【简介】FotiWeb配置完成虚拟服务器和主机池后,就需要配置服务器策略了,而服务器策略要用到Web保护规范,虽然已经有默认的保护规范模板,不过我们还是希望能自定义保护规范,这样能了解更多一些FortiWeb的配置方法。
攻击特征策略
FortiWeb可以使用签名检测许多攻击和数据泄漏。你可以为每个服务器保护规则配置一个动作、严重性和通知设置 (“触发器”),以确定FortiWeb如何处理每个违例。
① 选择菜单【Web保护】-【已知攻击】-【攻击特征策略】。已经有许多设置好的模板可以直接使用,也可以新建符合自己需求的攻击特征策略,点击【新建】。
② 输入自定义的名称,在这个设置中,你可以将分类为跨站点脚本攻击和SQL注入的攻击可以将动作设置为“报警并阻断”,将严重程度设置为“高”,还可以将触发器设置为每当FortiWeb检测到这些违反规则时发送一封警告电子邮件。同样,也可以禁用这些类别中的特定签名,将它们设置为日志/警报,或豁免对特定主机名/ url的请求。由于是对DVWA进行攻击测试,所以这里关闭【信息泄露】,其它保持默认设置。
③ 新的攻击特征策略建立成功,还可以再次打开,对禁用特征进行修改,以符合实际需求。
基于SQL/XSS语法检测
使用基于正则表达式的签名检测SQL/XSS注入攻击是WAF解决方案的核心。
① 选择菜单【Web保护】-【高级保护设置】-【基于SQL/XSS语法检测】,点击【新建】。
② 输入自定义的名称,由于SQL语言的性质类似于英语语法,因此可能会出现误报。为了解决这个问题,FortiWeb的基于语法的SQL注入检测方法通过分析SQL语言的词汇和语法来检测SQL注入攻击,而不是使用模式匹配机制。这里默认全部启用,点击【确认】。
③ 新的基于SQL/XSS语法检测建立成功。这将对SQL/XSS注入攻击产生阻断效果。
X-Forwarded-For
一些web应用程序需要知道发出请求的客户机的IP地址,以便记录或分析请求。在这种情况下,你需要在FortiWeb添加X-Forward-For规则。否则,从web服务器的角度来看,所有IP会话似乎都来自FortiWeb,而不是来自原始请求者。
① 选择菜单【服务器对象】-【X-Forwarded-For】,点击【新建】。
② 输入自定义的名称,启用【使用X-Header识别真实用户】和【基于用户真实IP阻断】,X-Header IP定位为【左】,这样就可以知道攻击的真实IP,并对真实IP进行阻断了。点击【确认】。
③ 新的X-Forwarded-For规则建立成功,这样将能够识别出真实的攻击IP。
Web保护规范
当我们建立了攻击特征策略、SQL/XSS语法检测和X-Forwarded-For规则后,就可以建立Web保护规范了。
① 选择菜单【策略】-【Web保护规范】,点击【新建】。如果对FortiGate防火墙比较熟悉的话,你可以理解为这是FortiWeb的安全配置文件,在策略里引用。
② 输入自定义的名称,特征检测规则、X-Forwarded-For规则、基于SQL/XSS语法检测,选择输入刚才自定义的内容,其它默认,点击【确认】。
③ 新的在线保护规范建成,后面就可以在策略里引用了。
服务器策略
服务器策略的作用:
- 阻塞或允许连接;
- 应用一个Web保护规范,该规范指定FortiWeb如何扫描或处理它允许的HTTP/HTTPS请求;
- 将流量路由或让其传递到目标web服务器。
① 选择菜单【策略】-【服务器策略】,点击【新建】。
② 输入自定义的名称,选择输入上篇中建立的虚拟服务器和主机池,HTTP服务选择【HTTP】,最后选择新的Web保护规范,点击【确认】。
③ 新的服务器策略建成,这样就允许虚拟服务器访问真实服务器地址,并可以由Web保护规范进行保护了。
验证
所有配置完成,现就可以验证一下FortiWeb VM是否能起保护作用了。
① 浏览器访问地址192.168.1.128,这个是虚拟服务器地址,实际访问的是真实服务器IP。这里显示能正常访问。
② 模似攻击行为,被FortiWeb VM成功的阻拦了。