东软 NetEye Web 应用防护系统使用手册 - Neusoftneteye.neusoft.com/upload/files/20191219/1576739474838.pdf · 东软NetEye Web 应用防护系统用户手册 3 3.5 系统功能介绍

东软 NetEye Web 应用防护系统用户手册

1

东软 NetEye Web 应用防护系统

使用手册


2

目录

前言 ........................................................................................................................................................ 11

文档范围 ............................................................................................................................................ 11

期望读者 ............................................................................................................................................ 11

内容简介 ............................................................................................................................................ 11

格式约定 ............................................................................................................................................ 12

1 产品概述 ........................................................................................................................................ 13

1.1 概述 ............................................................................................................................... 13

1.2 典型网络部署方式 ....................................................................................................... 14

1.2.1 串联防护部署模式 ....................................................................................................... 14

1.2.2 旁路防护部署模式 ....................................................................................................... 16

2 基础配置向导 ................................................................................................................................ 18

2.1 连接 WEB 管理界面或命令行 ...................................................................................... 18

2.1.1 连接 web 管理界面 ..................................................................................................... 19

2.1.2 连接命令行 ................................................................................................................... 20

2.2 界面风格设置 ............................................................................................................... 20

3 管理系统概述 ................................................................................................................................ 22

3.1 概述 ............................................................................................................................... 22

3.2 登录系统 ....................................................................................................................... 22

3.3 系统用户 ....................................................................................................................... 23

3.4 页面布局 ....................................................................................................................... 24


3

3.5 系统功能介绍 ............................................................................................................... 25

4 主页面 ............................................................................................................................................ 29

4.1 主页面概述 ................................................................................................................... 29

4.2 系统信息 ....................................................................................................................... 30

4.3 许可证管理 ................................................................................................................... 31

4.3.1 许可证管理概述 ........................................................................................................... 31

4.3.2 License 使用步骤 ........................................................................................................ 31

4.3.3 许可文件配置步骤 ....................................................................................................... 32

5 系统配置 ........................................................................................................................................ 33

5.1 系统配置概述 ............................................................................................................... 33

5.2 账户管理 ....................................................................................................................... 34

5.2.1 用户管理 ....................................................................................................................... 35

5.2.2 密码修改 ....................................................................................................................... 38

5.2.3 阻断用户管理 ............................................................................................................... 39

5.3 系统信息配置 ............................................................................................................... 39

5.3.1 系统基本信息配置 ....................................................................................................... 40

5.3.2 主机名配置 ................................................................................................................... 41

5.3.3 SOC 配置 ...................................................................................................................... 42

5.3.4 集中管理配置 ............................................................................................................... 43

5.3.5 时间管理 ....................................................................................................................... 44

5.4 备份恢复 ....................................................................................................................... 47


4

5.4.1 WebUI .......................................................................................................................... 47

5.4.2 CLI ................................................................................................................................. 49

5.5 在线升级 ....................................................................................................................... 50

5.5.1 系统升级 ....................................................................................................................... 50

5.5.2 规则库升级 ................................................................................................................... 50

5.6 告警设置 ....................................................................................................................... 50

5.6.1 邮件告警 ....................................................................................................................... 51

5.6.2 短信告警 ....................................................................................................................... 53

5.6.3 存储告警 ....................................................................................................................... 55

5.7 DNS 服务器配置 ......................................................................................................... 55

5.8 DNS 配置 ..................................................................................................................... 56

5.8.1 WebUI .......................................................................................................................... 56

5.8.2 CLI ................................................................................................................................. 57

5.9 SNMP 配置 .................................................................................................................. 57

5.10 远程管理 ....................................................................................................................... 59

5.10.1 WebUI .......................................................................................................................... 59

5.10.2 CLI ................................................................................................................................. 61

5.11 关机重启 ....................................................................................................................... 62

5.11.1 WebUI .......................................................................................................................... 62

5.11.2 CLI ................................................................................................................................. 62

5.12 回滚恢复 ....................................................................................................................... 63

5.12.1 WebUI .......................................................................................................................... 63


5

5.12.2 CLI ................................................................................................................................. 64

5.13 负载保护设置 ............................................................................................................... 64

5.14 端口设置 ....................................................................................................................... 65

6 网络管理 ........................................................................................................................................ 66

6.1 网络管理概述 ............................................................................................................... 66

6.2 网络模型 ....................................................................................................................... 66

6.3 网络接口 ....................................................................................................................... 67

6.3.1 Port 接口配置 .............................................................................................................. 67

6.3.2 Channel 接口配置 ...................................................................................................... 69

6.3.3 网桥接口配置 ............................................................................................................... 71

6.3.4 Trunk 接口配置 ........................................................................................................... 75

6.4 路由配置 ....................................................................................................................... 78

6.4.1 WebUI .......................................................................................................................... 78

6.4.2 CLI ................................................................................................................................. 80

6.5 策略路由 ....................................................................................................................... 80

6.5.1 WebUI .......................................................................................................................... 80

6.5.2 CLI ................................................................................................................................. 82

6.6 ARP 配置 ...................................................................................................................... 82

6.6.1 WebUI .......................................................................................................................... 83

6.6.2 CLI ................................................................................................................................. 84

7 服务器管理 .................................................................................................................................... 84


6

7.1 服务器概述 ................................................................................................................... 84

7.2 HTTP 普通服务器配置 ................................................................................................ 86

7.3 HTTP 负载均衡模式配置 ............................................................................................ 87

7.4 HTTP 反向代理模式配置 ............................................................................................ 90

7.5 HTTP 反向代理负载均衡模式配置 ............................................................................ 93

7.6 HTTPS 反向代理模式配置 .......................................................................................... 97

7.7 其他服务器配置 ......................................................................................................... 100

8 基础对象 ...................................................................................................................................... 102

8.1 基础对象概述 ............................................................................................................. 102

8.2 WEB 主机 .................................................................................................................... 102

8.2.1 手动配置 Web 主机 .................................................................................................. 102

8.2.2 自动生成 Web 主机 .................................................................................................. 103

8.2.3 生成 Web 防护策略 .................................................................................................. 104

8.3 URL 列表 .................................................................................................................... 105

8.4 IP 列表 ........................................................................................................................ 107

9 WEB 防护 .................................................................................................................................... 110

9.1 WEB 防护概述 ............................................................................................................ 110

9.1.1 策略与模板、规则的关系 ......................................................................................... 111

9.1.2 Web 防护配置流程 ................................................................................................... 112

9.2 WEB 防护策略 ............................................................................................................ 112

9.3 WEB 防护模板 ............................................................................................................ 114


7

9.4 HTTP 协议校验规则 .................................................................................................. 117

9.5 HTTP 访问控制规则 .................................................................................................. 119

9.6 特征防护规则 ............................................................................................................. 122

9.6.1 增加用户自定义特征库描述 ..................................................................................... 123

9.6.2 增加特征规则 ............................................................................................................. 126

9.7 爬虫防护规则 ............................................................................................................. 128

9.8 防盗链规则 ................................................................................................................. 130

9.9 防跨站请求伪造规则 ................................................................................................. 134

9.10 文件上传规则 ............................................................................................................. 137

9.11 文件下载规则 ............................................................................................................. 142

9.12 敏感信息检测规则 ..................................................................................................... 146

9.13 自学习策略 ................................................................................................................. 148

10 访问控制 ..................................................................................................................... 150

10.1 访问控制概述 ............................................................................................................. 150

10.2 IP 对象 ........................................................................................................................ 150

10.2.1 WebUI ........................................................................................................................ 150

10.2.2 CLI ............................................................................................................................... 153

10.3 服务对象 ..................................................................................................................... 154

10.3.1 WebUI ........................................................................................................................ 154

10.3.2 CLI ............................................................................................................................... 157

10.4 时间对象 ..................................................................................................................... 157

10.5 包过滤规则 ................................................................................................................. 158


8

10.5.1 WebUI ........................................................................................................................ 158

10.5.2 CLI ............................................................................................................................... 160

10.6 地址转换 ..................................................................................................................... 161

10.7 黑名单 ......................................................................................................................... 163

10.8 白名单 ......................................................................................................................... 164

11 网页防篡改 ................................................................................................................. 166

11.1 防护服务器探测 ......................................................................................................... 166

11.2 防护服务器配置 ......................................................................................................... 166

11.2.1 WebUI ........................................................................................................................ 166

11.2.2 CLI ............................................................................................................................... 170

11.3 防护服务器监控 ......................................................................................................... 171

11.4 防护客户端下载 ......................................................................................................... 171

11.5 发布服务器探测 ......................................................................................................... 172

11.6 发布服务器配置 ......................................................................................................... 172

11.7 发布服务器状态 ......................................................................................................... 174

11.8 发布客户端下载 ......................................................................................................... 174

12 扫描器 ......................................................................................................................... 175

12.1 扫描器概述 ................................................................................................................. 175

12.2 扫描任务 ..................................................................................................................... 175

12.3 扫描作业状态 ............................................................................................................. 178

13 DDOS 防护 ................................................................................................................ 179


9

13.1 DDOS 防护概述 ......................................................................................................... 179

13.1.1 策略与模板、规则的关系 ......................................................................................... 179

13.1.2 DDoS 防护配置流程 ................................................................................................. 180

13.2 DDOS 防护策略 ......................................................................................................... 181

13.3 DDOS 防护模板 ......................................................................................................... 183

13.4 IP 防护规则 ................................................................................................................ 186

13.4.1 简单攻击防护规则 ..................................................................................................... 186

13.4.2 ICMP Flood 攻击防护规则 ...................................................................................... 188

13.5 TCP 防护规则 ............................................................................................................. 190

13.5.1 端口扫描防护 ............................................................................................................. 190

13.5.2 SYN Flood 攻击防护 ................................................................................................ 192

13.5.3 Conn Flood 攻击防护 ............................................................................................. 194

13.5.4 ACK Flood 攻击防护 ................................................................................................ 195

13.5.5 序号攻击防护 ............................................................................................................. 197

13.5.6 慢攻击防护 ................................................................................................................. 198

13.6 UDP 防护规则............................................................................................................ 200

13.6.1 UDP 攻击防护............................................................................................................ 200

13.6.2 DNS 攻击防护 ........................................................................................................... 201

13.7 HTTP 防护规则 .......................................................................................................... 203

13.7.1 HTTP 限速规则 .......................................................................................................... 203

13.7.2 CC 攻击防护 ............................................................................................................... 206

14 日志系统 ..................................................................................................................... 208


10

14.1 日志系统概述 ............................................................................................................. 208

14.2 备份日志 ..................................................................................................................... 209

14.3 审计日志 ..................................................................................................................... 211

14.4 访问日志 ..................................................................................................................... 214

14.5 攻击日志 ..................................................................................................................... 216

14.6 DDOS 日志 ................................................................................................................. 219

14.7 网页防篡改日志 ......................................................................................................... 222

15 分析系统 ..................................................................................................................... 222

16 系统诊断 ..................................................................................................................... 223

16.1 系统诊断概述 ............................................................................................................. 223

16.2 远程支持 ..................................................................................................................... 223

16.3 SSH 远程连接 ............................................................................................................ 224

附录 A：缩略语 .................................................................................................................................. 224

附录 B：出厂参数............................................................................................................................... 225

B.1 WEB 配置管理员初始账号......................................................................................... 225

B.2 WEB 帐户管理员初始账号......................................................................................... 225

B.3 WEB 审计管理员初始账号......................................................................................... 225

B.4 串口管理员初始账号 ................................................................................................. 225


11

前言

文档范围

本文详细介绍了 Web 应用防护系统(Web Application Firewall)V2.0（简称 WAF）的

Web 管理界面和串口管理界面的所有功能特点及使用方法。

期望读者

期望了解本产品主要技术特性和使用方法的用户、系统管理员、网络管理员等。本文假设

您对下面的知识有一定的了解：

系统管理

Linux 和 Windows 操作系统

TCP/IP 协议

内容简介

产品概述介绍WAF的产品特点。

基础配置向导介绍WAF的连接方式和界面风格。

管理系统概述介绍管理系统的基本信息。

主页面介绍系统信息的查看方法。

系统配置介绍了系统配置的常用操作内容和方法。

网络管理介绍网络工作模式以及网络方面的配置方法。

服务器管理介绍各种服务器的配置方法。


12

基础对象介绍基础资源对象的配置方法。

Web 防护介绍Web防护策略、Web防护模板和防护规则的详细配置信

息。

访问控制介绍访问控制的常用操作和方法。

网页防篡改介绍网页防篡改和发布服务器常用操作内容和方法。

扫描器介绍扫描器的常用操作内容和方法。

DDoS 防护介绍DDoS防护的常用操作内容和方法。

日志系统介绍系统日志的配置及查看。

系统诊断介绍系统诊断工具的使用方法。

附录 A：缩略语介绍本文出现的缩略语。

附录 B：出厂参数介绍WAF的出厂默认配置。

格式约定

粗体字 —— 命令和关键字

——使用技巧、建议和引用信息等

——重要信息

【XXX】—— 按键名称的表示方式

A -> B —— 菜单项选择的表示方式

注：本文中所有图例均为屏幕截取。


13

1 产品概述

1.1 概述

为了弥补目前安全设备，如防火墙对 Web 应用攻击防护能力的不足，我们需要一种新的

工具用于保护重要信息系统不受 Web 应用攻击的影响。这种工具不仅仅能够检测目前复杂

的 Web 应用攻击，而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。这

类工具相对于目前常见的安全产品，必须具备更细粒度的攻击检测和分析机制。

东软 NetEye Web 应用防护系统（Web Application Firewall，简称：WAF），是基于自

主知识产权的 NOS 开发的新一代安全产品，作为网关设备，防护对象为 Web、Webmail

服务器，其设计目标为：针对安全事件发生时序进行安全建模，分别针对安全漏洞、攻击手

段及最终攻击结果进行扫描、防护及诊断，提供综合 Web 应用安全解决方案。

事前，WAF 提供 Web 应用漏洞扫描功能，检测 Web 应用程序是否存在 SQL 注入、跨

站脚本漏洞。

事中，对黑客入侵行为、SQL 注入/跨站脚本等各类 Web 应用攻击、DD.o.S 攻击进行有

效检测、阻断及防护。

事后，针对当前的安全热点问题，网页篡改，提供诊断功能，降低安全风险，维护网站的

公信度。

WAF 提供了业界领先的 Web 应用攻击防护能力，通过多种机制的分析检测，能够有效

的阻断攻击，保证 Web 应用合法流量的正常传输，这对于保障业务系统的运行连续性和完

整性有着极为重要的意义。同时，针对当前的热点问题，如 SQL 注入攻击、网页篡改等，

WAF 按照安全事件发生的时序考虑问题，优化最佳安全-成本平衡点，有效降低安全风险。


14

1.2 典型网络部署方式

系统根据 WAF 的部署位置分为两种部署类型：串联检测部署模式和旁路检测部署模式。

串联检测部署模式包括普通模式、Trunk 模式、Channel 模式、Trunk+Channel 模式。旁

路检测部署模式包括单臂模式、旁路阻断模式、旁路检测模式。

1.2.1 串联防护部署模式

1.2.1.1 普通模式

普通模式的部署方式最简单，部署时不需要对服务器和其他网络设备进行调整。在需要快

捷部署 WAF 时建议选用该部署方式。

Internet 交换机 WAF Web服务器

图1.1 普通模式

1.2.1.2 Trunk 模式

Trunk 模式适用网络部署中存在不同局域网的情况，部署时需要在交换机中添加 Trunk

接口，通过在 Trunk 接口上设置允许的 VLAN 来实现 WAF 对不同局域网中的服务器进行

防护的功能。


15

图1.2 Trunk 模式

1.2.1.3 Channel 模式

Channel 模式可以通过 Channel 接口增加带宽。

Internet 交换机WAF交换机 Web服务器

Channel接口 Channel接口

图1.3 Channel 模式

1.2.1.4 Trunk+Channel 模式

Trunk+Channel 模式是 Trunk 模式和 Channel 模式的结合模式。WAF 既可以防护不同

局域网中的服务器，也可以增加带宽。


16

图1.4 Trunk+Channel 模式

1.2.2 旁路防护部署模式

1.2.2.1 单臂模式

单臂模式是在交换机的一个接口上连接至 WAF 设备，通过连接 NAT 设备将数据包的源

地址和目的地址进行转换，实现 WAF 对 Web 服务器的代理防护功能。

Internet 交换机

WAF

Web服务器NAT设备

图1.5 单臂模式

1.2.2.2 旁路阻断模式

旁路阻断模式通过离线部署，使用镜像接口将通过交换机的数据包镜像至 WAF 中，WAF


17

对镜像数据包进行安全监测，如果检测到攻击通过命令下发接口下发阻断命令（TCP RST）

至客户端和服务器端，WAF 不对数据包做任何改变。

Internet 交换机

WAF

Web服务器

镜像接口

图1.6 旁路阻断模式

注：镜像接口不能与其他接口在同一网桥中。

1.2.2.3 旁路监测模式

旁路监测模式通过离线部署，使用镜像接口将通过交换机的数据包镜像至 WAF 中，WAF

对镜像数据包进行安全监测，不下发阻断命令。

Internet 交换机

WAF

Web服务器

镜像接口

图1.7 旁路监测模式


18

2 基础配置向导

2.1 连接 web 管理界面或命令行

配置、维护和管理 WAF 有两种方法：WebUI 和 CLI（命令行）。

WebUI：Web 用户管理界面。

从网页浏览器中打开界面，在界面中可以显示配置信息，以比较直观的形式来显示报告和

日志。

图2.1 Web 用户管理界面

CLI：命令行。

一个文本界面类似于 DOS 或 UNIX 命令，从安全外壳（SSH）或 Telnet 终端，或者从

JavaScript 的命令行控制台窗口。它提供了诊断命令以及配置，但缺乏报告和日志。


19

图2.2 CLI 命令行界面

如果要通过 CLI 或 Web 用户界面连接尚未配置的 WAF 设备，必项首先将计算机直

接连接 WAF，使用默认设置。尚未配置的 WAF 设备包含以下情况：

第一次使用连接 WAF 设备。

将 WAF 恢复出厂设置。

2.1.1 连接 web 管理界面

可以使用默认设置连接 Web 用户管理界面，默认设置见下表。

表2.1 Web 用户界面连接设置

URL https://192.168.1.100

网络接口 port1

用户名 admin

密码默认为 admin，如果已修改使用修改后的密码。

连接 Web 用户管理界面的步骤如下：

1) 在管理计算机中配置静态 IP 地址：192.168.1.2，掩码为 255.255.255.0；

2) 使用以太网电缆将管理计算机的以太网端口连接到 WAF 设备的 port1；

3) 在管理计算机中启动浏览器并输入 URL：https://192.168.1.100；

https://192.168.1.100/


20

4) 输入用户名和密码登录 Web 用户管理界面。

注意：在 https://开头包括“S”。

2.1.2 连接命令行

可以使用默认设置通过 SSH 连接到 CLI。

表2.2 SSH 连接设置

IP 地址 192.168.1.100

网络接口 port1

SSH 端口 22

用户名 -

密码 -

通过 Console 线连接命令行的参数设置如下。

表2.3 Console 连接设置

串口名称 COM1（如果你计算机有多个串口，所连接的串行端口名称）

速度（波特率） 9600

数据位 8

停止位 1

奇偶校验无

流控制无

2.2 界面风格设置

在 Web 管理界面中点击风格设置按钮可以对界面风格进行设置。


21

图2.3 界面风格设置

界面风格设置的参数说明见下表。

表2.4 界面风格设置参数说明

配置项说明

主题风格可以选择不同的主题背景色。

导航栏居左，设置导航栏居左显示；

居右，设置导航栏居右显示。

固定导航栏是，固定导航栏显示，可以拖动滚动条查看导航栏菜单；

否，不固定导航栏显示，导航栏在浏览器中显示实际长度。

固定页眉是，固定页眉显示；

否，不固定页眉显示。

固定页脚是，固定页脚显示；

否，不固定页脚显示。


22

最大化是，界面以最大化的形式显示；

否，界面不以最大化的形式显示。

为了界面的显示美观，建议固定导航栏和固定页脚的设置风格一致。

3 管理系统概述

3.1 概述

Web 管理界面为用户提供了更直观的人机交互方式，用户通过 Web 管理系统实现对

WAF 的管理和配置。

本章介绍了 Web 管理系统的基本信息，具体包括以下内容。

表3.1 管理系统概述

功能描述

登录系统介绍登录系统Web页面的方法。

系统用户介绍系统用户的类型及权限。

页面布局介绍Web页面布局的情况。

系统功能介绍介绍系统每个模块的基本功能。

系统常用操作介绍系统常用的图标和按键含义。

3.2 登录系统

登录 WAF 的 Web 管理系统的步骤如下：

步骤 1：确认客户端主机可以和 WAF 正常通讯（如果通过防火墙，请将 443 端口打开）。

步骤 2：打开 IE 浏览器，用 HTTPS 方式连接 WAF 的管理 IP 地址，例如


23

https://192.168.1.100。

步骤 3：回车后弹出安全警报对话框，单击【是】，接受 WAF 许可证加密的通道。

步骤 4：在如图所示的登录界面中，选择登录系统使用的语言，输入正确的用户名和密

码（初始用户名 admin，密码 admin），并单击【登录】，即可进入 Web 管理系统。

结束

用户可通过选择语言下拉框，选择界面语言，该操作不影响其他用户对系统的访问

界面。

登录系统注意事项：

建议使用 IE6.0 以上版本的浏览器，屏幕分辨率最好设置为 1024×768 及以上。

初次使用本系统时可用默认用户登录（有关默认用户的初始账号，请参见附录 B）。

登录失败的原因有可能是：①用户名输入错误 ②密码输入错误 ③没区分大小写。

登录本系统之前，请检查浏览器是否设置了禁止弹出窗口属性；如果是，请撤销此设置。

3.3 系统用户

目前系统中的账户分为三类：

账户管理员

可以分配账号，预配置账户 account。

配置管理员

可以配置系统，预配置账户 admin。

审计管理员

可以查看审计日志，预配置账户 audit。

account、admin 和 audit 以及相关用户组用户的权限不同。系统用户的详细权限如下表。


24

表3.2 系统用户信息

用户权限

账户管理员 account(缺省用户) 具有账户管理的权限。

accountgroup（由 account 或属于

accountgroup 用户创建）

具有账户管理的权限。

配置管理员 admin(缺省用户) 超级管理员，具有配置系统的权限，

可以查看审计日志。

admingroup（由 account 或属于


具有配置系统的权限。

审计管理员 audit(缺省用户) 具有查看审计日志的权限。

auditgroup（由 account 或属于


具有查看审计日志的权限。

使用缺省用户登录后，建议立即修改初始密码。

3.4 页面布局

admin 用户成功登录后，进入系统当前运行的页面，布局如下图所示。

系统页面布局中的主菜单和工作区会因用户权限不同，显示的内容不同；但在基本信

息显示区和快捷键操作区，所有用户的显示信息和操作权限都相同。


25

图3.1 页面布局

主菜单：系统的功能主菜单。

工作区：提供系统各个功能的配置、操作和浏览。

基本信息：显示系统运行的基本信息。

快捷键：系统设定的快捷键，详细功能说明见下表。

表3.3 快捷键功能说明

功能说明

显示当前登录系统的用户名。

打开帮助文档。

退出管理系统。

注：为确保用户账号的安全，建议用户单击退出系统。

3.5 系统功能介绍

管理系统提供了主页面、系统配置、网络管理、服务器管理、基础对象、Web 防护、访

问控制、网页防篡改、扫描器、DDoS 防护、日志系统、分析系统、系统诊断等功能，具体

的功能如下表所示。


26

表3.4 系统功能介绍

菜单功能

主页面系统信息查看系统的系统信息，接口实时信息，

并发、剩余链接，攻击趋势等信息。

许可证管理上传License文件。

系统配置账户管理添加或编辑系统用户信息。

系统信息配置系统基本信息和服务器日期时间。

备份恢复备份 WAF 的配置信息。

在线升级包括系统升级和规则库升级。

告警设置配置邮件告警、短信告警和存储告警。

DNS 服务器添加和删除 DNS 服务器。

DNS 配置配置外部 DNS 服务器。

SNMP 配置配置 SNMP。

远程管理增加和编辑远程许可管理信息。

关机重启实现 WAF 的关闭和重启操作。

回滚恢复实现系统回滚和恢复出厂设置。

负载保护设置负载保护和 Bypass。

端口设置设置 WAF 的 WebUI 端口。

网络管理网络接口配置 Port 接口，Channel 接口，网桥

接口和 Trunk 接口。

路由配置配置路由。


27

策略路由配置策略路由。

ARP 配置配置动态 ARP 和静态 ARP。

服务器管理 HTTP 普通服务器配置配置 HTTP 普通服务器。

HTTP 负载均衡模式配置配置 HTTP 负载均衡模式。

HTTP 反向代理模式配置配置 HTTP 反向代理模式。

HTTP 反向代理负载均衡模

式配置

配置 HTTP 反向代理负载均衡模式。

HTTPS 反向代理模式配置配置 HTTPS 反向代理模式。

基础对象 Web 主机配置防护或不防护的 Web 主机。

URL 列表配置匹配或不匹配的 URL 列表。

IP 列表配置最长前缀匹配 IP 列表和优先级匹

配的 IP 列表。

Web 防护 Web 防护策略增加、编辑和删除 Web 防护策略。

Web 防护模板配置详细的 Web 防护规则，包括基本

配置、重定向、数据分析、防护规则等。

HTTP 协议校验规则配置 HTTP 协议校验规则。

HTTP 访问控制规则配置 HTTP 访问控制规则。

特征防护规则介绍系统内置的特征防护规则。

爬虫防护规则配置爬虫防护规则。

防盗链规则配置防盗链规则。

防跨站请求伪造规则配置防跨站请求伪造规则。


28

文件上传规则配置文件上传规则。

文件下载规则配置文件下载规则。

敏感信息检测规则配置敏感信息检测规则。

自学习策略配置自学习策略。

访问控制 IP 对象定义包过滤规则的源 IP 和目的 IP。

服务对象定义包过滤规则的协议。

时间对象定义包过滤规则的生效时间段。

包过滤规则自定义包过滤规则。

地址转换实现 DNAT 和 SNAT 的功能。

黑名单定义访问控制的黑名单。

白名单定义访问控制的白名单。

网页防篡改防护服务器探测探测未在 WAF 上配置的网页防篡改服

务器。

防护服务器配置配置网页防篡改服务器的监控站点。

防护服务器监控查看网页防篡改服务器的工作状态。

防护客户端下载提供网页防篡改客户端下载。

发布服务器探测探测未在 WAF 上配置的发布服务器。

发布服务器配置配置发布服务器的监控站点。

发布服务器状态查看发布服务器的工作状态。

发布客户端下载提供发布服务器客户端下载。

扫描器扫描任务增加、编辑、删除扫描任务信息。


29

扫描作业状态查看扫描任务状态。

DDoS 防护 DDoS 防护策略配置 DDoS 防护策略。

DDoS 防护模板配置 DDoS 防护模板。

IP 防护规则配置 IP 防护规则。

TCP 防护规则配置 TCP 防护规则。

UDP 防护规则配置 UDP 防护规则。

HTTP 防护规则配置 HTTP 防护规则。

日志系统备份日志日志的手工备份及自动备份。

审计日志查看审计日志。

访问日志查看访问日志。

攻击日志查看攻击日志。

DDoS 日志查看 DDoS 攻击日志。

网页防篡改日志查看网页防篡改日志。

分析系统生成报表生成各种文件类型的报表。

系统诊断远程支持发送给支持人员请求远程支持。

SSH 远程连接远程技术人员可以对 WAF 进行远程调

试和排除错误。

4 主页面

4.1 主页面概述

登陆系统后默认进入主页面的系统信息显示界面。


30

本章主要包括系统信息、接口实时信息和许可证管理。

表4.1 主页面信息介绍

功能描述

系统信息介绍系统的系统信息，接口实时信息，并发、剩余链接，攻击

趋势。

许可证管理介绍如何上载 License 文件以便正常运行防火墙。

4.2 系统信息

该页面显示当前系统的基本信息，主要包括以下四项：

系统信息

包括引擎状态、引擎版本、设备名称、软件版本、供应厂商、运行时间、内存利用率、

CPU 利用率。

接口实时信息

包括接口实时信息（port0 - portN），物理状态，速度，协商模式，收包量和发包量。

并发、剩余链接

显示并发链接数、剩余链接数。

攻击趋势

显示检测出的攻击次数。


31

图4.1 系统信息

4.3 许可证管理

4.3.1 许可证管理概述

Licese 是版权拥有者对产品使用者行为的一种约束和规定，一般定义了用户使用该产品

的条件，License 绑定了 WAF 防火墙的序列号和型号信息。如果 License 所绑定的序列号

与当前防火墙的序列号不匹配，则该 License 是不合法的，不可被使用。License 由厂家统

一制作，不同的厂家发放的 License 不可以互相替换。只有当本防火墙被上载 License 之后，

用户才能对防火墙进行配置。只有管理员才能进行 License 配置。

4.3.2 License 使用步骤

生成许可文件

在获得证实的许可文件之前，用户必须使用 WebUI 的生成 License 许可文件的功能，生

成 License 请求文件。

制作 License 文件


32

该步骤由厂商完成，并会随每个产品附带 License 文件。

上载 License 请求文件

通过 WebUI 上载 License 许可文件。

4.3.3 许可文件配置步骤

4.3.3.1 生成许可文件配置步骤

步骤 1：选择“主页面->许可证管理->生成许可请求”进入生成许可请求管理页面。

图4.2 生成许可文件

步骤 2：点击【生成】按钮生成许可请求文件，界面显示文件保存提示。

步骤 3：选择本地路径保存许可文件。

结束

4.3.3.2 升级许可信息配置步骤

步骤 1：选择“主页面->许可证管理->升级许可信息”进入升级许可信息管理界面。

图4.3 升级许可信息

步骤 2：点击【选择】按钮进入 License 文件的目录下选择一个有效的许可文件（*.dat）。

步骤 3：点击【升级】按钮进行升级操作。


33

结束

注意：请妥善保管 License 文件，不要遗失。如果没有 License 文件激活系统，WAF 应用

防护系统将不会进行安全检测工作而进入纯 IP 转发状态。如果您的 License 是一个试用版的

License，请在 License 有效期过后，向供应商购买正式版本 License。否则 License 有效期过

后，WAF 防火墙将仅仅作为一个网络转发设备存在，没有任何安全保护功能。

4.3.3.3 当前系统许可信息查看

选择“主页面->许可证管理->当前系统许可信息”,查看基本许可信息，网络许可信息，

Web 安全许可信息，DDoS 防护许可信息，防篡改许可信息，扫描器许可信息和其他许可

信息。

图4.4 当前系统许可信息

5 系统配置

5.1 系统配置概述

本章介绍了系统配置的常用操作内容和方法，具体内容如下。


34

表5.1 系统配置常用操作

功能描述

账户管理添加或编辑系统用户信息。

系统信息配置系统基本信息和服务器日期时间。

备份恢复备份 WAF 的配置信息。

在线升级实现系统升级和规则库升级。

告警设置配置邮件告警、短信告警和存储告警。

DNS 服务器添加和删除 DNS 服务器。

DNS 配置配置外部 DNS 服务器。

SNMP 配置配置 SNMP。

远程管理增加和编辑远程许可管理信息。

关机重启实现 WAF 的关闭和重启操作。

回滚恢复实现系统回滚和恢复出厂设置。

负载保护设置负载保护和 Bypass。

端口设置设置 WAF 的 WebUI 端口。

5.2 账户管理

选择“系统配置->账户管理”，进入账户管理页面。系统共有三种角色：账户管理员、

配置管理和审计管理员，具体权限介绍请参见 3.3。

进入账户管理页面后根据用户角色的权限可以执行用户管理、密码修改、阻断用户管理等

操作。


35

5.2.1 用户管理

5.2.1.1 WebUI

如果以账户管理员身份登录系统可以对用户进行管理，包括用户的查看、增加、编辑、

删除和重置。

查看用户

选择“系统配置->账户管理->用户管理”进入用户管理界面，可以在用户列表中查看

所有用户。在用户列表中选择任一用户双击可以编辑查看该用户详细信息。

图5.1 用户管理界面

增加用户

1) 在用户管理界面点击【增加】按钮，在弹出编辑用户界面。

图5.2 增加用户


36

2) 编辑用户信息。

配置用户参数说明见下表：

表5.2 用户参数配置说明

配置项描述

用户名自定义用户名，但是不能与其他用户名相同。

用户组设置用户权限，可以选择 admingroup、accountgroup、

auditgroup。

登陆尝试次数设置用户登录时尝试输入密码错误次数，如果超过“登陆尝试次

数”将会锁定尝试登录IP一段时间，锁定时间为“空闲锁定时

间”。

空闲锁定时间（分钟）设置用户登录时尝试输入密码错误次数超过“登陆尝试次数”将

会锁定尝试登录 IP 的时间。

密码复杂度设置密码复杂度：中级和高级。

密码长度可选密码长度：8、10、16。

用户修改密码时新密码必须符合设置的“密码复杂度”和“密码长度”。

添加的新用户密码与用户名相同。

3) 点击【保存】按钮保存配置。

编辑用户

1) 在用户列表中勾选一用户，点击【编辑】按钮，弹出编辑用户界面。


37

图5.3 编辑用户

2) 编辑修改用户信息。


删除用户

在用户列表中选择一个或多个用户，点击【删除】按钮即可删除用户。

注意：预配置用户：admin、account 和 audit 不能删除。

用户重置

1) 在用户列表中选择一个用户，点击【重置】按钮，弹出重置用户界面。

图5.4 重置用户界面

2) 输入新密码，密码长度和复杂度不受限制。


38


5.2.1.2 CLI

添加用户

usermngt -A/--add -n/--name {username} -g/--group {admin/audit/account}

-p/--pwd {passwd}

编辑用户

usermngt -E/--edit -n/--name {username} <-g/--group {admin/audit/account} |

-p/--pwd {passwd}>

删除用户

usermngt -D/--del -n/--name {username}

显示用户

usermngt -S/--show

5.2.2 密码修改

所有用户均有修改密码的权限。

选择“系统配置->账户管理->修改密码”，进入修改密码页面。修改密码必须输入正确

的旧密码，如果旧密码输入错误，则不允许修改密码。修改密码成功后，将在下次登陆时要

求输入新的密码。

旧密码：管理用户需要修改的密码。

新密码：管理用户设置的新密码。

确认新密码：重新输入新密码，确认一致性。


39

图5.5 修改密码

注意事项：请牢记修改后的密码，如果忘记系统密码，将不能登录系统。

5.2.3 阻断用户管理

如果以账户管理员身份登录系统可以对阻断用户进行管理。

当用户登录时尝试输入密码错误次数超过“登陆尝试次数”（详细配置见 5.2.1）将会锁

定尝试登录 IP 一段时间，在阻断用户列表中可以查看锁定信息；如果想在“空闲锁定时间”

范围内提前解锁，选择阻断用户，点击【解除锁定】即可。

图5.6 阻断用户管理

5.3 系统信息配置

系统信息包括系统基本信息配置，主机名，SOC、集中管理和时间管理。系统基本信息

配置提供设置本机系统的基本信息，比如组织信息，城市信息，国家信息，电子邮件。主机

名提供设置本机的名称。SOC 用于远程连接，可配置远程 IP、端口及连接密钥。集中管理


40

配置项用于是否启用集中管理及配置集中管理的 IP，以实现设备集中统一管理。时间管理

提供手工设置系统的时间，也提供通过 NTP 协议同步系统时间。

5.3.1 系统基本信息配置

5.3.1.1 WebUI

系统基本信息的详细配置步骤如下：

步骤 1：选择“系统配置->系统信息->基本信息”进入系统基本信息配置管理界面。

图5.7 系统基本信息配置管理界面

步骤 2：在界面中输入系统基本信息。


41

图5.8 系统基本信息配置

系统基本信息配置说明见下表。

表5.3 系统基本信息配置说明

配置项描述

团体名称自定义团体名称。

城市自定义城市。

国家自定义国家。

电子邮件自定义电子邮件。

系统超时时间（分钟）设置系统登录超时时间，用户登录时间超过超时时间则系统自动

返回登录页面。

步骤 3：点击保存按钮保存配置。

结束

5.3.1.2 CLI

设置系统信息

info –S –o {organization} –c {city} –u {country} –m {mail}

查看系统信息

info -L

5.3.2 主机名配置

5.3.2.1 WebUI

主机名配置的详细步骤如下：


42

步骤 1：选择“系统配置->系统信息->基本信息”进入系统基本信息配置界面，如图

5.7。

步骤 2：在界面中输入主机名。

图5.9 主机名配置

步骤 3：点击【保存】按钮保存配置。

结束

5.3.2.2 CLI

设置主机名

hostname -S –n {new host name}

查看主机名

hostname –L

5.3.3 SOC 配置

SOC 配置的详细步骤如下：

步骤 1：选择“系统配置->系统信息->基本信息”进入系统基本信息配置界面。

步骤 2：在 SOC 配置项中输入远程 IP、端口及远程密钥。


43

图5.10 SOC 配置

配置 SOC 的参数说明见下表：

表5.4 SOC 配置参数说明

配置项描述

远程 IP 配置远程 IP 地址。

远程端口配置远程端口。

远程密钥配置远程密钥。


结束

5.3.4 集中管理配置

集中管理可以有效减轻管理难度和成本，通过集中管理可以实现 Web 安全事件的统一管

理和分析，对海量事件日志进行归纳和整理；实现日志统一收集、统一存放、统一查询，完

善 Web 安全善分析。

选择“系统配置->系统信息->基本信息”进入系统基本信息配置界面，在集中管理中设

置是否启用集中管理功能。


44

图5.11 集中管理配置

5.3.5 时间管理

选择“系统配置->系统信息->日期和时间”进入系统时间管理界面，可以选择时间配置

方式：手工配置和时间服务器配置。

5.3.5.1 手工配置时间

5.3.5.1.1 WebUI

手工配置时间的详细步骤如下：

步骤 1：选择“系统配置->系统信息->日期和时间”进入时间管理界面。

图5.12 手工配置时间

步骤 2：在时间管理界面中选择配置方式为手工配置。


45

步骤 3：输入具体日期和时间。


结束

5.3.5.1.2 CLI

设置系统时间

time -S –d <MM/DD/YYYY> -t <HH:MM:SS>

查看系统时间

time –L

5.3.5.2 时间服务器配置

NTP 协议全称网络时间协议（Network Time Procotol）。NTP 的目的是在国际互联网上

传递统一、标准的时间。具体的实现方案是在网络上指定若干时钟源网站，为用户提供授时

服务，并且这些网站间应该能够相互比对，提高准确度。NTP 最早是由美国 Delaware 大

学的 Mills 教授设计实现的，从 1982 件最初提出到现在已发展了将近 20 年，2001 年最新

的 NTPv4 精确度已经达到了 200 毫秒。对于实际应用，又有确保秒级精度的 SNTP（简单

的网络时间协议）。本项目使用网上时间传递格式 NTPv3 公布于 1992 年，当前几乎所有的

授时网站都是基于 NTPv3 的。（后文将详细介绍 NTPv3 的基本原理、体系结构以及工作模

式。）

5.3.5.2.1 WebUI

时间服务器配置步骤如下：


46

步骤 1：选择“系统配置->系统信息->日期和时间”进入时间管理界面。

图5.13 配置 NTP 服务器

步骤 2：选择配置方式为时间服务器。

步骤 3：配置 NTP 服务器参数。


结束

5.3.5.2.2 CLI

设置 ntp

ntp –C –p <mode> -e <enable> –i <server ip>

启动 ntp

ntp -R

停止 ntp

ntp -S

显示 ntp

ntp -L


47

5.4 备份恢复

备份主要是针对 WAF 配置文件的备份。建议用户定期对 WAF 的配置信息进行备份，以

供将来恢复系统配置时使用。另外备份数据还可以导入导出系统，这样增加了系统的可靠性。

如果系统发生严重后果，那么客户的配置数据还可以在另外一台设备上恢复。

5.4.1 WebUI

选择“系统配置->备份恢复”进入备份恢复管理页面，可以执行手工备份、自动备份、

备份文件导入、备份文件导出和备份恢复等操作。

图5.14 手工备份

手工备份：点击【手工备份】按钮，系统自动备份当前所有配置并生成 db 文件，备份成

功提示如下：

图5.15 备份成功提示

自动备份：

1) 点击【自动备份】按钮，弹出配置自动备份界面。


48

图5.16 配置自动备份界面 1

2) 勾选启用自动备份。

图5.17 配置自动备份界面 2

3) 设置自动备份周期，是否自动清除备份文件。


备份文件导入：

1) 点击【导入】按钮，弹出备份文件导入界面。

图5.18 备份文件导入界面

2) 点击【选择】，选择本地备份文件。

3) 点击【导入】导入备份文件。

备份文件导出：


49

1) 在备份文件列表中选择文件点击【导出】按钮，弹出文件保存对话框。

2) 选择文件保存路径，导出备份文件。

备份恢复：

1) 在备份文件列表中选择文件点击【恢复】按钮，弹出备份文件恢复界面。

图5.19 备份文件恢复界面

2) 点击【恢复】按钮将当前系统的所有配置恢复为备份文件保存的配置。

5.4.2 CLI

备份配置

dbmanage -B

恢复配置

dbmanage -R -p <backup point>

删除配置

dbmanage -D -p <backup point>

查看配置

dbmanage -L


50

5.5 在线升级

5.5.1 系统升级

选择“在线升级->系统升级”进入系统升级管理界面，点击【选择】按钮选择本地的升

级包后点击【升级】按钮升级系统。

图5.20 系统升级管理界面

5.5.2 规则库升级

选择“在线升级->规则库升级”进入规则库升级管理界面，点击【选择】按钮选择本地

的规则库升级包后点击【升级】按钮升级规则库。

图5.21 规则库升级管理界面

5.6 告警设置

告警设置包括邮件告警、短信告警与存储告警。当系统被攻击的时候除了可以通过日志系

统查看攻击日志以外，还可以通过设置电邮进行邮件通知及短信告警通知，在配置完成并保

存以后可以通过发送测试邮件与发送测试短信，确定配置的是否正确。可以根据攻击防护点


51

和严重级别来设定触发电邮或短信告警；也可以根据防篡改动作来触发告警。

5.6.1 邮件告警

5.6.1.1 WebUI

邮件告警设置的详细步骤如下：

步骤 1：选择“系统配置->告警设置->邮件告警”进入邮件告警设置页面。

图5.22 邮件告警设置界面

步骤 2：配置邮件告警参数。

1) 点击【基本配置】切换至邮件告警基本配置界面，编辑基本配置参数，详细设置说

明见下表：

表5.5 邮件告警基本配置设置说明

功能描述


52

SMTP 服务器 SMTP 服务器 IP 地址。

端口 SMTP 服务器端口。

是否认证是否开启认证功能。

TLS 支持是否开启 TLS 支持。

发送间隔设置邮件告警的发送间隔时间。

接收者设置接收邮箱地址。

主题自定义邮件主题。

2) 点击【攻击触发条件】切换至邮件告警攻击触发条件配置页面，配置防护点和严重

级别。

图5.23 攻击触发条件

3) 点击【防篡改触发条件】切换至邮件告警防篡改触发条件配置页面，设置防篡改动

作。

图5.24 防篡改触发条件

步骤 3：点击【保存】按钮保存设置。

结束


53

5.6.1.2 CLI

配置 MAIL 系统

mail -S/--set -e/--enable {0/1} -s/--server {smtp} -p/--port {port} -a/--auth {0/1}

-l/--tls {0/1} -u/--user {user} -w/--passwd {passwd} -r/--recv {receiver} -t/--topic

{topic} -i/--interval {minutes}

发送测试邮件

mail -T/--test send test mail

查看邮件配置

mail -L/--list

5.6.2 短信告警

5.6.2.1 WebUI

短信告警配置的详细步骤如下：

步骤 1：选择“系统配置->告警设置->短信告警” 进入短信告警设置页面。


54

图5.25 短信告警设置

步骤 2：编辑短信告警配置参数。

1) 短信告警的基本配置包括发送间歇和发送短信号码。

2) 短信告警的攻击触发条件和防篡改触发条件与邮件告警一致。


结束

5.6.2.2 CLI

配置短信告警

sms -S/--set -e/--enable {0/1} -r/--recv {receiver}

发送测试短信

sms -T/--test send test sms

查看短信告警配置


55

sms -L/--list

sms -P/--probe probe SMS modem

5.6.3 存储告警

选择“系统配置->告警设置->存储告警”进入存储告警设置页面，可以设置日志使用空

间阀值。当日志空间使用达到设置的“日志使用空间”后，系统会 1 分钟一次进行弹窗告

警。

图5.26 存储告警设置

5.7 DNS 服务器配置

DNS 服务器管理

选择“系统配置->DNS 服务器->DNS 服务器”进入 DNS 服务器配置页面。本菜单将在

设备上配置 DNS 服务器，需要填写域名和 IP 信息，配合通配域名服务器使用。


56

图5.27 增加 DNS 服务器

DNS 配置

选择“系统配置->DNS 服务器->DNS 配置”进入 DNS 配置页面，填写上行主 DNS 和

上行备 DNS，该项目不和外部 DNS 配置相冲突。

图5.28 DNS 配置 1

5.8 DNS 配置

5.8.1 WebUI

选择“系统配置->DNS 配置”进入 DNS 配置页面，可以配置 WAF 防火墙的域名服务器。

配置成功后，防火墙将使用所配置的域名服务器来解析域名。用户可以在 Web 应用安全防


57

护系统上设置两个 DNS 服务器。一个是主 DNS 服务器，一个是备份 DNS 服务器。当主

DNS 服务器工作不正常，不能访问时，将会启动备份 DNS 服务器作为域名解析服务器。

图5.29 DNS 配置 2

5.8.2 CLI

设置 DNS

dns -S –p <primary DNS> -s <secondary DNS>

查看 DNS

dns -L

5.9 SNMP 配置

简单网络管理协议（SNMP），由一组网络管理的标准组成，包含一个应用层协议

（application layer protocol）、数据库模型（database schema），和一组资料物件。该

协议能够支持网络管理系统，用以监测连接到网络上的设备是否有任何引起管理上关注的情

况。该协议是互联网工程工作小组（IETF，Internet Engineering Task Force）定义的

internet 协议簇的一部分。

管理员可以在 WAF 上指定 SNMP 的版本完成 SNMP 相关配置，详细步骤如下。


58

步骤 1：选择“系统配置->SNMP 配置”进入 SNMP 配置页面。

图5.30 SNMP 配置

步骤 2：配置 SNMP 配置的启用状态以及详细配置参数。

SNMP 配置详细参数说明见下表。

表5.6 SNMP 配置说明

功能描述

版本号 SNMP 支持版本号。

联系信息 SNMP 服务器联系信息。

系统信息 SNMP 服务器的系统信息。

设备位置 SNMP 服务器的设备位置。

团体名称 SNMP 服务器的团体名称。

允许来源允许客户端访问的 IP。



59

结束

5.10 远程管理

远程管理可以设置能对 WAF 进行管理的 IP 网段。同时也可以设定允许访问的类型，如

Web 管理、Ping 测试、SSH 和 WebShell。

5.10.1 WebUI

选择“系统配置->远程管理”进入远程管理页面，可以增加、编辑和删除远程许可。

图5.31 远程管理

增加远程许可信息

1) 在远程管理页面中点击【增加】按钮，弹出增加新的远程许可 IP 地址界面。

图5.32 增加远程许可信息

2) 输入远程许可信息。


60

远程许可信息参数说明见下表。

表5.7 远程许可信息说明

类型描述

IP 地址远程访问的 IP 地址。

子网掩码远程访问 WAF 防火墙的 IP 网段的掩码。

是否允许 SSH 勾选后允许上面设置的网段的机器访问 WAF 防火墙的 SSH

服务。

是否允许 Web 勾选后允许上面设置的网段的机器访问 WAF 防火墙的 Web

服务。

是否允许 Ping 勾选后允许上面设置的网段的机器访问 WAF 防火墙的 Ping

服务。

是否允许 WebShell 勾选后允许上面设置的网段的机器访问 WAFF 防火墙的

WebShell 服务。


编辑远程许可信息

1) 选择远程许可后点击【编辑】或直接双击远程许可，弹出编辑远程许可 IP 地址界

面。


61

图5.33 编辑远程许可信息

2) 修改远程许可信息。


删除远程许可信息

选择一个或多个远程许可后点击【删除】按钮删除远程许可。

5.10.2 CLI

添加远程许可信息

remote -A –t <ssh | Web | ping | Webshell > -i <ip_net> -m <mask>

修改远程许可信息

remote –U –t <ssh | Web | ping | Webshell > -i <ip_net> -m <mask>

删除远程许可信息

remote –U –t <ssh | Web | ping |Webshell > -i <ip_net> -m <mask>

查看远程许可信息

remote -S/--show


62

5.11 关机重启

在做某些配置或者安装硬件的时候，我们需要重启 WAF 防火墙才能生效；执行关机命令，

可以将防火墙系统关闭；执行重启命令，可以对防火墙进行重启。警告：未保存的数据将会

丢失。

5.11.1 WebUI

关机：选择“系统配置->关机重启->关机”进入关机页面，点击【确认】关闭防火墙系

统。

图5.34 关机

重启：选择“系统配置->关机重启->重启”进入重启页面点击【确认】重启防火墙系统。

图5.35 重启

注意：请确认保存所有配置后，再重新启动或者关闭防火墙。否则，之前未保存的配置将

会丢失。

5.11.2 CLI

关机

shut -S


63

重启

shut –R

5.12 回滚恢复

5.12.1 WebUI

系统回滚

选择“系统配置->回滚恢复->系统回滚”进入系统回滚页面，点击【确认】可以在升级

后退回上一版本的系统。

图5.36 系统回滚

注意：回滚后旧系统里没有新系统的新增配置。

恢复出厂模式

选择“系统配置->回滚恢复->恢复出厂模式”进入恢复出厂模式页面，点击【确认】可

以将系统恢复出厂设置。

图5.37 恢复出厂模式

注意：恢复出厂模式后，系统所有配置将丢失，并且无法恢复，如果不确定，请先备份系

统以便恢复。


64

5.12.2 CLI

系统回滚

rollbacksystem

恢复出厂模式

factoryreset

5.13 负载保护设置

负载保护设置包括负载保护和 Bypass 设置。

负载保护

选择“系统配置->负载保护->负载保护”进入负载保护设置页面，可以设置系统进入

Bypass 的临界值，当系统运行状态到达设置的临界值将会自动进入 Bypass，更好的保护系

统的运行。

图5.38 负载保护设置

Bypass 设置

选择“系统配置->负载保护-> Bypass 设置”进入 Bypass 设置页面，可在界面设置系统

直接进入 Bypass 状态。


65

图5.39 Bypass 设置

5.14 端口设置

端口设置用于设置访问 WAF 使用的端口号，详细配置步骤如下。

步骤 1：选择“系统配置->端口设置”进入端口设置页面。

图5.40 端口设置

步骤 2：输入 WebUI 端口。


步骤 4：修改端口后需要加上端口重新登录访问 WAF 管理界面。

结束


66

6 网络管理

6.1 网络管理概述

网络管理主要描述本设备的网络工作模式以及网络方面的配置方法。本章主要介绍端口，

Channel，网桥，ARP 和路由的配置方法。

表6.1 网络管理概述

功能描述

网络接口介绍 Port，Channel，网桥和 Trunk 接口配置的方法。

路由配置介绍路由配置的方法。

策略路由介绍策略路由配置的方法。

ARP 配置介绍动态 ARP 和静态 ARP 的配置方法。

6.2 网络模型

本系统的网络是一种三层交换模型，参见下图。网桥可以绑定端口和以太网通道，网桥内

部进行二层交换，网桥之间进行三层路由。在网桥之上可以配置 IP 业务，比如 ARP,IP 地址

和路由等等。

VLAN

Channel

Port

Port

IP

ROUTE

ARP


67

图6.1 系统网络模型

系统有一个默认的网桥，网桥 ID=1，名称是 MngtVlan，在系统第一次启动后，有 4 个

端口自动加入这个网桥。当更新许可证后，新端口自动加入这个网桥。所以如果要进行业务

配置，需要先从管理网桥中移除端口，但必须保证管理网桥中至少有一个端口，否则会影响

系统通过网络进行配置。

6.3 网络接口

6.3.1 Port 接口配置

本系统的端口就是普通的二层交换机端口模型，端口可以接收发送报文。端口是自动创建

的，不能创建和删除。端口可以加入 Channel 或网桥，参见 Channel 和网桥部分说明。

6.3.1.1 WebUI

配置 Port 接口的详细步骤如下：

步骤 1：选择“网络管理->网络接口->Port 接口”,进入 Port 接口界面。

图6.2 Port 接口界面

步骤 2：选择 Port 接口点击【编辑】按钮，弹出编辑 Port 接口界面。


68

图6.3 编辑 Port 接口

步骤 3：配置 Port 接口信息。

可以将 Port 接口设置为 Channel 接口或网桥接口中的一种，不能同时设置为 Channel 接

口和网桥接口。

设置 Channel 接口或网桥接口为空，可以将 Port 接口从 Channel 接口或网桥接口中移除。


结束

6.3.1.2 CLI

使能端口

port -E -l portname

禁用端口

port -N -l portname

显示端口

port -S


69

6.3.2 Channel 接口配置

以太网通道(Ethernet Channel)也叫链路聚合、链路捆绑，它是一种将多条链路聚合成一

个逻辑链路来使用的技术，可以灵活提高带宽。它逻辑上也是一个端口，可以接受发送报文，

对上层业务是透明的。

6.3.2.1 WebUI

配置 Channel 接口的详细步骤如下：

步骤 1：选择“网络管理->网络接口->Channel 接口”,进入 Channel 接口界面。

图6.4 Channel 接口界面

步骤 2：点击【增加】按钮，弹出编辑 Channel 接口界面。

图6.5 编辑 Channel 接口页面

步骤 3：编辑接口参数。

可以修改 Channel 接口状态，把 Channel 接口加入网桥接口中。

设置网桥接口设置网桥接口为 none 时可以将 Channel 接口从网桥接口中移除。



70

结束

删除 Channel 接口的详细步骤如下：

步骤 1：选择“网络管理->网络接口->Channel 接口”,进入 Channel 接口界面。

步骤 2：选择 Channel 接口，点击右上角的【删除】按钮，弹出确认对话框。

图6.6 删除确认对话框

步骤 3：点击【OK】按钮删除 Channel 接口。

结束

注意：Channel 接口不能在网桥接口中，否则无法删除。

6.3.2.2 CLI

创建 Channel 接口

channel -C -c channelname

删除 Channel 接口

channel -D -c channelname

使能 Channel 接口

channel -E -c channelname

禁用 Channel 接口

channel -N -c channelname

添加 port 端口


71

channel -A -c channelname -p portname

移除 port 端口

channel -R -c channelname -p portname

显示 Channel 接口

channel -S

6.3.3 网桥接口配置

虚拟局域网（Virtual Local Area Network 或简写 Bridge）是对连接到第 2 层交换机端

口的网络用户的逻辑分段的实现形式。为实现交换式以太网的广播隔离，一种理想的解决方

案就是采用虚拟局域网技术。这种对连接到第 2 层交换机端口的网络用户的逻辑分段技术

实现非常灵活，它可以不受用户物理位置限制，根据用户需求进行 Bridge 划分。

一个 Bridge 相当于 OSI 模型第 2 层的广播域，它能将广播控制在一个 Bridge 内部。

而不同 Bridge 之间或 Bridge 与 LAN/WAN 的数据通讯必须通过第 3 层（网络层）网关

来完成。否则，即便是同一交换机上的端口，假如它们不处于同一个 Bridge，正常情况下

也无法进行数据通讯。

Bridge 可以为网络提供以下作用：

1.安全性 2.广播控制 3.带宽利用 4.延迟控制

本系统的 Bridge 不光有 2 层交换的功能，同时也有 3 层路由的功能。每个 Bridge 都有

一个网关可以配置 IP 地址和路由，这样就可以实现 3 层路由功能。

6.3.3.1 WebUI

配置网桥接口的详细步骤如下：


72

步骤 1：选择“网络管理->网络接口->网桥接口”,进入网桥接口界面。

图6.7 网桥接口界面

步骤 2：点击【增加】按钮，弹出编辑网桥接口页面。

图6.8 编辑网桥接口界面

步骤 3：编辑网桥接口参数。

1) 在第一步的编辑界面中编辑网桥号和网桥状态。

网桥接口配置详细介绍如下表。

表6.2 网桥接口配置

配置项描述

网桥号输入数字设置网桥号名称，网桥号为 1 的为管理网桥，用户不能使用。

MTU MTU 为最大传输单元，默认值为 1500。

模式系统默认，不能进行修改。


73

状态可以配置为启用和禁用。

2) 点击【下一步】按钮进入第二步编辑界面，可以在网桥上添加 IP 地址。

图6.9 编辑网桥接口第二步

注意：编辑网桥时可以修改网桥状态、 MTU 和 IP 地址。

步骤 4：点击【完成】按钮保存网桥接口配置。

结束

删除网桥接口的详细步骤：

步骤 1：选择“网络管理->网络接口->网桥接口”,进入网桥接口界面。

步骤 2：选中一个或者多个网桥接口点击【删除】按钮，弹出的确认对话框。

图6.10 删除确认对话框

步骤 3：点击【OK】删除网桥接口。

注意：必须先移除所有 Port 接口、Channel 接口和 IP 地址，否则无法删除。

结束


74

6.3.3.2 CLI

创建网桥接口

vlan -C -i vlanid

删除网桥接口

vlan -D -v vlanname

使能网桥接口

vlan -E -v vlanname

禁用网桥接口

vlan -N -v vlanname

添加 port 接口/Channel 接口

vlan -L -v vlanname -g portname/channelname

移除 port 接口/Channel 接口

vlan -U -v vlaname -g portname/channelname

添加 IP 地址

vlan -A -v vlanname -f ipaddr -m mask

删除 IP 地址

vlan -R -v vlanname -f ipaddr

修改 MTU

vlan -M -v vlanname -t mtu

显示网桥接口

vlan -S


75

6.3.4 Trunk 接口配置

6.3.4.1 WebUI

Bridge Trunk(虚拟局域网中继技术)的作用是让连接在不同交换机上的主机互通。在

Trunk 接口中配置 Trunk 来配合物理交换机的数据交互。

配置 Trunk 接口的详细步骤如下：

步骤 1：选择“网络管理->网络接口->Trunk 接口”进入 Trunk 接口管理界面。

图6.11 Trunk 接口管理界面

步骤 2：点击【增加】按钮，弹出编辑 Trunk 接口界面。

图6.12 编辑 Trunk 接口界面

步骤 3：编辑 Trunk 接口参数。

Trunk 接口参数说明如下表。

表6.3 Trunk 接口参数说明


76

配置项描述

接口选择 Trunk 接口使用的网桥接口。

网桥号输入 Trunk 接口允许通过的 Vlan 编号。

模式系统默认模式，不能进行修改。

状态启用，启用 Trunk 接口；

禁用，禁用 Trunk 接口。

步骤 4：点击【下一步】增加 Trunk，系统给出成功提示。

图6.13 成功提示

步骤 5：点击【确定】按钮，显示第二步编辑界面。

图6.14 编辑 Trunk 接口第二步

步骤 6：配置接口 IP 地址。


77

1) 在第二步编辑界面中点击【增加】按钮弹出接口 IP 地址配置界面。

图6.15 配置接口 IP 地址

2) 编辑 IP 地址参数。

3) 点击【保存】保存 IP 地址配置。

步骤 7：点击【完成】按钮保存 Trunk 接口配置。

结束

6.3.4.2 CLI

创建 trunk 接口

trunk -C -i trunkid –v vlanname

删除 trunk 接口

trunk -D -v trunkname

使能 trunk 接口

trunk -E -v trunkname

禁用 trunk 接口

trunk -N -v trunkname

添加 trunk 地址


78

trunk -A -v trunkname -f ipaddr -m mask

删除 trunk 地址

trunk -R -v trunkname -f ipaddr

修改 status

trunk -M -v trunkname -t status

显示 trunk 接口

trunk -S

6.4 路由配置

路由就是通过互联的网络把信息从源地址传输到目的地址的活动。路由发生在 OSI 网络

参考模型中的第三层即网络层。

路由引导报文传输，经过一些中间的节点后，到它们最后的目的地。路由通常根据路由表

来引导报文传输，而路由表就是一个储存到各个目的地的最佳路径的转发表。每个路由的条

目就是目的网络地址，下一跳网关。当有多个路由条目配置时，采用如下顺序选择路由：先

选择子网掩码最长的，如果掩码相同则选择 Metric 最小的。Metric 表示本路由的管理距

离，越大表示该路由越远。

6.4.1 WebUI

路由配置的详细步骤如下：

步骤 1：选择“网络管理->路由配置”,进入路由配置界面。


79

图6.16 路由配置界面

步骤 2：点击【增加】按钮，弹出增加路由页面。

图6.17 增加路由

步骤 3：编辑路由参数。

路由配置详细介绍如下表：

表6.4 路由配置

配置项描述

Ip 地址路由的 IP 地址。

子网掩码路由的子网掩码。

下一跳路由的下一个点，对端直连路由器的接口地址。

Metric Metric：跳数，跳数用于指出路由的成本，通常情况下代

表到达目标地址所需要经过的跳跃数量，一个跳数代表经过

一个路由器。


80

跳数越低，代表路由成本越低，优先级越高。

步骤 4：点击【保存】按钮保存路由配置。

结束

6.4.2 CLI

添加路由

route -A -i ipaddr -m mask -g gateway [-t {metric}]

删除路由

route -D -i ipaddr -m mask -g gateway [-t {metric}]

显示路由

route -S

6.5 策略路由

策略路由（Policy Routing），也叫做基于策略的路由，是一种路由方案，它基于预定义

的策略转发报文。这个策略可以是源地址/目的地址或其组合。

6.5.1 WebUI

策略路由的配置步骤如下：

步骤 1：选择“网络管理->策略路由”,进入策略路由配置页面。

图6.18 策略路由配置界面


81

步骤 2：点击【增加】按钮，弹出编辑策略路由页面。

图6.19 添加策略路由

步骤 3：配置路由参数。

策略路由配置详细说明见下表。

表6.5 策略路由配置

配置项描述

索引自定义索引号。

源地址数据来源地址。

源子网掩码数据来源子网掩码。

目的地址数据发送的目的地址。

目的子网掩码数据发送的目的子网掩码。

网关路由器的 IP 地址。

索引号定义的是该规则在规则库的位置，最前面的先生效。如果索引是 0 则插入到最后，

如果是 1 则插入到最前面，其它规则的索引后移，以此类推。


82

步骤 4：点击【保存】按钮保存策略路由配置。

结束

6.5.2 CLI

添加策略路由

proute -A -x {index} [-s {ip/mask} -d {ip/mask}] -g {gwip}

修改策略路由

proute -M -x {index} [-s {ip/mask} -d {ip/mask}] -g {gwip}

删除策略路由

proute -D -x {index}

显示策略路由

proute –L

6.6 ARP 配置

ARP 协议（Address Resolution Protocol），或称地址解析协议。ARP 协议的基本功能

就是通过目标设备的 IP 地址，查询目标设备的 MAC 地址，以保证通信的顺利进行，它是

IPv4 中网络层必不可少的协议。

系统会监听网络 ARP 报文，并学习维护一个动态的 IP 地址 MAC 地址的对应表。动态

ARP 条目过段时间后会老化并删除，静态 ARP 条目一直存在包括系统重启。静态 ARP 一

般不常用，配置静态 ARP 可以防止 ARP 欺骗。


83

6.6.1 WebUI

静态 ARP 配置

1) 选择“网络管理->APP 配置->静态 ARP ”,进入静态 ARP 管理界面。

图6.20 静态 ARP 管理界面

2) 点击【增加】按钮，弹出增加 ARP 界面。

图6.21 增加静态 ARP 界面

3) 配置静态 ARP 参数：IP 和 MAC。

4) 点击【保存】按钮保存静态 ARP 配置。

动态 ARP 管理

选择“网络管理->APP 配置->动态 ARP”进入动态 ARP 管理界面，可以查看所有的动

态 ARP 信息。


84

图6.22 动态 ARP 管理界面

6.6.2 CLI

添加静态 ARP

arp -A –i ipaddr -m macaddress

删除静态 ARP

arp -D –i ipaddr

显示所有 ARP

arp –S

7 服务器管理

7.1 服务器概述

WAF6.0 可以配置的 Web 服务器包括普通服务器，负载均衡服务器以及代理服务器。根

据服务器类型的不同，服务器的配置参数不同。这里的服务器可以被 Web 防护里的 Web

防护策略和基础资源对象里的 Web 主机（归属服务器）所引用。

服务器按照功能总共分为 3 个类型：普通服务器，负载均衡服务器，代理服务器。

1) 普通服务器：传统后端被保护服务器。

2) 负载均衡服务器：用于对与后端多个服务器做集群负载均衡部署。

3) 代理服务器：用于反向代理模式，作为反向代理服务器，代理后端真实服务器进行

接收请求。

服务器按照服务类型分为 3 个类型：HTTP 服务器，HTTPS 服务器，其他服务器。


85

1) HTTP 服务器：用于配置提供 HTTP 服务的服务器。

2) HTTPS 服务器：用于配置提供 HTTPS 服务的服务器。

3) 其他服务器：用于配置提供其他服务的服务器，多用于 DDOS 防护。

服务器按照部署方式分为两个类型：在线服务器，离线服务器。

1) 在线服务器：用于 WAF 串联在网络拓扑中进行防护。

2) 离线服务器：用于旁路在拓扑中，通过镜像流量进行防护。

服务器按照防护模式分类两种类型：非流检测模式，流检测模式。

1) 非流检测模式：对协议深度解析，做内部代理防护能力较强。

2) 流检测模式：基于 tcp 流检测。（V6.0 该模式仅支持特征库防护），支持离线模式。

整个服务器支持类型列举如下表：

表7.1 基础对象描述

服务器类型在线方式防护模式

HTTP 普通服务器在线模式非流检测模式

HTTP 普通服务器在线模式流检测模式

HTTP 普通服务器离线模式流检测模式

HTTPS 普通服务器在线模式非流检测模式

其他普通服务器在线模式流检测模式

其他普通服务器离线模式流检测模式

负载均衡 HTTP 服务器在线模式非流检测模式

代理 HTTP 服务器在线模式非流检测模式

代理 HTTP 服务器在线模式非流检测模式


86

7.2 HTTP 普通服务器配置

HTTP 普通服务器配置步骤如下：

步骤 1：选择菜单“服务器管理->普通服务器管理”进入普通服务器配置页面。

图7.1 普通服务器配置界面

步骤 2：点击【增加】按钮增加 HTTP 服务器。

图7.2 配置 HTTP 服务器

步骤 3：编辑 HTTP 服务器参数，详细说明如下表。

表7.2 HTTP 服务器参数详细说明

配置项描述


87

服务器名称所配置服务器的名称，不能重复。

IP 地址 ip 格式为 xxx.xxx.xxx.xxx/xx 后两位为掩码位数，支持网段。

端口服务器后端服务端口。

部署模式选择在线模式或者离线模式。

流防护模式勾选，开启流防护模式；

不勾选，禁用流防护模式。

接口选择服务器所在网桥接口。

阻断接口用于离线模式选择发阻塞报文的接口。

启用是否启用配置。

步骤 4：点击【保存】按钮，完成配置。

结束

7.3 HTTP 负载均衡模式配置

HTTP 负载均衡模式配置步骤如下：

步骤 1：先添加多个需要负载的 HTTP 普通在线服务器，配置方法见 7.2 章节。

步骤 2：选择菜单“服务器管理->负载均衡服务器管理”，进入负载均衡服务器管理界

面。

图7.3 负载均衡服务器管理界面

步骤 3：点击【增加】按钮进入负载均衡服务器配置页面。


88

图7.4 HTTP 负载均衡服务器配置界面

编辑负载均衡服务器参数，详细参数说明见下表。

表7.3 HTTP 负载均衡服务器参数详细说明

配置项描述



防护模式选择代理模式。

接口选择服务器所在接口。

负载算法可选轮询算法或者源地址 hash 算法。


步骤 5：点击【下一步】按钮，进入下一步配置界面。


89

图7.5 HTTP 负载均衡服务器配置第二步

1) 点击【增加】按钮，进入服务器组成员编辑页面。

图7.6 服务器成员配置界面

2) 配置服务器组成员参数，详细说明见下表。

表7.4 服务器组成员配置详细参数说明

配置项描述

服务器组成员选取后端需要负载的成员服务器。

权重配置后端负载服务器的权重，数值越大权重越高。


90

代表服务器代表服务器：配置所选服务器是否为代表服务器，决定

是否适用该服务器地址作为访问地址。

注意：HTTP 透明负载均衡模式，至少有一个代表服务器作为访问代表。


步骤 6：点击【完成】，保存配置。

结束

7.4 HTTP 反向代理模式配置

HTTP 反向代理模式配置步骤如下：

步骤 1：选择菜单“服务器管理->普通服务器管理”，单击“普通服务器管理”进入普

通服务器管理页面。

图7.7 普通服务器管理页面

1) 点击【增加】按钮进入 HTTP 服务器配置界面。


91

图7.8 HTTP 服务器配置界面

2) 编辑 HTTP 服务器参数，详细说明见下表。

表7.5 HTTP 服务器参数详细说明

配置项描述


IP 地址 ip 格式为 xxx.xxx.xxx.xxx/xx 后两位为掩码位数，支持

网段。


部署模式选择在线模式。

流防护模式不选择流防护模式

接口服务器所在网桥接口。

阻断接口用于离线模式选择发阻塞报文的接口。

启用配置是否启用。


92

3) 点击【保存】按钮，完成配置。

步骤 2：选择菜单“服务器管理->代理服务器管理”，进入代理服务器管理界面。

图7.9 代理服务器管理界面

1) 点击【增加】按钮进入 HTTP 代理服务器配置界面。

图7.10 HTTP 代理服务器配置界面

2) 配置 HTTP 代理服务器参数，详细说明见下表。

表7.6 HTTP 代理服务器参数详细说明

配置项描述


IP 地址 ip 格式为 xxx.xxx.xxx.xxx/xx 后两位为掩码位数，WAF

代理使用的 IP 地址。

端口代理使用的端口。

后端服务器后端需要被代理的服务器。


93

接口选择代理 ip 所在接口。

3) 点击【保存】按钮，保存配置。

结束

注意：后端服务器可以选择“任意”，表示一个代理服务器可代理多个后端服务器，此

时需要配置“基础对象-HTTP 站点”。

注意：在配置 web 防护策略时候应引用服务器需引用后端真实服务器，如下图。

图7.11 配置 Web 防护策略

7.5 HTTP 反向代理负载均衡模式配置

HTTP 反向代理负载均衡模式配置步骤如下：

步骤 1：先添加多个需要负载的 HTTP 普通在线服务器，配置方法见 7.2 章节。

步骤 2：选择菜单“服务器管理->负载均衡服务器管理”进入负载均衡服务器管理界面。


94

图7.12 负载均衡服务器管理界面

1) 点击【增加】按钮进入负载均衡服务器配置界面。

图7.13 负载均衡服务器配置界面

2) 配置负载均衡服务器参数，详细说明见下表。

表7.7 负载均衡服务器参数详细说明

配置项描述



防护模式选择代理模式。

接口选择服务器所在接口。

负载算法可选轮询算法或者源地址 hash 算法。



95

3) 点击【下一步】按钮，进入下一步配置界面。

图7.14 HTTP 负载均衡服务器配置第二步界面

4) 点击【增加】按钮，进入服务器组成员编辑界面。

图7.15 服务器组成员编辑界面

5) 配置服务器组成员参数，详细说明见下表。

表7.8 服务器组成员参数详细说明


96

配置项描述

服务器组成员选取后端需要负载的成员服务器。

权重配置后端负载服务器的权重，数值越大权重越高。

代表服务器代表服务器：配置所选服务器是否为代表服务器，决定是否适用

该服务器地址作为访问地址。

注意：HTTP 代理负载均衡模式，可以没有代表服务器。

6) 点击【保存】完成配置。

7) 点击【完成】，结束配置。

步骤 3：选择菜单“服务器管理->代理服务器管理”进入代理服务器管理界面。

图7.16 代理服务器管理界面

1) 点击【增加】按钮进入 HTTP 代理服务器配置界面。

图7.17 HTTP 代理服务器配置界面


97

2) 配置 HTTP 代理服务器参数，详细参数说明见下表。

表7.9 HTTP 代理服务器参数详细说明

配置项描述


IP 地址 ip 格式为 xxx.xxx.xxx.xxx/xx 后两位为掩码位数，支持网段。

IP 地址为 waf 代理 ip。

端口代理端口。

后端服务器后端需要被代理的负载均衡服务器。



结束

注意：后端服务器可以选择“任意”，表示一个代理服务器可代理多个后端服务器，此

时需要配置“基础资源对象-HTTP 站点”。

7.6 HTTPS 反向代理模式配置

HTTPS 反向代理模式配置步骤如下：

步骤 1：选择菜单“服务器管理->普通服务器管理->HTTPS 服务器”进入 HTTPS 服

务器管理界面。

图7.18 HTTPS 服务器管理界面

1) 点击【增加】按钮，进入 HTTPS 服务器配置页面。


98

图7.19 HTTPS 服务器配置界面

2) 配置 HTTPS 服务器参数，详细说明见下表。

表7.10 HTTPS 服务器参数详细说明

配置项描述


IP 地址 ip格式为xxx.xxx.xxx.xxx/xx后两位为掩码位数，支持网段。

IP 地址为 waf 代理 ip。

端口后端服务器端口。

防护模式防护模式选择代理模式


99

接口后端服务器所在接口。

ssl 站点密钥 ssl 站点密钥.key 文件。

ssl 站点证书 ssl 站点证书.crt 文件。

协议类型后端服务器所支持的 ssl 协议类型。

会话重用是否开启 ssl 会话重用功能。

3) 点击【保存】完成配置。

步骤 2：选择菜单“服务器管理->代理服务器管理->HTTPS 代理服务器”进入 HTTPS

代理服务器管理界面。

图7.20 HTTPS 代理服务器管理界面

1) 点击【增加】按钮进入 HTTPS 代理服务器配置界面。

图7.21 HTTPS 代理服务器配置界面

注意：选择后端服务器后，需要配置“基础对象-HTTP 站点”才能正确防护。


100

2) 配置 HTTPS 代理服务器参数，详细说明见下表。

表7.11 HTTPS 代理服务器参数详细说明

配置项描述


IP 地址 ip 格式为 xxx.xxx.xxx.xxx/xx 后两位为掩码位数，支持网

段。IP 地址为 waf 代理 ip

端口代理端口。

后端服务器后端需要被代理的负载均衡服务器。



结束

7.7 其他服务器配置

其他服务器配置的步骤如下：

步骤 1：选择:菜单“服务器管理->普通服务器管理->其他服务器”进入其他服务器管

理界面。

表7.12 其他服务器管理界面

步骤 2：点击【增加】按钮进入配置页面。


101

表7.13 其他服务器配置界面

步骤 3：配置其他服务器参数，详细说明见下表。

表7.14 其他服务器参数详细说明

配置项描述


IP 地址 ip格式为xxx.xxx.xxx.xxx/xx后两位为掩码位数，支持网段。

部署模式选择在线模式或者离线模式。

流防护模式是否开启流防护模式

接口服务器所在接口。

启用配置是否启用。

步骤 4：点击【保存】按钮，完成配置。

结束


102

8 基础对象

8.1 基础对象概述

本章介绍了基础对象的详细信息，具体包括以下内容。

表8.1 基础对象描述

功能描述

Web 主机设置防护或不防护的 Web 主机。

URL 列表设置匹配或不匹配的 URL 组。

IP 列表设置最长前缀匹配 IP 列表和优先级匹配的 IP 列表。

在 WAF 中将 Web 主机、IP 列表、URL 列表都归为基础资源对象，本章定义的对象均为

全局对象，设置防护规则、防护策略和防护规则时可以多次引用基础资源对象。

用户可以定义的对象包括：

Web 主机对象

IP 列表对象

URL 列表对象

8.2 Web 主机

可以手动添加 Web 主机也可以根据自学习策略自动生成 Web 主机。用户配置 Web 防

护策略时可以直接引用 Web 主机。

8.2.1 手动配置 Web 主机

手动配置 Web 主机的详细步骤如下：


103

步骤 1：选择“基础资源对象->Web 主机”进入 Web 主机管理页面。

图8.1 Web 主机管理页面

步骤 2：点击【增加】按钮，弹出 Web 主机配置页面。

图8.2 Web 主机配置页面

步骤 3：编辑 Web 主机和归属服务器。

步骤 4：点击【保存】保存 Web 主机配置。

结束

8.2.2 自动生成 Web 主机

自动生成 Web 主机的详细步骤如下：

步骤 1：选择“Web 防护->自学习策略”进入自学习策略管理页面，配置自学习策略：

选择需要自学习的服务器和源 IP（IP 可以为空），启用策略并保存即可。


104

图8.3 自学习策略配置页面

步骤 2：在客户端访问服务器对应的主机。

步骤 3：选择“基础资源对象->Web 主机”可以查看自学习生成的 Web 主机。

图8.4 Web 主机显示页面

结束

8.2.3 生成 Web 防护策略

选择一个或多个 Web 主机可以自动生成 Web 防护策略，详细步骤如下：

步骤 1：选择“基础资源对象->Web 主机”进入 Web 主机管理页面。

步骤 2：勾选 Web 主机，点击【生成策略】按钮，界面提示生成策略成功。


105

图8.5 Web 主机生成策略成功提示

步骤 3：选择“Web 防护->Web 防护策略”进入 Web 防护策略管理页面，可以查看

到自动生成的 Web 防护策略。

图8.6 Web 防护策略管理页面

结束

8.3 URL 列表

URL 列表对象可以包含一条或多条 URL，配置防护规则时可以多次引用 URL 列表对象，

不需要配置防护规则时再输入防护或限制访问的 URL。

URL 列表配置的详细步骤如下：

步骤 1：选择“基础资源对象->URL 列表”进入 URL 列表管理界面:。

步骤 2：点击【增加】，弹出 URL 列表配置页面。


106

图8.7 URL 列表配置页面 1

步骤 3：编辑 URL 列表对象名称和 URL。

步骤 4：点击【确认】按钮新增保存 URL 列表对象，同时在配置页面中自动显示 URL

列表。

图8.8 URL 列表配置页面 2

步骤 5：配置 URL。

1) 在 URL 列表配置页面中点击【增加】，弹出 URL 配置页面.

图8.9 URL 配置页面

2) 编辑 URL 参数。

URL 配置详细参数说明见下表。


107

表8.2 URL 配置详细参数说明

配置项描述

类型设置 URL 类型，包括精确匹配和正则匹配：

精确匹配：精确匹配 URL；

正则匹配：使用通配符表示 URL，如 www.baidu.com/*，表示

包含 www.baidu.com/ 这个形式的所有 URL ，如

www.baidu.com/abab，www.baidu.com/abab/cdcd。

处理动作处理动作包括：

匹配：匹配 URL；

不匹配：不匹配 URL。

URL 自定义 URL。

3) 点击【保存】按钮保存 URL 配置。

步骤 6：点击【确认】按钮保存 URL 列表配置。

结束

8.4 IP 列表

IP 列表对象包括 IP 网段，配置防护策略和防护规则时可以多次引用 IP 列表对象。

IP 列表的配置详细步骤如下：

步骤 1：选择“基础资源对象->IP 列表”进入 IP 列表管理界面。

步骤 2：点击【增加】按钮，弹出 IP 列表配置页面。

http://www.baidu.com/*


108

图8.10 IP 列表配置页面

步骤 3：可以设置 IP 列表对象名称、默认匹配处理动作。

步骤 4：点击【确认】按钮新增 IP 列表，同时在配置页面中自动显示 IP 列表。

图8.11 IP 列表配置页面

步骤 5：配置 IP。

1) 在 IP 列表中点击【增加】按钮，弹出的 IP 配置页面。


109

图8.12 IP 配置页面

2) 编辑 IP 参数。

IP 参数详细配置说明见下表。

表8.3 IP 配置详细参数说明 1

配置项描述

类型设置 IP 类型，只能选择 IP 网段。

匹配处理匹配处理包括：

匹配：匹配 IP 地址和子网掩码；

不匹配：不匹配 IP 地址和子网掩码。

IP 地址自定义 IP 地址。

子网掩码自定义子网掩码。

3) 点击【保存】按钮保存 IP 配置。

步骤 6：点击【确认】按钮保存 IP 列表配置。

结束


110

9 Web 防护

9.1 Web 防护概述

本章将讲述 Web 应用安全防护系统系列安全解决方案的各类规则、策略的详细配置信息，

具体包括以下内容。

表9.1 Web 防护概述

配置项描述

Web 防护策略配置 Web 防护策略。

Web 防护模板配置引用的 Web 防护规则。

HTTP 协议校验规则配置 HTTP 协议校验规则。

HTTP 访问控制规则配置 HTTP 访问控制规则。

特征防护规则配置特征防护规则。

爬虫防护规则配置爬虫防护规则。

防盗链规则配置防盗链规则。

防跨站请求伪造规则配置防跨站请求伪造规则。

文件上传规则配置文件上传规则。

文件下载规则配置文件下载规则。

敏感信息检测规则配置敏感信息检测规则。

自学习策略配置自学习策略。


111

9.1.1 策略与模板、规则的关系

WAF 的安全防护功能是通过策略的方式实现的。WAF 面向被防护的对象制定统一的策

略，策略引用 Web 防护模板，Web 防护模板包含自定义防护规则和预定义特征库规则。

防护策略、Web 防护模板和防护规则的关系图如下。

Web防护策略

Web防护模板

HTTP

协议校验规则

HTTP访问控制规则

特征防护规则

爬虫防护规则

防盗链规则

防跨站请求伪造规则

文件上传规则

文件下载规则

敏感信息检测规则

图9.1 策略、模板、规则关系图

自定义防护规则

包括 HTTP 协议校验规则（参见章节 9.4）、HTTP 访问控制规则（参见章节 9.5）、爬

虫防护规则（参见章节 9.7）、防盗链规则（参见章节 9.8）、防跨站请求伪造规则（参

见章节 9.9）、文件上传规则（参见章节 9.10）、文件下载规则（参见章节 9.11）、敏感

信息检测规则（参见章节 9.12）。

预定义特征库规则

即预定义特征库规则，根据系统自带的特征库规则来设置防护规则（参见章节 9.6）。


112

9.1.2 Web 防护配置流程

Web 防护的配置流程如下图。配置 Web 防护策略时直接引用服务器对象、Web 主机对

象、IP 对象、Web 防护模板即可生效。

配置服务器对象

配置Web主机/配置IP列表

是否配置自定义防护规则或预定义特征库规则

配置Web防护模板

配置Web防护策略

配置自定义防护规则或预定义特征库规则

是

否

图9.2 Web 防护配置流程图

9.2 Web 防护策略

本节主要介绍配置 Web 防护策略的详细步骤：

步骤 1：选择“Web 防护->Web 防护策略”进入 Web 防护策略管理界面。

图9.3 Web 防护策略管理界面


113

步骤 2：在 Web 防护策略编辑界面中点击【增加】弹出策略配置界面。

图9.4 策略配置界面

步骤 3：编辑 Web 防护策略参数。

配置 Web 防护策略详细参数说明见下表。

表9.2 配置 Web 防护策略详细参数说明

配置项描述

名称自定义 Web 防护策略名称。

服务器选择普通服务器、负载均衡服务器或代理服务器对象。

配置普通服务器和负载均衡服务器的方法参见章节 7。

Web 主机选择 Web 主机或直接输入主机名。Web 主机可以为空，为空表

示防护服务器上所有 Web 主机。

配置 Web 主机方法详细参见章节 8.2。

源 IP 选择 IP 列表对象，设置匹配策略的数据包源 IP。


114

配置最长前缀匹配 IP 列表和优先级匹配 IP 列表参见章节 8.4。

Web 防护模板选择 Web 防护模板。

配置 Web 防护模板参见章节 9.3。

访问日志开启，记录访问日志；

关闭，不记录访问日志。

优先级自定义 Web 防护策略的优先级。优先级数越小，优先级别越高，

优先级别由 1 至 10000 逐级递减，优先级可重复，当两条数据优

先级一致时，则按照添加数据的顺序决定优先级顺序。

是否启用启用：启用 Web 防护策略；

禁用：禁用 Web 防护策略。

步骤 4：点击【确认】按钮保存配置即可生效。

结束

9.3 Web 防护模板

Web 防护模板定义了 Web 防护的详细规则，包括基本配置、Web 防护规则设置和应用

与防护设置。配置 Web 防护策略可以多次引用 Web 防护模板。

本节主要介绍配置 Web 防护模板的详细步骤。

步骤 1：选择“Web 防护->Web 防护模板”进入 Web 防护模板管理界面。

图9.5 Web 防护模板管理界面

步骤 2：点击【增加】后，弹出增加 Web 防护模板界面，可以切换点击【Web 防护规

则】、【违规处理】按钮进行模板参数的编辑。


115

步骤 3：编辑 Web 防护规则。可以在编辑界面中设置自定义防护规则和预定义防护规

则。

图9.6 Web 防护规则配置界面

Web 防护规则的配置项说明见下表。

表9.3 Web 防护规则配置项

配置项说明

HTTP 协议校验规则配置 HTTP 协议校验规则的方法参见章节 9.4。

HTTP 访问控制规则配置 HTTP 访问控制规则的方法参见章节 9.5。

特征防护规则配置特征防护规则的方法参见章节 9.6。

爬虫防护规则配置爬虫防护规则的方法参见章节 9.7。

防盗链规则配置防盗链规则的方法参见章节 9.8。


116

防跨站请求伪造规则配置防跨站请求伪造规则的方法参见章节 9.9。

文件上传规则配置文件上传规则的方法参见章节 9.10。

文件下载规则配置文件下载规则的方法参见章节 9.11。

敏感信息检测规则配置敏感信息检测规则方法参见章节 9.12。

步骤 4：配置违规处理参数。点击【违规处理】进入配置界面，可以设置重定向和违规

参数传递。

图9.7 违规处理配置界面

违规处理配置详细的参数说明见下表。

表9.4 应用配置详细参数说明

配置项描述

重定向 URL 自定义重定向 URL。检测到攻击时系统自动将页面重定向至配置

的 URL 上。

违规参数传递勾选，系统重定向后在重定向 URL 后添加违规参数，以便查看违

规参数。

不勾选，系统重定向后在重定向 URL 后不添加违规参数。



117

结束

9.4 HTTP 协议校验规则

HTTP 是超文本传输协议（Hypertext Transfer Protocol）的简称。它用来在 Internet 上

传递 Web 页面信息，如果大量畸形的 HTTP 协议数据包攻击服务器，会影响服务器对正常

请求的反应速度，严重的会造成服务器缓冲区溢出或者服务器瘫痪。

添加 HTTP 协议校验防护规则，可以设置 HTTP 协议包头各字段的长度限值、控制主体、

控制源。当客户端向服务器发起请求时，WAF 引擎获取标准头中的数据，对源 IP 对象向服

务器 IP 对象的请求进行校验；将规则中设定了限值的实际值和设定限值比较，如果大于限

值则说明可能遭受畸形 HTTP 协议包攻击。同时也可以检查 HTTP 协议的版本号、请求方

法，HOST 域是否为空，POST 请求消息报头中的 content_length 是否为空等。

HTTP 协议校验规则的详细配置步骤如下：

步骤 1：选择“Web 防护->HTTP 协议校验规则”进入 HTTP 协议校验规则管理界面。

图9.8 HTTP 协议校验规则管理界面

步骤 2：点击【增加】按钮，弹出的增加 HTTP 协议校验规则界面。


118

图9.9 增加 HTTP 协议校验规则界面

步骤 3：编辑 HTTP 协议校验规则。

配置 HTTP 协议校验规则的详细说明如下表。

表9.5 HTTP 协议校验规则配置说明

配置项描述

协议校验项 HTTP 协议校验规则的校验项，包括 url 最大长度、url 参数最大

个数、url 参数最大长度、cookie 最大个数、cookie 最大长度、

host 最大程度、user_agent 最大长度、referer 最大长度、accept

最大长度、accept_charset 最大长度、accept_language 最大长

度、http 请求头最大长度、头信息最大个数、消息体实际长度、

content_length 最大长度、请求行最大长度、请求行最大个数、

请求头最大长度、参数个数、range 最大范围，可以对每个协议

校验项分别进行参数配置。

是否启用勾选，启用该协议校验项的配置；


119

不勾选，禁用该协议校验项的配置。

文本输入框可以输入协议校验项的最大个数或最大长度值。

严重级别定义触发该规则条目的攻击的严重级别，分为低级、中级、高级。

处理动作定义触发该协议校验项后 WAF 的处理动作，包括继续、通过、白

名单、阻断、重定向。

封禁时间当处理动作为封禁时，可以在弹出的输入框中设置封禁时间。

告警设置定义触发该协议校验项后 WAF 的告警设置：

勾选“短信”设置短信告警；

勾选“邮件”设置邮件告警。

日志勾选，检测到触发该协议校验项的攻击记录攻击日志，可以在攻

击日志中查看；

不勾选，不记录日志。

例外 URL 定义不进行 HTTP 协议校验操作的 URL，可以直接引用 URL 列表

对象。配置 URL 列表对象的方法参见章节 8.3。


结束

9.5 HTTP 访问控制规则

网站出于保护某些网页安全的目的，需要控制某些用户的访问权限。具体需要分为以下几

类：

1) 对访问者访问的 URI 的控制，允许或不允许访问设定的 URL 对象。

2) 对访问者的 HTTP 方法的控制，允许或不允许设定的 HTTP 方法访问。


120

3) 对访问者的 IP 的控制，允许或不允许设定的 IP 对象访问。

当产生被控制的访问时，可以选择是否需要告警，以邮件或短信等方式，通知管理员，并

执行处理动作。

HTTP 访问控制规则的详细配置步骤如下：

步骤 1：选择“Web 防护->HTTP 访问控制规则”进入 HTTP 访问控制规则管理界面。

图9.10 HTTP 访问控制规则管理界面

步骤 2：点击【增加】后弹出的增加 HTTP 访问控制规则界面，如下图。

图9.11 增加 HTTP 访问控制规则 1

步骤 3：编辑规则名称和默认动作。WAF 执行防护时如果没有匹配上 HTTP 访问控制

规则条目就执行默认动作。

步骤 4：点击【保存】新增一个 HTTP 访问控制规则至数据库中，同时在增加 HTTP 访

问控制规则界面中弹出访问控制规则列表，如下图。


121

图9.12 增加 HTTP 访问控制规则 2

步骤 5：配置 HTTP 访问控制规则条目。

1) 在规则列表中点击【增加】弹出增加 HTTP 访问控制规则条目界面。

图9.13 增加 HTTP 访问控制规则条目

2) 在界面中配置规则条目参数。

HTTP 访问控制规则条目详细配置参数说明见下表。

表9.6 HTTP 访问控制规则条目详细配置说明

配置项描述

URL 定义规则条目匹配的 URL 对象。配置 URL 列表对象的方法参见

章节 8.3。


122

IP 地址段定义规则条目匹配的源 IP 对象。配置 IP 对象的方法参见章节 8.4。

方法勾选设置访问控制的方法。

优先级自定义规则条目优先级，按照优先级的等级定义规则检测的先后

顺序，优先级高的最先进行检测。

处理动作定义检测到触发该规则条目的攻击后 WAF 的处理动作，包括继

续、通过、白名单、阻断、重定向。


告警设置定义检测到触发该规则条目的攻击后 WAF 的告警设置：



日志启用，触发该规则条目时记录攻击日志，可以在攻击日志中查看；

禁用，不记录攻击日志。

启用勾选，启用该规则条目的配置；

不勾选，禁用该规则条目的配置。

注：访问控制的URL、IP地址和请求方法是“且”的关系，只有匹配上所有基础资源对象才

会执行处理动作。

3) 点击【保存】按钮保存规则条目配置。

步骤 6：点击【保存】按钮保存 HTTP 访问控制规则配置。

结束

9.6 特征防护规则

预定义特征库是系统默认的规则库，Web 应用安全防护系统将定期发布最新的特征库，


123

用户可以通过我们的网站获得最新的特征库。

选择“Web 防护->特征码”进入预定义特征库管理界面，如图所示。

图9.14 预定义特征库管理界面

预定义特征库包含 SQL 注入、跨站脚本攻击（XSS）、防爬虫规则，也可以自定义特征库

规则。

9.6.1 增加用户自定义特征库描述

9.6.1.1 WebUI

配置用户自定义特征库描述的详细步骤如下：

步骤 1：选择“Web 防护->特征防护规则->特征描述->用户自定义”进入用户自定义

特征库描述管理界面。

图9.15 用户自定义特征库描述管理界面

步骤 2：在管理界面中点击【增加】按钮，弹出特征库描述配置界面。


124

图9.16 特征库描述配置界面

步骤 3：编辑特征库描述参数。

配置用户自定义特征库描述的详细参数说明见下表。

表9.7 用户自定义特征库描述配置说明

配置项描述

名称自定义特征库描述的名称。

类型默认显示类型为用户自定义，不能修改。

处理动作定义检测到攻击后 WAF 的处理动作，包括继续、通过、白名单、

阻断、重定向。

严重级别定义触发该规则的攻击的严重级别，分为低级、中级、高级。

日志启用，记录攻击日志；


125


启用启用，启用特征库描述的配置，显示在特征组中可以被引用；

禁用，禁用特征库描述的配置，不显示在特征组中。

步骤 4：编辑特征库条目。

1) 在特征库描述配置页面中点击【增加】，弹出的特征库条目配置界面。

图9.17 特征库条目配置

2) 编辑特征库条目参数。

配置特征库条目的参数说明见下表。

表9.8 用户自定义特征库条目配置说明

配置项描述

表达式自定义表达式。

检测位置包括四个检测位置：HTTP 请求头部、HTTP 请求体、HTTP 响应

头部、HTTP 响应体。


126

检查点根据选择的检测位置可以设置不同的检测点：

HTTP 请求头部对应的检测点：HTTP 请求头部、HTTP 请求版本、

HTTP 请求方法、HTTP 请求 URL、HTTP 请求 File、HTTP 请求

参数、HTTP 请求 Referer、HTTP 请求 User Agent、HTTP 请求

Cookie；

HTTP 请求体对应的检测点：HTTP 请求体；

HTTP 响应头部对应的检测点：HTTP 响应码、HTTP 响应头部；

HTTP 响应体对应的检测点：HTTP 响应体。

3) 点击【保存】按钮保存特征库规则条目配置。

步骤 4：点击【保存】按钮保存特征库描述配置。

结束

9.6.2 增加特征规则

本节主要介绍增加特征规则的详细步骤：

步骤 1：选择“Web 防护->特征防护规则->特征规则”进入特征规则管理界面。

图9.18 特征规则管理界面

步骤 2：在管理界面中点击【增加】弹出特征规则配置界面，如下图所示。


127

图9.19 特征规则配置界面

配置特征规则的详细参数说明见下表。

表9.9 特征规则配置说明

配置项描述

名称自定义预定义特征库规则名称。

规则类型包括 SQL 注入、跨站脚本攻击（XSS）、扫描器、信息泄露、防爬

虫、协议完整性、溢出、其他、用户自定义规则，在各个规则类

型下可以勾选启用详细规则。

例外 URL 定义不进行校验操作的 URL，可以直接引用 URL 列表对象。配置

URL 列表对象的方法参见章节 8.3。

处理动作定义检测到攻击后 WAF 的处理动作，包括继续、通过、白名单、

阻断、重定向。





128

日志启用，记录攻击日志；



结束

9.7 爬虫防护规则

网络爬虫，是一种按照一定的规则，自动抓取万维网信息的程序或者脚本。网络上有很

多搜索引擎，如百度，雅虎等，都使用爬虫提供最新的数据。但如果恶意使用爬虫爬取大量

的网站页面，不但占用网站带宽，而且影响服务器性能， WAF 通过设置该策略，可以防止

信息被搜索引擎获取。

本节主要描述爬虫防护规则的详细配置步骤：

步骤 1：选择“Web 防护->爬虫防护规则”进入爬虫防护规则管理界面。

图9.20 爬虫防护规则管理界面

步骤 2：点击【增加】在弹出的增加爬虫防护规则界面；

图9.21 爬虫防护规则配置界面 1

步骤 3：编辑爬虫防护规则名称后点击【保存】新增爬虫防护规则，同时在增加爬虫防

护规则界面中弹出规则列表。


129

图9.22 爬虫防护规则配置界面 2

步骤:4：在规则列表中点击【增加】按钮增加爬虫防护规则条目。

图9.23 爬虫防护规则条目配置界面

配置爬虫防护规则条目的详细参数说明如下表。

表9.10 爬虫防护规则条目详细配置说明

配置项描述

防爬虫 URL 防护 URL，可以引用 URL 列表，详细配置方法参见章节 8.3。


续、封禁。


130





日志启用，触发该规则条目时记录攻击日志，可以在攻击日志中查看；





结束

9.8 防盗链规则

盗链是指服务提供商自己不提供服务的内容，通过技术手段绕过其它有利益的最终用户界

面（如广告），直接在自己的网站上向最终用户提供其它服务提供商的服务内容，骗取最终

用户的浏览和点击率，受益者不提供资源或提供很少的资源，而真正的服务提供商却得不到

任何的收益。

WAF 通过实现 URL 级别的访问控制，对客户端请求进行检测，如果发现图片、文件等资

源信息的 HTTP 请求来自于其它网站，则阻止盗链请求，节省因盗用资源链接而消耗的带宽

和性能。

配置防盗链规则的详细步骤如下：

步骤 1：选择“Web 防护->防盗链规则”进入防盗链规则管理界面。


131

图9.24 防盗链规则管理界面

步骤 2：点击【增加】按钮，弹出增加防盗链规则界面。

图9.25 增加防盗链规则界面 1

步骤 3：输入规则名称后点击【保存】按钮，将规则添加至数据库中。

图9.26 增加防盗链规则界面 2

步骤 4：配置防盗链规则条目。

1) 在增加防盗链规则界面中点击【增加】按钮，弹出增加防盗链规则条目界面。


132

图9.27 增加防盗链规则条目界面

2) 配置规则条目参数，详细配置说明见下表。

注：WAF 执行防护时“保护的 URL”和“保护的资源类型”是“或”的关系，只要检测到

请求匹配上“保护的 URL”或“保护的资源类型”，WAF 立即检测 Referer 是否允许为空，如

果 Referer 是否为空符合配置，再检测是否为盗链行为，如果是再检测攻击 Referer 是否为信任

的 Referer，如果是信任 Referer 则不执行处理动作直接放行，否则执行处理动作。

表9.11 防盗链规则条目详细配置说明

配置项描述

保护 URL 设置保护的 URL，可以选择基础资源对象 URL 列表。

检测方式包含两种检测方式：Referer 和 Referer+Cookie。


133

Referer：

检测时只检测 Referer 是否合法；

Referer+Cookie：

检测时检测 Referer 是否合法，是否有 WAF 自定义的 Cookie。

注：防护的 URL 为站点首页时不能选择检测方式：Referer+Cookie，

否则站点首页的第一次正常访问会被视为攻击执行防护操作。




优先级优先级数越小级别越高，优先级不可重复。

告警设置定义检测到触发该上传规则条目的攻击后 WAF 的告警设置：



允许 Referer 为空检测数据包中的 Referer 参数，如果 Referer 参数与是否允许为

空的设置不一致则判断为非法：

勾选，允许 Referer 为空；

不勾选，不允许 Referer 为空。

日志勾选，触发该规则条目时记录攻击日志，可以在攻击日志中查看；

不勾选，不记录攻击日志。



注：启用防盗链规则条目后，链接请求的 Referer 为合法时，


134

WAF 立即对该请求定义 Cookie。

保护的资源类型可以设置多种资源类型，用|隔开，如 jpg|avi|pdf。

信任的 Referer Referer 白名单：最多可以设置 4 个信任的 Referer，每个 Referer

各占一行，超过第 4 行的 Referer 设置无效。

3) 点击【保存】按钮保存规则条目配置。

步骤 5：点击【保存】按钮保存防盗链规则配置。

结束

9.9 防跨站请求伪造规则

CSRF（Cross-site request forgery 跨站请求伪造，也被称为“one click attack”或者

session riding，通常缩写为 CSRF 或者 XSRF，是一种对网站的恶意利用。尽管听起来像

跨站脚本（XSS），但它与 XSS 非常不同，并且攻击方式几乎相左。XSS 利用站点内的信任

用户，而 CSRF 则通过伪装来自受信任用户的请求来利用受信任的网站。

配置防跨站请求伪造规则的详细步骤如下：

步骤 1：选择“Web 防护->防跨站请求伪造规则”进入防跨站请求伪造规则管理界面。

图9.28 防跨站请求伪造规则管理界面

步骤 2：点击【增加】按钮，弹出增加防跨站请求伪造规则界面。

图9.29 增加防跨站请求伪造规则界面 1


135

步骤 3：输入规则名称后点击【保存】按钮，将规则添加至数据库中。

图9.30 增加防跨站请求伪造规则界面 2

步骤 4：配置防跨站请求伪造规则条目。

1) 在增加防跨站请求伪造规则界面中点击【增加】按钮，弹出增加跨站请求伪造规则

条目界面。


136

图9.31 增加防跨站请求伪造规则条目界面

2) 配置跨站请求伪造规则条目参数，详细的参数说明见下表。

表9.12 防跨站请求伪造规则条目详细配置说明

配置项描述

保护 URL 设置保护的 URL，可以选择基础资源对象 URL 列表。

Referer URL 设置合法请求的 Referer，可以引用基础资源对象 URL 列表。





请求方法包括两种请求方法：GET 和 POST。


137




允许 Referer 为空检测数据包中的 Referer 参数，如果 Referer 参数与是否允许为

空的设置不一致则判断为非法：

勾选，允许 Referer 为空；

不勾选，不允许 Referer 为空。





Referer 白名单设置请求方法：包括两种请求方法：GET 和 POST。

Referer 白名单：最多可以设置 4 个信任的 Referer，每个 Referer

各占一行。

注：请求方法和 Referer 白名单是“且”的关系，只有请求方法

和 Referer 同时满足配置才是白名单。

3) 点击【保存】按钮保存防跨站请求伪造规则条目配置。

步骤 5：点击【保存】按钮保存防跨站请求伪造规则配置。

结束

9.10 文件上传规则

文件上传攻击是指攻击者利用 WEB 应用对上传文件过滤不严，导致可以上传应用程序定


138

义类型范围之外的文件到 Web 服务器。比如可以上传一个网页木马，如果存放上传文件的

目录刚好有执行脚本的权限，那么攻击者就可以直接得到一个 WebShell。

文件上传规则主要是对上传文件的文件类型和大小、MIME 类型、文件的扩展名和 Shell

类型进行检测。

文件上传规则的详细配置步骤如下：

步骤 1：选择“Web 防护->文件上传规则”进入文件上传规则管理界面。

图9.32 文件上传规则管理界面

步骤 2：点击【增加】，弹出新增文件上传规则界面。

图9.33 增加文件上传规则 1

步骤 3：编辑规则名称和默认动作。

步骤 4：点击【保存】按钮新增上传规则，同时在界面中弹出文件上传规则列表。


139

图9.34 增加文件上传规则 2

步骤:5：配置文件上传规则条目。

1) 点击【增加】按钮，弹出新增上传文件类型规则界面。

2) 编辑规则条目的基本配置、文件类型检查、MIME 类型检查、Shell 类型检查。

图9.35 增加文件上传规则条目


140

文件上传规则条目基本配置的详细参数说明如下表。

表9.13 文件上传规则条目基本配置说明

配置项描述

例外 URL 定义不进行上传规则匹配检测的 URL，可以直接引用 URL 列表对

象。配置 URL 列表对象的方法参见 8.3。


处理动作定义检测到触发该上传规则条目的攻击后 WAF 的处理动作，包括

继续、通过、白名单、阻断、重定向。

文件大小定义上传文件大小，如果上传的文件大于设置的阀值，则判定为

非法操作，即为触发该上传规则条目的攻击；反之，则是合法操

作。





日志勾选，触发该上传规则条目时记录攻击日志，可以在攻击日志中

查看；


启用勾选，启用该上传规则条目的配置；

不勾选，禁用该上传规则条目的配置。

文件上传规则条目文件类型检查配置的详细参数说明如下表。

表9.14 文件上传规则的文件类型配置说明


141

配置项描述

启用文件类型检查勾选，启用文件类型检查的配置；

不勾选，禁用文件类型检查的配置。

可选文件类型将文件类型列表中的文件类型加入至允许文件类型列表中，可以

设置允许上传的文件类型，当检测到上传的文件类型与允许文件

类型不匹配时定义为非法操作，即为触发上传规则的攻击；反之，

则是合法操作。

文件上传规则条目 MIME 类型检查配置的详细参数说明如下表。

表9.15 文件上传规则的 MIME 类型配置说明

配置项描述

启用 MIME 类型检查勾选，启用 MIME 类型检查的配置；

不勾选，禁用 MIME 类型检查的配置。

可选 MIME 类型将 MIME 类型列表中的 MIME 类型加入至允许 MIME 类型列表

中，可以设置允许上传的文件的 MIME 类型，当检测到上传的文

件的 MIME 类型与允许 MIME 类型不匹配时定义为非法操作，即

为触发上传规则的攻击；反之，则是合法操作。

文件上传规则条目真实文件类型检查配置的详细参数说明如下表。

表9.16 文件上传规则的真实文件类型配置说明

配置项描述

启用真实文件类型检查勾选，启用真实文件类型检查的配置；

不勾选，禁用真实文件类型检查的配置。

可选真实文件类型将真实文件类型列表中的真实文件类型加入至允许真实文件类型


142

列表中，可以设置允许上传的文件的真实文件类型，当检测到上

传的文件的真实文件类型与允许真实文件类型不匹配时定义为非

法操作，即为触发上传规则的攻击；反之，则是合法操作。

3) 点击【保存】按钮保存文件上传规则条目配置。

启用文件上传规则后会对上传规则列表中的规则条目逐条进行检测匹配并按照配置执行相

应的处理动作。

步骤 6：点击【保存】按钮保存文件上传规则配置。

结束

9.11 文件下载规则

文件下载规则主要是对下载文件长度、文件扩展名和 MIME 类型进行检测。文件下载规

则的详细配置步骤如下：

步骤 1：选择“Web 防护->文件下载规则”进入文件下载规则管理界面。

图9.36 文件下载规则管理界面

步骤 2：在管理界面中点击【增加】弹出新增下载规则界面，如下图。

图9.37 增加下载规则 1

步骤 3：编辑规则名称和备注。


143

步骤 4：点击【保存】按钮新增文件下载规则，同时在新增文件下载规则界面中显示下

载规则列表，如下图。

图9.38 增加下载规则 2

步骤 5：配置文件下载规则条目。

1) 点击【增加】按钮，弹出新增文件下载规则条目界面。

2) 编辑文件下载规则条目的基本配置、文件类型检查、MIME 类型检查。


144

图9.39 文件下载基本配置

文件下载规则条目基本配置的详细参数说明如下表。

表9.17 文件下载规则条目基本配置说明

配置项描述

例外 URL 定义不进行下载规则匹配检测的 URL，可以直接引用 URL 列表

对象。配置 URL 列表对象的方法参见 8.3。

严重级别定义触发该规则条目的攻击的严重级别，分为低级、中级、高

级。

处理动作定义检测到触发该下载规则条目的攻击后 WAF 的处理动作，包

括丢弃、通过、重定向。


告警设置定义检测到触发该下载规则条目的攻击后 WAF 的告警设置：


145



日志勾选，触发该下载规则条目时记录攻击日志，可以在攻击日志

中查看；


启用勾选，启用该下载规则条目的配置；

不勾选，禁用该下载规则条目的配置。

文件类型检查配置的详细参数说明如下表。

表9.18 下载规则的文件类型配置说明

配置项描述

启用文件类型检查勾选，启用文件类型检查的配置；

不勾选，禁用文件类型检查的配置。

可选文件类型将文件类型列表中的文件类型加入至允许文件类型列表中，可

以设置允许下载的文件类型，当检测到下载的文件类型与允许

文件类型不匹配时定义为非法操作，即为触发下载规则的攻击；

反之，则是合法操作。

MIME 类型检查配置的详细参数说明如下表。

表9.19 下载规则的 MIME 类型配置说明

配置项描述

启用 MIME 类型检查勾选，启用 MIME 类型检查的配置；

不勾选，禁用 MIME 类型检查的配置。

可选 MIME 类型将 MIME 类型列表中的 MIME 类型加入至允许 MIME 类型列


146

表中，可以设置允许下载的文件的 MIME 类型，当检测到下载

的文件的 MIME 类型与允许 MIME 类型不匹配时定义为非法操

作，即为触发下载规则的攻击；反之，则是合法操作。

3) 点击【保存】按钮保存文件下载规则条目配置。

启用下载规则后会对下载规则列表中的规则条目逐条进行检测匹配并按照配置执行相应的

处理动作。

步骤 6：点击【保存】按钮保存文件下载规则配置。

结束

9.12 敏感信息检测规则

敏感信息检测规则的详细配置步骤如下：

步骤 1：选择“Web 防护->敏感信息检测规则”进入敏感信息检测规则管理界面。

步骤 2：点击【增加】按钮，弹出增加敏感信息检测规则界面。

图9.40 增加敏感信息检测规则界面 1

步骤 3：输入规则名称后点击【保存】按钮，将规则保存至数据库中。


147

图9.41 增加敏感信息检测规则界面 2

步骤 4：配置敏感信息检测规则条目。

1) 在增加敏感信息检测规则界面中点击【增加】，弹出增加敏感信息检测规则条目界

面。

图9.42 增加敏感信息检测规则条目界面

2) 配置敏感信息检测规则条目参数，详细说明见下表。

表9.20 敏感信息检测规则条目详细配置说明


148

配置项描述

例外 URL 设置例外的 URL，可以选择基础资源对象 URL 列表。

检测位置包括响应头和响应体。

敏感信息敏感信息包括 Server、X_Powered_By 和用户自定义。

选择用户自定义后可以在界面中自定义敏感信息，支持字符串或

正则表达式。

处理动作包括全部隐藏、部分隐藏和删除。






3) 点击【保存】按钮保存敏感信息检测规则条目的配置。

步骤 5：点击【保存】按钮保存敏感信息检测规则的配置。

结束

9.13 自学习策略

配置自学习策略后可以对访问服务器的 web 主机进行自动识别并生成 web 主机显示在

web 主机管理页面中。

配置自学习策略的详细步骤如下：

步骤 1：选择“Web 防护->自学习策略”进入自学习策略管理界面。


149

图9.43 自学习策略管理界面

步骤 2：点击【增加】按钮，弹出增加自学习策略框。

图9.44 增加自学习策略框

步骤 3：编辑自学习策略。

自学习策略的详细参数说明见下表。

表9.21 自学习策略详细参数说明

配置项描述

名称自定义策略名称。

服务器设置需要进行自学习 Web 主机的服务器，直接引用服务器对象，

配置服务器对象的方法参见 7。

源 IP 设置进行自学习的源 IP，直接引用 IP 列表，配置 IP 列表的方法

参见 8.4。

源 IP 可以为空，表示对所有 IP 进行自学习。

优先级配置策略优先级，优先级数越小级别越大，优先级不可重复。


150

是否启用启用：启用自学习策略配置；

禁用：不启用自学习策略配置。

步骤 4：点击【保存】按钮保存自学习策略配置。

结束

10 访问控制

10.1 访问控制概述

访问控制主要针对网络层的访问控制，通过配置面向对象的通用包过滤规则实现控制

Web 以外的访问行为。

本章主要描述访问控制的常用操作和方法，具体内容如下：

表10.1 访问控制常用操作

功能描述

IP 对象定义包过滤规则里的源 IP 和目的 IP。

服务对象定义包过滤规则里的协议。

时间对象定义包过滤规则的生效时间段。

包过滤规则定义包过滤规则。

地址转换可以实现 DNAT 和 SNAT 的功能。

10.2 IP 对象

10.2.1 WebUI

IP 对象主要是定义包过滤规则里的源和目的 IP。IP 对象包含 IP 网段、IP 地址段和 IP 组。


151

IP 组可以包含多个 IP 网段/IP 地址段。

选择“访问控制->IP 对象”进入 IP 对象编辑页面，可以对 IP 网段、IP 地址段和 IP 组进

行增加、编辑、删除等操作。

注意事项：如果 IP 网段在 IP 组里或者被包过滤规则使用，则无法删除。

注意事项：如果 IP 地址段在 IP 组里或者被包过滤规则使用，则无法删除。

注意事项：如果 IP 组被包过滤规则使用，则无法删除。

10.2.1.1 IP 网段配置

IP 网段配置的详细步骤如下：

步骤 1：选择“访问控制->IP 对象->IP 网段”进入 IP 网段管理页面。

图10.1 IP 网段管理界面

步骤 2：点击【增加】按钮，弹出增加 IP 网段对象界面。

图10.2 增加 IP 网段对象界面

步骤 3：编辑 IP 网段参数。



152

结束

10.2.1.2 IP 地址段配置

IP 地址段配置的详细步骤如下：

步骤 1：选择“访问控制->IP 对象->IP 地址段”进入 IP 地址段管理页面。

图10.3 IP 地址段管理界面

步骤 2：点击【增加】按钮，弹出增加 IP 地址段对象界面。

图10.4 增加 IP 地址段对象界面

步骤 3：编辑 IP 地址段参数。


结束

10.2.1.3 IP 组配置

IP 组配置的详细步骤如下：


153

步骤 1：选择“访问控制->IP 对象->IP 组”进入 IP 组管理页面。

图10.5 IP 组管理界面

步骤 2：点击【增加】按钮，弹出增加 IP 组界面。

图10.6 增加 IP 组界面

步骤 3：设置 IP 组名称和 IP 对象。

提示：增加 IP 组时可以添加多个 IP 网段或 IP 地址段。


结束

10.2.2 CLI

添加 IP 对象


154

ipobj -A -n {name} -i {sip/eip | ip/mask}

修改 IP 对象

ipobj -M -n {name} -i {sip/eip | ip/mask}

删除 IP 对象

ipobj -D -n {name}

显示 IP 对象

ipobj –L

添加 IP 组对象

objgroup -C -n {group_name} -t ip

删除 IP 组对象

objgroup -D -n {group_name} -t ip

添加 IP 对象到 IP 组

objgroup -A -n {group_name} -t ip -o ipobject

从 IP 组删除 IP 对象

objgroup -R -n {group_name} -t ip -o ipobject

显示 IP 组对象

objgroup -L/--list

10.3 服务对象

10.3.1 WebUI

服务对象主要是定义包过滤规则里的协议部分，包括 ICMP,TCP,UDP 和端口号/范围。服

务组对象可以包含多个普通服务对象。


155

选择“访问控制->服务对象”进入服务对象编辑界面，可以对服务、服务组进行增加、

编辑、删除等操作。

注意事项：如果服务对象在服务组里或者被包过滤规则使用，则无法删除。

注意事项：如果服务组被包过滤规则使用，则无法删除。

10.3.1.1 管理服务对象

配置服务对象的详细步骤如下：

步骤 1：选择“访问控制->服务对象->服务”进入服务管理界面。

图10.7 服务管理界面

步骤 2：点击【增加】按钮，弹出增加服务对象界面。

图10.8 增加服务对象界面

步骤 3：编辑服务参数。

选择协议类型 TCP/UDP，需要输入开始端口号和结束端口号。



156

结束

10.3.1.2 管理服务组

服务组配置的详细步骤如下：

步骤 1：选择“访问控制->服务对象->服务组”进入服务组管理界面。

图10.9 服务组管理界面

步骤 2：点击【增加】按钮，弹出增加服务组界面。

图10.10 增加服务组界面

步骤 3：编辑服务组名称，选择所包含的服务对象。


结束


157

10.3.2 CLI

添加服务对象

svrobj -A -n {name} -p {ip_proto_number} -i {sport/eport}

修改服务对象

svrobj -M -n {name} -p {ip_proto_number} -i {sport/eport}

删除服务对象

svrobj -D -n {name}

显示服务对象

svrobj –L

添加服务组对象

objgroup -C -n {group_name} -t service

删除服务组对象

objgroup -D -n {group_name} -t service

添加服务对象到服务组

objgroup -A -n {group_name} -t service -o svrobject

从服务组删除服务对象

objgroup -R -n {group_name} -t service -o svrobject

显示服务组对象

objgroup -L/--list

10.4 时间对象

时间对象主要是定义包过滤规则的生效时间段，默认是一直生效的。但是可以通过配置时


158

间对象来定义规则在一周内和一天内的生效时间段。

时间对象的详细配置步骤如下：

步骤 1：选择“访问控制->时间对象”进入时间对象管理界面。

图10.11 时间对象管理界面

步骤 2：点击【增加】按钮，弹出增加时间对象界面。

图10.12 增加时间对象界面

步骤 3：编辑时间对象参数。


结束

注意事项：如果时间对象被包过滤规则使用，则无法删除。

10.5 包过滤规则

10.5.1 WebUI

包过滤规则使用定义的 IP 对象/组，服务/组，时间对象来定义具体的规则进行访问控制。


159

配置包过滤规则的详细步骤如下：

步骤 1：选择“访问控制->包过滤规则”进入包过滤规则管理界面。

图10.13 包过滤规则管理界面

步骤 2：点击【增加】按钮，弹出增加包过滤规则界面。

图10.14 增加包过滤规则界面

步骤 3：设置包过滤规则参数。

包过滤规则的配置参数说明见下表。

表10.2 包过滤规则配置参数说明

功能描述



160

索引号定义的是该规则在规则库的位置，最前面的先生效。如果

索引是 0 则插入到最后，如果是 1 则插入到最前面，其它规则

的索引后移，以此类推。

是否启用设置是否启用包过滤规则配置：

启用：启用包过滤规则配置；

禁用：禁用包过滤规则配置。

处理动作设置对符合条件的数据包的处理动作：

丢弃：WAF 不转发数据包；

允许：WAF 转发数据包。

源 IP 数据包的源 IP 地址，可以在 IP 对象模块中定义，参见 10.2。

目的 IP 数据包的目的 IP 地址，可以在 IP 对象模块中定义，参见 10.2。

服务对象数据包的传输协议，可以在服务对象模块中定义，参见 10.3。

时间对象数据包发送的时间段，可以在时间对象模块中定义，参见 10.4。


结束

10.5.2 CLI

添加包过滤规则

iprule -A/--add -x/--index {index} -e/--enable {0/1} -j/--drop {0/1} [-i/--inintf

{inintf} -o/--outintf {outintf} -s/--srcip {srcip|group} -d/--dstip {dstip|group}

-p/--service {service|group} -t/--time {timeobj}]

修改包过滤规则


161

iprule -M/--modify -x/--index {index} [-n/--newidx {newindex} -e/--enable {0/1}

-j/--drop {0/1} -i/--inintf {inintf} -o/--outintf {outintf} -s/--srcip {srcip|group}

-d/--dstip {dstip|group} -p/--service {service|group} -t/--time {timeobj}]

删除包过滤规则

iprule -D/--del -x/--index {index}

显示包过滤规则

iprule -L/--list

10.6 地址转换

SNAT 是指在数据包从网卡发送出去的时候，把数据包中的源地址部分替换为指定的 IP，

这样接收方就认为数据包的来源是被替换的那个 IP 的主机。

DNAT，就是指数据包从网卡发送出去的时候，修改数据包中的目的 IP，表现为如果想访

问 A，可是因为网关做了 DNAT，把所有访问 A 的数据包的目的 IP 全部修改为 B，那么，

实际上访问的是 B。

在地址转换中可以实现 DNAT 和 SNAT 的功能。

地址转换配置的详细步骤如下：

步骤 1：选择“访问控制->地址转换”进入地址转换管理页面。

步骤 2：点击【增加】按钮，弹出增加地址转换界面。


162

图10.15 增加地址转换

步骤 3：编辑地址转换参数。

地址转换的配置参数说明见下表。

表10.3 地址转换配置参数说明

功能描述


是否启用设置是否启用地址转换配置：

启用：启用地址转换配置；

禁用：禁用地址转换配置。

处理方式地址转换使用的方式：

DNAT：接收数据包后将 ip 数据包的目的 IP 转换成 NAT 后地

址。

SNAT：发送数据时，将 ip 数据包的源 IP 转换成 NAT 后地址。

源 IP 数据包的源 IP 地址，可以在 IP 对象模块中定义，参见 10.2。

目的 IP 数据包的目的 IP 地址，可以在 IP 对象模块中定义，参见 10.2。


163

服务对象数据包的传输协议，可以在服务对象模块中定义，参见 10.3。

时间对象数据包发送的时间段，可以在时间对象模块中定义，参见 10.4。

NAT 后地址地址转换后的 IP 地址。

NAT 后端口地址转换后的端口。


结束

10.7 黑名单

访问控制的黑名单的配置步骤如下：

步骤 1：选择菜单“访问控制->黑名单”进入黑名单管理界面。

图10.16 黑名单管理界面

步骤 2：点击【增加】按钮，弹出黑名单配置界面。

图10.17 黑名单配置界面

步骤 3：配置黑名单参数，详细参数说明见下表。


164

表10.4 黑名单配置参数说明

功能描述

类型分为 IP 地址和 IP 网段。

检测方向分为来源和目的：

来源：检测到数据包的源 IP 地址为设置的黑名单后执行防护操

作；

目的：检测到数据包的目的 IP 地址为设置的黑名单后执行防护

操作。

IP 地址黑名单的 IP 地址。

备注自定义备注信息。


结束

10.8 白名单

访问控制的白名单的配置步骤如下：

步骤 1：选择菜单“访问控制->白名单”进入白名单管理界面。

图10.18 白名单管理界面

步骤 2：点击【增加】按钮，弹出白名单配置界面。


165

图10.19 黑名单配置界面

步骤 3：配置白名单参数，详细参数说明见下表。

表10.5 白名单配置参数说明

功能描述

类型分为 IP 地址和 IP 网段。

检测方向分为来源和目的：

来源：检测到数据包的源 IP 地址为设置的白名单后直接通过；

目的：检测到数据包的目的 IP 地址为设置的白名单后直接通过。

IP 地址白名单的 IP 地址。

备注自定义备注信息。


结束


166

11 网页防篡改

11.1 防护服务器探测

网页防篡改是一种防止攻击者修改 Web 页面的技术，可以有效的阻止攻击者对网站内容

进行破坏，尤其是在攻击者突破 WAF 的防护后，依然可以有效的保护网站。

当服务器端安装防篡改客户端并且正确配置以后，如果该服务器没有在 WAF 上配置，那

么 WAF 就可以探测到该服务器。

选择“网页防篡改->防护服务器探测”进入防护服务器探测页面，点击【刷新】按钮，

如果有未配置的服务器将会显示在服务器列表中，包括服务器主机名、IP 地址、操作系统

类型和版本号；选择需要配置的服务器，点击【转成配置】可以在弹出的配置对话框中输入

参数直接配置防护服务器。

图11.1 防护服务器探测界面

11.2 防护服务器配置

11.2.1 WebUI

增加网页防篡改配置的方式有两种：

一种使用防护服务器探测功能探测到服务器后“转成配置”，详见章节 11.1。

一种直接在防护服务器配置页面中点击【增加】，在弹出的对话框中手动配置，详细步骤

如下：

步骤 1：选择“网页防篡改->防护服务器配置”进入防护服务器配置管理页面。


167

图11.2 防护服务器配置管理界面

步骤 2：点击【增加】按钮，弹出防护服务器配置界面。

图11.3 防护服务器配置界面

步骤 3：配置防篡改参数。

1) 在第一步配置界面（见图 11.3）中配置防护服务器参数，详细说明见下表。

表11.1 防护服务器参数配置 1

配置项描述

Web 名称自定义 Web 名称。

主机名转成配置：默认显示探测到的防篡改服务器主机名；

手工配置：自定义防篡改服务器配置的主机名，但是不能与其他

主机名重复。


168

IP 地址转成配置：默认显示探测到的防篡改服务器（Web 服务器与防篡

改服务器在同一主机上）的 IP 地址；

手工配置：自定义 Web 服务器的 IP 地址。

是否启用是否启用网页防篡改配置：

是：启用网页防篡改配置；

否：禁用网页防篡改配置。

启用日志是否记录网页防篡改日志：

是：记录网页防篡改日志；

否：不记录网页防篡改日志。

操作系统类型可以是 Windows 或 Linux，和防篡改服务器所在的系统一致

Web 根目录要防护的网站根目录，需要填写绝对路径。

例外目录添加的目录将不会被保护。

例外文件可以是*.txt、*.xml 等文件类型，这些文件类型将不会被保护。

例外进程 Windows 有效，这些进程可以对 Web 根目录下的文件进行修改，

一般是浏览器或杀毒软件。

启用发布服务器是否启用发布服务器：

勾选：启用发布服务器，在列表中选择启用的发布服务器；

不勾选：不启用发布服务器。

2) 点击【下一步】进入第二步配置界面。


169

图11.4 防护服务器第二步配置界面

在第二步配置界面中配置参数，详细配置说明见下表。

表11.2 防护服务器参数配置 2

配置项描述

操作系统类型可以是 Windows 或 Linux，和防篡改服务器所在的系统一致。

Web 服务器 Web 服务器类型。

Web 根目录要防护的网站根目录，需要填写绝对路径。

例外目录/文件添加的目录/文件将不会被保护。

例外文件类型可以是*.txt、*.xml 等文件类型，这些文件类型将不会被保护。

例外进程 Windows 系统下有效，这些进程可以对 Web 根目录下的文件进

行修改，一般是浏览器或杀毒软件。

3) 点击【下一步】进入第三步配置界面，可以在界面中配置关联启用的发布服务器。


170

图11.5 防护服务器第三步配置界面

发布服务器适用于网站有备份目录的情况下，若只安装防护插件，不用勾选发布服务器选

项就能起到防护效果。

步骤 4：点击【完成】按钮保存配置。

结束

注：请确认所有配置正确后再使用。

11.2.2 CLI

查看监控站点

webkeeper -S/--show [-i/--ip {websever ip}]

增加监控站点

webkeeper -C/--create -n/--name {website} -o/--os {0-win 1-linux} -i/--ip

{websever ip} -r/--root {webroot} -b/--back {backdir} [ -s/--status {0/1} -e/--excl

{excldir} -t/--extp {excltype} -p/--expc {exclproc} -d/--dura {duration, def 60s}

-l/--log {0/1}]

编辑监控站点


171

webkeeper -E/--edit -n/--name {website} -i/--ip {websever ip} -o/--os {0-win

1-linux} -r/--root {webroot} -b/--back {backdir} -s/--status {0/1} -e/--excl {excldir}

-t/--extp {excltype} -p/--expc {exclproc} -d/--dura {duration, def 60s} -l/--log {0/1}

删除监控站点

webkeeper -D/--delete -n/--name {website}

显示防篡改服务器

webkeeper -L/--list

11.3 防护服务器监控

选择“网页防篡改->防护服务器监控”可以查看防护服务器状态，当“状态”显示为已

连接时即为配置成功。

图11.6 防护服务器监控界面

11.4 防护客户端下载

选择“网页防篡改->防护客户端下载”进入下载页面，可以根据需要下载安装在不同操

作系统中的网页防篡改客户端。


172

图11.7 防护客户端下载界面

11.5 发布服务器探测

发布服务器将防护网站备份目录作为发布服务器的目录，更新网站时更新到备份目录，由

发布程序将文件推送到被保护的目录。

当服务器端安装发布服务器客户端并且正确配置以后，如果该服务器没有在 WAF 上配置，

那么 WAF 就可以探测到该服务器。

选择“网页防篡改->发布服务器探测”进入发布服务器探测页面，点击【刷新】按钮，

如果有未配置的服务器将会显示在服务器列表中，包括服务器主机名、IP 地址、操作系统

类型和版本号；选择需要配置的服务器，点击【转成配置】可以在弹出的配置对话框中输入

参数直接配置发布服务器。

图11.8 发布服务器探测界面

11.6 发布服务器配置

增加发布服务器配置有两种方式：

一种使用发布服务器探测功能探测到服务器后点击【转成配置】按钮根据界面提示配置发

布服务器。

一种直接在发布服务器配置管理页面中点击【增加】，在弹出的“增加发布服务器”对话

框中手动配置，详细配置步骤如下。

步骤 1：选择“网页防篡改->发布服务器配置”进入发布服务器配置管理页面。


173

图11.9 发布服务器配置管理界面

步骤 2：点击【增加】按钮，弹出发布服务器配置界面。

图11.10 发布服务器配置界面

步骤 3：配置发布服务器参数，详细说明见下表。

表11.3 发布服务器参数配置说明

配置项描述

名称自定义发布服务器配置名称。

主机名转成配置：默认显示探测到的发布服务器主机名；

手工配置：自定义发布服务器配置的主机名，但是不能与其他主

机名重复。

IP 地址转成配置：默认显示探测到的发布服务器（Web 服务器与发布服


174

务器在同一主机上）的 IP 地址；

手工配置：自定义 Web 服务器的 IP 地址。

操作系统类型可以是 Windows 或 Linux，和发布服务器所在的系统一致。

发布服务器根目录防护网站的备份目录。

例外目录该目录中的文件不会更新至被保护的目录。

例外文件可以是*.txt、*.tmp 等文件类型，这些文件类型将不会更新至被

保护的目录。

注：发布服务器根目录的文件必须和防护站点的 Web 根目录文件一致，否则发布程序会将

发布服务器目录的数据同步到防护站点的 Web 根目录下。

步骤 4：点击【确认】按钮保存配置。

结束

11.7 发布服务器状态

选择“网页防篡改->发布服务器状态”进入发布服务器状态显示页面，可以查看所有发

布服务器状态，当发布服务器的“状态”显示为已连接时即为配置成功。

图11.11 发布服务器状态显示界面

11.8 发布客户端下载

选择“网页防篡改->发布客户端下载”进入下载页面，可以根据需要下载安装在不同操

作系统中的发布服务器客户端。


175

图11.12 发布服务器客户端下载界面

12 扫描器

12.1 扫描器概述

扫描器的功能就是扫描目标网站是否存在 Web 漏洞。

本章主要描述扫描器的常用操作内容和方法，具体内容如下表。

表12.1 扫描器常用操作

功能描述

扫描器任务增加、编辑、删除扫描任务信息。

扫描器任务状态查看扫描任务状态。

12.2 扫描任务

扫描任务的详细配置步骤如下：

步骤 1：选择“扫描器->扫描任务”进入扫描任务管理界面。

图12.1 扫描任务管理界面

步骤 2：点击【增加】按钮，弹出增加扫描任务界面。


176

图12.2 增加扫描任务界面

步骤 3：编辑扫描任务参数。

扫描类型分为手工扫描和自动扫描。

手工扫描任务的配置界面见图 12.2。

自动扫描任务的配置界面如下。


177

图12.3 自动扫描任务配置

配置扫描任务参数说明见下表。

表12.2 扫描任务参数配置

配置项描述

扫描任务名称自定义扫描任务名称。

扫描类型分为手工扫描和自动扫描两种类型：

手工扫描：手动启动扫描任务；

自动扫描：根据设置的扫描周期定期自动扫描。

URL 需要进行扫描的 URL。

用户名当扫描的 URL 为需要登录的管理网站时，输入登录用户名。

密码当扫描的 URL 为需要登录的管理网站时，输入登录密码。

深度扫描网站时，可以定义扫描深度，深度越大，扫描的网站页面数


178

越多，范围在 1-20 间。

扫描周期选择的扫描类型为自动扫描时，可以选择扫描周期：每天、每周、

每月。

每天（小时）选择的扫描类型为自动扫描时，设置扫描周期在每天的几时几分

自动进行扫描。

每天（分钟）选择的扫描类型为自动扫描时，设置扫描周期在每天的几时几分

自动进行扫描。


结束

12.3 扫描作业状态

选择“扫描器->扫描作业状态”可以查看扫描作业状态详细信息。

图12.4 扫描任务状态

点击可以停止扫描任务。

点击删除扫描任务状态。

选择扫描任务点击【细节】或双击扫描任务可以查看扫描任务细节信息。


179

13 DDoS 防护

13.1 DDoS 防护概述

本章将讲述 DDoS 防护的各类规则、策略的详细配置信息，具体包括以下内容。

表13.1 Web 防护概述

配置项描述

DDoS 防护策略配置 DDoS 防护策略。

DDoS 防护模板包括模板引用的详细规则。

IP 防护规则配置 IP 防护规则。

TCP 防护规则配置 TCP 防护规则。

UDP 防护规则配置 UDP 防护规则。

HTTP 防护规则配置 HTTP 防护规则。

13.1.1 策略与模板、规则的关系

DDoS 防护功能是通过策略的方式实现的。WAF 面向被防护的对象制定统一的策略，策

略引用 DDoS 防护模板，DDoS 防护模板包含各类防护规则。

DDoS 防护策略、模板和规则的关系图如下：


180

DDoS防护策略

DDoS防护模板

IP

防护规则

HTTP

防护规则

UDP

防护规则

TCP

防护规则

图13.1 DDoS 防护策略、模板、规则关系图

13.1.2 DDoS 防护配置流程

配置 DDoS 防护策略时直接引用服务器对象、IP 对象、DDoS 防护模板、主动防御模板

即可生效。

DDoS 防护的配置流程如下图：


181

配置服务器

是否配置防护规则

配置DDoS防护模板

配置DDoS防护策略

配置防护规则

是

否

图13.2 DDoS 防护配置流程

13.2 DDoS 防护策略

本节主要介绍配置 DDoS 防护策略的详细步骤：

步骤 1：选择“DDoS 防护-> DDoS 防护策略”进入 DDoS 防护策略管理界面，可以

对 DDoS 防护策略执行增加、编辑、删除和刷新操作。

图13.3 DDoS 防护策略管理界面

步骤 2：点击【增加】按钮，弹出增加 DDoS 防护策略界面。


182

图13.4 增加 DDoS 防护策略界面

步骤 3：编辑 DDoS 防护策略。

DDoS 防护策略的详细配置说明见下表。

表13.2 DDoS 防护策略的详细配置说明

配置项描述

名称防护策略名称。

服务器被防护服务器。

源 IP 策略作用的源 IP。

DDoS 防护模板引用 DDoS 防护模板，包括默认模板和自定义模板。

是否启用策略是否启用。

优先级策略匹配的优先级。

步骤 4：点击【保存】按钮保存配置即可生效。

结束


183

13.3 DDoS 防护模板

DDoS 防护模板定义了 DDoS 防护的详细规则，包括 IP 防护规则、TCP 防护规则、UDP

防护规则、HTTP 防护规则。配置 DDoS 防护策略可以多次引用 DDoS 防护模板。

本节主要介绍配置 DDoS 防护模板的详细步骤。

步骤 1：选择“DDoS 防护-> DDoS 防护模板”进入 DDoS 防护模板管理界面，可以

对 DDoS 防护模板执行增加、编辑、删除和刷新操作。

图13.5 DDoS 防护模板管理界面

步骤 2：点击【增加】按钮，弹出增加 DDoS 防护模板界面，分为网络层防护和 HTTP

防护。


184

图13.6 增加 DDoS 防护模板界面


185

图13.7 增加 DDoS HTTP 防护模板界面

步骤 3：编辑 DDoS 防护模板参数。

DDoS 防护模板的详细配置说明见下表。

表13.3 DDoS 防护模板的详细配置说明

配置项描述

名称防护模板名称。

类型防护类型，可选 HTTP 防护模板，网络层防护模板。

简单攻击防护规则引用已配置的简单攻击防护规则。

ICMP Flood 攻击防护规则引用已配置的 ICMP Flood 攻击防护规则。

SYN Flood 攻击防护规则引用已配置的 SYN Flood 攻击防护规则。


186

端口扫描防护规则引用已配置的端口扫描防护规则。

ACK Flood 攻击防护规则引用已配置的 ACK Flood 攻击防护规则。

慢攻击防护规则引用已配置的慢攻击防护规则。

序号攻击防护规则引用已配置的序号攻击防护规则。

Conn Flood 攻击防护规则引用已配置的 Conn Flood 攻击防护规则。

UDP 攻击防护规则引用已配置的 UDP 攻击防护规则。

DNS 攻击防护规则引用已配置的 DNS 攻击防护规则。

CC 攻击防护规则引用已配置的 CC 攻击防护规则。

HTTP 限速规则引用已配置的 HTTP 限速规则。


结束

13.4 IP 防护规则

13.4.1 简单攻击防护规则

本节主要介绍简单攻击防护规则的详细配置步骤。

步骤 1：选择“DDoS 防护->IP 防护规则->简单攻击防护”进入简单攻击防护规则管

理界面，可以对简单攻击防护规则执行增加、编辑、删除和刷新操作。

图13.8 简单攻击防护规则管理界面

步骤 2：点击【增加】按钮，弹出增加简单攻击防护规则界面。


187

图13.9 增加简单攻击防护规则界面

步骤 3：编辑简单攻击防护规则参数。

简单攻击防护规则参数的详细配置说明见下表。

表13.4 简单攻击防护规则的详细配置说明

配置项描述

名称规则名称。

Land 攻击防护是否开启 Land 攻击防护。

Smurf 攻击防护是否开启 Smurf 攻击防护。

Winnuke 攻击防护是否开启 Winnuke 攻击防护。


188

禁止严格源路由选项报文是否开启禁止严格源路由选项报文。

禁止宽松源路由选项报文是否开启禁止宽松源路由选项报文。

禁止 IP 分片是否开启禁止 IP 分片。

分片报文最小长度限制是否开启分片报文最小长度限制，并设置阈值。

重组报文最大长度限制是否开启重组报文最大长度限制，并设置阈值。

处理动作检测到攻击后处理的动作。

日志是否开启日志。

严重级别规则严重级别。

告警设置是否开启邮件或者短信告警。


结束

13.4.2 ICMP Flood 攻击防护规则

本节主要介绍 ICMP Flood 攻击防护规则的详细配置步骤。

步骤 1：选择“DDoS 防护->IP 防护规则->ICMP Flood 攻击防护”进入 ICMP Flood

攻击防护规则管理界面，可以对 ICMP Flood 攻击防护规则执行增加、编辑、删除和

刷新操作。

图13.10 ICMP Flood 攻击防护规则管理界面

步骤 2：点击【增加】按钮，弹出增加 ICMP Flood 攻击防护规则界面。


189

图13.11 增加 ICMP Flood 攻击防护规则界面

步骤 3：配置 ICMP Flood 攻击防护规则参数。

ICMP Flood 攻击防护规则的详细配置说明见下表。

表13.5 ICMP Flood 攻击防护规则的详细配置说明

配置项描述


禁止 ping 是否开启禁止 ping 防护功能。

ping 包最大长度是否开启 ping 包最大长度限制，并设置阈值。

单个 IP ICMP 报文速率限制是否开启单个 IP ICMP 报文速率限制，并设置阈值。

单个 IP ICMP 字节速率限制是否开启单个 IP ICMP 字节速率限制，并设置阈值。




190




结束

13.5 TCP 防护规则

13.5.1 端口扫描防护

本节主要介绍端口扫描防护规则的详细配置步骤。

步骤 1：选择“DDoS 防护->TCP 防护规则->端口扫描防护”进入端口扫描防护规则

管理界面，可以对端口扫描防护规则执行增加、编辑、删除和刷新操作。

图13.12 端口扫描防护规则管理界面

步骤 2：点击【增加】按钮，弹出增加端口扫描防护规则界面。


191

图13.13 增加端口扫描防护规则界面

步骤 3：配置端口扫描防护参数。

端口扫描防护的详细配置说明见下表。

表13.6 端口扫描防护规则的详细配置说明

配置项描述


ACK 扫描检测是否开启 ACK 扫描检测。

SYN|ACK 扫描检测是否开启 SYN|ACK 扫描检测。

RST 扫描检测是否开启 RST 扫描检测。

FIN 扫描检测是否开启 FIN 扫描检测。

Coonect 扫描检测是否开启 Coonect 扫描检测。

单个 IP 扫描速率阀值设置单个 IP 扫描速率阀值。


192






结束

13.5.2 SYN Flood 攻击防护

本节主要介绍 SYN Flood 攻击防护规则的详细配置步骤。

步骤 1：选择“DDoS 防护->TCP 防护规则->SYN Flood 攻击防护”进入 SYN Flood

攻击防护规则管理界面，可以对 SYN Flood 攻击防护规则执行增加、编辑、删除和刷

新操作。

图13.14 SYN Flood 攻击防护规则管理界面

步骤 2：点击【增加】按钮，弹出增加 SYN Flood 攻击防护规则界面。


193

图13.15 增加 SYN Flood 攻击防护规则界面

步骤 3：配置 SYN Flood 攻击防护规则参数。

SYN Flood 攻击防护规则的详细配置说明见下表。

表13.7 SYN Flood 攻击防护规则的详细配置说明

配置项描述


总的半开链接速率阈值设置总的半开链接速率阈值。

单个 IP 半开链速率阀值设置单个 IP 半开链速率阀值。


TCP SYN 代理是否开启 TCP SYN 代理。





194


结束

13.5.3 Conn Flood 攻击防护

本节主要介绍 Conn Flood 攻击防护规则的详细配置步骤。

步骤 1：选择“DDoS 防护->TCP 防护规则->Conn Flood 攻击防护”进入 Conn Flood

攻击防护规则管理界面，可以对 Conn Flood 攻击防护规则执行增加、编辑、删除和刷

新操作。

图13.16 Conn Flood 攻击防护规则管理界面

步骤 2：点击【增加】按钮，弹出增加 Conn Flood 攻击防护规则界面。


195

图13.17 增加 Conn Flood 攻击防护规则界面

步骤 3：配置 Conn Flood 攻击防护规则参数。

Conn Flood 攻击防护规则的详细配置说明见下表。

表13.8 Conn Flood 攻击防护规则的详细配置说明

配置项描述


总的并发链接数量限制是否开启总的并发链接数量限制，并设置阈值。

单个 IP 并发链接数量限制是否开启单个 IP 并发链接数量限制，并设置阈值。

总的新建链接速率限制是否开启总的新建链接速率限制，并设置阈值。

单个 IP 新建链接速率限制是否开启单个 IP 新建链接速率限制，并设置阈值。

总量限制优先是否开启总量优先限制。






结束

13.5.4 ACK Flood 攻击防护

本节主要介绍 ACK Flood 攻击防护规则的详细配置步骤。

步骤 1：选择“DDoS 防护->TCP 防护规则->ACK Flood 攻击防护”进入 ACK Flood

攻击防护规则管理界面，可以对 ACK Flood 攻击防护规则执行增加、编辑、删除和刷


196

新操作。

图13.18 ACK Flood 攻击防护规则管理界面

步骤 2：点击【增加】按钮，弹出增加 ACK Flood 攻击防护规则界面。

图13.19 增加 ACK Flood 攻击防护规则界面

步骤 3：配置 ACK Flood 攻击防护规则参数。

ACK Flood 攻击防护规则的详细配置说明见下表。

表13.9 ACK Flood 攻击防护规则的详细配置说明

配置项描述


单个链接重复 ACK 速率阀值是否开启单个链接重复 ACK 速率阀值，兵设置阈值。

单个链接错误 ACK 速率阀值是否开启单个链接错误 ACK 速率阀值，兵设置阈值。



197





结束

13.5.5 序号攻击防护

本节主要介绍序号攻击防护规则的详细配置步骤。

步骤 1：选择“DDoS 防护->TCP 防护规则->序号攻击防护”进入序号攻击防护规则

管理界面，可以对序号攻击防护规则执行增加、编辑、删除和刷新操作。

图13.20 序号攻击防护规则管理界面

步骤 2：点击【增加】按钮，弹出增加序号攻击防护规则界面。

图13.21 增加序号攻击防护规则界面


198

步骤 3：配置序号攻击防护规则参数。

序号攻击防护规则的详细配置说明见下表。

表13.10 序号攻击防护规则的详细配置说明

配置项描述


单个链接重复 SEQ 速率门限是否开启单个链接重复 SEQ 速率门限，并且设置阈值。

单个链接乱序 SEQ 速率门限是否开启单个链接乱序 SEQ 速率门限，并且设置阈值。






结束

13.5.6 慢攻击防护

本节主要介绍慢攻击防护规则的详细配置步骤。

步骤 1：选择“DDoS 防护->TCP 防护规则->慢攻击防护”进入慢攻击防护规则管理

界面，可以对慢攻击防护规则执行增加、编辑、删除和刷新操作。

图13.22 慢攻击防护规则管理界面

步骤 2：点击【增加】按钮，弹出增加慢攻击防护规则界面。


199

图13.23 增加慢攻击防护规则界面

步骤 3：配置慢攻击防护规则参数。

慢攻击防护规则的详细配置说明见下表。

表13.11 慢攻击防护规则的详细配置说明

配置项描述


小窗口上限设置小窗口上限阈值。

小窗口持续时间设置小窗口持续时间阈值。






结束


200

13.6 UDP 防护规则

13.6.1 UDP 攻击防护

本节主要介绍 UDP 攻击防护规则的详细配置步骤。

步骤 1：选择“DDoS 防护->UDP 防护规则->UDP 攻击防护”进入 UDP 攻击防护规

则管理界面，可以对 UDP 攻击防护规则执行增加、编辑、删除和刷新操作。

图13.24 UDP 攻击防护规则管理界面

步骤 2：点击【增加】按钮，弹出增加 UDP 攻击防护规则界面。

图13.25 增加 UDP 攻击防护规则界面

步骤 3：配置 UDP 攻击防护规则参数。

UDP 攻击防护规则的详细配置说明见下表。

表13.12 UDP 攻击防护规则的详细配置说明


201

配置项描述


单个 IP 无载荷报文速率阀值是否开启单个 IP 无载荷报文速率阀值，并设置阈值。

单个 IP 报文速率限制（PPS）是否开启单个 IP 报文速率限制（PPS），并设置阈值。

单个 IP 字节速率限制（BPS）是否开启单个 IP 字节速率限制（BPS），并设置阈值。






结束

13.6.2 DNS 攻击防护

本节主要介绍 DNS 攻击防护规则的详细配置步骤。

步骤 1：选择“DDoS 防护->TCP 防护规则->DNS 攻击防护”进入 DNS 攻击防护规

则管理界面，可以对 DNS 攻击防护规则执行增加、编辑、删除和刷新操作。

图13.26 DNS 攻击防护规则管理界面

步骤 2：点击【增加】按钮，弹出增加 DNS 攻击防护规则界面。


202

图13.27 增加 DNS 攻击防护规则界面

步骤 3：配置 DNS 攻击防护规则参数。

DNS 攻击防护规则的详细配置说明见下表。

表13.13 DNS 攻击防护规则的详细配置说明

配置项描述


总量查询速率限制是否开启总量查询速率限制，并设置阈值。

单 IP 的查询速率限制是否开启单 IP 的查询速率限制，并设置阈值。

总量限制优先是否开启总量限制优先策略。






203


结束

13.7 HTTP 防护规则

13.7.1 HTTP 限速规则

本节主要介绍 HTTP 限速规则的详细配置步骤。

步骤 1：选择“DDoS 防护->HTTP 防护规则->HTTP 限速规则”进入 HTTP 限速规则

管理界面，可以对 HTTP 限速规则执行增加、编辑、删除和刷新操作。

图13.28 HTTP 限速规则管理界面

步骤 2：点击【增加】，弹出增加 HTTP 限速规则界面。

图13.29 增加 HTTP 限速规则界面 1

步骤 3：输入规则名称后点击【确认】按钮，成功新增保存 HTTP 限速规则，同时在界

面中显示 HTTP 限速规则列表。可以增加、编辑、删除和刷新 HTTP 限速规则条目。


204

图13.30 增加 HTTP 限速规则界面 2

步骤 4：配置 HTTP 限速条目。

1) 点击【增加】按钮，弹出增加 HTTP 限速条目界面。


205

图13.31 增加 HTTP 限速条目界面

2) 配置 HTTP 限速条目参数。

HTTP 限速条目的详细配置说明见下表。

表13.14 HTTP 限速条目的详细配置说明

配置项描述

防护站点引用需要防护的站点。

URL 引用需要防护的 URL。

优先级条目匹配的优先级。





全局限速全局请求速率阀值（个/秒）：

Get 请求：全局 Get 请求速率阀值。

Post 请求：全局 Post 请求速率阀值。

其他请求：全局其他类型请求速率阀值。

单 IP 限速单 IP 请求速率阀值（个/秒）：

Get 请求：单个 IP 的 Get 请求速率阀值。

Post 请求：单个 IP 的 Post 请求速率阀值。

其他请求：单个 IP 的其他请求速率阀值。

单连接限速单连接请求速率阀值（个/秒）：

Get 请求：单连接的 Get 请求速率阀值。


206

Post 请求：单连接的 Post 请求速率阀值。

其他请求：单连接的其他请求速率阀值。

3) 点击【保存】按钮保存 HTTP 限速条目配置。

步骤:5：点击【保存】按钮保存 HTTP 限速规则配置。

结束

13.7.2 CC 攻击防护

本节主要介绍 CC 攻击防护规则的详细配置步骤。

步骤 1：选择“DDoS 防护->HTTP 防护规则->CC 攻击防护”进入 CC 攻击防护规则

管理界面，可以对 CC 攻击防护规则执行增加、编辑、删除和刷新操作。

图13.32 CC 攻击防护规则管理界面

步骤 2：点击【增加】，弹出增加 CC 攻击防护规则界面。

图13.33 增加 CC 攻击防护规则界面 1

步骤 3：输入规则名称后点击【保存】按钮，新增保存 CC 攻击防护规则，同时在界面

中显示 CC 攻击防护条目列表。可以增加、编辑、删除和刷新 HTTP 限速规则条目。


207

图13.34 增加 CC 攻击防护规则界面 2

步骤 4：配置 CC 攻击防护条目。

1) 点击【增加】按钮，弹出增加 CC 攻击防护条目界面。

图13.35 增加 CC 攻击防护条目界面

2) 配置 CC 攻击防护条目参数。

CC 攻击防护条目的详细配置说明见下表。


208

表13.15 CC 攻击防护条目的详细配置说明

配置项描述

HTTP 站点引用需要防护的站点。

URL 引用需要防护的 URL。

真实浏览器验证超时时间是否开启真实浏览器验证超时时间，并设置阈值。

单 IP 验证失败速率阈值是否开启单 IP 验证失败速率阈值，并设置阈值。

优先级条目匹配的优先级。





3) 点击【保存】按钮保存 CC 攻击防护条目配置。

步骤 4：点击【保存】按钮保存 CC 攻击防护规则配置。

结束

14 日志系统

14.1 日志系统概述

本章主要介绍了当前系统日志的配置及查看。

表14.1 日志系统配置和查看

功能描述


209

日志配置介绍远程日志，本地日志及审计日志配置的启用状态。

备份日志介绍日志的手工备份及自动备份的方法。

审计日志介绍审计日志的详细查看使用方法。

访问日志介绍访问日志的详细查看使用方法。

攻击日志介绍攻击日志的详细查看使用方法。

DDoS 日志介绍 DDoS 日志的详细查看使用方法。

网页防篡改日志介绍网页防篡改日志的详细查看使用方法。

14.2 备份日志

备份日志主要分为手工备份和自动备份。

查看备份日志

选择“日志系统->备份日志”,进入备份日志管理界面，可以看到已备份的文件。

图14.1 备份日志管理界面

手工备份

选择“日志系统->备份日志->手工备份”,进入备份日志界面点击【手工备份】按钮，会

备份一个当前时间点名称的 db 文件并自动弹出备份成功提示。

图14.2 手工备份

自动备份


210

1) 选择“日志系统->备份日志->自动备份”,进入备份日志界面。

2) 点击【自动备份】按钮，弹出配置自动备份框。

3) 编辑自动备份的参数：是否启用自动备份、自动备份周期（每月、每周、每天）、

是否自动清除备份文件。


图14.3 自动备份

备份日志恢复

1) 选择“日志系统->备份日志->选中一个文件->恢复”,进入备份日志管理界面。

2) 选中一个备份文件。

图14.4 备份日志界面

3) 点击【恢复】按钮弹出备份日志恢复确认界面。

图14.5 备份日志恢复

4) 在备份日志恢复确认界面中点击【恢复】按钮确认将配置恢复至备份点。


211

选中多个文件进行备份日志恢复的时候默认为从上到下的第一个文件进行恢复。

备份日志删除

1) 选择“日志系统->备份日志->选中一个或多个文件->删除”,进入备份日志界面。

2) 选择一个或多个备份文件点击【删除】按钮后弹出确认界面。

图14.6 备份日志删除

3) 点击【OK】删除日志。

备份文件导出

1) 选择“日志系统->备份日志”，进入备份日志界面。

2) 选中备份文件点击【导出】按钮，导出 db 文件到本地。

图14.7 备份文件导出

14.3 审计日志

审计日志主要用来记录操作员的登陆方式，源 IP 地址，操作内容以及进行该操作内容的

具体时间，系统支持分页查看，并按照时间先后自动排序。


212

分页查看审计日志

选择“日志系统->审计日志”,进入审计日志界面，可翻动页数查询。

图14.8 审计日志

条件查询

点击【条件】按钮更精确的配置查询审计日志。

图14.9 条件查询

查看审计日志细节

选择“日志系统->审计日志->选择一个文件双击或点击【细节】按钮”查看日志详细

信息，包括操作时间、操作员角色、操作员、登录方式、源 IP、模块标识、日志级别


213

和操作内容等信息。

图14.10 审计日志细节

审计日志导出

选择“日志系统->审计日志->导出”,导出审计日志到本地。

图14.11 审计日志导出


214

14.4 访问日志

访问日志主要用来记录访问发生的日期和时间，源 IP 和源端口，站点域名/IP，目的

URL，参数，系统支持分页查看，并按照时间先后自动排序。

分页查看访问日志

选择“日志系统->访问日志”,进入访问日志界面，可翻动页数查询。

图14.12 访问日志界面

条件查询

点击【条件】按钮更精确的配置查询访问日志。


查看访问日志细节


215

选择“日志系统->访问日志->选择一个文件双击或点击【细节】按钮”查看日志详细

信息，包括访问时间、访问者、访问目标、访问方法、数据大小、国家、省份、城市、

区域等信息。

图14.14 访问日志细节

访问日志导出

选择“日志系统->访问日志->导出”,导出访问日志到本地。


216

图14.15 访问日志导出

14.5 攻击日志

攻击日志主要用来记录各类攻击发生的日期和时间，源 IP 和源端口，站点域名/IP，目的

URL，参数，方法，攻击类型和攻击域，系统支持分页查看，并按照时间先后自动排序。


选择“日志系统->攻击日志”,进入攻击日志界面，可翻动页数查询。

图14.16 攻击日志界面


217

条件查询

点击【条件】按钮更精确的配置查询攻击日志。


查看攻击日志细节

选择“日志系统->攻击日志->选择一个文件双击或点击【细节】按钮”查看日志详细

信息，包括拦截时间、攻击者、攻击目标、攻击类型、攻击域、攻击方法、严重级别、

Web 防护策略、Web 防护规则、规则号、处理动作、目的 URL、参数、Post 参数、

Referer、Useragent、国家、省份、城市、区域等信息。


218

图14.18 攻击日志细节

攻击日志导出

选择“日志系统->攻击日志->导出”,导出攻击日志到本地。


219

图14.19 攻击日志导出

14.6 DDoS 日志

DDoS 日志主要用来记录 DDoS 攻击发生的日期和时间，入侵 IP，入侵端口，被攻击

IP，被攻击端口，系统支持分页查看，并按照时间先后自动排序。


选择“日志系统->DDoS 日志”,进入 DDoS 日志界面，可翻动页数查询。


220

图14.20 DDoS 日志

条件查询

点击【条件】按钮更精确的配置查询 DDoS 日志。


查看 DDoS 日志细节

选择“日志系统->DDoS 日志->选择一个文件双击或点击【细节】按钮”查看日志详

细信息，包括拦截时间、攻击者、攻击目标、DDoS 防护策略、DDoS 防护规则、处理

动作、严重级别、协议类型、攻击类型、国家、省份、城市、区域等信息。


221

图14.22 DDoS 日志细节

DDoS 日志导出

选择“日志系统->DDoS 日志->导出”,导出 DDoS 日志到本地。


222

图14.23 DDoS 日志导出

14.7 网页防篡改日志

网页防篡改日志主要用来记录网页篡改发生的日期和时间，Web 名称，Web 服务器，

进程名，文件名，攻击类型，系统支持分页查看，并按照时间先后自动排序。

图14.24 网页防篡改日志

15 分析系统

选择“分析系统->生成报表”,进入生成报表界面，可以设置报表类型、开始和结束时间

导出报表。


223

图14.25 生成报表

16 系统诊断

16.1 系统诊断概述

系统诊断提供了各种使用的工具帮助定义问题。

本章介绍了诊断工具的使用方法，利用远程连接和 SSH 远程连接取得技术支持的系统诊

断。

表15.1 系统诊断介绍

功能描述

远程支持可以发送给支持人员请求远程支持。

SSH 远程连接远程技术人员可以对 WAF 进行远程调试和排除错误。

16.2 远程支持

当系统出现问题时，可以使用下面页面产生诊断信息，然后发送给技术支持人员进行分析。

图15.1 远程支持


224

16.3 SSH 远程连接

启用之后配置映射端口和公网地址，便于技术支持人员对 WAF 进行远程调试和排错。

图15.2 SSH 远程连接

附录 A：缩略语

WAF Web Application Firewall Web 应用防护系统

DNS Domain Name System 域名系统

SNMP Simple Network Management Protocol 简单网络管理协议

ARP AddressResolutionPro tocol 地址解析协议

DDoS Distributed Denial of Service 分布式拒绝服务攻击

CSRF Cross-site request forgery 跨站请求伪造

CSS/XSS Cross Site Scripting 跨站脚本攻击

HA High Availability 高可用性

HTTP Hypertext Transfer Protocol 超文本传输协议

IP Internet Protocol 网络之间互连的协议

MIME Multipurpose Internet Mail Extensions 功能网络邮件扩充服务


225

URL Uniform Resource Locator 统一资源定位符

附录 B：出厂参数

B.1 Web 配置管理员初始账号

用户名 admin

密码 admin

B.2 Web 帐户管理员初始账号

用户名 account

密码 account

B.3 Web 审计管理员初始账号

用户名 audit

密码 audit

B.4 串口管理员初始账号

用户名 admin

密码 admin

Documents

东软 NetEye Web 应用防护系统 使用手册 - Neusoftneteye.neusoft.com/upload/files/20191219/1576739474838.pdf · 东软NetEye Web 应用防护系统用户手册 3 3.5 系统功能介绍

东软 NetEye Web 应用防护系统使用手册 - Neusoftneteye.neusoft.com/upload/files/20191219/1576739474838.pdf · 东软NetEye Web 应用防护系统用户手册 3 3.5 系统功能介绍