《安信华WEB应用防火墙S系列快速安装指南》由会员分享,可在线阅读,更多相关《安信华WEB应用防火墙S系列快速安装指南(31页珍藏版)》请在金锄头文库上搜索。
1、安信华WEB应用防火墙S系列快速安装指南 安信华WEB应用防火墙S系列快速安装指南 2011 北京安信华科技有限公司-5 -目 录1引言11.1产品介绍11.2有关本文档11.3安信华服务和技术支持22产品部署33硬件特性53.1外观53.2指示灯54设备的安装64.1安装64.2启动设备64.3出厂配置75初始配置95.1登录设备95.1.1通过Console口登录设备95.1.2通过WEBUI界面登录设备125.1.3通过SSH协议登录设备145.2更改管理员密码175.3配置接口参数185.3.1CLI配置步骤185.3.2WEBUI配置步骤205.4添加默认路由215.5配置DNS服务
2、器225.6导入License225.7导入特征库225.8更改接口默认配置235.9添加URL安全策略245.10配置服务器安全组266软件维护291 引言1.1 产品介绍安信华WEB应用防火墙S系列(简称Anchiva WAF),通过对进出WEB服务器的HTTP/HTTPS流量相关内容的实时分析检测、过滤,来精确判定并阻止各种WEB应用入侵行为,阻断对WEB服务器的恶意访问与非法操作,适应WEB2.0时代的主动实时监测过滤风险技术,而不是被动的遭受攻击后的恢复,将恶意代码、非授权篡改、应用攻击等众多因素结合在一起进行综合防范,从而做到对WEB服务器的多重保护,确保WEB应用安全的最大化,防
3、止网页内容被篡改,防止网站数据库内容泄露,防止口令被突破,防止系统管理员权限被窃取,防止网站被挂马和植入病毒、恶意代码、间谍软件等,防止用户输入信息的泄露,防止账号失窃,防SQL注入,防XSS攻击等。Anchiva WAF可向系统管理员提供详尽的日志信息,在日志信息中详细记录了设备的系统日志、管理员日志,以及对WEB服务器的访问日志、攻击日志、病毒扫描日志。管理员可以分类查看详细的日志记录信息。日志可保存在设备的硬盘上、输出到FTP服务器或发送到Syslog服务器。管理员还可以在系统中设置日志报警机制:通过设置系统使用率的告警阈值,如果使用率达到或超过百分比阈值,系统将发送报警电子邮件给管理员
4、,同时产生弹出式消息,警告管理员磁盘使用率高并删除或输出部分日志以清理磁盘空间。1.2 有关本文档本文档可以作为安信华WEB应用防火墙S系列的安全管理员进行快速安装和配置设备的指导性手册。其他可用文档:安信华WEB应用防火墙S系列命令行参考手册安信华WEB应用防火墙S系列用户手册1.3 安信华服务和技术支持安信华公司对于自身产品提供远程产品咨询服务,广大用户和合作伙伴可以通过登录我们公司的网站http:/,下载到我们最新产品的资料,寻找常见问题答案或在线提交您的问题。如客户有技术问题和一般客服问题需要联系“安信华客户支持”,请参阅下列联系选项:地址:北京市海淀区清华科技园科技大厦B座6层电话:
5、+86-10-512666782 产品部署Anchiva WAF能以三种模式部署:在线预防模式、离线侦察模式和反向代理模式。 预防模式Anchiva WAF在网络中在线部署,串联部署在WEB服务器前端,对进入WEB服务器的流量进行有效检测从而确保WEB应用的安全。 侦察模式Anchiva WAF采用离线部署,部署于核心交换机外的span端口或监控端口上。交换机上SPAN端口必须可看到所有通往互联网的流量。 反向代理模式在反向代理模式中,Anchiva WAF通过配置代理端口并设定地址映射规则,即可作为WEB服务器的反向代理服务器接受客户端对Web服务器的连接请求,通过将访问Web服务器的流量导
6、入到Anchiva WAF,然后对流量进行检测,将对Web服务器有威胁的恶意访问过滤掉,正常的访问流量则转发给真实的Web服务器;对于从服务器返回的数据,也会首先转发给Anchiva WAF,WAF对数据进行处理之后再返回给客户端,从而实现对Web服务器的安全防护。Anchiva WAF还可以均衡WEB服务器集群内各个服务器的工作负载。注:只有在预防模式和反向代理模式中Anchiva WAF才能够防止恶意软件到达终端用户。在侦察模式中,Anchiva WAF并不能拦截对WEB服务器的恶意攻击。推荐用户在接入到网络中、提供防护之前,先采用旁路监听的侦察模式部署,学习网络环境及web应用攻击特征,
7、从而配置合理、有效的防护策略。然后再采用预防模式或反向代理模式将设备部署在网络中。3 硬件特性本章介绍设备的外观及指示灯等硬件特性。3.1 外观设备前面板示意图如下图所示。Console口:本地一台管理主机通过CONSOLE 线缆与WAF设备的CONSOLE 口连接,供管理员通过CLI对设备进行初步配置。USB口:外接USB设备。以太网口:Anchiva 网关型号不同,可用物理网络接口数量也各有不同。现有网关型号一般有4到8个网络接口。它们都是通用接口,可用于连接内部LAN网络或面向防火墙或网络路由器的外部网络。3.2 指示灯PWR为系统电源指示灯,灯灭表示电源没有接通,灯亮表示电源已接通。H
8、DD为硬盘指示灯,灯灭表示不对硬盘进行读写,灯闪烁表示正在对硬盘进行读写工作。4 设备的安装本章介绍Anchiva WAF设备的安装、启动及其出厂配置信息。4.1 安装Anchiva WAF设备必须在室内使用,为保证设备的正常工作和延长使用寿命,在设备的安装和使用过程中,特提出如下安全建议: 请将设备放置在远离潮湿或远离热源的地方。工作温度建议:045。工作湿度建议范围:1090%40 ,非冷凝。 请确认设备已经正确接地。保护地线的正常连接是设备防雷、抗干扰的重要保障,所以用户在安装、使用设备时必须首先正确接好保护地线。 请在安装维护过程中预防静电。 建议用户使用UPS(Uninterrupt
9、ed Power Supply,不间断电源)。设备可以放在机架上或直接放置于平台上,设备四周要留出散热空间,并且不要在设备上面放置重物。4.2 启动设备设备的电源开关位于设备后面板上,启动上电之前应进行如下检查: 电源线和地线连接是否正确。 供电电压与设备的要求是否一致。 配置电缆连接是否正确,配置用微机或终端是否已经打开,并设置完毕。启动电源开关后,前面板上的“PWR”指示灯亮,表明电源工作正常。4.3 出厂配置在出厂配置中,所有物理接口皆为透明模式且都属于VLAN 1,eth0口为管理端口,管理员必须通过eth0经由VLAN1通过WEBUI界面配置网关,然后再根据自身的网络状况配置接口的相
10、关属性。下列表格显示了登录WEBUI和CLI的默认IP和管理账户。表1:默认管理员账户信息操作模式透明模式。IP地址192.168.20.200用户名Administrator密码Password语言English设备名Anchiva默认管理端口Eth0Eth0口开放服务默认开放HTTPS、SSH和ping服务;默认的安全策略:default-security-policy,其参数如下图所示。具体参数及其说明请参阅安信华Web应用防火墙S系列用户手册。5 初始配置5.1 登录设备网络管理员可以通过多种方式管理Anchiva WAF设备。管理方式包括: 本地管理:即通过CONSOLE 口登录WA
11、F设备进行管理; 远程管理:包括两种方式:A)使用浏览器和设备建立HTTPS连接对设备进行管理;B)通过SSH协议和设备建立安全连接登录WAF设备进行配置管理。第一次使用WAF设备,管理员可以通过CONSOLE 口或SSH客户端连接设备,以命令行方式配置和管理设备,也可以通过浏览器以WEBUI方式进行配置和管理。5.1.1 通过Console口登录设备Console口即设备的控制台接口,本地一台管理主机通过CONSOLE 线缆与WAF设备的CONSOLE 口连接,可以通过CLI对设备进行本地配置,可以进行系统的调试、配置和管理工作。管理员要想通过此串口直接连接并管理设备,需要进行如下的准备工作
12、: 准备一根Console线缆。 带有可用串口的管理主机; 在微机上运行终端仿真程序(如Windows 9X 的Hyperterm 超级终端等)建立连接; 下面将详细介绍如何通过CONSOLE 口连接到WAF设备:1)使用CONSOLE 口控制线连接计算机的串口(这里假设使用COM1)和设备的Console口。2)在主机上选择 开始 程序 附件 通讯 超级终端,建立管理主机和设备的网络连接。A)输入连接名称。B)选择COM1端口。C)配置终端通信参数为:9600波特、8 位数据位、无奇偶校验、1 位停止位、无数据流控,如下图所示。点击“确定”按钮完成设置。成功连接到网络卫士防火墙后,超级终端界
13、面会出现输入用户名和密码提示信息,如下图所示。3)用户直接输入WAF默认的串口登录用户:administrator和密码:password,即可登录到WAF设备。登录后界面如下图所示,用户就可使用命令行方式对设备进行配置管理等操作。5.1.2 通过WEBUI界面登录设备第一次使用WAF设备,管理员还可以使用安全的HTTPS连接,对WAF设备进行管理和配置。WAF设备支持的浏览器包括: Internet Explorer 6.0及6.0以上版本 Firefox 3.50及3.50以上版本登录Anchiva WAF网关的WEBUI步骤描述如下:1)通过WEB浏览器,输入路径和地址。https:/特
14、别说明:VLAN1的缺省出厂IP是192.168.20.200/24,如果管理员没有通过Console口修改VLAN1的IP地址,则管理主机的IP地址必须与缺省IP处于同一网段,并通过以太网连接到Anchiva 网关的eth0接口。2)登录WEBUI,界面如下图。输入默认的管理员用户名administrator和密码password。还可以在“语言”处选择WEBUI界面的显示语言,可选项为:English、“简体中文”或“繁体中文”。然后单击“登录”按钮即可。也可以登录后选择菜单 管理 系统设置 语言,选择WEBUI显示语言,如下图所示。选择语言后点击“应用”按钮即可。5.1.3 通过SSH协议登录设备SSH(Secure Shell,安全外壳)是一个用于在非安全网络中提供安全的远程登录以及其他安全网络服务的协议。当用户通过非安全的网络环境远程登录到设备时,每次发送数据前,SSH都会自动对数据进行加密,当数据到达目的地时,SSH自动对加密数据进行解密,以此提供安全的信息保障,以保护设备不受诸如明文密码截取等攻击。除此之外,SSH还提供强大的认证功能,以保护不受诸如“中间人”等攻击方式的攻击。SSH采用客户端服务器模式。Anchiva WAF设备可以作为SSH
