议类型,以及服务器参数。在“Host Name(or IP address)”文本框中输入SSH服务器的IP地址,在“port”处保证连接端口号为22。在“connection type”处选择连接的协议类型为“SSH”,出现如下图所示的界面。如果需要保存此连接,请在“saved session”处输入保存名称,并点击“save”按钮,则该连接将保存在下面的文本框中,下次直接选择该连接,并点击“load”按钮即可,无需再次输入SSH服务器的名称和端口号等信息。3)单击“Open”按钮,出现如所示的SSH客户端界面,如果连接正常则会提示用户输入用户名
19、和密码。输入正确的管理员名和密码信息后,进入配置界面,如下图所示。5.2 更改管理员密码出于安全考虑,首次登录后建议超级管理员修改“administrator”账户的密码。在CLI下的配置命令为:#set admin administrator password 123456在WEBUI下的配置步骤为:1)选择菜单 管理 访问管理 用户账号,修改“administrator”账户的密码,界面如下图所示。点击管理员名称“administrator”,弹出如下图所示界面。输入默认密码“password”,然后在“新密码”和“确认新密码”处重复输入相同的密码,点击“应用”按钮即可。5.3 配置接口参
20、数登录设备后管理员可以修改接口参数,包括修改接口的工作模式、更改物理接口或VLAN虚接口的IP、启用接口的管理服务等。5.3.1 CLI配置步骤下面以eth0为例进行介绍在CLI下如何设置接口参数。1)查看接口的工作模式在上图中输入命令:show interface eth0,执行结果为:eth0 Link encap:Ethernet Mode:Trunk HWaddr 00:e0:81:43:6c:87 addr:0.0.0.0 Bcast:0.0.0.0 Mask:0.0.0.0 MTU:1500 RX packets:22069891 errors:9 dropped:0 overru
21、ns:0 TX packets:32376395 errors:0 dropped:0 overruns:0 collisions:0 Link: Yes Link type: autonegotiation, Duplex: full, Speed: 100Mbps RX:Off TX:Off AutoNeg:On Internet Mode: No Inbound:Enable上图红色字体中的内容表明接口工作在透明模式,且属于Trunk VLAN。2)设置接口工作模式。默认接口工作在透明模式。设置为路由模式:set interface eth0 mode route设置为透明模式:set
22、interface eth0 mode transparent3)设置物理接口或VLAN虚接口的IP地址当接口工作在路由模式时设置物理接口IP地址即可。当接口工作在透明模式时则需要设置所属的VLAN虚接口的IP地址。添加接口IP命令为:set interface IF_NAME ip A.B.C.D/M设置物理口的IP地址,例如设置eth3口IP为11.11.11.1/24:set interface eth3 ip 11.11.11.1/24设置VLAN虚接口的IP地址,例如设置VLAN1的IP为11.11.11.1/24:set interface vlan1 ip 11.11.11.1/
23、24删除接口IP的命令为:unset interface IF_NAME删除物理口的IP地址,例如删除eth3口的IP:unset interface eth3删除VLAN虚接口的IP地址,例如删除VLAN1的IP:unset interface vlan1需要注意的是,更改VLAN虚接口IP后,原有的SSH连接会断开,需要管理员重新建立SSH连接,才能继续进行CLI配置。4)如果管理员需要通过其他端口与设备建立HTTPS连接或者SSH连接,则需要在相应接口启用HTTPS服务或者SSH服务。下面以eth2口为例进行说明。启用接口的HTTPS服务:set interface eth2 manag
24、e https禁用接口的HTTPS服务:unset interface eth2 manage https启用接口的SSH服务:set interface eth2 manage ssh禁用接口的SSH服务:unset interface eth2 manage ssh5.3.2 WEBUI配置步骤WEBUI下配置接口参数的步骤为:1)查看接口配置选择导航菜单 管理 网络配置 网络接口,界面如下图所示。可以查看接口的简单配置信息。在“模式”一栏可以查看各个接口的工作模式。2)更改VLAN1的IP地址。选择VLAN1然后点击“编辑”按钮,或者直接单击VLAN1名称,修改VLAN虚接口的默认IP地
25、址,界面如下图所示。设置完成后,点击“应用”按钮保存设置。设置后原有的连接将会断开,需要管理员使用新的IP地址登录WAF设备。3)如果管理员需要通过其他端口与设备建立HTTPS连接,则需要在相应接口开放HTTPS服务。下面以eth2口为例进行说明。点击eth2口左侧的“选择”一栏,然后点击“编辑”按钮;或者直接点击eth2,进入设置界面,如下图所示。在“管理访问”处选择“HTTPS”,然后点击“应用”按钮提交并保存配置。5.4 添加默认路由如果管理员想通过不同的网段对设备进行管理,则需要添加默认路由。而且设备上所有特征库的更新都需要通过连接ASDN服务器来进行,也要求必须添加默认路由。添加默认
26、路由的步骤为:1)选择 管理 网络设置 路由表。点击“添加”按钮,界面如下图所示。勾选“添加为默认网关”,并设置VLAN虚接口所在网段的默认网关。2)点击“应用”按钮保存并提交配置。5.5 配置DNS服务器对于Anchiva 网关来说,所有特征库的更新都是通过连接到服务器的域名来进行的,因此必须设置DNS服务器。选择 管理 系统设置 主机,在下图中配置DNS服务器。设置完成后,点击“应用”按钮使设置生效。5.6 导入License管理员导入许可证,相应模块的过滤功能才能生效。1)选择 管理 维护 许可证,导入License文件。2)点击“浏览”按钮,选择许可证文件。3)点击“应用”按钮完成导入
27、。期待结果及验证:“Web应用防火墙许可证”的状态由“无效”变为“有效”,并会显示有效日期。5.7 导入特征库导入License文件后,需要管理员设置参数连接Anchiva公司的ASDN服务器导入特征库。更新特征库有3种方式: 定期连接服务器更新 手动连接服务器立即更新 本地导入特征库文件进行更新1、选择菜单 管理 系统维护 更新 特征库。2 设置定期更新特征库管理员可以设置系统按照固定的时间间隔(每隔数小时)或设置每天的某个时刻,连接“Anchiva 更新中心”获取最新的更新信息。3 手动更新特征库即便配置了自动更新功能,您仍可手动更新相应的特征库。在“手动更新”下,选择需要更新的特征库,然
28、后点击“应用”按钮系统将立即连接更新服务器完成手动更新。4离线更新特征库管理员可以通过从本地导入更新文件对特征库进行离线升级。在“本地更新”下,选择需要更新的特征库,并单击“浏览”来选择您本地PC机上的特征库文件,然后点击“应用”按钮提交设定。5.8 更改接口默认配置默认配置中,所有的接口均为信任接口,即对于从所有接口发出的请求及收到的响应都不进行安全检查。选择 管理 网络配置 网络接口,界面显示如下图所示:因此,将WAF设备部署在用户网络中后,首先应该修改接口的属性,将与客户端连接一端的物理接口设置为“非信任接口”,则对于客户端发出的请求和收到的响应均进行攻击、病毒等的扫描,从而起到保护WE
29、B服务器的目的。5.9 添加URL安全策略出厂配置中内置了一条URL安全策略“default-security-policy”,配置了对WEB服务器进行保护的基本的安全策略。管理员可以在服务器安全组中直接引用该默认的策略,也可以修改该策略的默认参数,或添加新的URL安全策略。具体设置步骤为:1)选择 WEB安全 URL安全策略。界面中显示默认的URL安全策略。2)查看默认策略的参数设置。直接点击策略名“default-security-policy”,可以查看策略配置,界面如下图所示。从上图可以看出,默认策略中启用了“Web攻击特征库检查”,根据系统内置的特征库进行SQL注入攻击、跨站脚本攻击
30、、命令注入攻击、服务器挂马攻击和防溢出攻击的检查。WAF设备还可以根据关键字列表,对有可能产生危害的关键字做扩展攻击检查,设备中有系统默认的关键字,用户也可以点击“高级选项”按钮自定义关键字。 内置的关键字列表请查看安信华WEB应用防火墙S系列用户手册。3)添加URL安全策略点击“添加”按钮,界面如下图所示。输入策略名,勾选相应选项,然后点击“应用”按钮保存设置。3)编辑策略,设置自定义的关键字。5.10 配置服务器安全组添加服务器安全组,并在安全组中引用URL安全策略。添加后,从非信任接口访问这些服务器的流量都将受到URL安全策略的安全检查。1)选择 WEB安全 服务器安全组。界面如下图所示
31、。2)点击“添加”按钮。3)配置保护的服务器在“服务器列表”配置所有受保护的服务器的IP地址及子网掩码,以及服务器使用的协议类型及端口号,可以添加HTTP WEB站点、HTTPS WEB站点和FTP服务器。当用户使用一台主机充当多个域名的WWW服务器,而且对不同域名的服务器有不同的保护需求时,需要在“虚拟主机域名列表”处设定保护的WEB服务器的IP地址、域名、协议及端口号之间的对应关系。4)引用URL安全策略默认情况下,使用系统内置的安全策略“default-security-policy”为WEB服务器提供保护。管理员可以选择其他自定义的安全策略。5)点击“应用”按钮保存设置。6 软件维护如果您购买了软件和特征库的在线更新License,您可从“Anchiva 技术支持”网站下载软件更新和特征库,软件从“Anchiva 技术支持”网站下载时采用加密技术,保证了升级文件在传输过程中的安全性。WAF设备软件的升级、特征库的升级同杀毒软件的在线升级服务一样简单,并可随心定制升级检查频率,始终保障您的软件时时处于最新的版本。管理员还可通过手动更新方式立即更新软件或特征库,也可以从本地导入更新文件对系统软件和特征库进行离线升级。
