更新时间:2025-02-12 GMT+08:00
分享

开启应用防护

操作场景

如果您需要防护Web应用,请为目标服务器开启应用防护。开启防护过程中,HSS会在服务器中安装微服务RASP防护插件。

开启方式说明

应用防护提供“自动接入”“手动接入”两种开启方式,区别如下:

开启方式

优势

限制

操作

自动接入

  • 无需用户手动配置应用防护启动参数;
  • 自动识别并接入防护服务器中存在监听端口的Web应用,并在Web应用运行时动态加载和卸载应用防护功能。
  • 此方式涉及“自动开启RASP动态防护”功能,该功能当前处于公测阶段,如需使用请提交工单申请开通;
  • Web应用如果启动时间小于或等于5分钟,通过该方式无法成功开启RASP防护,待应用启动时间大于5分钟后,将自动开启防护;
  • 不支持接入JRE 8、JRE 11、JRE 17的Web应用;
  • JDK17需要在Web应用启动参数中添加“--add-opens=java.base/java.lang=ALL-UNNAMED”

通过自动接入方式开启应用防护

手动接入

  • 支持接入没有监听端口的Web应用;
  • 支持接入JRE 8、JRE 11、JRE 17的Web应用。

需要用户手动为应用配置应用防护启动参数。

通过手动接入方式开启应用防护

通过自动接入方式开启应用防护

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  3. 选择主机防御 > 应用防护 > 防护设置,进入“防护设置”页面。

    如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

    图1 查看防护设置

  1. 单击“添加防护服务器”,系统弹出“添加防护服务器”对话框。
  2. 在对话框中,选择需要防护的服务器和防护策略,选择完成后,单击“添加并开启防护”。相关参数说明请参见表1

    图2 添加防护服务器
    表1 添加防护服务器参数说明

    参数

    参数说明

    取值样例

    操作系统类型

    选择服务器的操作系统类型和服务器;支持Linux和Windows。

    Linux

    自动开启RASP动态防护

    是否自动开启RASP动态防护。

    如果启用此功能,系统会使用JVM Attach能力自动识别并接入服务器中存在监听端口的Web应用(包括容器环境),将应用防护功能集成到Web应用中。该方式可以在Web应用运行时动态地加载和卸载应用防护功能,无需重启Web应用,可以保障业务的连续性。

    如果Web应用启动时间小于或等于5分钟,通过该功能无法成功开启防护,待应用启动时间大于5分钟后,将自动开启防护。

    说明:

    该功能当前处于公测阶段,如需使用请提交工单申请开通。

    开启

    配置RASP端口

    RASP监听端口。

    19999

    选择防护策略

    即选择应用防护策略。企业主机安全提供“默认策略”,其中包含应用防护功能的全部检测规则,具体请参见检测能力。如果“默认策略”不适用您的防护场景,您可以自定义创建防护策略,具体操作请参见添加防护策略

    默认策略

  3. “防护设置”页面,查看目标服务器的“RASP防护状态”为“防护中”,表示服务器所有Web应用开启RASP防护成功。

    • 如果“RASP防护状态”“防护开启中”,表示系统正在系统正在为服务器安装RASP插件并开启防护,请耐心等待几分钟。
    • 如果“RASP防护状态”“防护失败”“部分防护”,您可以在目标服务器所在行的“操作”列,单击“查看详情”,查看具体Web应用防护失败的原因,根据失败原因解决问题。

      如果防护失败原因显示类似如下,请继续执行7

      11\u0502 27, 2024 11:15:26 \u024f\u03a7 com.huawei.hisec.secshield.main.AttachMain verify\r\n\u044f\u0598: JDK 17 must contain parameter \"--add-opens=java.base/java.lang=ALL-UNNAMED\"\r\n11\u0502 27, 2024 11:15:26 \u024f\u03a7 com.huawei.hisec.secshield.main.AttachMain verify\r\n\u044f\u0598: JDK 17 must contain parameter \"--add-opens=java.base/java.lang=ALL-UNNAMED\"\r\n

  4. (可选)如果是JDK 17的Web应用,需要额外在启动脚本中添加“--add-opens=java.base/java.lang=ALL-UNNAMED”参数。

    配置方法因应用类型和版本不同,而存在区别,如下以Apache Tomcat 11.0.0举例说明。
    • Tomcat(Windows)

      在Tomcat安装目录bin目录下“catalina.bat”文件中,添加“--add-opens=java.base/java.lang=ALL-UNNAMED”参数,如图3所示。

      图3 catalina.bat
    • Tomcat(Linux)

      在Tomcat安装目录bin目录下“catalina.sh”文件中,添加“--add-opens=java.base/java.lang=ALL-UNNAMED”参数,如图4所示。

      图4 catalina.sh

    配置完成后等待5~10分钟后,查看“RASP防护状态”为“防护中”,表示开启RASP防护成功。

通过手动接入方式开启应用防护

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  3. 选择主机防御 > 应用防护 > 防护设置,进入“防护设置”页面。

    如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

    图5 查看防护设置

  1. 单击“添加防护服务器”,系统弹出“添加防护服务器”对话框。
  2. 在对话框中,选择需要防护的服务器和防护策略,选择完成后,单击“添加并开启防护”。相关参数说明请参见表2

    图6 添加防护服务器
    表2 添加防护服务器参数说明

    参数

    参数说明

    取值样例

    操作系统类型

    选择服务器的操作系统类型和服务器;支持Linux和Windows。

    Linux

    配置RASP端口

    RASP监听端口。

    19999

    选择防护策略

    即选择应用防护策略。企业主机安全提供“默认策略”,其中包含16种检测规则。如果“默认策略”不适用您的防护场景,您可以自定义创建防护策略,具体操作请参见添加防护策略

    默认策略

  3. “防护设置”页面,查看到目标服务器的“RASP防护状态”为“未防护”。

    如果防护状态显示“防护开启中”表示系统正在为服务器安装RASP插件,请耐心等待几分钟。

  4. 手动为Web应用配置启动参数开启RASP防护。

    1. 单击“手动配置指导”,系统弹出“手动配置Web应用RASP防护”对话框。
      图7 手动配置指导
    2. 选择目标Web应用,根据界面提示复制启动参数,并将启动参数粘贴到目标Web应用启动脚本中。
      图8 配置启动参数
    3. 启动参数配置完成后,重启Web应用。
    4. 等待5~10分钟后,在目标服务器所在行的“操作”列,单击“查看详情”,系统弹出“应用防护详情”页面。
    5. 查看目标Web应用的RASP防护状态为“防护成功”,表示目标Web应用开启防护成功。

      如果服务器存在多个Web应用,请逐一为这些Web应用执行如上操作配置启动参数,如果您仅为一个Web应用配置了启动参数,在“防护配置”页面,目标服务器的防护状态将显示为“部分防护”。

相关操作

如果需要修改RASP防护端口,可在目标服务器所在行的“操作”列,单击“编辑端口”。端口修改完成后,系统将重启RASP插件,请耐心等待几分钟。

相关文档