Imperva WAF实施方案 - 20150715 - 图文

IMPERVA WAF

实 施 方 案

2015年7月15日

目录

1 2

项目概述 ................................................................................................................................... 3 方案设计 ................................................................................................................................... 3 2.1 设备简介 ....................................................................................................................... 3 2.2 WEB安全 ...................................................................................................................... 4 部署环境 ................................................................................................................................... 4 网络环境准备 ........................................................................................................................... 5 实施人员安排 ........................................................................................................................... 7 实施计划 ................................................................................................................................... 7 实施详细配置 ........................................................................................................................... 8 7.1 设备初始化 ................................................................................................................... 8 7.2 安装补丁 ..................................................................................................................... 13 7.3 ADC更新 ..................................................................................................................... 15 7.4 保护站点建立 ............................................................................................................. 17 7.5 策略设置 ..................................................................................................................... 19 7.6 特征模型学习 ............................................................................................................. 26 7.7 日志查看 ..................................................................................................................... 27 7.8 系统状态查看 ............................................................................................................. 28 7.9 邮件发送告警 ............................................................................................................. 29

7.9.1 系统配置 ......................................................................................................... 29 7.9.2 邮件外发操作Action Sets配置 ..................................................................... 30 7.9.3 报告外发配置 ................................................................................................. 31

3

4 5 6 7

1 项目概述

互联网上攻击种类日益繁多，当WEB应用越来越为丰富的同时，WEB应用也逐渐成为主要攻击目标，SQL注入、跨站脚本、爬虫、网页篡改和挂马、目录遍历等应用层攻击手段威胁着网页应用的安全。

2 方案设计

2.1 设备简介

Imperva SecureSphere?硬件平台提供了卓越的性能和高可靠性，适合于各种网络环境。硬件平台提供Fail Open的网卡，可在出现故障时快速实现故障切换。设备还提供带外管理接口，提高了管理的安全性。前面板的各种提示信息也方便用户快速了解设备运行状态。用户可以根据需要监测的数据库流量来选择合适的硬件网关。

此次项目选择的是X2500安全网关：

规格 容错性 吞吐量 等待时间 接口 接口类型 最大网络段数 故障直通（仅供桥接） 硬盘 内存 串行端口 USB 端口 SSL 加速 光纤通道、LOM 或 HSM 电源 交流电源 典型耗电量 典型热输出

X2500 两个热拔插硬盘、电源和风扇 500 Mbps 亚毫秒 6 x 10/100/1000 Mbps （最多 4 个光纤接口） 铜线或光纤 SX (2) 桥接器；(5) 代理，非在线 2 个 bypass 网段 2 个 500 GB 热拔插硬盘 4 GB RJ45 连接器 2 可选 可选 双电源 400 W 100-240V，50-60Hz 190 W 650 BTU／小时 外形 尺寸 重量 工作环境 存放环境 安全机构认证 2U 17.4 x 20.1 x 3.46 英寸 443 x 512 x 88 毫米 50.44 磅（22.9 公斤） 温度：5° - 40° C 相对湿度：20% - 90% 温度：0° - 70° C 相对湿度：20% - 90% CE/FCC/cTUVus/VCCI 2.2 WEB安全

WEB安全防护使用2台X2500硬件型号的网关。两台WAF X2500均采用透明桥模式部署。根据产生的告警，保护网站安全。

透明桥模式部署具有容易部署，对现有网络拓扑影响小，设备支持软硬件BYPASS，即使当硬件损坏或关闭电源时，也不影响业务。等一系列优点。

3 部署环境

下图采用透明桥的部署方式进行部署：

拓扑说明：

1） 采用透明桥接的方式对WEB网站进行防护；Imperva X2500接在网页应用服务器之

前；

2） 采用独立的管理接口，可以放置在任何的管理网段，例如带外管理维护网段；

3） X2500可检测和保护500M 网页流量；

4） 系统可无缝结合企业现有的安全事件管理平台；

4 网络环境准备

为了保证实施可以顺畅进行，在实施开始之前，需要用户进行以下配合工作： 1. 请确认设备上架位置和空间，为标准2U设备，冗余电源设计，保证有两路电源。 2. 请告知要保护的Web服务器的台数以及IP地址、服务端口信息；

X2500_1 受保护的Web服务器1 IP地址和掩码 IP： Port: 是否启用SSL： IP： Port: 是否启用SSL： IP： Port: 是否启用SSL： 备注 受保护的Web服务器2 受保护的Web服务器5

X2500_2 受保护的Web服务器1 IP地址和掩码 IP： Port: 是否启用SSL： IP： Port: 是否启用SSL： IP： Port: 是否启用SSL： 备注 受保护的Web服务器2 受保护的Web服务器3

3. 如果要保护的Web服务有HTTPS服务需要保护，请提供Server的PEM格式的公钥和

私钥，或者PKCS12格式的证书；

4. 如果采用旁路监控部署方式，在连接Web服务器的交换机上做端口镜像（镜像的目的端

口要是RJ45端口），将Web服务器的进出流量通过端口镜像复制出来，接Imperva的WAF的监控端口。如果有负载均衡设备，可以在负载均衡设备之前的交换机上面做镜像，把访问整个服务器组的流量镜像到Imperva的WAF上。镜像端口的流量需要双向流量。

5. 请分配一个管理的IP地址给SecureSphere，用于远程的管理，远程管理要用到8083

（HTTPS）和22（SSH）端口。该地址需要可以访问互联网权限，用于定期更新最新的特征代码信息。 设备名称 机柜位置 系统版本 设备型号 办公网段管理地址 IP： MASK： GW： DNS： IP： MASK： GW： DNS： 运行模式 SecureSphere10.5 X2500 SecureSphere10.5 X2500

6. 如果上面分配的IP地址有访问限制，需要开放以下权限：

源地址 管理员 目的地址 协议/端口 动作 允许 备注 允许管理员通过SSH和Https管理端口管理SecureSphere设备 SecureSphere管理服8083 22 务器地址 Ntp端口 Snmp端口

7. 如果需要设备时钟和企业NTP服务器时钟同步，需要提供以下信息：

区域 ntp服务器IP地址 5 实施人员安排

甲方人员： 角色 乙方人员： 角色 项目实施人员 姓名 焦远鹏 电话 18501799205 职责说明 在本次项目中，担任技术实施人员，负责项目具体实施； 姓名 电话 职责说明 备注 备注

厂商工程师： 角色 项目顾问 姓名 电话 职责说明 在本次项目中，担任技术负责， 负责项目总体规划、项目实施，技术支持 备注 6 实施计划

序号 1 2 3 实施内容 设备部署规划 IP信息规划 端口开放准备 内容描述 设备放置位置、布线等 IP地址分配、防护服务器地址信息获取 开放waf相关端口，如22、8083等 0.5 0.5 实施时间 实施人员 实施日期 备注 4 5 6 7 8 WAF初始化 WAF上线测试 MX上线调试 被保护服务器信息录入 动态模型学习 设备初始化，设置IP、初始密码、工作模式等信息 WAF上架，保证业务不受影响 License激活、管理测试、服务器状态等 录入被保护的服务器IP、端口等 对用户的访问习惯进行学习 根据具体日志信息进行策略微调，减少因为编程不规范等导致误拦截 继续对用户的访问习惯进行学习 根据具体日志信息进行策略微调，减少因为编程不规范等导致误拦截 对工程师进行WAF培训 项目完结验收 0.5 0.5 0.5 10-15 9 策略微调 1 10 动态模型学习 10-15 11 12 13 策略微调 培训 验收 1 7 实施详细配置

7.1 设备初始化

设备在全新安装完成后，需要进行初始化。此次系统采用one BOX的方式进行运行。

1） 刚刚新安装的系统启动完成后，将看到下面的提示页面

2)用户名和密码均输入secure可进入设备初始化向导

这里我们选择2）OneBox，将设备初始化为OneBox工作模式，即管理服务器和网关在一个设备上

3）系统提示是否要修改默认管理口对应的接口，缺省为eth0。 输入n

4)输入管理接口的地址和掩码 10.1.130.2/27

5) 提示是否要设定IPv6地址和LAN接口（备用管理口），均回答n

6）设置缺省网关和DNS

默认网关：10.1.130.30

7）设置各个账号的密码

? root账号，linux系统超级管理员账号 ? bootloader账号，liunx系统引导账号

? secure账号，Imperva系统服务和内部通讯账号 ? system账号，Imperva后台管理服务, Oracle账号

? 远程账号，默认Imperva不允许使用root远程ssh登陆设备，必须设置一个远

程账号进行登陆。该账号的用户名可以任意指定，第一次登陆时需要修改密码。

8)设置设备主机名

9)选择网关的工作模式 （Sniffing）

10）选择时区

选择5-?9?1?yes

11）按Enter回车，开始初始化

Onebox模式初始化设备需要初始化管理服务器（包含后台Oracle数据库）。因此，整个初始化过程在进入impctl boot...阶段后会需要等待40分钟左右。请耐心等待。

7.2 安装补丁

1）获取补丁

Imperva设备的补丁和设备的安装镜像获取的方法相同，可以到Imperva官方FTP上下载。

2）上传补丁

缺省系统不允许使用root账号ssh登陆。这里需要使用之前初始化过程中新建的远程账号impadmin来登陆。而远程账号第一次登陆时需要修改密码，大家需要在完成修改密码后，才能成功登陆。

上传工具比较多，可以采用sftp、scp等工具上传。

3）安装补丁

进入上传补丁的目录，为补丁文件添加可执行权限。命令如下： #cd /home/remoteadmin

#chmod +x SecureSphereV10.0.0-x86_64-Patch4_16.x

#./ SecureSphereV10.0.0-x86_64-Patch4_16.x 补丁安装完成后，会要求重启服务器

4）确认补丁

可以在命令行下输入下面的命令，查看补丁的安装情况： cat /opt/SecureSphere/etc/patch_level

License 导入

系统在第一次登陆时，需要重置admin的密码，以及导入License。

7.3 ADC更新

ADC （Application Defence Center）即：应用防护中心，是一个国际知名的安全研究机构，他们持续调查全球各地报告的新应用漏洞，分析来自各种真实漏洞研究来识别最新威胁。

Imperva设备可以手动或自动更新ADC库，手动更新需要通过web界面登录，点击“Admin”—>“ADC”—>“Download”下载最新的ADC库文件，文件大概6M左右，然后再通过“浏览”选择下载的文件，点击“upload”上传最新的ADC库文件，需要将近10分钟时间。

下载ADC内容：

上传ADC更新:

上传完后，检查是否已经更新至最新：

7.4 保护站点建立

保护站点的建立是WAF中最重要的部分，如果不建立，所需要保护的站点都不会进行保护。其中非常重要的三个关键因素：IP、端口、字符集。

1）建立sites

2） 建立Server Group

3） 输入IP地址

注意：Server Group添加完成后，默认的Operation Mode为Simulation方式，即模拟运行，不会做任何真实的阻断，但是会像真实运行模式一下生成各种告警日志。

最后点击save按钮保存 4） 建立Service

5） 端口、字符集设置

条件，最好跟WAF安全策略一一对应。

7.5 策略设置

默认策略

由于考虑到新接入应用系统网络中，建议采用默认策略进行对WEB应用服务器防护。

其具体默认策略如下：

具体策略清单如下： 服务器层安全策略（IP层） 策略类型 Firewall Policy Network Validation Stream Signature 策略名称 Firewall Policy 备注和说明 基于端口的访问控制规则 通用网络协议校验的规则，例如防止LAND攻击、网络碎片等 Recommended Signatures Policy for General 通用网络协议特征签名规Applications 则，例如防止网络蠕虫等 Protocol Network Protocol Violations Policy

服务层安全策略（HTTP/s协议层） 策略类型 HTTP Protocol Signatures Web服务关联验证 Web Service Custom Web Service Custom 策略名称 Recommended Signatures Policy for Web Applications Web关联策略 Apache Expect Header XSS Automated Site Reconnaissance/Access 备注和说明 Http协议特征签名规则 Web关联策略 自动网站探查发现 Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Automated Vulnerability Scanning CVE-2010-3332 ASP Parameter Padding Oracle Brute Force CVE-2010-3332 ASP URL Padding Oracle Brute Force CVE-2010-4437:Oracle WebLogic Session Fixation CVE-2011-3190: Apache Tomcat AJP Message Injection Authentication Bypass CVE-2011-3192:Apache httpd Range Remote DOS CVE-2011-3368: Apache Malformed URI CVE-2011-3829: Support Incident Tracker Path Disclosure(and others) CVE-2011-3833: Support Incident Tracker File Upload PHP CE(and others) CVE-2011-4898: WordPress wp-admin/setup-config.php MySQL Credentials Disclosure(and others) CVE-2011-5057: Apache Struts Session Tampering Security Bypass Vulnerability CVE-2012-0053: Apache httpd Cookie Exposure CVE-2012-0297: Symantec Web Gateway ipchange.php Command Injection CVE-2012-0911: Tiki Wiki CMS Groupware unserialize PHP CE CVE-2012-1670: PHP Grade Book Unauthenticated SQL Database Export CVE-2012-1823: PHP-CGI Query String Parameter Injection CVE-2012-1902: phpMyAdmin show config errors.php Path Disclosure CVE-2012-4255: MySQLDumper Multiple Script Direct Request Information Disclosure (and others) CVE-2012-4926: ImgPals Photo Host Admin Account Disactivation Cross Site Request Forgery Directory Traversal (In Cookies/Parameters Value) Directory Traversal (In URL) Directory Traversal (In URL) - Basic Rule DoS Mitigation - Resource Response Time (Template Policy) DoS Mitigation - Resource Size (Template Policy) File Download Injection 自动漏洞扫描发现 ASP漏洞策略 ASP漏洞策略 Oracle漏洞策略 Apache 漏洞策略 Apache 漏洞策略 Apache 漏洞策略 漏洞策略 漏洞策略 漏洞策略 Apache漏洞策略 Apache漏洞策略 漏洞策略 漏洞策略 漏洞策略 漏洞策略 漏洞策略 漏洞策略 漏洞策略 CSRF规则 防止目录穿越规则 防止目录穿越规则 防止目录穿越规则 Dos缓解策略-资源响应时间 Dos缓解策略-资源大小 文件下载注入

Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Fullwidth/Halfwidth Unicode Decoding HTTP Response Splitting Vulnerability IE Discussion Bar- Access to Internal Information IIS Code Upload INJ-18148: WebCalendar Pre-Auth Remote Code Injection INJ-18164: OpenCart Path Disclosure INJ-18742: Discuz Information Disclosure Java Double Precision Non Convergence DoS MSSQL Data Leakage through Errors Malformed HTTP Attack (Non compatible HTTP Results Error code) OS Command Injection PHP Double Precision Non Convergence DoS Plain Vanilla Scanner Detection Suspicious Response Code System32 Access ThreatRadar - Anonymous Proxies 全角半角编码识别 HTTP快速响应攻击 WebCalendar预授权注入 OpenCart 机密路径 论坛机密信息 畸形 HTTP 攻击（不兼容的 HTTP 结果错误代码） OS命令注入 纯漏洞扫描侦测 出现大量可以Http响应代码侦测 系统目录访问侦测 信誉检查--威胁雷达 发现匿名代理 信誉检查--威胁雷达 发现恶意源地址 信誉检查--威胁雷达 发现钓鱼网站链接 信誉检查--威胁雷达 发现Tor网络IP 信誉检查--威胁雷达 SQL注入 WEB跨权限文件访问 防止eMail地址爬取 Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom ThreatRadar - Malicious IPs Web Service Custom ThreatRadar - Phishing URLs Web Service Custom ThreatRadar - TOR IPs Web Service Custom Web Service Custom Web Service Custom Web Service Custom Web Service Custom ThreatRadar - SQL Injection IPs WEB MISC Unauthorized File Access WEB-FRONTPAGE- External Access to Internal Information WEB-FRONTPAGE-Access to Sensitive Internal Information eMail Hoarding

应用层安全策略 策略类型 策略名称 备注和说明 Web Profile Web Profile Policy 基于网页特征模型的策略，可检测超出网页正常行为基线的异常网页访问行为 网页蠕虫的检测规则 Web Worm 自定义策略 Web Worm Policy 在上述默认策略无法满足用户需求或者测试需求的时候，可以通过启用更多策略模板中的策略或者自定义策略来完成。

1）启用其他策略模板

在Imperva提供策略模板中还提供了信用卡信息泄露的策略模板，默认没有启用。我们可以直接进入Policy > Security，选择对应的安全策略，然后启用。

查看策略模板，如果有需要可以进行修改：

应用到指定的保护对象上

2）完全自定义策略

通常在进行WEB防护时，都会遇到一些非常棘手的事情，可能会遇到WAF对少数的攻击没有产生告警或者阻拦，那么这时就需要完全手动添加一条策略。

首先需要分析其具体攻击类型，确定属于哪一类攻击，这里以特征签名为例。例如：参数输入中包含“cmd.exe”.

新建特征签名组：

【Main】?【Setup】?【Signature】?【Create Manual Dictionary】

填写相关信息：

建立特征签名：

填写特征签名具体的特征：

建立完成后会出现一条特征签名：

新建安全策略：

【Main】?【Policies】?【Security】?【+】?【WEB Application】

填写策略名称及选择策略类型：

设置安全策略条件，由于基于特征签名的策略，那么就只需要选择signatures这个条件，如果需要添加其他条件，那么只需将绿色的箭头移上即可添加：

7.6 特征模型学习

Imperva SecureSphere的防护的一个创新是基于应用层交互内容的安全检测。在这个层次建立了非常深入复杂的策略。即，对访问的URL、动态页面传递参数、Cookie传递的参数等进行监测，对比正常的访问行为基线；如明显偏离正常行为模式则可产生告警和即时阻断。策略的产生主要由设备的自学习功能完成，无需人工干预，而且还可以根据Web应用的变化进行自适应调整。同时，管理人员还可以进行微调，以得到最优的“充分必要”的策略。 Web特征模型学习主要是根据用户访问的数量来决定是否学习到，也决定学习的快慢程度。

从上图可以看到学习的具体页面以及每个页面的具体参数。

7.7 日志查看

Imperva WAF日志查看主要分Alert 查看和violation查看。Alart查看是将同类的攻击汇聚在一起，方便日志的检索及查看；Violation查看是将每次攻击都展开，可以更直观的查看每条违规信息。

1）告警日志查看

【Main】?【Moniter】?【Alerts】

2）违规操作日志查看

【Main】?【Moniter】?【Violation】

7.8 系统状态查看

通过系统状态查看，可以看到具体Imperva设备的使用率以及受保护的站点情况。

? 可以看到被保护的服务器组前面有绿色的勾，表示配置正常。如果出现红色叉或者有感

叹号的勾则表示异常，这里的！标示web访问是加密的，所以显示为！；如果现实为X 说明WEB服务器不可用，即可能WEB无法访问。

? 在被保护服务器后面的统计中，可看到有对应的WEB连接数和Http点击数的统计，则

表示Imperva网关已经成功检测到被保护对象的流量。如果这里的数字始终为0，则的服务端口、被保护的IP地址是否配置正确等；以及服务器是否正常使用。 d参数信息。

7.9 邮件发送告警

Imperva SecureSphere系统邮件设定是采用邮箱匿名转发，不支持输入用户名和密码认证的方式。如果用户的SMTP服务器不支持匿名发送邮件，需要把设备的管理口地址设置为例外，允许该IP匿名发送邮件。

7.9.1 系统配置

登录Imperva SecureSphere系统，进入到web页面。

Imperva SecureSphere系统默认的邮件服务器地址配置是Mail，这里需要将SMTP Server Address配置项勾选上为User-Configured，具体方法如下：

【Admin】?【System Definitions】?【Management Server Settings】?【Action Interfaces】?【Send an Email】?【SMTP Server Address】?【Save】。

7.9.2 邮件外发操作Action Sets配置

【Main】?【Policies】?【Action Sets】?【+】输入Name：Email，选择Apply to event type：Any Event Type，点击【Create】

新建EMail后，选择EMail>Send an Email 项，点击“↑”：

展开Send an Email项，输入邮件配置信息： Name：email

SMTP Server Address：10.100.168.77 From Address：dbmonitor@spdb.com.cn

To Address：dbmonitor@spdb.com.cn（这里测试用，测试通过后需要更换为真实的邮件地址）

点击右上角【保存】

7.9.3 报告外发配置

新建或者使用现有的报告模版，下图为采用默认报告模版： 【Main】?【Reports】?【Manage Reports】?【DB Audit】?【Data Source】?【Daily audit trail (Application)】?【General Details】?【Followed Action】?【EMail】?【Save】

配置完成后，运行下方【Run Report Now】进行报告外发测试。

由于之前设置to Address邮件地址dbmonitor@spdb.com.cn，所以进入邮箱可以看到收到的邮件。

本文来源：https://www.bwwdw.com/article/2jbg.html