F5 ASM的快速配置手册-赵文明
- 格式:doc
- 大小:2.10 MB
- 文档页数:43
BIG-IP Application Security Manager快速配置手册目录目录 (2)1 前言 (3)2 网络构架 (3)2.1串联部署 (3)2.2透明部署 (3)3 激活License (3)3.1登录ASM设备 (4)3.2激活license (4)3.3 Provisioning ASM module (5)4 标准配置步骤 (7)4.1 配置httpclass (7)4.1.1 从LTM的Profile作为配置入口 (7)4.1.2 从ASM的Classes作为配置入口 (9)4.2 将httpclass关联到VS上面 (10)4.3 配置ASM上面的Web Application (12)5 快速策略配置 (12)6 策略维护 (19)6.1 Wildcard策略的添加 (20)6.2 学习到的Profile的添加 (24)6.2.1 修改和完善File Types、URLs、Parameters学习参数 (24)6.2.2 URLs的默认配置和修改 (24)6.2.2 URLs的默认配置和修改 (26)6.2.3 Parameters的默认配置和修改 (27)6.3 Attack Signatures的配置和更新 (29)6.3.1 Attack Signatures的配置方法 (29)6.3.2 更新Attack Signatures特征库 (30)6.4 Policy从Transparent向Blocking的变更操作 (31)6.5 完成之后需要更新Policy策略的方法 (32)7 测试效果验证 (33)7.1 修改header和cookies的长度来验证效果 (33)7.2查看ASM的reporting来验证效果 (34)8查看ASM信息 (37)8.1 显示ASM logs (37)8.2 启动或者停止ASM (37)9 ASM双机配置 (37)9.1 硬件心跳方式 (38)9.2 网络心跳方式 (39)10配置文件备份 (42)11总结 (42)1 前言配置F5 Application Security Manager(ASM)需要一定的LTM基础,并且要求:了解ASM的基本工作原理和流程,可以看懂基本的配置要素;了解HTTP等协议的规范;了解常见的Web安全漏洞和相关的攻击方式;了解被动安全和主动安全防御方式的区别;了解后台Web服务器的类型,是IIS、Apache 、Apache Tomcat或者其它了解后台App服务器的编程语言,是ASP、JSP、PHP、、Weblogic或者其它了解后台DB的类型,是MySQL、Oracle、Postgre SQL 、IBM DB2或者其它了解客户应用环境的负载情况;安装最新的操作系统和HF补丁,目前最新版本是10.2.0,并且推荐以卷管理的方式安装在硬盘分区而不是CF卡上。
需要说明的是,ASM不同版本的个别菜单界面显示不同,本文以V10.2.0为例予以描述。
2网络构架2.1串联部署F5 ASM有standalone设备,也可以作为Module形式共存在3600及其3600以上V10硬件平台。
一般采用串接方式部署,需要更改客户的网络架构;正式上线环境推荐使用串接部署方式。
2.2透明部署F5 ASM也可以支持透明部署,但是由于ASM透明部署需要配置Vlangroup,所以不建议生产环境采用这种结构. 详细的配置方法见ASKF5上的SOL9372: Configuring BIG-IP ASM in transparent bridge mode 。
3 激活License激活ASM Module的同时也激活了PSM Module,但是PSM不能单独配置和使用,而是作为ASM的一部分使用和配置.并且不同版本的ASM显示界面和菜单位置略有区别,其硬件和系统软件的组合列表如下:对于新一代V10对应的硬件平台来说,V10.1.0之后的变化:1、ASM单独只能跑在4100(D46)、3600(C103)、3900(C106)、6900(D104)、8900(D106)平台;2、WA、ASM和LTM只能共存在3600(C103)、3900(C106)、6900(D104)、8900(D106)、8950(D107)、11050(E102)平台;补充:V10.0.0和V10.0.1版本,WA和ASM只能共存在6900(D104)和8900(D016)平台。
3、GTM、ASM、LTM可以共存在3600(C103)、3900(C106)、6900(D104)、8900(D106)、8950(D107)、11050(E102)平台;补充:V10.0.1版本,GTM和ASM只能共存在6900(D104)和8900(D016)平台。
4、APM、ASM、LTM可以共存在3600(C103)、3900(C106)、6900(D104)、8900(D106)、8950(D107)、11050(E102)平台;3.1登录ASM设备登录ASM有WEB或者CLI两种方式,和登录LTM设备没有什么两样,本文略去具体参数设置和登录步骤。
3.2激活license请按照激活license的标准步骤实施,本文略去具体步骤。
License激活后,在System License的页面会看到如下ASM 的License被激活3.3 Provisioning ASM module请在System ›› Resource Provisioning页面中按照截图中的显示点击相应的选项:确认以下界面中包含了ASM模块,并且通过上图的方式被激活.4 标准配置步骤4.1 配置httpclass4.1.1 从LTM的Profile作为配置入口从LTM的Profile作为配置入口可以配置,不过我们推荐4.1.2的方式。
点击Local Traffic→Virtual Servers->Profiles→Protocol-->HTTP Class,然后再点击“Creat”按钮:其中:Hosts配置:如果后台pool 里面有多个应用,多个host名称或IP,那么建议填写具体的应用的host名称或IP;如果只有一个,可以选择ALL也可以具体填写;Actions配置:None表示不使用ASM而送到VS关联的default pool;Pool表示送到特定的、包含Web应用的资源池;一般我们选择此项。
Redirection to 重定向到一个特定的站点。
注意:对于Pool的配置注意一下两点:首先如果在Send To配置了Pool而VS没有配置default pool的话,如果访问正确匹配HTTP class,访问会经过ASM处理再送到Pool,如果不匹配会丢掉访问。
但是如果VS配置了default pool而Send To没有配置,如果业务访问没有匹配该HTTP class,会直接访问default pool 而失去安全防护。
4.1.2 从ASM的Classes作为配置入口配置路径(推荐),点击Application Security->Classes,然后再点击“Create“按钮.这里和上节进入的是同一个HTTP Class的配置界面,配置方法相同.4.2 将httpclass关联到VS上面点击Local Traffic->Virtual Servers,然后点击目标VS Name:点击“Resources”按钮,将目标HTTP Class选中,并且“Finished”:至此HTTP Class和VS的关联配置完成4.3 配置ASM上面的Web Application创建完http class后,在ASM的配置界面中,会自动生成一个和http class名字一样的web application.5 快速策略配置配置要求:ASM系统OS成功安装,并且激活ASM的License.需要启用ASM的VS和Pool已经创建,需要SSL时可以启用.将VS和POOL关联起来后,测试对于业务网站的访问正常,但是注意启用ASM时要将VS和POOL的关联断开.针对业务启用ASM的HTTP Class创建成功.针对标准配置要求的参数配置请参考上面的标准配置部分。
本节完成的配置任务:针对WEB应用初始化一个基准策略.确认WEB应用的HTTP通讯经过ASM处理.针对WEB应用对策略做必要的调整.建立应用安全防护的维护流程.注意:XML的部署是类似的,但是也有一些不同之处,我们在这里不作讨论。
快速部署配置步骤如下:1.点击“Configure Security Policy”按钮对应的内容,进行下一步的设置,至此策略配置开始:2.此处推荐选择“Manual Deployment”方式,并点击NEXT .请按照下图的步骤操作:其中:Application Language配置:可以通过浏览器查看编码然后选择正确编码选项。
如果不知道也可以选择Unicode(UTF-8)Application-ready Security Policy配置:选择Rapid Deployment Security Policy (http),建立一个快速部署的缺省安全策略,并点击NEXT。
3.点击“Next”按钮之后,如下所示需要根据后台WEB站点的配置情况,选择和后台应用相关的合适的AttackSignature到缺省的Policy中去。
以减少误报的风险,General Database、Various System、Systems Independent是默认就有的缺省配置,其中包含了超过70%的有用的攻击特征.4.继续点击“Next”按钮,页面显示你选择的策略配置摘要,其中包括自动分配的攻击特征集5.继续点击“Finish”按钮,进入下一步.6.注意有时会显示如下配置界面,注意保持策略为Transparent模式不变,根据需要修改注释等,点击save保存配置7.配置完毕后,我们转到Blocking策略的页面:8.以上配置中,在Enforcement Mode中切换Transparent到Blocking.修改所有Violation,关闭所有的Block( 去掉CheckBox上的打勾).注意:这里关闭每个Violation的Blocking并非是为了出现误报时不会阻挡数据通讯.而是ASM存在一个机制即在策略的全局级别和针对每个Violation的级别上可以分别提供控制.这样通过全局级别也就是在Policy 上打开Blocking模式,但是在Violation上关闭所有的Blocking设置,我们可以为部署ASM提供更好的吞吐性能,尤其在高负载的应用环境下部署ASM.技巧:如果部署ASM的网站负载比较高,可以考虑关闭Data Guard 通过如下图示中Checkbox.9.接下来检查FileTypes,URLs和Parameters的相应配置策略,注意打开针对FileTypes和Parameters的wildcard策略的Tightening. ,URLs的Tightening根据实际情况决定是否需要Tightening.注意:1.前面的配置步骤会针对FileTypes,URLs和Parameters缺省自动生成相应的Wildcard的3个策略条目.2.针对wildcard的策略只允许打开Tightening,不要打开Staging,更不需要二者同时打开.我们建立了Policy。