图形管理界面用户手册.doc

《图形管理界面用户手册.doc》由会员分享，可在线阅读，更多相关《图形管理界面用户手册.doc（190页珍藏版）》请在装配图网上搜索。

1、图形管理界面用户手册安数云WAF 产品名称：安数云WAF 版本标识：V1.0.3单 位：北京安数云信息技术有限公司目 录1.Web管理介绍11.1 登录方法11.2 工具条21.2.1 修改密码21.2.2 保存配置31.2.3 关于31.2.4 退出41.3 Web管理41.3.1 菜单51.3.2 图标61.4 设备默认配置61.4.1 设备管理口的默认配置61.4.2 默认用户管理员61.4.3 默认配置管理员71.4.4 默认审计管理员72.典型配置案例82.1 概述82.2 系统配置82.3 网络配置92.3.1 透明模式案例92.3.2 代理模式案例102.4 真实服务器配置112

2、.5 站点策略配置112.6 虚拟服务配置122.7 服务器监控123.用户管理133.1 概述133.1 用户管理员133.1.1 用户管理员配置133.1.2 配置管理员用户管理143.1.3 Raduis配置173.1.4 密码强度配置183.1.5 锁定解锁配置193.2 配置管理员213.3 审计管理员214.首页224.1 概述224.2 最近五分钟威胁评分234.3 今日攻击总数234.4 24小时攻击趋势244.5 24小时攻击来源区域统计244.6 最近安全日志255.日志报表265.1 安全日志265.2 阻断日志285.3 运行日志295.4 安全报表295.5 服务器I

3、P监控305.5.1 服务器访问量305.5.2 服务器响应时间315.5.3 源IP访问TOP10315.5.4 URL TOP10325.5.5 慢URL TOP10325.5.6 服务器连接数335.5.7 服务器流量335.5.8 常见故障分析346. 系统配置356.1 概述356.2 基本配置356.2.1 管理口356.2.2 管理口访问366.2.3 时间376.2.4 DNS386.2.5 缺省网关396.3 授权配置416.3.1 试用授权416.3.2 正式授权427.日志配置447.1 日志447.1.1 日志配置447.1.2 配置Syslog服务器457.2 SNM

4、P配置457.2.1 配置SNMP467.2.2 配置SNMP USM用户467.2.3 配置案例477.3 告警配置497.3.1 告警配置498.证书管理508.1 概述508.2 证书配置508.2.1 本地证书的导出508.2.2 导入本地证书518.3 配置案例529.部署模式549.1 概述5410.接口5510.1 接口5510.1.1 配置物理接口5510.1.2 配置案例5610.2 配置VLAN接口5710.2.1 VLAN概述5710.2.2 创建VLAN接口5710.3 透明桥5910.3.1 配置桥接口5910.3.2 配置案例6010.4 端口聚合6110.4.1

5、配置聚合接口6111.路由6311.1 静态路由6311.1.1 配置静态路由6311.2 路由表6411.2.1 查看IPv4路由表6411.2.2 查看IPv6路由表6511.3 配置案例6512.地址映射6612.1 配置地址映射6612.1.1 配置地址映射池6612.1.2 删除地址映射池6712.1.3 配置地址映射规则6712.1.4 删除地址映射规则6812.2 配置案例6813.BYPASS7113.1 软件BYPASS配置7113.2 硬件BYPASS配置7113.2.1 显示系统链路7214.HA7314.1 配置7314.2 监视器7414.3 配置案例7515.地址监

6、控7715.1 配置地址监控7715.1.1 配置地址监控7715.1.2 删除地址监控7816.地址组7916.1 地址组7916.1.1 新建地址组7916.1.2 删除地址组8017.端口组8117.1 端口组8117.1.1 新建端口组8117.1.2 删除端口组8218.URL组8318.1 URL组8318.1.1 新建URL组8318.1.2 删除URL组8419.阻断日志8519.1 概述8519.2 阻断日志8519.2.1 站点策略临时阻断查看8520.IP访问控制8620.1 概述8620.2 黑名单8620.2.1 配置黑名单8620.2.2 修改黑名单8720.2.3

7、 删除黑名单8720.2.4 显示黑名单8720.2.5 启用黑名单8720.2.6 设置黑名单优先8820.3 白名单8820.3.1 配置白名单8820.3.2 修改白名单8920.3.3 删除白名单8920.3.4 显示白名单8920.3.5 启用白名单8920.3.6 设置白名单优先9020.4 配置案例9020.5 常见故障分析9121.阻断日志9221.1 概述9221.2 临时阻断日志9221.2.1 站点策略临时阻断查看9222.连接数控制9322.1 概述9322.2 防护对象9322.2.1 新建和编辑防护策略模板9322.2.2 编辑连接数控制策略模板9422.2.3 删

8、除连接数控制策略模板9522.3 连接数控制9522.3.1 新建连接数控制防护9522.3.2 编辑连接数控制9622.3.3 删除连接数控制9723.客户端识别9823.1 概述9823.1.1 客户端识别9824.虚拟服务10024.1 概述10024.2 虚拟服务10024.2.1 配置虚拟服务10024.2.2 修改虚拟服务10224.2.3 删除虚拟服务10224.2.4 调整虚拟服务优先级10224.2.5 显示虚拟服务10224.3 配置案例10324.3.1 配置代理模式虚拟服务10324.3.2 配置具有SSL卸载加密功能代理模式虚拟服务10424.3.3 配置桥模式虚拟服

9、务10524.3.4 配置具有SSL卸载加密功能桥模式虚拟服务10724.4 常见故障分析10925.站点策略11025.1 概述11025.2 站点策略11025.2.1 新建站点策略11025.2.2 编辑站点安全11125.3 HTTP协议校验11225.3.1 概述11225.3.2 配置HTTP协议校验11225.3.3 配置案例11725.4 源区域访问11825.4.1 概述11825.4.2 配置源区域访问11825.4.3 配置案例12025.5 URL黑白名单12125.5.1 配置URL黑白名单12125.5.2 配置案例12225.6 网站锁定12425.6.1 概述1

10、2425.6.2 配置网站锁定12525.7 流量控制12525.7.1 概述12525.7.2 流量控制12625.7.3 配置案例12625.8 关键字过滤12825.8.1 关键字过滤配置12825.8.2 配置案例12925.9 客户端访问控制13025.9.1 概述13025.9.2 客户端访问控制配置13025.10 智能补丁13225.10.1 配置智能补丁13225.10.2 配置案例13325.11 敏感信息防护13425.11.1 配置敏感信息保护13525.11.2 配置案例13625.12 文件上传防护13725.12.1 概述13725.12.2 文件上传防护1372

11、5.13 文件下载防护13825.13.1 概述13825.13.2 下载文件过滤13925.14 防绕过14025.14.1 概述14025.14.2 配置防绕过14025.15 防(CC)攻击14125.15.1 概述14125.15.2 配置防(CC)攻击14125.15.3 配置案例14225.16 防撞库14425.16.1 概述14425.16.2 配置防撞库14425.16.3 配置案例14525.17 防扫描14625.17.1 概述14625.17.2 配置防扫描14625.18 防SQL注入14725.18.1 概述14725.18.2 配置防SQL注入14725.18.3

12、 配置案例14825.19 防XSS(Cross Site Scripting)注入14925.19.1 概述14925.19.2 配置XSS防护15025.19.3 配置案例15125.20 防XMLDOS15125.20.1 配置XML注入防护15225.20.2 配置案例15225.21 防CSRF(Cross-Site Request Forgery)攻击15325.21.1 概述15325.21.2 配置CSRF攻击防护15325.21.3 配置案例15625.22 防盗链15725.22.1 盗链防护配置15825.22.2 配置案例15825.23 防篡改16025.23.1 概

13、述16025.23.2 配置防篡改防护16025.23.3 配置案例16125.23.4 常见故障分析16225.24 Cookie防护16225.24.1 配置Cookie保护16325.24.2 配置案例16425.25 特征防护策略16525.25.1 概述16525.25.2 配置防护策略16525.26 智能学习16725.26.1 概述16725.26.2 http协议自学习16825.26.3 Csrf自学习16925.26.4 Cookie自学习16926.规则定义17026.1 概述17026.2 预定义特征库17026.2.1 查看预定义特征库17026.3 自定义特征17

14、126.3.1 新增/编辑自定义特征17126.4 自定义特征模板17226.4.1 新建自定义特征模版17326.5 自定义响应17326.5.1 配置自定义响应17327.升级管理17527.1 升级管理17527.1.1 手动升级17527.1.2 特征库自动升级17527.2 升级日志17728.系统重启17828.1 系统重启/恢复出厂设置17828.1.1 重启系统17828.1.2 恢复出厂设置17829.诊断18029.1 诊断管理18029.1.1 诊断(ping/ping6)18029.1.2 诊断(TraceRoute/6)18129.1.3 诊断(TCP诊断/6)183

15、29.2 抓包18430.审计日志18530.1 概述18530.2 审计日志18530.2.1 查看审计日志18530.2.2 删除审计日志18630.2.3 导出审计日志18611. Web管理介绍1.1 登录方法下面介绍登录WAF的Web管理界面的操作方法：(1)确认客户端主机可以和WAF正常通讯（如果通过防火墙，请将80或443端口打开，具体根据WAF管理口的配置决定，本节以HTTP为例进行说明）。 (2)打开浏览器（例如：IE），用HTTP方式连接WAF的IP地址，例如。 (3)回车后出现登录框如图1.1所示，此时输入正确的用户名：adm密码：dcsec110和验证码，并点击【登录】

16、。图1.1 WAF的管理登录界面(4)登录成功后，进入系统当前运行状态的界面，如图 1.2 所示。图1.2 WAF当前的运行状态信息1.2 工具条1.2.1 修改密码点击页面左上角管理员名称“adm”，在弹出列表（如图1.3所示）中点击修改密码，系统会弹出修改密码页面，如图1.4所示。图1.3 adm功能列表图1.4 修改密码窗口l 旧密码：当前用户的旧密码。l 密码： 设置的新密码。l 确认新密码： 确认设置的新密码。1.2.2 保存配置保存配置功能可以永久保存系统当前配置，系统重启后配置不丢失。在默认情况下，WAF设备不会永久保存当前系统配置。用户在修改配置后，如果不点击“保存”按钮，系统

17、在下次启动后只会按照最后一次保存的配置启动。保存按钮在Web页面的右上角，如图1.5所示图1.5 系统右上角功能列表当用户通过Web页面修改一些配置时，系统的保存按钮会自动提示用户需要保存配置操作，如图1.6所示。图1.6 保存提示图1.2.3 关于在管理员adm的功能列表以及右上角都有关于的按钮，其内容如图1.7所示。图1.7 系统关于窗口1.2.4 退出在管理员adm的功能列表以及右上角都有退出的按钮，点击该按钮后，系统会注销当前用户的登录，浏览器直接跳转到登录页面。用户在关闭浏览器的情况下，系统会自动注销当前用户的登录，用户再次打开浏览器时，需用重新登录验证才能进入系统。1.3 Web管

18、理用户可以通过Web管理界面查看和修改WAF设备的各种配置状态。界面左侧为管理功能列表，当用户点击一个菜单项目，如安全防护，系统菜单会扩展为一个子菜单。接着点击其中一个子菜单“站点策略”后，页面会显示该功能的详细配置信息，如图1.8所示。图1.8 站点策略界面1.3.1 菜单菜单提供了WAF设备的主要配置和显示选项。l 主页显示最近5分钟威胁评分、今日攻击总数、安全类型TOPN、24小时攻击趋势、24小时攻击来源区域统计、最新安全日志、今日服务器攻击统计、今日源IP攻击统计、今日攻击分类统计和系统和授权。l 日志报表由安全日志、阻断日志、运行日志、安全报表、服务器监控子菜单组成，主要展示与日志

19、相关的信息。l 系统配置由基本配置、授权配置、日志配置、告警配置、证书配置子菜单组成，主要配置设备自身运行所需的各种配置。l 网络配置由部署模式、接口、路由、地址映射配置子菜单组成，主要配置设备运行所需要的网络相关信息。l 高可靠性由BYPASS、HA、网络监控子菜单组成，主要为了提高设备的高可靠性而进行的相关配置。l 组管理由地址组、端口组和URL组配置子菜单组成，把多个IP地址、端口或URL作为一个集合进行配置。l 安全防护由IP访问控制、连接数控制、客户端识别、虚拟服务、站点策略、规则定义子菜单组成。主要是对流量进行安全检测及防护相关的配置。l 维护由备份恢复、升级管理、系统重启、诊断子

20、菜单组成。主要是设备日常维护的相关配置。1.3.2 图标Web管理界面使用了很多图标按钮，当鼠标停留在图标按钮上时，系统会弹出相应图标的提示信息。页面中使用的图标按钮的名称及说明如表1.1： 图标按钮名称说明编辑编辑配置删除删除一个条目提升提升虚拟服务器的优先级下降降低虚拟服务的优先级置顶虚拟服务置顶表1.1 图标按钮说明1.4 设备默认配置WAF出厂时，会有一系列默认的配置，这些默认配置保证了用户不需要进行额外配置就能够通过Web对WAF进行相应的管理。1.4.1 设备管理口的默认配置WAF设备管理口的默认地址配置为172.16.0.18/24，允许对该接口的Ping和HTTPS操作。1.4

21、.2 默认用户管理员WAF设备默认并且唯一的用户管理员为admin，初始登录密码为dcsec110，用户管理员登录后进入配置管理员的用户管理页面。1.4.3 默认配置管理员WAF设备默认的配置管理员为adm，初始密码为dcsec110，配置管理员登录设备将进入配置管理首页。1.4.4 默认审计管理员WAF设备默认并且唯一的审计管理员为audit，初始化登录密码为dcsec110，审计管理员登录将进入审计日志首页。22. 典型配置案例2.1 概述本章以WAF的两种典型部署场景（透明模式、代理模式）为例，详细介绍WAF基本功能的配置方法，以帮助用户快速掌握和使用WAF产品。2.2 系统配置在管理界

22、面的左侧菜单栏中点击“系统配置”，系统会展开系统配置的配置菜单，包括基本配置、授权配置、日志配置、告警配置、证书配置等。用户可以点击具体的配置菜单进行相应的配置。本手册后面章节中有详细描述，本章不再详述。WAF设备默认的管理口IP地址是172.16.0.18，通过“系统配置-基本配置-管理口配置”可以进行修改，具体请参考“第6章 基本配置 - 6.2管理口配置”，配置界面如图2.1所示。图2.1 管理口配置界面2.3 网络配置在管理界面的左侧菜单栏中点击“网络配置”， 系统会展开网络配置的配置菜单，包括设备的部署模式、接口、路由和地址映射等。用户可以点击具体的配置菜单进行相应的配置。WAF设备

23、有多种网络部署，下面就透明和代理两种典型场景进行举例说明。2.3.1 透明模式案例透明模式，是将设备的一对业务口串联到用户的环境中，该模式不需要修改用户的网络拓扑，设备上架也比较简单。典型网络拓扑如图2.2所示。图2.2 WAF串联模式典型拓扑如图2.1所示，网络基本配置如下：1. 配置管理员登陆的管理口地址配置为172.16.1.1。2. 将对应的业务口都加入到同一桥组中。2.3.2 代理模式案例代理模式，是指WAF作为服务器的代理，与客户端进行通信并进行流量检测和防护。代理模式下，需要给业务口配置代理IP，以保证WAF能够正常工作。该模式会使所有的客户端的访问全部转移到WAF上，从而起到隐

24、藏真实服务器的目的，使得真实服务器更加安全；在代理模式下，WAF还支持负载均衡功能，可以避免某个服务器访问压力过大而其他服务器压力过小的问题。但是该模式会修改用户的网络拓扑。代理模式典型网络拓扑如图2.3所示。代理模式只允许使用一个业务口时，需要将WAF配置成单臂模式，其配置方式与代理模式基本类似。图2.3 WAF代理模式典型拓扑如图2.3所示，最基本的网络配置如下：1. 配置管理员登陆的管理口地址配置为172.16.1.1，具体请参考“第6章 基本配置 - 6.2管理口配置”。2. 将对应的业务口配置指定的IP地址，如上图192.168.1.2即为虚拟IP，具体配置 “第12章 接口 - 1

25、2.2接口”。2.4 真实服务器配置真实服务器是由IP地址、端口和域名组成，WAF设备将IP地址和端口用地址组和端口组来统一管理，因此在配置真实服务器之前需要先配置IP地址组和端口组。在管理界面的左侧菜单栏中点击“组管理”， 系统会展开网络配置的配置菜单，包括地址租、端口组和URL组等。在菜单栏中选择“组管理”-“地址组”，添加需要被保护的真实服务器，添加“1016”地址组如图2.4所示；在菜单栏中选择“组管理”-“端口组”，添加真实服务器提供的服务端口，添加“80”端口组如图2.5所示。图2.4 添加地址组图2.5 添加端口组真实服务器是在添加虚拟服务时才进行的配置，在“第25章虚拟服务”中

26、有详细的添加方式，这里不再详述。2.5 站点策略配置站点策略主要是配置清洗流量的各种防护规则和处理规则，WAF引擎会按照这些配置进行流量的相应处理。在管理界面的左侧菜单栏选择“安全防护”-“站点策略”，可以配置WAF的各种防护策略，其详细配置方式在“第27章 站点策略”中有详细的描述，这里不再进行详述。2.6 虚拟服务配置虚拟服务是将运行模式、真实服务器和站点策略进行关联的功能，只有配置了虚拟服务器，WAF才能对真实服务器进行防护。在管理界面的左侧菜单栏选择“安全防护”-“虚拟服务”，通过虚拟服务的配置，可以完成对所设置的web服务器提供基本服务、安全保护等服务，包括：负载分担、流量监控、SS

27、L代理、综合安全保护及检测等等。具体配置请参考“第25章 虚拟服务”。针对本章描述的两个典型配置案例：l 透明模式的虚拟服务虚拟服务具体配置请参考“第25章 虚拟服务 - 25.3配置案例 - 25.3.3配置桥模式虚拟服务”。l 代理模式的虚拟服务虚拟服务具体配置请参考“第25章 虚拟服务 - 25.3配置案例 - 25.3.1配置代理模式虚拟服务”。2.7 服务器监控在完成以上配置之后，WAF就可以对真实服务器进行安全防护了。如果用户想获取服务器的流量信息、页面访问情况和服务器质量信息等信息时，可以开启服务器监控功能，开启方式请参考“第5章 服务器监控”。在菜单栏中选择“安全防护全局控制服

28、务器监控配置”，可以开启对服务器信息的统计，其统计结果可以在“日志报表服务器监控”中进行查看。33. 用户管理3.1 概述WAF设备的管理员用户使用三权分立的原则对设备进行管理和配置，所谓“三权分立”是指的将用户管理、配置管理和审计管理三种不同的操作分派给三种管理员角色（用户管理员、配置管理员和审计管理员）来进行，实现管理员用户之间的各司其职。系统通过用户登录时使用的用户名进行区分，不同的角色对应不通的用户名。3.1 用户管理员系统中只有一个唯一的用户管理员，用户名为admin，初始登录密码为dcsec110，任何用户都不可以对其进行删除，创建，锁定等操作。用户管理员主要是管理配置管理员用户，

29、如创建、删除、编辑、锁定配置管理员等。3.1.1 用户管理员配置使用admin账户管理员登录系统，进入用户管理首页，如图3.1所示。图3.1 用户管理员界面系统只允许对用户管理员进行密码修改的操作，密码修改方法如下：单击admin用户操作项中的“”图标按钮，系统会弹出修改密码对话框如图3.2所示。填写新密码和确认新密码后，点击“确定”按钮即可完成密码修改。图3.2 修改密码界面l 新密码：指的是用户新修改密码，用于对用户进行验证l 确认新密码：需要确认修改的新密码3.1.2 配置管理员用户管理1. 创建配置管理员用户1).使用admin登录，进入用户管理员首页，点击新建，如图3.3所示：图3.

30、3 新建配置管理员界面l 用户名： 管理员的名称。l 类型： 用户登录验证的方式。l 新密码： 用户对应的密码。l 确认新密码： 确认用户修改的密码l 角色： 角色分为三种，用户管理员，配置管理员和审计管理员，由于用户管理员和审计管理员都不能被创建，因此只能选择配置管理员。l 权限：权限分为两种，只读和读写l 联系电话：管理员的联系电话。l Email地址：管理员的Email。2).配置用户名，用户ID只能包含数字，英文字符或下划线，长度范围(3-16)3).配置密码，密码不能包含空格和?，长度范围(6-16)4).配置管理员的电话和Email（可选配置）5).点击提交2. 编辑配置管理员用户

31、用户管理员只可修改已经存在的配置管理员的密码、联系电话和Email地址两项内容。单击配置管理员操作列表中的“”弹出修改密码对话框如图3.4所示：图3.4 修改配置管理员密码界面然后点击“提交”按钮。l 新密码：需要修改的新密码， 密码不能包含空格和?，长度范围（6-16）修改联系电话和Email地址方法：单击配置管理员操作列表中的“”弹出编辑用户对话框如图3.5所示：图3.5 编辑配置管理员界面然后点击“确定”按钮。3. 删除配置管理员用户用户管理员可以删除已经存在的配置管理员用户。单击配置管理员操作列表中的“”弹出确认对话框，如图3.6所示：图3.6 删除配置管理员界面单击确定删除用户。3.

32、1.3 Raduis配置Radius认证需要配置Radius服务器，在没有Radius服务器的前提下不要配置Radius认证方式，否则相应的用户将无法登录。点击“Radius配置”选项卡，可以查看系统中已经配置过的Radius服务器信息，如图3.7所示。图3.7 查看Radius服务器界面i. 添加Radius服务器1) 单击“新建”按钮图3.8 新建Radius服务器界面2) 填写Radius服务器名称，名称不能包含空格和特殊字符，最大长度63位3) 填写Radius服务器IP地址4) 填写Radius服务器验证密码，密码不能包含空格和?，长度范围(6-16)5) 填写Radius服务器的服

33、务端口6) 单击确定3.1.4 密码强度配置点击“密码强度”，可以配置所有用户的密码强度，如图3.10所示。图3.10 密码强度配置界面3.1.5 锁定解锁配置用户管理员可以锁定和解锁特定的配置管理员，还可以对多次登录失败的用户进行IP地址的临时锁定。锁定和解锁用户，单击配置管理员操作列表中的“”，弹出锁定确认对话框，如图3.11所示。图3.11 锁定配置管理员界面单击确定。系统将会锁定该用户，该用户在锁定期间将不允许登录到设备；如果当前用户已经登录到了设备，则系统将会强制其下线。单击配置管理员操作列表中的“”，弹出解锁确认对话框，如图3.12所示。图3.12 解锁配置管理员界面单击确定。系统

34、将会锁定该用户，解锁后该用户可以正常登录的设备。1) 临时锁定配置选择“用户管理锁定解锁”，进入锁定解锁配置页面，配置登录失败次数和锁定时间，如题3.13所示。图3.13 锁定解锁配置界面该功能主要是防止黑客恶意使用暴力破解和撞库的方法，破解系统账户密码。l 登录失败次数：一个用户连续登录失败的最大次数。超过设置次数时，登录IP地址将会被临时锁定l IP锁定时间：锁定期时间长度，在这个时间长度内，不允许该登录IP再次登录IP地址被临时锁定以后，如果该IP还在尝试登录，锁定时间会从当前时间重新计算。被临时锁定的IP地址如果需要手动解锁，可以在“锁定IP列表”中，点击相应IP右侧操作列表中的“”，

35、即可解锁该IP地址。3.2 配置管理员WAF用户管理员可以配置添加配置管理员，同时可以配置配置管理员的读写权限，使得相应的配置管理员只有权限内的配置管理操作。系统中默认有一个配置管理员adm，初始密码为dcsec110。使用配置管理员登录设备将进入配置管理首页，如图3.1所示。3.3 审计管理员系统中只有一个唯一的审计管理员，用户名为audit，初始登录密码为dcsec110。登录成功后进入审计日志首页，如图3.14所示。图3.1 审计用户登录界面审计管理员的操作在“第35章 审计日志”做了详细的讲解，本章节不再进行详述。44. 首页4.1 概述首页用图表或列表的方式集中展示了系统当前运行状态

36、的一些重要信息的摘要信息。用户通过首页可以基本了解系统的当前运行状态、受威胁类型、程度及来源、版本及授权信息。首页只展示摘要信息，具体的详细信息需要到具体的模块中进行查看。系统首页只允许“配置管理员”访问，禁止其他用户访问。配置管理员登录系统后，系统会自动跳转首页，以便于其进行系统的各种配置管理。首页如图4.1所示。图4.1 首页界面首页信息包括最近五分钟威胁评分、今日攻击总数 、24小时攻击趋势、24小时攻击来源区域统计、最近安全日志、今日服务器攻击统计、今日源ip攻击统计、今日攻击分类统计、系统和授权信息。注：WAF的Web页面某些字段受页面宽度的限制，可能显示不完整。此时，用户可以通过将

37、鼠标停留在具体的字段上，系统会将完整的信息展示在浮动窗口上，以便于用户查看。4.2 最近五分钟威胁评分最近5分钟的威胁评分，是系统对最近遭受攻击的严重程度进行打分，并将结果以图表的方式，给用户更直观的展示。如图4.2所示。图4.2 最近5分钟的威胁评分图4.3 今日攻击总数今日攻击总数，是系统对当天遭受的攻击按照严重程度进行分类统计，并与昨天的攻击进行统计对比，使用图表的方式更直观的给用户展示当天和最近两天的攻击情况。如图4.3所示。图4.3今日攻击总数图4.4 24小时攻击趋势24小时攻击趋势，是系统对最近24小时内的攻击情况，按照攻击的级别分别进行统计，并按照时间进行划分，使用图表的方式，

38、更直观的展示最近24小时各级别的攻击趋势图。如图4.4所示。图4.4 -24小时攻击趋势图4.5 24小时攻击来源区域统计24小时攻击来源区域统计，是系统对最近24小时内的攻击情况，按照攻击者的来源进行区域划分，并在地图上通过颜色的深浅标注该区域攻击者发起攻击的次数，使用户能够更清晰的了解攻击源的区域情况，同时也可以为用户即将制定的防护决策提供参考。如图4.5所示。图4.5 -24小时攻击来源区域统计图4.6 最近安全日志最近安全日志，是服务器最近遭受的攻击情况列表，系统以日志的方式进行展示，便于用户了解攻击的详细信息。如图4.6所示。图4.6最近安全日志列表55. 日志报表5.1 安全日志安

39、全日志是客户端在访问服务器期间触发了WAF的各种规则，由WAF上报的日志，便于用户查看和分析攻击信息。安全日志会展示一条攻击的攻击信息、源IP和端口、目的IP和端口，域名、动作、NAT前地址、原始报文等信息，如图5.1所示。图5.1安全日志列表攻击信息：是WAF内置的攻击名称，当攻击匹配中WAF的某个检测算法时，WAF就会上报攻击信息为检测算法对应的攻击名称的安全日志。攻击信息支持查看攻击详情和攻击特征。点击攻击信息列中攻击的名称，可以查看攻击说明，如图5.2所示。 图5.2 攻击信息源IP(端口)：发起攻击的IP地址和端口。目的IP(端口)：被攻击的IP地址和端口。域名：攻击者攻击的域名。动

40、作：攻击匹配上WAF对应的算法后， WAF采取的行动，具体行动在后续章节配置时会有相应的说明。NAT前地址：源IP做NAT前的IP。原始报文：WAF的特征库会提供抓包功能，当某个特征开启抓包后，若攻击匹配上该特征，WAF就会抓取相关的报文。在这里也会有相应的展示。操作：对于普通的日志，操作中只会有详情的图标，对于有报文的日志，操作中还会有删除报文的图标。详情按钮可以查看该日子的详细攻击信息。如图5.3所示。图5.3 攻击详情信息安全日志提供搜索功能，用户可以设定开始时间、结束时间、日志级别、动作和名称中的一个或多个条件进行查询，系统会根据用户设定的条件展示查询的结果，帮助用户过滤不需要的信息。

41、5.2 阻断日志在“阻断日志临时阻断日志”中，系统会展示系统当前的临时阻断列表。该列表是当攻击匹配上WAF防护策略中动作为阻断的算法时产生，如图5.4所示。图5.4 临时阻断日志来源：是触发临时阻断的算法。能触发阻断日志有全局IP阻断、客户端访问控制、防CC攻击、防撞库、防扫描、防XML注入等。不同的算法触发的临时阻断日志的来源不同，可以通过来源来区分触发临时阻断日志的算法。客户端ID：是由系统根据算法计算的客户端指纹ID。开始时间：是触发临时阻断的时间。阻断剩余：该临时阻断还需要阻断的时间长度。操作：操作列表中有删除图标。删除某个临时阻断后， 系统不会继续阻断与该阻断相同的客户端连接。其他列

42、在5.1章已经做过解释，这里不再做重复解释。5.3 运行日志运行日志，是系统在运行过程中产生的各种日志。包括CPU、内存使用情况、系统连接数、系统端口up/down情况、系统up/down情况、bypass up/down情况、系统升级/备份/恢复情况、网络探测情况等信息。用户可以根据运行日志，查看系统运行过程中的一些状态。如图5.5所示。图5.5 运行日志5.4 安全报表安全报表是系统按照用户设定的时间范围，分类统计时间范围内的源IP、目的IP等信息，并形成PDF报表供用户下载。报表配置界面如图5.6所示，安全报表的报表项默认全部开启，暂时不允许用户配置。图5.6 报表配置界面报表结果界面如

43、图5.7所示，用户在报表结果页面，可以下载和删除报表。报表在用户删除之前会一直保存，重启不丢失。图5.7 报表结果界面5.5 服务器IP监控用户可以通过服务器监控，查看服务器访问量、响应时间、源IP访问TOP10、URL访问TOP10、慢URL TOP10、服务器连接数、服务器流量等信息。服务器监控只监控前100个服务器IP和前100个域名，并进行分类统计。域名监控跟服务器IP监控各个监控展示效果相同。因此，本节只讲解服务器IP监控。点击日志报表服务器监控就会进入24小时服务器统计界面，服务器监控会按照服务器IP和域名区分的前100个服务器，并展示最近24小时内的监控信息。5.5.1 服务器访

44、问量服务器访问量，是系统按照时间划分，统计服务器在最近24小时内访问趋势。每个点表示在当前时间段内服务器的平均访问量。如图5.8所示。图5.8 服务器访问量趋势图5.5.2 服务器响应时间服务器响应时间，是系统按照时间划分，统计服务器在最近24小时内的响应时间趋势。每个点标识，在当前时间段内服务器的平均响应时间。如图5.9所示。图5.9 服务器响应时间趋势图5.5.3 源IP访问TOP10源IP访问TOP10，是系统对最近24小时内发起访问的源IP进行统计，并展示其中发起访问数目最多的前10名。系统使用10种不同的颜色来区分不通的源IP，当用户使用鼠标移动到图片时，系统会通过浮动框展示该源IP

45、的访问数量和比例信息。如图5.10所示。图5.9 源IP访问TOP10图5.5.4 URL TOP10URL TOP10，是系统对最近24小时内客户端访问的URL进行统计，并展示其中访问次数最多的前10名。系统使用10中不同的颜色来区分10个URL，当用户用鼠标移动到右侧环形图标的某个URL时，系统会通过浮动框展示该URL的访问量以及比例信息。如图5.11所示。图5.11 URL TOP10图5.5.5 慢URL TOP10慢URL TOP10，是系统对最近24小时内服务器各个URL的响应时间进行统计，并展示其中响应时间最长的前10名。系统使用10中不同的颜色来区分10个URL，当用户用鼠标移

46、动到右侧环形图标的某个URL时，系统会通过浮动框展示该URL的响应时间以及比例信息。如图5.12所示。图5.11 慢URL TOP12图5.5.6 服务器连接数服务器连接数，是系统按照时间划分，统计服务器在最近24小时内的服务器的连接数和半连接数趋势。系统使用不用的颜色来区分连接数和半连接数，具体如图5.12所示，每种颜色的某个点表示在当前时间段内的该类连接数的数量。图5.12 服务器连接数趋势图5.5.7 服务器流量服务器流量，是系统按照时间划分，统计服务器在最近24小时内的上行、下行、盗链和爬虫流量的趋势图。系统使用不同的颜色来区分不同的流量，具体如图5.13所示。每种颜色的某个点标识，当

47、前时间段内该类型流量的流量值。图5.13 服务器流量趋势图5.5.8 常见故障分析故障：服务器监控无数据故障现象进入服务器监控后，个子项窗口都无数据分析与解决1） 检查是否启用服务器监控功能。开启方法：进入安全防护全局控制服务器监控配置页面，勾选开启，点击提交按钮。2） 检查服务器流量是否经过WAF。主要检查网络拓扑。3） 检查系统是否有安全日志产生。有安全日志产生时，服务器监控才会有数据。66. 系统配置6.1 概述主要是对系统的基本功能进行配置，包括基本配置、授权配置、日志配置、告警配置和证书配置。6.2 基本配置6.2.1 管理口选择“系统配置基本配置管理口”即可进入管理口配置界面。管理

48、口是用户对WAF进行管理访问的物理接口，管理口允许用户配置IP、网卡协商模式、双工模式、速率和MTU信息，如图6.1所示。一般情况下只需要配置管理口IP及掩码即可。图6.1 管理口界面接口信息：l 管理口：管理口名称。l 描述：接口描述。l IPv4地址/掩码：管理口的IPv4地址和掩码。l IPv6地址/掩码：管理口的IPv6地址和掩码。l 协商模式：分为自协商和非自协商两种模式，自协商是管理口与对端接口相互协商，协商出自己的双工模式和速率值。非自动协商，允许用户根据对端网络接口的双工模式和速率，配置管理口的双工模式和速率，该模式下必须保证两端的工作模式和速率一致，否则会造成端口不通或丢包的

49、情况发生。一般情况下只建议用户使用自协商模式即可，只有在自协商失败的情况下才建议用户使用非自协商模式。l 双工模式：设置端口工作模式，有全双工和半双工两种模式。l 速率：设置端口速率。需要根据网卡自身速率和对端网卡速率进行综合考虑，取两者最小的速率，作为自身的速率。l MTU：接口发送报文的最大长度，缺省为1500注：修改完管理口配置后，必须点击提交，配置才会生效。6.2.2 管理口访问选择“系统配置基本配置管理口访问”即可进入管理口访问配置界面。WAF管理口支持HTTP、HTTPS、PING、TELNET、SSH管理协议，系统默认值开启HTTP服务，如果用户需要使用其他服务，则需要开启相关服

50、务即可。管理口访问配置界面如图6.2所示。图6.2 管理口访问配置界面管理口任意一个协议的访问都需要授权，只有将允许访问的源IP加入到对应协议的允许访问列表中，相应的源IP才能访问该协议。如果不限制源IP来源，IP/掩码可以设置为0.0.0.0/0 和:/0即可。页面超时是指用户登录到WAF的Web界面后，系统会在超时时间后强制用户退出系统。系统默认超时时间为10分钟。注：修改完管理口访问配置后，必须点击提交，配置才会生效。故障分析现象管理口无法正常访问步骤1、 检查管理口网线连接是否正常。2、 检查网线两端端口对应的Link指示灯状态是否正常。3、 检查网线两端双工模式和工作速率是否一致。如

51、果不一致，调整两端网卡双工模式和工作速率，使其一致。4、 检查客户端与WAF否网络可达。如果网络不可达，使用网络可达的客户端访问WAF设备。6.2.3 时间选择“系统配置基本配置时间”即可进入时间配置界面。系统时间支持手动配置和NTP服务自动同步两种方式，时间配置界面如图6.3所示。图6.3 时间配置界面l 系统时间：当前系统时间。l 系统时区：系统所在的时区，可修改。l 选择时间：在手工设置模式下，系统允许用户修改当前系统时间。l 服务器：NTP服务器，只支持选择，不允许添加。在选中NTP同步时生效。l 同步间隔：系统定时从NTP服务器获取时间的时间间隔，单位：分钟。l 立即同步：系统立即向

52、NTP服务器发送时间同步请求，进行时间同步。开启NTP同步时，系统会每隔同步间隔的时间从NTP服务器上获取一次时间，并修改当前系统时间。注：修改完时间配置后，必须点击提交，配置才会生效。6.2.4 DNSDNS（Domain Name System，域名系统），因特网上作为域名和IP地址相互映射的一个分布式数据库，能够使用户更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。通过主机名，最终得到该主机名对应的IP地址的过程叫做域名解析（或主机名解析）。WAF支持自动升级系统和特征库，设备在进行自动升级时需要进行必要的域名解析才能下载升级包。因此，在WAF配置为自动升级时，需要配置DN

53、S服务器，才能完成升级包的下载和升级工作。选择“系统配置基本配置DNS”即可进入DNS配置界面，如图6.4所示。图6.4 DNS配置界面l IPv4首选DNS：主IPv4 DNS服务器，WAF优先使用该服务器进行域名解析。l IPv4备用DNS：备用IPv4 DNS服务器，当主IPv4 DNS服务器不可用时，WAF会使用该服务器进行域名解析。l IPv6首选DNS：主IPv6 DNS服务器，WAF优先使用该服务器进行域名解析。l IPv6备用DNS：备用IPv6 DNS服务器，当主IPv6 DNS服务器不可用时，WAF会使用该服务器进行域名解析。注：修改完DNS配置后，必须点击提交，配置才会生

54、效。6.2.5 缺省网关缺省网关（Default Gateway）是计算机网络中一个如何将数据包转发到其他网络中的节点。在一个典型的TCP / IP网络，节点（如服务器、工作站和网络设备）都有一个定义的默认路由设置（指向默认网关）。可以在没有特定路由的情况下，明确出发送数据包的下一跳IP地址。WAF支持自动升级系统和特征库，设备在进行自动升级时需要连接安数云升级服务器。因此，在WAF配置为自动升级时，需要配置缺省网关，以保证WAF设备能够正常连接安数云升级服务器，完成升级包的下载和升级工作。选择“系统配置基本配置缺省网关”即可进入缺省网关界面，如图6.5所示。图6.5缺省网关界面为了满足用户网

55、络的各种场景，WAF允许用户配置多个缺省网关。在缺省网关界面点击新增按钮即可添加缺省网关，如图6.6所示。图6.6 新建缺省网关界面l 网关地址：网关IP，可以输入IPv4或IPv6地址。l 权重：可不填，默认值为5。l 管理距离：可不填，默认值为5。输入网关地址、权重和管理距离并点击确定后，该网关地址才会生效。此时系统会关闭添加网关的窗口，并退回默认网关列表界面。在网关列表的操作列有删除图标，用户可以点击该图标删除多余或无效的网关地址。点击删除时，系统会弹出确认窗口，如图6.6所示。图6.6 删除缺省网关界面点击确定后，系统会删除该默认网关，否则不删除。6.3 授权配置安数云WAF设备使用授

56、权机制，只有在设备授权后，WAF的各项防护功能才能正常使用，否则与授权相关的功能将会自动关闭，无法使用。WAF采用两种授权方式：试用授权和正式授权。选择“系统设置授权配置”即可进入授权配置界面，如图6.7所示。图6.7 授权配置界面6.3.1 试用授权出厂设备有且仅有一次试用授权机会，试用授权时长为3个自然月。在试用授权期间，WAF各项功能都能正常使用不受任何限制。当试用授权结束后，所有功能将会被禁用（包括接口）。此时只能导入安数云正式授权码，WAF设备才能正常使用。注：一台设备试用授权最多只能使用一次，当未使用试用授权，而直接使用正式授权且正式授权到期后，试用授权也将不可用。用户只需要点击授

57、权配置界面的“试用”按钮即可自动完成试用授权。试用授权完成后，授权配置界面如图6.8所示。图6.8 临时授权界面6.3.2 正式授权正式授权需要用户根据自身需要向安数云购买，安数云会根据用户购买的服务，为用户提供授权码。授权码中会有授权接口数目的限制，有可能授权的接口数目小于WAF业务接口的总数目，此时需要用户来决定哪些业务口可以授权。为了避免错误，WAF系统暂时不支持自动完成接口的授权。因此，用户在对WAF进行正式授权时，还需要进行接口授权。正式授权方法也比较简单，用户只需要点击授权配置界面的“导入”按钮，就会进入导入授权的页面，如图6.9所示。此时将安数云提供的授权码输入到文本框本并点击

58、“激活”按钮即可自动完成正式授权。正式授权完成后，授权配置界面如图6.10所示。图6.9 导入授权码界面图6.10 正式授权界面完成正式授权后，需要对接口进行授权，否则所有的业务接口都无法使用，从而WAF也不能正常工作。此时，只需要点击授权接口后面的“0/4”（0表示当前授权的接口数；4表示可授权的接口最大数目），系统就会弹出授权接口的界面，如图6.11所示。图6.11 授权接口界面勾选需要授权的接口，点击“授权”，系统会自动完成用户选中接口的授权。此时，被授权的接口可以进行正常的网络通信，未被授权的接口则仍不可用。1. 77. 日志配置7.1 日志日志是一种记录设备运行状况,包含了系统的安全

59、日志、系统的运行日志、以及管理员的操作日志信息。7.1.1 日志配置进入系统配置日志配置，如下图：日志配置参数说明：l 本地：是否开启本地日志显示，以及显示日志的级别l Syslog：是否开启发送Syslog日志，以及发送日志的级别，日志显示的配置：1. 选择本地显示, 启用本地日志并选择级别2. 选择Syslog发送, 启用Syslog日志并选择级别l 运行日志：显示当前系统状态运行的所有状态，以及哪些级别的运行日志被显示l 日志合并：是否开启日志合并功能，以及日志合并的时间配置：1. 启用日志合并功能，并填写合并的时间。2. 提交日志过滤中只对大于或等于该级别的日志有效。7.1.2 配置Syslog服务器进入系统配置日志配置Syslog，如下图：l 服务器1地址：Syslog服务器1的地址l 服务器1端口：Syslog服务器1的端口l 服务器2地址：Syslog服务器2的地址l 服务器2端口：Syslog服务器2的端口可以同时将日志消息发送到两个不同的Syslog服务器，两者互不影响。配置日志服务器步骤：l 填写Syslog服务器地址l 填写服务器端口l 点击提交.