- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-反向代理模式部署配置案例
本章节下载: 01-反向代理模式部署配置案例 (746.20 KB)
反向代理模式部署配置案例
|
Copyright © 2018新华三技术有限公司版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
目 录
本文档介绍了云Web应用防火墙反向代理模式部署的配置举例。
Web应用防火墙的反向代理部署模式可以更好的实现对Web服务器的安全防护。可以隐藏Web服务器的真实IP地址,也可以加强Web服务器操作系统及业务本身的漏洞防护,在攻击爆发时减低服务器流量压力,提高业务可用性。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
如图所示,Host A可以访问到云Web应用防火墙的业务地址,云Web应用防火墙可以访问到Web Server服务器。现在要求Host A通过访问云Web应用防火墙的代理地址实现对Web服务器的应用访问。
图1 云Web应用防火墙反向代理部署配置举例组网图
· 组网图中的eth1接口,是指云WAF中作为反向代理业务口的接口,但实际组网连线中,交换机的GE1/0/7口,对端连接的应该是该云WAF 安装中,eth1口对应CAS服务器上的实际物理口,以《云Web应用防火墙安装指导》为例,即1.2小节步骤(9)中,添加的第一个业务网卡所选择的虚拟交换机对应的CAS服务器的实际物理口。
· 在云WAF安装过程中,添加的第一个业务网卡对应云WAF的eth1口,按照添加先后顺序,第二个添加的业务网卡为eth2,以此类推。
本举例是在系统版本:ESS6711上进行配置和验证的。
登录Web应用防火墙:启动IE/FIREFOX浏览器,在地址栏内输入“https://192.168.0.1”即可进入Web网管登录页面。输入用户名“admin”、密码“admin”,点击<登录>按钮即可进入Web网管页面并进行相关操作。
推荐使用IE10+及Firefox56+及其以上版本的浏览器。
登录应用防火墙后点击左侧菜单:系统配置-侦测模式。
图2 侦测模式配置页面
点击反向代理模式后面的配置按钮进入反向代理配置界面:
图3 反向代理配置界面
在配置界面中首先需要配置的是反向代理的业务接口,可以在页面上部反向代理接口处选择指定的接口,我们在这里选择的是eth1接口,选择后点击应用。
图4 反向代理接口配置图
接口选择完继续添加需要代理的Web服务器,在接口下方的服务器设置项点击添加按钮。
图5 反向代理服务器配置界面
在服务器添加配置页中,我们要设置用于代理的IP地址、子网掩码和代理端口,服务器IP地址端口为真实Web服务器地址和端口,填写完成后点击应用按钮完成代理服务器添加。添加完成后如图:此时172.16.1.100为代理地址,192.168.14.230为真实Web服务器。
图6 反向代理服务器配置完成图
以组网图3-1为例,在交换机上建立3个Vlan,分别是10.10.10.0/24、172.16.1.0/24、192.168.14.0/24,并配置三个Vlan的网关。以下交换机配置命令均以H3C交换机为例。
图7 创建vlan 10并配置网关
图8 创建vlan 172并配置网关
图9 创建vlan 192并配置网关
代理配置完成后可以到网络配置-网络接口页观察配置情况。
图10 网络接口界面
· 名称为eth的接口是在安装云WAF过程中添加的网卡所对应的接口,以《云Web应用防火墙安装指导》中1.2小节步骤(9)为例,添加的第一个业务网卡对应是云WAF的eth1口。
· 名称为veth1的接口,是云WAF本身的一个虚接口,反向代理模式下,配置的代理IP都会关联到该虚接口上。
此时可以观察到,veth1接口被配置了代理接口地址,工作模式为路由模式,此时代表反向代理模式配置成功。下一步配置相关Web安全防护策略。
· 配置的其他接口地址和管理地址不能与业务代理地址在相同网段。否则会导致反向代理模式下监控策略失效。
· 若配置完反向代理接口地址后,ping不通该地址,可以在“网络接口”页面点击veth1接口,查看其管理访问中的ping方式是否开启,若没有开启,勾选该方式并点击应用,之后再尝试是否能够ping通。
由于系统仅有直连路由和添加的静态路由,因此需要在路由表中添加一条默认路由,使WAF上的业务流量都从反代业务口进出。
以组网图3-1为例,反代模式的代理IP为172.16.1.100,反代业务口所连的交换机的网关为172.16.1.1,因此添加一条路由,勾选“添加为默认网关”,网关为172.16.1.1。
图11 WAF路由配置
点击左侧安全策略-Web安全策略,根据需要添加调整Web应用防护策略。
图12 WAF策略界面
点击添加按钮可以添加新WAF策略,点击策略右侧操作按键可以调整策略配置,可根据客户安全需求调整策略内容和动作等信息。调整完毕后点击确定。
图13 WAF策略配置界面
点击左侧安全策略-策略引用,将添加的Web应用策略与Web服务器进行关联。
点击左侧添加按钮,添加新的引用策略,上联接口一定要选择veth0接口,其他配置根据需要和配置选择入侵检测策略和WEB防护策略(上一步添加的WAF策略),点击服务器安全组按钮添加被保护服务器。
反代模式下上联接口选择veth0接口的原因:由于反代模式下,配置的代理IP被关联到虚接口veth1上,而veth0和veth1是云WAF本身的一对虚接口对,流量上代理时,是从veth0虚接口流入的,所以需要将veth0设为上联接口,才会对流量进行规则检测。
图14 策略引用界面
添加被保护服务器(此时被保护服务器为真实服务器地址):在服务器列表里添加服务器地址和掩码,协议端口可根据业务情况进行填写和选择,填写完成后点击右侧的添加按钮即可添加到服务器列表中,可以添加多条服务器信息。添加完成后点击应用并返回上一级界面。
图15 服务器添加界面
策略引用配置完成后,默认情况下新添加的策略并不会立即启用,需点击界面的启用按键启用策略,策略启用后设备既可以实现对WEB服务器的安全防护功能。
图16 策略引用配置完成
· Host A访问Web Server可以正常打开Web的页面。
· 进行攻击测试。
攻击测试方法:
可以在目标服务器上安装测试靶机环境,靶机软件DVWA服务器端。
在客户端用浏览器登录靶机DVWA测试页面。
图17 SQL注入
选择SQL注入选项,并点击测试方法项
图18 SQL注入
· 进行攻击测试后,可以在Web安全策略中观察到策略命中数。
· 在左侧日志报表项-日志-WEB安全日志中可以查看具体告警信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
