ImpervaWAF定期巡检指南Peimin.liu@imperva.com2011-8-25目录1.WAF定期巡检的目的......................................................................................................22.文档适用范围...................................................................................................................23.巡检项目...........................................................................................................................21)设备基本信息记录....................................................................................................22)设备状态检查............................................................................................................33)许可证和ADC更新...................................................................................................44)设备性能检查............................................................................................................55)Profile检查................................................................................................................66)Alerts检查.................................................................................................................87)系统日志检查............................................................................................................98)设备配置备份............................................................................................................91.WAF定期巡检的目的WAF巡检可以发现存在或潜在的软硬件问题或不合理的配置等。巡检工作应该定期进行,这样可以及早的消除潜在的风险,减少WAF故障的可能。2.文档适用范围本文档基于SecureSphere8.5制作完成,也可以适用于其他版本系统参考,菜单上有部分差别。3.巡检项目1)设备基本信息记录我们应该在每次巡检过程中,记录当前设备的序列号、型号、版本、补丁版本等信息,这可以方便我们在出现问题后,快速的从ImpervaSupport获得支持。这个部分我们可以通过手工记录的方法来完成。这里我们也提供一个脚本工具,可快速在命令行下导出设备的所有基本信息。在成功使用root用户登录到设备命令行上后,可以将下面的脚本直接贴到提示符后。echo;echo===SECURESPHEREIDENTIFICATION===;echo-nHostname:;echo-n;hostname;echo-nMgmtNICIP:;echo-n;impctlplatformnetworkinterfaceshow|awk-F,'{print$2}'|awk-F='{print$2}';echo-nSerialNumberG:;echo-n;dmidecode-schassis-serial-number;echo-nSerialNumberX:;echo-n;dmidecode-ssystem-serial-number;echo-nAssetTag:;echo-n;dmidecode-schassis-asset-tag;echo-nSSRole:;echo-n;impctlproductshow|awk'/role/{print$2}';echo-nSSPatchLevel:;echo-n;cat/opt/SecureSphere/etc/patch_level|tail-n1;echo-nSSGWName:;echo-n;impctlgatewayshow|grepname|awk'{print$2}';echo-nRegisteredtoMX:;echo-n;impctlgatewayshow|grepserver-address|awk'{print$2}';echo输出样例:2)设备状态检查使用Web管理界面登陆管理界面后,进入MonitorDashboard,我们可对设备的整体工作状态进行检查。如果发现ServerGroups中出现感叹号和红叉,说明被保护的服务器配置有异常,需要进入对应的ServerGroup进行检查并修正。3)许可证和ADC更新AdminLicensing,检查许可证情况需要注意许可证是否快要过期,如果许可证过期后将无法登陆管理界面,会严重影响WAF的使用。进入AdminADC,检查ADC是否更新到最近的更新。ADC更新包含了最新的攻击特征代码、策略模板等,因此如果要WAF更好的针对最新攻击进行防御,必须确保ADC更新已经更新到了最新。4)设备性能检查管理服务器的性能检查,AdminSystemPerformanceManagementServer管理服务器进程负责了多种系统任务,包括GUI---Web界面的显示Monitoring---Alert的汇聚和记录Learning---Profile的学习Audit---审计日志的记录Jobs---定期系统任务的执行GatewayUpdates---网关配置的更新FollowedActions---后续执行动作注意:Monitoring负载过高说明系统正在大量记录Alerts信息,我们需要到Alerts中查看,发现是否因为错误的规则配置造成了大量告警生成。修正策略后则可降低Monitoring的负载。Learning负载过高说明目前仍然有大量Profile学习内容在进行,我们需要到Profile中确认是否因为网页应用有大量动态页面造成Profile学习内容过多,可以通过样式或者插件的方式来减少学习的负载。Gateway的性能检查,AdminSystemPerformanceGateways&Agents通过这个部分可以了解网关的工作负载。建议网关的CPU负载平均在50%以下,否则则需考虑改变网络架构或升级网关设备了。5)Profile检查ImpervaProfile的数量有上限值,因此,我们首先会检查Profile是否已经达到了上限。如果是大量系统生成的动态页面过多导致,我们建议通过插件来优化;如果的确是网页应用有很多页面需要学习,那么可以适当调整上限值。ProfileOverview,查看每一个Application学习到的页面数量,缺省上限值是一个Application最多学习5000个动态页面。注意:如果到达上限值,则新的页面会停止学习。ProfileDetails对应的Application,可以查看具体Profile学习的内容。如下图就是大量系统自动生成的动态页面,我们需要通过插件方式优化减少。如果确定需要调整Profile的上限值,可进入下面的页面进行调整AdminSystemDefinitionsProfileSizeLimits6)Alerts检查Alerts的检查主要分为两个方面:1)是否存在了明显的误阻拦的情况,需要进行策略的调整和优化2)是否存在了大量重复的告警事件,这将影响设备性能进入MonitorAlerts可对上述两种问题进行检查。针对于情况一,我们可以通过过滤器筛选已经阻拦的告警事件然后注意查看告警细节。针对于情况二,我们可以通过排序方式,排序事件数量,查看事件数量最多的违规事件,如果这些违规事件是已知风险,例如,F5设备健康检查会被判断为不标准的HTTP请求,那么我们应该调整相关策略,添加例外,减少这种已知风险的违规。7)系统日志检查系统日志反映了系统的运行状况,我们可以通过查看系统日志发现系统级别的故障,例如,设备模块故障、系统任务失败等等MonitorSystemEvents,我们可以通过过滤器查看High级别的系统事件8)设备配置备份我们应该定期的对系统配置进行备份,以备设备出现故障时可及时恢复。我们可以通过计划任务方式来进行:AdminMaintenanceExportSystem也可以通过命令行下full_expimp.sh脚本来完成。该方法请参考UserGuide