下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.32
{{sendMatomoQuery("下一代防火墙AF","Web 应用防护")}}

Web 应用防护

更新时间:2022-01-04

『Web 应用防护』是专门针对客户内网的 WEB 服务器设计的防攻击策略, 可以防止 OS 命令注入、SQL 注入、XSS 攻击等各种针对 WEB 应用的攻击行为, 以及针对 WEB 服务器进行防泄密设置。

『WEB 应用防护』内置“默认模板”和“默认模板 II(非代理访问开启漏洞防扫描)”两个模板。如下图所示:

[模板名称]:默认开启常规的 WEB 防护功能,但不开启“漏洞防扫描功能”;

[默认模板 II(非代理访问开启漏洞防扫描]:默认开启常规的 WEB 防护功能,同时开启“漏洞防扫描功能”。

点击新增,弹出新增模板页面。如下图所示:

[模板名称]:定义该模板的名称。[描述]:定义对该模板的描述。

[端口]:设置保护的服务器的端口。此处一般填写服务器的端口,即用户访问服务器的该端口,则进行攻击检测等。HTTP 端口也可勾选自动识别其他HTTP 端口并防护,可以自动学习。

[防护类型]:设置针对服务器的哪些攻击行为进行防护。点击[防护类型: SQL 注入、XSS 攻击、网页木马…] 弹出【选择 WEB 应用防护类型】编辑框, 勾选相应的[防护类型],则设备会对这一种服务类型的相关攻击行为进行防护:

[SQL 注入]:攻击者通过设计上的安全漏洞,把 SQL 代码黏贴在网页形式的输入框内,获取网络资源或改变数据。AF 设备可以检测到此类攻击行为。

[XSS 攻击]:跨站脚本攻击,XSS 是一种经常出现在 WEB 应用中的计算机安全漏洞。它允许代码植入到提供给其他用户使用的页面中。例如 HTML 代码和客户端脚本,攻击者利用 XSS 漏洞绕过访问控制,获取数据,例如盗取账号等。AF 设备可以检测到此类攻击行为。

[网页木马]:网页木马实际上是一个经过黑客精心设计的 HTML 网页。当用户访问该页面时,嵌入该网页中的脚本利用浏览器漏洞,让浏览器自动下载黑客放置在网络上的木马并运行这个木马。AF 设备可以检测到此类攻击行为。

[网站扫描]:网站扫描是对 WEB 网站扫描,对 WEB 网站的结构、漏洞进行扫描。AF 设备可以检测到此类攻击行为。

[WEBSHELL]:WEBSHELL 是 WEB 入侵的一种脚本工具,通常情况下,是一个 ASP、PHP 或者 JSP 程序页面,也叫做网站后门木马,在入侵一个网站后, 常常将这些木马放置在服务器 WEB 目录中,也正常网页混在一起。通过WEHSHELL,长期操纵和控制受害者网站。AF 设备可以检测此类攻击行为。

[跨站请求伪造]:通过伪装来自受信任用户的请求来利用受信任的网站。AF设备可以检测到此类攻击行为。

[系统命令注入]:攻击者利用服务器操作系统的漏洞,把 OS 命令利用 WEB 访问的形式传至服务器,获取其网络资源或者改变数据。AF 设备可以检测到此类攻击行为。

[文件包含攻击]:文件包含漏洞攻击是针对 PHP 网站特有的一种恶意攻击。当 PHP 中变量过滤不严,没有判断参数是本地的还是远程主机上的时,就可以指定远程主机上的文件作为参数来提交给变量指向,而如果提交的这个文件中存在恶意代码甚至干脆就是一个 PHP 木马的话,文件中的代码或者是 PHP 木马就会以 WEB 权限被成功执行。AF 设备可以检测到此类攻击行为。

[目录遍历攻击]:目录遍历漏洞就是通过浏览器向 WEB 服务器任意目录附加“../”,或者是在有特殊意义的目录附加“../”,或者是附加“../”的一些变形,编码访问 WEB 服务器的根目录之外的目录。AF 设备可以检测到此类攻击行为。

[信息泄露攻击]:信息泄露漏洞是由于 WEB 服务器配置或者本身存在安全漏洞,导致一些系统文件或者配置文件直接暴露在互联网中,泄露 WEB 服务器的一些敏感信息,如用户名、密码、源代码、服务器信息、配置信息等。AF 设备可以检测到此类攻击行为。

[WEB 整站系统漏洞]针对知名 web 整站系统中特定漏洞进行安全可靠高质量防护。

[自定义 WAF 规则]:用户可自定义防护规则,对服务器进行防护,自定义规则在『安全防护对象』->『自定义规则库』中进行设置。

[应用隐藏]勾选后可以在高级配置当中设置[口令防护]勾选后可以在高级配置当中设置 [权限控制]勾选后可以在高级配置当中设置

[数据泄密防护]勾选后可以在高级配置当中设置[HTTP 异常检测]勾选后可以在高级配置当中设置[漏洞防扫描]勾选后可以在高级配置当中设置

点击高级配置,会弹出界面如下:

注意:1、优化 WEB 安全防护策略配置,突出重点防护功能,非重点选项全部移到高级里面,使配置更加简介,易于操作

[应用隐藏-FTP]:客户端登录 FTP 服务器的时候,服务器会返回客户端 FTP 服务器的版本等信息。攻击者可以利用相应版本的漏洞发起攻击。该功能是隐藏FTP 服务器返回的这些信息,避免被攻击者利用。勾选[FTP]即设置好了隐藏。

[应用隐藏-HTTP]:当客户端访问 WEB 网站的时候,服务器会通过 HTTP 报文头部返回客户端很多字段信息,例如 Server、Via 等,Via 可能会泄露代理服务器的版本信息,攻击者可以利用服务器版本漏洞进行攻击。因此可以通过隐藏这些字段来防止攻击。勾选[HTTP],点击设置,弹出的页面如下:

此处需要自定义 HTTP 报文头的内容,可以利用 HTTPWATCH 等抓包工具获取该服务器返回客户端的一些字段,并且填写到此处。勾选[替换 HTTP 出错页面],则针对一些错误页面,例如服务器返回 500 错误的页面(该页面通常包

含服务器信息),防火墙会用一个不包含服务器信息的错误页面来替换原始的错误页面。

[FTP 弱口令防护]:该防护针对 FTP 协议有效。主要是针对一些过于简单的用户名密码进行过滤,勾选[FTP 弱口令防护],点击设置,弹出的页面如下:

勾选相应的弱口令规则,或者填写弱口令列表,点击确定保存设置即可。当防火墙检测到这种弱口令会产生日志记录提醒管理员,可以正常登录服务器。

[WEB 登录弱口令防护]针对 WEB 登录过程中的弱口令进行防护,启用即可。

[WEB 登录明文传输检测]针对 WEB 登录过程中的明文传输进行检测,启用即可。

[口令暴力破解防护]:该防护可以对 FTP 和 HTTP 生效。用于防止暴力破解密码。勾选[口令暴力破解防护],点击设置,弹出的页面如下:

针对 FTP 的防暴力破解,只需要在上述页面勾选 FTP 即可。针对 HTTP 网站的登录防破解,需要填写相应的 URL。例如某网站的登录 URL 为http://www.***.com/login.html 。那么上述填写方式为/login.html ,如上图所示。[爆破次数]用于设置每分钟输入多少次错误密码后就被认定为暴力破解密码行 为。

[文件上传过滤]:主要是用于过滤客户端上传到服务器的文件类型,勾选[文件上传过滤],点击设置,弹出的页面如下:

点击可以下拉选择设备内置的一些文件类型,点击,则添加到列表。如果要自定义的类型,可以直接在框里输入自定义的文件类型,点击,则添加到列表。

[URL 防护]:该设置的主要功能是权限开关。例如禁止访问某个 URL,则上述的防攻击等都无效,因为客户端都无法访问,更不会存在攻击。如果此处允许某个 URL,则上述设置的防攻击等针对该 URL 都会无效,相当于一个白名单。

勾选[URL 防护],点击设置,页面如下:

此处的填写方式与防爆破类似,需要填写 URL 的后缀。例如某 URL 为http://www.***.com/login.html ,则此处填写/login.html 。

针对目前日益严重服务器数据泄密事件(如 CSDN、天涯被拖库)等,部署SANGFOR AF 设备后,启用数据泄密防护功能能够对这些敏感信息的泄露进行防护。

勾选[数据泄密防护-敏感信息防护],点击设置按钮,弹出【防护的敏感信息】编辑框,设置哪些信息是敏感信息,以及敏感信息命中次数的统计方式,页面如下图所示:

[命中次数统计方式]可以选择以 IP 统计或者以连接统计。以 IP 统计是指当有定义的敏感信息经过设备时以单个 IP5 分钟内的命中次数作为统计依据;以连接统计是指当有定义的敏感信息经过设备时以单个连接的命中次数作为统计依据。选择以连接统计后,默认会勾选上“启用联动封锁源 IP”。

点击新增按钮,设置敏感信息组合策略,勾选上哪些信息是敏感信息,设置这些敏感信息的组合策略,并设置界面如下:

可以在防护的敏感信息里添加多条敏感信息组合策略,每条策略称之为一个模式,每个模式里可以包含多个敏感信息,一个模式里若包含多个敏感信息,则要多个敏感信息全部匹配才算一次命中,大于等于最低命中次数后就被认为是泄密,而多个模式之间是或的关系,只要匹配其中的一个模式,就算一次命中。

由于某些敏感信息是以 word 或者是 excel 等文档形式保存的,通过从服务器上下载文档把这些敏感信息泄露出去,对于这种泄露方式,AF 可以通过过滤文件下载来进行防护。

勾选[数据泄密防护-文件下载过滤],点击设置按钮,弹出【设置过滤文件类型】编辑框,选择需要过滤哪些文件后缀,页面如下图所示:

设备内置了一些常见的如网站数据备份文件后缀名、常用日志文件后缀名等,若还需要自定义文件类型,则点击新增按钮,添加需要过滤的文件后缀即可,

界面如下:

勾选[数据泄密防护-短信告警]可对发生了数据泄密的行为进行短信告警。点击数据泄密防护配置中的按钮,跳转到白名单设置,可以针对某些 IP 或 URL 进行排除设置,对于这些 IP 或 URL 不进行数据泄密防护。

[HTTP 异常检测-方法过滤]:主要是用于设置允许的 HTTP 方法,点击设置,弹出的页面:启用后,该 HTTP 请求类型将被禁止。即勾选的 HTTP 方法会被策略判定为异常,进行拦截。

[HTTP 异常检测-HTTP 头部字段 SQL 注入检测]: 可以将 HTTP 头部中的Referer、User-Agent、Host 字段进行 SQL 注入规则的检测。注:此功能要将 WEB 应用防护策略中的网站防护“sql 注入”启用才能生效。

例如,勾选“Host”字段后,当检测到 SQL 注入攻击,数据中心标注的攻击类型依然是 SQL 注入攻击,拦截部分为 HTTP 数据包的头部 Host 字段。

[HTTP 异常检测-URL 溢出检测]:勾选[启用 URL 溢出检测],设置最大长度,将会对 URL 的最大长度进行检测,防止造成缓冲区溢出。

[HTTP 异常检测-POST 实体溢出检测]:勾选[启用 Post 实体溢出检测],设置 Post 数据的实体部分的最大长度,防止造成服务器接收数据溢出的错误。

[HTTP 异常检测-HTTP 头部溢出检测]:勾选[启用 HTTP 头部溢出检测],点击新增按钮,设置需要检测 HTTP 头部中指定字段的最大长度,对该字段超出长度,进行检测。

[HTTP 异常检测-range 字段防护]:勾选[range 字段防护],设置允许区间数, 防止 range 字段数超出允许区间。

[HTTP 异常检测-协议异常]:主要是用于防护 ASP 和 ASPX 的页面中,请求多个参数被服务器错误处理,导致的复参攻击。同时,默认启用“multipart 头部字段长度的检测”和“Content-Type 头部字段是否重复检测”

[漏洞防扫描]用于设置 WEB 网站被扫描的行为检测,页面如下:

[漏洞防扫描-扫描行为特征]:设置来访数据匹配哪些行为特征后,判定为扫描行为,并进行下一步的处置。该功能目前具备的行为特征说明如下:

[扫描行为特征-404 页面检测]:每 N 个响应统计一次,如果 404 页面比例超过配置的百分比,认为是扫描器在扫描网站。具体的频率和比例,可以点击后面的设置进行设置,如下图:

[扫描行为特征-WAF 规则拦截频率检测]:通过判断源 IP 在单位时间内被

WEB 应用防护规则拦截的次数来确定是否为扫描器。具体的频率设置,可以点击后面的设置进行设置,如下图:

[扫描行为特征-目录访问频率]:通过判断源 IP 每秒访问目录的次数,来确定是否为扫描器。具体的频率设置,可以点击后面的设置进行设置,如下图:

[扫描行为特征-使用不常见的 HTTP 请求方法]:触发 HTTP 方法过滤规则的行为将会做为扫描器的行为特征之一,需要开启方法过滤。

[扫描行为特征-匹配强扫描规则]:通过强扫描规则进行匹配,来检测匹配上规则特征的 IP 是否为扫描器。

[扫描行为特征-匹配弱扫描规则]:通过弱扫描规则进行匹配,来检测匹配上规则特征的 IP 是否为扫描器。

[扫描行为特征-敏感文件扫描]:一般扫描器会尝试访问各种站点敏感文件, 比如配置、密码、数据库文件等。通过对这些敏感文件的检测来确定 IP 是否是扫描行为。

[扫描 IP 封锁时间]:当源 IP 被匹配为扫描行为后,会根据该选项设置的封锁时间,对源 IP 进行指定时间的封锁。封锁期,该源 IP 所有经过 AF 的数据均被拦截。

[隐藏服务器信息]:开启此功能后,会智能识别并隐藏服务器的相关版本信息。

[日志记录设置]用于设置日志记录类型,页面如下:

[COOKIE 攻击防护] 根据 COOKIE 的属性值和客户端通信来检测 COOKIE否被盗用或者篡改。配置如下

当COOKIE 被篡改时可选择是否需要替换篡改,选择替换时,会将 COOKIE替换为*,可以指定 COOKIE 属性防护或不防护。

[参数防护-主动防御] 传统防 SQL 注入是基于特征的,但基于特征的防SQL 注入系统无法解决 0day 和未知攻击问题。通过在设备上添加主动防御模型, 提升 AF 的安全防护能力。配置如下

该项只需要启用即可,为设备自主学习,但达到主动学习阀值是,学习完成,自动绑定,相关参数。

效果图如下:

[参数防护-自定义参数防护]和主动防护功能类似,只是是自定义相关参数, 支持正则表达式匹配,表示满足设置相关正则表达式的条件后,匹配动作为拒绝。

[CC 攻击防护]:用于防止针对网站发起的 CC 攻击。配置如下

『来源 IP 防 CC』启用后,来源 IP 地址的访问次数超过设定上限的,禁止该IP 地址的任何后续访问。

『Referer 防 CC』启用后,对于 Referer 中相同的 URL,累计访问次数超过设定上限的,禁止具有相同 Referer URL 的任何来源 IP 地址的访问。

『特定 URL 防 CC』启用后,来源 IP 地址对目的 URL 的访问次数超过设定上限的,禁止该 IP 地址的任何后续访问。

『CC 防护规则配置』可以自定义 CC 防护规则。

[登录防护-用户登录权限防护] 客户网站中有管理页面,但不允许对管理页面的直接登陆,必须通过 AF 设备的短信认证后才能登陆管理页面,这就是用户登陆权限防护。支持 web 登录权限防护和非 web 登录权限防护。

注意:配置用于非 WEB 登陆方式认证的 URL:此处配置一个不存在的 url, 用户访问此 url 时必须经过 AF 设备,AF 设备会抓取 TCP 连接并返回短信认证页面。若此处配置的 url 与客户内部网站的真实 URL 冲突,用户将只能浏览到短信认证页面。

[CSRF 防护] 跨站伪造请求(Cross Site Request Forgery,CSRF),也被称成为“one click attack”或者 session riding,通常缩写为 CSRF 或者 XSRF,是一种挟制终端用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。通过配置 CSRF 防护,可以有效防止该类攻击行为。配置页面如下。

通过配置需要进行防护的域名,已经新增需要防护的页面和允许访问的来源页面,保证跳转只能从允许访问的来源页面(Referer)来访问需要防护的页面(Target)。达到组织 CSRF 攻击的目的。

[受限 URL 防护] 保护用户的关键资源不被非法客户端强制浏览。配置如下。

仅允许从 www.sangfor.com.cn/bbs/index.html 访问 www.sangfor.com.cn 的域名主页,不允许通过其他方式的访问该域名。

注意:
1、只有规则动作选择[拒绝],设备才会针对检测到的攻击行为进行阻断。
2、URL 防护里的允许与拒绝操作是单独的,与检测攻击后操作[拒绝]没有关联,以 URL 防护里设置动作为准。
3、
短信告警只对数据泄密防护有效,对 WEB 应用防护无效。
4WEB 应用防护支持 ipv6,部分功能支持 HTTPS
5、支持 IPv6 数据流下基于规则的网站攻击防护,防护类型:SQL 注入、XSS 攻击、网页木马、网站扫描、WEBSHELL、跨站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击、信息泄露攻击、WEB 整站系统漏洞;
6、支持 IPv6 数据流下 HTTP 异常检测的方法过滤;
7、支持 IPv6 数据流下数据泄密防护的文件下载过滤;
8、不支持防护对象排除功能。