IMPERVA WAF
实 施 方 案
2015年7月15日
目录
1 2
项目概述 ................................................................................................................................... 3 方案设计 ................................................................................................................................... 3 2.1 设备简介 ....................................................................................................................... 3 2.2 WEB安全 ...................................................................................................................... 4 部署环境 ................................................................................................................................... 4 网络环境准备 ........................................................................................................................... 5 实施人员安排 ........................................................................................................................... 7 实施计划 ................................................................................................................................... 7 实施详细配置 ........................................................................................................................... 8 7.1 设备初始化 ................................................................................................................... 8 7.2 安装补丁 ..................................................................................................................... 13 7.3 ADC更新 ..................................................................................................................... 15 7.4 保护站点建立 ............................................................................................................. 17 7.5 策略设置 ..................................................................................................................... 19 7.6 特征模型学习 ............................................................................................................. 26 7.7 日志查看 ..................................................................................................................... 27 7.8 系统状态查看 ............................................................................................................. 28 7.9 邮件发送告警 ............................................................................................................. 29
7.9.1 系统配置 ......................................................................................................... 29 7.9.2 邮件外发操作Action Sets配置 ..................................................................... 30 7.9.3 报告外发配置 ................................................................................................. 31
3
4 5 6 7
1 项目概述
互联网上攻击种类日益繁多,当WEB应用越来越为丰富的同时,WEB应用也逐渐成为主要攻击目标,SQL注入、跨站脚本、爬虫、网页篡改和挂马、目录遍历等应用层攻击手段威胁着网页应用的安全。
2 方案设计
2.1 设备简介
Imperva SecureSphere?硬件平台提供了卓越的性能和高可靠性,适合于各种网络环境。硬件平台提供Fail Open的网卡,可在出现故障时快速实现故障切换。设备还提供带外管理接口,提高了管理的安全性。前面板的各种提示信息也方便用户快速了解设备运行状态。用户可以根据需要监测的数据库流量来选择合适的硬件网关。
此次项目选择的是X2500安全网关:
规格 容错性 吞吐量 等待时间 接口 接口类型 最大网络段数 故障直通(仅供桥接) 硬盘 内存 串行端口 USB 端口 SSL 加速 光纤通道、LOM 或 HSM 电源 交流电源 典型耗电量 典型热输出
X2500 两个热拔插硬盘、电源和风扇 500 Mbps 亚毫秒 6 x 10/100/1000 Mbps (最多 4 个光纤接口) 铜线或光纤 SX (2) 桥接器;(5) 代理,非在线 2 个 bypass 网段 2 个 500 GB 热拔插硬盘 4 GB RJ45 连接器 2 可选 可选 双电源 400 W 100-240V,50-60Hz 190 W 650 BTU/小时 外形 尺寸 重量 工作环境 存放环境 安全机构认证 2U 17.4 x 20.1 x 3.46 英寸 443 x 512 x 88 毫米 50.44 磅(22.9 公斤) 温度:5° - 40° C 相对湿度:20% - 90% 温度:0° - 70° C 相对湿度:20% - 90% CE/FCC/cTUVus/VCCI 2.2 WEB安全
WEB安全防护使用2台X2500硬件型号的网关。两台WAF X2500均采用透明桥模式部署。根据产生的告警,保护网站安全。
透明桥模式部署具有容易部署,对现有网络拓扑影响小,设备支持软硬件BYPASS,即使当硬件损坏或关闭电源时,也不影响业务。等一系列优点。
3 部署环境
下图采用透明桥的部署方式进行部署:
拓扑说明:
1) 采用透明桥接的方式对WEB网站进行防护;Imperva X2500接在网页应用服务器之
前;
2) 采用独立的管理接口,可以放置在任何的管理网段,例如带外管理维护网段;
3) X2500可检测和保护500M 网页流量;
4) 系统可无缝结合企业现有的安全事件管理平台;
4 网络环境准备
为了保证实施可以顺畅进行,在实施开始之前,需要用户进行以下配合工作: 1. 请确认设备上架位置和空间,为标准2U设备,冗余电源设计,保证有两路电源。 2. 请告知要保护的Web服务器的台数以及IP地址、服务端口信息;
X2500_1 受保护的Web服务器1 IP地址和掩码 IP: Port: 是否启用SSL: IP: Port: 是否启用SSL: IP: Port: 是否启用SSL: 备注 受保护的Web服务器2 受保护的Web服务器5
X2500_2 受保护的Web服务器1 IP地址和掩码 IP: Port: 是否启用SSL: IP: Port: 是否启用SSL: IP: Port: 是否启用SSL: 备注 受保护的Web服务器2 受保护的Web服务器3
3. 如果要保护的Web服务有HTTPS服务需要保护,请提供Server的PEM格式的公钥和
私钥,或者PKCS12格式的证书;