- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath W2000-G[AK][V]系列Web应用防火墙
用户FAQ
Copyright © 2021新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
部署满配置1024个vlan问题,保存配置为何出现系统假死?
WAF如果设置了SYSLOG外发,本地还会存储日志么,断电日志会消失么?
为何开启了内容安全中的服务器安全选项,外部可以访问Web站点,但是站点无法主动访问外部网络了?
反向代理双机时,如果HA连线故障,恢复后导致业务中断,应该如何排查及恢复?
病毒特征库,新设备申请license,升级失败,本地升级会显示需要重新下载特征库。
反向代理模式下,为什么入侵防护日志中来源IP不是真实客户端的IP而是WAF的代理IP?
反向代理模式下,配置了多个代理IP,抓包中为什么和多个服务器通信的都是同一个代理IP?
入侵防护策略的例外主机中,例外IP设置为真实客户端IP为什么不生效?
为什么反向代理模式下,访问日志中有客户端IP是WAF代理IP的日志?
为什么反向代理模式下,WEB安全日志中有客户端IP是WAF代理IP的日志?
为什么设置定时生成报表或及时制作报表,在已生成报表中没有看到相关信息?
为什么我的设备上显示的引擎版本是V1.00,和一些文档截图中显示的不一样?
当前设备有业务流量,为什么流量统计中的访问数却没有统计数据?
透明模式下,为什么WAF的WEB安全日志和访问日志中出现部分日志的客户端IP是WAF的管理IP?
启用反向代理模式后,为什么在“侦测模式”处添加反向代理超过一定个数后,提示无法继续添加?
启用反向代理模式后,在业务流量导致内存使用率超过50%的情况下,如果需要添加新的反代IP,可以先删除原先的代理IP再添加么?
添加全局白名单后,为什么匹配该条策略的客户端对服务器进行IPS攻击还是会被阻断?
为什么设备CPU利用率不高,未触发设置的bypass功能或Bypass功能未启用,但是业务流量不防护,流量bypass处理了?
为什么有反代配置时,在网络接口页面手工删除veth1上被反代使用的ip地址时,报错提示用户“反向代理正在使用此地址, 无法删除。
为什么反向代理模式下,配置同样的代理IP+port、但是主机名和服务器IP都不一样,超过10条后提示配置达到上限?
WAF反向代理部署时,是否支持 “X-Forwarded-For”功能?
为什么反代模式下,重启WAF后,veth1接口的mac地址会变化?
为什么WEB界面查看到的硬盘使用率和命令行使用display version查看到的log disk usage数值不一样?
为什么有的交换机和WAF的光口进行对接镜像模式大流量情况下接口出现down掉不能UP?
为什么安全策略特征库encrypted-wsp_1001.62.acv,重启会遇到不防护问题
H3C SecPath W2000-G[AK][V]系列Web应用
防火墙 用户FAQ
本文档介绍H3C SecPath Web应用防火墙的用户常见问题及解答。
设备在如下情况时,将会触发硬件BYPASS功能:
(1) 设备断电情况下,硬件BYPASS会触发。
(2) 设备重启过程中,硬件BYPASS会触发。
(3) 系统内强制开启硬件BYPASS,硬件BYPASS会触发。
不支持,当前设备扩展板卡必须在断电情况下进行插拔,否则可能会造成设备硬件损坏。
电源断电、再上电,建议为:对于1U设备,中间间隔5S以上;对于2U设备,可观察电源旁的指示灯状态,断电后需要等待该指示灯从棕黄色变为完全熄灭后,再进行上电。
如果间隔时间太短,会被电源识别成供电不稳定,可能导致再次上电后启动失败。
|
协议 |
端口 |
功能使用 |
|
tcp |
18081 |
北向接口 |
|
tcp |
3306 |
mysqld |
|
tcp |
80 |
nginx |
|
tcp |
25 |
sendmail |
|
tcp |
22 |
sshd |
|
tcp |
443 |
webs |
|
udp |
54093 |
snmpd |
|
udp |
22514 |
snmpd |
|
udp |
161 |
snmpd |
软件测试许可到期后,不会影响业务通断性,但是安全功能及特征库升级将变为不可用。
软件正式许可到期后,不会影响业务通断性,所有安全功能依然生效可配置,但是特征库升级将变为不可用。
操作系统升级时需要重启,虽说重启过程中有BYPASS进行数据透传,但是已经进行的业务会话依然会受到相应的影响,应尽量避免业务高峰期进行设备系统升级操作。
操作系统升级后,不会导致配置、日志文件、库文件、license文件丢失。
不会,恢复出厂操作只对配置文件产生影响,不会造成license丢失,但会删除原有日志信息和已生成报表。
请首先检查WAF管理IP是否可以ping通,再检查网页所输入的地址是否是用HTTPS协议,再去SSH或串口下检查相应接口是否已经启用HTTPS管理。
不允许,WAF设备同时允许多个不同管理员账户同时管理WAF设备,但是不允许在多个地点同时登录同一个管理员账户。
(1) 请检查WAF设备的管理IP、管理默认路由、DNS服务器地址是否都已经正确设置,尤其是DNS服务器地址,由于在线升级需要以域名的方式进行请求,所以DNS服务器地址配置是必要的,如果上述配置都已经检查完毕,请尝试ping在线特征库的升级请求域名。
(2) 另外还需要检查用户网络环境中上网是否需要代理,如需通过代理才能上网,则在WAF系统更新中的认证代理模块进行配置即可。
在硬件WAF R6713及之后的版本中,以及在云WAF E6713及之后的版本中,可在console口登录状态下(云WAF即在CAS上该虚机的控制台页面下),用户名输入“acv-recovery”,密码输入设备序列号,设备将会自动执行密码恢复命令,将密码恢复至默认的“admin”。
用户经常会遇到默认策略被修改又想恢复回原状的问题,您只需在重新添加一个策略即可,默认新添加的安全策略与默认的default-profile是一致的。
在侦测模式中勾选完反向代理之后,保存配置,要优先重启设备,后续的反向代理配置才能继续生效。
在使用高可用功能时,无论是使用主主或主备模式,都对设备有如下要求:
(1) 主设备与备设备必须是同一硬件型号。
(2) 主设备与备设备必须运行相同版本的固件操作系统,后续使用升级时,也必须在主备设备上都进行升级,升级时必须断开心跳线,将两台设备变为单机模式后分别升级。
(3) 主设备与备设备所用的HA接口可以选择配置,但是端口号必须一致,例如主设备采用GE0/5作为HA接口,那么备设备也必须选用GE0/5作为HA接口。
(4) 主设备与备设备的HA接口必须为路由模式,且分配的静态IP地址必须为同一子网。
交换机在进行TRUNK封装的时候会在数据包前单独进行封装,当WAF透明部署在两台部署TRUNK链路的交换机之间时,需要在虚拟局域网功能下,将WAF的接口选择为802.1Q模式,并将相应允许通过的VLANID添加到接口下面,这样才能进行2层TRUNK链路环境下的流量识别。
为系统设计的问题。在添加和删除较多的vlan,后台进程执行的速度会比较慢,因为添加的操作是一条条执行的。后台进程在执行一个命令时,是不能处理其它的请求的,所以这时页面以及后台的命令都只能等待,等待超过10秒,后台会显示system is busy,web界面会提示Error in sending IPC message, status: 110,添加1024个vlan,如果保存配置,需要8分钟左右时间,如果从后台看的话,系统运行是正常的,但这其间无法处理页面的请求,页面会出现假死情况,建议支持vlan配置不要超过200个,这样可以直接保存配置成功。
最新的火狐浏览器默认不安装Adobe flash,如果不存在adobe flash,打开报表会进行提示下载及安装,安装完成后,关闭并重启浏览器,在浏览器的附加组件选项中,将Shockwave flash改为“总是激活”,然后点击选项,停止勾选“拦截危险与侵扰性的flash内容”。报表即可正常显示了。
在Web攻击日志中,其中有一项分类为攻击域,里面的内容点击后便可查看到底是那一部分数据触发了攻击行为,有一点攻防专业技术知识的管理员通过该分类显示内容可进行简单的人工攻击甄别。
(1) “访问”:允许该源IP对目的IP的访问,但是要经过安全检测过滤。
(2) “阻止”:直接拦截该源IP对目的IP的访问,不需要经过安全检测过滤。
(3) “无过滤”:允许该源IP对目的IP的访问,且不需要经过安全检测过滤。
目前接口联动组最多只可添加两个接口。
不需要,配置立即生效。
(1) “服务器列表”为IP及端口对应关系,一旦添加,所有访问该IP及端口的流量均会被送上安全代理进行检测过滤。
(2) “虚拟服务器列表”为IP、域名及端口对应关系,一旦添加,变多了域名匹配条件,当一个服务器IP拥有多个站点和域名时,更推荐使用虚拟服务器列表,让安全策略控制更加灵活。
当你设置好了安全策略,并在策略引用中做好了与防护站点的关联,但是发现在使用中,你的某些安全策略并不完全适用于你站点下的所有页面,此时你可以使用内容安全中的特殊URL安全策略进行另外的策略引用。
当前的自学习功能主要针对威胁及风险进行考虑设计,把一些扫描攻击类的尝试也纳入到了自学习的范畴当中去,能够让用户了解自学习过程中用户的站点都面临了哪些正常及非正常的访问及攻击。
当前WAF的配置文件格式为acv.conf,出于安全考虑该文件为加密格式,无法进行单独编辑。
WAF具备离线升级特征库功能,可通过本地导入的方式手工导入特征库进行升级,并且特征库不支持反复回滚。
WAF无论是否设置了SYSLOG外发,本地依然会进行日志存储,至于日志存储的位置为硬盘而非内存,所以设备掉电不会丢失日志。
(1) 开启服务器端口控制后,外界经过WAF访问服务器时,会校验访问服务器的端口是多少,如果在开放列表中,就放通数据,否则将阻断数据。
(2) 同时,如果服务器需要上外网,WAF将检测服务器发起连接使用的端口,如果在开放列表中,就放通数据,否则阻断数据。
(3) 因此,如果启用此功能,一定要先与用户沟通清楚,是否服务器有主动联外网的需求,服务器自身用的端口是否固定。如果没有固定,则不能使用此功能,因为服务器主动发起的连接,由于服务器源端口不固定,而这个端口不在开放端口列表中,会导致连接被WAF阻断。
可以,WAF当前支持证书管理功能,包括证书导入与证书应用,如果用户的站点为HTTPS协议,则通过该功能导入用户保护站点的相关证书信息,从而使WAF能够进行HTTPS协议流量的识别。
有可能是误拦截导致的,请在攻击日志中按照条件查询是否有相关对象的安全事件,如果有则进一步分析是否是误报,确认误报后,可以通过攻击日志中的放行进行一键放行,也可通过特征库的例外添加、内容安全中的URL访问控制进行手动添加例外规则。
检查是否WAF部署了动态黑名单功能,动态黑名单功能触发后,将会把攻击源IP锁定一段时间,超过锁定时间后会放行,有可能访问行为触发了误拦截并加入到动态黑名单当中。
WAF具备生成技术支持文件功能,在系统维护技术支持功能模块下,能够通过生成与导出技术支持文件交与研发快速定位产品问题。
只要当启用了高可用中的BYPASS阈值设置时,当CPU及内存使用率达到了所设置的阈值时,系统将会自动切换至软BYPASS状态。
WAF目前有两种保存配置的方法:
(1) 通过点击Web界面上的保存配置按钮或在CLI下执行save configuration命令手动保存配置。
(2) 通过配置文件自动保存功能,用户可以设置自动保存配置的时间间隔,设备便可以周期性的自行保存配置文件。
专家模式可以提升简单部署环境(透明反代模式下单进单出)数据的转发性能,但是一旦选用该模式,则无法对U-turn等非对称路径环境(即流量流经WAF时进出接口来回不一致的环境)进行支持。
由于反向代理的代理IP和网络接口veth1相关联,所以如果该接口的ping的管理方式没有开启,就会导致ping不通代理地址的情况。可以在网络接口中手动开启veth1口的相关管理方式。
反向代理双机时,如果HA连线出现故障,将其恢复后出现业务中断的情况 ,此时,可以登录到两台WAF所连的交换机上,查看该交换机学习到的ARP表,如果学习到的反向代理地址的ARP对应的MAC地址还是原来备机WAF的MAC地址,可以尝试在交换机上手动删除该条ARP,并ping一下该反向代理地址,再查看此时业务是否恢复。
是因为病毒特征库中包含设备序列信息,新的设备的序列信息如果不在病毒特种库中,则会升级失败,第二天重新去厂商官网下载病毒特征库(已包含设备序列信息),重新本地升级病毒特征库即可。
要确保下一跳是可以ping通,路由可达。
需要在系统配置-日志-启用系统日志中,选择具体的日志启用记录。
需要在扫描任务中,设置收件人邮箱,并确定邮件配置中,接受邮件地址中,有该收件人邮箱。
可以,在接口支持并且不环路的情况下可以支持。
可以,在web安全策略,例外配置中,设置例外IP或者网段针对某一攻击类型不防护。
可以,前提是出厂模式下,在配置向导中,可以进行快速部署透明、反代、旁路模式。
反向代理模式下,由于WAF和服务器通信时都是使用的WAF的第一个代理IP,并且入侵防护处理机制和WEB安全有所差别,所以当请求报文触发了入侵防护规则后,日志记录的来源IP都是WAF的第一个代理IP。
由于入侵防护规则对所有报文都会进行检测,如果服务器返回给WAF的报文触发了入侵防护规则,就会产生来源IP是服务器IP的入侵防护日志。
当前,“自学习”功能和日志有关联,所以在使用“自学习”时,需要在“WEB安全策略”中开启“记录WEB访问日志”。(注:“记录WEB访问日志”开启后,对所有正常流量都会记录访问日志,若业务流量较大,日志可能会在短时间内占用较多资源,需谨慎考虑开启该功能)
此外,若某些流量触发了攻击,产生了WEB安全日志,也会在自学习中产生记录。
根据当前实现方式,反向代理模式下,如果配置了多个同网段的代理IP,则WAF将使用列表中该网段的第一个代理IP和服务器通信。
反向代理模式下,由于WAF和服务器通信时都是使用的WAF的第一个代理IP,所以如果是请求报文触发了入侵防护规则,想要将该规则进行例外设置,例外IP需要设置为第一个代理IP。
反向代理模式下,如果开启了静态WEB缓存,WAF按周期检查服务器缓存文件时,会产生客户端IP为代理IP的访问日志;并且如果开启了自学习,也会学习到这些流量的信息。
反向代理模式下,如果设置了漏扫任务,WAF会使用代理IP对服务器进行扫描,会产生以WAF代理IP为客户端IP的WEB安全日志。
当前,如果已保存的报表内容超过了设置的报表保存磁盘空间,WAF不会自动删除之前的报表且不能再继续生成报表,需要管理员手动删除之前的报表。
如果出现该问题,可以查看系统日志中是否有报表空间已满的日志提示进行确认。
引擎库和病毒库是关联的,因此如果没有导入病毒特征库,则引擎版本就会显示为V1.00。
WEB缓存和防篡改功能需要WAF上有IP和防护的服务器可通才行,像反代模式下WAF的代理IP是和服务器可通的,透明模式下,也需要如管理口IP或WAF上其它IP和服务器可通。
当前,流量统计中的访问数是基于访问日志统计的,因此需要启用“WEB安全策略”中的“记录WEB访问日志”,保证有访问日志产生后此处才会有统计数据(注:“记录WEB访问日志”开启后,对所有正常流量都会记录访问日志,若业务流量较大,日志可能会在短时间内占用较多资源,需谨慎考虑开启该功能)。
WAF中如漏洞扫描、WEB缓存功能等,需要使用WAF上的IP与相关服务器进行通信,透明模式下,如果使用的是WAF的管理IP,并且该流量经过了WAF的业务口,WAF也会对该流量进行防护,就会出现客户端IP是WAF管理IP的日志。
启用反向代理模式后,反代配置会占用内存空间,为了不影响其它配置及业务,在反代配置占用内存达到50%后,会不允许继续添加并作出相应提示。
此外,针对不同设备的内存配置,反代可添加的条数也设置了上限:4G内存,反代配置条数上限20条;8G内存,反代配置条数上限50条;16G内存,反代配置条数上限75条;32G内存,反代配置条数上限100条。
因此,添加反代配置时,若内存优先达到50%,会提示不允许再继续添加;若未触发内存50%的限制、但是达到了对应配置条数上限,也会提示不允许继续添加。
此外,需进行如下说明:硬件WAF R6713版本中,该内存限制阈值为50%;R6713P01版本对该值进行了调整,修改为70%。云WAF E6713版本中,该内存限制阈值为70%。
不能,即使删除原有的代理IP但若内存使用率仍超过50%,依然不能添加新的代理IP;只有在内存使用率降至50%以下,才能添加新的代理IP。
此外,需进行如下说明:硬件WAF R6713版本中,该内存限制阈值为50%;R6713P01版本对该值进行了调整,修改为70%。
当前IPS检测优先级高于全局黑白名单,因此即使配置了全局白名单,触发IPS攻击还是会被阻断。
设备内部有一个bypass处理机制,当突发流量过高、数据包超过了代理处理能力,导致数据包丢弃达到一定数目,或者用户链路部署有问题,数据流往返只有一条送上代理处理,会触发内部bypass功能。如业务流量新建值过高,设备对于syn包处理不过来,此时系统负荷过大,为了保证客户网络使用正常,设置了该内部bypass功能。当触发bypass后,CPU使用率会降低,从而在页面上看到设备CPU利用率并不高的情况下,对业务流量bypass而无法防护。
因为侦测模式中,反代代理配置中,该IP正在被占用,所以无法被删除,请确认反代中的配置。
当前反代模式下,可以用同样的代理IP+port对应不同的服务器、通过域名(即主机名)区分,但是该类型的反代配置最大只允许配置10条。
当前版本,不支持该功能。
触发全局黑名单规则的日志目前在系统日志中,需要在日志模块启用系统日志记录。
可先检查下登录设备的浏览器是否为IE10+及Firefox56+及其以上版本浏览器。
目前不支持谷歌浏览器。
当前版本不支持清除。
当前在自学习的“URL&COOKIE”页面,仅能显示出最先学习到的512条URL的具体列表。
由于veth1为WAF上的虚拟接口,根据当前的设计逻辑,重启WAF后,会重新对veth1接口生成新的mac地址。
不支持。
WEB界面的硬盘使用率计算的是整个logdisk分区的使用情况;命令行使用display version查看到的log disk usage,等于logdisk整个分区已使用大小/日志管理中配置的最大磁盘大小。
建议操作时不要频繁点击HA同步配置,因为本身双机组网下配置是可以自动同步的,如果想要手动同步再保障下,建议可以在多个配置都完成后统一点击HA同步配置。
当前版本,如果在“安全策略>Web漏洞扫描”中添加了任务,并且任务执行后扫描出了某些特定类型的漏洞,WAF会在WEB安全策略中自动生成一条策略,名称与该WEB漏扫任务的名称相关联,并且,自动生成的策略是在default-profile-view策略的基础上,将扫描出漏洞对应的策略类型进行了启用。
由于防盗链规则的实现方式,配置时“启用:允许以下站点盗链”一项前的勾选框必须要勾选上,如果出现上述问题,可尝试勾选上该项,再查看访问站点是否恢复正常。
当前入侵防护策略针对IPV6流量不进行检测。
12500系列交换机,板卡是LSXM1TGS48C2HB1或者LSXM1TGS48C2HB0,在有大流量的情况下,接口down掉不能UP,以及重新插拔接口也不亮,四光四电的插卡光口有问题,电口没有问题,以及板载的光口没有问题等现象。经分析,交换机该板卡的23-38口有问题,1/0/3-1/0/22以及1/0/39-1/0/50是正常的,交换机研发确认,23-38口与其它口的区别是如果对端是千兆口,需要对端设备强制1G全双工,经与厂商研发确认, WAF光口不支持强制全双工。
可行的规避措施如下:
· 使用光转电模块,WAF对接口使用电口,目前现场也是这样规避的。
· 使用1/0/3-1/0/22以及1/0/39-1/0/50口。
R6713P02之前的版本反代模式,不支持PFX证书导入,建议使用PEM格式。
encrypted-wsp_1001.62.acv已从官网下架,建议所有使用该特征库的用户在不重启设备的情况下升级官网最新版本特征库。
DDOS不支持黑白名单,因为策略优先匹配DDOS,后面才会匹配黑白名单。
支持
