日志记录设置
用于设置日志记录类型,页面如下。
状态码:配置范围为200-599, 响应状态码记录状态码条件:
1.请求方向的攻击。
2.检测到攻击动作是允许。
:
如果外层启用开关关闭,但记录响应状态码处于勾选状态且引用当前模板的策略启用记录日志时,功能仍旧生效
COOKIE攻击防护
COOKIE是客户端浏览某网站时,网站存储在客户端机器上的一个小文本文件。一般情况下,它会记录客户端的用户ID、密码、浏览过的网页、停留的时间等信息,当同一客户端再次访问该网站时,网站通过读取COOKIE,得知相关信息就可以做出相应的动作。当客户端访问服务器时,一些重要的信息会保留在COOKIE里,可能会被他人利用,导致信息泄露。
攻击者利用COOKIE的方式一般有两种:盗用COOKIE和篡改COOKIE,盗用COOKIE是为了伪造合法身份欺骗服务器,篡改COOKIE是为了利用服务器实现上的逻辑缺陷。
COOKIE攻击防护是根据COOKIE的属性和客户諯信息来检测COOKIE是否被盗用和篡改。可以针对所有的COOKIE属性做防护,也可以针对某些属性做防护。
根据COOKIE的属性值和客户端通信来检测COOKIE否被盗用或者篡改。配置如下图所示。
当COOKIE被篡改时可选择是否需要替换篡改,选择替换时,会将COOKIE替换为*,可以指定COOKIE属性防护或不防护,如下图所示。
参数防护
主动防御:传统防SQL注入是基于特征的,但基于特征的防SQL注入系统无法解决0day和未知攻击问题。通过在设备上添加主动防御模型,提升AF的安全防护能力。
该项只需要启用即可,为设备自主学习,但达到主动学习阀值是,学习完成,自动绑定,相关参数。
自定义参数防护:和主动防护功能类似,只是自定义相关参数,支持正则表达式匹配,表示满足设置相关正则表达式的条件后,匹配动作为拒绝。
CC攻击防护
用于防止针对网站发起的CC攻击。配置如下。
来源IP防CC:启用后,来源IP地址的访问次数超过设定上限的,禁止该IP地址的任何后续访问。
Referer防CC:启用后,对于Referer中相同的URL,累计访问次数超过设定上限的,禁止具有相同Referer URL的任何来源IP地址的访问。
特定URL防CC:启用后,来源IP地址对目的URL的访问次数超过设定上限的,禁止该IP地址的任何后续访问。
CC防护规则配置:可以自定义CC防护规则。
登录防护
客户网站中有管理页面,但不允许对管理页面的直接登陆,必须通过AF设备的短信认证后才能登陆管理页面,这就是用户登陆权限防护。支持web登录权限防护和非web登录权限防护。
Web登录路径
URL:Web资源防护,即登录的URL的防护路径,如192.168.1.1/login.php
非Web登录方式
预定义服务/FTP:选择需要防护的非Web资源,只支持TCP类型。
URL:主动认证的URL,访问后返回认证页面。
允许短信验证号码
手机号码:填写管理员手机号码,即认证接收的号码。
发送测试短信:发送测试短信,验证短信猫是否可用。
验证通过后有效时间:白名单时间,认证后这段时间内无需再认证。
勾选允许bypass,当检测到短信网关失败后,登录防护将自动取消短信认证。
:
配置用于非Web登陆方式认证的URL:此处配置一个不存在的url,用户访问此url时必须经过AF设备,AF设备会抓取TCP连接并返回短信认证页面。若此处配置的url与客户内部网站的真实URL冲突,用户将只能浏览到短信认证页面。
CSRF防护
跨站伪造请求(Cross Site Request Forgery,CSRF),也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种挟制终端用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。通过配置CSRF防护,可以有效防止该类攻击行为。配置页面如下。
通过配置需要进行防护的域名,已经新增需要防护的页面和允许访问的来源页面,保证跳转只能从允许访问的来源页面(Referer)来访问需要防护的页面(Target),达到组织CSRF攻击的目的。
受限URL防护
保护用户的关键资源不被非法客户端强制浏览。配置如下。
仅允许从www.sangfor.com.cn/bbs/index.html 访问www.sangfor.com.cn的域名主页,不允许通过其他方式的访问该域名。
Web智能语义引擎
通过智能语义引擎,对命令注入、PHP代码、JAVA代码、XEE攻击、Webshell上传、SQL注入、XSS攻击、后门扫描防护进行算法检测,不需要进行规则检测,从而提高检测率。如下图所示。
Web智能语义引擎说明
| 引擎类型 | 说明 |
| 命令注入防护 | 提高命令注入攻击检测的安全效果,如果用户对安全性要求较高,可以接受一定的误报,建议选择高检出;如果用户对业务稳定性要求高,建议选择低误报。 |
| PHP代码注入防护 | 提升对未知漏洞进行PHP代码注入攻击的检测能力,减少对规则的依赖,如用户对业务稳定性要求较高,可选择低误报。 |
| JAVA代码注入防护 | 增加对更多java表达式语言的检测能力,减少漏报。 |
| XXE攻击防护 | XXE安全检测引擎,通过语法进行分析检测,减少漏报以及误报,提高AF拦截成功率,提高AF安全检测能力 |
| Webshell上传防护 | 减少因为缓冲区截断而导致的漏报,如果用户对安全性要求较高,能接受一定的误报,建议选择高检出如果用户对业务稳定性要求高,建议选择低误报。 |
| SQL注入防护 | SQL注入防护引擎,将改进AF的防御效果,增加抗绕过能力和降低误报率,该功能默认启用,并选择低误报和禁用非注入型检测,适用于SQL业务较多的场景,在SQL业务较少的场景下可选择高检出和启用非注入型检测。 |
| XSS攻击防护 | XSS攻击防护引擎可以增强对XSS攻击的检测能力,降低误报率,该功能默认启用,并选择低误报,适用于后台编辑前端页面较多的场景,在安全要求较高的场景下可以选择高检出。 |
| 后门扫描防护 | 后门扫描防护引擎可以增强对后门扫描攻击的检测能力,该功能默认启用,并选择低误报,在安全要求较高的场景下可以选择高检出。 |
解析配置
XML解析引擎检测功能,增强XML攻击检测识别。能够检测http报文中的body部分,即通过XML协议传输包装的webshell的一种攻击绕过手段。如下图所示。
建议使用Chrome浏览器访问!
