Imperva_WAF实施方案_2015

IMPERVA WAF
实
施
方
案
2021年7月15日
目录
1工程概述 (3)
2方案设计 (3)
2.1设备简介 (3)
2.2WEB平安 (4)
3部署环境 (4)
4网络环境准备 (5)
5实施人员安排 (7)
6实施方案 (7)
7实施详细配置 (8)
7.1设备初始化 (8)
7.2安装补丁 (13)
7.3ADC更新 (15)
7.4保护站点建立 (17)
7.5策略设置 (19)
7.6特征模型学习 (26)
7.7日志查看 (27)
7.8系统状态查看 (28)
7.9邮件发送告警 (29)
7.9.1系统配置 (29)
7.9.2邮件外发操作Action Sets配置 (30)
7.9.3报告外发配置 (31)
1工程概述
互联网上攻击种类日益繁多，当WEB应用越来越为丰富的同时，WEB应用也逐渐成为主要攻击目标，SQL注入、跨站脚本、爬虫、网页篡改和挂马、目录遍历等应用层攻击手段威胁着网页应用的平安。

2方案设计
2.1设备简介
Imperva SecureSphere®硬件平台提供了卓越的性能和高可靠性，适合于各种网络环境。

硬件平台提供Fail Open的网卡，可在出现故障时快速实现故障切换。

设备还提供带外管理接口，提高了管理的平安性。

前面板的各种提示信息也方便用户快速了解设备运行状态。

用户可以根据需要监测的数据库流量来选择适宜的硬件网关。

此次工程选择的是X2500平安网关：
2.2WEB平安
WEB平安防护使用2台X2500硬件型号的网关。

两台WAF X2500均采用透明桥模式部署。

根据产生的告警，保护网站平安。

透明桥模式部署具有容易部署，对现有网络拓扑影响小，设备支持软硬件BYPASS，即使当硬件损坏或关闭电源时，也不影响业务。

等一系列优点。

3部署环境
下列图采用透明桥的部署方式进行部署：
拓扑说明：
1）采用透明桥接的方式对WEB网站进行防护；Imperva X2500接在网页应用效劳器之前；
2）采用独立的管理接口，可以放置在任何的管理网段，例如带外管理维护网段；
3）X2500可检测和保护500M 网页流量；
4）系统可无缝结合企业现有的平安事件管理平台；
4网络环境准备
为了保证实施可以顺畅进行，在实施开始之前，需要用户进行以下配合工作：
1.请确认设备上架位置和空间，为标准2U设备，冗余电源设计，保证有两路电源。

2.请告知要保护的Web效劳器的台数以及IP地址、效劳端口信息；
3.如果要保护的Web效劳有S效劳需要保护，请提供Server的PEM格式的公钥和私
钥，或者PKCS12格式的证书；
4.如果采用旁路监控部署方式，在连接Web效劳器的交换机上做端口镜像〔镜像的目的端
口要是RJ45端口〕，将Web效劳器的进出流量通过端口镜像复制出来，接Imperva的WAF的监控端口。

如果有负载均衡设备，可以在负载均衡设备之前的交换机上面做镜像，把访问整个效劳器组的流量镜像到Imperva的WAF上。

镜像端口的流量需要双向流量。

5.请分配一个管理的IP地址给SecureSphere，用于远程的管理，远程管理要用到8083
〔S〕和22〔SSH〕端口。

该地址需要可以访问互联网权限，用于定期更新最新的特征代码信息。

6.如果上面分配的IP地址有访问限制，需要开放以下权限：
7.如果需要设备时钟和企业NTP效劳器时钟同步，需要提供以下信息：
5实施人员安排
甲方人员：
乙方人员：
厂商工程师：
6实施方案
7实施详细配置
7.1设备初始化
设备在全新安装完成后，需要进行初始化。

此次系统采用one BOX的方式进行运行。

1）刚刚新安装的系统启动完成后，将看到下面的提示页面
2)用户名和密码均输入secure可进入设备初始化向导
这里我们选择2〕OneBox，将设备初始化为OneBox工作模式，即管理效劳器和网关在一个设备上
3〕系统提示是否要修改默认管理口对应的接口，缺省为eth0。

输入n
4)输入管理接口的地址和掩码
10.1.130.2/27
5)提示是否要设定IPv6地址和LAN接口〔备用管理口〕，均答复n
6〕设置缺省网关和DNS
默认网关：10.1.130.30
7〕设置各个账号的密码
➢root账号，linux系统超级管理员账号
➢bootloader账号，liunx系统引导账号
➢secure账号，Imperva系统效劳和内部通讯账号
➢system账号，Imperva后台管理效劳, Oracle账号
➢远程账号，默认Imperva不允许使用root远程ssh登陆设备，必须设置一个远程账号进行登陆。

该账号的用户名可以任意指定，第一次登陆时需要修改密码。

8)设置设备主机名
9)选择网关的工作模式〔Sniffing〕10〕选择时区
选择5-→9→1→yes
11〕按Enter回车，开始初始化
Onebox模式初始化设备需要初始化管理效劳器〔包含后台Oracle数据库〕。

因此，整个初始化过程在进入impctl boot...阶段后会需要等待40分钟左右。

请耐心等待。

7.2安装补丁
1〕获取补丁
Imperva设备的补丁和设备的安装镜像获取的方法相同，可以到Imperva官方FTP上下载。

2〕上传补丁
缺省系统不允许使用root账号ssh登陆。

这里需要使用之前初始化过程中新建的远程账号impadmin来登陆。

而远程账号第一次登陆时需要修改密码，大家需要在完成修改密码后，才能成功登陆。

上传工具比拟多，可以采用sftp、scp等工具上传。

3〕安装补丁
进入上传补丁的目录，为补丁文件添加可执行权限。

命令如下：
#cd /home/remoteadmin
#chmod +x SecureSphereV10.0.0-x86_64-Patch4_16.x
#./ SecureSphereV10.0.0-x86_64-Patch4_16.x
补丁安装完成后，会要求重启效劳器
4〕确认补丁
可以在命令行下输入下面的命令，查看补丁的安装情况：
cat /opt/SecureSphere/etc/patch_level
License 导入
系统在第一次登陆时，需要重置admin的密码，以及导入License。

7.3ADC更新
ADC 〔Application Defence Center〕即：应用防护中心，是一个国际知名的平安研究机构，他们持续调查全球各地报告的新应用漏洞，分析来自各种真实漏洞研究来识别最新威胁。

Imperva设备可以手动或自动更新ADC库，手动更新需要通过web界面登录，点击“Admin〞—>“ADC〞—>“Download〞下载最新的ADC库文件，文件大概6M左右，然后再通过“浏览〞选择下载的文件，点击“upload〞上传最新的ADC库文件，需要将近10分钟时间。

下载ADC内容：
上传ADC更新:
上传完后，检查是否已经更新至最新：
7.4保护站点建立
保护站点的建立是WAF中最重要的局部，如果不建立，所需要保护的站点都不会进行保护。

其中非常重要的三个关键因素：IP、端口、字符集。

1〕建立sites
2）建立Server Group
3）输入IP地址
注意：Server Group添加完成后，默认的Operation Mode为Simulation方式，即模拟运行，不会做任何真实的阻断，但是会像真实运行模式一下生成各种告警日志。

最后点击save按钮保存
4）建立Service
5）端口、字符集设置
条件，最好跟WAF平安策略一一对应。

7.5策略设置
默认策略
由于考虑到新接入应用系统网络中，建议采用默认策略进行对WEB应用效劳器防护。

其具体默认策略如下：
具体策略清单如下：
效劳器层平安策略〔IP层〕
效劳层平安策略〔/s协议层〕
应用层平安策略
在上述默认策略无法满足用户需求或者测试需求的时候，可以通过启用更多策略模板中的策略或者自定义策略来完成。

1〕启用其他策略模板
在Imperva提供策略模板中还提供了信用卡信息泄露的策略模板，默认没有启用。

我们可以直接进入Policy > Security，选择对应的平安策略，然后启用。

查看策略模板，如果有需要可以进行修改：
应用到指定的保护对象上
2〕完全自定义策略
通常在进行WEB防护时，都会遇到一些非常棘手的事情，可能会遇到WAF对少数的攻击没有产生告警或者阻拦，那么这时就需要完全手动添加一条策略。

首先需要分析其具体攻击类型，确定属于哪一类攻击，这里以特征签名为例。

例如：参数输入中包含“cmd.exe〞.
新建特征签名组：
【Main】→【Setup】→【Signature】→【Create Manual Dictionary】
填写相关信息：
建立特征签名：
填写特征签名具体的特征：
建立完成后会出现一条特征签名：
新建平安策略：
【Main】→【Policies】→【Security】→【+】→【WEB Application】
填写策略名称及选择策略类型：
设置平安策略条件，由于基于特征签名的策略，那么就只需要选择signatures这个条件，如果需要添加其他条件，那么只需将绿色的箭头移上即可添加：
7.6特征模型学习
Imperva SecureSphere的防护的一个创新是基于应用层交互内容的平安检测。

在这个层次建立了非常深入复杂的策略。

即，对访问的URL、动态页面传递参数、Cookie传递的参数等进行监测，比照正常的访问行为基线；如明显偏离正常行为模式那么可产生告警和即时阻断。

策略的产生主要由设备的自学习功能完成，无需人工干预，而且还可以根据Web应用的变化进行自适应调整。

同时，管理人员还可以进行微调，以得到最优的“充分必要〞的策略。

Web特征模型学习主要是根据用户访问的数量来决定是否学习到，也决定学习的快慢程度。

从上图可以看到学习的具体页面以及每个页面的具体参数。

7.7日志查看
Imperva WAF日志查看主要分Alert 查看和violation查看。

Alart查看是将同类的攻击会聚在一起，方便日志的检索及查看；Violation查看是将每次攻击都展开，可以更直观的查看每条违规信息。

1〕告警日志查看
【Main】→【Moniter】→【Alerts】
2〕违规操作日志查看
【Main】→【Moniter】→【Violation】
7.8系统状态查看
通过系统状态查看，可以看到具体Imperva设备的使用率以及受保护的站点情况。

✧可以看到被保护的效劳器组前面有绿色的勾，表示配置正常。

如果出现红色叉或者有感
慨号的勾那么表示异常，这里的！标示web访问是加密的，所以显示为！；如果现实为X 说明WEB效劳器不可用，即可能WEB无法访问。

✧在被保护效劳器后面的统计中，可看到有对应的WEB连接数和点击数的统计，那
么表示Imperva网关已经成功检测到被保护对象的流量。

如果这里的数字始终为0，那么的效劳端口、被保护的IP地址是否配置正确等；以及效劳器是否正常使用。

d参数信息。

7.9邮件发送告警
Imperva SecureSphere系统邮件设定是采用邮箱匿名转发，不支持输入用户名和密码认证的方式。

如果用户的SMTP效劳器不支持匿名发送邮件，需要把设备的管理口地址设置为例外，允许该IP匿名发送邮件。

7.9.1系统配置
登录Imperva SecureSphere系统，进入到web页面。

Imperva SecureSphere系统默认的邮件效劳器地址配置是Mail，这里需要将SMTP Server Address配置项勾选上为User-Configured，具体方法如下：
【Admin】→【System Definitions】→【Management Server Settings】→【Action Interfaces】→【Send an Email】→【SMTP Server Address】→【Save】。

7.9.2邮件外发操作Action Sets配置
【Main】→【Policies】→【Action Sets】→【+】输入Name：Email，选择Apply to event type：Any Event Type，点击【Create】
新建EMail后，选择EMail>Send an Email 项，点击“↑〞：
展开Send an Email项，输入邮件配置信息：
Name：email
SMTP Server Address：10.100.168.77
From Address：dbmonitor@spdb
To Address：dbmonitor@spdb 〔这里测试用，测试通过后需要更换为真实的邮件地址〕点击右上角【保存】
7.9.3报告外发配置
新建或者使用现有的报告模版，下列图为采用默认报告模版：
【Main】→【Reports】→【Manage Reports】→【DB Audit】→【Data Source】→【Daily audit trail (Application)】→【General Details】→【Followed Action】→【EMail】→【Save】
配置完成后，运行下方【Run Report Now】进行报告外发测试。

由于之前设置to Address邮件地址dbmonitor@spdb ，所以进入邮箱可以看到收到的邮件。