本帖最后由 赵庆煜 于 2023-12-25 14:12 编辑
1.需求背景
在用户访问Web网站的过程中,Web服务器也会传递很多信息到客户端,对于正常访问人员来说并不需要了解到这些信息,只关注业务的访问情况即可。而对于非法用户,获取这类信息后,可以了解用户Web系统的服务器名称、指定支持的WEB应用技术等。同时根据这些信息,可以快速获取这些具体的版本信息所存在的历史漏洞情况,减少攻击成本,使得服务器安全威胁大大增加。
2.功能介绍 AF对HTTP/FTP协议中,敏感的信息进行隐藏,在不影响正常用户的访问请求同时,把协议中所配置的敏感信息不对外提供出来,减少信息泄露风险。该功能包括隐藏“ftp”的版本信息、“http的定义头部字段、替换“http的4XX、5XX错误返回页面三项功能。 3.应用场景 通过部署AF在WEB服务器前端,对访问数据中心的Web应用业务流量进行深度检测,发现所配置的需要隐藏的敏感信息后,自动进行信息替换或者优化,达到防护效果。 4.配置案列 某用户有一个对外的门户网站,目前与用户了解,此网站使用的是标准80端口的http协议对外提供服务,目前除了出口的AF,无其他应用层防护设备。在AF上已完成常规的WEB安全防护,同时我们与用户提出,建议开启应用隐藏功能,提高WEB防护的有效性简单的逻辑拓扑如下图: 5.配置思路 a.完成业务系统的对象定义,且完成对服务器业务地址的DNAT策略配置。 b.进入[对象]-[安全策略模板] -[WEB应用防护],完成对象模板新增。手动开启并配置[应用隐藏]功能;
c.进入[策略] -[安全策略] -[安全防护策略],完成[业务防护策略] 关于“WEB应用防护”功能的策略配置。
e.点击[监控]-[安全日志],是否可查看到相应的“WEB应用防护”日志。 注意事项 应用隐藏的FTP隐藏和4xx/5xx替换默认开启,但HTTP头部字段隐藏的功能需要单独开启。 应用隐藏默认不开启“日志记录”功能,需要单独开启。 应用隐藏的“日志记录”功能,只支持记录4xx/5xx替换的日志。 如果访问页面返回"Sorry, Page Not Found ",可以确认为是AF的应用隐藏功能进行的页面替换的结果。 |