Imperva-WAF實(shí)施方案

1、IMPERVA WAF實(shí)施方案2015年7月15日目錄 TOC o 1-3 h z u HYPERLINK l _Toc424740592 1項(xiàng)目概述 PAGEREF _Toc424740592 h 3 HYPERLINK l _Toc424740593 2方案設(shè)計(jì) PAGEREF _Toc424740593 h 3 HYPERLINK l _Toc424740594 2.1設(shè)備簡介 PAGEREF _Toc424740594 h 3 HYPERLINK l _Toc424740595 2.2WEB安全 PAGEREF _Toc424740595 h 4 HYPERLINK l _Toc424

2、740596 3部署環(huán)境 PAGEREF _Toc424740596 h 4 HYPERLINK l _Toc424740597 4網(wǎng)絡(luò)環(huán)境準(zhǔn)備 PAGEREF _Toc424740597 h 5 HYPERLINK l _Toc424740598 5實(shí)施人員安排 PAGEREF _Toc424740598 h 7 HYPERLINK l _Toc424740599 6實(shí)施計(jì)劃 PAGEREF _Toc424740599 h 7 HYPERLINK l _Toc424740600 7實(shí)施詳細(xì)配置 PAGEREF _Toc424740600 h 8 HYPERLINK l _Toc4247406

3、01 7.1設(shè)備初始化 PAGEREF _Toc424740601 h 8 HYPERLINK l _Toc424740602 7.2安裝補(bǔ)丁 PAGEREF _Toc424740602 h 13 HYPERLINK l _Toc424740603 7.3ADC更新 PAGEREF _Toc424740603 h 15 HYPERLINK l _Toc424740604 7.4保護(hù)站點(diǎn)建立 PAGEREF _Toc424740604 h 17 HYPERLINK l _Toc424740605 7.5策略設(shè)置 PAGEREF _Toc424740605 h 19 HYPERLINK l _To

4、c424740606 7.6特征模型學(xué)習(xí) PAGEREF _Toc424740606 h 26 HYPERLINK l _Toc424740607 7.7日志查看 PAGEREF _Toc424740607 h 27 HYPERLINK l _Toc424740608 7.8系統(tǒng)狀態(tài)查看 PAGEREF _Toc424740608 h 28 HYPERLINK l _Toc424740609 7.9郵件發(fā)送告警 PAGEREF _Toc424740609 h 29 HYPERLINK l _Toc424740626 7.9.1系統(tǒng)配置 PAGEREF _Toc424740626 h 29 HY

5、PERLINK l _Toc424740627 7.9.2郵件外發(fā)操作Action Sets配置 PAGEREF _Toc424740627 h 30 HYPERLINK l _Toc424740628 7.9.3報(bào)告外發(fā)配置 PAGEREF _Toc424740628 h 31項(xiàng)目概述互聯(lián)網(wǎng)上攻擊種類日益繁多，當(dāng)WEB應(yīng)用越來越為豐富的同時(shí)，WEB應(yīng)用也逐漸成為主要攻擊目標(biāo)，SQL注入、跨站腳本、爬蟲、網(wǎng)頁篡改和掛馬、目錄遍歷等應(yīng)用層攻擊手段威脅著網(wǎng)頁應(yīng)用的安全。方案設(shè)計(jì)設(shè)備簡介Imperva SecureSphere硬件平臺(tái)提供了卓越的性能和高可靠性，適合于各種網(wǎng)絡(luò)環(huán)境。硬件平臺(tái)提供Fai

6、l Open的網(wǎng)卡，可在出現(xiàn)故障時(shí)快速實(shí)現(xiàn)故障切換。設(shè)備還提供帶外管理接口，提高了管理的安全性。前面板的各種提示信息也方便用戶快速了解設(shè)備運(yùn)行狀態(tài)。用戶可以根據(jù)需要監(jiān)測的數(shù)據(jù)庫流量來選擇合適的硬件網(wǎng)關(guān)。此次項(xiàng)目選擇的是X2500安全網(wǎng)關(guān)：規(guī)格X2500容錯(cuò)性兩個(gè)熱拔插硬盤、電源和風(fēng)扇吞吐量500 Mbps等待時(shí)間亞毫秒接口6 x 10/100/1000 Mbps（最多 4 個(gè)光纖接口）接口類型銅線或光纖 SX最大網(wǎng)絡(luò)段數(shù)(2) 橋接器；(5) 代理，非在線故障直通（僅供橋接）2 個(gè) bypass 網(wǎng)段硬盤2 個(gè) 500 GB 熱拔插硬盤內(nèi)存4 GB串行端口RJ45 連接器USB 端口2SSL

7、加速可選光纖通道、LOM 或 HSM可選電源雙電源 400 W交流電源100-240V，50-60Hz典型耗電量190 W典型熱輸出650 BTU小時(shí)外形2U尺寸17.4 x 20.1 x 3.46 英寸443 x 512 x 88 毫米重量50.44 磅（22.9 公斤）工作環(huán)境溫度：5 - 40 C相對(duì)濕度：20% - 90%存放環(huán)境溫度：0 - 70 C相對(duì)濕度：20% - 90%安全機(jī)構(gòu)認(rèn)證CE/FCC/cTUVus/VCCIWEB安全WEB安全防護(hù)使用2臺(tái)X2500硬件型號(hào)的網(wǎng)關(guān)。兩臺(tái)WAF X2500均采用透明橋模式部署。根據(jù)產(chǎn)生的告警，保護(hù)網(wǎng)站安全。透明橋模式部署具有容易部署，對(duì)

8、現(xiàn)有網(wǎng)絡(luò)拓?fù)溆绊懶。O(shè)備支持軟硬件BYPASS，即使當(dāng)硬件損壞或關(guān)閉電源時(shí)，也不影響業(yè)務(wù)。等一系列優(yōu)點(diǎn)。部署環(huán)境下圖采用透明橋的部署方式進(jìn)行部署：拓?fù)湔f明：采用透明橋接的方式對(duì)WEB網(wǎng)站進(jìn)行防護(hù)；Imperva X2500接在網(wǎng)頁應(yīng)用服務(wù)器之前；采用獨(dú)立的管理接口，可以放置在任何的管理網(wǎng)段，例如帶外管理維護(hù)網(wǎng)段；X2500可檢測和保護(hù)500M 網(wǎng)頁流量；系統(tǒng)可無縫結(jié)合企業(yè)現(xiàn)有的安全事件管理平臺(tái)；網(wǎng)絡(luò)環(huán)境準(zhǔn)備為了保證實(shí)施可以順暢進(jìn)行，在實(shí)施開始之前，需要用戶進(jìn)行以下配合工作：請(qǐng)確認(rèn)設(shè)備上架位置和空間，為標(biāo)準(zhǔn)2U設(shè)備，冗余電源設(shè)計(jì)，保證有兩路電源。請(qǐng)告知要保護(hù)的Web服務(wù)器的臺(tái)數(shù)以及IP地址、服務(wù)

9、端口信息；X2500_1IP地址和掩碼備注受保護(hù)的Web服務(wù)器1IP：Port:是否啟用SSL： 受保護(hù)的Web服務(wù)器2IP：Port:是否啟用SSL：受保護(hù)的Web服務(wù)器5IP：Port:是否啟用SSL：X2500_2IP地址和掩碼備注受保護(hù)的Web服務(wù)器1IP：Port:是否啟用SSL： 受保護(hù)的Web服務(wù)器2IP：Port:是否啟用SSL：受保護(hù)的Web服務(wù)器3IP：Port:是否啟用SSL：如果要保護(hù)的Web服務(wù)有HTTPS服務(wù)需要保護(hù)，請(qǐng)?zhí)峁㏒erver的PEM格式的公鑰和私鑰，或者PKCS12格式的證書；如果采用旁路監(jiān)控部署方式，在連接Web服務(wù)器的交換機(jī)上做端口鏡像（鏡像的目的端

10、口要是RJ45端口），將Web服務(wù)器的進(jìn)出流量通過端口鏡像復(fù)制出來，接Imperva的WAF的監(jiān)控端口。如果有負(fù)載均衡設(shè)備，可以在負(fù)載均衡設(shè)備之前的交換機(jī)上面做鏡像，把訪問整個(gè)服務(wù)器組的流量鏡像到Imperva的WAF上。鏡像端口的流量需要雙向流量。請(qǐng)分配一個(gè)管理的IP地址給SecureSphere，用于遠(yuǎn)程的管理，遠(yuǎn)程管理要用到8083（HTTPS）和22（SSH）端口。該地址需要可以訪問互聯(lián)網(wǎng)權(quán)限，用于定期更新最新的特征代碼信息。設(shè)備名稱機(jī)柜位置系統(tǒng)版本設(shè)備型號(hào)辦公網(wǎng)段管理地址運(yùn)行模式SecureSphere10.5X2500IP：MASK：GW：DNS：SecureSphere10.5X

11、2500IP：MASK：GW：DNS：如果上面分配的IP地址有訪問限制，需要開放以下權(quán)限：源地址目的地址協(xié)議/端口動(dòng)作備注管理員SecureSphere管理服務(wù)器地址808322Ntp端口Snmp端口允許允許管理員通過SSH和Https管理端口管理SecureSphere設(shè)備如果需要設(shè)備時(shí)鐘和企業(yè)NTP服務(wù)器時(shí)鐘同步，需要提供以下信息：區(qū)域ntp服務(wù)器IP地址實(shí)施人員安排甲方人員：角色姓名電話職責(zé)說明備注乙方人員：角色姓名電話職責(zé)說明備注項(xiàng)目實(shí)施人員焦遠(yuǎn)本次項(xiàng)目中，擔(dān)任技術(shù)實(shí)施人員，負(fù)責(zé)項(xiàng)目具體實(shí)施；廠商工程師：角色姓名電話職責(zé)說明備注項(xiàng)目顧問在本次項(xiàng)目中，擔(dān)任技術(shù)負(fù)

12、責(zé)，負(fù)責(zé)項(xiàng)目總體規(guī)劃、項(xiàng)目實(shí)施，技術(shù)支持實(shí)施計(jì)劃序號(hào)實(shí)施內(nèi)容內(nèi)容描述實(shí)施時(shí)間實(shí)施人員實(shí)施日期備注1設(shè)備部署規(guī)劃設(shè)備放置位置、布線等0.52IP信息規(guī)劃IP地址分配、防護(hù)服務(wù)器地址信息獲取3端口開放準(zhǔn)備開放waf相關(guān)端口，如22、8083等0.54WAF初始化設(shè)備初始化，設(shè)置IP、初始密碼、工作模式等信息5WAF上線測試WAF上架，保證業(yè)務(wù)不受影響0.56MX上線調(diào)試License激活、管理測試、服務(wù)器狀態(tài)等0.57被保護(hù)服務(wù)器信息錄入錄入被保護(hù)的服務(wù)器IP、端口等0.58動(dòng)態(tài)模型學(xué)習(xí)對(duì)用戶的訪問習(xí)慣進(jìn)行學(xué)習(xí)10-159策略微調(diào)根據(jù)具體日志信息進(jìn)行策略微調(diào)，減少因?yàn)榫幊滩灰?guī)范等導(dǎo)致誤攔截110動(dòng)

13、態(tài)模型學(xué)習(xí)繼續(xù)對(duì)用戶的訪問習(xí)慣進(jìn)行學(xué)習(xí)10-1511策略微調(diào)根據(jù)具體日志信息進(jìn)行策略微調(diào)，減少因?yàn)榫幊滩灰?guī)范等導(dǎo)致誤攔截112培訓(xùn)對(duì)工程師進(jìn)行WAF培訓(xùn)13驗(yàn)收項(xiàng)目完結(jié)驗(yàn)收實(shí)施詳細(xì)配置設(shè)備初始化設(shè)備在全新安裝完成后，需要進(jìn)行初始化。此次系統(tǒng)采用one BOX的方式進(jìn)行運(yùn)行。剛剛新安裝的系統(tǒng)啟動(dòng)完成后，將看到下面的提示頁面 2)用戶名和密碼均輸入secure可進(jìn)入設(shè)備初始化向?qū)?這里我們選擇2）OneBox，將設(shè)備初始化為OneBox工作模式，即管理服務(wù)器和網(wǎng)關(guān)在一個(gè)設(shè)備上3）系統(tǒng)提示是否要修改默認(rèn)管理口對(duì)應(yīng)的接口，缺省為eth0。 輸入n4)輸入管理接口的地址和掩碼 /275) 提示是否要設(shè)定

14、IPv6地址和LAN接口（備用管理口），均回答n 6）設(shè)置缺省網(wǎng)關(guān)和DNS 默認(rèn)網(wǎng)關(guān)：07）設(shè)置各個(gè)賬號(hào)的密碼 root賬號(hào)，linux系統(tǒng)超級(jí)管理員賬號(hào) bootloader賬號(hào)，liunx系統(tǒng)引導(dǎo)賬號(hào) secure賬號(hào)，Imperva系統(tǒng)服務(wù)和內(nèi)部通訊賬號(hào) system賬號(hào)，Imperva后臺(tái)管理服務(wù), Oracle賬號(hào) 遠(yuǎn)程賬號(hào)，默認(rèn)Imperva不允許使用root遠(yuǎn)程ssh登陸設(shè)備，必須設(shè)置一個(gè)遠(yuǎn)程賬號(hào)進(jìn)行登陸。該賬號(hào)的用戶名可以任意指定，第一次登陸時(shí)需要修改密碼。 8)設(shè)置設(shè)備主機(jī)名 9)選擇網(wǎng)關(guān)的工作模式 （Sniffing）10）選擇時(shí)區(qū)選擇5-91yes11）按Enter回車，

15、開始初始化Onebox模式初始化設(shè)備需要初始化管理服務(wù)器（包含后臺(tái)Oracle數(shù)據(jù)庫）。因此，整個(gè)初始化過程在進(jìn)入impctl boot.階段后會(huì)需要等待40分鐘左右。請(qǐng)耐心等待。安裝補(bǔ)丁 1）獲取補(bǔ)丁 Imperva設(shè)備的補(bǔ)丁和設(shè)備的安裝鏡像獲取的方法相同，可以到Imperva官方FTP上下載。 2）上傳補(bǔ)丁 缺省系統(tǒng)不允許使用root賬號(hào)ssh登陸。這里需要使用之前初始化過程中新建的遠(yuǎn)程賬號(hào)impadmin來登陸。而遠(yuǎn)程賬號(hào)第一次登陸時(shí)需要修改密碼，大家需要在完成修改密碼后，才能成功登陸。 上傳工具比較多，可以采用sftp、scp等工具上傳。3）安裝補(bǔ)丁 進(jìn)入上傳補(bǔ)丁的目錄，為補(bǔ)丁文件添加

16、可執(zhí)行權(quán)限。命令如下： #cd /home/remoteadmin #chmod +x SecureSphereV10.0.0-x86_64-Patch4_16.x #./ SecureSphereV10.0.0-x86_64-Patch4_16.x 補(bǔ)丁安裝完成后，會(huì)要求重啟服務(wù)器4）確認(rèn)補(bǔ)丁 可以在命令行下輸入下面的命令，查看補(bǔ)丁的安裝情況：cat /opt/SecureSphere/etc/patch_levelLicense 導(dǎo)入 系統(tǒng)在第一次登陸時(shí)，需要重置admin的密碼，以及導(dǎo)入License。ADC更新 ADC （Application Defence Center）即：應(yīng)用防

17、護(hù)中心，是一個(gè)國際知名的安全研究機(jī)構(gòu)，他們持續(xù)調(diào)查全球各地報(bào)告的新應(yīng)用漏洞，分析來自各種真實(shí)漏洞研究來識(shí)別最新威脅。Imperva設(shè)備可以手動(dòng)或自動(dòng)更新ADC庫，手動(dòng)更新需要通過web界面登錄，點(diǎn)擊“Admin”“ADC”“Download”下載最新的ADC庫文件，文件大概6M左右，然后再通過“瀏覽”選擇下載的文件，點(diǎn)擊“upload”上傳最新的ADC庫文件，需要將近10分鐘時(shí)間。下載ADC內(nèi)容：上傳ADC更新:上傳完后，檢查是否已經(jīng)更新至最新：保護(hù)站點(diǎn)建立 保護(hù)站點(diǎn)的建立是WAF中最重要的部分，如果不建立，所需要保護(hù)的站點(diǎn)都不會(huì)進(jìn)行保護(hù)。其中非常重要的三個(gè)關(guān)鍵因素：IP、端口、字符集。1）建

18、立sites建立Server Group輸入IP地址注意：Server Group添加完成后，默認(rèn)的Operation Mode為Simulation方式，即模擬運(yùn)行，不會(huì)做任何真實(shí)的阻斷，但是會(huì)像真實(shí)運(yùn)行模式一下生成各種告警日志。最后點(diǎn)擊save按鈕保存建立Service端口、字符集設(shè)置條件，最好跟WAF安全策略一一對(duì)應(yīng)。策略設(shè)置默認(rèn)策略 由于考慮到新接入應(yīng)用系統(tǒng)網(wǎng)絡(luò)中，建議采用默認(rèn)策略進(jìn)行對(duì)WEB應(yīng)用服務(wù)器防護(hù)。其具體默認(rèn)策略如下：具體策略清單如下：服務(wù)器層安全策略（IP層）策略類型策略名稱備注和說明Firewall PolicyFirewall Policy基于端口的訪問控制規(guī)則Netw

19、ork Protocol ValidationNetwork Protocol Violations Policy通用網(wǎng)絡(luò)協(xié)議校驗(yàn)的規(guī)則，例如防止LAND攻擊、網(wǎng)絡(luò)碎片等Stream SignatureRecommended Signatures Policy for General Applications通用網(wǎng)絡(luò)協(xié)議特征簽名規(guī)則，例如防止網(wǎng)絡(luò)蠕蟲等服務(wù)層安全策略（HTTP/s協(xié)議層）策略類型策略名稱備注和說明HTTP Protocol SignaturesRecommended Signatures Policy for Web ApplicationsHttp協(xié)議特征簽名規(guī)則Web服務(wù)關(guān)

20、聯(lián)驗(yàn)證Web關(guān)聯(lián)策略Web關(guān)聯(lián)策略Web Service CustomApache Expect Header XSSWeb Service CustomAutomated Site Reconnaissance/Access自動(dòng)網(wǎng)站探查發(fā)現(xiàn)Web Service CustomAutomated Vulnerability Scanning自動(dòng)漏洞掃描發(fā)現(xiàn)Web Service CustomCVE-2010-3332 ASP Parameter Padding Oracle Brute ForceASP漏洞策略Web Service CustomCVE-2010-3332 ASP URL Pa

21、dding Oracle Brute ForceASP漏洞策略Web Service CustomCVE-2010-4437:Oracle WebLogic Session FixationOracle漏洞策略Web Service CustomCVE-2011-3190: Apache Tomcat AJP Message Injection Authentication BypassApache 漏洞策略Web Service CustomCVE-2011-3192:Apache httpd Range Remote DOSApache 漏洞策略Web Service CustomCVE-

22、2011-3368: Apache Malformed URIApache 漏洞策略Web Service CustomCVE-2011-3829: Support Incident Tracker Path Disclosure(and others)漏洞策略Web Service CustomCVE-2011-3833: Support Incident Tracker File Upload PHP CE(and others)漏洞策略Web Service CustomCVE-2011-4898: WordPress wp-admin/setup-config.php MySQL Cr

23、edentials Disclosure(and others)漏洞策略Web Service CustomCVE-2011-5057: Apache Struts Session Tampering Security Bypass VulnerabilityApache漏洞策略Web Service CustomCVE-2012-0053: Apache httpd Cookie ExposureApache漏洞策略Web Service CustomCVE-2012-0297: Symantec Web Gateway ipchange.php Command Injection漏洞策略W

24、eb Service CustomCVE-2012-0911: Tiki Wiki CMS Groupware unserialize PHP CE漏洞策略Web Service CustomCVE-2012-1670: PHP Grade Book Unauthenticated SQL Database Export漏洞策略Web Service CustomCVE-2012-1823: PHP-CGI Query String Parameter Injection漏洞策略Web Service CustomCVE-2012-1902: phpMyAdmin show config er

25、rors.php Path Disclosure漏洞策略Web Service CustomCVE-2012-4255: MySQLDumper Multiple Script Direct Request Information Disclosure (and others)漏洞策略Web Service CustomCVE-2012-4926: ImgPals Photo Host Admin Account Disactivation漏洞策略Web Service CustomCross Site Request ForgeryCSRF規(guī)則Web Service CustomDirect

26、ory Traversal (In Cookies/Parameters Value)防止目錄穿越規(guī)則Web Service CustomDirectory Traversal (In URL)防止目錄穿越規(guī)則Web Service CustomDirectory Traversal (In URL) - Basic Rule防止目錄穿越規(guī)則Web Service CustomDoS Mitigation - Resource Response Time (Template Policy)Dos緩解策略-資源響應(yīng)時(shí)間Web Service CustomDoS Mitigation - Reso

27、urce Size (Template Policy)Dos緩解策略-資源大小Web Service CustomFile Download Injection文件下載注入Web Service CustomFullwidth/Halfwidth Unicode Decoding全角半角編碼識(shí)別Web Service CustomHTTP Response Splitting VulnerabilityHTTP快速響應(yīng)攻擊Web Service CustomIE Discussion Bar- Access to Internal InformationWeb Service CustomII

28、S Code UploadWeb Service CustomINJ-18148: WebCalendar Pre-Auth Remote Code InjectionWebCalendar預(yù)授權(quán)注入Web Service CustomINJ-18164: OpenCart Path DisclosureOpenCart 機(jī)密路徑Web Service CustomINJ-18742: Discuz Information Disclosure論壇機(jī)密信息Web Service CustomJava Double Precision Non Convergence DoSWeb Service

29、 CustomMSSQL Data Leakage through ErrorsWeb Service CustomMalformed HTTP Attack (Non compatible HTTP Results Error code)畸形 HTTP 攻擊（不兼容的 HTTP 結(jié)果錯(cuò)誤代碼）Web Service CustomOS Command InjectionOS命令注入Web Service CustomPHP Double Precision Non Convergence DoSWeb Service CustomPlain Vanilla Scanner Detection純

30、漏洞掃描偵測Web Service CustomSuspicious Response Code出現(xiàn)大量可以Http響應(yīng)代碼偵測Web Service CustomSystem32 Access系統(tǒng)目錄訪問偵測Web Service CustomThreatRadar - Anonymous Proxies信譽(yù)檢查-威脅雷達(dá)發(fā)現(xiàn)匿名代理Web Service CustomThreatRadar - Malicious IPs信譽(yù)檢查-威脅雷達(dá)發(fā)現(xiàn)惡意源地址Web Service CustomThreatRadar - Phishing URLs信譽(yù)檢查-威脅雷達(dá)發(fā)現(xiàn)釣魚網(wǎng)站鏈接Web Serv

31、ice CustomThreatRadar - TOR IPs信譽(yù)檢查-威脅雷達(dá)發(fā)現(xiàn)Tor網(wǎng)絡(luò)IPWeb Service CustomThreatRadar - SQL Injection IPs信譽(yù)檢查-威脅雷達(dá)SQL注入Web Service CustomWEB MISC Unauthorized File AccessWEB跨權(quán)限文件訪問Web Service CustomWEB-FRONT External Access to Internal InformationWeb Service CustomWEB-FRONTAccess to Sensitive Internal Info

32、rmationWeb Service CustomeMail Hoarding防止eMail地址爬取應(yīng)用層安全策略策略類型策略名稱備注和說明Web ProfileWeb Profile Policy基于網(wǎng)頁特征模型的策略，可檢測超出網(wǎng)頁正常行為基線的異常網(wǎng)頁訪問行為Web WormWeb Worm Policy網(wǎng)頁蠕蟲的檢測規(guī)則自定義策略在上述默認(rèn)策略無法滿足用戶需求或者測試需求的時(shí)候，可以通過啟用更多策略模板中的策略或者自定義策略來完成。1）啟用其他策略模板在Imperva提供策略模板中還提供了信用卡信息泄露的策略模板，默認(rèn)沒有啟用。我們可以直接進(jìn)入Policy Security，選擇對(duì)應(yīng)的

33、安全策略，然后啟用。查看策略模板，如果有需要可以進(jìn)行修改：應(yīng)用到指定的保護(hù)對(duì)象上 2）完全自定義策略通常在進(jìn)行WEB防護(hù)時(shí)，都會(huì)遇到一些非常棘手的事情，可能會(huì)遇到WAF對(duì)少數(shù)的攻擊沒有產(chǎn)生告警或者阻攔，那么這時(shí)就需要完全手動(dòng)添加一條策略。 首先需要分析其具體攻擊類型，確定屬于哪一類攻擊，這里以特征簽名為例。例如：參數(shù)輸入中包含“cmd.exe”.新建特征簽名組：【Main】【Setup】【Signature】【Create Manual Dictionary】填寫相關(guān)信息：建立特征簽名： 填寫特征簽名具體的特征：建立完成后會(huì)出現(xiàn)一條特征簽名：新建安全策略：【Main】【Policies】【Se

34、curity】【+】【W(wǎng)EB Application】填寫策略名稱及選擇策略類型：設(shè)置安全策略條件，由于基于特征簽名的策略，那么就只需要選擇signatures這個(gè)條件，如果需要添加其他條件，那么只需將綠色的箭頭移上即可添加：特征模型學(xué)習(xí)Imperva SecureSphere的防護(hù)的一個(gè)創(chuàng)新是基于應(yīng)用層交互內(nèi)容的安全檢測。在這個(gè)層次建立了非常深入復(fù)雜的策略。即，對(duì)訪問的URL、動(dòng)態(tài)頁面?zhèn)鬟f參數(shù)、Cookie傳遞的參數(shù)等進(jìn)行監(jiān)測，對(duì)比正常的訪問行為基線；如明顯偏離正常行為模式則可產(chǎn)生告警和即時(shí)阻斷。策略的產(chǎn)生主要由設(shè)備的自學(xué)習(xí)功能完成，無需人工干預(yù)，而且還可以根據(jù)Web應(yīng)用的變化進(jìn)行自適應(yīng)調(diào)整

35、。同時(shí)，管理人員還可以進(jìn)行微調(diào)，以得到最優(yōu)的“充分必要”的策略。Web特征模型學(xué)習(xí)主要是根據(jù)用戶訪問的數(shù)量來決定是否學(xué)習(xí)到，也決定學(xué)習(xí)的快慢程度。 從上圖可以看到學(xué)習(xí)的具體頁面以及每個(gè)頁面的具體參數(shù)。日志查看 Imperva WAF日志查看主要分Alert 查看和violation查看。Alart查看是將同類的攻擊匯聚在一起，方便日志的檢索及查看；Violation查看是將每次攻擊都展開，可以更直觀的查看每條違規(guī)信息。1）告警日志查看【Main】【Moniter】【Alerts】2）違規(guī)操作日志查看【Main】【Moniter】【Violation】系統(tǒng)狀態(tài)查看 通過系統(tǒng)狀態(tài)查看，可以看到具體Imperva設(shè)備的使用率以及受保護(hù)的站點(diǎn)情況?？梢钥吹奖槐Ｗo(hù)的服務(wù)器組前面有綠色的勾，表示配置正常。如果出現(xiàn)紅色叉或者有感嘆號(hào)的勾則表示異常，這里的！標(biāo)示web訪問是加密的，所以顯示為??；如果現(xiàn)實(shí)為X 說明WEB服務(wù)器不可用，即可能WEB無法訪問。在被保護(hù)服務(wù)器后面的統(tǒng)計(jì)中，可看到有對(duì)應(yīng)的WEB連接數(shù)和Http點(diǎn)擊數(shù)的統(tǒng)計(jì)，則表示Imperva網(wǎng)關(guān)已經(jīng)成功檢測到被保護(hù)對(duì)象的流量。如果這里的數(shù)字始終為0，則的服