文档简介:
简介
主机安全HOSTEYE(企业版)集成了Web应用防护能力( https://rasp.baidu.com ),抛弃了传统防火墙依赖请求特征检测攻击的模式,创造性地使用RASP技术(应用运行时自我保护)。将RASP探针直接注入到被保护应用的服务中,为Web应用提供函数级别的实时防护,并可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞。尤其适合大量使用开源组件的互联网应用以及使用第三方集成商开发的金融类应用。
目前企业版支持对PHP及JAVA的应用服务进行防护,为了提升您的防护等级建议您购买企业版。
Web应用防护
在主机安全-Web应用防护-Web应用防护页面,您可以总览含有RASP风险的应用数量,点击可筛选。可总览各类RASP事件的数量。
添加应用服务器
应用服务器的添加有两种方式:
- 自动发现应用服务
-
手动添加应用服务器。手动添加时,需要填写对应的应用名称,服务器IP,应用类型,应用所在路径。
注意:Jetty、WebSphere、Spring Boot服务需要额外的安装步骤,详见:RASP客户端部署指南
RASP-Agent的安装、升级、卸载操作
-
RASP-Agent安装。
当Web应用防护设置中配置了组件自动安装策略,应用服务将自动安装对应组件。若未配置自动安装,则可以勾选对应的应用服务,点击Web应用防护页面的“安装”按钮进行RASP-Agent的手动安装。注意:部分应用的安装未生效时,需要重启应用服务,请合理安排安装时间。
-
RASP-Agent升级。
当Web应用防护设置中配置了组件自动升级策略,应用服务将自动升级对应组件。若未配置自动升级,则可以勾选对应的应用服务,点击Web应用防护页面的“升级”按钮进行RASP-Agent的手动升级。
注意:部分应用的升级未生效时,需要重启应用服务,请合理安排升级时间。
-
RASP-Agent卸载
可以勾选对应的应用服务,点击Web应用防护页面的“卸载”按钮进行RASP-Agent的手动卸载。注意:部分应用的卸载未生效时,需要重启应用服务,请合理安排卸载时间。
- 点击某服务器的攻击事件数字,可以攻击查看详情:
Web应用防护设置
在主机安全-Web应用防护-Web应用防护设置中, 可以对Web应用防护进行防护设置(快速设置、自定义设置)、URL白名单设置、组件安装/升级/清理设置。
防护设置
- 快速设置:系统定义好的处理方式,有三种防护方式可选。
- 自定义设置:可以灵活定义各种攻击的处理方式。
- 关闭防护:关闭Web应用防护功能。
通用设置
对攻击事件的拦截回执信息通过此页面进行配置,说明如下:
1. 在使用反向代理的情况下,比如 nginx + php-fpm,
后端应用看到的请求来源通常是nginx的IP地址,为了获取真实的源IP,
我们通过 X-Client-IP请求头获取,建议在您的nginx内进行如下配置:proxy_set_header ClientIP $remote_addr
当发生攻击时,我们获取这个 ClientIP 的内容,就是攻击者的真实IP。
2. HTML响应内容参考格式:
<script>location.href="https://rasp.baidu.com/blocked2/?request_id=%request_id%"</script>
3. XML响应内容参考格式:
<?xml version =“ 1.0”?>
<doc>
<error> true </error>
<reason>请求被RASP阻止</reason>
<request_id>%request_id%</request_id>
</doc>
4. JSON响应内容参考格式:
{"错误" : true,"原因": "请求被RASP阻止","request_id": "%request_id%"}
URL白名单设置
点击添加白名单按钮,进行URL白名单配置。白名单列表的URL将直接放过。
组件升级设置(RASP-Agent升级/安装/清理设置)
- 安装组件:选择自动安装还是手动安装。
- 升级组件:选择自动升级还是手动升级。
- 清理(卸载)组件:选择离线3天清理、离线七天清理、还是关闭自动清理。
