web应用防护系统使用常见问题

Web应用防护能给用户带来什么价值
(1)降低数据泄漏风险
 
(2)支撑Web服务可用性
 
(3)控制恶意访问
 
(4)保护Web客户端

Web应用防护产生的安全事件的风险等级分为几个等级
安全事件的风险等级分组3个等级,分别为低、中、高;【告警管理】中的风险等级当选择中,则当站点收到高、中风险等级的攻击都会触发告警。

Web应用防护目前的部署方式是什么
目前Web应用防护采用旁路部署模式。

怎么触发防护
首先需要购买WEB应用防护安全服务能力,然后在防护站点页面新增防护,开启后则对已设置的防护目标进行防护。

目前产生的攻击日志支持对哪些字段进行筛选查询
支持对日志产生的时间、时间类型、风险等级进行筛选查询。

什么是回源IP
回源IP是WAF用来代理客户端请求服务器时用的源IP,在服务器看来,接入WAF后所有源IP都会变成WAF的回源IP,而真实的客户端地址会被加在HTTP头部的XFF字段中。       
在接入WAF后,您应确保源站已将WAF的全部回源IP放行(加入白名单),不然可能会出现网站打不开或打开极其缓慢等情况。

为何要放行回源IP段
接入Web应用防护后,WAF设备作为一个代理存在于客户端和服务器之间,在源站(真实服务器)看来,所有的请求源IP都会变成WAF设备的回源IP段,所以在这种情况下,安全组和云防火墙针对源IP的过滤不会生效。

购买Web应用防护后安全组和云防火墙针对源IP的过滤为何不生效
安全组和云防火墙目前只能看到的包都是源自回源IP,在这个层面上无法获取到真实源IP,这种情况下,需要在客户源站服务器上做XFF字段的解析和过滤

订购Web应用防护后配置了端口策略后业务仍然不通
请检查相应资源池的站点防护中配置的端口协议与业务端口协议是否一致,如果不一致,会引起业务中断,请修改或取消该端口防护配置。

主流证书格式有哪些
一般来说,主流的Web服务软件,配置的证书私钥,通常是基于OpenSSL和Java两种基础密码库实现,大致如下
 
 Tomcat、Weblogic、JBoss等Web服务软件,一般使用Java提供的密码库。通过Java Development Kit (JDK)工具包中的Keytool工具,生成Java Keystore(JKS)格式的证书文件;
 
 Apache、Nginx等Web服务软件,一般使用OpenSSL工具提供的密码库,生成PEM等格式的证书文件;
 
 微软Windows Server中的Internet Information Services(IIS)服务,使用Windows自带的证书库生成PFX格式的证书文件;

如何判断证书文件是文本格式还是二进制格式
您可以使用以下方法简单区分带有后缀扩展名的证书文件:
 
 DER文件: 这样的证书文件一般是二进制格式,只含有证书信息,不包含私钥;
 
 PEM文件: 这样的证书文件一般是文本格式,可以存放证书或私钥,或者两者都包含。 PEM 文件如果只包含私钥,一般用.KEY文件代替;
 
 PFX或P12文件: 这样的证书文件是二进制格式,同时包含证书和私钥,且一般有密码保护;
或者您可以直接打开证书文件,如果内容如下:
 
BEGIN CERTIFICATE
 
MIIE......
END CERTIFICATE
 
那么,该证书文件是文本格式的。如果存在BEGIN CERTIFICATE,则说明这是一个证书文件;如果存在BEGIN RSA PRIVATE KEY,则说明这是一个私钥文件;

其他格式的证书如何转换为PEM格式的证书
您可以借助OpenSSL工具,使用如下命令行的方式实现不同证书格式向PEM的转换:
 
DER转换为PEM
DER格式通常使用在Java平台中,证书文件后缀一般为.der
运行以下命令进行证书转化:openssl x509 inform der in certificate.der out certificate.pem
运行以下命令进行私钥转化:openssl rsa inform DER outform PEM in privatekey.der out privatekey.pem

P7B转换为PEM
P7B格式通常使用在Windows Server和Tomcat中
运行以下命令进行证书转化:openssl pkcs7 print_certs in incertificate.p7b out outcertificate.cer

PFX转换为PEM
PFX格式通常使用在Windows Server中
运行以下命令提取证书:openssl pkcs12 in certname.pfx nokeys out cert.pem
运行以下命令提取私钥:openssl pkcs12 in certname.pfx nocerts out key.pem nodes