Imperva常见问题处理手册V5Word下载.docx

1、2011-01-14增加1.12、1.13、1.14。、1.15DSG设置相关问题处理说明1.1.如何对数据库中的敏感表设置操作限制，当有用户对敏感表进行限制操作时，立即产生告警？进入MainPoliciesSecurity Create NewDB Service，在From Scratch Type中选择DB Service Custom，然后填写好策略名称，新建一条告警策略：在Destination Tables中选择敏感表，在Operations选择敏感操作：测试对该敏感表的限制操作，并在MonitorAlerts中查看实时告警：警告：在设置好告警策略后一定要应用到相应的数据库Serv

2、er Group中的service，否则告警无效。注：以上配置也可以在Profile中实现1.2.如何对数据库中的敏感表设置用户访问限制，当没有权限的用户对敏感表进行操作时，立即产生告警？在Database User Names中选择有权限的用户名，在Database and Schema选择数据库方案，在Destination Tables中选择敏感表：测试用没有敏感表权限的用户操作，并在Monitor1.3.如何对数据库表的字段设置用户访问限制，当没有权限的用户对该表的字段进行操作时，立即产生告警？在Database User Names中选择有权限的用户名，在Database and S

3、chema选择数据库方案，在Columns中填写表的敏感字段：测试用没有该表权限的用户操做敏感字段，并在Monitor1.4.如何对数据库敏感表中的敏感数据设置访问限制，当用户对敏感数据进行操作时，立即产生告警，且敏感数据在告警中以星号显示？Setup Global Objects Database Table Groups中创建自定义敏感表组，填写好名称，选择好数据分类（分类可以自定义，只是标识）在新建Table Groups中将表名在右边添加进去SitesServer GroupDB Service Default Oracle Application中，在Table Groups中将刚才

4、新建的Users Table Groups添加进去Security在Sensitive Data Access中选择Sensitive，在Sensitive Dictionary Search选择敏感数据字典，在Table Groups中选择敏感表：Operation中，设置敏感数据在Imperva设备中以*显示，防止敏感数据的泄露：测试敏感数据操作，并在Monitor以下配置为敏感数据在审计中的审计实现，同样保证敏感数据的安全AuditCreate New Policy，然后填写好策略名称，新建一条审计策略：测试敏感数据操作，并在AuditData中查看实时告警：1.5.如何设置数据库Pro

5、file中的Black list table groups，当用户访问特别禁止其访问的表（黑列表）时，立即产生告警？Profile Default Oracle Application中，在Restrictions中将刚才新建的Users Table Groups添加到 Black list table groups测试访问该表，并在Monitor1.6.如何清除当前的审计数据？因为审计数据是跟策略有关联，所以删除审计数据指的是删除审计策略的审计数据，进入MainAudit，选择需要清除审计数据的策略，然后点击右上角的Actions选择下拉菜单Purge Now：在右边的Archiving标签

6、中勾选Purge records older than 1 Days，表示清除一天前的审计数据，即，例如今天是23日就是删除22日前的所有数据。然后等待过程完成，在回到审计数据查看页面Update数据，就可以看到数据已经清除。如果无法清除数据，可以重试一两次，再无法清除请查看设备补丁情况，如：在7.0系统中，Patch13和Patch 2都有对无法清除数据的Bug修复。1.7.如何设置没有具体数据库访问内容的违规告警，当用户访问执行“Select *”时，立即产生告警？ Signatures中创建自定义签名库，填写好名称，选择分类在新建的签名库中添加签名，注意正则表达式为：part=”sele

7、ct”,rgxp=”selects+*（?!.*where）.*$）”上述签名是用于匹配不带条件的Select *操作，下面的签名是匹配带条件的Select *，如下：part=”select”,rgxp=”selects+*s.*where” DB Service，在From Scratch Type中选择Oracle Signatures，然后填写好策略名称，新建一条审计策略，将刚才的签名库关联该策略：分别测试两种签名，不带条件的Select *如下：像上述测试，带条件的操作应该会被排除出去，告警结果如下：带条件的Select *如下：告警结果如下：1.8.如何设置数据库存储过程访问权限的

8、违规告警，当为授权用户访问存储过程时，立即产生告警？在Stored Procedure中选择相应的存储过程名，在Database User Names选择有权限的用户名：测试创建储存过程skeleton：测试操作存储过程，并在Audit1.9.出现日志The log is “file number limit reached, data is lost” and “Gateway lost audit data due to extreme collection rate ”，没有审计数据，重新启动后也不行如何处理？修改GW的配置文件/opt/SecureSphere/etc/bootstra

9、p.xml 中的参数max-saved-files=2190 把默认的值2190修改为10000，然后重新启动设备就能解决问题。此问题的产生是由于用户频繁的查看审计数据，频繁使用Last hour，Last day等选项，这些操作会自动产生很多临时的文件，导致系统的文件数超过了2190。而这些文件不能手工进行删除，系统会在purge数据的时候自动清除临时文件。1.10.默认情况下，设备阻断请求的方式是使用发送reset数据包，这样在一些情况下可能会发现攻击还是可以通过设备后如何处理？修改设备的配置参数，使得设备能够直接丢弃攻击数据，修改GW上的配置文件/opt/SecureSphere/etc

10、/hades.cfg，在7.5版本中此文件是链接到/opt/SecureSphere/etc/hades_ob.cfg，修改此文件中的tcp_drop_after_block参数，此参数的默认值为0，修改为1即可。1.11.如何配置UUT，实现数据库审计的前端WEB应用用户跟踪？首先，合理创建你的web服务器组和数据库服务器组，这样可以使设备正确的学习到你的Web架构，即Profile。进入ProfileOverviewxx Server Groupxx ServiceDefault Web Application，点击右上角Display按钮，选择Web Application User T

11、racking，配置用户跟踪页面，例如login.asp，一般情况下该URL会自己学习到，如果没有则需要手工增加；然后设置用户名字段以及登录尝试规则，可以参考截图设置，尝试登录失败，查看设备警告看是否正确学习到User：在MainSitexx DB Server Groupxx DB ServiceApplication User Tracking中选择Service name，即Web服务器组的service，并且选择Enable启用，选择完service name后，点击+可以选择IP Group和数据库用户名，至此UUT的配置以及完毕，这时候到数据库审计数据查看中添加Applicatio

12、n User和Web source IP等字段。注意：如果环境中没有流量，需要尝试登录操作数次然后在查看是否有学习到审计数据，测试中可以通过更改/opt/SecureSphere/etc/ hades.cfg使设备可以快速学习到流量，此方法适用于测试环境webdb_grace_period_time: 60 1webdb_min_system_time: 5400 webdb_min_query_time:webdb_min_url_time:webdb_sensitivity_factor: 6 更改完可以通过查看cat /proc/hades/sg_XXXServer_Group/nzco

13、unters | grep webdb查看测试结果。以上参数修改需要重启设备才可以生效！（以上方法适用于7.0以下版本）1.12.DB2Agent （Shared Memory）是否可以本地阻断？系统可以成功设置阻断，无需重启或者其他设置。在AgentSetting中设置BlockInline后，save后立即生效。触发阻断动作后，Agent会直接把该用户的数据库连接阻断。也就是把数据库连接踢下去了，需要重新connect DB才可以重新做数据库操作。1.13.DB2数据库审计中，使用sniffering模式下，上线时不能看到数据的分析在使用Imperva sniffering模式，直接镜像数

14、据后看不到审计数据，此时需要数据库连接断开，并重新连接一下， 最简单方法是把DB2的实例重新启动一下，即可。此情况下，如果是oracle或MS SQL server，Imperva可以看到SQL语句，但不能看到用户名，用户名处会显示Connected User，Imperva可以识别这两种数据库协议中的部分数据，但对于DB2需要Imperva从连接初就要进行监控，否则Imperva不能识别数据库协议中的数据字段，所以在DB2中如果不是重新建立的连接，则不能审计到。1.14.Init 0关机的注意事项Init0只是关机的不同方式，init0可以实现命令结束后，设备就直接掉电了（没有按设备上硬件的

15、on off开关），shutdown命令，可以关闭所有进程和系统，但是设备还是没有掉电，需要手工按一下on off开关，掉电。所以如果init 0命令执行后，设备掉电了，但是on off开关还处于on的状态，如果你的电源线没有拔掉重插上，那么按on off开关就没有反应。必须把电源线全部重新拔插一遍，然后on off按钮才复位。1.15.IMPHA配置及切换在GW上使用impcfg命令进行模式的设定，将模式设定为IMPHA，然后再进入Interface的配置，将指定的Bridge变为HA on的模式。GUI上无需配置什么，登陆GUI界面后会看到GW的状态为IMPHA的模式，fail open、

16、fail close的部分不可以选，是灰掉的，显示为IMPHA状态。IMPHA其实还是一个类似STP的机制，系统插拔网线或者关闭电源切换，会丢失大概6-7个ping包。故障GW重新恢复回来后，会重新切换，又会丢6-7个ping包。WAF设置相关问题处理说明2.1.如何disable威胁雷达功能？威胁雷达功能需要单独购买license，如果没有license的时候，会经常进行报警，可以通过disable威胁雷达功能来实现清除关于威胁雷达的报警信息，步骤如下：通过AdminSystem DefinitionThreatRadar SettingsGeneral Settings中，取消Threat

17、Radar is Enabled的复选框即可disable威胁雷达功能，反之亦然。2.2.如何配置使SecureSphere只学习有参数的url成为profile？对于没有参数的url学习成为Profile，会使得profile的数量很大，降低SecureSphere的性能。为了保证系统的性能可以只学习有参数的url为profile，配置如下：1使用root通过SSH登录系统。2编辑/opt/SecureSphere/etc/bootstrap.xml增加下列加黑内容：增加的位置在“gateway” 和“hsms”之间。如下：product name=SecureSphere init-mod

18、e=active-components/componentsgateway name=GW29hsms3重新启动gateway，使用命令：impctl gateway restart此配置只针对GET，HEAD2.3.如何监控WEB页面的返回内容？对于某些WEB页面，需要监控其返回的内容，在SecureSphere中需要配置特定策略，策略中配置返回页面，配置如下：Mainpolicy nameAdvancedDisplay response page in alerts，选择此复选框即可完成针对此策略的监控返回内容的配置。返回页面的内容会在：Main Monitor Violations Re

19、sponse中显示，如下图：2.4.如何定制错误页面？对于各种攻击SecureSphere配置错误页面，错误页面分为另种：默认错误页面和自定义错误页面。默认错误页面配置如下：Service nameOperationDefault Error Page，选中Use Default Error Page复选框，同时选择redirect或page即可。自定义错误页面配置如下：1.创建错误页面：Global ObjectsWeb Error Page GroupsWeb Error Pages，选择新建一个页面，新页面可以选择重定向或自定义页面，如下图：2.创建错误页面策略：Web Error Pa

20、ge Policies，选择新建一个错误页面策略，此策略可以根据IP、HTTP版本、语言、文件类型、Host、Cookie等信息的不同指向不同的自定义新页面，如下图：3.在Service中配置错误页面策略：Operation，取消Use Default Error Page复选框，同时在Web Error Page Policies中创建并选择相应的错误页面策略，即可完成，如下图：2.5.如何为特定策略添加例外？例外是为特定应用而设置，可以保证某些触发了特征值，但属于正常业务的应用正常的运行。添加例外可以通过两种方式进行：1通过告警信息来设置：MonitorAlertsAlert name A

21、dd as ExceptionOK，即可完成。添加例外的结果如下（添加的例外是针对这个特定的特征以及URL）：2直接在策略中添加例外：Policy nameexception name，再设置例外条件即可完成，见下图：设备运维处理说明3.1.如何查看设备序列号？rootlocalhost tmp# impctl platform dmi show |grep Serial Number: 0913* 这是设备序列号 Serial Number: QSCL85000095 Not Specified 00000000 MemUndefined3.2.如何查看设备平台号？rootlocalhost

22、 tmp# impctl platform show asset-tag G4CLS4hard-asset-tag G4CLS4vendor Impervamodel G4CLS4version 6.2.0.6442可以同时看到设备平台号G4和设备软件版本号为6.2.64423.3.如何快速查看设备管理口配置？rootlocalhost tmp# impctl platform network interface showmanagement device=eth0,address=192.168.1.218,mask=255.255.255.0,broadcast=192.168.1.255

23、,proto=staticrootlocalhost # impctl platform network route showplatform:default gateway=192.168.1.2543.4.如何快速查看Sniffing模式下设备监听接口配置？rootlocalhost sniffing# impctl gateway sniffing showsniffing device=eth2sniffing device=eth3sniffing device=eth4sniffing device=eth5blocking device=eth1如果设备无法抓取到数据时，请确认你

24、的监听接口配置3.5.如何查看设备软件版本号和Patch号？rootsinogrid_imperva # impctl -version7.5.0.7564rootsinogrid_imperva # cat /opt/SecureSphere/etc/patch_level Fri Apr 16 15:25:01 CST 20107.5.0.7564-0上述结果显示设备的软件版本号为7.5.0.7564，Patch号为0（即，安装Patch 0补丁。）3.6.如何查看设备gateway情况？rootsinogrid_imperva # impctl gateway showname sinogrid_imperva 设备名称mode bridge-stp 设备部署模式var-dir data-encryption local-dir server-address 127.0.0.1server-port 8080listener-address 127.0.0.1listener-port 80listener-sslEnabled external-listener-