安恒明御WAF防火墙系统管理功能指南

安恒明御WAF防火墙系统管理功能指南技术创新变革未来系统管理系统维护系统设置用户管理授权许可数据维护系统升级1、系统维护——清空业务数据清空业务数据，主要是清空访问审计日志、应用防护日志及趋势图数据、防篡改数据、系统日志、网络防护日志、CC防护日志、站点侦测数据等业务数据。1、系统维护——清空业务数据注意：默认是清空所有的数据，可以勾选需要清空的日志进行删除系统维护——清空操作日志清空操作日志，清空设备所有用户的操作日志。系统维护——运行模式切换WAF在透明代理模式下有三种运行模式：正常模式、网桥直通、物理直通系统维护——运行模式说明网桥直通模式：设备处于包转发模式，WAF的安全检测失效，设备可以统计到流量、接口收发等信息，可在设备上抓取数据包信息；物理直通模式：设备网口处于短路状态，WAF的安全检测失效，设备无法统计到流量、接口收发等信息，无法在设备上抓取数据包信息；正常模式：设备处于安全检测状态，配置保护对象后，WAF会对去往保护对象的流量进行过滤，该工作模式为正常工作模式；注：物理直通模式只用于透明代理部署时存在，反向代理、旁路监听、网关等模式均不支持。系统维护——网络工具抓包功能目前WAF可以支持多个接口多个抓包动作同时进行，对抓包的时间无限制，需要注意的是抓包条件要进行控制，以免数据包过大影响 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 系统维护——抓包配置Step1:选择“系统”—“系统维护”—网络工具中的“抓包”系统维护——抓包配置Step2:点击“新建抓包”按钮，设置抓包的运行时间，选择需要抓包的网络接口，另外可以根据需要设置抓包的个数以及抓包的大小，如果需要同时抓两个接口的流量，则需要再点击“新建抓包”按钮，最后点击“开始抓包”按钮进行抓包注意：如果需要指定IP地址进行抓包，一定要将指定的IP地址填入到“任意方向IP”中，这样才能抓到双向的流量包系统维护——接口配置WAF串接在网络中时，需要与两端设备进行端口自协商，一般都是自动协商，但在某些特殊环境中，比如设备兼容性或者对端设备强制速率时，WAF也需要对端口进行强制更改Step1:选择“系统”—“系统维护”—网络工具中的“接口配置”系统维护——接口配置Step2:设置协商模式和MTU，并点击“设定”按钮完成设置系统维护——设备重启、关机、恢复出厂设置WAF前台管理界面可以实现设备的重启、关机，另外还可以将设备恢复出厂默认配置2、系统设置——配置管理口IP地址Step1:选择“系统”——“系统设置”，将浏览器下拉至“系统运行参数”模块中，然后修改管理口IP地址系统设置——系统时间配置选择“系统”—“系统设置”，下拉至系统时间栏，默认系统时间取设备的BIOS时间。选择“设置系统时间”栏，弹出时间插件，可设置系统时间。或通过选择“操作”中的“与本地同步按钮”，与当前登录WAF管理平台的客户机时间进行同步。系统设置——NTP时间同步配置Step1:选择“系统”——“系统设置”将浏览器下拉至“系统时间”模块，开启NTP时间同步功能，填写NTP服务器IP地址，然后点击保存Step2:点击“立即与NTP同步”按钮则可与NTP时间服务器立即进行同步。系统设置——远程管理接口远程管理接口主要是为了实现中心机与节点机进行数据传输秘钥的确认3、用户管理WAF可以创建管理员和审计员，管理员可以做任何操作但是没有权限删除其他用户，审计员只能查看系统状况、WEB流量、历史数据、告警日志、系统日志等日志信息，没有操作权限。Step1:选择“系统”—“用户管理”，创建新用户用户管理Step2:输入用户名、密码和邮件地址等信息，点击保存用户出创建成功。4、授权许可明御WAF通过授权许可限制对于软件模块的使用和许可时间，提供管理界面展示证书许可信息、授权许可的功能模块等内容和导入授权许可证书操作。4、更新授权许可先将提供的授权许可证书上传，点击“替换为此授权证书”按钮，系统后台将完成更新操作。5、数据维护数据维护提供应用防护日志自动备份配置功能，以及对应用防护日志以数据库形式的备份、导入与导出功能。另外还可以对告警日志留库的时间和占用的磁盘空间进行限制告警日志备份配置Step1:选择“系统”——“数据维护”点击创建新备份告警日志备份配置Step2:选择起始和结束时间，并点击创建备份Step3:查看备份的告警日志数据防护——配置留库数据默认WAF最多保留720天的告警日志，如果超过720天将会自动清空早期的告警日志；另外告警日志占用数据分区的磁盘空间如果超过80%，将自动清除早期的告警日志。常见的问题FAQ1、忘记前台密码怎么办？通过SSH工具或者Console连接到WAF上，输入用户名admin，密码admin，选择2.系统配置—4.密码管理—2.重置前台密码，输入前台默认密码adminadmin后重置即可。2、设备上架保护站点添加之后没有告警日志3、攻击日志显示的攻击IP都是同一个IP，是什么问题，如何处理？WAF查看的攻击日志源IP都是同一个，一般有以下两个原因：如果部署在防火墙后端，有些防火墙会把源IP转成防火墙IP，这种情况WAF无法识别源IP，可以建议客户将防火墙的地址转换去掉；如果是部署在负载均衡设备后端，负载均衡会把源IP转成负载均衡自身IP，这种情况需要打开WAF的X-Forwarded-For源IP识别功能，如果仍无法识别，建议客户在F5上转发时加上X-Forwarded-For字段。4、前台应用更改出错问题描述：WAF前台管理界面配置完成之后进行应用更改会出现应用更改出错的现象解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ：登录WAF后台，servicewafrestart将输出结果发给项目经理5、告警日志自定义查询或者报表导出无结果问题描述：1.告警日志自定义查询非常慢甚至无法查询结果2.自定义 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 导不出任何结果解决方案：1.WAF在日志量较多的情况下，告警日志自定义查询和自定义报表导出建议将查询时间缩短2.告警日志比较多一般是因为规则误报比较多导致的，检查误报比较多的规则，建议将这些规则关闭6、攻击日志发送到syslog服务器有乱码怎么办？将syslog通知的编码类型由默认的UTF8改成GBK试试7、WAF可以防护DDOS攻击吗？WAF可以支持应用层DDOS，CC攻击、CC慢攻击WAF不支持网络层DDOS，synflood、udpflood等WAF不支持蠕虫病毒防护、ARP攻击等8、WAF上架之后网站无法访问或者某个业务访问不正常问题描述：1.保护站点添加之后，网站所有页面无法访问2.保护站点添加之后，网站某个业务无法访问问题分析思路：WAF工作分为两部分：规则引擎和代理引擎，如果有问题要么是因为规则阻断引擎的，要么是代理引擎将数据包丢弃。9、WAF代理工作原理IN口：IN口为client与WAFTCP连接数据交换的过程Lo口：Lo口为WAF内部代理引擎TCP连接数据交互的过程OUT口：OUT口为WAF与ServerTCP连接数据交换的过程10、WAF上架之后导致网站访问异常——排错步骤12、WAF后台抓包命令——Tcpdump使用简介：可以将网络中传送的数据包的内容完全截获下来提供分析，该命令运行在linux系统中；使用：tcpdump–iethx–wxx.pcap–s0hostx.x.x.x-i　　　指定监听的网络接口-nn　　不进行端口名称的转换-s0　　默认数据包抓取的长度为68byte，-s0可抓取完整的数据包-c　　　指定抓取数据包的个数-C　　　指定抓取数据包的文件大小，配合-w命令使用，单位为Mb-w保存为cap文件，使用wireshark等网络分析软件进行分析-nn　　不对IP地址到主机名和端口号到名称进行转换Host　　指定抓取的IP地址，可抓取该IP地址的双向数据包，指定src可抓取源IP为host的数据包，指定dst可抓取目标IP为host的数据包，格式为srchostx.x.x.x。12、WAF后台抓包命令——举例eth0为进口，eth1为出口，后台抓取eth0、eth1、lo口的数据包tcpdump–ieth0–weth0dl.pcap–s0hostx.x.x.xtcpdump–ieth1–weth1dl.pcap–s0hostx.x.x.xtcpdump–ilo–wlodl.pcap–shostx.x.x.x13、Wireshark简介一款开源网络数据包分析工具，用于网络数据包抓取和数据包分析；13、Wireshark常用功能数据包抓取：点击工具栏的　　按钮，可查看抓包的网络接口信息，可通过查看网卡的packets数据来决定需要对哪块网卡进行抓包。数据包分析：双击已经抓取的数据包，如cap、pcap文件格式13、Wireshark常用功能13、Wireshark常用功能打开Wireshark后显示如下界面13、Wireshark常用功能——显示过滤器显示过滤器（DisplayFilters）：抓包完成后在捕捉结果中进行详细查找。13、Wireshark常用功能——显示过滤器过滤语法1.协议过滤在Filter输入框中输入tcp，就只会显示TCP协议的流量在Filter输入框中输入udp，就只会显示UDP协议的流量在Filter输入框中输入icmp，就只会显示icmp（ping包）协议的流量13、Wireshark常用功能——显示过滤器过滤语法2.IP过滤在Filter输入框中输入ip.addr==x.x.x.x，比如ip.addr==192.168.1.1,显示源或目的IP为192.168.1.1的数据包在Filter输入框中输入ip.src==x.x.x.x，比如ip.src==192.168.1.1，显示源IP为192.168.1.1的数据包在Filter输入框中输入ip.dst==x.x.x.x，比如ip.dst==192.168.1.1，显示目的IP为192.168.1.1的数据包13、Wireshark常用功能——显示过滤器过滤语法3.端口过滤在Filter输入框中输入tcp.port==xx，比如tcp.port==80，显示源端口和目的端口为80的数据包在Filter输入框中输入tcp.srcport==xx，比如tcp.srcport==80，显示源端口为80的数据包在Filter输入框中输入tcp.dstport==xx，比如tcp.dstport==80，显示目的端口为80的数据包13、Wireshark常用功能——显示过滤器过滤语法4.过滤SYN包，ACK包，RST包在Filter输入框中输入tcp.flags.syn==1，显示包含tcpsyn 标志 禁止坐卧标志下载饮用水保护区标志下载桥隧标志图下载上坡路安全标志下载地理标志专用标志下载 位的数据包在Filter输入框中输入tcp.flags.ack==1，显示包含tcpack标志位的数据包在Filter输入框中输入tcp.flags.reset==1，显示包含tcptcpreset标志位的数据包在Filter输入框中输入tcp.flags.ack==0，显示不包含tcpack标志位的数据包13、Wireshark常用功能——TCP连接三次握手TCP三次握手简介在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。 第一次握手：建立连接时，客户端发送syn包(Seq=j)到服务器，并进入SYN_SEND状态，等待服务器确认；第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（Seq=k），即SYN+ACK包，此时服务器进入SYN_RECV状态第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。完成三次握手，客户端与服务器开始传送数据.13、Wireshark常用功能——TCP连接三次握手在客户端向服务器请求数据时，需要先与服务器建立TCP三次握手，握手成功后开始请求数据13、Wireshark常用功能——TCP连接三次握手13、Wireshark常用功能——TCP四次握手关闭连接TCP四次握手关闭连接在完成数据传输后TCP会通过四次挥手断开连接，由于TCP为双工，需要客户端和服务器双向断开，也可以通过发送rst包快速完成断开。13、Wireshark常用功能——TCP四次握手关闭连接13、Wireshark常用功能——显示过滤器过滤语法5.过滤HTTP请求方式过滤在Filter输入框中输入http.request.method==GET，显示所有的GET请求，注意GET必须是大写，不能小写在Filter输入框中输入http.request.method==POST，显示所有的POST请求，注意POST必须大写，不能小写13、Wireshark常用功能——显示过滤器过滤语法6.过滤HTTP请求的URL在Filter输入框中输入http.request.uri==“xxxxx“，比如在数据包中查询所有访问/login.php页面的请求，http.request.uri=="/login.php"13、Wireshark常用功能——显示过滤器过滤语法7.逻辑运算符取值:==（等于）,!=（不等于）,>（大于）,>=（大于等于）,<（大小）,<=（小于等于）取值：and（逻辑与）,or（逻辑或）,xor（逻辑异域）,not（逻辑非）and表示和，可以用&&替代，not表示非可以用!替代13、Wireshark常用功能——显示过滤器过滤语法13、Wireshark常用功能——显示过滤1器注意事项显示过滤器注意事项：区分大小写，如http.request.method==GET有效，http.request.mothod==get无效应用层内容value取值需要加上””，如http.request.uri==“/index.asp”有效，http.request.uri==/index.asp无效显示过滤器的语法是正确则表达式的背景呈绿色，语法有误呈红色13、Wireshark常用功能——跟踪T完整的TCP数据流跟踪完整的TCP数据流1.根据过滤器对数据流进行过滤，比如通过ip.addr、tcp.port、tcp.flags.ack==0&&tcp.flags.syn==1等过滤 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 2.选择数据包，右击FollowTCPStream可跟踪整个TCP会话流，并可查看整个数据流的报文信息。13、Wireshark常用功能——跟踪T完整的TCP数据流一个完整的TCP数据流会显示TCP连接三次握手的过程，同时也会显示客户端发起的GET/POST请求，HTTP的请求头部、服务器返回的响应头部等信息13、Wireshark常用功能——Wireshark与对应的OSI七层应用层表示层会话层传输层网络层数据链路层物理层14、数据包分析案例1——用户访问某个页面返回502问题现象：WAF上架，保护站点添加之后，访问/search.aspx?Classification=A1返回502ProxyError14、数据包分析案例1——用户访问某个页面返回502需要收集的信息：1.WAF保护的服务器IP地址：220.189.225.1582.有问题页面，请求方式为POST，URL为/search.aspx?Classification=A13.网络拓扑，如下所示4.将策略禁用依然存在问题，排错策略导致的问题，需要在WAF上进行抓包，需要抓取IN口、Lo口、OUT口三个口的包，抓包的过程中需要访问有问题的页面14、数据包分析案例1——用户访问某个页面返回5021.首先分析WAFIN口的数据包，通过过滤的方式，找到有问题的URL：/search.aspx?Classification=A1，通过抓包分析，发现IN口有POST请求这个页面14、数据包分析案例1——用户访问某个页面返回5022.查看IN口对POST页面请求的返回内容，发现WAF直接返回了502ProxyError，初步判断是WAF返回了50214、数据包分析案例1——用户访问某个页面返回5023.查看WAFLo口的数据包，通过过滤的方式找到访问的URL地址，发现Lo口中WAF也是直接返回了502ProxyError14、数据包分析案例1——用户访问某个页面返回5024.查看WAFOUT口的流量，OUT有看到POST请求该URL，说明WAF已经将POST请求发给了服务器，但是服务器IP直接返回了RST并没有返回响应内容推断：从目前来看应该是服务器存在问题14、数据包分析案例1——用户访问某个页面返回502经过对WAFIN口、Lo口、OUT口的抓包流量分析，目前初步判断是服务器存在问题，因此接下来需要在服务器上面进行抓包，查看服务器是否有接收到POST请求6.在服务器上面进行抓包，抓包的同时需要访问有问题的页面，经过抓包发现，服务器并没有接收到POST请求7.查看网络拓扑发现在服务器的前端有个网御星云的网络防火墙，经过刚才WAFOUT口和服务器抓包分析，目前判断是网御星云的网络防火墙将POST请求丢弃并且返回了RST最终解决方案：将WAF调换位置，放到网御星云网络防火墙的后面，发现页面可以正常访问，再一次证明是网御星云防火墙将POST请求丢弃导致页面无法访问14、数据包分析案例2——POST提交数据失败问题现象：用户反馈WAF上架之后部分用户在提交数据时出现失败的问题。需要收集的信息：1.WAF保护的服务器IP地址：10.130.67.362.有问题页面，请求方式为POST，URL为xxxxx3.网络拓扑，如下所示14、数据包分析案例2——POST提交数据失败1.首先我们来看一下WAF的IN口（连接客户端）的抓包情况client在16:03:55.106796发起POST请求，只发送了POST头部，需要等待服务器返回HTTP/1.1100Continue14、数据包分析案例2——POST提交数据失败客户端在16:03:55.107694收到服务器返回的HTTP/1.1100Continue14、数据包分析案例2——POST提交数据失败client在接受到HTTP/1.1100Continue之后，同时在16:03:55.107738接受到Server端发送的FIN包，导致TCP连接断开14、数据包分析案例2——POST提交数据失败目前WAF的IN口还没有接受到Client发送的POST内容，但是Server已经主动断开连接，IN口在16:03:55.13.6714才接受到Client发送的POST内容，中间间隔30毫秒14、数据包分析案例2——POST提交数据失败查看OUT口（连接Server）的抓包情况，因为WAF到Server端采用短连接的方式，HTTP头部里面会添加Connection:close字段，Server在响应POST头部之后，看到Close字段而断开连接。14、数据包分析案例2——POST提交数据失败问题原因：虽然后端采用短连接的方式，而服务器在未接受POST的内容而直接断开，本身Server的业务逻辑处理是存在问题的，但是就目前的问题来看确实是由于短连接而引起的问题。解决方法：将WAF——Server采用长连接的方式。注意：默认情况下客户端到WAF是采用的长连接的，而WAF到后端服务器采用短连接的方式14、数据包分析案例3——证书链缺失导致HTTPS网站无法访问问题现象：用户反馈WAF上架之后导致HTTPS网站出现交易失败的问题。14、数据包分析案例3——证书链缺失导致HTTPS网站无法访问需要收集的信息：1.WAF保护的服务器IP地址：123.129.210.602.有问题页面，请求方式为POST，URL为xxxxx3.网络拓扑，如下所示14、数据包分析案例3——证书链缺失导致HTTPS网站无法访问首先查看WAF IN口的抓包情况，client在17:22:15.766547向服务器发出SYN包。14、数据包分析案例3——证书链缺失导致HTTPS网站无法访问在17:22:15.768993，client发出ack包，client和WAF的TCP连接建立完成。14、数据包分析案例3——证书链缺失导致HTTPS网站无法访问在17:22:15.769543，client端发送client hello包启动握手请求（该消息时当客户第一次连接服务器时向服务器发送的第一条消息。该消息中包括了客户端支持的各种算法。若服务器端不能支持，则本次会话可能失败）。14、数据包分析案例3——证书链缺失导致HTTPS网站无法访问在17:22:15.773829,WAF发出serverhell0包（该消息表明服务器端的握手请求报文已经发送完毕，正在等待客户端的响应。客户端在收到该消息时，将检查服务器提供的证书及其他参数是否是有效、可以接受的）同时WAF将证书Certificate发给客户端（客户端将检查服务器提供的证书及其他参数是否是有效、可以接受的)。14、数据包分析案例3——证书链缺失导致HTTPS网站无法访问查看WAF发出的证书内容,目前WAF只发送一个证书给客户端。在17:22:15.773840，WAF发出ServerkeyExchage包（服务器密钥交换。当服务器不使用证书，或其证书中仅提供签名而不提供密钥时，需要使用本消息来交换密钥）。其中这个报文里面还包括server_hello_done(该消息表明服务器端的握手请求报文已经发送完毕，正在等待客户端的响应。客户端在收到该消息时，将检查服务器提供的证书及其他参数是否是有效、可以接受的）。14、数据包分析案例3——证书链缺失导致HTTPS网站无法访问14、数据包分析案例3——证书链缺失导致HTTPS网站无法访问client在接受到WAF发出的ServerkeyExchage报文之后开始验证WAF发出的证书是否是有效的，在17:22:15.777029，client发给WAF告警报文，报文的内容提示“无法识别的证书”。14、数据包分析案例3——证书链缺失导致HTTPS网站无法访问从client发出的告警报文来看，应该是WAF发出的证书是有问题的，那么我们来看一下正常情况下，服务器发出的证书内容，从正常情况来看，服务器发出了三个证书，其中包括中间CA赛门铁克，根CAverisign。14、数据包分析案例3——证书链缺失导致HTTPS网站无法访问问题总结：WAF上架仅仅上传了公钥和私钥，因为客户是从中间CA赛门铁克申请的证书，如果WAF仅仅将公钥发给client端，client对于发送的证书是不会信任的，因此WAF必须上传证书链，证书链中包括中间CA赛门铁克和根CAverisign，当client接受到证书链之后才能认为WAF发出的证书是有效的。谢谢！