阿里云-Web应用防火墙使用手册

Web应用程序中的防火墙配置指南引言：随着互联网的迅猛发展，Web应用程序在我们的日常生活中扮演着越来越重要的角色。

然而，与此同时，网络安全威胁也在不断增加。

为了保护Web应用程序免受各种恶意攻击，防火墙的作用变得非常关键。

本文将为您提供Web应用程序中的防火墙配置指南，帮助您保护Web应用程序的安全性。

第一部分：了解Web应用程序的威胁在开始配置防火墙之前，首先需要了解Web应用程序常见的安全威胁。

以下列举了一些常见的威胁类型：1. 跨站脚本攻击（XSS）：攻击者通过插入恶意脚本来劫持用户的会话，从而获取敏感信息。

2. SQL注入攻击：攻击者通过在输入字段中注入恶意SQL代码来获取数据库中的数据。

3. 跨站请求伪造（CSRF）攻击：攻击者以用户身份发送恶意请求，从而执行未经授权的操作。

4. 命令注入攻击：攻击者通过在用户输入中注入恶意命令来控制应用程序服务器。

第二部分：配置Web应用程序的防火墙在理解了Web应用程序的威胁之后，下面是一些配置Web应用程序防火墙的重要步骤：1. 过滤HTTP请求：配置防火墙以过滤来自客户端的HTTP请求。

您可以使用基于规则的防火墙软件，如ModSecurity，来检测和阻止恶意请求。

2. 跨站脚本攻击（XSS）的防护：启用相关的防御机制，如输入验证和输出编码，在服务器和客户端之间有效地阻止XSS攻击。

3. SQL注入攻击的防护：使用参数化查询或预编译语句等技术来防止SQL注入攻击。

此外，确保数据库用户具有最小的特权，以减轻这种攻击的风险。

4. 跨站请求伪造（CSRF）攻击的防护：为每个用户生成一个唯一的令牌，将其打包到表单中，并要求验证令牌的有效性，以防止CSRF攻击。

5. 限制错误信息的泄露：不要向用户披露敏感信息和错误详细信息，以免为攻击者提供有利信息。

配置防火墙以禁止显示详细的错误消息。

6. 强制访问控制：通过配置Web应用程序的访问控制策略，仅允许经过身份验证和授权的用户访问敏感数据和功能。

在阿里云AliCloud上部署云·界准备工作l创建如下VPC：l VPC：192.168.0.0/16l Subnet0：192.168.1.0/24l创建安全组，并配置安全组规则部署虚拟防火墙后，网络拓扑为：部署虚拟防火墙虚拟防火墙（vFW）将作为一个ECS实例安装在VPC中。

安装完成后，您将：l拥有一个运行中的虚拟StoneOS系统l能够访问防火墙的CLI和WebUI界面第一步：购买vFW镜像并创建ECS实例1.登录阿里云·云市场并搜索“山石网科”关键字。

根据您的实际需求，在搜索结果列表中选择“山石网科虚拟化下一代防火墙（IPSEC/SSL/L2TP VPN）双核专业版“等虚拟防火墙。

标注“IO优化”的版本，只能在勾选“I/O优化实例”的虚拟机上运行。

未标注“IO优化”的版本，只能在未勾选“I/O优化实例”的虚拟机上运行。

2.在虚拟防火墙页面中，查看产品详情等信息。

如需购买，请点击页面右侧的“立即购买”。

3.选择ECS实例所在的地域和镜像版本。

4.在<推荐配置>部分选择ECS实例的规格。

阿里云平台推荐的ECS配置有可能会出现与镜像规格不匹配的情况，这会导致ECS实例创建后无法获取到IP地址的问题，请尽量通过“选择更多配置“来自定义选择ECS配置。

5.在<I/O优化>部分配置ECS实例是否支持I/O优化。

如果ECS实例规格分为支持I/O优化和不支持I/O优化两种情况，此处将显示“I/O优化实例”复选框。

6.在<安全组名称>部分选择ECS实例所属的安全组。

如需从外网访问vFW，此安全组需包含从公网到内网入方向的允许规则。

7.在<网络类型>部分选择“专有网络”。

8.依次在<公网带宽>、<带宽>、<系统盘>、<数据盘>、<付费方式>和<购买时长>部分完成配置。

9.页面右侧显示当前配置信息，点击“立即购买”，并在<确认订单>页点击“去开通”。

ALY_WAC3.7.4.2阿里云部署操作指南本文档详细的介绍了如何在阿里云平台上部署我们的产品，第一章主要讲述了在云平台上部署WAC的操作步骤；第二章主要讲述了AP的部署方法；附录中讲述了部署过程中需要注意的事项，AP相关部署工具的使用和如何查看本产品的帮助文档。

第1章WAC（Wireless Access Control）的部署 (1)1.1WAC部署说明 (1)1.2WAC部署操作步骤 (1)第2章AP（Access Point）的部署 (8)2.1AP部署说明 (8)2.2AP接入公网 (8)2.2.1AP通过DHCP方式接入公网 (8)2.2.2AP静态地址或拨号方式接入公网 (9)2.2.3AP上线 (9)2.3激活AP (10)2.4店铺安装AP (12)附录1AP诊断工具的使用 (14)附录2如何查看产品帮助文档 (15)第1章WAC（Wireless Access Control）的部署1.1WAC部署说明WAC（Wireless Access Control）是部署在阿里云平台上的，您需要先有一个阿里云平台的账号。

WAC在阿里云平台上默认是部署在按需实例上的，按需实例适用于短期使用或者试用本产品的场景，阿里云会根据您的使用时长进行收费，使用结束之后释放实例就不再产生费用。

如果您打算长期使用本产品，可以考虑购买包年包月的实例，这样可以节省您的使用成本，具体包年包月实例的购买事宜请咨询阿里云。

如果您是首次使用阿里云平台请先参阅相关的使用文档，本文档中的部署操作步骤仅供参考。

1.2WAC部署操作步骤步骤1.访问网站https:///，进入阿里云步骤2.点[免费注册]，进行注册账号，如果你已经有阿里云账号，则直接点击【登陆】图1-1步骤3.阿里云实名制验证，实名制完成后如下图1-2步骤4.进入阿里云控制台，按照您的需求创建实例【阿里云虚拟机不支持单核不是，请不要选择单核实例】步骤5.开启IO优化图1-3步骤6.镜像文件选择共享镜像，提供阿里云账号的ID，找信锐技术支持共享共享镜像图1-4步骤7.确认购买，阿里云会计算好价格图1-5步骤8.设置安全组删除已有规则，添加规则运行所有步骤9.等待实例启动，实例启动后通过公网地址访问控制器图1-6步骤9.用户名密码默认为：admin/admin,为了安全考虑，登陆后请修改密码图1-7第2章AP（Access Point）的部署2.1AP部署说明首先您要确保阿里云控制器的序列号状态处于已授权状态，同时在AP上必须指定阿里云控制器的公网IP地址，AP方能在阿里云控制器上激活。

Version2.8.3版本说明本手册包含了WAF_2.5版本以及后续版本的版本说明，主要介绍了各版本的新增功能、已知问题等内容。

l WAF2.8.3l WAF2.8l WAF_2.7.3l WAF_2.7.1l WAF_2.7l WAF_2.6.5l WAF_2.6l WAF_2.5.1l WAF_2.5WAF2.8.3发布日期：2021年11月19日本次发布主要支持如下功能：l新增WAF国产平台型号SG-6000-W5160-GC，采用飞腾8核处理器，性能更加强大。

l支持识别、转发非HTTP协议流量（HTTP站点）和非SSL协议流量（HTTPS站点），可精准防护HTTP协议流量，同时识别、转发非HTTP协议流量，兼顾用户的安全需求和业务需求。

l基于ARM架构的vWAF以及SG-6000-W5160-GC和SG-6000-W3060-GC支持漏洞扫描功能。

版本发布相关信息：https:///show_bug.cgi?id=25662平台和系统文件新增功能已解决问题已知问题浏览器兼容性以下浏览器通过了WebUI测试，推荐用户使用：l IE11l Chrome获得帮助Hillstone Web应用防火墙设备配有以下手册：请访问https://进行下载。

l《Web应用防火墙_WebUI用户手册》l《Web应用防火墙_CLI命令行手册》l《Web应用防火墙_硬件参考指南》l《Web应用防火墙典型配置案例手册》l《Web应用防火墙日志信息参考指南》l《Web应用防火墙SNMP私有MIB信息参考指南》l《vWAF_WebUI用户手册》l《vWAF_部署手册》l《WAF国产系列_硬件参考指南》服务热线：400-828-6655官方网址：https://WAF2.8发布日期：2021年9月17日本次发布主要支持如下功能：l vWAF支持部署在基于鲲鹏和飞腾架构的虚拟化平台上。

l支持多虚拟路由器模式，站点可通过绑定不同的虚拟路由器对Web网站进行精细化防护。

防火墙操作手册防火墙操作手册提供了防火墙的基本配置和管理指南，以帮助用户保护网络安全和防止未经授权的访问。

以下是一些通用的防火墙操作手册步骤：1. 了解防火墙基础知识：防火墙是在计算机网络中起到保护网络安全的关键设备。

在进行防火墙的操作和配置之前，首先需要了解防火墙的基础概念、类型和工作原理。

2. 确定安全策略：为了保护网络安全，需要制定合适的安全策略。

安全策略定义了哪些网络流量是允许的，哪些是被阻止的。

这些策略可以基于端口、IP地址、协议等进行配置，并且应该针对网络中的不同角色（例如内部和外部网络）进行细分。

3. 发现并关闭未使用的端口：未使用的端口是网络攻击的潜在入口，应该通过关闭或屏蔽这些端口来减少风险。

4. 配置访问控制列表（ACL）：ACL是一组定义哪些网络流量被允许或被阻止的规则。

可以根据需要创建ACL，并将其应用到特定的网络接口上。

5. 设置入站和出站规则：入站规则用于控制从外部网络进入内部网络的网络流量，而出站规则用于控制从内部网络进入外部网络的流量。

确保只有经过授权的流量能够通过防火墙。

6. 定期更新防火墙规则：随着网络的变化，防火墙规则也需要进行定期更新和优化。

监控网络流量，并相应地更新防火墙规则，同时也要定期审查并关闭不再需要的规则。

7. 进行日志和监控：启用防火墙的日志和监控功能，可以记录和监控网络流量，以便及时检测和应对潜在的网络攻击和安全事件。

8. 进行实时更新和维护：及时更新防火墙的软件和固件版本，以确保兼容性和安全性。

定期进行安全审核和漏洞扫描，以发现和修复潜在的安全漏洞。

以上是一般的防火墙操作手册步骤，具体的操作细节可能根据不同的防火墙品牌和型号有所不同。

因此，在实际进行防火墙操作之前，还应参考相应的产品手册和文档进行详细了解和指导。

Version2.8.3Copyright2021Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this doc-ument is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's per-sonal use without the written permission ofHillstone Networks.Hillstone Networks本文档禁止用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州市高新区科技城景润路181号邮编：100192邮编：215000联系我们：https:///about/contact_Hillstone.html关于本手册本手册介绍山石网科的WAF产品的使用方法。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：*************************山石网科https://TWNO:TW-WUG-WAF-2.8.3-CN-V1.0-11/19/2021目录目录1欢迎1入门指南3访问WebUI界面3安装向导4配置部署方式/接口5默认站点配置5配置DNS6配置系统时间6初始配置7安装许可证7创建系统管理员8创建可信主机9升级系统版本10特征库升级11恢复出厂配置12部署模式13串联模式15串联模式的网络拓扑15准备工作15配置步骤16常见问题Q&A20反向代理模式22反向代理模式的网络拓扑22准备工作22配置步骤23常见问题Q&A29单臂模式30单臂模式的网络拓扑30准备工作30配置步骤31常见问题Q&A37牵引模式38牵引模式的网络拓扑38准备工作38配置步骤39常见问题Q&A45监听模式47监听模式的网络拓扑47准备工作48配置步骤48常见问题Q&A53附录53 SSL/TLS证书及密钥的格式要求及转换方法53格式要求53密钥格式转换方法54证书格式转换55一、Linux环境下56二、Windows环境下57首页69攻击严重程度69受攻击站点排名TOP1070攻击源70威胁事件类型71站点篡改告警72系统概览72 Web应用安全投屏模式73站点76站点配置76搜索站点76查看概览信息76查看威胁详情77查看网页变更历史78白名单78黑名单79例外规则80站点配置82查看自学习模型82查看机器流量分析报告82外链改写82新建/配置站点82配置更多站点防护功能90配置站点加速90使用静态资源缓存技术90使用连接复用技术92报文压缩配置92配置网页防篡改93开启健康状态检测96自定义错误提示页面97配置站点负载均衡97配置站点自学习功能98配置自学习功能99查看自学习模型100 URL详情100 Cookie详情101机器流量分析101配置机器流量分析服务102查看设备指纹信誉表103查看机器流量分析报告104外链改写104配置外链改写105站点全局配置107配置全局白名单107配置全局黑名单108站点自发现110配置站点自发现110策略114策略类型114防护规则115更新防护规则116 IP防护策略116创建IP防护策略117 IP查询120访问控制策略121创建访问控制策略121 API防护策略126创建API防护策略127导入OpenAPI文件130虚拟补丁策略131新建虚拟补丁策略131编辑虚拟补丁策略132安全策略133创建安全策略133自学习策略154创建自学习策略154用户会话跟踪策略155创建用户会话跟踪策略156内容改写策略158创建内容改写策略158防护规则162预定义规则162规则检索163用户定义规则165威胁防护166网络安全防护167 ICMP Flood和UDP Flood攻击167 ARP欺骗攻击167 SYN Flood攻击167 WinNuke攻击167 IP地址欺骗（IP Spoofing）攻击168地址扫描与端口扫描攻击168 Ping of Death攻击168 Teardrop攻击防护168 Smurf攻击168 Fraggle攻击168 Land攻击169 IP Fragment攻击169 IP Option攻击169 Huge ICMP包攻击169 TCP Flag异常攻击169 DNS Query Flood攻击169 TCP Split Handshake攻击169配置攻击防护170监控180热点威胁情报180热点威胁情报展示182报表184报表汇总185自定义任务186新建自定义任务186快捷任务188生成报表文件188日志189日志的严重等级189日志信息输出目的地190日志信息格式190事件日志192网络日志193配置日志194 NAT日志194 Web访问日志195网页事件日志195网页安全日志197日志197智能日志分析200日志分析报告201 IP防护日志202访问控制日志202 API防护日志203网络安全日志204防篡改日志205自学习模型违背日志205日志管理206配置日志信息206日志配置选项说明206日志服务器配置217新建日志服务器217 Web邮件配置219设备名称配置220手机短信配置220对象221服务薄221预定义服务及预定义服务组221自定义服务221自定义服务组222地址簿222新建地址簿条目223查看地址簿条目详情224配置服务薄225配置自定义服务225配置自定义服务组227查看服务条目详情228监测对象229新建监测对象229时间表232周期计划232绝对计划233创建时间表233网络连接235安全域236配置安全域236接口238配置接口239新建Virtual Forward接口239新建回环接口243新建集聚接口247新建以太网子接口/集聚子接口252编辑VSwitch接口256编辑以太网接口/HA接口260接口组265新建接口组265 MGT接口266配置MGT接口266新建Virtual Forward接口266 DNS268配置DNS服务器268解析配置268 Virtual Wire270配置Virtual Wire270虚拟路由器272创建虚拟路由器272虚拟路由器全局配置273配置多虚拟路由器273多虚拟路由器模式配置示例273虚拟交换机275新建虚拟交换机275配置目的路由277新建目的路由277全局网络参数278 Bypass配置280 NAT280 NAT的基本转换过程280设备的NAT功能281配置源NAT281启用/禁用NAT规则287复制/粘贴源NAT规则287调整优先级287命中数288命中数清零288命中数检测289配置目的NAT289配置IP映射类型的目的NAT289配置端口映射类型的目的NAT290配置NAT规则的高级配置292启用/禁用NAT规则295调整优先级295命中数296命中数清零296命中数检测296系统管理298系统信息299查看系统信息299全局配置301全局参数配置301自定义错误页面管理303 AAA服务器304配置Radius服务器304配置TACACS+服务器306设备管理308管理员308新建管理员308修改默认管理员密码310可信主机311新建可信主机311管理接口312系统时间314设置系统时间315设置NTP315 NTP密钥316新建NTP密钥316设置及操作317重启系统319系统调试信息320配置文件管理321备份/恢复配置文件321 SNMP323配置SNMP代理323新建SNMP主机324 Trap主机326 V3用户组326 V3用户328升级管理330版本升级330特征库升级331信息库升级332 WAF历史数据升级333许可证335申请许可证335安装许可证336配置邮件服务器337配置邮件服务器337短信发送参数339短信Modem设备状态339认证短信发送参数339短信测试339集中管理341 HSM应用场景341集中管理342 PKI344创建PKI密钥345创建信任域345导入导出信任域的信息347分析诊断348测试工具349 DNS查询349 Ping349Traceroute350 Curl350诊断抓包351配置诊断抓包351诊断文件351高可靠性352 HA基础概念352 HA簇352 HA组353 HA Node353 HA组接口和虚拟MAC353 HA选举353 HA同步353配置HA355扫描358扫描任务358新建扫描任务359开启/停止/删除扫描任务363扫描报告363扫描报告363外部导入报告364导入外部扫描报告364添加/编辑虚拟补丁策略364欢迎感谢您选择山石网科产品！以下内容可以帮助您了解如何操作山石网科的Web应用防火墙（WAF）产品：典型案例l Web应用防火墙配置案例手册（PDF下载）Web应用防火墙（WAF）l《Web应用防火墙_WebUI用户手册》（PDF下载）l《Web应用防火墙_CLI命令行手册》（PDF下载）l《Web应用防火墙_硬件参考指南》（PDF下载）l《Web应用防火墙日志信息参考指南》（PDF下载）l《Web应用防火墙SNMP私有MIB信息参考指南》（PDF下载）虚拟Web应用防火墙l《vWAF_WebUI用户手册》（PDF下载）l《vWAF_部署手册》（PDF下载）国产化-Web应用防火墙l《WAF国产型号_硬件参考指南》（PDF下载）l《WAF国产型号_扩展模块参考指南》（PDF下载）你可以在以下网站获得更多产品信息：l官方网站:l技术文档：l技术支持：400-828-6655入门指南本入门指南帮助用户快速完成设备的上线，主要包含以下内容:l访问WebUI界面l安装向导l初始配置l恢复出厂配置访问WebUI界面设备的ethernet0/0接口配有默认IP地址192.168.1.1/24，并且该接口的SSH、HTTPS管理功能均为开启状态。

WEB应用防火墙（DCN WAF）安装和快速使用指南版本V2.0神州数码网络(北京)有限公司地址:北京市海淀区上地九街9号100085网址: 目录第1章搭建配置环境........................................................................... 1-11.1 配置环境介绍 ............................................................................................. 1-11.2 搭建Console口配置环境.......................................................................... 1-11.3 搭建SSH配置环境.................................................................................... 1-21.4 搭建WebUI配置环境 ................................................................................ 1-21.5 首页功能介绍 ............................................................................................. 1-41.5.1 网站防火墙数据统计.......................................................................................... 1-41.5.2 系统信息............................................................................................................ 1-51.5.3 系统日志............................................................................................................ 1-61.5.4 WEB服务器运行状态......................................................................................... 1-61.5.5 许可状态............................................................................................................ 1-71.5.6 接口状态............................................................................................................ 1-7第2章出厂配置.................................................................................. 2-12.1 通讯口初始配置.......................................................................................... 2-12.2 Web用户初始配置...................................................................................... 2-12.3 命令行用户初始配置 .................................................................................. 2-12.4 管理口和带外口映射 .................................................................................. 2-1第1章搭建配置环境1.1 配置环境介绍将DCNWAF按照安装手册指导安装完毕，用户需要为DCNWAF搭建合适的配置环境，然后进行配置。

Hillstone Networks,Inc.云·界CloudEdge虚拟防火墙部署手册Version5.5R3目录目录1介绍1文档内容1目标读者1产品列表1虚拟防火墙的功能1许可证3许可证机制3平台类许可证3功能服务类许可证3申请许可证4安装许可证4在阿里云上部署CloudEdge6准备工作6部署虚拟防火墙6第一步：购买vFW镜像并创建ECS实例6第二步：查看vFW初始配置7第三步：购买并申请License软件8第四步：从外网访问vFW9使用SSH2远程登录vFW：9使用HTTP远程登录vFW：10介绍山石网科的虚拟防火墙产品，简称为CloudEdge（Virtual Firewall），是一个纯软件形态的产品，是运行在虚拟机上的StoneOS系统。

文档内容本手册介绍如何将CloudEdge虚拟防火墙部署到阿里云环境中。

本文仅讲述安装防火墙和初始的联网操作，StoneOS系统本身的功能将不做讲解。

如果您需要了解StoneOS系统的详细功能，请参考StoneOS的相关文档（点击此处）。

目标读者本文的目标读者为企业的网络管理员或对山石网科虚拟化感兴趣的读者。

产品列表CloudEdge系列虚拟防火墙共包含两款产品：SG-6000-VM01和SG-6000-VM02，他们的性能和参数列表如下：虚拟防火墙的功能CloudEdge支持以下防火墙功能：基本防火墙（策略、安全域、NAT等基础防火墙功能）应用识别攻击防护（AD）入侵防御（IPS）VPN（IPSec VPN、SSL VPN）用户管理访问控制高可用性（HA）LLB负载均衡管理功能日志统计集iQoS许可证CloudEdge虚拟防火墙产品的性能，由许可证的控制。

只有购买并安装了相应的许可证，才能使产品达到其标称的数值。

购买许可证，请与销售人员联系。

许可证机制与Hillstone Networks,Inc.的硬件防火墙产品类似，虚拟防火墙的许可证机制也分为平台许可证和功能服务类许可证。