F5 ASM的快速配置手册-赵文明

BIG-IP Application Security Manager

快速配置手册

《BIG-IP ASM 快速配置手册》

第 1页 共39页

目录

目录............................................................................................................................................................ 2 1 前言 ........................................................................................................................................................ 3 2 网络构架 ................................................................................................................................................. 3

2.1串联部署 ....................................................................................................................................... 3 2.2透明部署 ....................................................................................................................................... 3 3 激活License ........................................................................................................................................... 3

3.1登录ASM设备 ................................................................................................................................ 4

3.2激活license ................................................................................................................................. 4 3.3 Provisioning ASM module .................................................................................................................. 5 4 标准配置步骤 .......................................................................................................................................... 7

4.1 配置httpclass ............................................................................................................................. 7

4.1.1 从LTM的Profile作为配置入口 ......................................................................................... 7

4.1.2 从ASM的Classes作为配置入口 ......................................................................................... 9 4.2 将httpclass关联到VS上面 ....................................................................................................... 10 4.3 配置ASM上面的Web Application ............................................................................................... 12 5 快速策略配置 ........................................................................................................................................ 12 6 策略维护 ............................................................................................................................................... 19

6.1 Wildcard策略的添加 .................................................................................................................. 20

6.2 学习到的Profile的添加 ............................................................................................................ 24 6.2.1 修改和完善File Types、URLs、Parameters学习参数 ............................................................. 24

6.2.2 URLs的默认配置和修改 .................................................................................................... 24 6.2.2 URLs的默认配置和修改 .................................................................................................... 26 6.2.3 Parameters的默认配置和修改.......................................................................................... 27 6.3 Attack Signatures的配置和更新 ............................................................................................... 29

6.3.1 Attack Signatures的配置方法 ........................................................................................ 29 6.3.2 更新Attack Signatures特征库 ....................................................................................... 30 6.4 Policy从Transparent向Blocking的变更操作 .......................................................................... 31 6.5 完成之后需要更新Policy策略的方法 ......................................................................................... 32 7 测试效果验证 ........................................................................................................................................ 33

7.1 修改header和cookies的长度来验证效果 .................................................................................. 33 7.2查看ASM的reporting来验证效果 ............................................................................................... 34 8查看ASM信息 ......................................................................................................................................... 37

8.1 显示ASM logs............................................................................................................................. 37 8.2 启动或者停止ASM ....................................................................................................................... 37 9 ASM双机配置 ......................................................................................................................................... 37

9.1 硬件心跳方式.............................................................................................................................. 38 9.2 网络心跳方式.............................................................................................................................. 39 10配置文件备份 ....................................................................................................................................... 42 11总结 ..................................................................................................................................................... 42 《BIG-IP ASM 快速配置手册》

第 2页 共39页

1 前言

配置F5 Application Security Manager（ASM）需要一定的LTM基础，并且要求： 了解ASM的基本工作原理和流程，可以看懂基本的配置要素； 了解HTTP等协议的规范；

了解常见的Web安全漏洞和相关的攻击方式； 了解被动安全和主动安全防御方式的区别；

了解后台Web服务器的类型，是IIS、Apache 、Apache Tomcat或者其它

了解后台App服务器的编程语言，是ASP、JSP、PHP、ASP.NET、Weblogic或者其它 了解后台DB的类型，是MySQL、Oracle、Postgre SQL 、IBM DB2或者其它 了解客户应用环境的负载情况；

安装最新的操作系统和HF补丁，目前最新版本是10.2.0，并且推荐以卷管理的方式安装在硬盘分区而不是CF卡上。

需要说明的是，ASM不同版本的个别菜单界面显示不同,本文以V10.2.0为例予以描述。

2 网络构架

2.1串联部署

F5 ASM有standalone设备，也可以作为Module形式共存在3600及其3600以上V10硬件平台。 一般采用串接方式部署，需要更改客户的网络架构;正式上线环境推荐使用串接部署方式。

2.2透明部署

F5 ASM也可以支持透明部署，但是由于ASM透明部署需要配置Vlangroup,所以不建议生产环境采用这种结构. 详细的配置方法见ASKF5上的SOL9372: Configuring BIG-IP ASM in transparent bridge mode 。

3 激活License

激活ASM Module的同时也激活了PSM Module，但是PSM不能单独配置和使用,而是作为ASM的一部分使用和配置.并且不同版本的ASM显示界面和菜单位置略有区别，其硬件和系统软件的组合列表如下：

《BIG-IP ASM 快速配置手册》

第 3页 共39页

对于新一代V10对应的硬件平台来说，V10.1.0之后的变化：

1、ASM单独只能跑在4100（D46）、3600（C103）、3900（C106）、6900（D104）、8900（D106）平台； 2、WA、ASM和LTM只能共存在3600（C103）、3900（C106）、6900（D104）、8900（D106）、8950（D107）、 11050（E102）平台；

补充：V10.0.0和V10.0.1版本，WA和ASM只能共存在6900（D104）和8900（D016）平台。 3、GTM、ASM、LTM可以共存在3600（C103）、3900（C106）、6900（D104）、8900（D106）、8950（D107）、

11050（E102）平台；

补充：V10.0.1版本，GTM和ASM只能共存在6900（D104）和8900（D016）平台。

4、APM、ASM、LTM可以共存在3600（C103）、3900（C106）、6900（D104）、8900（D106）、8950（D107）、

11050（E102）平台；

3.1登录ASM设备

登录ASM有WEB或者CLI两种方式，和登录LTM设备没有什么两样，本文略去具体参数设置和登录步骤。 3.2激活license

请按照激活license的标准步骤实施，本文略去具体步骤。

License激活后,在System?License的页面会看到如下ASM 的License被激活

《BIG-IP ASM 快速配置手册》

第 4页 共39页

3.3 Provisioning ASM module

请在System ?? Resource Provisioning页面中按照截图中的显示点击相应的选项：

《BIG-IP ASM 快速配置手册》

第 5页 共39页

确认以下界面中包含了ASM模块,并且通过上图的方式被激活.

《BIG-IP ASM 快速配置手册》

第 6页 共39页

4 标准配置步骤

4.1 配置httpclass

4.1.1 从LTM的Profile作为配置入口

从LTM的Profile作为配置入口可以配置，不过我们推荐4.1.2的方式。

点击Local Traffic?Virtual Servers->Profiles?Protocol-->HTTP Class，然后再点击“Creat”按钮：

《BIG-IP ASM 快速配置手册》

第 7页 共39页

《BIG-IP ASM 快速配置手册》

第 8页 共39页

其中：

Hosts配置： 如果后台pool 里面有多个应用,多个host名称或IP，那么建议填写具体的应用的host名称或IP；如果只有一个，可以选择ALL也可以具体填写；

Actions配置：None表示不使用ASM而送到VS关联的default pool；

Pool表示送到特定的、包含Web应用的资源池；一般我们选择此项。

Redirection to 重定向到一个特定的站点。

注意:对于Pool的配置注意一下两点:首先如果在Send To配置了Pool而VS没有配置default pool的话，如果访问正确匹配HTTP class，访问会经过ASM处理再送到Pool，如果不匹配会丢掉访问。但是如果VS配置了default pool而Send To没有配置，如果业务访问没有匹配该HTTP class，会直接访问default pool 而失去安全防护。

4.1.2 从ASM的Classes作为配置入口

配置路径（推荐），点击Application Security->Classes,然后再点击“Create“按钮.这里和上节进入的是同一个HTTP Class的配置界面,配置方法相同.

《BIG-IP ASM 快速配置手册》

第 9页 共39页

4.2 将httpclass关联到VS上面

点击Local Traffic->Virtual Servers，然后点击目标VS Name：

《BIG-IP ASM 快速配置手册》

第 10页 共39页

点击“Resources”按钮，将目标HTTP Class选中，并且“Finished”：

至此HTTP Class和VS的关联配置完成

《BIG-IP ASM 快速配置手册》

第 11页 共39页

4.3 配置ASM上面的Web Application

创建完http class后，在ASM的配置界面中，会自动生成一个和http class名字一样的web application.

5 快速策略配置

配置要求：

ASM系统OS成功安装，并且激活ASM的License.

需要启用ASM的VS和Pool已经创建，需要SSL时可以启用.

将VS和POOL关联起来后，测试对于业务网站的访问正常，但是注意启用ASM时要将VS和POOL的关联断开.

针对业务启用ASM的HTTP Class创建成功.

针对标准配置要求的参数配置请参考上面的标准配置部分。 本节完成的配置任务：

针对WEB应用初始化一个基准策略.

确认WEB应用的HTTP通讯经过ASM处理. 针对WEB应用对策略做必要的调整. 建立应用安全防护的维护流程.

注意：XML的部署是类似的，但是也有一些不同之处，我们在这里不作讨论。

快速部署配置步骤如下:

《BIG-IP ASM 快速配置手册》

第 12页 共39页

1.点击“Configure Security Policy”按钮对应的内容，进行下一步的设置,至此策略配置开始：

2.此处推荐选择“Manual Deployment”方式,并点击NEXT .请按照下图的步骤操作：

其中：

Application Language配置:可以通过浏览器查看编码然后选择正确编码选项。如果不知道也可以选择Unicode（UTF-8）

Application-ready Security Policy配置：选择Rapid Deployment Security Policy (http)，建立一个快速部署的缺省安全策略,并点击NEXT。

3.点击“Next”按钮之后，如下所示需要根据后台WEB站点的配置情况，选择和后台应用相关的合适的Attack

《BIG-IP ASM 快速配置手册》

第 13页 共39页

Signature到缺省的Policy中去。以减少误报的风险,General Database、Various System、Systems Independent是默认就有的缺省配置,其中包含了超过70%的有用的攻击特征.

4.继续点击“Next”按钮,页面显示你选择的策略配置摘要,其中包括自动分配的攻击特征集

5.继续点击“Finish”按钮，进入下一步.

《BIG-IP ASM 快速配置手册》

第 14页 共39页

6.注意有时会显示如下配置界面,注意保持策略为Transparent模式不变,根据需要修改注释等,点击save保存配置

7.配置完毕后,我们转到Blocking策略的页面:

8.以上配置中,在Enforcement Mode中切换Transparent到Blocking.修改所有Violation,关闭所有的

《BIG-IP ASM 快速配置手册》

第 15页 共39页

Block( 去掉CheckBox上的打勾).

注意:这里关闭每个Violation的Blocking并非是为了出现误报时不会阻挡数据通讯.而是ASM存在一个机制即在策略的全局级别和针对每个Violation的级别上可以分别提供控制.这样通过全局级别也就是在Policy上打开Blocking模式,但是在Violation上关闭所有的Blocking设置,我们可以为部署ASM提供更好的吞吐性能,尤其在高负载的应用环境下部署ASM.

技巧:如果部署ASM的网站负载比较高,可以考虑关闭Data Guard 通过如下图示中Checkbox.

9.接下来检查FileTypes,URLs和Parameters的相应配置策略,注意打开针对FileTypes和Parameters的wildcard策略的Tightening. ,URLs的Tightening根据实际情况决定是否需要Tightening. 注意:

1. 前面的配置步骤会针对FileTypes,URLs和Parameters缺省自动生成相应的Wildcard的3个策略条

目.

2. 针对wildcard的策略只允许打开Tightening,不要打开Staging,更不需要二者同时打开.

《BIG-IP ASM 快速配置手册》

第 16页 共39页

《BIG-IP ASM 快速配置手册》

第 17页 共39页

我们建立了Policy。目前处于Blocking模式，接下来需要按照前面的章节把策略所属的HTTP Class关联到VS上去,注意一定要观察几个小时,以确认ASM工作正常。

10.确认业务的可用性: 需要确认业务是可用的和ASM也在正常处理HTTP访问.,因为我们配置了策略和日志记录描述,也许你会在Reporting部分看不到任何日志产生. 如果你没有看到日志,你还可以通过使用HTTPWatch之类的工具来查看ASM cookie(TSxxxxx)被设置来确认ASM工作正常.

11.调整ASM策略:

这一阶段的目的是经可能快的处理触发次数最多的误报.这样会减少记录日志和ASM分析所消耗的处理资源,提高处理性能.其中攻击特征会成为误报的主要原因,他们会出现在manual policy building page的‘Attack Signature Staging’部分下面.如下图:

注意:其它非法告警可能也会出现,如果出现应该一起处理.

12.选择性的启用刚才关闭的违规的Blocking(大约10个,不同版本设置可能不同),专门针对illegal

《BIG-IP ASM 快速配置手册》

第 18页 共39页

filetype,illegal parameter和illegal URL的违规打开Learn，Alarm和Block的开关。去掉FileTypes和Parameters 的Wildcards策略. URLs的Wildcards可以保留.

使用如下指导原则来帮助你修改策略,确定哪些违规告警是合法的可以允许继续访问,哪些是真正恶意访问需要禁止.

1. 针对违规访问尽可能快的在设置了学习和告警的的违规启用Blocking.

2. 除非可以确定是业务受到攻击,否则是正常的业务访问触发了攻击特征或者非法特征,所以产生了误报.

3. 如果触发违规的业务请求看上去是正常访问(不包括类似