1.1 概述
随着网络信息化的发展,越来越多的企业利用WEB应用系统提供客户服务,进行产品推广、市场宣传、培训服务、远程服务协作甚至网上交易。WEB2.0的发展更是加强了用户和WEB服务之间的交互性,但是各种安全问题也随之而来。WEB应用数据被窃取、网页被篡改,甚至WEB站点成为传播木马的傀儡,给更多访问者造成危害,带来损失;也对政府、公司形象造成严重的破坏。
WEB防护功能通过增加WEB应用防护策略,匹配条件是源地址、目的地址(Web服务器地址)和端口,同时在策略下配置各个防护功能(规则防护、精确访问控制、防盗链、CSRF攻击防护、cc攻击防护、应用隐藏、网页防篡改),当报文匹配策略时,就会逐一进行防护功能的处理,并执行相应的动作。可以帮助用户进行Web安全防御,提高网站安全性,而且集成了网络爬虫识别和过滤、网站资源盗链防护、内容关键字过滤、HTTP协议合规性和URL参数合规性检查等功能,帮助用户对网站的访问进行过滤和优化,提高网站运营的稳定性和服务质量。
1.2 配置WEB防护
在配置之前,需完成以下任务:
· 配置相关接口的物理参数。
· 配置相关接口的链路层属性。
· 配置相关接口的IP地址。
按表1-1所示步骤配置WEB防护。
1.3 WEB防护配置举例
某公司内网存在两个WEB服务器通过DNAT方式可从外网访问,IP地址分别为100.1.1.1/24和100.1.1.2/24。使用设备的作为出口网关,启用WEB防护功能,对内网WEB服务器进行保护。
图1-1 资产管理组网图
· 配置防护策略,决定需要对IP地址的检测范围。
· 配置规则防护,决定需要对哪些事件做检测,并决定检测到攻击之后的日志和动作,可以使用系统预定义的规则集,也可以自定义新的规则集。
· 配置防盗链,对其它网站盗用本网站的链接检测,并决定检测到攻击之后的日志和动作。
· 配置CSRF攻击防护,对跨站请求伪造的链接检测,并决定检测到攻击之后的日志和动作。
· 配置CC攻击防护,对大量资源请求消耗本站资源进行防护,并决定检测到攻击之后的日志和动作。
· 配置应用隐藏,对站点服务信息进行隐藏,并决定检测到攻击之后的日志和动作。
· 配置网页防篡改,对站点资源进行保护,并决定检测到攻击之后的日志和动作。
(1) 全局模式下进入system-view下进入WEB防护配置视图。
host# system-view
host(config)# web-defend policy 1 any service 80
(2) 配置规则防护。
host(config-web-defend-policy)# rule-defend log on
host(config-web-defend-policy)# rule-defend enable
(3) 配置防盗链
host(config-web-defend-policy)# anti-steal-link type site
host(config-web-defend-policy)# anti-steal-link log alert
host(config-web-defend-policy)# anti-steal-link action permit
host(config-web-defend-policy)# anti-steal-link enable
(4) 配置CSRF攻击防护策略
host(config-web-defend-policy)# csrf-defend enable
host(config-web-defend-policy)# csrf-defend url content
Please input the url, length scope is 1-127. It is case insensitive, can not include space and should start with "/": /
host(config-web-defend-policy-csrf)# permit referer content
Please input the referer, maximum length is 127. It is case insensitive, can not include space and should start with "http://": http://100.1.1.1
host(config-web-defend-policy-csrf)# action permit
host(config-web-defend-policy-csrf)# log alert
host(config-web-defend-policy-csrf)# enable
(5) 配置CC攻击防护策略
host(config-web-defend-policy)# cc-defend type site
host(config-web-defend-policy)# cc-defend action permit
host(config-web-defend-policy)# cc-defend log alert
host(config-web-defend-policy)# cc-defend enable
(6) 配置应用隐藏
host(config-web-defend-policy)# application-hide server
host(config-web-defend-policy)# application-hide x-powered-by
host(config-web-defend-policy)# application-hide replace 4xx
host(config-web-defend-policy)# application-hide replace 5xx
host(config-web-defend-policy)# application-hide log alert
host(config-web-defend-policy)# application-hide enable
(7) 配置网页防篡改
host(config-web-defend-policy)# anti-tamper start-url /login.html
host(config-web-defend-policy)# anti-tamper action permit
host(config-web-defend-policy)# anti-tamper log alert
host(config-web-defend-policy)# anti-tamper enable
进入“数据中心>日志中心>安全日志>WEB防护日志”页面,进入规则防护日志显示页面。如匹配到规则防护策略,可查看对应的日志信息,如图1-2所示。
进入“数据中心>日志中心>安全日志>WEB防护日志”页面,进入高级防护日志显示页面。如匹配到高级防护策略,可查看对应的日志信息,如图1-3图1-2所示。
原文链接:https://www.h3c.com/cn/d_202104/1406846_30005_0.htm
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/21330
