用戶手冊-freewaf使用指南

前 文檔范 獲得幫 格式約 概 產(chǎn)品概 產(chǎn)品特 產(chǎn)品 Web登錄界 登錄方 布局介 快捷功能 快速配 第一步：選擇工作模 第二步：配置工作模 第三步：配置安全策 第四步：配置服務器策 意見反 安全退 設備信 系統(tǒng)狀 CPU狀 內(nèi)存狀 硬盤狀 系統(tǒng)信 信 網(wǎng)絡帶寬實時狀 歷史狀 實時服務器性 篡改日志和報 日 日 日 管理日 篡改日 報 創(chuàng)建即 配置定 刪除選中報 列表管 設備管 部署模 網(wǎng)橋模 路由模 反向模 離線模 網(wǎng)絡配 接口配 路由配 用戶管 設備........................................................................................................................備份/恢 規(guī)則庫更 郵件.........................................................................................................診斷工 系統(tǒng)重啟/關 設 系統(tǒng)更 Web防 /白.................................................................................................IP..................................................................................................IP白..................................................................................................URL..............................................................................................URL白..............................................................................................白...............................................................................................安全策 添加安全策 編輯和刪除安全策 重寫策 添加重寫策 編輯和刪除重寫策 緩存策 添加緩存策 編輯和刪除緩存策 服務器策 添加服務策 編輯和刪除服務策 添加習列 配置和刪除習策 網(wǎng)頁防篡 FreeWAF網(wǎng)頁防篡改配 防篡改配 恢復操 Web服務器端軟件安 Linux操作系 附 管理口IP地址初始 系統(tǒng)默認賬 文檔范獲得幫 ，從那可以到FreeWAF的資料，尋找常見問題 中提交您的問題，F(xiàn)reeWAF將會盡快予以回答。格式約注意事項 ——命令和關鍵字【XXX 【A】->【B產(chǎn)品概隨著互聯(lián)網(wǎng)的廣泛使用，Web應用已經(jīng)融入到日常生活中的各個方面，例如：網(wǎng)上購物、網(wǎng)絡銀行應用、交易、行政、高校門戶、運營商增值服務等等。Web應用已成為了們關注，使得他們將注意力轉移到了對Web應用系統(tǒng)的上，利用達到其所想要的目的：如篡改網(wǎng)頁內(nèi)容、竊取重要內(nèi)部數(shù)據(jù)、在網(wǎng)頁中植入代碼使得者受到基于這個背景下，F(xiàn)reeWAF團隊發(fā)起了Web應用的開源項目，其目的是通過該項目為用戶提供一款Web應用產(chǎn)品，其命名為FreeWAF，以解決上述的困擾；同時，讓大家一起關HTTP進行雙向次檢測：對于來自Internet的進行實時防護，避免利用應用層緩沖區(qū)溢出、應用層DOS/DDOS等；同時，對Web服務器側響應的出錯信息、內(nèi)容及不圖1- 產(chǎn)品特紹一下FreeWAF功能。FreeWAF團隊認為Web應用的價值就是防護的安全、拓寬中的各類安全，如SQL注入跨站XSS跨站請求(CSRF)它提供了靈活多樣的部署方式，如：反向、網(wǎng)橋、路由、離線方式而且還包了設備的、診斷、流量分析等，比如：HTTP吞吐量、HTTP并發(fā)連接數(shù)、HTTP新建連接數(shù)、HTTP事物處理數(shù)等指標。這樣，方便了用戶的管理。FreeWAF團隊會逐步完善和增加功能，比如：負載均衡、安全評估、檢查掃描、主-產(chǎn)品各項條款的約束。如果您不同意本《協(xié)議》中的條款，、、安裝或以其他方式使用本相關的所有信息內(nèi)容為FreeWAF團隊的開源軟件，使用GPLv2證進行開源，均受著作權法和或，那么，軟件都必須要以GPLv2證來。在接受本《協(xié)議》限制條件約束下，F(xiàn)reeWAF團隊授予您以下關于本“軟件”的非獨占性， 本《協(xié)議》規(guī)定如果您要用于商業(yè)用途，則需征得FreeWAF團隊的同意和。獲得商業(yè)，F(xiàn)reeAF權力同時，也受到相關的約束和限制，本協(xié)議范圍以外的行為，將直接本協(xié)議并Web登錄界登錄方 FreeWAF的Web登錄界 建議使用IE8.0以上版本的瀏覽器，屏幕分辨率最好設置為1600×900及以初次使用本系統(tǒng)時可用默認用戶登錄，用戶名是admin，是admn。建議首次登錄后修改，具體操方法請參見7.3用管理。登錄失敗的原因有可能是：①用戶名輸入錯誤②輸入錯誤③沒區(qū)分大小寫登錄本系統(tǒng)之前，請檢查瀏覽器是否設置了彈出窗口屬性，如果是，請撤銷此設置布局介113425

圖2- FreeWAF的Web界面布//狀態(tài)區(qū)：顯示當前FreeWAF的工作狀態(tài)，包括次數(shù)、 //快速配

圖3- 4個步驟：第一步：選擇工作模式，第二步：配置工作模式，第三步：第一步：選擇工作模式第二步：配置工作模式FreeWAF支持兩大類工作方式，一種是工作方式；另一種是離線工作方式。工作方式包含三種工作模式，其分別為：網(wǎng)橋模式；路由模式；反向模式，而離線方以實時和非實時的分析流量是否存在性，適用于部署之前的準備工作，當然，方式也可以配置為僅檢測功能，其具體配置參見“Web防護”中的“服務器策略”的配置。FreeWAF部署在交換Web服務器之間，使FreeWAF設備Web服務器處于同一個局域能的集線器或者交換機設備，需要確保要檢測的HTTP流量（指定IP和端口）需要流經(jīng)該設備。與離線模式不同，該種模式是“”模式，它可以對指定的HTTP流量進行識別和。Web服務器的同時，覺察不到該設備的存在，是相對于“非透明”模式（即反向模式）而言圖3- 圖3- 用戶必須在這里或者使用CLI命令來配置橋不能在Linux的S下通過brctl命令來配置橋，橋名只能以“br”開頭并后緊跟數(shù)字，比如：br0、br1、br20等。個路由設備，可以將其作為路由器進行部署，同時確保要檢測的HTTP流量（IP和端口）經(jīng)過FreeWAF設備即可。路由也需要對原有的網(wǎng)絡拓撲結構進行修改，但路由與網(wǎng)橋最大的不同點在于，路由的兩個網(wǎng)口，一個接入到交換機上或者路由器，另外一個通往后端的服理。實際使用中，需要根據(jù)實際的拓撲情況，對安裝FreeWAF的設備的路由表進行設置。與網(wǎng)橋相同，在路由部署下，F(xiàn)reeWAF不僅能夠對數(shù)據(jù)流進行檢測，還可以對信息進行和記錄。通常建議用戶在有使用FreeWAF的經(jīng)驗的情況下使用此種部署模式。圖3- 圖圖3- 含這些IP地址、協(xié)議和端口三元組的報文上送給本設備。如果使用過Apache、Nginx、Squid等軟件的反向功能，就會對FreeWAF的反向功能FreeWAFWebHTTP連接建立通信管道，并反向與其他兩種模式的最大不同在于，其他兩種部署模式下，用戶的還是服務器的IP地址，而反向模式下，用戶將FreeWAF當作最終的服務器來。反向模式，服務器，讓Web服務用戶能夠WAF即可。實際使用中，用戶可以根據(jù)具體的網(wǎng)絡情況自行調(diào)與其它兩種模式相同，F(xiàn)reeWAF不僅能夠對數(shù)據(jù)流進行檢測，還可以對信息進行和記錄。反向是一種很靈活的部署方式，下圖只是一種部署方式，參考（部署方式請參考小節(jié)：圖3- 圖3- 含這些IP地址、協(xié)議和端口三元組的報文上送給本設備。換機上即可，這里可以使用其他任意一個接口接到交換機上。其作為一個旁觀者、者的角色，僅對HTTP數(shù)據(jù)流進行檢測，并且記錄和信息，而不對進行，除離線模式意外的其他三種模式，都是“”模式，可以對進行。注意，該模式下防篡改和習功能仍然適應Web服務器的具體情況，為后續(xù)部署其他工作模式做好準備。圖3- 圖3- 端口配FreeWAFIP地址、協(xié)議和端口三元組的報文第三步：配置安全策略安全策略是用于對HTTP進行雙向次檢測的策略庫，這些策略庫將會在“第三步：配置服務器策略”時被。安全策略之所以設計成可配置多實例，是因為它需要滿足不同服務器有不同 僅需要SQL注入防護、XSS防護，不需要XML 僅需要XML防護，不需要SQL注入防護、XSS防護，這圖3- 圖3- 在配置向導中，用戶不能配置安全子策略的高級選項，比如：配置用戶自定義關鍵字等。用戶要配置這些高級選項，請在功能菜單中，選擇【W(wǎng)eb防護】->【安全策略】進行配置。第四步：配置服務器策略服務器策略是根據(jù)后端真實Web服務器的防護需求進行配置，當然，也會結合FreeWAF自身 圖3- 服務器策略必須配置圖3- 在“方式”中，檢測模式優(yōu)先級最高。在“離線方式”中，檢測模式都為“檢測不攔服務器配置。服務器配置有2種形式的界面：一種是配置反向的界面（在反向模0的全匹配地址，來匹配后端所有真實服務器。定制型服務器策略。一個服務器策略可以配置多個后端真實服務器（IP地址、（可選4元唯一。如果用戶沒有配置后端真實服務器，則客戶端將無法FreeWAF去后端資源。全匹配服務器策略和定制型服務器策略之間的關系。用戶會先去匹配定制型日志配置。它包括：日志和日志的打開/關閉。日志有嚴重等級，總共8級。此，請求參數(shù)分隔符做成用戶可配置，默認值為“&Version0Version1兩個版本，Version0Netscape，它也是Web應用常用的 行分割，舉例：:session-id= ;session-id-time= 舉例：:session-id=" ";session-id-time=" 值為Version0。在配置多服務策略的網(wǎng)橋、路由、離線時，最好即配置全匹配服務器策略也配置定制型服務器意見反圖3- 安全退系統(tǒng)狀CPU狀--->--->【CPU--->圖4- --->--->【CPU--->圖4- 內(nèi)存狀態(tài)--->--->--->【當前狀態(tài)】界面中，即可查看內(nèi)圖4- --->--->--->【歷史狀態(tài)】界面中，即可查看內(nèi)圖4- 硬盤狀態(tài)--->--->圖4- 系統(tǒng)信圖4- 4-74-8信圖4- 帶寬實時狀態(tài)在【網(wǎng)絡】--->【帶寬】--->【實時狀態(tài)】界面中，即可查看網(wǎng)絡實時狀態(tài)，如下歷史狀態(tài)

圖5- 在【網(wǎng)絡】--->【帶寬】--->【歷史狀態(tài)】界面中，即可查看網(wǎng)絡歷史狀態(tài)，如下圖5- 圖5- 實時

在【網(wǎng)絡】--->【】--->【實時】界面中，即可查信息，如下圖5- 時服務器性能在【網(wǎng)絡】--->【】--->【服務器性能】界面中，即可查看服務器性能信息，圖5- 客戶端環(huán)境&行為在【網(wǎng)絡】--->【】--->【客戶端環(huán)境&行為】--->【客戶端環(huán)境】界面中，圖5- 在【網(wǎng)絡】--->【】--->【客戶端環(huán)境&行為】--->【時段】界面中，即 圖5- 在【網(wǎng)絡】--->【】--->【客戶端環(huán)境&行為】--->【訪客地理信息】界面中，圖5- 搜索在【網(wǎng)絡】--->【】--->【客戶端環(huán)境&行為】--->【搜索&】界面中，圖5- 篡改】--->圖5- FreeWAF可向用戶提供詳盡的日志信息和豐富的報表功能。日志信息中詳細記錄了設備的管理以生成日報表、周報表或任何時間段的統(tǒng)計報表信息，還可以通過指定即時生成用戶所關注于日(1)日(2)日為讓日志時間準確性，強烈推薦管理員正確設置系統(tǒng)時間。請用Linux操作系統(tǒng)命令進行設日日志記錄了所有客戶端對Web服務器的行為。用戶可以在此查看所有的日志、導圖6- 用戶可以根據(jù)時間和日志的各個字段（IPIP等）來篩選符合條件的2012-02-22 個URL的方法；2）POST，提交表 等市表6- 日日志記錄了所有客戶端對Web服務器的行為。用戶可以在此查看所有的日志、導圖6- 用戶可以根據(jù)時間和日志的各個字段（IPIP等）來篩選符合條件的2012-02-22連接、、離線檢測。其中，允許、斷開連接、為部署的處理方式，離高顯示對Web服務器的方法，2種，1）GET，就是平常我們打開一個URL的方 域市 robotactivity 表6- 管理日志圖6- 2012-02-22IP地址show表6- 篡改日志篡改日志記錄了所有Web服務器上的網(wǎng)頁被篡改和恢復的軌跡。用戶可以在此查看所有的篡改圖6- 防護一個服務器時都有一個名2013-06-212013-06-212013-06-211恢復3種表6- 報FreeWAF能夠產(chǎn)生可定制的行為報表，從報表的內(nèi)容范圍來說，可產(chǎn)生所有的綜合報表，也可產(chǎn)生用戶自定義的特殊報表，但是，報表的內(nèi)容形式都是一樣的，其內(nèi)容形式包括 圖6- 創(chuàng)建即 圖6-6創(chuàng)建即 配置定 圖6- 刪除選中報表在圖6- 列表管理圖6-8 部署模FreeWAF支持2種工作方式，一種是工作方式；另一種是離線工作方式。工作方式又可分為3種工作模式，其分別為：網(wǎng)橋模式；路由模式；反向模式，而離線-->網(wǎng)橋模

圖7- 圖7- 圖7- 在做“端口配置”之前，用戶必須【設備管理】--->【網(wǎng)絡配置】--->【接口配置】界如果FreeWAF網(wǎng)橋與被保護服務器不在同一網(wǎng)段，用戶必須【設備管理】--->【網(wǎng)絡配置--->【路由配置】界面中配置相應的路由模 圖7- 圖7- 用戶必須先在【設備管理】--->【網(wǎng)絡配置】--->【接口配置】界面中配置接口的IP如果FreeWAF端口與被保護服務器不在同一網(wǎng)段，用戶必須【設備管理】--->【網(wǎng)絡配置--->【路由配置】界面中配置相應的反向模圖7- 透明模式不同的是，需要填寫的是FreeWAF設備上的IP地址。點擊“添加”按鈕，彈出添用戶必須先在【設備管理】--->【網(wǎng)絡配置】--->【接口配置】界面中配置接口的IP離線模式 圖7- 端口配這里是選擇哪個物理網(wǎng)口，因為防護引擎要從這些接口抓取（或曰）報文，至于網(wǎng)絡配接口配置圖7- IP、掩碼、是否開啟等；也可以添加子IP。用戶必須用該命令來配置橋，不能在LinuxS下通brctl命令來配置橋，橋名只能以“br”開頭并后緊跟數(shù)字，比如：br0、br1、br20等。路由配置圖7- 路由配用戶管圖7- 備份/恢復

圖8- 規(guī)則庫更新圖8- 郵件圖8- 用戶必須用確認FreeWAF與郵件服務器通信正常，否則將無法正常發(fā)送郵件。診斷工圖8- 系統(tǒng)重啟/關機圖8- 設圖8- 設系統(tǒng)更 圖8-8更Web/白；c““對于通過FreeWAF設備的HTTP請求，將按照如下的順序檢查黑白：URLURL白所有的黑/白名都遵循一個統(tǒng)一的原則：優(yōu)先原則，也就是當用戶配置的地址即在中又在白中時，則對該地址進行。目前每個黑/白中允許配置的地址128。FreeWAF確認為的客戶端IP和ReferrerURL，會自動的把它加入到動態(tài)中，解IP 客戶端IP在客戶端IP列表輸入框中輸入需要的IP地址,，并點擊【添加】即可增加一個黑名IP將后端服務器，并得到一個503的返回碼。 動態(tài)例外客戶端IP在動態(tài)例外客戶端IP列表輸入框中添加例外IP地址，并點擊【添加】即可增加一動態(tài)例外列表中的IP將不能被系統(tǒng)自動加入到動態(tài)客戶端IP，也就是不會被系統(tǒng)的動態(tài)客戶端IP。 鎖定時間以分鐘為單位，有效數(shù)值范圍為1~7200分鐘，默認值為60分鐘當系統(tǒng)檢測到某個客戶端的頻率超過系統(tǒng)限定的最大值時，便會將這個客戶端的列表中刪除。被添加到動態(tài)中的IP將不能后端服務器，并得到503狀IP

動態(tài)列表中的IP是由系統(tǒng)自動添加的，用戶只能手動刪除，點擊操作列的【刪除】即可刪除一個IP。 服務器IP在服務器IP白列表輸入框中輸入一個允許直接的服務器IP地址,，并點擊【添加】即可增加一個服務器白IP，點擊白操作列的【刪除】即可刪除對應的IP。當一個后端服務器策略校驗，直接后端服務器。服務器 服務器白配置方法參考服務器IP白，當一個后端服務器的被加入到白中，則通過這個進行的請求都將不經(jīng)過FreeWAF的安全策略校驗，直接后端服務器。 客戶端IP白在客戶端IP白列表輸入框中輸入允許直接的IP地址,，并點擊【添加】即可增加一個中的IP將直接服務器，不需要進過FreeWAF安全策略的校驗。URLURL9-7URL類型配置，URL的類型分為普通文本和正則表達式兩種類型，如果用戶想要只配置一條黑當用戶配置的URL為正則表達式類型時，URL必須符合正則表達式的語法，否則該條將無效型，并點擊【添加】即可增加一個URL，點擊操作列的【刪除】即可刪除對應的URL。通過這個URL進行的請求將不能后端服務器，并得到一個503的返9-8動態(tài)例外ReferrerURL可增加一個例外ReferrerURL，點擊動態(tài)例外ReferrerURL操作列的【刪除】即可刪除對應的例外ReferrerURL。被加入到動態(tài)例外ReferrerURL列表中的ReferrerURL將不能被系統(tǒng)自動加入到動態(tài)ReferrerURL動態(tài)，也就是不會被系統(tǒng)的動態(tài)ReferrerURL。 RefererURL在統(tǒng)計周期內(nèi)請求次數(shù)超過設定值時，便會將這個攻擊的ReferrerURL地址添加到動態(tài)ReferrerURL，被添加到動態(tài)ReferrerURL黑名動將這個ReferrerURL地址從動態(tài)ReferrerURL列表中刪除。動態(tài)ReeerURL列表中的URL是由系統(tǒng)自動添加的，用戶只能手動刪除，點擊操作列UL。白 URL白在URL白列表輸入框中添加允許直接的URL地址,，在【類型】中選擇URL類型，并點擊【添加】即可增加一個白URL，點擊URL白操作列的【刪除】即可刪除對應的URL。通過這個URL進行的請求將直接后端服務器，不需要經(jīng)過FreeWAF安全策略校驗。白為了適應中國ICP備案機制，增加白功能。如果客戶端的在白列表中，則可以后端Web服務器；如果沒在白列表中，就直接后端服務器。 安全策添加安全策略 532個。 這里需要配置各個安全子策略，HTTP流量匹配上安全子策略所采取的行動，這里有三種行動無無無無無XSS防無無無Misc防無無無XML防無弱口令防護需要配置URL和名稱，而URL有兩種配置方例說明，下面的POST請求，URL就是/ban/login.aspx“passwPOST/bank/login.aspxHTTP/1.1Accept:*/*Accept-User-Agent:Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.2;SV1;.NETCLR1.1.4322;.NETCLR2.0.50727;.NETCLR3.0.04506.30)Host:Content-Type:application/x-www-form-urlencodedReferer:Content-Length:護無無無無總上傳文件大小，總上傳文件的大小，默認值為50Mib。②值加密校驗；③值和客戶端IP組合簽名校驗；④值和客戶端IP組合加密校驗。RefererURL速率，在計算周期內(nèi)，RefererURL 編輯和刪除安全策 除按鈕，如果該安全策略未被任何服務器策略，即可立即刪除該安全策略。如果該安全策略被服務器策略，則不能夠刪除該安全策略，需要將該安全策略的所有服務器策略刪除后，才重寫策重寫策略用于反向模式的“內(nèi)容路由”部署類型，所謂重寫策略就是將HTTP中響應中的添加重寫策略 編輯和刪除重寫策略 寫URL進行配置。 添加重寫這里的URL填寫的是要配置進行映射的相對URL，比如想將對子的射至路徑上，則將URL配置為/test，點擊“規(guī)則管理”按鈕，出

如果用戶選擇表達式選項，則配置要符合正則表達匹配方法有如下5種：對于HTML語言不熟悉的用戶，建議采用缺省配置 緩存策添加緩存策略在【W(wǎng)eb--->【緩存策略】界面中，可進行FreeWAF 編輯和刪除緩存策略

打開磁盤緩磁盤緩存清緩存的最大允許緩存的最大文件大小范圍為1MiB至20MiB，當超過這個范圍時，允許緩存的總大小為1MiB至4000MiB，當超過這個范圍系統(tǒng)會提示錯緩存過期時間配置允許緩配置 服務器策略添加服務策略---> 服務器策略名可以由字母、數(shù)字和下劃線組成，長度不超過32個字符。 器（指IP地址、（可選、協(xié)議和端口4元唯一。全匹配服務器策略和定制型服務器策略之間的關系。用戶會如果用戶沒有配置后端真實服務器，則客戶端將無法FeeAF去啟用志啟動志請求參數(shù)分格式，它包括Version0和Version1兩個版本，Version0也稱 ，它也是Web應用常用的，在中不使用雙引號對內(nèi)容進行分割，舉例：: ;session-id-time= ；而Version1與Version0相反，它在中會使引號等對內(nèi)容進行分割，舉例：:session- 圖9-24反向單服務器部圖9-25反向單服務器部署配圖9-26反向多服務器部圖9-27反向多服務器部署配在類型為負載均衡的【多服務器配置】界面中，至少需要配置一個，多個的情況每個負載均衡策略至少需要指定兩臺或者兩臺以上的基于負載均衡的被保護服務器，對每個服務器需要配置具體的IP、端和負載因子。在實際用戶通過服務器時，負載因子越大，對應的服務器被到的頻率會越高。當用戶需要增加一個服務器時，可以點擊“綠色加號”按鈕進行增加；當用戶需要刪除一個服務器圖9-30反向多服務器部署配P（圖9-31反向內(nèi)容路由部對FreeWAF上HTTP服務根路徑的，就是對4這個IP上HTTP服務根路徑的，即–>；的，即–>；的，即–>。圖9- 編輯和刪除服務策圖9- 習習通過檢查用戶與目標Web服務器間