设置安全策略条件,由于基于特征签名的策略,那么就只需要选择signatures这个条件,如果需要添加其他条件,那么只需将绿色的箭头移上即可添加:
7.6 特征模型学习
Imperva SecureSphere的防护的一个创新是基于应用层交互内容的安全检测。在这个层次建立了非常深入复杂的策略。即,对访问的URL、动态页面传递参数、Cookie传递的参数等进行监测,对比正常的访问行为基线;如明显偏离正常行为模式则可产生告警和即时阻断。策略的产生主要由设备的自学习功能完成,无需人工干预,而且还可以根据Web应用的变化进行自适应调整。同时,管理人员还可以进行微调,以得到最优的“充分必要”的策略。 Web特征模型学习主要是根据用户访问的数量来决定是否学习到,也决定学习的快慢程度。
从上图可以看到学习的具体页面以及每个页面的具体参数。
7.7 日志查看
Imperva WAF日志查看主要分Alert 查看和violation查看。Alart查看是将同类的攻击汇聚在一起,方便日志的检索及查看;Violation查看是将每次攻击都展开,可以更直观的查看每条违规信息。
1)告警日志查看
【Main】?【Moniter】?【Alerts】
2)违规操作日志查看
【Main】?【Moniter】?【Violation】
7.8 系统状态查看
通过系统状态查看,可以看到具体Imperva设备的使用率以及受保护的站点情况。
? 可以看到被保护的服务器组前面有绿色的勾,表示配置正常。如果出现红色叉或者有感
叹号的勾则表示异常,这里的!标示web访问是加密的,所以显示为!;如果现实为X 说明WEB服务器不可用,即可能WEB无法访问。
? 在被保护服务器后面的统计中,可看到有对应的WEB连接数和Http点击数的统计,则
表示Imperva网关已经成功检测到被保护对象的流量。如果这里的数字始终为0,则的服务端口、被保护的IP地址是否配置正确等;以及服务器是否正常使用。 d参数信息。
7.9 邮件发送告警
Imperva SecureSphere系统邮件设定是采用邮箱匿名转发,不支持输入用户名和密码认证的方式。如果用户的SMTP服务器不支持匿名发送邮件,需要把设备的管理口地址设置为例外,允许该IP匿名发送邮件。
7.9.1 系统配置
登录Imperva SecureSphere系统,进入到web页面。
Imperva SecureSphere系统默认的邮件服务器地址配置是Mail,这里需要将SMTP Server Address配置项勾选上为User-Configured,具体方法如下:
【Admin】?【System Definitions】?【Management Server Settings】?【Action Interfaces】?【Send an Email】?【SMTP Server Address】?【Save】。
7.9.2 邮件外发操作Action Sets配置
【Main】?【Policies】?【Action Sets】?【+】输入Name:Email,选择Apply to event type:Any Event Type,点击【Create】
新建EMail后,选择EMail>Send an Email 项,点击“↑”: