管理用戶使用手冊

TITLE冰之眼Web應(yīng)用防火墻Web管理用戶使用手冊?DATE\@"yyyy"2023綠盟科技

■版權(quán)聲明?2023綠盟科技本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬綠盟科技所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護。任何個人、機構(gòu)未經(jīng)綠盟科技的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文獻的任何片斷?！錾虡?biāo)信息NSFOCUS和冰之眼等均是綠盟科技的商標(biāo)。目錄TOC\h\z\t"附錄1（綠盟科技）,1,附錄2（綠盟科技）,2,附錄3（綠盟科技）,3,附錄4（綠盟科技）,4,標(biāo)題1（綠盟科技）,1,標(biāo)題2（綠盟科技）,2,標(biāo)題3（綠盟科技）,3"前言 1文檔范圍 1盼望讀者 1內(nèi)容簡介 1獲得幫助 1格式約定 3一.概述 51.1產(chǎn)品概述 51.2公司簡介 6二.登錄Web界面 82.1登錄方法 82.2布局介紹 9三.引擎Web管理 113.1首頁 113.1.1狀態(tài) 113.1.2事件 123.2系統(tǒng) 133.2.1升級與恢復(fù) 133.2.2下載與備份 133.2.3安全中心連接 143.2.4網(wǎng)絡(luò)診斷工具 143.2.5用戶管理 163.2.6證書與附加設(shè)立 183.2.7系統(tǒng)控制 213.3網(wǎng)絡(luò) 213.3.1接口 213.3.2安全區(qū) 233.4對象 243.4.1Web 243.4.2網(wǎng)絡(luò) 293.4.3域名 353.4.4服務(wù) 383.4.5時間 433.5策略 453.5.1Web應(yīng)用防護 453.5.2網(wǎng)絡(luò)訪問控制 483.5.3Web應(yīng)用掃描 513.6報表 533.6.1事件報表 533.6.2查詢報表 543.6.3審計報表 553.6.4Web應(yīng)用掃描報表 563.7幫助 58四.引擎串口管理 594.1功能概述 594.2登錄串口 594.3具體介紹 624.3.1查看系統(tǒng)信息 624.3.2配置安全中心 634.3.3診斷工具 644.3.4維護工具 654.3.5系統(tǒng)初始化 664.3.6重新啟動系統(tǒng) 664.3.7存儲當(dāng)前設(shè)立 674.3.8退出配置界面 67附錄A 出廠參數(shù) 68A.1 引擎管理口初始設(shè)立 68A.2 引擎初始用戶 68A.2.1 Web管理員初始帳號 68A.2.2 串口管理員初始帳號 68A.3 安全中心管理員初始帳號 68A.4 串口通訊參數(shù) 68

插圖索引TOC\h\z\t"插圖標(biāo)注（綠盟科技）,1"圖2.1登錄時的安全警報界面 8圖2.2冰之眼WAF的Web管理登錄界面 8圖2.3冰之眼WAF當(dāng)前的運營狀態(tài)信息 9圖2.4冰之眼WAF的Web管理界面 10圖3.1引擎接口的當(dāng)前狀態(tài)信息 11圖3.2引擎的當(dāng)前狀態(tài)信息 11圖3.3系統(tǒng)的當(dāng)前狀態(tài)信息 11圖3.4冰之眼WAF引擎實時告警信息和流量信息的整體界面 12圖3.5系統(tǒng)–導(dǎo)入升級文獻 13圖3.6系統(tǒng)–下載文獻 13圖3.7系統(tǒng)–配置引擎的安全中心 14圖3.8系統(tǒng)–當(dāng)前的網(wǎng)絡(luò)連接狀態(tài)和網(wǎng)卡狀態(tài) 15圖3.9系統(tǒng)–網(wǎng)絡(luò)診斷工具（ping工具） 15圖3.10系統(tǒng)–網(wǎng)絡(luò)診斷工具（traceroute工具） 16圖3.11系統(tǒng)–網(wǎng)絡(luò)診斷工具（hping工具） 16圖3.12系統(tǒng)–網(wǎng)絡(luò)診斷工具（nmap工具） 16圖3.13系統(tǒng)–用戶管理 17圖3.14系統(tǒng)–證書信息 19圖3.15系統(tǒng)–高可用性設(shè)立 19圖3.16系統(tǒng)–附加設(shè)立管理 21圖3.17系統(tǒng)–系統(tǒng)控制 21圖3.18網(wǎng)絡(luò)–引擎網(wǎng)絡(luò)接口列表 22圖3.19網(wǎng)絡(luò)–編輯網(wǎng)絡(luò)接口信息 22圖3.20網(wǎng)絡(luò)–安全區(qū)列表 23圖3.21網(wǎng)絡(luò)–新建安全區(qū) 23圖3.22對象–系統(tǒng)Web對象列表 25圖3.23對象–編輯系統(tǒng)Web對象 25圖3.24對象–自定義Web對象列表 26圖3.25對象–新建自定義Web對象 27圖3.26對象–Web組對象列表 28圖3.27對象–新建Web組對象 28圖3.28對象–選擇Web組對象包含的對象 29圖3.29對象–網(wǎng)絡(luò)對象列表 30圖3.30對象–新建網(wǎng)絡(luò)對象 30圖3.31對象–節(jié)點對象列表 31圖3.32對象–新建節(jié)點對象 31圖3.33對象–IP池對象列表 32圖3.34對象–新建IP池對象 32圖3.35對象–網(wǎng)絡(luò)組對象列表 33圖3.36對象–新建網(wǎng)絡(luò)組對象 34圖3.37對象–選擇網(wǎng)絡(luò)組對象包含的對象 34圖3.38對象–自定義域名對象列表 35圖3.39對象–新建自定義域名對象 36圖3.40對象–域名組列表 37圖3.41對象–新建域名組對象 37圖3.42對象–選擇域名組對象包含的對象 38圖3.43對象–系統(tǒng)服務(wù)對象列表 39圖3.44對象–自定義服務(wù)對象列表 39圖3.45對象–新建自定義服務(wù)對象 40圖3.46對象–服務(wù)組對象列表 41圖3.47對象–新建服務(wù)組對象 42圖3.48對象–選擇服務(wù)組對象包含的對象 42圖3.49對象–自定義時間對象列表 43圖3.50對象–新建自定義時間對象 43圖3.51對象–時間組對象列表 44圖3.52策略–Web應(yīng)用防護規(guī)則列表 46圖3.53策略–添加Web應(yīng)用防護規(guī)則 46圖3.54策略–移動Web應(yīng)用防護規(guī)則的位置 48圖3.55策略–網(wǎng)絡(luò)訪問控制規(guī)則列表 49圖3.56策略–添加訪問控制規(guī)則 49圖3.57策略–移動網(wǎng)絡(luò)訪問控制規(guī)則的位置 51圖3.58策略–Web應(yīng)用掃描規(guī)則列表 51圖3.59策略–添加Web應(yīng)用掃描規(guī)則 52圖3.60報表–事件具體報表 53圖3.61報表–查詢報表 55圖3.62報表–審計報表 55圖3.63報表–Web應(yīng)用掃描報表 56圖3.64報表–查看Web應(yīng)用掃描結(jié)果 57圖4.1超級終端運營的位置信息 59圖4.2輸入超級終端連接描述 60圖4.3選擇超級終端連接端口 60圖4.4設(shè)立超級終端連接端口 61圖4.5選擇引擎管理菜單語言 61圖4.6引擎串口管理–查看系統(tǒng)信息 63圖4.7引擎串口管理–配置網(wǎng)絡(luò)引擎參數(shù) 64圖4.8引擎串口管理–診斷工具 64圖4.9引擎串口管理–維護工具 65圖4.10引擎串口管理–系統(tǒng)初始化 66圖4.11引擎串口管理–重新啟動系統(tǒng) 67圖4.12引擎串口管理–存儲當(dāng)前設(shè)立 67前言文檔范圍本文將覆蓋冰之眼Web應(yīng)用防火墻（ICEYEWebApplicationFirewall，以下簡稱冰之眼WAF）的Web管理界面的所有功能點，具體介紹使用方法。盼望讀者盼望了解本產(chǎn)品重要技術(shù)特性和使用方法的用戶、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等。本文假設(shè)您對下面的知識有一定的了解：系統(tǒng)管理Linux和Windows操作系統(tǒng)Internet協(xié)議內(nèi)容簡介一、概述：冰之眼WAF的概述以及綠盟科技公司的簡介。二、登錄Web管理界面：介紹冰之眼WAF引擎的Web管理界面的登錄方法和注意事項，以及界面布局和相關(guān)含義說明。三、引擎Web管理：具體介紹冰之眼WAF引擎的Web管理方式下，各項功能的操作方法。四、引擎串口管理：具體介紹冰之眼WAF引擎的串口管理界面的各功能菜單。附錄：冰之眼WAF引擎（硬件）和安全中心的出廠默認(rèn)配置，以及串口通訊參數(shù)。獲得幫助獲取網(wǎng)絡(luò)安全相關(guān)資料可以訪問綠盟科技網(wǎng)站：獲取冰之眼WAF相關(guān)最新信息可以訪問網(wǎng)址：獲取冰之眼SCM相關(guān)最新信息可以訪問網(wǎng)址：獲取冰之眼SAS相關(guān)最新信息可以訪問網(wǎng)址：獲取冰之眼NIPS相關(guān)最新信息可以訪問網(wǎng)址：獲取冰之眼NIDS相關(guān)最新信息可以訪問網(wǎng)址：獲取更詳盡的綠盟科技網(wǎng)絡(luò)安全專業(yè)服務(wù)信息、商務(wù)信息，您可通過如下方式和我們聯(lián)系：北京總部地址：北京市海淀區(qū)北洼路4號益泰大廈3層郵編：100089客戶服務(wù)熱線：400-818-6868（手機和固話均可撥打）非工作時間服務(wù)熱線：傳真：客戶支持中心網(wǎng)站：Email：北京分公司地址：北京市海淀區(qū)車道溝一號青東商務(wù)區(qū)A座東十層郵編：100089電話：傳真：上海分公司地址：上海市徐匯區(qū)漕寶路221號怡寶商務(wù)園區(qū)2號樓5樓郵編：202333電話：/92，64823701傳真：廣州分公司地址：廣州市人民中路555號美國銀行中心1702室郵編：510180電話：/52傳真：/52成都分公司地址：成都市青龍街51號倍特康派大廈15樓2座郵編：610031電話：/4028傳真：/4028武漢分公司地址：武漢市漢口解放大道686號世界貿(mào)易大廈4606郵編：430023電話：傳真：西安分公司地址：西安市高新區(qū)高新一路25號創(chuàng)新大廈N602郵編：710075電話：傳真：沈陽分公司地址：沈陽市沈河區(qū)北站路55號財富大廈C座2-16-1郵編：110013電話：/3115傳真：/3115格式約定粗體字——命令和關(guān)鍵字斜體字——需要您輸入的變量——使用技巧、建議和引用信息等——重要信息【XXX】——菜單名稱和按鈕名稱的表達方式【A】【B】——菜單項選擇的表達方式注：本文中所有圖例均為屏幕截取。概述產(chǎn)品概述近年來，互聯(lián)網(wǎng)網(wǎng)站所面臨的安全問題越來越復(fù)雜，安全威脅正在飛速增長。網(wǎng)站的安全性也越來越多地受到廣大用戶的關(guān)注。我們可以看到：網(wǎng)站漏洞百出，被篡改網(wǎng)站數(shù)量明顯上升根據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)解決協(xié)調(diào)中心（簡稱CNCERT/CC）2023年上半年的工作報告顯示：目前中國的互聯(lián)網(wǎng)安全實際狀況仍不容樂觀。各種網(wǎng)絡(luò)安全事件與去年同期相比都有明顯增長。對政府類和安全管理相關(guān)類網(wǎng)站重要采用篡改網(wǎng)頁的襲擊形式，以達成泄憤和炫耀的目的，也不排除放置惡意代碼的也許，導(dǎo)致政府類網(wǎng)站存在安全隱患。對中小公司，特別是以網(wǎng)絡(luò)為核心業(yè)務(wù)的公司，采用有組織的分布式拒絕服務(wù)襲擊（DDoS）襲擊等手段進行勒索，從而迫使公司接受相應(yīng)條件，影響公司正常業(yè)務(wù)的開展。2023年上半年，中國大陸被篡改網(wǎng)站的數(shù)量相比往年處在明顯上升趨勢。網(wǎng)站安全問題嚴(yán)重，襲擊手段層出不窮網(wǎng)站的安全問題嚴(yán)重，安全漏洞很多，并且防范困難。在SANSTop-20InternetSecurityAttackTargets中，WebApplications的安全漏洞名列前茅。以常見的Web襲擊為例，共分為兩類：一是運用Web服務(wù)器的漏洞進行襲擊，如CGI緩沖區(qū)溢出、目錄遍歷漏洞運用等襲擊；二是運用網(wǎng)頁自身的安全漏洞進行襲擊，如SQL注入、跨站腳本襲擊等。常見的針對Web應(yīng)用的襲擊有：緩沖區(qū)溢出——襲擊者運用超過緩沖區(qū)大小的請求和構(gòu)造的二進制代碼讓服務(wù)器執(zhí)行溢出堆棧中的惡意指令Cookie假冒——精心修改cookie數(shù)據(jù)進行用戶假冒認(rèn)證逃避——襲擊者運用不安全的證書和身份管理非法輸入——在動態(tài)網(wǎng)頁的輸入中使用各種非法數(shù)據(jù)，獲取服務(wù)器敏感數(shù)據(jù)強制訪問——訪問未授權(quán)的網(wǎng)頁隱藏變量篡改——對網(wǎng)頁中的隱藏變量進行修改，欺騙服務(wù)器程序拒絕服務(wù)襲擊——構(gòu)造大量的非法請求，使Web服務(wù)器不能響應(yīng)正常用戶的訪問跨站腳本襲擊——提交非法腳本，其他用戶瀏覽時盜取用戶帳號等信息SQL注入——構(gòu)造SQL代碼讓服務(wù)器執(zhí)行，獲取敏感數(shù)據(jù)冰之眼Web應(yīng)用防火墻（冰之眼WAF）是綠盟科技自主知識產(chǎn)權(quán)的新一代安全產(chǎn)品，作為一種in-line產(chǎn)品，部署在Web應(yīng)用服務(wù)器前端，其設(shè)計目的為：準(zhǔn)確監(jiān)測、辨認(rèn)各類針對Web應(yīng)用的襲擊型流量并進行實時阻斷，緩解針對Web應(yīng)用的DDoS襲擊，掃描Web應(yīng)用安全漏洞以提高Web應(yīng)用自身的安全。這類產(chǎn)品提供實時的、深度的、積極的安全防御，為政府/公司、互聯(lián)網(wǎng)公司以及IDC提供了一個完善的Web應(yīng)用防護解決方案。冰之眼WAF采用先進的體系架構(gòu)，集成領(lǐng)先的Web掃描技術(shù)，以全面進一步的協(xié)議分析技術(shù)為基礎(chǔ)，具有特性檢測、協(xié)議異常檢測、拒絕服務(wù)檢測、關(guān)聯(lián)分析為核心的引擎。其重要特點為：深度、精確Web應(yīng)用防護，避免網(wǎng)頁篡改及掛馬，保護網(wǎng)站平安。強大的抗拒絕服務(wù)襲擊能力，流量型和應(yīng)用型DDoS一網(wǎng)打盡。獨特的網(wǎng)游防護，保證網(wǎng)絡(luò)游戲業(yè)務(wù)的高可用性。無縫集成Web漏洞掃描，提供積極安全防御。基于對象的虛擬防護，為每位用戶量身定制安全防護策略，輕松增值。軟/硬件BYPASS、雙機熱備，讓用戶放心部署，保證網(wǎng)絡(luò)高可用。公司簡介綠盟科技成立于2023年4月，是中國第一批提供專業(yè)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)公司之一。在迅速的發(fā)展過程中獲得了不同行業(yè)眾多客戶的認(rèn)同，成為國內(nèi)領(lǐng)先的專業(yè)安全產(chǎn)品和服務(wù)提供商。綠盟科技的總部和研發(fā)中心設(shè)在北京，在北京、廣州、上海、成都、沈陽、西安、武漢建有7個分公司，在濟南、石家莊、福州、長沙、深圳、南寧、?？凇⒛暇?、杭州、南昌、重慶、昆明、貴陽、哈爾濱、長春、蘭州、烏魯木齊、鄭州等地建立了辦事處和技術(shù)支持中心，從而可認(rèn)為我們的用戶提供全國范圍內(nèi)的產(chǎn)品與服務(wù)支持。綠盟科技基礎(chǔ)研究部在業(yè)內(nèi)享有盛譽，長期對國內(nèi)外最新的網(wǎng)絡(luò)安全漏洞進行最及時、最緊密的跟蹤，對重大安全問題通過成立專項研究小組進行技術(shù)攻關(guān)，取得了一系列在國內(nèi)、國際處在領(lǐng)先水平的優(yōu)秀成果，其中涉及：分布式拒絕服務(wù)襲擊（DDoS）防護技術(shù)、Unix高級溢出襲擊技術(shù)、WindowsNetBIOS安全問題、WindowsIIS安全問題、蠕蟲傳播與專殺等。綠盟科技迄今為止已經(jīng)獨立發(fā)現(xiàn)了30余個涉及網(wǎng)絡(luò)安全的重大漏洞，并為Microsoft、SUN、NetScreen、CISCO等國際知名廠商提供過多個安全漏洞修補建議。綠盟科技產(chǎn)品開發(fā)中心具有雄厚的技術(shù)實力和豐富的網(wǎng)絡(luò)安全產(chǎn)品開發(fā)經(jīng)驗。至今已經(jīng)發(fā)布：冰之眼網(wǎng)絡(luò)入侵檢測/保護系統(tǒng)、冰之眼安全審計系統(tǒng)、冰之眼內(nèi)容安全管理系統(tǒng)、極光網(wǎng)絡(luò)漏洞掃描系統(tǒng)、黑洞抗拒絕服務(wù)襲擊系統(tǒng)和矩陣終端安全保護系統(tǒng)等安全產(chǎn)品。所有產(chǎn)品均為綠盟科技獨立自主研發(fā)，并可以提供完全本地化的深度支持。其中黑洞抗拒絕服務(wù)襲擊系統(tǒng)和極光網(wǎng)絡(luò)漏洞掃描系統(tǒng)已經(jīng)居于國際領(lǐng)先地位，入侵檢測/保護產(chǎn)品的部分技術(shù)還對美國安全公司作技術(shù)出口。在多項權(quán)威機構(gòu)測試和用戶評選中，綠盟科技的安全產(chǎn)品均獲得了專家們與用戶的高度評價和認(rèn)同。綠盟科技在2023年一方面提出為客戶提供可定制的專業(yè)安全服務(wù)：NSPS安全服務(wù)體系。為用戶提供兩大類專業(yè)服務(wù)：專業(yè)安全服務(wù)（PSS:ProfessionalSecurityServices）旨在減少用戶在關(guān)鍵業(yè)務(wù)資產(chǎn)的威脅，通過公司級安全評估、安全設(shè)計、安所有署來提高安全管理的實效；可管理安全服務(wù)（MSS:ManagedSecurityServices）為用戶提供完備的實時安全管理外包解決方案，涉及安全監(jiān)控、724安全保障、應(yīng)急解決等。數(shù)年來，我們專業(yè)的服務(wù)實行能力和效果贏得了用戶的充足信賴。登錄Web界面登錄方法下面介紹登錄冰之眼WAF的Web管理界面的操作方法：（1）確認(rèn)客戶端主機可以和冰之眼WAF正常通訊（假如通過防火墻，請將443端口打開）。（2）打開瀏覽器IE，用HTTPS方式連接冰之眼WAF的IP地址，比如。（3）回車后出現(xiàn)安全警報框，如圖2.1所示（IE6.0及以下版本會出現(xiàn)安全警報框），單擊【是】，接受冰之眼WAF證書加密的通道。登錄時的安全警報界面（4）在如圖2.2所示的冰之眼WAF登錄界面中，輸入對的的用戶名和密碼，并單擊【登錄】。冰之眼WAF的Web管理登錄界面（5）成功登錄后，進入系統(tǒng)當(dāng)前運營狀態(tài)的界面，如圖2.3所示。冰之眼WAF當(dāng)前的運營狀態(tài)信息注意事項：建議使用IE6.0或Firefox2.0以上版本的瀏覽器，屏幕分辨率最佳設(shè)立為1024×768及以上。初次使用本系統(tǒng)時可用默認(rèn)用戶登錄，用戶名是webadmin，密碼是nsfocus。建議初次登錄后修改密碼，具體操作方法請參見HYPERLINK3.2.5用戶管理。登錄失敗的因素有也許是：①用戶名輸入錯誤②密碼輸入錯誤③沒區(qū)分大小寫。登錄本系統(tǒng)之前，請檢查瀏覽器是否設(shè)立了嚴(yán)禁彈出窗口屬性，假如是，請撤消此設(shè)立。用戶登錄后，假如不活動的時間超過5分鐘，系統(tǒng)將超時并自動退回到登錄頁面，請重新登錄繼續(xù)使用。布局介紹冰之眼WAF的Web管理界面如圖2.4所示，下面介紹整個操作界面的布局情況。1212345冰之眼WAF的Web管理界面系統(tǒng)標(biāo)題：冰之眼的LOGO。系統(tǒng)菜單：涉及功能主菜單及其相應(yīng)的子菜單，單擊主菜單的標(biāo)題欄即可展開/隱藏其子菜單。狀態(tài)區(qū)：單擊【安全退出】即可注銷當(dāng)前登錄用戶退出本系統(tǒng)。當(dāng)前位置欄：顯示當(dāng)前工作區(qū)所處的位置。工作區(qū)：各功能的重要操作均在此進行，操作結(jié)果列表也在此顯示。某些頁面的底部會提供相應(yīng)的幫助信息。引擎Web管理首頁狀態(tài)成功登錄冰之眼WAF后，即可看到引擎接口、引擎和系統(tǒng)的當(dāng)前運營狀態(tài)及各項信息，如圖3.1、圖3.2和圖3.3所示。引擎接口的當(dāng)前狀態(tài)信息引擎的當(dāng)前狀態(tài)信息系統(tǒng)的當(dāng)前狀態(tài)信息引擎接口是根據(jù)硬件類型決定的，一般在出廠前就已定義。有關(guān)引擎接口的設(shè)立方法，請參見HYPERLINK3.3.1接口。事件在這里可以即時查看冰之眼WAF引擎實時流量記錄和最新10條告警事件信息，如圖3.4所示。冰之眼WAF引擎實時告警信息和流量信息的整體界面從上圖可以看到，頁面的頂部顯示實時告警事件的記錄數(shù)字和最新時間，從左至右依次是：告警事件的總量、阻斷動作的告警事件數(shù)量、歸并后的告警事件數(shù)量及記錄的最新時間（每隔5秒鐘，系統(tǒng)會自動更新一次記錄結(jié)果），此外還可以看到以下兩類信息：流量查看最新的流量記錄信息、TCP協(xié)議分布信息、UDP協(xié)議分布信息和ICMP協(xié)議分布信息。最新事件顯示最近發(fā)生的10條告警事件，涉及事件發(fā)生的時間、動作、事件名稱、源IP及端口、目的IP及端口和事件摘要。將鼠標(biāo)放在最新事件列表中無法完全顯示的“事件摘要”區(qū)域，即可懸浮顯示相應(yīng)信息的完整內(nèi)容。系統(tǒng)升級與恢復(fù)如圖3.5所示，請在此導(dǎo)入以下文獻：Web防護與訪問控制策略文獻——引擎的Web防護與訪問控制策略文獻（*.xml），文獻大小不能超過2M，導(dǎo)入后引擎會自動加載生效。引擎升級文獻——引擎的升級文獻（*.waf），導(dǎo)入后引擎也許會自動重啟。引擎參數(shù)文獻——引擎運營時需要的參數(shù)配置文獻（*.xml），導(dǎo)入后引擎會自動重啟。流媒體服務(wù)器列表文獻——冰之眼流媒體服務(wù)器列表文獻（*.conf），文獻大小不能超過100k，導(dǎo)入后引擎會自動重啟。除了可以導(dǎo)入上述各類文獻外，還可以恢復(fù)所有配置文獻（*.ebk），恢復(fù)后規(guī)定重啟系統(tǒng)才干生效。系統(tǒng)–導(dǎo)入升級文獻下載與備份如圖3.6所示，請按照說明下載相應(yīng)的文獻。系統(tǒng)–下載文獻安全中心連接如圖3.7所示，在這里可以配置引擎的本機數(shù)據(jù)傳輸?shù)刂贰⒅靼踩行腎P地址和所要連接的安全中心IP地址。系統(tǒng)–配置引擎的安全中心下面介紹部分參數(shù)的含義：本機數(shù)據(jù)傳輸?shù)刂贰付ㄒ嬗糜诤桶踩行耐ㄓ嵉腎P地址，通常為某個接口的管理IP。引擎的主安全中心IP地址——指定主安全中心的IP地址，它可以對引擎有一定控制權(quán)，涉及遠程啟動/停止、升級、獲得歸并日記等控制管理權(quán)限。引擎的x號安全中心IP地址——指定需要引擎進行積極連接的安全中心的IP地址，對于由安全中心向引擎積極連接的安全中心，則不需要在此設(shè)立，在使用中請檢查引擎和安全中心兩端的配置以避免沖突。配置以上各參數(shù)信息時，需注意以下兩點：“引擎的主安全中心IP地址”僅僅是設(shè)立主安全中心的IP，與主安全中心的連接參數(shù)還需要此外設(shè)立，假如從引擎端發(fā)起連接，則在x號安全中心IP地址中填上所要連接的安全中心的IP地址。設(shè)立“引擎的x號安全中心IP地址”時，最多可設(shè)立4個從引擎積極發(fā)起連接的安全中心。網(wǎng)絡(luò)診斷工具如圖3.8所示，在本頁面的底部可以查看到當(dāng)前網(wǎng)絡(luò)的連接狀態(tài)和網(wǎng)卡狀態(tài)，假如發(fā)生異常情況，可通過ping或traceroute等工具進行相應(yīng)的診斷和查看。系統(tǒng)–當(dāng)前的網(wǎng)絡(luò)連接狀態(tài)和網(wǎng)卡狀態(tài)ping工具輸入目的主機的IPping命令的診斷結(jié)果輸入目的主機的IPping命令的診斷結(jié)果系統(tǒng)–網(wǎng)絡(luò)診斷工具（ping工具）traceroute工具traceroute工具即路由追蹤，用于檢測網(wǎng)絡(luò)路由線路。輸入目的主機的IPtraceroute命令的診斷結(jié)果輸入目的主機的IPtraceroute命令的診斷結(jié)果系統(tǒng)–網(wǎng)絡(luò)診斷工具（traceroute工具）hping工具hping命令的診斷結(jié)果hping命令的診斷結(jié)果輸入目的主機的IP系統(tǒng)–網(wǎng)絡(luò)診斷工具（hping工具）nmap工具nmap工具即端口掃描，用于網(wǎng)絡(luò)主機存活判斷、端口掃描、操作系統(tǒng)指紋辨認(rèn)。輸入目的主機的IPnm輸入目的主機的IPnmap命令的診斷結(jié)果系統(tǒng)–網(wǎng)絡(luò)診斷工具（nmap工具）用戶管理如圖3.13所示，用戶列表中涉及系統(tǒng)默認(rèn)的三個用戶：webadmin、webaudit和weboper，分別從屬于web管理員、web審計員和web操作員用戶組，在此可以進行用戶的添加、修改和刪除等操作。添加用戶的區(qū)域修改用戶的區(qū)域添加用戶的區(qū)域修改用戶的區(qū)域用戶列表系統(tǒng)–用戶管理下表列出各個用戶組分別具有哪些操作權(quán)限。用戶組權(quán)限Web管理員登錄退出、查看狀態(tài)和事件、升級與恢復(fù)、下載與備份、安全中心連接、網(wǎng)絡(luò)診斷工具、用戶管理、證書與附加設(shè)立、系統(tǒng)控制（應(yīng)用配置、重啟引擎、重啟系統(tǒng)、開始調(diào)試和結(jié)束調(diào)試）、網(wǎng)絡(luò)配置管理（接口和安全區(qū)）、策略管理（Web應(yīng)用防護策略、訪問控制策略和Web應(yīng)用掃描策略）、對象管理（Web對象、網(wǎng)絡(luò)對象、域名對象、服務(wù)對象和時間對象）、報表管理（事件報表、查詢報表、審計報表和Web應(yīng)用掃描報表）、幫助Web審計員登錄退出、修改當(dāng)前用戶密碼、報表管理（審計報表）、幫助Web操作員登錄退出、查看狀態(tài)和事件、下載與備份、網(wǎng)絡(luò)診斷工具、修改當(dāng)前用戶密碼、系統(tǒng)控制（應(yīng)用配置和重啟引擎）、查看網(wǎng)絡(luò)配置（接口和安全區(qū)）、策略管理（Web應(yīng)用防護策略、訪問控制策略和Web應(yīng)用掃描策略）、對象管理（Web對象、網(wǎng)絡(luò)對象、域名對象、服務(wù)對象和時間對象）、報表管理（事件報表、查詢報表和Web應(yīng)用掃描報表）、幫助添加用戶在用戶列表上方的添加用戶區(qū)域，請?zhí)顚懸韵掠脩粜畔ⅲ河脩裘Q——即登錄ID，長度必須在6至16個字符之間，可以由數(shù)字、字母或下劃線組成，用戶名開頭不能是數(shù)字。用戶密碼——即登錄密碼，不能和用戶名相同，長度必須在6至16個字符之間，不能包含空格，且不能全為數(shù)字或全為字母。許可登錄——指允許該用戶從哪個IP地址登錄本系統(tǒng)（當(dāng)前版本只接受單個IP地址和任意IP地址，使用*表達任意IP）。帳戶狀態(tài)——選擇正常，表達該用戶可用；選擇禁用，表達該用戶雖然存在，但被嚴(yán)禁使用。郵箱地址——該用戶有效的電子郵件地址（可以不填）。組別選擇——每個用戶組擁有的權(quán)限不同，請選擇該用戶從屬于哪個組。修改用戶在用戶列表中，每次選中一個要修改的用戶，用戶列表上方的修改用戶區(qū)域即顯示該用戶信息。修改完畢，單擊修改區(qū)域內(nèi)的【擬定】。修改系統(tǒng)默認(rèn)用戶webadmin、webaudit和weboper的信息時，只能修改其登錄密碼、郵件地址和許可登錄信息。刪除用戶在用戶列表中，選中要刪除的用戶（可以多選），然后單擊用戶列表右上方的【刪除】，確認(rèn)后即可將所選的用戶刪除。不允許刪除系統(tǒng)默認(rèn)用戶webadmin、webaudit和weboper。假如修改過系統(tǒng)默認(rèn)用戶的密碼且不小心遺忘，可以通過引擎串口管理界面重置密碼，具體操作方法請參見HYPERLINK4.3.4維護工具。證書與附加設(shè)立用戶可以在此進行證書更新管理、高可用性設(shè)立和附加設(shè)立管理，以及下載SnmpAgentMIB文獻及SnmpTrap相關(guān)文檔。證書信息對的導(dǎo)入證書之前，證書狀態(tài)為空。對的導(dǎo)入證書后，即可在此查看證書信息，涉及證書狀態(tài)、證書類型、許可工作模式、有效工作口數(shù)、頒發(fā)對象、頒發(fā)日期和證書的截止日期，如圖3.14所示。系統(tǒng)–證書信息許可工作模式顯示為WAF（scan），表達Web應(yīng)用掃描功能模塊可用；許可工作模式顯示為WAF，表達Web應(yīng)用掃描功能模塊不可用。有關(guān)導(dǎo)入引擎證書的操作方法，請查閱《冰之眼Web應(yīng)用防火墻安裝手冊》中的3.1.2引擎配置。重啟引擎后，證書才干加載并生效。高可用性設(shè)立高可用性設(shè)立涉及硬件Bypass和HA機制（雙機熱備）設(shè)立，如圖3.15所示。系統(tǒng)–高可用性設(shè)立其中各項參數(shù)含義如下：強制硬件Bypass——僅合用于型號后綴為B的冰之眼WAF產(chǎn)品。選擇是，表達僅使用硬件自身的Bypass功能（需要硬件支持，型號后綴為B的支持此功能），此時引擎一直處在硬件Bypass狀態(tài)，不作檢測保護；選擇否，表達不啟用強制硬件Bypass功能，此時引擎將處在默認(rèn)工作狀態(tài)，在軟件失效的情況下才會自動切換到Bypass狀態(tài)（通過串口管理界面也可以關(guān)閉強制硬件Bypass，具體操作方法請參見HYPERLINK4.3.4維護工具）。是否啟用HA機制——冰之眼WAF支持HA機制，即需要兩臺冰之眼WAF來實現(xiàn)雙機熱備功能。請選擇是否啟用該機制。本機工作模式——本機啟用HA機制后所處的地位，是主機還是從機（備份機）。從機配置口IP——備份機的IP地址，僅當(dāng)本機工作模式為“主”時才需要填寫此項。配置完畢，在從機的Web管理界面中開放HA機制。同步時間設(shè)立——HA機制使用定期同步方式，請設(shè)立同步的時間間隔（單位：秒），僅當(dāng)本機工作模式為“主”時才需要填寫此項。附加設(shè)立管理如圖3.16所示，進行冰之眼WAF附屬項的配置管理，然后單擊【擬定】。附加設(shè)立管理的重要參數(shù)含義如下：遠程協(xié)助——選擇啟動，可以通過50022端口進行遠程管理（僅限綠盟科技的技術(shù)人員在網(wǎng)絡(luò)調(diào)試時使用）。Ping(Icmp)——選擇啟動，允許當(dāng)前冰之眼WAF設(shè)備對Icmp請求作出應(yīng)答，方便管理員調(diào)試設(shè)備故障；選擇嚴(yán)禁，表達當(dāng)前冰之眼WAF設(shè)備對Icmp請求不作出應(yīng)答。SnmpTrap主機——指定接受冰之眼WAF告警事件trap信息的服務(wù)器IP地址。若不指定，請設(shè)立為，并且把SnmpTrap開關(guān)置為關(guān)閉。SnmpAgent開關(guān)——選擇啟動，表達啟動Snmp代理功能。時間同步服務(wù)器——指定期間同步的服務(wù)器IP地址，將冰之眼WAF的系統(tǒng)時間與其同步（時間同步間隔的單位：秒）。若不指定，請設(shè)立為，并且把時間同步開關(guān)置為關(guān)閉。域名服務(wù)器——指定本系統(tǒng)使用的域名服務(wù)器的IP地址，用來提供Web應(yīng)用掃描中的域名解析。系統(tǒng)–附加設(shè)立管理系統(tǒng)控制如圖3.17所示，通過單擊相應(yīng)的按鈕可以進行以下系統(tǒng)控制的操作：應(yīng)用配置——策略將被重新加載生效。這里的策略涉及Web應(yīng)用防護策略、網(wǎng)絡(luò)訪問控制策略和Web應(yīng)用掃描策略。重啟引擎——重新啟動引擎，策略和引擎配置將被重新加載生效。重啟系統(tǒng)——重新啟動冰之眼WAF硬件系統(tǒng)。開始調(diào)試——進入網(wǎng)絡(luò)調(diào)試的模式（僅限綠盟科技的技術(shù)人員在網(wǎng)絡(luò)調(diào)試時使用）。結(jié)束調(diào)試——退出網(wǎng)絡(luò)調(diào)試的模式（僅限綠盟科技的技術(shù)人員在網(wǎng)絡(luò)調(diào)試時使用）。系統(tǒng)–系統(tǒng)控制執(zhí)行重啟系統(tǒng)后，所有報表的數(shù)據(jù)將被清空，然后重新記錄。網(wǎng)絡(luò)管理員在這部分可以定義網(wǎng)絡(luò)接口和安全區(qū)。接口接口是指網(wǎng)絡(luò)物理硬件接口的邏輯對象，擁有配置網(wǎng)絡(luò)地址并進行網(wǎng)絡(luò)通訊的能力。如圖3.18所示，列出當(dāng)前引擎所有網(wǎng)絡(luò)接口的信息。管理員可以對所有接口進行配置（不同的硬件型號，接口列表也不同，初始狀態(tài)下，接口列表中所有接口的所屬安全區(qū)為“帶外管理（Mgt）”類型，并且每個接口都可管理）。刷新網(wǎng)絡(luò)接口信息刷新網(wǎng)絡(luò)接口信息網(wǎng)絡(luò)–引擎網(wǎng)絡(luò)接口列表在引擎網(wǎng)絡(luò)接口列表的“配置”一欄下，單擊【編輯】，即可編輯相應(yīng)的接口信息，如圖3.19所示。網(wǎng)絡(luò)–編輯網(wǎng)絡(luò)接口信息網(wǎng)絡(luò)接口信息各參數(shù)含義如下：所屬安全區(qū)——需要根據(jù)接口的工作方式來配置接口所屬的安全區(qū)，在同一安全區(qū)內(nèi)的接口之間存在通訊上的關(guān)聯(lián)。以下兩種情況不允許修改所屬安全區(qū)：非intel網(wǎng)卡的接口不允許修改所屬安全區(qū)；證書存在問題時不允許修改所屬安全區(qū)，例如：未導(dǎo)入證書之前不允許修改任何接口的所屬安全區(qū)。是否可管理——選中此項，表達該接口可以通過Web方式被遠程管理。IP地址/網(wǎng)絡(luò)掩碼——輸入網(wǎng)絡(luò)接口的管理IP地址（僅當(dāng)選中了“是否可管理”才需設(shè)立此項）。網(wǎng)關(guān)IP——跨網(wǎng)段遠程管理時，才需要設(shè)立此項。選中是否缺省網(wǎng)關(guān)，其他接口的網(wǎng)關(guān)將不再作為缺省網(wǎng)關(guān)。雙工模式——網(wǎng)絡(luò)接口的工作模式，有auto（自動匹配）、full（全雙工）和half（半雙工）三個選項。連接速率——強制接口的協(xié)商速率，可選項涉及10Mb、100Mb、1000Mb以及auto（自動協(xié)商）。請根據(jù)與冰之眼WAF引擎連接的網(wǎng)絡(luò)設(shè)備的特性，選擇適當(dāng)?shù)膮f(xié)商速率，以保證網(wǎng)絡(luò)通訊正常。假如接口接入速率為10Mb的集線器，請選擇接口的連接速率為10Mb。有關(guān)安全區(qū)的配置方法，請參見HYPERLINK3.3.2安全區(qū)。接口配置變更后，需要手工執(zhí)行【系統(tǒng)】【系統(tǒng)控制】【重啟引擎】才可以生效，具體操作方法和注意事項請參見HYPERLINK3.2.7系統(tǒng)控制。安全區(qū)安全區(qū)是指擁有相同工作類型的接口的集合，涉及以下三種工作類型：監(jiān)聽——同一個安全區(qū)之內(nèi)的接口處在監(jiān)聽工作模式。直通——同一個安全區(qū)之內(nèi)的接口處在online工作模式。管理——安全區(qū)之內(nèi)的接口處在正常工作模式，可以進行管理。global是系統(tǒng)缺省的安全區(qū)域，包含所有的安全區(qū)。如圖3.20所示，列出當(dāng)前所有網(wǎng)絡(luò)安全區(qū)的信息，管理員可以對其進行配置。正處在使用狀態(tài)中的安全區(qū)，表達該安全區(qū)內(nèi)有從屬于該安全區(qū)的接口或者正被規(guī)則（涉及Web應(yīng)用防護和網(wǎng)絡(luò)訪問控制）使用，此時無法配置。刷新安全區(qū)信息刷新安全區(qū)信息網(wǎng)絡(luò)–安全區(qū)列表新建安全區(qū)在安全區(qū)列表的右上方，單擊【新建】，進入創(chuàng)建安全區(qū)的界面，如圖3.21所示，配置安全區(qū)的各項參數(shù)信息。其中，安全區(qū)名稱是安全區(qū)的唯一標(biāo)記，不能重名；安全區(qū)類型涉及三種：Direct（直通）、Mgt（管理）和Monitor（監(jiān)聽）。網(wǎng)絡(luò)–新建安全區(qū)編輯安全區(qū)在安全區(qū)列表的“配置”一欄中，單擊【編輯】，即可編輯相應(yīng)的安全區(qū)類型和備注信息。刪除安全區(qū)在安全區(qū)列表的“配置”一欄中，單擊【刪除】，確認(rèn)后即可將相應(yīng)的安全區(qū)刪除。系統(tǒng)缺省安全區(qū)global和正在使用中的安全區(qū)，不能編輯和刪除。若要取消某個安全區(qū)被使用的狀態(tài)，也許需要進行兩個操作：①重新設(shè)立相應(yīng)接口的所屬安全區(qū)，具體操作方法請參見HYPERLINK3.3.1接口；②在Web應(yīng)用防護或網(wǎng)絡(luò)訪問控制策略中，取消該安全區(qū)的使用狀態(tài)，具體操作方法請參見HYPERLINK3.5策略。對象對象，即將一些分散的同類型事物組合在一起，并給該組定義一個別名，這個別名就是對象的名稱。管理員在此可以定義系統(tǒng)中所有對象，涉及Web對象、網(wǎng)絡(luò)對象、域名對象、服務(wù)對象和時間對象。Web在設(shè)立Web應(yīng)用防護策略時，需要選擇Web對象來定義規(guī)則，分為以下三類Web對象：系統(tǒng)Web、自定義Web和Web組。系統(tǒng)Web系統(tǒng)Web對象，即系統(tǒng)預(yù)定義的Web對象。如圖3.22所示，列出了用戶常用的Web對象。刷新系統(tǒng)Web對象信息刷新系統(tǒng)Web對象信息對象–系統(tǒng)Web對象列表編輯系統(tǒng)Web對象在系統(tǒng)Web對象列表的“配置”一欄中，單擊【編輯】，即可編輯相應(yīng)的系統(tǒng)Web對象，如圖3.23所示。對象–編輯系統(tǒng)Web對象以HTTP_Connection_Flood襲擊為例，編輯系統(tǒng)Web對象時，參數(shù)含義如下：編號——系統(tǒng)自動分派的系統(tǒng)Web對象編號，不能修改。對象類型——系統(tǒng)Web對象的類型，不能修改。對象名稱——系統(tǒng)Web對象的名稱，不能修改。action_type（動作類型）——可以選擇deny_ip（封禁IP）或drop_oldest_session（斷開最老會話）。此項必須配置。max_tcpsession_per_ip（單個源IP的最大連接數(shù)）——此項必須配置，且必須填寫非0數(shù)值。conn_keep_time（連接保持時間）——連接閑置時間最大值。超過閑置時間最大值時連接會被斷開。此項設(shè)立為0時表達不啟用該功能。cumulate_conn_count（累計連接數(shù)）——單位時間內(nèi)的累計連接數(shù)。該參數(shù)必須與cumulate_conn_time（累計連接時間）同時配置才有效。此項設(shè)立為0時表達不啟用該功能。cumulate_conn_time（累計連接時間）——此項設(shè)立為0時表達不啟用該功能。deny_time（封禁IP的時間）——僅當(dāng)action_type（動作類型）設(shè)定為deny_ip（封禁IP）時才有效（單位：秒）。此項設(shè)立為0時表達不啟用該功能。備注——填寫備注信息，用來簡樸描述該系統(tǒng)Web對象。系統(tǒng)Web對象為系統(tǒng)自帶的，不能刪除，它會隨著版本升級而有所變動。自定義Web除了在系統(tǒng)Web對象中進行防護內(nèi)容的設(shè)立，還可以進行自定義類別的Web對象設(shè)立。如圖3.24所示，列出用戶自定義Web對象的示例。對于無法刪除的自定義Web對象，表達已包含在Web組對象中或者正被Web應(yīng)用防護規(guī)則使用（無論規(guī)則是否啟用）。刷新自定義Web對象信息刷新自定義Web對象信息對象–自定義Web對象列表新建自定義Web對象在自定義Web對象列表的右上方，單擊【新建】，進入新建自定義Web對象的界面，如圖3.25所示。對象–新建自定義Web對象以waf_onlinegame（網(wǎng)游襲擊）類型為例，新建自定義Web對象時，參數(shù)含義如下：編號——系統(tǒng)自動分派的自定義Web對象編號，不能修改。對象名稱——必須填寫自定義Web對象名稱，不能和已有對象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。類型——選擇自定義Web對象的類型。事件列表——單擊【多選】，選擇該對象進行Web應(yīng)用防護的網(wǎng)游襲擊事件。備注——填寫備注信息，用來簡樸描述該自定義Web對象。編輯自定義Web對象在自定義Web對象列表的“配置”一欄中，單擊【編輯】，即可編輯相應(yīng)的自定義Web對象。刪除自定義Web對象在自定義Web對象列表的“配置”一欄中，單擊【刪除】，確認(rèn)后即可刪除相應(yīng)的自定義Web對象（不能刪除正在使用中的自定義Web對象）。自定義Web對象一旦被某個Web組對象使用或被任一規(guī)則使用后都不允許被刪除，可通過如下操作解除限制：①在Web組對象中，去掉該對象的選用，具體操作方法請參見HYPERLINKWeb組；②在Web應(yīng)用防護策略中，去掉該對象的選用，具體操作方法請參見HYPERLINK3.5.1Web應(yīng)用防護。Web組這里的組是指若干系統(tǒng)Web對象和自定義Web對象組成的邏輯集合，組同樣也可以包含其他組。如圖3.26所示，列出當(dāng)前所有的Web組對象。對于無法刪除的Web組對象，表達已包含在其他Web組對象中或者正被Web應(yīng)用防護規(guī)則使用（無論規(guī)則是否啟用）。若要查看Web組對象中包含的對象類型，將鼠標(biāo)置于“包含對象”一欄中相應(yīng)的圖標(biāo)上，即可顯示對象類型。刷新Web組對象信息刷新Web組對象信息對象–Web組對象列表新建Web組對象在Web組對象列表的右上方，單擊【新建】，進入新建Web組對象的界面，如圖3.27所示。對象–新建Web組對象新建Web組對象時，各項參數(shù)含義如下：編號——系統(tǒng)自動分派的Web組對象編號，不能修改。對象名稱——必須填寫Web組對象名稱，不能和已有對象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。包含對象——單擊【多選】，選擇該Web組對象包含的Web對象（可以多選），如圖3.28所示。備注——填寫備注信息，用來簡樸描述該Web組對象。對象–選擇Web組對象包含的對象編輯Web組對象在Web組對象列表的“配置”一欄中，單擊【編輯】，即可編輯相應(yīng)的Web組對象。刪除Web組對象在Web組對象列表的“配置”一欄中，單擊【刪除】，確認(rèn)后即可刪除相應(yīng)的Web組對象（不能刪除正在使用中的Web組對象）。Web組對象一旦被其他Web組對象使用或被任一規(guī)則使用后都不允許被刪除，可通過如下操作解除限制：①在Web組對象的其他組對象中，去掉該對象的選用；②在Web應(yīng)用防護策略中，去掉該對象的選用，具體操作方法請參見HYPERLINK3.5.1Web應(yīng)用防護。網(wǎng)絡(luò)在設(shè)立Web應(yīng)用防護策略或網(wǎng)絡(luò)訪問控制策略時，需要引用網(wǎng)絡(luò)對象來定義規(guī)則，分為以下四類網(wǎng)絡(luò)對象：網(wǎng)絡(luò)、節(jié)點、IP池和網(wǎng)絡(luò)組。網(wǎng)絡(luò)這里的網(wǎng)絡(luò)是指一個網(wǎng)段，即根據(jù)IP和網(wǎng)絡(luò)掩碼來指定的IP子網(wǎng)對象。如圖3.29所示，列出當(dāng)前所有IP子網(wǎng)對象，其中any是系統(tǒng)缺省的網(wǎng)絡(luò)對象，不能編輯或刪除。對于無法刪除的網(wǎng)絡(luò)對象，表達已包含在網(wǎng)絡(luò)組對象中或者正被Web應(yīng)用防護/網(wǎng)絡(luò)訪問控制規(guī)則使用（無論規(guī)則是否啟用）。刷新網(wǎng)絡(luò)對象信息刷新網(wǎng)絡(luò)對象信息對象–網(wǎng)絡(luò)對象列表新建網(wǎng)絡(luò)對象在網(wǎng)絡(luò)對象列表的右上方，單擊【新建】，進入新建網(wǎng)絡(luò)對象的界面，如圖3.30所示。對象–新建網(wǎng)絡(luò)對象新建網(wǎng)絡(luò)對象時，各項參數(shù)含義如下：編號——系統(tǒng)自動分派的網(wǎng)絡(luò)對象編號，不能修改。對象名稱——必須填寫網(wǎng)絡(luò)對象名稱，不能和已有對象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。IP地址——網(wǎng)絡(luò)對象的IP地址（只能輸入單個IP地址）。掩碼——網(wǎng)絡(luò)對象的子網(wǎng)掩碼。是否取反——選中此項，表達將指定IP所在網(wǎng)絡(luò)以外的IP地址作為該網(wǎng)絡(luò)對象。備注——填寫備注信息，用來簡樸描述該網(wǎng)絡(luò)對象。編輯網(wǎng)絡(luò)對象在網(wǎng)絡(luò)對象列表的“配置”一欄中，單擊【編輯】，即可編輯相應(yīng)的網(wǎng)絡(luò)對象（不能編輯系統(tǒng)缺省的any對象）。刪除網(wǎng)絡(luò)對象在網(wǎng)絡(luò)對象列表的“配置”一欄中，單擊【刪除】，確認(rèn)后即可刪除相應(yīng)的網(wǎng)絡(luò)對象（不能刪除系統(tǒng)缺省的any對象和正在使用中的網(wǎng)絡(luò)對象）。網(wǎng)絡(luò)對象一旦被某個網(wǎng)絡(luò)組對象使用或被任一規(guī)則使用后都不允許被刪除，可通過如下操作解除限制：①在網(wǎng)絡(luò)組對象中，去掉該對象的選用，具體操作方法請參見HYPERLINK網(wǎng)絡(luò)組；②在Web應(yīng)用防護策略中，去掉源/目的對象中對該對象的選用，具體操作方法請參見HYPERLINK3.5.1Web應(yīng)用防護；③在網(wǎng)絡(luò)訪問控制策略中，去掉源/目的對象中對該對象的選用，具體操作方法請參見HYPERLINK3.5.2網(wǎng)絡(luò)訪問控制。節(jié)點這里的節(jié)點是指單個IP，即根據(jù)IP來指定的IP主機對象。如圖3.31所示，列出當(dāng)前所有節(jié)點對象。對于無法刪除的節(jié)點對象，表達已包含在網(wǎng)絡(luò)組對象中或者正被Web應(yīng)用防護/網(wǎng)絡(luò)訪問控制規(guī)則使用（無論規(guī)則是否啟用）。刷新節(jié)點對象信息刷新節(jié)點對象信息對象–節(jié)點對象列表新建節(jié)點對象在節(jié)點對象列表的右上方，單擊【新建】，進入新建節(jié)點對象的界面，如圖3.32所示。對象–新建節(jié)點對象新建節(jié)點對象時，各項參數(shù)含義如下：編號——系統(tǒng)自動分派的節(jié)點對象編號，不能修改。對象名稱——必須填寫節(jié)點對象名稱，不能和已有對象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。IP地址——節(jié)點對象的單個IP地址。是否取反——選中此項，表達將指定IP以外的IP地址作為該節(jié)點對象。備注——填寫備注信息，用來簡樸描述該節(jié)點對象。編輯節(jié)點對象在節(jié)點對象列表的“配置”一欄中，單擊【編輯】，即可編輯相應(yīng)的節(jié)點對象。刪除節(jié)點對象在節(jié)點對象列表的“配置”一欄中，單擊【刪除】，確認(rèn)后即可刪除相應(yīng)的節(jié)點對象（不能刪除正在使用中的節(jié)點對象）。節(jié)點對象一旦被某個網(wǎng)絡(luò)組對象使用或被任一規(guī)則使用后都不允許被刪除，可通過如下操作解除限制：①在網(wǎng)絡(luò)組對象中，去掉該對象的選用，具體操作方法請參見HYPERLINK網(wǎng)絡(luò)組；②在Web應(yīng)用防護策略中，去掉源/目的對象中對該對象的選用，具體操作方法請參見HYPERLINK3.5.1Web應(yīng)用防護；③在網(wǎng)絡(luò)訪問控制策略中，去掉源/目的對象中對該對象的選用，具體操作方法請參見HYPERLINK3.5.2網(wǎng)絡(luò)訪問控制。IP池IP池是指一段連續(xù)的IP，即從起始IP地址到結(jié)束IP地址之間的若干IP主機對象。如圖3.33所示，列出當(dāng)前所有IP池對象。對于無法刪除的IP池對象，表達已包含在網(wǎng)絡(luò)組對象中或者正被Web應(yīng)用防護/網(wǎng)絡(luò)訪問控制規(guī)則使用（無論規(guī)則是否啟用）。刷新IP池對象信息刷新IP池對象信息對象–IP池對象列表新建IP池對象在IP池對象列表的右上方，單擊【新建】，進入新建IP池對象的界面，如圖3.34所示。對象–新建IP池對象新建IP池對象時，各項參數(shù)含義如下：編號——系統(tǒng)自動分派的IP池對象編號，不能修改。對象名稱——必須填寫IP池對象名稱，不能和已有對象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。開始地址/結(jié)束地址——IP池對象的起始IP地址和結(jié)束IP地址，由此組成一個IP地址范圍。是否取反——選中此項，表達將指定IP范圍以外的IP地址作為該IP池對象。備注——填寫備注信息，用來簡樸描述該IP池對象。編輯IP池對象在IP池對象列表的“配置”一欄中，單擊【編輯】，即可編輯相應(yīng)的IP池對象。刪除IP池對象在IP池對象列表的“配置”一欄中，單擊【刪除】，確認(rèn)后即可刪除相應(yīng)的IP池對象（不能刪除正在使用中的IP池對象）。IP池對象一旦被某個網(wǎng)絡(luò)組對象使用或被任一規(guī)則使用后都不允許被刪除，可通過如下操作解除限制：①在網(wǎng)絡(luò)組對象中，去掉該對象的選用，具體操作方法請參見HYPERLINK網(wǎng)絡(luò)組；②在Web應(yīng)用防護策略中，去掉源/目的對象對該對象的選用，具體操作方法請參見HYPERLINK3.5.1Web應(yīng)用防護；③在網(wǎng)絡(luò)訪問控制策略中，去掉源/目的對象對該對象的選用，具體操作方法請參見HYPERLINK3.5.2網(wǎng)絡(luò)訪問控制。網(wǎng)絡(luò)組這里的組是指若干個網(wǎng)絡(luò)、節(jié)點或IP池對象組成的邏輯集合，組同樣也可以包含其他組。如圖3.35所示，列出當(dāng)前所有網(wǎng)絡(luò)組對象。對于無法刪除的網(wǎng)絡(luò)組對象，表達已包含在其他網(wǎng)絡(luò)組對象中或者正被應(yīng)用Web應(yīng)用防護/網(wǎng)絡(luò)訪問控制規(guī)則使用（無論規(guī)則是否啟用）。若要查看網(wǎng)絡(luò)組對象中包含的對象類型，可以將鼠標(biāo)置于“包含對象”一欄中相應(yīng)的圖標(biāo)上，即可顯示對象類型。刷新網(wǎng)絡(luò)組對象信息刷新網(wǎng)絡(luò)組對象信息對象–網(wǎng)絡(luò)組對象列表新建網(wǎng)絡(luò)組對象在網(wǎng)絡(luò)組對象列表的右上方，單擊【新建】，進入新建網(wǎng)絡(luò)組對象的界面，如圖3.36所示。對象–新建網(wǎng)絡(luò)組對象新建網(wǎng)絡(luò)組對象時，各項參數(shù)含義如下：編號——系統(tǒng)自動分派的網(wǎng)絡(luò)組對象編號，不能修改。對象名稱——必須填寫網(wǎng)絡(luò)組對象名稱，不能和已有對象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。包含對象——單擊【多選】，選擇該網(wǎng)絡(luò)組對象包含的網(wǎng)絡(luò)對象（可以多選），如圖3.37所示。是否取反——選中此項，表達將指定對象以外的網(wǎng)絡(luò)對象作為該網(wǎng)絡(luò)組對象。備注——填寫備注信息，用來簡樸描述該網(wǎng)絡(luò)組對象。對象–選擇網(wǎng)絡(luò)組對象包含的對象編輯網(wǎng)絡(luò)組對象在網(wǎng)絡(luò)組對象列表的“配置”一欄中，單擊【編輯】，即可編輯相應(yīng)的網(wǎng)絡(luò)組對象。刪除網(wǎng)絡(luò)組對象在網(wǎng)絡(luò)組對象列表的“配置”一欄中，單擊【刪除】，確認(rèn)后即可刪除相應(yīng)的網(wǎng)絡(luò)組對象（不能刪除正在使用中的網(wǎng)絡(luò)組對象）。網(wǎng)絡(luò)組對象一旦被其他網(wǎng)絡(luò)組對象使用或被任一規(guī)則使用后都不允許被刪除，可通過如下操作解除限制：①在網(wǎng)絡(luò)組對象的其他組對象中，去掉該對象的選用；②在Web應(yīng)用防護策略中，去掉源/目的對象對該對象的選用，具體操作方法請參見HYPERLINK3.5.1Web應(yīng)用防護；③在網(wǎng)絡(luò)訪問控制策略中，去掉源/目的對象對該對象的選用，具體操作方法請參見HYPERLINK3.5.2網(wǎng)絡(luò)訪問控制。域名在設(shè)立Web應(yīng)用防護策略或Web應(yīng)用掃描策略時，需要引用域名對象來定義規(guī)則，分為以下兩類域名對象：自定義域名和域名組。自定義域名如圖3.38所示，列出當(dāng)前所有自定義域名對象，其中any是系統(tǒng)缺省的域名對象。對于無法刪除的自定義域名對象，表達已包含在域名組對象中或者正被Web應(yīng)用防護/Web應(yīng)用掃描規(guī)則使用（無論規(guī)則是否啟用）。刷新自定義域名對象信息刷新自定義域名對象信息對象–自定義域名對象列表新建自定義域名對象在自定義域名對象列表的右上方，單擊【新建】，進入新建自定義域名對象的界面，如圖3.39所示。對象–新建自定義域名對象新建自定義域名對象時，各項參數(shù)含義如下：編號——系統(tǒng)自動分派的自定義域名對象編號，不能修改。對象名稱——必須填寫自定義域名對象名稱，不能和已有對象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。域名——填寫該對象的域名，例如：；或者通過*.domain的方式實現(xiàn)對子域名的支持，例如：*.163.com可以匹配所有以163.com結(jié)尾的域名。備注——填寫備注信息，用來簡樸描述該自定義域名對象。編輯自定義域名對象在自定義域名對象列表的“配置”一欄中，單擊【編輯】，即可編輯相應(yīng)的域名對象。刪除自定義域名對象在自定義域名對象列表的“配置”一欄中，單擊【刪除】，確認(rèn)后即可刪除相應(yīng)的域名對象（不能刪除正在使用中的自定義域名對象）。自定義域名對象一旦被某個域名組對象使用或被任一規(guī)則使用后都不允許被刪除，可通過如下操作解除限制：①在域名組對象中，去掉該對象的選用，具體操作方法請參見HYPERLINK域名組；②在Web應(yīng)用防護策略中，去掉該對象的選用，具體操作方法請參見HYPERLINK3.5.1Web應(yīng)用防護；③在Web應(yīng)用掃描策略中，去掉該對象的選用，具體操作方法請參見HYPERLINK3.5.3Web應(yīng)用掃描。域名組這里的組是指若干自定義域名對象組成的邏輯集合，組同樣也可以包含其他組。如圖3.40所示，列出當(dāng)前所有域名組對象。對于無法刪除的域名組對象，表達已包含在其他域名組對象中或者正被Web應(yīng)用防護/Web應(yīng)用掃描規(guī)則使用（無論規(guī)則是否啟用）。若要查看域名組對象中包含的對象類型，將鼠標(biāo)置于“包含對象”一欄中相應(yīng)的圖標(biāo)上，即可顯示對象類型。刷新域名組對象信息刷新域名組對象信息對象–域名組列表新建域名組對象在域名組對象列表的右上方，單擊【新建】，進入新建域名組對象的界面，如圖3.41所示。對象–新建域名組對象新建域名組對象時，各項參數(shù)含義如下：編號——系統(tǒng)自動分派的域名組對象編號，不能修改。對象名稱——必須填寫域名組對象名稱，不能和已有對象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。包含對象——單擊【多選】，選擇該域名組對象包含的域名對象（可以多選），如圖3.42所示。備注——填寫備注信息，用來簡樸描述該域名組對象。對象–選擇域名組對象包含的對象編輯域名組對象在域名組對象列表的“配置”一欄中，單擊【編輯】，即可編輯相應(yīng)的域名組對象。刪除域名組對象在域名組對象列表的“配置”一欄中，單擊【刪除】，確認(rèn)后即可刪除相應(yīng)的域名組對象（不能刪除正在使用中的域名組對象）。域名組對象一旦被其他域名組對象使用或被任一規(guī)則使用后都不允許被刪除，可通過如下操作解除限制：①在域名組對象的其他組對象中，去掉該對象的選用；②在Web應(yīng)用防護策略中，去掉該對象的選用，具體操作方法請參見HYPERLINK3.5.1Web應(yīng)用防護；③在Web應(yīng)用掃描策略中，去掉該對象的選用，具體操作方法請參見HYPERLINK3.5.3Web應(yīng)用掃描。服務(wù)在設(shè)立Web應(yīng)用防護策略、網(wǎng)絡(luò)訪問控制策略或Web應(yīng)用掃描策略時，需要引用服務(wù)對象來定義規(guī)則，分為以下三類服務(wù)對象：系統(tǒng)服務(wù)、自定義服務(wù)和服務(wù)組。系統(tǒng)服務(wù)系統(tǒng)服務(wù)對象，即系統(tǒng)預(yù)定義的服務(wù)對象，支持協(xié)議自辨認(rèn)和非固定端口的協(xié)議辨認(rèn)，涉及常見的ftp、bittorrent等協(xié)議。如圖3.43所示，列出出廠時已經(jīng)設(shè)立的服務(wù)對象。刷新系統(tǒng)服務(wù)對象信息刷新系統(tǒng)服務(wù)對象信息對象–系統(tǒng)服務(wù)對象列表系統(tǒng)服務(wù)對象為系統(tǒng)自帶的，不能編輯或刪除，它會隨著版本升級而有所變動。自定義服務(wù)除了系統(tǒng)服務(wù)對象，用戶可以自定義服務(wù)對象，即自定義服務(wù)端口和協(xié)議類型。如圖3.44所示，列出用戶自定義的所有服務(wù)對象。對于無法刪除的自定義服務(wù)對象，表達已包含在服務(wù)組對象中或者正被Web應(yīng)用防護/網(wǎng)絡(luò)訪問控制/Web應(yīng)用掃描規(guī)則使用（無論規(guī)則是否啟用）。刷新自定義服務(wù)對象信息刷新自定義服務(wù)對象信息對象–自定義服務(wù)對象列表新建自定義服務(wù)對象在自定義服務(wù)對象列表的右上方，單擊【新建】，進入新建自定義服務(wù)對象的界面，如圖3.45所示。對象–新建自定義服務(wù)對象新建自定義服務(wù)對象時，各項參數(shù)含義如下：編號——系統(tǒng)自動分派的自定義服務(wù)對象編號，不能修改。類型——選擇一個協(xié)議類型，不同的類型相應(yīng)不同的參數(shù)設(shè)立，例如：選擇TCP或UDP協(xié)議則需要設(shè)立源/目的端口；選擇ICMP協(xié)議則需要設(shè)立type和code；選擇IP協(xié)議則需要設(shè)立IP協(xié)議類型。對象名稱——必須填寫自定義服務(wù)對象名稱，不能和已有對象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。源端口——該服務(wù)對象使用的源端口，可以指定多個端口或端口范圍，填寫范圍是0-65535（僅當(dāng)選擇TCP或UDP協(xié)議時，設(shè)立此項），例如：80,135-139,4000-8000,10000。目的端口——該服務(wù)對象使用的目的端口，可以指定多個端口或端口范圍，填寫范圍是0-65535（僅當(dāng)選擇TCP或UDP協(xié)議時，設(shè)立此項），例如：80,135-139,4000-8000,10000。type——該服務(wù)對象的類型（僅當(dāng)選擇ICMP協(xié)議時，設(shè)立此項）。code——該服務(wù)對象的代碼（僅當(dāng)選擇ICMP協(xié)議時，設(shè)立此項）。IP協(xié)議類型——僅當(dāng)選擇IP協(xié)議時，設(shè)立此項。備注——填寫備注信息，用來簡樸描述該自定義服務(wù)對象。編輯自定義服務(wù)對象在自定義服務(wù)對象列表的“配置”一欄中，單擊【編輯】，即可編輯相應(yīng)的服務(wù)對象。刪除自定義服務(wù)對象在自定義服務(wù)對象列表的“配置”一欄中，單擊【刪除】，確認(rèn)后即可刪除相應(yīng)的服務(wù)對象（不能刪除正在使用中的自定義服務(wù)對象）。自定義服務(wù)對象一旦被某個服務(wù)組對象使用或被任一規(guī)則使用后都不允許被刪除，可通過如下操作解除限制：①在服務(wù)組對象中，去掉該對象的選用，具體操作方法請參見HYPERLINK服務(wù)組；②在Web應(yīng)用防護策略中，去掉該對象的選用，具體操作方法請參見HYPERLINK3.5.1Web應(yīng)用防護；③在網(wǎng)絡(luò)訪問控制策略中，去掉該對象的選用，具體操作方法請參見HYPERLINK3.5.2網(wǎng)絡(luò)訪問控制；④在Web應(yīng)用掃描策略中，去掉該對象的選用，具體操作方法請參見HYPERLINK3.5.3Web應(yīng)用掃描。服務(wù)組這里的組是指若干系統(tǒng)服務(wù)對象和自定義服務(wù)對象組成的邏輯集合，組同樣也可以包含其他組。如圖3.46所示，列出當(dāng)前所有服務(wù)組對象。對于無法刪除的服務(wù)組對象，表達已包含在其他服務(wù)組對象中或者正被Web應(yīng)用防護/網(wǎng)絡(luò)訪問控制/Web應(yīng)用掃描規(guī)則使用（無論規(guī)則是否啟用）。若要查看服務(wù)組對象中包含的對象類型，將鼠標(biāo)置于“包含對象”一欄中相應(yīng)的圖標(biāo)上，即可顯示對象類型。刷新服務(wù)組對象信息刷新服務(wù)組對象信息對象–服務(wù)組對象列表新建服務(wù)組對象在服務(wù)組對象列表的右上方，單擊【新建】，進入新建服務(wù)組對象的界面，如圖3.47所示。對象–新建服務(wù)組對象新建服務(wù)組對象時，各項參數(shù)含義如下：編號——系統(tǒng)自動分派的服務(wù)組對象編號，不能修改。對象名稱——必須填寫服務(wù)組對象名稱，不能和已有對象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。包含對象——單擊【多選】，選擇該服務(wù)組對象包含的服務(wù)對象（可以多選），如圖3.48所示。備注——填寫備注信息，用來簡樸描述該服務(wù)組對象。對象–選擇服務(wù)組對象包含的對象編輯服務(wù)組對象在服務(wù)組對象列表的“配置”一欄中，單擊【編輯】，即可編輯相應(yīng)的服務(wù)組對象。刪除服務(wù)組對象在服務(wù)組對象列表的“配置”一欄中，單擊【刪除】，確認(rèn)后即可刪除相應(yīng)的服務(wù)組對象（不能刪除正在使用中的服務(wù)組對象）。服務(wù)組對象一旦被其他服務(wù)組對象使用或被任一規(guī)則使用后都不允許被刪除，可通過如下操作解除限制：①在服務(wù)組對象的其他組對象中，去掉該對象的選用；②在Web應(yīng)用防護策略中，去掉該對象的選用，具體操作方法請參見HYPERLINK3.5.1Web應(yīng)用防護；③在網(wǎng)絡(luò)訪問控制策略中，去掉該對象的選用，具體操作方法請參見HYPERLINK3.5.2網(wǎng)絡(luò)訪問控制；④在Web應(yīng)用掃描策略中，去掉該對象的選用，具體操作方法請參見HYPERLINK3.5.3Web應(yīng)用掃描。時間在設(shè)立Web應(yīng)用防護策略、網(wǎng)絡(luò)訪問控制策略或Web應(yīng)用掃描策略時，需要選擇時間對象來定義規(guī)則，分為以下兩類時間對象：自定義時間和時間組。自定義時間每個時間對象都可包含兩個時間段，用戶可以根據(jù)具體情況來自定義時間對象。如圖3.49所示，列出當(dāng)前所有自定義時間對象，其中any是系統(tǒng)缺省的時間對象。對于無法刪除的自定義時間對象，表達已包含在時間組對象中或者正被Web應(yīng)用防護/網(wǎng)絡(luò)訪問控制/Web應(yīng)用掃描規(guī)則使用（無論規(guī)則是否啟用）。刷新自定義時間對象信息刷新自定義時間對象信息對象–自定義時間對象列表新建自定義時間對象在自定義時間對象列表的右上方，單擊【新建】，進入新建自定義時間對象的界面，如圖3.50所示。對象–新建自定義時間對象新建自定義時間對象時，各項參數(shù)含義如下：編號——系統(tǒng)自動分派的自定義時間對象編號，不能修改。類型——分為天天、每個工作日、每周和每月四類，其中每個工作日表達每周一至周五。對象名稱——必須填寫自定義時間對象名稱，不能和已有對象重名，且不能使用非法字符（非法字符涉及\%`@^<>{}’&”:和空格）。時間——時間對象可以包含兩個時間段，假如只需定義一個時間段，只需將第二個時間段都保持為系統(tǒng)默認(rèn)的00:00即可。備注——填寫備注信息，用來簡樸描述該自定義時間對象。編輯自定義時間對象在自定義時間對象列表的“配置”一欄中，單擊【編輯】，即可編輯相應(yīng)的時間對象。刪除自定義時間對象在自定義時間對象列表的“配置”一欄中，單擊【刪除】，確認(rèn)后即可刪除相應(yīng)的時間對象（不能刪除any對象和正在使用中的自定義時間對象）。自定義時間對象一旦被某個時間組對象使用或被任一規(guī)則使用后都不允許被刪除，可通過如下操作解除限制：①在時間組對象中，去掉該對象的選用，具體操作方法請參見HYPERLINK時間組；②在Web應(yīng)用防護策略中，去掉該對象的選用，具體操作方法請參見HYPERLINK3.5.1Web應(yīng)用防護；③在網(wǎng)絡(luò)訪問控制策略中，去掉該對象的選用，具體操作方法請參見HYPERLINK3.5.2網(wǎng)絡(luò)訪問控制；④在Web應(yīng)用掃描策略中，去掉該對象的選用，具體操作方法請參見HYPERLINK3.5.3Web應(yīng)用掃描。時間組這里的組是指若干自定義時間對象組成的邏輯集合，組同樣也可以包含其他組。如圖3.51所示，列出當(dāng)前所有的時間組對象。對于無法刪除的時間組對象，表達已包含在其他時間組對象中或者正被Web應(yīng)用防護/網(wǎng)絡(luò)訪問控制/Web應(yīng)用掃描規(guī)則使用（無論規(guī)則是否啟用）。若要查看時間組對象中包含的對象類型，可以將鼠標(biāo)置于“包含對象”一欄中相應(yīng)的圖標(biāo)上，即可顯示對象類型。刷新時間組對象信息刷新時間組對象信息對象–時間組對象列表新建時間組對象在時間組對象列表的右上方，單擊【新建】，進入新建時間組對象的界面。新建方法與新建服務(wù)組對象的相同，詳情請參見HYPERLINK服務(wù)組。編輯時間組對象在時間組對象列表的“配置”一欄中，單擊【編輯】，即可編輯相應(yīng)的時間組對象。刪除時間組對象在時間組對象列表的“配置”一欄中，單擊【刪除】，確認(rèn)后即可刪除相應(yīng)的時間組對象（不能刪除正在使用中的時間組對象）。時間組對象一旦被其他時間組對象使用或被任一規(guī)則使用后都不允許被刪除，可通過如下操作解除限制：①在時間組對象的其他組對象中，去掉該對象的選用；②在Web應(yīng)用防護策略中，去掉該對象的選用，具體操作方法請參見HYPERLINK3.5.1Web應(yīng)用防護；③在網(wǎng)絡(luò)訪問控制策略中，去掉該對象的選用，具體操作方法請參見HYPERLINK3.5.2網(wǎng)絡(luò)訪問控制；④在Web應(yīng)用掃描策略中，去掉該對象的選用，具體操作方法請參見HYPERLINK3.5.3Web應(yīng)用掃描。策略Web應(yīng)用防護Web應(yīng)用防護策略重要是用來保護Web服務(wù)器。如圖3.52所示，默認(rèn)情況下分組列出所有安全區(qū)的Web應(yīng)用防護規(guī)則，并可進行Web應(yīng)用防護規(guī)則的添加、編輯、刪除、復(fù)制和上下移動等操作。若要查看Web應(yīng)用防護規(guī)則的“動作”或“選項”，可以將鼠標(biāo)置于相應(yīng)的圖標(biāo)上，即可顯示提醒信息；假如將鼠標(biāo)置于規(guī)則編號上，即可顯示該規(guī)則的源安全區(qū)、目的安全區(qū)和備注信息。對于出現(xiàn)紅叉的編號，表達該規(guī)則沒有使用。策略–Web應(yīng)用防護規(guī)則列表添加Web應(yīng)用防護規(guī)則在Web應(yīng)用防護規(guī)則列表的上方，一方面選擇要添加的Web應(yīng)用防護規(guī)則所屬的源安全區(qū)和目的安全區(qū)，然后單擊【新建】，進入添加Web應(yīng)用防護規(guī)則的頁面，如圖3.53所示。策略–添加Web應(yīng)用防護規(guī)則Web應(yīng)用防護規(guī)則涉及以下參數(shù)：安全區(qū)——表達該規(guī)則是匹配從源安全區(qū)到目的安全區(qū)的數(shù)據(jù)包。編號——系統(tǒng)自動分派的Web應(yīng)用防護規(guī)則序號，不能修改。源地址對象——數(shù)據(jù)包的來源對象。可任意選擇網(wǎng)絡(luò)對象、節(jié)點對象、IP池對象或網(wǎng)絡(luò)組對象，單擊相應(yīng)的【多選】也可選擇多個源地址對象（有關(guān)網(wǎng)絡(luò)對象的設(shè)立方法，請參見HYPERLINK3.4.2網(wǎng)絡(luò)）。缺省為any對象，表達該規(guī)則對任意源地址都有效。目的地址對象——數(shù)據(jù)包的目的對象?？扇我膺x擇網(wǎng)絡(luò)對象、節(jié)點對象、IP池對象或網(wǎng)絡(luò)組對象，單擊相應(yīng)的【多選】也可選擇多個目的地址對象（有關(guān)網(wǎng)絡(luò)對象的設(shè)立方法，請參見HYPERLINK3.4.2網(wǎng)絡(luò)）。缺省為any對象，表達該規(guī)則對任意目的地址都有效。域名對象——觸發(fā)該規(guī)則的域名。可任意選擇自定義域名對象或域名組對象，單擊相應(yīng)的【多選】也可選擇多個域名對象（有關(guān)域名對象的設(shè)立方法，請參見HYPERLINK3.4.3域名）。缺省為any，表達該規(guī)則對任意域名都有效。服務(wù)對象——觸發(fā)該規(guī)則的服務(wù)?？扇我膺x擇系統(tǒng)服務(wù)對象、自定義服務(wù)對象或服務(wù)組對象，單擊相應(yīng)的【多選】也可選擇多個服務(wù)對象（有關(guān)服務(wù)對象的設(shè)立方法，請參見HYPERLINK3.4.4服務(wù)）。缺省為any對象，表達該規(guī)則對任意服務(wù)都有效。Web對象——觸發(fā)該規(guī)則的Web防護內(nèi)容?？扇我膺x擇系統(tǒng)Web對象、自定義Web對象或Web組對象，單擊相應(yīng)的【多選】也可選擇多個Web對象（有關(guān)Web對象的設(shè)立方法，請參見HYPERLINK3.4.1Web）。時間對象——該規(guī)則的有效時間，即規(guī)則在所選的時間段內(nèi)有效。可任意選擇自定義時間對象或時間組對象，單擊相應(yīng)的【多選】也可選擇多個時間對象（有關(guān)時間對象的設(shè)立方法，請參見HYPERLINK3.4.5時間）。缺省為any對象，表達該規(guī)則在任意時間都有效。動作——選擇嚴(yán)禁，表達觸發(fā)該規(guī)則的網(wǎng)絡(luò)訪問被阻斷；選擇允許，表達網(wǎng)絡(luò)訪問被允許。記錄日記——表達引擎是否產(chǎn)生告警事件。選擇是，表達所有觸發(fā)該規(guī)則的事件都被記錄到事件具體報表中，同時在Web管理界面【首頁】【事件】中實時顯示，否則將不被記錄和顯示（有關(guān)日記的查看方法，請參見HYPERLINK3.6.1事件報表）。備注——填寫備注信息，用來簡樸描述該規(guī)則的內(nèi)容。添加Web應(yīng)用防護規(guī)則時，源和目的安全區(qū)均不能是“所有安全區(qū)”。對于直通類型的安全區(qū)，源安全區(qū)和目的安全區(qū)必須為同一類型，否則無法添加規(guī)則。編輯Web應(yīng)用防護規(guī)則在Web應(yīng)用防護規(guī)則列表中，單擊“配置”一欄中的【編輯】，即可編輯相應(yīng)的Web應(yīng)用防護規(guī)則。編輯Web應(yīng)用防護規(guī)則時，不能修改源/目的安全區(qū)的設(shè)立。刪除Web應(yīng)用防護規(guī)則在Web應(yīng)用防護規(guī)則列表中，單擊“配置”一欄中的【刪除】，確認(rèn)后即可刪除相應(yīng)的Web應(yīng)用防護規(guī)則。復(fù)制Web應(yīng)用防護規(guī)則復(fù)制Web應(yīng)用防護規(guī)則的目的是簡化網(wǎng)絡(luò)管理員的工作，填寫類似規(guī)則時，只需修改其中的少數(shù)幾項即可添加一條完整的規(guī)則。在Web應(yīng)用防護規(guī)則列表中，單擊“配置”一欄中的【復(fù)制】，即可復(fù)制相應(yīng)的Web應(yīng)用防護規(guī)則，并在其基礎(chǔ)上進行修改生成一條新的Web應(yīng)用防護規(guī)則。移動Web應(yīng)用防護規(guī)則Web應(yīng)用防護規(guī)則采用初次匹配的方式，即從上到下順序匹配，一旦匹配即不再繼續(xù)匹配。在Web應(yīng)用防護規(guī)則列表中，單擊某條規(guī)則相應(yīng)的，彈出調(diào)整規(guī)則位置的窗口，如圖3.54所示。通過輸入規(guī)則編號的方式，可以在本組內(nèi)調(diào)整規(guī)則的位置。假如輸入規(guī)則編號-1，系統(tǒng)將會把該規(guī)則調(diào)整到本組的最后一行。策略–移動Web應(yīng)用防護規(guī)則的位置啟用Web應(yīng)用防護規(guī)則在Web應(yīng)用防護規(guī)則列表中，所有的規(guī)則默認(rèn)均是啟用狀態(tài)。若要取消啟用狀態(tài)，單擊“使用”一欄下的選框，取消選中的狀態(tài)。查詢Web應(yīng)用防護規(guī)則在Web應(yīng)用防護規(guī)則列表的上方，可以通過選擇源安全區(qū)或目的安全區(qū)的方式進行查詢。Web應(yīng)用防護規(guī)則內(nèi)容變更（增長、刪除或修改）后，需要手工執(zhí)行【系統(tǒng)】【系統(tǒng)控制】【應(yīng)用配置】才可以生效，具體操作方法和注意事項請參見HYPERLINK3.2.7系統(tǒng)控制。網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)訪問控制策略是基于IP和端口的網(wǎng)絡(luò)報文過濾控制。如圖3.55所示，默認(rèn)情況下分組列出所有安全區(qū)的網(wǎng)絡(luò)訪問控制規(guī)則，并可進行網(wǎng)絡(luò)訪問控制規(guī)則的添加、編輯、刪除、復(fù)制和上下移動等操作。若要查看網(wǎng)絡(luò)訪問控制規(guī)則的“動作”或“選項”，可以將鼠標(biāo)置于相應(yīng)的圖標(biāo)上，即可顯示提醒信息；假如將鼠標(biāo)置于規(guī)則編號上，即可顯示該規(guī)則的源安全區(qū)、目的安全區(qū)和備注信息。對于出現(xiàn)紅叉的編號，表達該規(guī)則沒有使用。策略–網(wǎng)絡(luò)訪問控制規(guī)則列表添加網(wǎng)絡(luò)訪問控制規(guī)則在網(wǎng)絡(luò)訪問控制規(guī)則列表的上方，一方面選擇要添加的網(wǎng)絡(luò)訪問控制規(guī)則所屬的源安全區(qū)和目的安全區(qū)，然后單擊【新建】，進入添加網(wǎng)絡(luò)訪問控制規(guī)則的頁面，如圖3.56所示。策略–添加網(wǎng)絡(luò)訪問控制規(guī)則網(wǎng)絡(luò)訪問控制規(guī)則涉及以下參數(shù)：安全區(qū)——表達該規(guī)則是匹配從源安全區(qū)到目的安全區(qū)的數(shù)據(jù)包。編號——系統(tǒng)自動分派的訪問控制規(guī)則序號，不能修改。源地址對象——數(shù)據(jù)包的來源對象?？扇我膺x擇網(wǎng)絡(luò)對象、節(jié)點對象、IP池對象或網(wǎng)絡(luò)組對象，單擊相應(yīng)的【多選】也可選擇多個源地址對象（有關(guān)網(wǎng)絡(luò)對象的設(shè)立方法，請參見HYPERLINK3.4.2網(wǎng)絡(luò)）。缺省為any對象，表達該規(guī)則對任意源地址都有效。目的地址對象——數(shù)據(jù)包的目的對象?？扇我膺x擇網(wǎng)絡(luò)對象、節(jié)點對象、IP池對象或網(wǎng)絡(luò)組對象，單擊相應(yīng)的【多選】也可選擇多個目的地址對象（有關(guān)網(wǎng)絡(luò)對象的設(shè)立方法，請參見HYPERLINK3.4.2網(wǎng)絡(luò)）。缺省為any對象，表達該規(guī)則對任意目的地址都有效。服務(wù)對象——觸發(fā)該規(guī)則的服務(wù)?？扇我膺x擇系統(tǒng)服務(wù)對象、自定義服務(wù)對象或服務(wù)組對象，單擊相應(yīng)的【多選】也可選擇多個服務(wù)對象（有關(guān)服務(wù)對象的設(shè)立方法，請參見HYPERLINK3.4.4服務(wù)）。缺省為any對象，表達該規(guī)則對任意服務(wù)都有效。時間對象——該規(guī)則的有效時間，即規(guī)則在所選的時間段內(nèi)有效。可任意選擇自定義時間對象或時間組對象，單擊相應(yīng)的【多選】也可選擇多個時間對象（有關(guān)時間對象的設(shè)立方法，請參見HYPERLINK3.4.5時間）。缺省為any對象，表達該規(guī)則在任意時間都有效。動作——選擇允許，表達網(wǎng)絡(luò)訪問被允許；選擇嚴(yán)禁，表達觸發(fā)該規(guī)則的網(wǎng)絡(luò)訪問被阻斷。備注——填寫備注信