14-HTTPS CC防护典型配置举例
本章节下载 (4.74 MB)
H3C流量清洗系统集成应用安全模块,该模块的主要作用是对HTTP(HTTPS)的请求进行数据内容分析,对异常请求进行阻断,避免攻击请求到达服务器,提高业务的安全性,为web应用提供防护。
集群应用场景、主备场景不支持当前特性,AFC2020、AFC2040 不支持当前特性;
串联场景中多链路接入(含VLAN虚拟链路)环境不支持当前特性;
AFC开启端口聚合的工作场景不支持当前特性;
旁路上联双出口路由器场景不支持当前特性;
软件版本H3C i-Ware Software,Version 7.1, ESS 6401 P06 开始支持当前特性;
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。默认此功能未开启,需要进入 【系统配置】-【参数设置】,开启此功能:如 图1 所示
图1 开启应用安全配置
透明转发是指,被防护web应用服务器的IP在AFC的保护范围内,服务器上下行流量均经过AFC设备。
为实现对攻击被保护IP 172.212.6.X的网站的防护,将AFC设备串联到客户网络中,AFC串联外网口接上层交换机,AFC串联内网口接下层交换机,AFC对接收的混合流量进行检测过滤后转发到下层网络。组网如图2所示。
图2 AFC串联部署模式配置组网图
具体实现如下:
· 接口连接:AFC串联外网口XGE2/0接上层交换机,AFC串联内网口XGE2/1接下层交换机。
· 主机流量清洗:全局模块策略对实时对主机流量进行过滤检测,应用安全模块对所配置域名进行防护。
表1 VLAN分配列表
VLAN ID |
作用描述 |
IP地址 |
1711 |
核心交换机与AFC串联外网口连接接口; 下层交换机和核心交换机互联地址 下层网络的网关地址 |
171.0.1.1/24 171.0.1.2/24 172.212.0.1/16 |
表2 AFC接口IP分配列表
接口 |
作用描述 |
IP地址 |
XGE2/0 |
串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
XGE2/1 |
串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
GE0/0 |
AFC管理口 |
192.168.0.1/24 |
表3 受保护服务器配置列表
IP地址 |
域名 |
端口 |
172.212.6.101 |
www.test101.com |
http 80 |
www.test103.com |
https 443 |
【AFC】接口名称,由具体设备型号而定,此处只做指导参考。接口功能,请参考具体设备型号,依据设备默认接口功能进行使用配置,请勿自行修改。
要实现AFC串联部署模式配置,可按照如下思路进行配置:
(1) 核心交换机R2配置基础网络
配置核心交换机R2的XG1/0/17接口与下层交换机R3 XG1/0/17接口互联互通;
(2) 下层交换机R3配置基础网络
配置下层交换机R3的XG1/0/17接口与核心交换机R2 XG1/0/17接口互联互通;
(3) AFC基础网络配置
AFC网口配置,XGE2/0 配置串联外网口、XGE2/1 配置串联内网口,互相绑定后,使上下层交换互通;
(4) 应用安全配置
需要配置域名转发规则,虚拟路由配置,HTTPS模式需要添加证书,添加域名转发规则后,使域名的请求可以通过应用安全模块,对其进行监控和防护;
创建1711,VLAN 1711对应171.0.1.0/24网段,作用为与下层终端设备在同一网段,并作为终端设备网关。
# 创建VLAN
[R2]vlan 1711
[R2]quit
# 配置VLAN IP
[R2]interface Vlan-interface1711
[R2-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0
[R2-Vlan-interface1711]quit
[R2]interface XGigabitEthernet1/0/17
[R2-XGigabitEthernet1/0/17]port link-mode bridge
[R2-XGigabitEthernet1/0/17]port access vlan 1711
[R2-XGigabitEthernet1/0/17]quit
创建VLAN 1711,作用为连接上层网络的上联口。
# 创建VLAN
[R3]vlan 1711
[R3]interface Vlan-interface1711
[R3-Vlan-interface1711]ip address 171.0.1.2 255.255.255.0
[R3-Vlan-interface1711]ip address 172.212.0.1 255.255.0.0 sub
[R3-Vlan-interface1711]quit
# 将交换机连接主机的接口加入VLAN
[R3]interface GigabitEthernet1/0/13
# 连接被保护主机
[R3-GigabitEthernet1/0/13]port link-mode bridge
[R3-GigabitEthernet1/0/13]port access vlan 1711
[R3-GigabitEthernet1/0/13]quit
# 配置下层交换机与核心交换机相连接口VLAN
[R3]interface XGigabitEthernet1/0/17
# 连接上层三层交换机
[R3-XGigabitEthernet1/0/17]port link-mode bridge
[R3-XGigabitEthernet1/0/17]port access vlan 1711
[R3-XGigabitEthernet1/0/17]quit
如果上下层交换机为不可管理交换机,则无需配置VLAN,确保没有环路即可。
要实现AFC串联透明部署,可按照如下步骤进行配置:
(1) 登录AFC系统页面
通过浏览器访问登录:https://192.168.0.1:16010/,账号admin,密码admin 如图3所示
图3 登录AFC系统页面
(2) AFC地址及端口类型配置
进入【系统配置】-【设备】-【设备管理】,点击设备右侧【配置】在左侧导航栏选择【网口配置】,点击【修改】按钮,将GE0/0修改为管理口配置管理地址、掩码、网关。XGE2/0设置为串联外网口,XGE2/1设置为串联内网口,同时进行数据口互绑,如图4所示
图4 网口配置
点 【应用配置】,使配置生效;
开启应用安全后,网口配置中所有业务口只能是同一种类型,不能串联和旁路同时配置;
验证客户端与引流服务器间通信是否正常
通过ping测试客户端与防护IP路由相通;
C:\Users\Administrator>ping 172.212.6.101
正在 Ping 172.212.6.101 具有 32 字节的数据:
来自 172.212.6.101 的回复: 字节=32 时间=11ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
172.212.6.101 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 11ms,平均 = 2ms
(1) Mac地址获取途径
a. 通过交换机查询
登录交换机R2 ,通过命令 查询 vlan1711 mac地址:
[R2]dis int Vlan-interface 1711
Vlan-interface1711
Current state: UP
Line protocol state: UP
Description: Vlan-interface1711 Interface
Bandwidth: 100000000 kbps
Maximum transmission unit: 1500
Internet address: 171.0.1.1/24 (primary)
IP packet frame type: Ethernet II, hardware address: e868-1965-f78e
IPv6 packet frame type: Ethernet II, hardware address: e868-1965-f78e
Last clearing of counters: Never
Input (total): 0 packets, 0 bytes
Output (total): 0 packets, 0 bytes
b. AFC设备抓包获取
从客户端通过命令 ping 172.212.6.101 -t 长ping 服务器
登录AFC管理页面,进入 [全局状态]-[服务器列表],针对服务器:172.212.6.101 进行抓包获取如图 5
图5 开始抓包
抓包后,点 停止 如图 6
图6 停止抓包
抓包记录中 选择抓取的数据包,点 开始 如图7 所示
图7 分析数据包
分析结束后,点 查看 如图8所示
图8 查看数据包
记录分析列表中 ,选择源IP:172.213.6.106 的记录 点 分析,如图9 所示
图9 分析数据
查看 Source Mac地址,如图10 所示
图10 查看Mac地址
(2) 配置虚拟路由
【应用安全】-【虚拟路由配置】,选择 二层模式,配置外部网络接口的对等MAC地址,
如图 11所示
图11 配置虚拟路由
(1) 添加HTTP域名转发规则
进入【应用安全】-【网站防护】点击添加,按下图填写, 如图12 所示
图12 域名转发规则
上图定义了一条HTTP域名转发规则,说明如下:
表4 域名规则说明
名称 |
作用描述 |
防护域名 |
可添加二级域名 如 www.baidu.com 可添加 *.sina.com.cn 的泛域名; 可添加 *.* ,匹配所有域名 ; |
接入方式 |
选择 透明模式 ; |
协议 |
选择 HTTP 端口: 80; |
回源方式 |
选择 HTTP ; |
源站IP与端口 |
IP:172.212.6.101 端口:80 ; |
· Windows客户端 手动修改hosts方法:编辑 C:\Windows\System32\drivers\etc
· 添加记录 : 172.212.6.101 www.test101.com 保存配置
· Linux 客户端 手动修改hosts方法:vi /etc/hosts
· 添加记录 : 172.212.6.101 www.test101.com 保存配置
(2) 验证配置
a. 客户端本地hosts绑定域名
客户端通过本地hosts绑定域名 www.test101.com 到ip:172.212.6.101;
从客户端 ping www.test101.com, 可正常显示服务器ip:172.212.6.101
C:\Users\Administrator>ping www.test101.com
正在 Ping www.test101.com [172.212.6.101] 具有 32 字节的数据:
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
172.212.6.101 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 0ms,平均 = 0ms
· 客户端如果可以通过DNS服务器可已正常解析域名,可忽略步骤a ;
b. 通过浏览器访问
通过浏览器访问:http:// www.test101.com 可正常显示网站内容 如图 13 所示
图13 网站内容显示
c. 查看域名状态
进入 【应用安全】-【域名状态】, 存在 域名 www.test101.com 的请求记录 如图14所示
图14 域名请求记录
(1) 获取HTTPS证书
获取证书方法
· crt (公钥)和 .key (私钥)的证书
可直接通过文件编辑器打开,复制内容到添加证书页面对应的 输入框
公钥内容 如图 15 所示
图15 公钥信息
私钥内容 如图 16所示
图16 私钥信息
加密的证书无法正常添加,需解密后再进行添加。
· pem格式证书获取公钥、私钥
Pem格式的证书有些公钥、私钥存在一起,需要使用编辑器打开,分别复制内容到添加证书页面的输入框 如图 17所示
图17 Pem证书获取公钥、私钥
· pfx格式的证书获取公钥、私钥
此类证书无法正常打开,需要通过命令转换成pem等可识别格式再进行复制:
[root@localhost nginx]# openssl pkcs12 -in tmm-server.pfx -nodes -out server111.pem
Enter Import Password:
MAC verified OK
[root@localhost nginx]#
(2) 添加 HTTPS证书
【应用安全】-【证书管理】,点击 添加 输入 证书名称、公钥、私钥信息,如图18 所示
图18 添加HTTPS证书
(3) 添加HTTPS域名转发规则
进入【应用安全】-【网站防护】点击添加,按下图填写 如图 19所示
图19 添加HTTPS域名转发规则
上图定义了一条HTTPS域名转发规则,内容说明如下:
表5 规则内容说明
名称 |
作用描述 |
防护域名 |
可添加二级域名 如 www.baidu.com 可添加 *.sina.com.cn 的泛域名; 可添加 *.* ,匹配所有域名 ; |
接入方式 |
选择 透明模式 ; |
协议 |
选择 HTTPS 端口: 443; |
HTTPS证书 |
选择之前添加的HTTPS证书 test ; |
回源方式 |
选择 HTTPS ; |
源站IP与端口 |
IP:172.212.6.101 端口:443 ; |
· Windows客户端 手动修改hosts方法:编辑 C:\Windows\System32\drivers\etc
· 添加记录 : 172.212.6.101 www.test103.com 保存配置
· Linux 客户端 手动修改hosts方法:vi /etc/hosts
· 添加记录 : 172.212.6.101 www.test103.com 保存配置
a. 客户端本地hosts绑定域名
客户端通过本地hosts绑定域名 www.test103.com 到ip:172.212.6.101;
从客户端 ping www.test103.com, 可正常显示服务器ip:172.212.6.101
C:\Users\Administrator>ping www.test103.com
正在 Ping www.test103.com [172.212.6.101] 具有 32 字节的数据:
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
172.212.6.101 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 0ms,平均 = 0ms
· 客户端如果可以通过DNS服务器可已正常解析域名,可忽略步骤a ;
b. 通过浏览器访问:
通过浏览器访问https:// www.test103.com 可正常显示网站内容, 如图20 所示
图20 网站内容显示:
c. 查看域名状态
进入 【应用安全】-【域名状态】,存在 域名 www.test103.com 的请求记录 如图21所示
图21 域名状态记录
进入 【应用安全】-【域名状态】,对域名 www.test103.com 的规则,点【防护规则配置】 如图22所示
图22 防护规则配置
点 【添加】按钮,显示规则内容,如图 23 所示
图23 自定义规则页面
表6 防护规则内容说明
名称 |
作用描述 |
规则名称 |
名称支持输入中文,数字,字母,下划线和中划线 |
子规则关系 |
支持与、或 ,单选; |
子规则 |
下拉列表包括:Mwthod、URL、源IP、Referer、User-Agent、Content-Length、Host、Http Code、Http Version; |
逻辑关系 |
下拉列表包括:等于、不等于、包含、不包含 ; |
值 |
分为选项和输入框方式 ; |
行为 |
下拉列表包括:频率限制、拦截、拦截并加黑、放行、放行并信任; |
加黑时长 |
触发规则后,客户端对于防护IP的被阻止时间; |
信任时长 |
触发规则后,客户端对于防护IP的被阻止时间; |
· 每个域名最多加10条防护规则;
· 每个防护规则,最多添加10条子规则;
串联模式反向代理,主要针对不在AFC防护范围内的WEB网站提供HTTP(HTTPS) CC防护服务,将AFC设备以串联的方式接入当前网络, AFC设备将内网空闲的ip地址配置成转发地址和回源地址,用户将域名解析到转发地址上,客户访问域名时,实际是访问到转发地址,AFC设备通过回源地址和web源服务器进行通信,获取web信息,再通过转发地址返回给客户端,可以很好地隐藏源服务器的信息,从而增加安全性;
本次配置以串联组网为例,详细说明可见AFC串联部署模式配置举例。
如图24所示,客户机通过R1接入网络,访问防护主机172.212.6.X,客户流量会经过串联部署的AFC设备,添加域名转发规则后,客户端访问该域名会通过回源地址的与源站进行通信,获取web信息,再通过转发地址将信息返回客户端。
图24 AFC串联部署模式配置组网图
具体实现如下:
· 接口连接:AFC串联外网口XGE2/0接上层交换机,AFC串联内网口XGE2/1接下层交换机。
· 主机流量清洗:全局模块策略对实时对主机流量进行过滤检测,应用安全模块对所配置域名进行防护。
表7 VLAN分配列表
VLAN ID |
作用描述 |
IP地址 |
1711 |
核心交换机与AFC串联外网口连接接口; 下层交换机和核心交换机互联地址 下层网络的网关地址 |
171.0.1.1/24 171.0.1.2/24 172.212.0.1/16 |
表8 AFC接口IP分配列表
接口 |
作用描述 |
IP地址 |
XGE2/0 |
串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
XGE2/1 |
串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
GE0/0 |
AFC管理口 |
192.168.0.1/24 |
表9 web服务器配置列表
IP地址 |
域名 |
端口 |
172.213.6.102 |
www.ceshi602.cn |
http 80 |
www.test106.cn |
https 443 |
【AFC】接口名称,由具体设备型号而定,此处只做指导参考。接口功能,请参考具体设备型号,依据设备默认接口功能进行使用配置,请勿自行修改。
要实现AFC串联部署单通道模式配置,可按照如下思路进行配置:
(1) 核心交换机R2配置基础网络
配置核心交换机R2的XG1/0/17接口与下层交换机R3 XG1/0/17接口互联互通;
(2) 下层交换机R3配置基础网络
配置下层交换机R3的XG1/0/17接口与核心交换机R2 XG1/0/17接口互联互通;
(3) AFC基础网络配置
AFC网口配置,XGE2/0 配置串联外网口、XGE2/1 配置串联内网口,互相绑定后,使上下层交换互通;
(4) 应用安全配置
需要配置转发地址和回源地址,虚拟路由配置,HTTPS模式需要添加证书,添加域名转发规则,域名和转发地址绑定,客户端通过域名访问到转发地址,AFC通过回源地址与外网web服务器进行通信,获取web信息,再通过转发地址,将网站信息转给客户端;
创建1711,VLAN 1711对应171.0.1.0/24网段,作用为与下层终端设备在同一网段,并作为终端设备网关。
# 创建VLAN
[R2]vlan 1711
[R2]quit
# 配置VLAN IP
[R2]interface Vlan-interface1711
[R2-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0
[R2-Vlan-interface1711]quit
[R2]interface XGigabitEthernet1/0/17
[R2-XGigabitEthernet1/0/17]port link-mode bridge
[R2-XGigabitEthernet1/0/17]port access vlan 1711
[R2-XGigabitEthernet1/0/17]quit
创建VLAN 1711,作用为连接上层网络的上联口。
# 创建VLAN
[R3]vlan 1711
[R3]interface Vlan-interface1711
[R3-Vlan-interface1711]ip address 171.0.1.2 255.255.255.0
[R3-Vlan-interface1711]ip address 172.212.0.1 255.255.0.0 sub
[R3-Vlan-interface1711]quit
# 将交换机连接主机的接口加入VLAN
[R3]interface GigabitEthernet1/0/13
# 连接被保护主机
[R3-GigabitEthernet1/0/13]port link-mode bridge
[R3-GigabitEthernet1/0/13]port access vlan 1711
[R3-GigabitEthernet1/0/13]quit
# 配置下层交换机与核心交换机相连接口VLAN
[R3]interface GigabitEthernet1/0/17
# 连接上层三层交换机
[R3-XGigabitEthernet1/0/17]port link-mode bridge
[R3-XGigabitEthernet1/0/17]port access vlan 1711
[R3-XGigabitEthernet1/0/17]quit
如果上下层交换机为不可管理交换机,则无需配置VLAN,确保没有环路即可。
要实现AFC单机串联透明部署,可按照如下步骤进行配置:
(1) 登录AFC系统页面
通过浏览器访问登录:https://192.168.0.1/,账号admin,密码admin,如图 25 所示
图25 登录AFC系统页面
(2) AFC地址及端口类型配置
进入【系统配置】-【设备】-【设备管理】,点击设备右侧【配置】在左侧导航栏选择【网口配置】,点击【修改】按钮,将GE0/0修改为管理口配置管理地址、掩码、网关。XGE2/0设置为串联外网口,XGE2/1设置为串联内网口,同时进行数据口互绑。 如图26 所示
图26 网口配置
点 【应用配置】,使配置生效;
开启应用安全后,网口配置中所有业务口只能是同一种类型,不能串联和旁路同时配置;
验证客户端与引流服务器间通信是否正常
通过ping测试客户端与防护IP路由相通;
C:\Users\Administrator>ping 172.212.6.101
正在 Ping 172.212.6.101 具有 32 字节的数据:
来自 172.212.6.101 的回复: 字节=32 时间=11ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
172.212.6.101 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 11ms,平均 = 2ms
进入 【应用安全】-【IP池管理】,点击 添加 按下图填写 如图 27、图 28所示
图27 添加转发地址
图28 添加回源地址
表10 地址池说明
名称 |
作用描述 |
转发地址 |
反向代理模式的网站防护地址,该IP为AFC防护范围内的空闲地址; |
回源地址 |
AFC与WEB源站服务器进行通信的地址,该IP为AFC防护范围内的空闲地址; |
协议 |
选择 HTTP 端口: 80; |
Vlan ID |
此测试环境为非vlan环境,默认选 0 ; |
|
|
· 转发IP和回源IP均为必填项,且IP范围不能重复
(1) Mac地址获取途径
a. 通过交换机查询
登录交换机R2 ,通过命令 查询 vlan1711 mac地址:
[R2]dis int Vlan-interface 1711
Vlan-interface1711
Current state: UP
Line protocol state: UP
Description: Vlan-interface1711 Interface
Bandwidth: 100000000 kbps
Maximum transmission unit: 1500
Internet address: 171.0.1.1/24 (primary)
IP packet frame type: Ethernet II, hardware address: e868-1965-f78e
IPv6 packet frame type: Ethernet II, hardware address: e868-1965-f78e
Last clearing of counters: Never
Input (total): 0 packets, 0 bytes
Output (total): 0 packets, 0 bytes
b. AFC设备抓包获取
从客户端通过命令 ping 172.212.6.101 -t 长ping 墙下服务器
登录AFC管理页面,进入 [全局状态]-[服务器列表],针对服务器:172.212.6.101 进行抓包获取 如图 29 所示
图29 开始抓包
抓包后,点 停止 如图 30 所示
图30 停止抓包
抓包记录中 选择抓取的数据包,点 开始 如图31 所示
图31 分析数据包
分析结束后,点 查看 如图32所示
图32 查看数据包
记录分析列表中 ,选择源IP:172.213.6.106 的记录 点 分析,如图33所示
图33 分析数据
查看 Source Mac地址,如图34 所示
图34 查看Mac地址
(2) 配置虚拟路由
【应用安全】-【虚拟路由配置】,选择 二层模式,配置外部网络接口的对等MAC地址,
如图 35所示
图35 配置虚拟路由
(1) 添加域名转发规则
进入【应用安全】-【网站防护】点击添加,按下图填写 如图36 所示
图36 添加HTTP域名转发规则
上图定义了一条HTTP域名转发规则,说明如下:
表11 域名规则说明
名称 |
作用描述 |
防护域名 |
可添加二级域名 如 www.baidu.com 可添加 *.sina.com.cn 的泛域名; 可添加 *.* ,匹配所有域名 ; |
接入方式 |
选择 反向代理 ; |
防护IP |
地址池中的转发地址:172.212.6.2; |
协议 |
HTTP 端口: 80; |
X-Forwarded-For |
此选项用于反向代理模式,web服务器获取客户端地址使用; |
回源方式 |
选择 HTTP ; |
源站IP与端口 |
IP:172.213.6.102 端口:80 ; |
· Windows客户端 手动修改hosts方法:编辑 C:\Windows\System32\drivers\etc
· 添加记录 : 172.212.6.2 www.ceshi602.cn 保存配置
· Linux 客户端 手动修改hosts方法:vi /etc/hosts
· 添加记录 : 172.212.6.2 www.ceshi602.cn 保存配置
(2) 验证配置
a. 客户端通过本地hosts绑定域名
客户端通过本地hosts绑定域名 www.ceshi602.cn 到ip:172.212.6.2;
从客户端 ping www.ceshi602.cn, 可正常显示服务器ip:172.212.6.2
C:\Users\Administrator>ping www.ceshi602.cn
正在 Ping www.ceshi602.cn [172.212.6.2] 具有 32 字节的数据:
来自 172.212.6.2 的回复: 字节=32 时间=1ms TTL=62
来自 172.212.6.2 的回复: 字节=32 时间<1ms TTL=62
来自 172.212.6.2 的回复: 字节=32 时间<1ms TTL=62
来自 172.212.6.2 的回复: 字节=32 时间<1ms TTL=62
172.212.6.2 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 1ms,平均 = 0ms
· 客户端如果可以通过DNS服务器可已正常解析域名,可忽略步骤a ;
b. 通过浏览器访问
通过浏览器访问http:// www.ceshi602.cn 可正常显示网站内容,如图 37 所示
图37 网站内容显示:
c. 查看域名状态
进入 【应用安全】-【域名状态】, 存在 域名 www.ceshi602.cn 的请求记录 如图38所示
图38 域名状态记录:
(3) 解析生效
验证通过后,需登录域名所在的DNS注册商网站,将该域名解析到规则对应的“转发IP”上。
若源站服务器存在访问IP限制,需将“回源IP”的全部地址添加到网站的信任白名单中。
(1) 获取HTTPS证书
获取证书方法
· .crt (公钥)和 .key (私钥)的证书
可直接通过文件编辑器打开,复制内容到添加证书页面对应的输入框
公钥内容 如图 39 所示
图39 公钥信息
私钥内容 如图 40所示
图40 私钥信息
加密的证书无法正常添加,需解密后再进行添加。
· pem格式证书获取公钥、私钥
Pem格式的证书有些公钥、私钥存在一起,需要使用编辑器打开,分别复制内容到添加证书页面的输入框,如图 41所示
图41 Pem证书获取公钥、私钥
· pfx格式的证书获取公钥、私钥
需要通过命令转换成pem等可识别格式再进行复制:
[root@localhost nginx]# openssl pkcs12 -in tmm-server.pfx -nodes -out server111.pem
Enter Import Password:
MAC verified OK
[root@localhost nginx]#
(2) 添加 HTTPS证书
【应用安全】-【证书管理】,点击 添加 输入 证书名称、公钥、私钥信息,如图42 所示
图42 添加HTTPS证书
(3) 添加HTTPS域名转发规则
进入【应用安全】-【网站防护】点击添加,按下图填写,如图 43所示
图43 添加HTTPS域名转发规则
上图定义了一条HTTP域名转发规则,规则说明如下:
表12 域名规则说明
名称 |
作用描述 |
防护域名 |
可添加二级域名 如 www.baidu.com 可添加 *.sina.com.cn 的泛域名; 可添加 *.* ,匹配所有域名 ; |
接入方式 |
选择 反向代理 ; |
防护IP |
地址池中的转发地址:172.212.6.2; |
协议 |
HTTPS 端口: 443; |
HTTPS证书 |
选择之前添加的HTTPS证书 test ; |
X-Forwarded-For |
此选项用于反向代理模式,web服务器获取客户端地址使用; |
回源方式 |
选择 HTTPS ; |
源站IP与端口 |
IP:172.213.6.102 端口:443 ; |
|
|
· Windows客户端 手动修改hosts方法:编辑 C:\Windows\System32\drivers\etc
· 添加记录 : 172.212.6.2 www.test106.cn 保存配置
· Linux 客户端 手动修改hosts方法:vi /etc/hosts
· 添加记录 : 172.212.6.2 www.test106.cn 保存配置
(4) 验证配置
a. 客户端通过本地hosts绑定域名
客户端通过本地hosts绑定域名 www.test106.cn 到ip:172.212.6.2;
从客户端 ping www.test106.cn, 可正常显示服务器ip:172.212.6.2
C:\Users\Administrator>ping www.test106.cn
正在 Ping www.test106.cn [172.212.6.2] 具有 32 字节的数据:
来自 172.212.6.2 的回复: 字节=32 时间=1ms TTL=62
来自 172.212.6.2 的回复: 字节=32 时间<1ms TTL=62
来自 172.212.6.2 的回复: 字节=32 时间<1ms TTL=62
来自 172.212.6.2 的回复: 字节=32 时间<1ms TTL=62
172.212.6.2 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 1ms,平均 = 0ms
· 客户端如果可以通过DNS服务器可已正常解析域名,可忽略步骤a ;
b. 通过浏览器访问
通过浏览器访问http:// www.test106.cn 可正常显示网站内容,如图 44所示
图44 网站内容显示:
c. 查看域名状态
进入 【应用安全】-【域名状态】,存在域名www.test106.cn 的访问记录,如图45 所示
图45 域名请求记录:
(5) 解析生效
验证通过后,需登录域名所在的DNS注册商网站,将该域名解析到规则对应的“转发IP”上。
若源站服务器存在访问IP限制,需将“回源IP”的全部地址添加到网站的信任白名单中。
进入 【应用安全】-【域名状态】,对域名 www.test106.cn 的规则,点【防护规则配置】 如图46所示
图46 防护规则配置
点 【添加】按钮,显示规则内容,如图 47所示
图47 自定义规则页面
表13 防护规则内容说明
名称 |
作用描述 |
规则名称 |
名称支持输入中文,数字,字母,下划线和中划线 |
子规则关系 |
支持与、或 ,单选; |
子规则 |
下拉列表包括:Mwthod、URL、源IP、Referer、User-Agent、Content-Length、Host、Http Code、Http Version; |
逻辑关系 |
下拉列表包括:等于、不等于、包含、不包含 ; |
值 |
分为选项和输入框方式 ; |
行为 |
下拉列表包括:频率限制、拦截、拦截并加黑、放行、放行并信任; |
加黑时间 |
触发规则后,客户端对于防护IP的被阻止时间; |
信任时间 |
触发规则后,客户端对于防护IP的放行时间; |
· 每个域名最多加10条防护规则;
· 每个防护规则,最多添加10条子规则;
透明转发模式,就是将AFC设备以透明的方式串联接入当前网络,服务器的所有流量均经过AFC
设备。
为实现对攻击被保护IP 172.212.6.X的网站的防护,将AFC设备串联到客户网络中,AFC串联外网口接上层交换机,AFC串联内网口接下层交换机,AFC对接收的混合流量进行检测过滤后转发到下层网络。组网如图48所示。
图48 AFC串联部署模式配置组网图
具体实现如下:
· 接口连接:AFC串联外网口XGE2/0接上层交换机,AFC串联内网口XGE2/1接下层交换机。
· 主机流量清洗:全局模块策略对实时对主机流量进行过滤检测,应用安全模块对所配置域名进行防护。
表14 VLAN分配列表
VLAN ID |
作用描述 |
IP地址 |
1711 |
· 核心交换机与AFC串联外网口连接接口; · 下层交换机和核心交换机互联地址 · 下层网络的网关地址 |
171.0.1.1/24 171.0.1.2/24 172.212.0.1/16 |
表15 AFC接口IP分配列表
接口 |
作用描述 |
IP地址 |
XGE2/0 |
串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
XGE2/1 |
串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
GE0/0 |
AFC管理口 |
192.168.0.1/24 |
表16 受保护服务器配置列表
IP地址 |
域名 |
端口 |
172.212.6.101 |
www.test105.com |
http 80 |
www.test107.com |
https 443 |
【AFC】接口名称,由具体设备型号而定,此处只做指导参考。接口功能,请参考具体设备型号,依据设备默认接口功能进行使用配置,请勿自行修改。
要实现AFC串联部署模式配置,可按照如下思路进行配置:
(1) 核心交换机R2配置基础网络
配置核心交换机R2的XG1/0/17接口与下层交换机R3 XG1/0/17接口互联互通;
(2) 下层交换机R3配置基础网络
配置下层交换机R3的XG1/0/17接口与核心交换机R2 XG1/0/17接口互联互通;
(3) AFC基础网络配置
AFC网口配置,XGE2/0 配置串联外网口、XGE2/1 配置串联内网口,互相绑定后,使上下层交换互通;
(4) 应用安全配置
需要配置域名转发规则,虚拟路由配置,HTTPS模式需要添加证书,添加域名转发规则后,使域名的请求可以通过应用安全模块,对其进行监控和防护;
创建1711,VLAN 1711对应171.0.1.0/24网段,作用为与下层终端设备在同一网段,并作为终端设备网关。
# 创建VLAN
[R2]vlan 1711
[R2]quit
# 配置VLAN IP
[R2]interface Vlan-interface1711
[R2-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0
[R2-Vlan-interface1711]quit
[R2]interface XGigabitEthernet1/0/17
[R2-XGigabitEthernet1/0/17]port link-mode bridge
[R2-XGigabitEthernet1/0/17]port link-type trunk
[R2-XGigabitEthernet1/0/17]undo port trunk permit vlan 1
[R2-XGigabitEthernet1/0/17]port trunk permit vlan 1711
[R2-XGigabitEthernet1/0/17]quit
创建VLAN 1711,作用为连接上层网络的上联口。
# 创建VLAN
[R3]vlan 1711
[R3]interface Vlan-interface1711
[R3-Vlan-interface1711]ip address 171.0.1.2 255.255.255.0
[R3-Vlan-interface1711]ip address 172.212.0.1 255.255.0.0 sub
[R3-Vlan-interface1711]quit
# 将交换机连接主机的接口加入VLAN
[R3]interface GigabitEthernet1/0/13
# 连接被保护主机
[R3-GigabitEthernet1/0/13]port link-mode bridge
[R3-GigabitEthernet1/0/13] port link-mode bridge
[R3-GigabitEthernet1/0/13] port access vlan 1711
[R3-GigabitEthernet1/0/13]quit
# 配置下层交换机与核心交换机相连接口VLAN
[R3]interface XGigabitEthernet1/0/17
# 连接上层三层交换机
[R3-XGigabitEthernet1/0/17]port link-mode bridge
[R3-XGigabitEthernet1/0/17]port link-type trunk
[R3-XGigabitEthernet1/0/17]undo port trunk permit vlan 1
[R3-XGigabitEthernet1/0/17]port trunk permit vlan 1711
[R3-XGigabitEthernet1/0/17]quit
要实现AFC单机串联透明部署,可按照如下步骤进行配置:
(1) 登录AFC系统页面
通过浏览器访问登录:https://192.168.0.1:16010/,账号admin,密码admin, 如图 49 所示
图49 登录AFC系统页面
(2) AFC地址及端口类型配置
进入【系统配置】-【设备】-【设备管理】,点击设备右侧【配置】在左侧导航栏选择【网口配置】,点击【修改】按钮,将GE0/0修改为管理口配置管理地址、掩码、网关。XGE2/0设置为串联外网口,XGE2/1设置为串联内网口,同时进行数据口互绑,如 图50 所示
图50 网口配置
点 【应用配置】,使配置生效;
开启应用安全后,网口配置中所有业务口只能是同一种类型,不能串联和旁路同时配置;
验证客户端与服务器间通信是否正常
通过ping测试客户端与防护IP路由相通;
C:\Users\Administrator>ping 172.212.6.101
正在 Ping 172.212.6.101 具有 32 字节的数据:
来自 172.212.6.101 的回复: 字节=32 时间=11ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
172.212.6.101 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 11ms,平均 = 2ms
(1) Mac地址获取途径
a. 通过交换机查询
登录交换机R2 ,通过命令 查询 vlan1711 mac地址:
[R2]dis int Vlan-interface 1711
Vlan-interface1711
Current state: UP
Line protocol state: UP
Description: Vlan-interface1711 Interface
Bandwidth: 100000000 kbps
Maximum transmission unit: 1500
Internet address: 171.0.1.1/24 (primary)
IP packet frame type: Ethernet II, hardware address: e868-1965-f78e
IPv6 packet frame type: Ethernet II, hardware address:
Last clearing of counters: Never
Input (total): 0 packets, 0 bytes
Output (total): 0 packets, 0 bytes
b. AFC设备抓包获取
从客户端通过命令 ping 172.212.6.101 -t 长ping 服务器
登录AFC管理页面,进入 [全局状态]-[服务器列表],针对服务器:172.212.6.101 进行抓包获取 如图 51 所示
图51 开始抓包
抓包后,点 停止 如图 52所示
图52 停止抓包
抓包记录中 选择抓取的数据包,点 开始 如图53所示
图53 分析数据包
分析结束后,点 查看 如图54所示
图54 查看数据包
记录分析列表中 ,选择源IP:172.213.6.106 的记录 点 分析,如图55所示
图55 分析数据
查看 Source Mac地址,如图56所示
图56 查看Mac地址
(2) 配置虚拟路由
【应用安全】-【虚拟路由配置】,选择 二层模式,配置外部网络接口的对等MAC地址,
如图 57所示
图57 配置虚拟路由
(1) 添加HTTP域名转发规则
进入【应用安全】-【网站防护】点击添加,按下图填写 如图58 所示
图58 HTTP域名转发规则
上图定义了一条HTTP域名转发规则,说明如下:
表17 域名规则说明
名称 |
作用描述 |
防护域名 |
可添加二级域名 如 www.baidu.com 可添加 *.sina.com.cn 的泛域名; 可添加 *.* ,匹配所有域名 ; |
接入方式 |
选择 透明转发; |
协议 |
HTTP 端口: 80; |
回源方式 |
选择 HTTP ; |
源站IP与端口 |
IP:172.212.6.101 端口:80 ; |
|
|
· Windows客户端 手动修改hosts方法:编辑 C:\Windows\System32\drivers\etc
· 添加记录 : 172.212.6.101 www.test105.com 保存配置
· Linux 客户端 手动修改hosts方法:vi /etc/hosts
· 添加记录 : 172.212.6.101 www.test105.com 保存配置
(2) 验证配置
a. 客户端通过本地hosts绑定域名
客户端通过本地hosts绑定域名www.test105.com 到ip:172.212.6.101;
从客户端 ping www.test105.com, 可正常显示服务器ip:172.212.6.101
C:\Users\Administrator>ping www.test105.com
正在 Ping www.test105.com [172.212.6.101] 具有 32 字节的数据:
来自 172.212.6.105 的回复: 字节=32 时间<1ms TTL=124
来自 172.212.6.105 的回复: 字节=32 时间<1ms TTL=124
来自 172.212.6.105 的回复: 字节=32 时间<1ms TTL=124
来自 172.212.6.105 的回复: 字节=32 时间<1ms TTL=124
172.212.6.105 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 0ms,平均 = 0ms
· 客户端如果可以通过DNS服务器可已正常解析域名,可忽略步骤a ;
b. 通过浏览器访问
通过浏览器访问http:// www.test105.com 可正常显示网站内容,如图 59 所示
图59 网站内容显示:
c. 查看域名状态
进入 【应用安全】-【域名状态】, 存在域名www.test105.com 的请求记录 如图60所示
图60 域名请求记录:
(1) 获取HTTPS证书
获取证书方法
· .crt (公钥)和 .key (私钥)的证书
可直接通过文件编辑器打开,复制内容到添加证书页面对应的 输入框
公钥内容 如图 61 所示
图61 公钥信息
私钥内容 如图 62所示
图62 私钥信息
加密的证书无法正常添加,需解密后再进行添加。
· pem格式证书获取公钥、私钥
Pem格式的证书有些公钥、私钥存在一起,需要使用编辑器打开,分别复制内容到添加证书页面的输入框 如图 63所示
图63 Pem证书获取公钥、私钥
· pfx格式的证书获取公钥、私钥
此类证书无法正常打开,需要通过命令转换成pem等可识别格式再进行复制:
[root@localhost nginx]# openssl pkcs12 -in tmm-server.pfx -nodes -out server111.pem
Enter Import Password:
MAC verified OK
[root@localhost nginx]#
(2) 添加HTTPS证书
【应用安全】-【证书管理】,点击 添加 输入 证书名称、公钥、私钥信息,如图64 所示
图64 添加HTTPS证书
(3) 添加HTTPS域名转发规则
进入【应用安全】-【网站防护】点击添加,按下图填写 如图65 所示
图65 添加HTTPS域名转发规则
上图定义了一条HTTPS域名转发规则,内容说明如下:
表18 规则内容说明
名称 |
作用描述 |
防护域名 |
可添加二级域名 如 www.baidu.com 可添加 *.sina.com.cn 的泛域名; 可添加 *.* ,匹配所有域名 ; |
接入方式 |
选择 透明模式 ; |
协议 |
选择 HTTPS 端口: 443; |
HTTPS证书 |
选择之前添加的HTTPS证书 test ; |
回源方式 |
选择 HTTPS ; |
源站IP与端口 |
IP:172.212.6.101 端口:443 ; |
· Windows客户端 手动修改hosts方法:编辑 C:\Windows\System32\drivers\etc
· 添加记录 : 172.212.6.101 www.test107.com 保存配置
· Linux 客户端 手动修改hosts方法:vi /etc/hosts
· 添加记录 : 172.212.6.101 www.test107.com 保存配置
(4) 验证配置
a. 客户端通过本地hosts绑定域名
客户端通过本地hosts绑定域名www.test107.com 到ip:172.212.6.101;
从客户端 ping www.test107.com, 可正常显示服务器ip:172.212.6.101
C:\Users\Administrator>ping www.test107.com
正在 Ping www.test107.com [172.212.6.101] 具有 32 字节的数据:
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
172.212.6.101 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 0ms,平均 = 0ms
· 客户端如果可以通过DNS服务器可已正常解析域名,可忽略步骤a ;
b. 通过浏览器访问
通过浏览器访问https:// www.test107.com 可正常显示网站内容,如图 66 所示
图66 网站内容显示:
c. 查看域名状态
进入 【应用安全】-【域名状态】, 存在 域名状态中存在 域名 www.test107.com 的请求记录, 如67所示
图67 域名状态记录:
进入 【应用安全】-【域名状态】,对域名 www.test107.cn 的规则,点【防护规则配置】 如图68所示
图68 防护规则配置
点 【添加】按钮,显示规则内容,如图 69所示
图69 自定义规则页面
表19 防护规则内容说明
名称 |
作用描述 |
规则名称 |
名称支持输入中文,数字,字母,下划线和中划线 |
子规则关系 |
支持与、或 ,单选; |
子规则 |
下拉列表包括:Mwthod、URL、源IP、Referer、User-Agent、Content-Length、Host、Http Code、Http Version; |
逻辑关系 |
下拉列表包括:等于、不等于、包含、不包含 ; |
值 |
分为选项和输入框方式 ; |
行为 |
下拉列表包括:频率限制、拦截、拦截并加黑、放行、放行并信任; |
加黑时间 |
触发规则后,客户端对于防护IP的被阻止时间; |
信任时间 |
触发规则后,客户端对于防护IP的放行时间; |
· 每个域名最多加10条防护规则;
· 每个防护规则,最多添加10条子规则;
本次配置以串联组网为例,详细说明可见AFC串联部署模式配置举例。
如图70所示,客户机通过R1接入网络,访问防护主机172.212.6.X,客户流量会经过串联部署的AFC设备,添加域名转发规则后,客户端访问该域名会通过回源地址的与源站进行通信,获取web信息,再通过转发地址将信息返回客户端。
图70 AFC串联部署模式配置组网图
具体实现如下:
· 接口连接:AFC串联外网口XGE2/0接上层交换机,AFC串联内网口XGE2/1接下层交换机。
· 主机流量清洗:全局模块策略对实时对主机流量进行过滤检测,应用安全模块对所配置域名进行防护。
表20 VLAN分配列表
VLAN ID |
作用描述 |
IP地址 |
1711 |
· 核心交换机与AFC串联外网口连接接口; · 下层交换机和核心交换机互联地址 · 下层网络的网关地址 |
171.0.1.1/24 171.0.1.2/24 172.212.0.1/16 |
表21 AFC接口IP分配列表
接口 |
作用描述 |
IP地址 |
XGE2/0 |
串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
XGE2/1 |
串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
GE0/0 |
AFC管理口 |
192.168.0.1/24 |
表22 web服务器配置列表
IP地址 |
域名 |
端口 |
172.213.6.102 |
www.test602.com |
http 80 |
www.https602.com |
https 443 |
【AFC】接口名称,由具体设备型号而定,此处只做指导参考。接口功能,请参考具体设备型号,依据设备默认接口功能进行使用配置,请勿自行修改。
要实现AFC串联部署单通道模式配置,可按照如下思路进行配置:
(1) 核心交换机R2配置基础网络
配置核心交换机R2的XG1/0/17接口与下层交换机R3 XG1/0/17接口互联互通;
(2) 下层交换机R3配置基础网络
配置下层交换机R3的XG1/0/17接口与核心交换机R2 XG1/0/17接口互联互通;
(3) AFC基础网络配置
AFC网口配置,XGE2/0 配置串联外网口、XGE2/1 配置串联内网口,互相绑定后,使上下层交换互通;
(4) 应用安全配置
需要配置转发地址和回源地址,虚拟路由配置,HTTPS模式需要添加证书,添加域名转发规则,域名和转发地址绑定,客户端通过域名访问到转发地址,AFC通过回源地址与外网web服务器进行通信,获取web信息,再通过转发地址,将网站信息转给客户端;
创建1711,VLAN 1711对应171.0.1.0/24网段,作用为与下层终端设备在同一网段,并作为终端设备网关。
# 创建VLAN
[R2]vlan 1711
[R2]quit
# 配置VLAN IP
[R2]interface Vlan-interface1711
[R2-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0
[R2-Vlan-interface1711]quit
[R2]interface XGigabitEthernet1/0/17
[R2-XGigabitEthernet1/0/17]port link-mode bridge
[R2-XGigabitEthernet1/0/17]port link-type trunk
[R2-XGigabitEthernet1/0/17]undo port trunk permit vlan 1
[R2-XGigabitEthernet1/0/17]port trunk permit vlan 1711
[R2-XGigabitEthernet1/0/17]quit
创建VLAN 1711,作用为连接上层网络的上联口。
# 创建VLAN
[R3]vlan 1711
[R3]interface Vlan-interface1711
[R3-Vlan-interface1711]ip address 171.0.1.2 255.255.255.0
[R3-Vlan-interface1711]ip address 172.212.0.1 255.255.0.0 sub
[R3-Vlan-interface1711]quit
# 将交换机连接主机的接口加入VLAN
[R3]interface GigabitEthernet1/0/13
# 连接被保护主机
[R3-GigabitEthernet1/0/13]port link-mode bridge
[R3-GigabitEthernet1/0/13]port access vlan 1711
[R3-GigabitEthernet1/0/13]quit
# 配置下层交换机与核心交换机相连接口VLAN
[R3]interface GigabitEthernet1/0/17
# 连接上层三层交换机
[R3-XGigabitEthernet1/0/17]port link-mode bridge
[R3-XGigabitEthernet1/0/17]port link-type trunk
[R3-XGigabitEthernet1/0/17]undo port trunk permit vlan 1
[R3-XGigabitEthernet1/0/17]port trunk permit vlan 1711
[R3-XGigabitEthernet1/0/17]quit
如果上下层交换机为不可管理交换机,则无需配置VLAN,确保没有环路即可。
要实现AFC单机串联透明部署,可按照如下步骤进行配置:
(1) 登录AFC系统页面
通过浏览器访问登录:https://192.168.0.1:16010/,账号admin,密码admin,如图 71所示
图71 登录AFC系统页面
(2) AFC地址及端口类型配置
进入【系统配置】-【设备】-【设备管理】,点击设备右侧【配置】在左侧导航栏选择【网口配置】,点击【修改】按钮,将GE0/0修改为管理口配置管理地址、掩码、网关。XGE2/0设置为串联外网口,XGE2/1设置为串联内网口,同时进行数据口互绑,如图 72所示
图72 网口配置
点 【应用配置】,使配置生效;
开启应用安全后,网口配置中所有业务口只能是同一种类型,不能串联和旁路同时配置;
验证客户端与服务器间通信是否正常
通过ping测试客户端与防护IP路由相通;
C:\Users\Administrator>ping 172.212.6.101
正在 Ping 172.212.6.101 具有 32 字节的数据:
来自 172.212.6.101 的回复: 字节=32 时间=11ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
来自 172.212.6.101 的回复: 字节=32 时间<1ms TTL=124
172.212.6.101 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 11ms,平均 = 2ms
进入 【应用安全】-【IP池管理】,点击 添加 按 下图填写 如图 73、图 74所示
图73 添加转发地址
图74 添加回源地址
表23 地址池说明
名称 |
作用描述 |
转发地址 |
反向代理模式的网站防护地址,该IP为AFC防护范围内的空闲地址; |
回源地址 |
AFC与WEB源站服务器进行通信的地址,该IP为AFC防护范围内的空闲地址; |
协议 |
选择 HTTP 端口: 80; |
Vlan ID |
1711 ,串联外网口所连交换机接口vlan ID; |
|
|
· 转发IP和回源IP均为必填项,且IP范围不能重复
(1) Mac地址获取途径
a. 通过交换机查询
登录交换机R2 ,通过命令 查询 vlan1711 mac地址:
[R2]dis int Vlan-interface 1711
Vlan-interface1711
Current state: UP
Line protocol state: UP
Description: Vlan-interface1711 Interface
Bandwidth: 100000000 kbps
Maximum transmission unit: 1500
Internet address: 171.0.1.1/24 (primary)
IP packet frame type: Ethernet II, hardware address: e868-1965-f78e
IPv6 packet frame type: Ethernet II, hardware address: e868-1965-f78e
Last clearing of counters: Never
Input (total): 0 packets, 0 bytes
Output (total): 0 packets, 0 bytes
b. AFC设备抓包获取
从客户端通过命令 ping 172.212.6.101 -t 长ping 墙下服务器
登录AFC管理页面,进入 [全局状态]-[服务器列表],针对服务器:172.212.6.101 进行抓包获取 如图 75所示
图75 开始抓包
抓包后,点 停止 如图 76 所示
图76 停止抓包
抓包记录中 选择抓取的数据包,点 开始 如图77 所示
图77 分析数据包
分析结束后,点 查看 如图78所示
图78 查看数据包
记录分析列表中 ,选择源IP:172.213.6.106 的记录 点 分析,如图79所示
图79 分析数据
查看 Source Mac地址,如图80 所示
图80 查看Mac地址
(2) 配置虚拟路由
【应用安全】-【虚拟路由配置】,选择 二层模式,配置外部网络接口的对等MAC地址,
如图 81所示
图81 配置虚拟路由
(1) 添加域名转发规则
进入【应用安全】-【网站防护】点击添加,按下图填写,如图82所示
图82 添加HTTP域名转发规则
上图定义了一条HTTP域名转发规则,规则说明如下:
表24 域名规则说明
名称 |
作用描述 |
防护域名 |
可添加二级域名 如 www.baidu.com 可添加 *.sina.com.cn 的泛域名; 可添加 *.* ,匹配所有域名 ; |
接入方式 |
选择 反向代理 ; |
防护IP |
地址池中的转发地址:172.212.6.2; |
协议 |
HTTP 端口: 80; |
X-Forwarded-For |
此选项用于反向代理模式,web服务器获取客户端地址使用; |
回源方式 |
选择 HTTP ; |
源站IP与端口 |
IP:172.213.6.102 端口:80 ; |
|
|
· Windows客户端 手动修改hosts方法:编辑 C:\Windows\System32\drivers\etc
· 添加记录 : 172.212.6.2 www.test602.com 保存配置
· Linux 客户端 手动修改hosts方法:vi /etc/hosts
· 添加记录 : 172.212.6.2 www.test602.com 保存配置
(2) 验证配置
a. 客户端通过本地hosts绑定域名
客户端通过本地hosts绑定域名www.test602.com 到ip:172.212.6.2;
从客户端 ping www.test602.com, 可正常显示服务器ip:172.212.6.2
C:\Users\Administrator>ping www.test602.com
正在 Ping www.test602.com [172.212.6.2] 具有 32 字节的数据:
来自 172.212.6.2 的回复: 字节=32 时间<1ms TTL=62
来自 172.212.6.2 的回复: 字节=32 时间<1ms TTL=62
来自 172.212.6.2 的回复: 字节=32 时间<1ms TTL=62
来自 172.212.6.2 的回复: 字节=32 时间<1ms TTL=62
172.212.6.2 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 0ms,平均 = 0ms
· 客户端如果可以通过DNS服务器可已正常解析域名,可忽略步骤a ;
b. 通过浏览器访问:
通过浏览器访问http:// www.test602.com 可正常显示网站内容,如图 83 所示
图83 网站内容显示:
c. 查看域名状态
进入 【应用安全】-【域名状态】,存在 域名 www.test602.com 的请求记录 如图84所示
图84 域名状态记录:
(3) 解析生效
验证通过后,需登录域名所在的DNS注册商网站,将该域名解析到规则对应的“转发IP”上。
若源站服务器存在访问IP限制,需将“回源IP”的全部地址添加到网站的信任白名单中。
(1) 获取HTTPS证书
获取证书方法
· .crt (公钥)和 .key (私钥)的证书
可直接通过文件编辑器打开,复制内容到添加证书页面对应的 输入框
公钥内容 如图 85 所示
图85 公钥信息
私钥内容 如图 86所示
图86 私钥信息
加密的证书无法正常添加,需解密后再进行添加。
· pem格式证书获取公钥、私钥
Pem格式的证书有些公钥、私钥存在一起,需要使用编辑器打开,分别复制内容到添加证书页面的输入框 如图 87所示
图87 Pem证书获取公钥、私钥
· pfx格式的证书获取公钥、私钥
需要通过命令转换成pem等可识别格式再进行复制:
[root@localhost nginx]# openssl pkcs12 -in tmm-server.pfx -nodes -out server111.pem
Enter Import Password:
MAC verified OK
[root@localhost nginx]#
(2) 添加HTTPS证书
【应用安全】-【证书管理】,点击 添加 输入 证书名称、公钥、私钥信息,如图88 所示
图88 添加HTTPS证书
(3) 添加HTTPS域名转发规则
进入【应用安全】-【网站防护】点击添加,按下图填写,如图 89所示
图89 添加HTTPS域名转发规则
上图定义了一条HTTP域名转发规则,规则说明如下:
表25 域名规则说明
名称 |
作用描述 |
防护域名 |
可添加二级域名 如 www.baidu.com 可添加 *.sina.com.cn 的泛域名; 可添加 *.* ,匹配所有域名 ; |
接入方式 |
选择 反向代理 ; |
防护IP |
地址池中的转发地址:172.212.6.2; |
协议 |
HTTPS 端口: 443; |
HTTPS证书 |
选择添加的证书 test ; |
X-Forwarded-For |
此选项用于反向代理模式,web服务器获取客户端地址使用; |
回源方式 |
选择 HTTPS ; |
源站IP与端口 |
IP:172.213.6.102 端口:443 ; |
|
|
· Windows客户端 手动修改hosts方法:编辑 C:\Windows\System32\drivers\etc
· 添加记录 : 172.212.6.2 www.https602.com 保存配置
· Linux 客户端 手动修改hosts方法:vi /etc/hosts
· 添加记录 : 172.212.6.2 www.https602.com 保存配置
(4) 验证配置
a. 客户端通过本地hosts绑定域名
客户端通过本地hosts绑定域名www.https602.com 到ip:172.212.6.2;
从客户端 ping www.https602.com, 可正常显示服务器ip:172.212.6.2
C:\Users\Administrator>ping www.https602.com
正在 Ping www.https602.com [172.212.6.2] 具有 32 字节的数据:
来自 172.212.6.2 的回复: 字节=32 时间<1ms TTL=62
来自 172.212.6.2 的回复: 字节=32 时间<1ms TTL=62
来自 172.212.6.2 的回复: 字节=32 时间<1ms TTL=62
来自 172.212.6.2 的回复: 字节=32 时间<1ms TTL=62
172.212.6.2 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 0ms,平均 = 0ms
· 客户端如果可以通过DNS服务器可已正常解析域名,可忽略步骤a ;
b. 通过浏览器访问
通过浏览器访问http:// www.https602.com 可正常显示网站内容,如图90 所示
图90 网站内容显示:
c. 查看域名状态
进入 【应用安全】-【域名状态】,存在域名 www.https602.com 的请求记录 如图91所示
图91 域名状态记录:
(5) 解析生效
验证通过后,需登录域名所在的DNS注册商网站,将该域名解析到规则对应的“转发IP”上。
若源站服务器存在访问IP限制,需将“回源IP”的全部地址添加到网站的信任白名单中。
进入 【应用安全】-【域名状态】,对域名 www.https602.com 的规则,点【防护规则配置】 如图92所示
图92 防护规则配置
点 【添加】按钮,显示规则内容,如图 93所示
图93 自定义规则页面
表26 防护规则内容说明
名称 |
作用描述 |
规则名称 |
名称支持输入中文,数字,字母,下划线和中划线 |
子规则关系 |
支持与、或 ,单选; |
子规则 |
下拉列表包括:Mwthod、URL、源IP、Referer、User-Agent、Content-Length、Host、Http Code、Http Version; |
逻辑关系 |
下拉列表包括:等于、不等于、包含、不包含 ; |
值 |
分为选项和输入框方式 ; |
行为 |
下拉列表包括:频率限制、拦截、拦截并加黑、放行、放行并信任; |
加黑时间 |
触发规则后,客户端对于防护IP的被阻止时间; |
信任时间 |
触发规则后,客户端对于防护IP的放行时间; |
· 每个域名最多加10条防护规则;
· 每个防护规则,最多添加10条子规则;
旁路模式反向代理,就是将AFC设备以源口回注的方式接入当前网络, AFC设备配置转发地址和回源地址,用户将域名解析到转发地址上,客户访问域名时,实际是访问到转发地址,通过回源地址将客户端的web请求转发源服务器,获取web信息后,返回AFC设备,再通过转发地址将数据返回客户端;
本次配置以原口回注组网为例,详细说明可见AFC原口回注部署模式配置举例。
如图94所示,客户机通过R1接入网络,访问域名时,客户流量会经过旁路部署的AFC设备。为实现对攻击被保护IP 172.212.6.101网站的防护,在核心交换设备处旁路部署一台异常流量清洗系统。核心交换机R2通过接口XG1/0/18和AFC设备的接口XGE2/1连接建立BGP邻居,进行引流清洗。在核心交换机R2的XG1/0/18接口的入方向配置策略路由实现清洗流量回注转发。
图94 AFC源口回注部署模式配置组网图
具体实现如下:
· 主机路由发布:AFC通过XGE2/1接口和核心交换机R2建立BGP邻居,AFC将被保护IP的32位路由发布到核心交换机R2。
· 主机流量清洗:核心交换机R2将被保护主机流量牵引到AFC,AFC通过清洗策略对主机流量中异常流量进行清洗。
· 流量重定向:核心交换机R2配置策略路由,并应用到在核心交换机R2与AFC连接的接口输入方向,实现清洗后的回注流量被转发到指定网络中。
表27 VLAN分配列表
VLAN ID |
作用描述 |
IP地址 |
1710 |
· 核心交换机R2与AFC建立BGP邻居; · AFC将清洗后的流量回注到核心交换机R2 |
171.0.0.1/24 115.115.115.1/24 |
1711 |
· 核心交换机R2与下层网络连接的三层VLAN接口; · 下层交换机与核心交换机R2连接三层VLAN接口 |
171.0.1.1/24 171.0.1.2/24 |
1712 |
· 被保护主机所在的VLAN; · 被保护主机的网关地址 |
172.212.0.1/16 |
表28 AFC接口IP分配列表
接口 |
作用描述 |
IP地址 |
XGE2/1 |
· 核心交换机R2与AFC建立BGP邻居; · 转发地址 · 回源地址 |
171.0.0.2/24 115.115.115.96/24 172.215.6.1/24 172.215.6.101-172.215.6.105 |
GE0/0 |
· AFC管理口 |
192.168.0.1/24 |
表29 web服务器配置列表
IP地址 |
域名 |
端口 |
172.212.6.101 |
www.ceshi602.cn |
http 80 |
www.test106.cn |
https 443 |
要实现AFC旁路部署BGP三层回流模式配置,可按照如下思路进行配置:
(1) 核心交换机R2配置基础网络
配置核心交换机R2的XG1/0/17接口与下层交换机R3 XG1/0/17接口互联互通;
(2) 核心交换机R2配置bgp邻居
在AFC和核心交换机R2上分别启用BGP进程,并互为邻居关系;
(3) 核心交换机R2配置回注策略
通过在核心与AFC设备互联端口(XGE1/0/18)入方向(inbound)配置策略路由,将目地址为用户业务地址段(172.212.0.0/16)的流量重定向转发至下层交换机R3,防止AFC设备回送流量再次送入AFC产生路由环路,完成清洗后流量回注;
(4) 下层交换机R3配置基础网络
配置下层交换机R3的XG1/0/17接口与核心交换机R2 XG1/0/17接口互联互通;
(5) AFC设备基础网络配置
配置AFC设备与核心交换机R2互联网口IP地址与网口类型,使其可与R2设备互通,设置其业务网口类型为源口回注模式(引流与回注为同一物理端口)。
(6) AFC设备BGP路由配置
AFC设备侧配置与核心设备BGP邻接关系,完成双方BGP互为邻居设置。
(7) AFC设备路由牵引及流量清洗
AFC设备对用户业务地址进行引流操作,根据防御策略对用户流量进行清洗,将清洗后流量回送到核心设备。
(8)应用安全配置,AFC设备添加转发地址和回源地址,添加域名转发规则后,客户端通过域名访问到转发地址,AFC收到域名请求后,再通过回源地址将客户端的请求转发给墙下的web服务器, web服务器将信息,返回AFC设备,再通过转发地址,将web资源转发给客户端。
创建VLAN 1710和1711,其中VLAN 1710对应171.0.0.0/24网段,作用为R2三层交换机端口与AFC XGE2/1直连通信,VLAN 1711对应171.0.1.0/24网段,作用为与下层进行路由。
# 创建VLAN
[R2]vlan 1710
[R2-vlan1710]quit
[R2]vlan 1711
[R2-vlan1711]quit
# 配置VLAN IP
[R2]interface Vlan-interface1710
[R2-Vlan-interface1710]IP address 171.0.0.1 255.255.0.0
[R2-Vlan-interface1710]ip address 115.115.115.1 255.255.255.0 sub
[R2-Vlan-interface1710]quit
[R2]interface Vlan-interface1711
[R2-Vlan-interface1711]IP address 171.0.1.1 255.255.255.0
[R2-Vlan-interface1711]quit
# 配置XG1/0/17接口
[R2]int XGigabitEthernet 1/0/17
[R2-XGigabitEthernet1/0/17] port link-mode bridge
[R2-XGigabitEthernet1/0/17] port access vlan 1711
#查看XG1/0/17接口配置
[R2-XGigabitEthernet1/0/17] dis this
interface XGigabitEthernet1/0/17
port link-mode bridge
port access vlan 1711
# 配置XG1/0/18接口
[R2]int XGigabitEthernet 1/0/18
[R2-XGigabitEthernet1/0/18] port link-mode bridge
[R2-XGigabitEthernet1/0/18] port access vlan 1710
#查看XG1/0/18接口配置
[R2-XGigabitEthernet1/0/18] dis this
interface XGigabitEthernet1/0/18
port link-mode bridge
port access vlan 1710
# 配置bgp,AS号为65535
[R2]bgp 65535
# 配置路由器的Router ID
[R2-bgp]router-id 171.0.0.1
[R2-bgp]undo synchronization
# 与对端启用IPv4单播, 允许本地路由器与指定对等体交换IPv4单播路由信息
[R2-bgp] address-family IPv4
[R2-bgp-IPv4]peer 171.0.0.2 enable
# 配置对端邻居,对端AS号为65534
[R2-bgp]peer 171.0.0.2 as-number 65534
# 配置对端描述,对端为afc
[R2-bgp]peer 171.0.0.2 descrIPtion afc
# 为从对等体接收的路由分配首选值,值越小越优先
[R2-bgp]peer 171.0.0.2 preferred-value 1
[R2-bgp]peer 171.0.0.2 keep-all-routes
# 保存所有来自对等体/对等体组的原始路由信息,即使这些路由没有通过已配置的入口策略
如果配置的BGP IPv6协议,需要进入BGP IPv6单播视图。
# 配置ACL匹配牵引IP地址段
[R2]acl number 3003
[R2-acl-adv-3003]rule 1 permit ip destination 172.212.6.0 0.0.255.255
[R2-acl-adv-3003]quit
# 配置访问控制列表3003,匹配目的地址为172.212.0.0/16网段
# 创建策略路由
[R2]policy-based-route p_afc_out permit node 5
[R2]if-match acl 3003
[R2]apply ip-address next-hop 171.0.1.2
# 配置策略路由行为p_afc_out,下一条发送给171.0.1.2即上层网络与下层网络连接的直连路由IP地址,请根据你部署的实际地址进行配置
# 在三层接口应用策略路由
[R2]interface Vlan-interface1710
[R2-Vlan-interface1710]ip address 171.0.0.1 255.255.255.0
[R2-Vlan-interface1710]ip policy-based-route p_afc_out
# 在应用策略路由的时候,如果是接口是route模式,直接在接口上应用策略路由,如果接口是bridge模式,请在接口所属的三层VLAN接口上配置策略路由,如上。
创建VLAN 1711和VLAN 1712,其中VLAN 1711对应171.0.1.0/24网段,作用为下层交换机R3与核心交换机R2网络直连路由, VLAN 1712对于172.212.6.0/16网段,为下层网络所在网段。
# 创建VLAN
[R3]vlan 1711
[R3-vlan1711]quit
[R3]vlan 1712
[R3-vlan1712]quit
# 配置VLAN IP
[R3]int Vlan-interface 1711
[R3-Vlan-interface1711]IP address 171.0.1.2 255.255.255.0
[R3-Vlan-interface1711]quit
[R3]int Vlan-interface 1712
[R3-Vlan-interface1712]IP address 172.212.0.1 255.255.0.0
[R3-Vlan-interface1712]quit
# 配置XG1/0/17接口
[R3]int XGigabitEthernet 1/0/17
[R3-XGigabitEthernet1/0/17] port link-mode bridge
[R3-XGigabitEthernet1/0/17] port access vlan 1711
#查看XG1/0/17口口配置
[R3-GigabitEthernet1/0/17] dis this
interface XGigabitEthernet1/0/17
port link-mode bridge
port access vlan 1711
# 配置G1/0/13接口
[R3]int GigabitEthernet 1/0/13
[R3-GigabitEthernet1/0/13] port link-mode bridge
[R3-GigabitEthernet1/0/13] port access vlan 1712
#查看G1/0/13接口配置
[R3-GigabitEthernet1/0/13] dis this
interface GigabitEthernet1/0/13
port link-mode bridge
port access vlan 1712
# 配置通往172.215.6.0段路由
[R3] ip route-static 172.215.6.0 24 171.0.1.1
要实现AFC旁路单机部署BGP三层回注模式配置,可按照如下步骤进行配置:
(1) 登录AFC系统页面
通过浏览器访问登录:https://192.168.0.1:16010/,账号admin,密码admin,如图 95所示
图95 登录AFC系统页面
(2) AFC地址及端口类型配置
进入【系统配置】-【设备】-【设备管理】,点击设备右侧【配置】在左侧导航栏选择【网口配置】,点击【修改】按钮,修改GE1/0的IP、掩码、端口绑定等信息。(初始上架需要更新配置获取当前设备网卡配置)。
XGE2/1的IP为171.0.0.2,端口类型为源口回注, IPv4上一跳为入方向互联交换机端口地址,(即核心交换机XG1/0/18)IP为171.0.0.1,如图 96所示
图96 网口配置
点 【应用配置】,使配置生效;
开启应用安全后,网口配置中所有业务口只能是同一种类型,不能串联和旁路同时配置;
地址及端口类型配置完毕后,点击下方的【路由配置】菜单,选择【BGP路由配置】,勾选启动BGP并点【应用配置】,按如下步骤配置。
(1) 本地BGP配置:
进入【系统配置】--【设备管理】,点击设备127.0.0.1所在行中的【配置】操作字,进入【路由配置】--【BGP路由配置】进行下述操作:
勾选【启动BGP】
本地AS:65534 //AFC设备端AS号
本地端口:179 //默认179端口
点击【保存】,配置 如图 97 所示
AFC设备本地BGP配置
图97 启动BGP
(2) 邻居BGP配置
点击【添加】按钮添加BGP信息
对端AS:65535 //核心交换机已经运行BGP时,填写核心交换机的AS号
对端端口:179 //默认179端口
LocalPref/MED:100 //默认100
对端IP为GE1/0口的IPv4上一跳地址171.0.0.1。
点击【保存】,完成邻居地址添加。 如图98所示
图98 异常流量清洗系统邻居BGP配置
(3) 应用BGP配置:
点击【应用配置】,生效BGP的配置。
登录AFC设备,进入【牵引配置】-【引流牵引状态】,点击【手动牵引】,对用户网内测试地址、转发地址和回源地址进行引流操作,本例中牵引地址为172.212.6.101、172.215.6.1、172.215.6.101-172.215.6.105, 选择牵引操作”引流牵引“,点击【确定】完成牵引操作。如图99、100、101所示
图99 牵引用户业务地址172.212.6.101
图100 牵引转发地址172.215.6.1
图101 牵引回源地址172.215.6.101-172.215.6.105
流量引入AFC设备后,针对DDoS攻击AFC设备可自动使用默认策略进行清洗防御。
(1) 验证核心交换机R2与AFC设备清洗业务口是否互通
通过ping来测试核心交换机R2是否与AFC路由相通
[R2]ping -a 171.0.0.1 171.0.0.2
PING 171.0.0.2: 56 data bytes, press CTRL_C to break
Reply from 171.0.0.2: bytes=56 Sequence=1 ttl=64 time=3 ms
Reply from 171.0.0.2: bytes=56 Sequence=2 ttl=64 time=3 ms
Reply from 171.0.0.2: bytes=56 Sequence=3 ttl=64 time=3 ms
Reply from 171.0.0.2: bytes=56 Sequence=4 ttl=64 time=3 ms
Reply from 171.0.0.2: bytes=56 Sequence=5 ttl=64 time=3 ms
--- 171.0.0.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trIP min/avg/max = 3/3/3 ms
(2) 验证核心设备与AFC设备BGP邻居关系是否建立
登录核心设备通过display BGP peer查看bgp建立状态。
[H3C] display bgp peer
BGP local router ID : 171.0.0.1
Local AS number : 65535
Total number of peers : 1 Peers in established state : 1
Peer AS MsgRcvd MsgSent OutQ PrefRcv Up/Down State
171.0.0.2 65534 5 3 0 0 00:01:59 Established
(3) 验证核心交换机R2与AFC路由牵引是否成功。牵引成功则有此主机的32位路由。
查看核心交换机R2的路由表
[R2]display bgp routing-table
Total Number of Routes: 1
BGP Local router ID is 171.0.0.1
Status codes: * - valid, ^ - VPNv4 best, > - best, d - damped,
h - history, i - internal, s - suppressed, S - Stale
Origin : i - IGP, e - EGP, ? - incomplete
Network NextHop MED LocPrf PrefVal Path/Ogn
* > 172.212.6.101/32 171.0.0.2 0 1 65534i
(4) 验证客户端与引流服务器间通信是否正常
通过ping测试客户端是否与服务路由相通
[root@AFCTest_Client ~]# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:0C:29:9D:1B:7A
inet addr:184.0.0.75 Bcast:184.0.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe9d:1b7a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:257120 errors:0 dropped:0 overruns:0 frame:0
TX packets:47273087 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:28882056 (27.5 MiB) TX bytes:3460908912 (3.2 GiB)
[root@AFCTest_Client ~]# ping -c 5 171.0.3.21
PING 172.212.6.101 (172.212.6.101) 56(84) bytes of data.
64 bytes from 172.212.6.101: icmp_seq=1 ttl=124 time=0.799 ms
64 bytes from 172.212.6.101: icmp_seq=2 ttl=124 time=0.736 ms
64 bytes from 172.212.6.101: icmp_seq=3 ttl=124 time=0.862 ms
64 bytes from 172.212.6.101: icmp_seq=4 ttl=124 time=1.47 ms
64 bytes from 172.212.6.101: icmp_seq=5 ttl=124 time=1.02 ms
--- 172.212.6.101 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 0.736/0.977/1.470/0.266 ms
进入 【应用安全】-【IP池管理】,点击 添加 按 下图填写 如图 102、图 103所示
图102 添加转发地址
图103 添加回源地址
表30 地址池说明
名称 |
作用描述 |
转发地址 |
反向代理模式的网站防护地址,该IP为非墙下的空闲地址; |
回源地址 |
AFC与WEB源站服务器进行通信的地址,该IP为非墙下的空闲地址; |
协议 |
选择 HTTP 端口: 80; |
Vlan ID |
此测试环境为非vlan环境,默认选 0 ; |
|
|
· 转发IP和回源IP均为必填项,且IP范围不能重复
【应用安全】-【虚拟路由配置】,选择 三层模式,配置外网地址和外网路由上一跳地址,
如图 104所示
图104 配置虚拟路由
表31 虚拟路由配置说明
名称 |
作用描述 |
外网地址 |
AFC业务口与R2交换机通信地址; |
外网路由上一跳地址 |
R2交换机配置的接口地址; |
(1) 添加域名转发规则
进入【应用安全】-【网站防护】点击添加,按下图填写,如图105 所示
图105 添加HTTP域名转发规则
上图定义了一条HTTP域名转发规则,说明如下:
表32 域名规则说明
名称 |
作用描述 |
防护域名 |
可添加二级域名 如 www.baidu.com 可添加 *.sina.com.cn 的泛域名; 可添加 *.* ,匹配所有域名 ; |
接入方式 |
选择 反向代理 ; |
防护IP |
地址池中的转发地址:172.215.6.1; |
协议 |
HTTP 端口: 80; |
X-Forwarded-For |
此选项用于反向代理模式,web服务器获取客户端地址使用; |
回源方式 |
选择 HTTP ; |
源站IP与端口 |
IP:172.212.6.101 端口:80 ; |
|
|
· Windows客户端 手动修改hosts方法:编辑 C:\Windows\System32\drivers\etc
· 添加记录 : 172.215.6.1 www.ceshi602.cn 保存配置
· Linux 客户端 手动修改hosts方法:vi /etc/hosts
· 添加记录 : 172.215.6.1 www.ceshi602.cn 保存配置
(2) 验证配置
a. 客户端通过本地hosts绑定域名
客户端通过本地hosts绑定域名www.ceshi602.cn 到ip:172.215.6.1;
从客户端 ping www.ceshi602.cn, 可正常显示服务器ip:172.212.6.1
C:\Users\Administrator>ping www.ceshi602.cn
正在 Ping www.ceshi602.cn [172.215.6.1] 具有 32 字节的数据:
来自 172.215.6.1 的回复: 字节=32 时间<1ms TTL=62
来自 172.215.6.1 的回复: 字节=32 时间<1ms TTL=62
来自 172.215.6.1 的回复: 字节=32 时间<1ms TTL=62
来自 172.215.6.1 的回复: 字节=32 时间<1ms TTL=62
172.215.6.1 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 0ms,平均 = 0ms
· 客户端如果可以通过DNS服务器可已正常解析域名,可忽略步骤a ;
b. 通过浏览器访问
通过浏览器访问 http:// www.ceshi602.cn 可正常显示网站内容,如图106 所示
图106 网站内容显示:
c. 查看域名状态
进入 【应用安全】-【域名状态】,存在域名 www.ceshi602.cn 的请求记录 如图107所示
图107 域名请求记录:
(3) 解析生效
验证通过后,需登录域名所在的DNS注册商网站,将该域名解析到规则对应的“转发IP”上。
若源站服务器存在访问IP限制,需将“回源IP”的全部地址添加到网站的信任白名单中。
(1) 获取HTTPS证书
获取证书方法
· .crt (公钥)和 .key (私钥)的证书
可直接通过文件编辑器打开,复制内容到添加证书页面对应的 输入框
公钥内容 ,如图 108 所示
图108 公钥信息
私钥内容 如图 109所示
图109 私钥信息
加密的证书无法正常添加,需解密后再进行添加。
· pem格式证书获取公钥、私钥
Pem格式的证书有些公钥、私钥存在一起,需要使用编辑器打开,分别复制内容到添加证书页面的输入框 如图 110所示
图110 Pem证书获取公钥、私钥
· pfx格式的证书获取公钥、私钥
需要通过命令转换成pem等可识别格式再进行复制:
[root@localhost nginx]# openssl pkcs12 -in tmm-server.pfx -nodes -out server111.pem
Enter Import Password:
MAC verified OK
[root@localhost nginx]#
(2) 添加HTTPS证书
【应用安全】-【证书管理】,点击 添加 输入 证书名称、公钥、私钥信息,如图111所示
图111 添加HTTPS证书
(3) 添加HTTPS域名转发规则
进入【应用安全】-【网站防护】点击添加,按下图填写,如图 112所示
图112 添加HTTPS域名转发规则
上图定义了一条HTTP域名转发规则,说明如下:
表33 域名规则说明
名称 |
作用描述 |
防护域名 |
可添加二级域名 如 www.baidu.com 可添加 *.sina.com.cn 的泛域名; 可添加 *.* ,匹配所有域名 ; |
接入方式 |
选择 反向代理 ; |
防护IP |
地址池中的转发地址:172.215.6.1; |
协议 |
HTTPS 端口: 443; |
HTTPS证书 |
选择之前添加的证书 test ; |
X-Forwarded-For |
此选项用于反向代理模式,web服务器获取客户端地址使用; |
回源方式 |
选择 HTTPS ; |
源站IP与端口 |
IP:172.212.6.101 端口:443 ; |
|
|
· Windows客户端 手动修改hosts方法:编辑 C:\Windows\System32\drivers\etc
· 添加记录 : 172.215.6.1 www.test106.cn 保存配置
· Linux 客户端 手动修改hosts方法:vi /etc/hosts
· 添加记录 : 172.215.6.1 www.test106.cn 保存配置
(4) 验证配置
a. 客户端通过本地hosts绑定域名
客户端通过本地hosts绑定域名www.test106.cn 到ip:172.215.6.1;
从客户端 ping www.test106.cn, 可正常显示服务器ip:172.215.6.1
C:\Users\Administrator>ping www.test106.cn
正在 Ping www.test106.cn [172.215.6.1] 具有 32 字节的数据:
来自 172.215.6.1 的回复: 字节=32 时间=1ms TTL=62
来自 172.215.6.1 的回复: 字节=32 时间<1ms TTL=62
来自 172.215.6.1 的回复: 字节=32 时间<1ms TTL=62
来自 172.215.6.1 的回复: 字节=32 时间<1ms TTL=62
172.215.6.1 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 1ms,平均 = 0ms
· 客户端如果可以通过DNS服务器可已正常解析域名,可忽略步骤a ;
b. 通过浏览器访问
通过浏览器访问https:// www.test106.cn 可正常显示网站内容,如图 113所示
图113 网站内容显示:
c. 查看域名状态
进入 【应用安全】-【域名状态】,存在 域名 www.test106.cn 的请求记录 如图114所示
图114 域名请求记录:
(5) 解析生效
验证通过后,需登录域名所在的DNS注册商网站,将该域名解析到规则对应的“转发IP”上。
若源站服务器存在访问IP限制,需将“回源IP”的全部地址添加到网站的信任白名单中。
进入 【应用安全】-【域名状态】,对域名 www.ceshi602.cn 的规则,点【防护规则配置】 如图115所示
图115 防护规则配置
点 【添加】按钮,显示规则内容,如图 116所示
图116 自定义规则页面
表34 防护规则内容说明
名称 |
作用描述 |
规则名称 |
名称支持输入中文,数字,字母,下划线和中划线 |
子规则关系 |
支持与、或 ,单选; |
子规则 |
下拉列表包括:Mwthod、URL、源IP、Referer、User-Agent、Content-Length、Host、Http Code、Http Version; |
逻辑关系 |
下拉列表包括:等于、不等于、包含、不包含 ; |
值 |
分为选项和输入框方式 ; |
行为 |
下拉列表包括:频率限制、拦截、拦截并加黑、放行、放行并信任; |
加黑时间 |
触发规则后,客户端对于防护IP的被阻止时间; |
信任时间 |
触发规则后,客户端对于防护IP的放行时间; |
· 每个域名最多加10条防护规则;
· 每个防护规则,最多添加10条子规则;
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!