开启应用防护
操作场景
如果您需要防护Web应用,请为目标服务器开启应用防护。开启防护过程中,HSS会在服务器中安装微服务RASP防护插件。
开启方式说明
开启方式 |
优势 |
限制 |
操作 |
---|---|---|---|
自动接入 |
|
|
|
手动接入 |
|
需要用户手动为应用配置应用防护启动参数。 |
通过自动接入方式开启应用防护
- 登录管理控制台。
- 在页面左上角选择“区域”,单击
,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 选择“防护设置”页面。
,进入
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
图1 查看防护设置
- 单击“添加防护服务器”,系统弹出“添加防护服务器”对话框。
- 在对话框中,选择需要防护的服务器和防护策略,选择完成后,单击“添加并开启防护”。相关参数说明请参见表1。
图2 添加防护服务器
表1 添加防护服务器参数说明 参数
参数说明
取值样例
操作系统类型
选择服务器的操作系统类型和服务器;支持Linux和Windows。
Linux
自动开启RASP动态防护
是否自动开启RASP动态防护。
如果启用此功能,系统会使用JVM Attach能力自动识别并接入服务器中存在监听端口的Web应用(包括容器环境),将应用防护功能集成到Web应用中。该方式可以在Web应用运行时动态地加载和卸载应用防护功能,无需重启Web应用,可以保障业务的连续性。
如果Web应用启动时间小于或等于5分钟,通过该功能无法成功开启防护,待应用启动时间大于5分钟后,将自动开启防护。
说明:该功能当前处于公测阶段,如需使用请提交工单申请开通。
开启
配置RASP端口
RASP监听端口。
19999
选择防护策略
即选择应用防护策略。企业主机安全提供“默认策略”,其中包含应用防护功能的全部检测规则,具体请参见检测能力。如果“默认策略”不适用您的防护场景,您可以自定义创建防护策略,具体操作请参见添加防护策略。
默认策略
- 在“防护设置”页面,查看目标服务器的“RASP防护状态”为“防护中”,表示服务器所有Web应用开启RASP防护成功。
- 如果“RASP防护状态”为“防护开启中”,表示系统正在系统正在为服务器安装RASP插件并开启防护,请耐心等待几分钟。
- 如果“RASP防护状态”为“防护失败”或“部分防护”,您可以在目标服务器所在行的“操作”列,单击“查看详情”,查看具体Web应用防护失败的原因,根据失败原因解决问题。
如果防护失败原因显示类似如下,请继续执行7。
11\u0502 27, 2024 11:15:26 \u024f\u03a7 com.huawei.hisec.secshield.main.AttachMain verify\r\n\u044f\u0598: JDK 17 must contain parameter \"--add-opens=java.base/java.lang=ALL-UNNAMED\"\r\n11\u0502 27, 2024 11:15:26 \u024f\u03a7 com.huawei.hisec.secshield.main.AttachMain verify\r\n\u044f\u0598: JDK 17 must contain parameter \"--add-opens=java.base/java.lang=ALL-UNNAMED\"\r\n
- (可选)如果是JDK 17的Web应用,需要额外在启动脚本中添加“--add-opens=java.base/java.lang=ALL-UNNAMED”参数。
配置方法因应用类型和版本不同,而存在区别,如下以Apache Tomcat 11.0.0举例说明。
配置完成后等待5~10分钟后,查看“RASP防护状态”为“防护中”,表示开启RASP防护成功。
通过手动接入方式开启应用防护
- 登录管理控制台。
- 在页面左上角选择“区域”,单击
,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 选择“防护设置”页面。
,进入
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
图5 查看防护设置
- 单击“添加防护服务器”,系统弹出“添加防护服务器”对话框。
- 在对话框中,选择需要防护的服务器和防护策略,选择完成后,单击“添加并开启防护”。相关参数说明请参见表2。
图6 添加防护服务器
表2 添加防护服务器参数说明 参数
参数说明
取值样例
操作系统类型
选择服务器的操作系统类型和服务器;支持Linux和Windows。
Linux
配置RASP端口
RASP监听端口。
19999
选择防护策略
即选择应用防护策略。企业主机安全提供“默认策略”,其中包含16种检测规则。如果“默认策略”不适用您的防护场景,您可以自定义创建防护策略,具体操作请参见添加防护策略。
默认策略
- 在“防护设置”页面,查看到目标服务器的“RASP防护状态”为“未防护”。
如果防护状态显示“防护开启中”表示系统正在为服务器安装RASP插件,请耐心等待几分钟。
- 手动为Web应用配置启动参数开启RASP防护。
- 单击“手动配置指导”,系统弹出“手动配置Web应用RASP防护”对话框。
图7 手动配置指导
- 选择目标Web应用,根据界面提示复制启动参数,并将启动参数粘贴到目标Web应用启动脚本中。
图8 配置启动参数
- 启动参数配置完成后,重启Web应用。
- 等待5~10分钟后,在目标服务器所在行的“操作”列,单击“查看详情”,系统弹出“应用防护详情”页面。
- 查看目标Web应用的RASP防护状态为“防护成功”,表示目标Web应用开启防护成功。
如果服务器存在多个Web应用,请逐一为这些Web应用执行如上操作配置启动参数,如果您仅为一个Web应用配置了启动参数,在“防护配置”页面,目标服务器的防护状态将显示为“部分防护”。
- 单击“手动配置指导”,系统弹出“手动配置Web应用RASP防护”对话框。
相关操作
如果需要修改RASP防护端口,可在目标服务器所在行的“操作”列,单击“编辑端口”。端口修改完成后,系统将重启RASP插件,请耐心等待几分钟。