Imperva WAF实施方案_20150715

IMPERVA WAF

实

施

方

案

2015年7月15日

目录

1 项目概述 (3)

2 方案设计 (3)

2.1 设备简介 (3)

2.2 WEB安全 (4)

3 部署环境 (4)

4 网络环境准备 (5)

5 实施人员安排 (7)

6 实施计划 (7)

7 实施详细配置 (8)

7.1 设备初始化 (8)

7.2 安装补丁 (13)

7.3 ADC更新 (15)

7.4 保护站点建立 (17)

7.5 策略设置 (19)

7.6 特征模型学习 (26)

7.7 日志查看 (27)

7.8 系统状态查看 (28)

7.9 邮件发送告警 (29)

7.9.1 系统配置 (29)

7.9.2 邮件外发操作Action Sets配置 (30)

7.9.3 报告外发配置 (31)

1项目概述

互联网上攻击种类日益繁多，当WEB应用越来越为丰富的同时，WEB应用也逐渐成为主要攻击目标，SQL注入、跨站脚本、爬虫、网页篡改和挂马、目录遍历等应用层攻击手段威胁着网页应用的安全。

2方案设计

2.1设备简介

Imperva SecureSphere?硬件平台提供了卓越的性能和高可靠性，适合于各种网络环境。硬件平台提供Fail Open的网卡，可在出现故障时快速实现故障切换。设备还提供带外管理接口，提高了管理的安全性。前面板的各种提示信息也方便用户快速了解设备运行状态。用户可以根据需要监测的数据库流量来选择合适的硬件网关。

此次项目选择的是X2500安全网关：

2.2WEB安全

WEB安全防护使用2台X2500硬件型号的网关。两台WAF X2500均采用透明桥模式部署。根据产生的告警，保护网站安全。

透明桥模式部署具有容易部署，对现有网络拓扑影响小，设备支持软硬件BYPASS，即使当硬件损坏或关闭电源时，也不影响业务。等一系列优点。

3部署环境

下图采用透明桥的部署方式进行部署：

拓扑说明：

1）采用透明桥接的方式对WEB网站进行防护；Imperva X2500接在网页应用服务器之前；

2）采用独立的管理接口，可以放置在任何的管理网段，例如带外管理维护网段；

3）X2500可检测和保护500M 网页流量；

4）系统可无缝结合企业现有的安全事件管理平台；

4网络环境准备

为了保证实施可以顺畅进行，在实施开始之前，需要用户进行以下配合工作：

1.请确认设备上架位置和空间，为标准2U设备，冗余电源设计，保证有两路电源。

2.请告知要保护的Web服务器的台数以及IP地址、服务端口信息；

3.如果要保护的Web服务有HTTPS服务需要保护，请提供Server的PEM格式的公钥和

私钥，或者PKCS12格式的证书；

4.如果采用旁路监控部署方式，在连接Web服务器的交换机上做端口镜像（镜像的目的端

口要是RJ45端口），将Web服务器的进出流量通过端口镜像复制出来，接Imperva的WAF的监控端口。如果有负载均衡设备，可以在负载均衡设备之前的交换机上面做镜像，把访问整个服务器组的流量镜像到Imperva的WAF上。镜像端口的流量需要双向流量。

5.请分配一个管理的IP地址给SecureSphere，用于远程的管理，远程管理要用到8083

（HTTPS）和22（SSH）端口。该地址需要可以访问互联网权限，用于定期更新最新的特征代码信息。

6.如果上面分配的IP地址有访问限制，需要开放以下权限：

7.如果需要设备时钟和企业NTP服务器时钟同步，需要提供以下信息：

5实施人员安排

甲方人员：

乙方人员：

厂商工程师：

6实施计划

7实施详细配置

7.1设备初始化

设备在全新安装完成后，需要进行初始化。此次系统采用one BOX的方式进行运行。

1）刚刚新安装的系统启动完成后，将看到下面的提示页面

2)用户名和密码均输入secure可进入设备初始化向导

这里我们选择2）OneBox，将设备初始化为OneBox工作模式，即管理服务器和网关在一个设备上

3）系统提示是否要修改默认管理口对应的接口，缺省为eth0。

输入n

4)输入管理接口的地址和掩码

10.1.130.2/27

5)提示是否要设定IPv6地址和LAN接口（备用管理口），均回答n

6）设置缺省网关和DNS

默认网关：10.1.130.30

7）设置各个账号的密码

root账号，linux系统超级管理员账号

bootloader账号，liunx系统引导账号

secure账号，Imperva系统服务和内部通讯账号

system账号，Imperva后台管理服务, Oracle账号

远程账号，默认Imperva不允许使用root远程ssh登陆设备，必须设置一个远程账号进行登陆。该账号的用户名可以任意指定，第一次登陆时需要修改密码。

8)设置设备主机名

9)选择网关的工作模式（Sniffing）10）选择时区

选择5-→9→1→yes

11）按Enter回车，开始初始化

Onebox模式初始化设备需要初始化管理服务器（包含后台Oracle数据库）。因此，整个初始化过程在进入impctl boot...阶段后会需要等待40分钟左右。请耐心等待。

7.2安装补丁

1）获取补丁

Imperva设备的补丁和设备的安装镜像获取的方法相同，可以到Imperva官方FTP上下载。

2）上传补丁

缺省系统不允许使用root账号ssh登陆。这里需要使用之前初始化过程中新建的远程账号impadmin来登陆。而远程账号第一次登陆时需要修改密码，大家需要在完成修改密码后，才能成功登陆。

上传工具比较多，可以采用sftp、scp等工具上传。

3）安装补丁

进入上传补丁的目录，为补丁文件添加可执行权限。命令如下：

#cd /home/remoteadmin

#chmod +x SecureSphereV10.0.0-x86_64-Patch4_16.x

#./ SecureSphereV10.0.0-x86_64-Patch4_16.x

补丁安装完成后，会要求重启服务器

4）确认补丁

可以在命令行下输入下面的命令，查看补丁的安装情况：

cat /opt/SecureSphere/etc/patch_level

License 导入

系统在第一次登陆时，需要重置admin的密码，以及导入License。

7.3ADC更新

ADC （Application Defence Center）即：应用防护中心，是一个国际知名的安全研究机构，他们持续调查全球各地报告的新应用漏洞，分析来自各种真实漏洞研究来识别最新威胁。

Imperva设备可以手动或自动更新ADC库，手动更新需要通过web界面登录，点击“Admin”—>“ADC”—>“Download”下载最新的ADC库文件，文件大概6M左右，然后再通过“浏览”选择下载的文件，点击“upload”上传最新的ADC库文件，需要将近10分钟时间。

下载ADC内容：

上传ADC更新:

上传完后，检查是否已经更新至最新：

7.4保护站点建立

保护站点的建立是WAF中最重要的部分，如果不建立，所需要保护的站点都不会进行保护。其中非常重要的三个关键因素：IP、端口、字符集。

1）建立sites

2）建立Server Group

3）输入IP地址

注意：Server Group添加完成后，默认的Operation Mode为Simulation方式，即模拟运行，不会做任何真实的阻断，但是会像真实运行模式一下生成各种告警日志。

最后点击save按钮保存

4）建立Service

5）端口、字符集设置

条件，最好跟WAF安全策略一一对应。

7.5策略设置

默认策略

由于考虑到新接入应用系统网络中，建议采用默认策略进行对WEB应用服务器防护。

其具体默认策略如下：

具体策略清单如下：

服务器层安全策略（IP层）

服务层安全策略（HTTP/s协议层）