安信華WEB應用防火墻S系列快速安裝指南

1、安信華安信華 web 應用防火墻應用防火墻 s 系列快速安裝指南系列快速安裝指南 2011 北京安信華科技有限公司北京安信華科技有限公司 目目 錄錄 1引言引言.1 1.1產(chǎn)品介紹.1 1.2有關本文檔.1 1.3安信華服務和技術支持.2 2產(chǎn)品部署產(chǎn)品部署.3 3硬件特性硬件特性.5 3.1外觀.5 3.2指示燈.5 4設備的安裝設備的安裝.6 4.1安裝.6 4.2啟動設備.6 4.3出廠配置.7 5初始配置初始配置.9 5.1登錄設備.9 5.1.1通過console口登錄設備.9 5.1.2通過webui界面登錄設備.12 5.1.3通過ssh協(xié)議登錄設備.14 5.2更改管理員密碼.

2、17 5.3配置接口參數(shù).18 5.3.1cli配置步驟.18 5.3.2webui配置步驟.20 5.4添加默認路由.21 5.5配置 dns 服務器.22 5.6導入 license.22 5.7導入特征庫.22 5.8更改接口默認配置.23 5.9添加 url 安全策略.24 5.10配置服務器安全組 .26 6軟件維護軟件維護.29 1 引言引言 1.1 產(chǎn)品介紹產(chǎn)品介紹 安信華 web 應用防火墻 s 系列(簡稱 anchiva waf)，通過對進出 web 服務器的 http/https 流量相關內容的實時分析檢測、過濾，來精確判定并阻止各種 web 應用 入侵行為，阻斷對 web

3、 服務器的惡意訪問與非法操作，適應 web2.0 時代的主動實時 監(jiān)測過濾風險技術，而不是被動的遭受攻擊后的恢復，將惡意代碼、非授權篡改、應 用攻擊等眾多因素結合在一起進行綜合防范，從而做到對 web 服務器的多重保護，確 保 web 應用安全的最大化，防止網(wǎng)頁內容被篡改，防止網(wǎng)站數(shù)據(jù)庫內容泄露，防止口 令被突破，防止系統(tǒng)管理員權限被竊取，防止網(wǎng)站被掛馬和植入病毒、惡意代碼、間 諜軟件等，防止用戶輸入信息的泄露，防止賬號失竊，防 sql 注入，防 xss 攻擊等。 anchiva waf 可向系統(tǒng)管理員提供詳盡的日志信息，在日志信息中詳細記錄了設 備的系統(tǒng)日志、管理員日志，以及對 web 服務

4、器的訪問日志、攻擊日志、病毒掃描日 志。管理員可以分類查看詳細的日志記錄信息。 日志可保存在設備的硬盤上、輸出到 ftp 服務器或發(fā)送到 syslog 服務器。 管理員還可以在系統(tǒng)中設置日志報警機制：通過設置系統(tǒng)使用率的告警閾值，如 果使用率達到或超過百分比閾值，系統(tǒng)將發(fā)送報警電子郵件給管理員，同時產(chǎn)生彈出 式消息，警告管理員磁盤使用率高并刪除或輸出部分日志以清理磁盤空間。 1.2 有關本文檔有關本文檔 本文檔可以作為安信華 web 應用防火墻 s 系列的安全管理員進行快速安裝和配置 設備的指導性手冊。其他可用文檔： 安信華 web 應用防火墻 s 系列命令行參考手冊 安信華 web 應用防火

5、墻 s 系列用戶手冊 1.3 安信華服務和技術支持安信華服務和技術支持 安信華公司對于自身產(chǎn)品提供遠程產(chǎn)品咨詢服務，廣大用戶和合作伙伴可以通過 登錄我們公司的網(wǎng)站 http:/，下載到我們最新產(chǎn)品的資料，尋找常見 問題答案或在線提交您的問題。 如客戶有技術問題和一般客服問題需要聯(lián)系“安信華客戶支持”，請參閱下列聯(lián) 系選項： 地址：地址： 北京市海淀區(qū)清華科技園科技大廈北京市海淀區(qū)清華科技園科技大廈 b 座座 6 層層 電話：電話：+86-10-51266678 2 產(chǎn)品部署產(chǎn)品部署 anchiva waf 能以三種模式部署：在線預防模式、離線偵察模式和反向代理模式。 預防模式 anchiva

6、waf 在網(wǎng)絡中在線部署，串聯(lián)部署在 web 服務器前端，對進入 web 服 務器的流量進行有效檢測從而確保 web 應用的安全。 偵察模式 anchiva waf 采用離線部署，部署于核心交換機外的 span 端口或監(jiān)控端口上。交 換機上 span 端口必須可看到所有通往互聯(lián)網(wǎng)的流量。 反向代理模式 在反向代理模式中，anchiva waf 通過配置代理端口并設定地址映射規(guī)則，即可 作為 web 服務器的反向代理服務器接受客戶端對 web 服務器的連接請求，通過將訪 問 web 服務器的流量導入到 anchiva waf，然后對流量進行檢測，將對 web 服務器 有威脅的惡意訪問過濾掉，正常

7、的訪問流量則轉發(fā)給真實的 web 服務器；對于從服務 器返回的數(shù)據(jù)，也會首先轉發(fā)給 anchiva waf，waf 對數(shù)據(jù)進行處理之后再返回給客 戶端，從而實現(xiàn)對 web 服務器的安全防護。anchiva waf 還可以均衡 web 服務器集 群內各個服務器的工作負載。 注：只有在預防模式和反向代理模式中注：只有在預防模式和反向代理模式中 anchiva waf 才能夠防止惡意軟件到達終才能夠防止惡意軟件到達終 端用戶。在偵察模式中，端用戶。在偵察模式中，anchiva waf 并不能攔截對并不能攔截對 web 服務器的惡意攻擊。推薦服務器的惡意攻擊。推薦 用戶在接入到網(wǎng)絡中、提供防護之前，先

8、采用旁路監(jiān)聽的偵察模式部署，學習網(wǎng)絡環(huán)用戶在接入到網(wǎng)絡中、提供防護之前，先采用旁路監(jiān)聽的偵察模式部署，學習網(wǎng)絡環(huán) 境及境及 web 應用攻擊特征，從而配置合理、有效的防護策略。然后再采用預防模式或反應用攻擊特征，從而配置合理、有效的防護策略。然后再采用預防模式或反 向代理模式將設備部署在網(wǎng)絡中。向代理模式將設備部署在網(wǎng)絡中。 3 硬件特性硬件特性 本章介紹設備的外觀及指示燈等硬件特性。 3.1外觀外觀 設備前面板示意圖如下圖所示。 console 口：本地一臺管理主機通過 console 線纜與 waf 設備的 console 口連接，供管理員通過 cli 對設備進行初步配置。 usb 口：外

9、接 usb 設備。 以太網(wǎng)口：anchiva 網(wǎng)關型號不同，可用物理網(wǎng)絡接口數(shù)量也各有不同。現(xiàn)有網(wǎng) 關型號一般有 4 到 8 個網(wǎng)絡接口。它們都是通用接口，可用于連接內部 lan 網(wǎng)絡或面 向防火墻或網(wǎng)絡路由器的外部網(wǎng)絡。 3.2指示燈指示燈 pwr 為系統(tǒng)電源指示燈，燈滅表示電源沒有接通，燈亮表示電源已接通。 hdd 為硬盤指示燈，燈滅表示不對硬盤進行讀寫，燈閃爍表示正在對硬盤進行讀 寫工作。 4 設備的安裝設備的安裝 本章介紹 anchiva waf 設備的安裝、啟動及其出廠配置信息。 4.1安裝安裝 anchiva waf 設備必須在室內使用，為保證設備的正常工作和延長使用壽命，在 設備

10、的安裝和使用過程中，特提出如下安全建議： 請將設備放置在遠離潮濕或遠離熱源的地方。 工作溫度建議：045。工作濕度建議范圍：1090%40 ，非冷凝。 請確認設備已經(jīng)正確接地。 保護地線的正常連接是設備防雷、抗干擾的重要保障，所以用戶在安裝、使用設 備時必須首先正確接好保護地線。 請在安裝維護過程中預防靜電。 建議用戶使用 ups（uninterrupted power supply，不間斷電源）。 設備可以放在機架上或直接放置于平臺上，設備四周要留出散熱空間，并且不要 在設備上面放置重物。 4.2啟動設備啟動設備 設備的電源開關位于設備后面板上，啟動上電之前應進行如下檢查： 電源線和地線連接

11、是否正確。 供電電壓與設備的要求是否一致。 配置電纜連接是否正確，配置用微機或終端是否已經(jīng)打開，并設置完畢。 啟動電源開關后，前面板上的“pwr”指示燈亮，表明電源工作正常。 4.3出廠配置出廠配置 在出廠配置中，所有物理接口皆為透明模式且都屬于 vlan 1，eth0 口為管理端口， 管理員必須通過 eth0 經(jīng)由 vlan1 通過 webui 界面配置網(wǎng)關，然后再根據(jù)自身的網(wǎng)絡 狀況配置接口的相關屬性。 下列表格顯示了登錄 webui 和 cli 的默認 ip 和管理賬戶。 表表 1：默認管理員賬戶信息：默認管理員賬戶信息 操作模式透明模式。 ip 地址00 用戶名

12、administrator 密碼password 語言english 設備名anchiva 默認管理端口eth0 eth0 口開放服務默認開放 https、ssh 和 ping 服務； 默認的安全策略：默認的安全策略： default-security-policy，其參數(shù)如下圖所示。 具體參數(shù)及其說明請參閱安信華 web 應用防火墻 s 系列用戶手冊。 5 初始配置初始配置 5.1 登錄設備登錄設備 網(wǎng)絡管理員可以通過多種方式管理 anchiva waf 設備。管理方式包括： 本地管理：即通過 console 口登錄 waf 設備進行管理； 遠程管理：包括兩種方式： a）使用瀏覽器和設備建立

13、 https 連接對設備進行管理； b）通過 ssh 協(xié)議和設備建立安全連接登錄 waf 設備進行配置管理。 第一次使用 waf 設備，管理員可以通過 console 口或 ssh 客戶端連接設備， 以命令行方式配置和管理設備，也可以通過瀏覽器以 webui 方式進行配置和管理。 5.1.1 通過通過 console 口登錄設備口登錄設備 console 口即設備的控制臺接口，本地一臺管理主機通過 console 線纜與 waf 設備的 console 口連接，可以通過 cli 對設備進行本地配置，可以進行系統(tǒng)的調試、 配置和管理工作。 管理員要想通過此串口直接連接并管理設備，需要進行如下的準

14、備工作： 準備一根 console 線纜。 帶有可用串口的管理主機； 在微機上運行終端仿真程序（如 windows 9x 的 hyperterm 超級終端等）建 立連接； 下面將詳細介紹如何通過 console 口連接到 waf 設備： 1）使用 console 口控制線連接計算機的串口（這里假設使用 com1）和設備 的 console 口。 2）在主機上選擇 開始開始 程序程序 附件附件 通訊通訊 超級終端超級終端，建立管理主機和設 備的網(wǎng)絡連接。 a）輸入連接名稱。 b）選擇 com1 端口。 c）配置終端通信參數(shù)為：9600 波特、8 位數(shù)據(jù)位、無奇偶校驗、1 位停止位、 無數(shù)據(jù)流控，

15、如下圖所示。 點擊“確定”按鈕完成設置。成功連接到網(wǎng)絡衛(wèi)士防火墻后，超級終端界面會出 現(xiàn)輸入用戶名和密碼提示信息，如下圖所示。 3）用戶直接輸入 waf 默認的串口登錄用戶：administrator 和密碼：password，即 可登錄到 waf 設備。登錄后界面如下圖所示，用戶就可使用命令行方式對設備進行配 置管理等操作。 5.1.2 通過通過 webui 界面登錄設備界面登錄設備 第一次使用 waf 設備，管理員還可以使用安全的 https 連接，對 waf 設備進 行管理和配置。waf 設備支持的瀏覽器包括： internet explorer 6.0 及 6.0 以上版本 firef

16、ox 3.50 及 3.50 以上版本 登錄 anchiva waf 網(wǎng)關的 webui 步驟描述如下： 1）通過 web 瀏覽器，輸入路徑和地址。 https:/ 特別說明：特別說明： vlan1 的缺省出廠 ip 是 00/24，如果管理員沒有通過 console 口修改 vlan1 的 ip 地址，則管理主機的 ip 地址必須與缺省 ip 處于同一網(wǎng)段，并通過以太網(wǎng) 連接到 anchiva 網(wǎng)關的 eth0 接口。 2）登錄 webui，界面如下圖。 輸入默認的管理員用戶名 administrator 和密碼 password。還可以在“語言”處選 擇 webui

17、 界面的顯示語言，可選項為：english、“簡體中文”或“繁體中文”。 然后單擊“登錄”按鈕即可。 也可以登錄后選擇菜單 管理管理 系統(tǒng)設置系統(tǒng)設置 語言語言，選擇 webui 顯示語言，如下 圖所示。 選擇語言后點擊“應用”按鈕即可。 5.1.3 通過通過 ssh 協(xié)議登錄設備協(xié)議登錄設備 ssh（secure shell，安全外殼）是一個用于在非安全網(wǎng)絡中提供安全的遠程登錄 以及其他安全網(wǎng)絡服務的協(xié)議。當用戶通過非安全的網(wǎng)絡環(huán)境遠程登錄到設備時，每 次發(fā)送數(shù)據(jù)前，ssh 都會自動對數(shù)據(jù)進行加密，當數(shù)據(jù)到達目的地時，ssh 自動對加 密數(shù)據(jù)進行解密，以此提供安全的信息保障，以保護設備不受諸

18、如明文密碼截取等攻 擊。除此之外，ssh 還提供強大的認證功能，以保護不受諸如“中間人”等攻擊方式 的攻擊。ssh 采用客戶端服務器模式。 anchiva waf 設備可以作為 ssh 服務器接受 ssh 客戶端的連接并提供認證。管理 員可以在本地主機上使用支持 ssh 的客戶端軟件，如用于 unix 系統(tǒng)的 openssh， 或用于 32 位 windows 平臺的 putty， 來登錄 waf 設備。管理員通過認證后， 管理主機與 waf 設備之間建立 ssh 連接，可以通過 ssh 協(xié)議遠程管理 waf 設備。 waf 設備作為設備作為 ssh 服務器的相關配置：服務器的相關配置： wa

19、f 設備作為 ssh 服務器接收管理員的 ssh 協(xié)議連接請求，需要在設備的相應 端口開放 ssh 服務。 出廠配置中，設備的 eth0 口為管理端口，在 eth0 口默認開放 ssh 服務，管理員可 以通過 eth0 口與設備建立 ssh 連接，查看 eth0 口開放的服務使用如下命令： #show interface eth0 manage 結果顯示為：https、ssh、ping。表示 eth0 口開放 https 服務、ssh 服務和 ping 服務。 如果管理員需要通過其他端口與設備建立 ssh 連接，則需要在相應接口開放 ssh 服務。 例如要在 eth2 口開放 ssh 服務，在

20、 cli 下的配置命令為： #set interface eth2 manage ssh 在 webui 界面操作為： 1）選擇導航菜單 管理管理 網(wǎng)絡配置網(wǎng)絡配置 網(wǎng)絡接口網(wǎng)絡接口，界面如下圖所示。 2）點擊 eth2 口左側的“選擇”一欄，然后點擊“編輯”按鈕；或者直接點擊 eth2，進入設置界面，如下圖所示。 在“管理訪問”處選擇“ssh”，然后點擊“應用”按鈕即可。 ssh 客戶端配置：客戶端配置： ssh 客戶端軟件有很多，例如 putty、openssh 等。用戶可根據(jù)自己的具體情況 決定使用的 ssh 客戶端軟件。下面以 putty 為例介紹 ssh 客戶端的相關配置： 1）運行

21、 putty.exe 文件，出現(xiàn)如下圖所示配置界面。 2）設置連接的協(xié)議類型，以及服務器參數(shù)。 在“host name（or ip address）”文本框中輸入 ssh 服務器的 ip 地址，在 “port”處保證連接端口號為 22。 在“connection type”處選擇連接的協(xié)議類型為“ssh”，出現(xiàn)如下圖所示的界面。 如果需要保存此連接，請在“saved session”處輸入保存名稱，并點擊“save”按 鈕，則該連接將保存在下面的文本框中，下次直接選擇該連接，并點擊“l(fā)oad”按鈕即 可，無需再次輸入 ssh 服務器的名稱和端口號等信息。 3）單擊“open”按鈕，出現(xiàn)如所示的

22、 ssh 客戶端界面，如果連接正常則會提示 用戶輸入用戶名和密碼。 輸入正確的管理員名和密碼信息后，進入配置界面，如下圖所示。 5.2更改管理員密碼更改管理員密碼 出于安全考慮，首次登錄后建議超級管理員修改“administrator”賬戶的密碼。 在 cli 下的配置命令為： #set admin administrator password 123456 在 webui 下的配置步驟為： 1）選擇菜單 管理管理 訪問管理訪問管理 用戶賬號，用戶賬號，修改“administrator”賬戶的密碼， 界面如下圖所示。 點擊管理員名稱“administrator”，彈出如下圖所示界面。 輸入默認

23、密碼“password”，然后在“新密碼”和“確認新密碼”處重復輸入相同 的密碼，點擊“應用”按鈕即可。 5.3配置接口參數(shù)配置接口參數(shù) 登錄設備后管理員可以修改接口參數(shù)，包括修改接口的工作模式、更改物理接口 或 vlan 虛接口的 ip、啟用接口的管理服務等。 5.3.1 cli 配置步驟配置步驟 下面以 eth0 為例進行介紹在 cli 下如何設置接口參數(shù)。 1）查看接口的工作模式 在上圖中輸入命令：show interface eth0，執(zhí)行結果為： eth0 link encap:ethernet mode:trunkmode:trunkmode:trunk hwaddr 00:e0:

24、81:43:6c:87 addr: bcast: mask: mtu:1500 rx packets:22069891 errors:9 dropped:0 overruns:0 tx packets:32376395 errors:0 dropped:0 overruns:0 collisions:0 link: yes link type: autonegotiation, duplex: full, speed: 100mbps rx:off tx:off autoneg:on internet mode: no inbound:enable 上

25、圖紅色字體中的內容表明接口工作在透明模式，且屬于 trunk vlan。 2）設置接口工作模式。默認接口工作在透明模式。 設置為路由模式：set interface eth0 mode route 設置為透明模式：set interface eth0 mode transparent 3）設置物理接口或 vlan 虛接口的 ip 地址 當接口工作在路由模式時設置物理接口 ip 地址即可。當接口工作在透明模式時則 需要設置所屬的 vlan 虛接口的 ip 地址。 添加接口添加接口 ip 命令為：命令為：set interface if_name ip a.b.c.d/m 設置物理口的 ip 地址

26、，例如設置 eth3 口 ip 為 /24： set interface eth3 ip /24 設置 vlan 虛接口的 ip 地址，例如設置 vlan1 的 ip 為 /24： set interface vlan1 ip /24 刪除接口刪除接口 ip 的命令為：的命令為：unset interface if_name 刪除物理口的 ip 地址，例如刪除 eth3 口的 ip：unset interface eth3 刪除 vlan 虛接口的 ip 地址，例如刪除 vlan1 的 ip：unset inter

27、face vlan1 需要注意的是，更改需要注意的是，更改 vlan 虛接口虛接口 ip 后，原有的后，原有的 ssh 連接會斷開，需要管理員連接會斷開，需要管理員 重新建立重新建立 ssh 連接，才能繼續(xù)進行連接，才能繼續(xù)進行 cli 配置。配置。 4）如果管理員需要通過其他端口與設備建立 https 連接或者 ssh 連接，則需要 在相應接口啟用 https 服務或者 ssh 服務。下面以 eth2 口為例進行說明。 啟用接口的 https 服務：set interface eth2 manage https 禁用接口的 https 服務：unset interface eth2 mana

28、ge https 啟用接口的 ssh 服務：set interface eth2 manage ssh 禁用接口的 ssh 服務：unset interface eth2 manage ssh 5.3.2 webui 配置步驟配置步驟 webui 下配置接口參數(shù)的步驟為： 1）查看接口配置 選擇導航菜單 管理管理 網(wǎng)絡配置網(wǎng)絡配置 網(wǎng)絡接口網(wǎng)絡接口，界面如下圖所示。 可以查看接口的簡單配置信息。在“模式”一欄可以查看各個接口的工作模式。 2）更改 vlan1 的 ip 地址。 選擇 vlan1 然后點擊“編輯”按鈕，或者直接單擊 vlan1 名稱，修改 vlan 虛 接口的默認 ip 地址，界

29、面如下圖所示。 設置完成后，點擊“應用”按鈕保存設置。設置后原有的連接將會斷開，需要管 理員使用新的 ip 地址登錄 waf 設備。 3）如果管理員需要通過其他端口與設備建立 https 連接，則需要在相應接口開 放 https 服務。下面以 eth2 口為例進行說明。 點擊 eth2 口左側的“選擇”一欄，然后點擊“編輯”按鈕；或者直接點擊 eth2， 進入設置界面，如下圖所示。 在“管理訪問”處選擇“https”，然后點擊“應用”按鈕提交并保存配置。 5.4添加默認路由添加默認路由 如果管理員想通過不同的網(wǎng)段對設備進行管理，則需要添加默認路由。而且設備 上所有特征庫的更新都需要通過連接 a

30、sdn 服務器來進行，也要求必須添加默認路由。 添加默認路由的步驟為： 1）選擇 管理管理 網(wǎng)絡設置網(wǎng)絡設置 路由表路由表。點擊“添加”按鈕，界面如下圖所示。 勾選“添加為默認網(wǎng)關”，并設置 vlan 虛接口所在網(wǎng)段的默認網(wǎng)關。 2）點擊“應用”按鈕保存并提交配置。 5.5 配置配置 dns 服務器服務器 對于 anchiva 網(wǎng)關來說，所有特征庫的更新都是通過連接到服務器的域名來進行 的，因此必須設置 dns 服務器。 選擇 管理管理 系統(tǒng)設置系統(tǒng)設置 主機主機，在下圖中配置 dns 服務器。 設置完成后，點擊“應用”按鈕使設置生效。 5.6 導入導入 license 管理員導入許可證，相應

31、模塊的過濾功能才能生效。 1）選擇 管理管理 維護維護 許可證許可證，導入 license 文件。 2）點擊“瀏覽”按鈕，選擇許可證文件。 3）點擊“應用”按鈕完成導入。 期待結果及驗證期待結果及驗證: “web 應用防火墻許可證”的狀態(tài)由“無效”變?yōu)椤坝行А?，并會顯示有效日期。 5.7 導入特征庫導入特征庫 導入 license 文件后，需要管理員設置參數(shù)連接 anchiva 公司的 asdn 服務器導入 特征庫。更新特征庫有 3 種方式： 定期連接服務器更新 手動連接服務器立即更新 本地導入特征庫文件進行更新 1、選擇菜單 管理管理 系統(tǒng)維護系統(tǒng)維護 更新更新 特征庫特征庫。 2 設置定期

32、更新特征庫設置定期更新特征庫 管理員可以設置系統(tǒng)按照固定的時間間隔（每隔數(shù)小時）或設置每天的某個時刻， 連接“anchiva 更新中心”獲取最新的更新信息。 3 手動更新特征庫手動更新特征庫 即便配置了自動更新功能，您仍可手動更新相應的特征庫。 在“手動更新”下，選擇需要更新的特征庫，然后點擊“應用”按鈕系統(tǒng)將立即 連接更新服務器完成手動更新。 4 離線更新特征庫離線更新特征庫 管理員可以通過從本地導入更新文件對特征庫進行離線升級。 在“本地更新”下，選擇需要更新的特征庫，并單擊“瀏覽”來選擇您本地 pc 機 上的特征庫文件，然后點擊“應用”按鈕提交設定。 5.8更改接口默認配置更改接口默認配

33、置 默認配置中，所有的接口均為信任接口，即對于從所有接口發(fā)出的請求及收到的 響應都不進行安全檢查。選擇 管理管理 網(wǎng)絡配置網(wǎng)絡配置 網(wǎng)絡接口網(wǎng)絡接口，界面顯示如下圖所示： 因此，將 waf 設備部署在用戶網(wǎng)絡中后，首先應該修改接口的屬性，將與客戶端 連接一端的物理接口設置為“非信任接口”，則對于客戶端發(fā)出的請求和收到的響應 均進行攻擊、病毒等的掃描，從而起到保護 web 服務器的目的。 5.9 添加添加 url 安全策略安全策略 出廠配置中內置了一條 url 安全策略“default-security-policy”，配置了對 web 服務器進行保護的基本的安全策略。管理員可以在服務器安全組中直接引用該默認的 策略，也可以修改該