网络安全管理员_三级_操作技能考核解题过程（10）

69 阅读 0 评论 46 点赞

我是靠谱客的博主犹豫心锁，最近开发中收集的这篇文章主要介绍网络安全管理员_三级_操作技能考核解题过程（10），觉得挺不错的，现在分享给大家，希望可以做个参考。

概述

配置openwaf应用防火

1. 场地设备要求

（1）计算机一台

（2）安装有 openwaf 的虚拟机

2.工作任务

公司网站新增了一个waf 防火墙，要求配置如下的安全策略：
1.设置保护服务器IP 和端口号分别为192.168.2.1、8000；
2.设置规则引擎：允许在周一到周五的早上9 点至晚上18 点访问，禁止访
问/admin 目录，并且设置192.168.6.0/24 网段不允许访问。
3.设置CC 防护：单一源ip 每秒新建连接数不超过35 个，单一源ip 防护期
间内连接总数为85 个，单一路径每秒请求总数为25 个，清洗时长设置为20 秒。

设置保护服务器 IP 和端口号分别为 192.168.2.1、8000；

首先要理清openwaf安装在的位置，查找其配置及文件后修改配置文件生效。

配置文件通常在：/etc/ngx_openwaf.conf或/opt/openwaf/conf/ngx_openwaf.conf

规则文件通常在：/root/openwaf/conf/twaf_access_rule.json

或：/opt/OpenWAF/conf/twaf_access_rule.json

答案：修改配置文件：twaf_access_rule.json

"forward_addr": "192.168.2.1", -- 后端服务器ip地址，即需要防护的目标网站地址

"forward_port": "8000", -- 后端服务器端口号（缺省80），即需要防护的目标网站端口

设置规则引擎：允许在周一到周五的早上 9 点至晚上 18 点访问，禁止访问/admin 目录，并且设置 192.168.6.0/24 网段不允许访问。

设置规则引擎：允许在周一到周五的早上 9 点至晚上 18 点访问，禁止访问/admin 目录，并且设置 192.168.6.0/24 网段不允许访问。

需要使用：user_defined_rules模块在编辑OpenWAF/lib/twaf/inc/knowledge_db/twrules/rules.json 添加以下规则

"user_defined_rules":[
    {
        "id": "1000001",
        "release_version": "858",
        "charactor_version": "001",
        "disable": false,
        "opts": {
            "nolog": false
        },
        "phase": "access",
        "action": "deny",
        "meta": 403,
        "severity": "high",
        "rule_name": "relative time",
        "desc": "周一至周五的9点至18点，禁止访问/admin目录",
        "match": [{
            "vars": [{
                "var": "URI"
            }],
            "operator": "begins_with",
            "pattern": "/admin"
        },
        {
            "vars": [{
                "var": "TIME_WDAY"
            }],
            "operator": "equal",
            "pattern": ["1", "2", "3", "4", "5"]
        },
        {
            "vars": [{
                "var": "TIME"
            }],
            "operator": "str_range",
            "pattern": ["09:00:00-18:00:00"]
        }]
    },
    {
        "id": "1000002",
        "release_version": "858",
        "charactor_version": "001",
        "disable": false,
        "opts": {
            "nolog": false
        },
        "phase": "access",
        "action": "deny",
        "meta": 403,
        "severity": "high",
        "rule_name": "iputil",
        "desc": "某ip段内不许访问",
        "match": [{
            "vars": [{
               "var": "REMOTE_ADDR"
            }],
            "operator": "ip_utils",
            "pattern": ["192.168.6.0/24"]
        }]
    }
]

3.设置 CC 防护：单一源 ip 每秒新建连接数不超过 35 个，单一源 ip 防护期间内连接总数为 85 个，单一路径每秒请求总数为 25 个，清洗时长设置为 20 秒。

waf_anti_cc 的 0.0.3 版有此功能：

{
    "twaf_limit_conn": {
        "state":true,                 #CC防护模块开关
        "log_state":true,                  #CC日志开关
        "trigger_state":true,                 #触发开关
        "clean_state":true,                   # 清洗开关
        "trigger_thr":{                          # 触发阈值（关系为“或”）
            "req_flow_max":1073741824,  # 每秒请求流量，单位B
            "req_count_max":10000   #每秒请求数
        },
        "clean_thr":{   #清洗阈值
            "new_conn_max":35,# 单一源ip每秒新建连接数
            "conn_max":85, #单一源ip防护期间内连接总数
            "req_max":50, #单一源ip每秒请求总数
            "uri_frequency_max":25 #单一路径每秒请求总数
        },
        "attacks": 1, # -- 在一次CC攻击过程中，某ip触发清洗值的次数大于attacks，则此ip会一直被拦截，直到CC攻击结束
        "timer_flush_expired":10, #清理shared_dict过期数据的时间间隔
        "interval":10, #进入CC防护后发送日志的时间间隔，单位秒
        "shared_dict_name":"twaf_limit_conn", # 存放其他信息的shared_dict
        "shared_dict_key": "remote_addr", #shared_dict的键值
        "action":"DENY",  # 触发CC防护执行的动作
        "action_meta":403,
        "timeout":20#清洗时长（当再次触发清洗值时，重置）
    }
}