1.增加了violation rating
ASM管理员在策略设定过程中需要不断的查看和学习各种violations,判断是否是一个真的violation,以设定正确的策略,但是往往由于管理人员不是开发人员,因而对管理员要求较高,violation rating功能是F5引入的一个业界创新功能,系统可以自动的对所触发的violations基于各个request进行rating,等级的分为1-5, 数字越大表示是真实violation的可能性越大,管理员可以参考系统给出的评分进行策略判断。
violation rating功能存在于两个方面:
1).系统的 event-applications-requests 界面,这里可以按照rating等级过滤系统的requests,若绝大部分requests的rating都很低,说明系统策略的误报率较高。
2).系统的 manual traffic learning 的violation界面,当点击“recent incidents”后,可以看到类似于如下界面,显示触发了该violation的各个requests的violation rating
VO$GC]R(BDC3@1UGDAQF67" width="300" height="125" />
同时系统还可以在此界面给出该violation的vating 直方图,帮助管理员清晰的判断该violation对不同requests的准确性,若这里绝大部分都是较低分值,说明这个violation对应的策略容易产生误报。
2. 可以一次点击即接受系统对某一个request所产生的所有violation的suggestions,这相当点击一次 accept the request 按钮,代替了以前点击learn并在出现的新页面中勾选所有violations,再点击accept这几个步骤。 这个功能在策略学习初期时候,如果可以判断某个request的上的violations都应该学习的话,则此功能较为方便。此功能按钮在" event-applications-requests "也存在。
![39H4R8FY}]KC}OX</code srcset=](http://www.cnadn.net/upload/2014/09/39H4R8FYKCOXF3RD07H.jpg)
F3RD07H" width="300" height="241" />
注意:同一个URL携带不同参数,在这个功能上是当做不同URL来处理的。所以不是说accept了某个URL,那么此后这个URL上新出的任何参数都自动接受,也不代表自动接受已学习的参数又产生的新violations。 可以简单立即为这个功能按钮只是用来减少以前的点击次数。 同时此功能只对 automatic policy building有效。
3. DOS 防范增强
1)增加了CAPTCHA 验证码挑战防护功能,当满足设定的条件时候,系统返回一个挑战页面给客户端,如果客户端可以正确输入验证码图片中的文字,则请求可以到达服务器。若通不过,则继续显示挑战页面,因而请求也就无法到达服务器。
![XXJCNC]}EW[C0XAMQR}N_ND](http://www.cnadn.net/upload/2014/09/XXJCNCEWC0XAMQRN_ND.jpg)
这个功能在IE6上无法正确显示验证码
2)对传统的rate limiting方式增加了一个选项,即容许drop all requests (但仅限于source ip based 和 Geo location based两种方法)
3)在每一种策略里增加GeoLocation防护方法,控制当某个来自某个国家(不包含在黑名单和白名单中的国家,白名单总是过,黑名单总是防护)的请求在总请求的中占比至少达到多少,且这个国家的请求增长了多少时候,启动防护。
4) Proactive bot defense 当启用这个功能后,asm系统检查所有请求,包括第一个请求(如果设置的always模式的话,设置为durring attack模式的话该功能仅在系统已判断出存在dos攻击后才启动),而不是像其他手段通过检测一定的阀值条件,asm会在第一个请求中即插入一段javascript代码,此段代码将使得客户端浏览器自动执行一次重复的请求,并在该请求中携带计算出来的cookie, 若后续在grace time时间内都能携带正确的cookie,那么后续请求不会再被插入JS, 超过grace time时候后的第一个请求将再次被插入JS以计算新的cookie。此功能相当于还可以防范 web scraping, brute force.
![@R8}{@K7M1{0[ZMJ1]6)FPX](http://www.cnadn.net/upload/2014/09/@R8@K7M10ZMJ16FPX.jpg)
4. 增强并改进了CSHUI脚本检测,改进rapid suffering detection配置参数The system now considers the client a bot if a specific number of different URLs are accessed in a specific amount of time, or if one page is refreshed a specific number of times in a specific amount of time.
5.在第三方扫描导入策略方面,对不可以自动resolve的项目增加手动resolve功能,并有向导提示
6.Continue Parsing After Violations
Until this release, if there was a parsing error in a request triggering some of the HTTP compliance subviolations, or the Request Exceeds buffer size violation, then the system would not check for other violations in the request. With this release, the system continues to check for other violations in the request.
Note: When the Request Exceeds buffer size is triggered, then if the request was not blocked, the first 10KB of the payload are inspected for other violations, otherwise (if blocked), only the headers are inspected.
7.REST API Enhancements 通过REST接口的功能增强,更加满足于虚拟化环境,云计算环境下的部署,使得多租户的管理开发更加完善
8.系统级参数
1)增加send_content_events, 默认disable,该功能关闭了以前系统将violation事件记录到/var/log/asm文件中的功能,改善系统性能。
2)增加long_request_mem_percentage,用此代替以前的max_concurrent_long_request
3)max_raw_request_len,设置控制log记录原始request的时候最大长度,默认5000字节
9.移除了/var/log/ts/ts.log, 日志转到/var/log/asm里。 取消了以下这些工具脚本:
cleandb, fbloader, fbagent, cfg_converter, convert_cfg, recovery manager, nwd.pl, verify dcc, and the kill/exec scripts
使用new daemon asm_start 代替 the old daemons nwd and recovery manager.
