手册下载
H3C SecPath W2000-G2[AK4X5][G510] [CN] [V-G2]系列Web应用防火墙
典型配置
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
实际客户应用场景,并非只有WAF一种设备,而是多种设备融合,部署在一起层层把关,各司其职。基于WAF的应用目前只支持HTTP和HTTPS,所以重点防护WEB服务器。坚持的原则是尽量靠近WEB服务器,只防护HTTP和HTTPS的流量,减少对其它业务流量对设备性能的影响及单点故障的影响。
本文档实现基于WAF部署位置基于各个场景进行讨论,目的是减少因部署或者各个产品逻辑实现差异导致的问题,具体策略配置及部署可以参照典配,目前基于已知产品和场景给出推荐建议,给出政务云场景和传统数据中心场景下的推荐方案,后续根据现场需求会合入新的场景方案,具体部署可以根据实际需求进行相应调整。
本文档适用于W2000-G2系列Web应用防火墙。推荐使用R6702P02及以上版本。
政务云环境一般是SDN纳管,要求租户之间互相隔离,这不仅体现在基础网络资源的隔离,也体现在租户的安全资源隔离。每个租户都独占自己的虚拟安全设备,相互之间无感知。从安全纳管方案的角度来说,SDN控制器通过Netconf纳管安全设备,并在安全设备上申请虚拟防火墙资源,分配给对应的租户使用,以租户方式进行业务区分,并且多以旁路方式进行部署。
组网推荐旁路反向代理(可双机)
· WAF不支持SDN纳管
· 硬件WAF不支持硬件虚拟化VWAF,不支持区分租户
· WAF不支持Vxlan
(1) 政务云场景下SDN纳管设备, 由于WAF不支持SDN纳管,不支持虚拟化或基于vpn隔离租户业务流量,所以在有IPS等安全设备的情况下,只能部署在FW(IPS)的上行。有的业务交换机上同时部署了Vxlan,而WAF也不支持Vxlan。所以基于目前场景组网,建议旁挂核心交换机上,放在纳管设备外层,尽量靠近server端。
(2) 服务器连接老化时间不定,WAF连接的老化时间为60秒,如果IPS设置了阻断,WAF 60秒后断开连接,服务器连接可能还在,存在连接不一致风险,可能会影响正常业务的使用。因此如果后端有防护设备如IPS设备,建议将IPS设备动作设置为重置或者不阻断比如放行、仅记日志等。
(3) 对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
VWAF可以实现基于租户的流量业务,每租户一个服务实例(VWAF),并且VWAF安装在服务器上,服务器一般可以实现Vxlan的剥离。所以建议将VWAF放在租户业务区,在租户业务区上线做反向代理,代理业务应用区的真实server。
有关此方案的具体配置步骤,请参考“旁路反向代理模式部署配置举例”。
政务云环境一般是SDN纳管,要求租户之间互相隔离,这不仅体现在基础网络资源的隔离,也体现在租户的安全资源隔离。每个租户都独占自己的虚拟安全设备,相互之间无感知。从安全纳管方案的角度来说,SDN控制器通过Netconf纳管安全设备,并在安全设备上申请虚拟防火墙资源,分配给对应的租户使用,以租户方式进行业务区分,并且多以旁路方式进行部署。
该场景下WAF下联多为LB设备,LB一般用于服务器业务的负载分担。
推荐组网旁路反向代理。
· WAF不支持SDN纳管
· WAF不支持硬件虚拟化VWAF,不支持区分租户
· WAF不支持Vxlan
如果使用旁路反向代理模式,建议WAF放在LB前面;同时LB一般旁挂在核心交换机上,因此在有LB的情况下,建议将WAF部署在LB的上行,旁挂在核心交换机上。
(1) 如果单台VWAF可以满足性能要求:
VWAF不支持纳管,每租户一个服务实例(vWAF),可以实现基于租户的流量业务,且VWAF安装在服务器上,服务器可以实现Vxlan的剥离,所以建议将VWAF部署在租户业务区,在租户业务区上线做反向代理。
(2) 如果单台VWAF不能满足性能要求:
如果VWAF性能不能满足使用,或者server站点不满足使用,一般会部署LB--NVWAF--LB-Nserver,一个租户多个VWAF,一个租户多个虚机(站点),并且VWAF不支持纳管,由于LB是被SDN纳管的,需配置LB的下行业务口保持上一跳,才能保证业务流量走向的正确。业务流量走向是LB--VWAF--LB--Server,所以建议VWAF放在租户业务区,在租户业务区上线做反向代理,代理LB的虚服务地址,通过LB的虚服务代理的实服务即为真实的server。
(3) 对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
有关此方案的具体配置步骤,请参考“旁路反向代理模式部署配置举例”。
政务云环境一般是SDN纳管,要求租户之间互相隔离,这不仅体现在基础网络资源的隔离,也体现在租户的安全资源隔离。每个租户都独占自己的虚拟安全设备,相互之间无感知。从安全纳管方案的角度来说,SDN控制器通过Netconf纳管安全设备,并在安全设备上申请虚拟防火墙资源,分配给对应的租户使用,以租户方式进行业务区分,并且多以旁路方式进行部署。
该场景下WAF上下联多为LB设备,LB一般用于服务器业务的负载分担。
推荐组网旁路反向代理(可双机)。
· WAF不支持纳管
· WAF不支持虚拟化VWAF,不支持区分租户
· WAF不支持Vxlan
由于WAF不接受SDN纳管,不支持虚拟化或基于vpn隔离租户业务流量,LB和IPS可以被SDN纳管,实现基于租户的业务,所以建议WAF部署在FW(IPS)上行。业务流量而且仍需按照WAF-IPS-LB这样的场景部署,但是存在问题是,遇到攻击的场景下,IPS如果也对HTTP协议进行处理的话,开启IPS防护策略后会导致部分请求被丢弃掉,WAF由于连接超时自动关闭了连接,而LB保留了TCP状态,链接处于established的状态,从而影响了后续WAF与LB连接的建立,最终导致WAF因为连接超时返回502给前端界面。
因此基于该场景建议WAF和LB的中间的安全设备,动作设置为重置,可以双向RST;或者动作为不阻断比如放行或者仅记日志。
对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
有关此方案的具体配置步骤,请参考“旁路反向代理模式部署配置举例”。
传统数据中心场景没有租户概念,多采用硬件WAF设备做防护,本章节以硬件WAF部署为例。
部署的原则是距离服务器越近越好,尽可能避免部署在出口或者核心交换机上。WAF部署离服务器越近,受到的干扰越小,流量压力也会小很多,其它设备出现的故障对WAF影响也会更小;而且一般情况下,越靠近server端,到达WAF的流量是经过前端设备解密后的http流量,避免WAF解密处理https流量,减少性能消耗。
基于硬件WAF的部署,我们首先推荐是串联模式,串联模式不能满足用户需求的情况下,其次再考虑旁路模式,客户是否接受访问的是WAF的代理地址,而非真实server地址。
(1) 首先,推荐使用透明流,如果只要求基础功能防护不涉及HTTPS,或涉及网段防护,推荐透明流模式,仅流模式支持配置网段;
(2) 其次,推荐透明代理,串联组网一般推荐透明代理模式,因为防护效果好,稳定性好;
(3) 最后,推荐使用透明反向代理。客户是否接受访问的是WAF的代理地址,而非真实server地址。
(4) 对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
WAF串联模式下需要配置代理服务器,客户端访问的为WAF的代理地址。
条件允许的情况下,建议尽量部署在靠近server端,可以部署在核心交换机和业务区中间,靠近核心交换机。
有关此方案的具体配置步骤,请参考如下典型配置举例:
传统数据中心场景没有租户概念,多采用硬件WAF设备做防护,本章节以硬件WAF部署为例。
部署的原则是距离服务器越近越好,尽可能避免部署在出口或者核心交换机上。WAF部署离服务器越近,受到的干扰越小,流量压力也会小很多,其它设备出现的故障对WAF影响也会更小;而且一般情况下,越靠近server端,到达WAF的流量是经过前端设备解密后的http流量,避免WAF解密处理https流量,减少性能消耗。
基于硬件WAF的部署,我们首先推荐是串联模式。
推荐组网为旁路反向代理(可双机),相对串联模式,该场景仅HTTP/HTTPS流量上WAF,不影响其他流量。
因为主要检测HTTP及HTTPS协议,原则上需部署在最靠近服务端的接入的交换机上,减少非HTTP及HTTPS流量对WAF设备性能的影响,所以越靠近server越好,建议将WAF旁挂在业务接入交换机上。对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
有关此方案的具体配置步骤,请参考“旁路反向代理模式部署配置举例”。
推荐组网旁路反向代理(可双机),相对串联模式,该场景仅HTTP/HTTPS流量上WAF,不影响其他流量。
因为主要检测HTTP及HTTPS协议,原则上需部署在最靠近服务端的接入的交换机上,如果部署旁路反代,建议将WAF旁路部署在服务端业务接入交换机上,LB的上行,尽量靠近服务器端。对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
有关此方案的具体配置步骤,请参考“旁路反向代理模式部署配置举例”。
推荐组网旁路反向代理(可双机),相对串联模式,该场景仅HTTP/HTTPS流量上WAF,不影响其他流量。
(1) 如果部署旁路反代,建议WAF部署在旁挂在核心交换机上,推荐部署设备顺序为IPS-WAF-LB。
(2) 在WAF-IPS-LB的场景下,如果采用旁路反向代理部署,存在问题是,遇到攻击的情况下,IPS如果也对HTTP协议进行处理的话,开启IPS防护策略后会导致部分请求被丢弃掉,WAF由于连接超时自动关闭了连接,而LB保留了TCP状态,链接处于established的状态,从而影响了后续WAF与LB连接的建立,最终导致WAF因为连接超时返回502给前端界面。因此在该场景下建议WAF和LB的中间的安全设备,对攻击动作建议设置为重置,可以双向RST拆除上下行设备链接;或者动作为不阻断比如放行或者仅记日志。
(3) 对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
有关此方案的具体配置步骤,请参考“旁路反向代理模式部署配置举例”。
虚拟web应用防火墙不支持该部署模式。
透明流模式是Web应用防火墙在网站防护中常用的部署模式,设备串联在网络中,通过流检测引擎对数据流进行解析,匹配规则与自定义策略,进行安全防护。当检测到报文中有攻击流量时,WAF会分别向客户端和服务器发送了RST报文,断开TCP连接。
· 部署优势
透明流模式部署简单,不改变拓扑结构,部署后客户端、服务器都无感知,支持软硬件Bypass,保证高可用性,可支持网段和多端口防护策略,性能高。
· 部署劣势
¡ 不支持HTTPS,因为不拆包,检测效果较透明代理要差一些。
¡ 对被保护服务器没有隐藏能力,源服务器地址还是会被前端发现。
¡ 支持websocket流量防护。
· 支持功能
HTTP协议校验、SQL注入防护、XSS防护、命令注入防护、组件漏洞防护、Web扫描防护、XPATH注入防护、XML注入防护、SSI注入防护、JSON注入防护、LDAP注入防护、Webshell防护、Web敏感信息防护、弱密码检测、CGI安全防护、跨站请求伪造防护、业务流程控制、DDOS攻击防护、爬虫陷阱、安全扫描。
· 支持协议
HTTP。
· 特点
Web应用防火墙无须配置业务IP,仅配置管理IP即可。
· 推荐场景
对性能要求高且无HTTPS需求的场景。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
此配置举例适用在E6204以上版本验证测试。
如下图所示,Web应用防火墙部署在防火墙(或者核心交换机)和Web服务器之间,串联接入网络,对Web服务器进行防护。
允许的情况下,尽量将WAF部署靠近DMZ服务端的区域。
按照组网图组网。
(1)创建新的网桥,并把接入网络的两个port口划分到新网桥中。
(2)配置部署模式。
(3)配置防护资产,引用防护策略。对于现网流量大,访问服务器会话较多,推荐在防护资产中关闭访问日志(默认为关闭访问日志)。
(1)创建网桥,并将WAF接口划分网桥。
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥“br10”。
图2-2 新建网桥-br10
如下图所示,网桥br10中不需要配置IP地址,点击完成。
图2-3 保存网桥配置
如下图所示,在网络管理>网络配置>Port接口中编辑port接口,接GE0/2和GE0/3的“网桥接口”选择br10。
图2-4 port口划分到新网桥
(2)配置部署模式。
如下图所示,选择菜单“基础配置>部署模式”进入部署模式配置页面,选择“串联”部署模式,选择完成后保存配置。
图2-5 选择串联部署模式
(3)配置防护资产,引用防护策略。
如下图所示,选择菜单“基础配置>防护资产”进入防护资产配置页面,点击添加,新建防护资产,配置资产的同时即可引用对应的防护资产。对于现网流量大,访问服务器会话较多,推荐在防护资产中关闭访问日志(默认为关闭访问日志)。
图2-6 创建防护资产
在防护模块部分,根据需要进行防护策略的配置,配置完成后点击保存。
图2-7 配置安全防护策略
(1)访问受保护的网站,URL为http://172.16.101.74,可以正常访问。
图2-8 网站正常访问
(2)加上攻击参数再次访问网站,URL为http://172.16.101.74/forum.php?id=1 and 1=1,网站不能访问。
图2-9 攻击被WAF阻断
(3)选择"日志报表>防护日志",查看攻击日志,可以看到攻击拦截的详细信息,证明WAF已经正常防护。
图2-10 WAF防护正常
虚拟web应用防火墙不支持该部署模式。
透明代理模式是Web应用防火墙在网站防护中常用的部署模式,WAF串联在网络中,基于TCP数据包的检测,采用代理转发的技术,通过内部代理拆包解包,对应用层数据进行解析,并匹配安全策略,客户端访问真实服务器地址,数据包至WAF时记录访问的源地址,内部数据转发往服务器时,封装数据包为访问者的源地址,从而实现透明代理。当检测到报文中有攻击流量时,WAF向客户端返回HTTP响应码400 并回客户端FIN+ACK报文,强制与客户端断开TCP连接,带有攻击语句的HTTP请求数据并未转发给服务器。
· 部署优势
透明代理模式防护效果好,不改变拓扑结构,部署后客户端、服务器都无感知,支持软硬件Bypass,保证高可用性,支持的防护功能全面,检测效果优于透明流模式,支持HTTPS。
· 部署劣势
¡ 性能较透明流低一些。
¡ 对被保护服务器没有隐藏能力,源服务器地址还是会被前端发现。
· 支持功能
HTTP协议校验、SQL注入防护、XSS防护、命令注入防护、组件漏洞防护、Web扫描防护、XPATH注入防护、XML注入防护、SSI注入防护、JSON注入防护、LDAP注入防护、Webshell防护、Web敏感信息防护、中间件信息保护、数据库信息保护、隐私信息防护、弱密码检测、CGI安全防护、会话安全防护、暴力破解防护、识别防护、跨站请求伪造防护、业务流程控制、DDOS攻击防护、爬虫陷阱、虚拟补丁、安全扫描。
· 支持协议
HTTP、HTTPS。
· 特点
Web应用防火墙无需配置业务IP,仅配置管理IP即可。
· 推荐场景
对防护效果要求高的场景,又要求单台高可靠性(硬件bypass)的场景。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
此配置举例适用在E6204以上 版本验证测试。
如下图所示,Web应用防火墙部署在防火墙(或者核心交换机)和Web服务器之间,串联接入网络,对Web服务器进行防护。
图3-1 组网图
允许的情况下,尽量将WAF部署靠近DMZ服务端的区域。
按照组网图组网。
(1)创建新的网桥,并把接入网络的两个port口划分到新网桥中。
(2)配置部署模式。
(3)配置防护资产,引用防护策略。对于现网流量大,访问服务器会话较多,推荐在防护资产中关闭访问日志(默认为关闭访问日志)。
(4)配置代理网关规则。
(1)创建网桥,并将WAF接口划分网桥。
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br10。
图3-2 新建网桥-br10
如下图所示,网桥br10中不需要配置IP地址,点击完成。
图3-3 保存网桥配置
如下图所示,在“网络管理>网络配置>Port接口”中编辑port接口。接口GE0/2和GE0/3的“网桥接口”选择br10。
图3-4 port口划分到新网桥
(2)配置部署模式。
如下图所示,选择菜单“基础配置>部署模式”进入部署模式配置页面,选择“串联”部署模式,选择完成后保存配置。
图3-5 选择串联部署模式
(3)配置防护资产,引用防护策略。
如下图所示,选择菜单“基础配置>防护资产”进入防护资产配置页面,点击添加,新建防护资产,配置资产的同时即可引用对应的防护资产。对于现网流量大,访问服务器会话较多,推荐在防护资产中关闭访问日志(默认为关闭访问日志)。
图3-6 创建防护资产
在防护模块部分,根据需要进行防护策略的配置,配置完成后点击保存。
图3-7 配置安全防护策略
(4)配置代理网关规则。
A.HTTP配置
如下图所示,选择“代理网关>透明代理规则”进入透明代理规则配置页面,点击添加,新建透明代理规则,接口选择业务网桥br10,客户端IP还原功能开启,具体配置如下:
图3-8 配置透明代理网关
B.HTTPS配置
如下图所示,选择“代理网关>透明代理规则”进入透明代理规则配置页面,点击添加,新建透明代理规则,接口选择业务网桥br10,客户端IP还原功能开启,如果不设置域名,则对配置的IP地址进行防护,以及IP地址相关域名也可以防护;如果配置域名,则仅对域名进行防护。针对一个Web服务器绑定多个域名的场景,可以根据需求在域名类型中配置“单域名”或者“多域名”,上传对应的证书即可。此时,WAF只防护配置中的域名,当客户端使用其他域名或使用IP访问/攻击时,不进行检测防护,具体配置如下:
(1)以HTTP站点为例,访问受保护的网站,URL为http://172.16.101.74,可以正常访问。
图3-9 网站正常访问
(2)加上攻击参数再次访问网站,URL为http://172.16.101.74/forum.php?id=1 and 1=1,网站不能访问。
图3-10 攻击被WAF阻断
(3)选择"日志报表>防护日志",查看攻击日志,可以看到攻击拦截的详细信息,证明WAF已经正常防护。
图3-11 WAF防护正常
虚拟Web应用防火墙不支持该部署模式。
透明反向代理模式是Web应用防火墙在网站防护中常用的部署模式,WAF串联在网络中,基于TCP数据包的检测,采用代理转发的技术,通过内部代理拆包解包,对应用层数据进行解析并匹配安全策略。
客户端访问地址为真实服务器地址,当请求流经WAF时由WAF代理转发,服务器响应时首先回给WAF,由WAF再封装数据包,以真实服务器地址转发给客户端,从而实现客户端请求服务器时的无感知透明转发。当检测到报文中有攻击流量时,WAF向客户端返回HTTP响应码400 并回客户端FIN+ACK报文,强制与客户端断开TCP连接,带有攻击语句的HTTP请求数据并未转发给服务器。
· 部署优势:
透明反向代理模式防护效果好,不改变拓扑结构,部署后客户端和服务端都无感知,支持软硬件Bypass,保证高可用性,支持的防护功能全面,检测效果优于透明流模式,支持HTTPS。
· 部署劣势:
¡ 性能较透明流低一些。
¡ 需要有一个IP与后端server通信,可以是代理IP,也可以是管理IP。
¡ 对server来说,看到的client IP为WAF的IP,故如要溯源,可在数据包中查看X-Forwarded-For字段。
¡ 由于仅数量有限的代理IP与server通信,若server侧开启了DDoS策略,可能会造成阻断。此处是由于WAF代理IP向服务端发起的请求。
¡ 对被保护服务器没有隐藏能力。
· 支持功能
HTTP协议校验、SQL注入防护、XSS防护、命令注入防护、组件漏洞防护、Web扫描防护、XPATH注入防护、XML注入防护、SSI注入防护、JSON注入防护、LDAP注入防护、Webshell防护、Web敏感信息防护、中间件信息保护、数据库信息保护、隐私信息防护、弱密码检测、CGI安全防护、会话安全防护、暴力破解防护、识别防护、跨站请求伪造防护、业务流程控制、DDOS攻击防护、爬虫陷阱、虚拟补丁、安全扫描。
· 支持协议
HTTP、HTTPS。
· 特点
Web应用防火墙需配置通信IP,需配置管理IP。
· 推荐场景
对防护效果要求高的场景,又要求单台高可靠性(硬件bypass)的场景。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
此配置举例适用在E6204以上 版本验证测试。
如下图所示,Web应用防火墙部署在核心交换机和Web服务器之间,串联接入网络,对Web服务器进行防护。
图4-1 组网图
允许的情况下,尽量将WAF部署靠近DMZ服务端的区域。
按照组网图组网。
(1)创建新的网桥,并把接入网络的两个port口分别划分到新网桥中。
(2)配置部署模式。
(3)配置防护资产,引用防护策略。对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
(4)配置代理网关规则。
(1)创建新的网桥,并把接入网络的两个port口划分到新网桥中。
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br10。
图4-2 新建网桥-br10
如下图所示,在创建网桥br10中增加业务IP地址。
图4-3 增加业务IP地址
如下图所示,在网络管理>网络配置>Port接口中编辑port接口。接口GE0/2和GE0/3的“网桥接口”选择br10。
图4-4 port口划分到新网桥
(2)配置部署模式。
如下图所示,选择菜单“基础配置>部署模式”进入部署模式配置页面,选择“串联”部署模式,选择完成后保存配置。
图4-5 选择串联部署模式
(3)配置防护资产,引用防护策略。
如下图所示,选择菜单“基础配置>防护资产”进入防护资产配置页面,点击添加,新建防护资产,配置资产的同时即可引用对应的防护资产。对于现网流量大,访问服务器会话较多,推荐在防护资产中关闭访问日志(默认为关闭访问日志)。
图4-6 创建防护资产
在防护模块部分,根据需要进行防护策略的配置,配置完成后点击保存。
图4-7 配置安全防护策略
(4)配置代理网关规则。
A.HTTP
如下图所示,选择“代理网关>透明代理规则”进入透明代理规则配置页面,点击添加,新建透明代理规则,被代理IP填写后端真实服务器IP,客户端IP还原选择关闭,具体配置如下:
图4-8 配置HTTP透明代理规则
B.HTTPS
如下图所示,选择“代理网关>透明代理规则”进入透明代理规则配置页面,点击添加,新建透明代理规则,被代理IP填写后端真实服务器IP,如果不设置域名,则对配置的IP地址进行防护,以及IP地址相关域名也可以防护;如果配置域名,则仅对域名进行防护。针对一个Web服务器绑定多个域名的场景,可以根据需求在域名类型中配置“单域名”或者“多域名”,上传对应的证书即可。此时,WAF只防护配置中的域名,当客户端使用其他域名或使用IP访问/攻击时,不进行检测防护,具体配置如下:
图4-9 配置HTTPS透明代理规则
(1)访问受保护的网站,URL为http://172.16.101.74,可以正常访问。
图4-10 网站正常访问
(2)加上攻击参数再次访问网站,URL为http://172.16.101.74?id=1 and 1=1,网站不能访问。
图4-11 攻击被WAF拦截
(3)选择"日志系统>防护日志",查看攻击日志,可以看到攻击拦截的详细信息,证明Web应用防火墙已经正常防护。
图4-12 WAF防护正常
· 此部署模式下支持硬件WAF和虚拟WAF;
· 在此场景中,WAF一般都是尽量靠近防护服务器,如存在LB情况时WAF与LB之间要避免有IPS类产品,或者存在IPS设备时需要在IPS上配置动作设置为重置,可以双向RST,或者动作为不阻断均可。
WAF旁路在网络中,基于TCP数据包的检测,采用代理转发的技术。客户端访问地址为WAF的IP地址,请求至WAF后由WAF代理转发,以自身的IP地址向服务器发起请求,服务器回包时回给WAF,由WAF再封装数据包,以WAF的IP地址回复客户端。当检测到报文中有攻击流量时,WAF向客户端返回HTTP响应码400 并回客户端FIN+ACK报文,强制与客户端断开TCP连接,带有攻击语句的HTTP请求数据并未转发给服务器。
· 部署优势
¡ 仅HTTP/HTTPS流量上WAF,不影响其它流量。
¡ 支持HTTPS防护。
¡ 对被保护服务器有隐藏能力,服务器地址不会被前端发现。
· 部署劣势
¡ WAF后面的设备看到的是WAF的代理地址访问真实server,如若有DDOS设备,会被阻断。
¡ 旁路反向代理存在单点故障问题,一旦WAF出现故障会影响服务器正常访问。
· 支持功能
HTTP协议校验、SQL注入防护、XSS防护、命令注入防护、组件漏洞防护、Web扫描防护、XPATH注入防护、XML注入防护、SSI注入防护、JSON注入防护、LDAP注入防护、Webshell防护、Web敏感信息防护、中间件信息保护、数据库信息保护、隐私信息防护、弱密码检测、CGI安全防护、会话安全防护、暴力破解防护、识别防护、跨站请求伪造防护、业务流程控制、DDOS攻击防护、爬虫陷阱、虚拟补丁、安全扫描。
· 支持协议
HTTP、HTTPS。
· 特点
Web应用防火墙需配置业务IP,需配置管理IP。
· 推荐场景
¡ 混合流量中除HTTP和HTTPS外其它流量较大的场景。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
此配置举例适用在E6204以上版本验证测试。
如下图所示,Web应用防火墙旁路部署在服务器区交换机上,对Web服务器进行防护。
图5-1 组网图
· 组网图中的eth3接口,若是虚拟WAF,此eth3口是作为反向代理业务口的接口,对应CAS服务器上的实际物理口。若是硬件WAF,此eth3口应该为硬件WAF的接口,如GE0/2;
· 在虚拟WAF安装过程中,添加的第一个业务网卡对应虚拟WAF的port0口,按照添加先后顺序,第二个添加的业务网卡为port1,以此类推。
· 在虚拟WAF环境下,管理网和业务网不要连在虚拟化平台的同一个实体网卡上,此种配置无意义。
· 建议虚拟WAF部署用iso镜像部署虚拟机时,只选择一个网卡。虚拟机部署完成后,再编辑虚拟机添加第二个网卡,重启后生效。
(1)允许的情况下,尽量将硬件WAF旁挂在靠近服务端的交换机上。
(2)允许的情况下,尽量将安装虚拟WAF的服务器如CAS等旁挂在靠近服务端的交换机上。
按照组网图组网。
(1)创建新的网桥,并把接入网络的接口划分到新网桥中。配置WAF业务IP和路由。
(2)配置部署模式。
(3)配置防护资产,引用防护策略。对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
(4)配置代理网关规则。
(1)创建新的网桥,并把接入网络的接口划分到新网桥中。
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br10。
图5-2 新建网桥-br10
如下图所示,在网桥br10中增加业务IP地址。
图5-3 增加业务IP地址
如下图所示,在网络管理>路由配置中增加路由。
图5-4 增加路由
如下图所示,在网络管理>网络配置>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br10。
图5-5 port口划分到新网桥
(2)配置部署模式。
如下图所示,选择菜单“基础配置>部署模式”进入部署模式配置页面,选择“串联”部署模式,选择完成后保存配置。
注:反向代理模式为物理旁路,逻辑串联的部署模式,因此部署模式选择串联。
图5-6 选择串联部署模式
(3)配置防护资产,引用防护策略。
如下图所示,选择菜单“基础配置>防护资产”进入防护资产配置页面,点击添加,新建防护资产,配置资产的同时即可引用对应的防护资产。对于现网流量大,访问服务器会话较多,推荐在防护资产中关闭访问日志(默认为关闭访问日志)。
图5-7 创建防护资产
在防护模块部分,根据需要进行防护策略的配置,配置完成后点击保存。
图5-8 配置安全防护策略
(4)配置代理网关规则。
A.HTTP
如下图所示,选择“代理网关>反向代理规则”进入反向代理规则配置页面,点击添加,新建反向代理规则,代理IP选择WAF上配置的业务IP,被代理IP填写后端真实服务器IP,具体配置如下:
图5-9 配置HTTP反向代理规则
B.HTTPS
如下图所示,选择“代理网关>反向代理规则”进入反向代理规则配置页面,点击添加,新建反向代理规则,代理IP选择WAF上配置的业务IP,被代理IP填写后端真实服务器IP,如果不设置域名,则对配置的IP地址进行防护,以及IP地址相关域名也可以防护;如果配置域名,则仅对域名进行防护。针对一个Web服务器绑定多个域名的场景,可以根据需求在域名类型中配置“单域名”或者“多域名”,上传对应的证书即可。此时,WAF只防护配置中的域名,当客户端使用其他域名或使用IP访问/攻击时,不进行检测防护,具体配置如下:
图5-10 配置HTTPS反向代理规则
(1)访问Web应用防火墙的IP地址,URL为http://192.168.7.15,可以正常访问。
图5-11 网站正常访问
(2)加上攻击参数再次访问网站,URL为http://192.168.7.15/forum.php?id=1 and 1=1,网站不能访问。
图5-12 攻击被WAF阻断
(3)选择"日志系统>防护日志",查看攻击日志,可以看到攻击拦截的详细信息,证明Web应用防火墙已经正常防护。
图5-13 WAF防护正常
旁路镜像检测模式是Web应用防火墙在网站防护中常用的部署模式,设备旁路部署在网络中,通过流检测引擎对数据流进行解析,匹配规则与自定义策略进行安全检测,旁路镜像检测模式只进行检测,不对攻击进行处理。
· 部署优势
不改变网络拓扑结构,部署最方便快捷,只需将交换机进口或出口双向流量镜像给WAF设备进行攻击检测,不参与业务数据流转发,因此设备故障对业务无影响。
· 部署劣势
¡ 无法对攻击进行阻断。
¡ 不支持HTTPS。
· 支持检测功能
HTTP协议校验、SQL注入防护、XSS防护、命令注入防护、组件漏洞防护、Web扫描防护、XPATH注入防护、XML注入防护、SSI注入防护、JSON注入防护、LDAP注入防护、Webshell防护、Web敏感信息防护、数据库信息保护、弱密码检测、CGI安全防护、跨站请求伪造防护、业务流程控制、DDOS攻击防护、安全扫描。
· 支持协议
HTTP。
· 特点
Web应用防火墙无须配置业务IP,仅配置管理IP即可。
· 使用场景
旁路镜像场景。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
WAF需要接入交换机镜像口,需提前划分好镜像口流量,交换机须镜像双向流量。
此配置举例适用在E6204以上 版本验证测试。
如下图所示,Web应用防火墙旁路部署在服务器区交换机上,旁路接入网络,对Web服务器流量进行检测。
图6-1 组网图
如下图所示,虚拟Web应用防火墙旁路部署在服务器区交换机上,旁路接入网络,对Web服务器流量进行检测。
图6-2 组网图
· 组网图中的eth3接口,是指虚拟WAF中作为镜像业务口的接口,但实际组网连线中,交换机的GE1/0/8口,eth3口对应CAS服务器上的实际物理口。
· 在虚拟WAF安装过程中,添加的第一个业务网卡对应虚拟WAF的port0口,按照添加先后顺序,第二个添加的业务网卡为port1,以此类推。
· 在虚拟WAF环境下,管理网和业务网不要连在虚拟化平台的同一个实体网卡上,此种配置无意义。
· 虚拟WAF部署用iso镜像部署虚拟机时,只选择一个网卡。虚拟机部署完成后,再编辑虚拟机添加第二个网卡。
允许的情况下,尽量将WAF旁挂在靠近服务端的交换机上。
按照组网图组网。
(1)交换机镜像和监听接口配置。
(2)创建新的网桥,并把接入网络的port口划分到新网桥中。
(3)配置部署模式。
(4)配置防护资产,引用防护策略。对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
(1)交换机镜像和监听接口配置
登录服务器区交换机,创建vlan101和vlan102,并配置IP地址,分别作为客户端和服务器网关。
图6-3 将两个镜像口划分VLAN并配置IP地址
创建镜像组,如下图所示,将GE1/0/7配置为双向镜像口,GE1/0/8配置为监听口。
图6-4 交换机上的镜像组配置
(2)创建新的网桥,并把接入网络的接口划分到新网桥中。
如下图所示,在“网络管理>网络配置>网桥接口中,点击增加,创建网桥br10
图6-5 新建网桥-br10
如下图所示,在网络管理>网络配置>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br10。
图6-6 port口划分到新网桥
(3)配置部署模式。
如下图所示,选择菜单“基础配置>部署模式”进入部署模式配置页面,选择“旁路”部署模式,选择完成后保存配置。
图6-7 配置旁路部署模式
(4)配置防护资产,引用防护策略。
如下图所示,选择菜单“基础配置>防护资产”进入防护资产配置页面,点击添加,新建防护资产,配置资产的同时即可引用对应的防护资产。对于现网流量大,访问服务器会话较多,推荐在防护资产中关闭访问日志(默认为关闭访问日志)。
图6-8 创建防护资产
在防护模块部分,根据需要进行防护策略的配置,配置完成后点击保存。
图6-9 配置安全防护策略
(1)访问受保护的网站,URL为http://172.16.101.74,可以正常访问。
图6-10 网站访问正常
(2)加上攻击参数再次访问网站,URL为http://172.16.101.74/forum.php?id=1 and 1=1,网站可以访问,Web应用防火墙上记录攻击日志。
图6-11 网站访问正常
(3)选择"日志系统>攻击日志",查看攻击日志,可以看到攻击拦截的详细信息,证明Web应用防火墙已经正常检测到攻击流量。
图6-12 WAF检测到攻击流量
旁路镜像检测&阻断模式是Web应用防火墙在网站防护中常用的部署模式,设备旁路部署在网络中,通过流检测引擎对数据流进行解析,匹配规则与自定义策略进行安全防护。当检测到报文中有攻击流量时,WAF分别向客户端和服务器发送RST报文,断开连接。
· 部署优势
旁路镜像检测&阻断模式部署简单,不改变拓扑结构,部署后网络无感知,支持的防护功能较全面,可支持网段和多端口防护策略,性能高。
· 部署劣势
¡ 由于发送reset报文滞后性,无法达到100%阻断。
¡ 不支持HTTPS。
· 支持功能
HTTP协议校验、SQL注入防护、XSS防护、命令注入防护、组件漏洞防护、Web扫描防护、XPATH注入防护、XML注入防护、SSI注入防护、JSON注入防护、LDAP注入防护、Webshell防护、Web敏感信息防护、数据库信息保护、弱密码检测、CGI安全防护、跨站请求伪造防护、业务流程控制、DDOS攻击防护、安全扫描。
· 支持协议
HTTP。
· 特点
Web应用防火墙需配置通信IP,需配置管理IP。
· 推荐场景
旁路镜像检测&阻断模式提供一定的防护能力,但防护效果不能达到百分百。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
交换机须镜像连接服务器接口的双向流量,否则阻断效果很差。
旁路阻断模式下Web应用防火墙的部署需要尽可能接近服务器。
此配置举例适用在E6204以上 版本验证测试。
如下图所示,Web应用防火墙旁路部署在服务器区交换机上,旁路接入网络,对Web服务器进行检测和阻断。
图7-1 组网图
如下图所示,虚拟Web应用防火墙旁路部署在服务器区交换机上,旁路接入网络,对Web服务器进行检测和阻断。
图7-2 组网图
· 组网图中的eth2接口,是指云WAF中作为阻断口的接口,但实际组网连线中,交换机的GE1/0/9口, eth2口对应CAS服务器上的实际物理口,eth3对应于vWAF中的port1口,eth2对应于vWAF中的port2口。
· 在云WAF安装过程中,添加的第一个业务网卡对应云WAF的port0口,按照添加先后顺序,第二个添加的业务网卡为port1,以此类推。
· 管理网和业务网不要连在虚拟化平台的同一个实体网卡上。
· 用iso镜像部署虚拟机时,只选择一个网卡。虚拟机部署完成后,再编辑虚拟机添加第二个网卡,重启后生效。
允许的情况下,尽量将WAF旁挂在靠近服务端的交换机上。
按照组网图组网。
(1)交换机镜像和监听接口配置。
(2)创建新的网桥,并把接入网络的port口划分到新网桥中。
(3)配置部署模式。
(4)配置防护资产,引用防护策略。对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
(1)交换机镜像和监听接口配置
登录服务器区交换机,创建vlan101和vlan102,并配置IP地址,分别作为客户端和服务器网关。
图7-3 将两个镜像口划分VLAN并配置IP地址。
创建镜像组,如下图所示,将GE1/0/7配置为双向镜像口,GE1/0/8配置为监听口。
图7-4 交换机上的镜像组配置
交换机接WAF的监听口GE1/0/8配置为默认vlan1,交换机接WAF阻断口GE1/0/9 vlan配置为服务器侧vlan,即vlan102。
(2)创建新的网桥,并把接入网络的两个port口划分到新网桥中。
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br10。
图7-5 新建网桥-br10
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br11。
图7-6 新建网桥-br11
如下图所示,在网桥br11中增加业务IP地址。
图7-7 增加业务IP地址
如下图所示,在“网络管理>路由配置”中增加路由。
图7-8 增加路由
如下图所示,在“网络管理>网络配置>Port接口”中编辑port接口。接口GE0/2的“网桥接口”选择br10,接口GE0/3的“网桥接口”选择br11,使用GE0/3接口进行阻断。
图7-9 port口划分到新网桥
(3)配置部署模式。
如下图所示,选择菜单“基础配置>部署模式”进入部署模式配置页面,选择“旁路”部署模式,配置对端设备的MAC地址,选择完成后保存配置。
图7-10 配置旁路检测阻断部署模式
(4)配置防护资产,引用防护策略。
如下图所示,选择菜单“基础配置>防护资产”进入防护资产配置页面,点击添加,新建防护资产,配置资产的同时即可引用对应的防护资产。对于现网流量大,访问服务器会话较多,推荐在防护资产中关闭访问日志(默认为关闭访问日志)。
图7-11 创建防护资产
在防护模块部分,根据需要进行防护策略的配置,配置完成后点击保存。
图7-12 配置安全防护策略
(1)访问受保护的网站,URL为http://172.16.101.74,可以正常访问。
图7-13 网站访问正常
(2)加上攻击参数再次访问网站,URL为http://172.16.101.74/forum.php?id=1 and 1=1,网站不能访问。
图7-14 攻击被WAF阻断
(3)选择"日志系统>防护日志",查看攻击日志,可以看到攻击拦截的详细信息,证明Web应用防火墙已经正常防护。
图7-15 WAF防护正常
虚拟Web应用防火墙不支持该部署模式。
透明反代双机模式是Web应用防火墙在网站防护中常用的部署模式,两台Web应用防火墙串联在网络中,基于TCP数据包的检测,采用代理转发的技术,通过内部代理拆包解包,对应用层数据进行解析并匹配安全策略。当检测到报文中有攻击流量时,WAF向客户端返回HTTP响应码400,带有攻击语句的HTTP请求数据并未转发给服务器。
· 部署优势
透明反代双机模式防护效果好,当主设备出现故障时,业务会自动切换至备设备,部署后客户端、服务器都无感知,支持软硬件Bypass保证高可用性,支持HTTPS,支持的防护功能全面,检测效果优于透明流模式。
· 部署劣势
¡ 需要有一个IP与后端server通信。
¡ 对server来说,看到的client IP为WAF的IP,故如要溯源,可在数据包中查看X-Forwarded-For字段。
¡ 由于仅数量有限的代理IP与server通信,若server侧开启了DDoS策略,会造成阻断。
¡ 由于进出WAF都需要配置VRRP,两条VRRP IP不在同一网段,因此需提前规划好网络IP。
· 支持功能
HTTP协议校验、SQL注入防护、XSS防护、命令注入防护、组件漏洞防护、Web扫描防护、XPATH注入防护、XML注入防护、SSI注入防护、JSON注入防护、LDAP注入防护、Webshell防护、Web敏感信息防护、中间件信息保护、数据库信息保护、隐私信息防护、弱密码检测、CGI安全防护、会话安全防护、暴力破解防护、识别防护、跨站请求伪造防护、业务流程控制、DDOS攻击防护、爬虫陷阱、虚拟补丁、安全扫描。
· 支持协议
HTTP、HTTPS。
· 特点
Web应用防火墙需配置业务IP。
· 推荐场景
有HTTPS需求,又要求有主备双机的高可用性场景。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
此配置举例适用在E6204以上 版本验证测试。
如下图所示,Web应用防火墙部署在核心交换机和服务器区交换机之间,核心交换机作为三层设备,客户端网关配置在该交换机上,交换机到服务端通过静态路由指向VRRP1地址,服务器交换机作为二层交换机,只做报文转发,服务器网关直接指向VRRP2地址。两台WAF串联接入网络,对Web服务器进行防护。
图8-1 组网图
允许的情况下,尽量将WAF部署靠近DMZ服务端的区域。
主WAF和备WAF的GE0/2口,分别配置同一网段172.16.0.3和172.16.0.4,核心交换机的下一条路由指向172.16.0.254/24的VRRP虚地址。
主WAF和备WAF的GE0/3口,分别配置同一网段172.16.101.15和172.16.101.16,靠近服务器的交换机的下一条路由指向172.16.101.1/24的VRRP虚地址。
不管配置二层还是三层,路由可达即可,WAF对外呈现的只是VRRP的虚地址。
按照组网图组网。
(1)配置核心交换机和服务器交换机。
(2)创建两个新的网桥,并把接入网络的两个port口分别划分到新网桥中。
(3)配置部署模式。
(4)配置防护资产,引用防护策略。对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
(5)配置代理网关规则。
(6)添加HA管理的VRRP配置,配置双机主备部署。
(1) 配置核心交换机
创建vlan101和vlan172,并配置IP地址,作为客户端网关及vlan172接口地址。
[SWUP_For_AVG_NewWAF]vlan 101
[SWUP_For_AVG_NewWAF-vlan101]port GigabitEthernet 1/0/1
[SWUP_For_AVG_NewWAF-vlan101]vlan 172
[SWUP_For_AVG_NewWAF-vlan172]port GigabitEthernet 1/0/10
[SWUP_For_AVG_NewWAF-vlan172]port GigabitEthernet 1/0/11
[SWUP_For_AVG_NewWAF-vlan172]int vlan 101
[SWUP_For_AVG_NewWAF-Vlan-interface101]ip address 192.168.7.1 24
[SWUP_For_AVG_NewWAF-Vlan-interface101]int vlan 172
[SWUP_For_AVG_NewWAF-Vlan-interface172]ip address 172.16.0.1 24
[SWUP_For_AVG_NewWAF-Vlan-interface172]quit
(2) 配置服务器交换机
创建vlan102,将GE1/0/1、GE1/0/28、GE1/0/29划入该vlan。
[SWDown_For_AVG_NewWAF]vlan 102
[SWDown_For_AVG_NewWAF-vlan102]port GigabitEthernet 1/0/1
[SWDown_For_AVG_NewWAF-vlan102]port GigabitEthernet 1/0/28
[SWDown_For_AVG_NewWAF-vlan102]port GigabitEthernet 1/0/29
(1)创建新的网桥,并把接入网络的两个port口划分到新网桥中
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br100。
图8-2 新建网桥-br100
如下图所示,在桥br100上添加业务IP。
图8-3 添加业务IP-br100
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br200。
图8-4 新建网桥-br200
如下图所示,在桥br200上添加业务IP。
图8-5 添加业务IP-br200
如下图所示,在网络管理>网络配置>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br100,GE0/3的“网桥接口”选择br200。
图8-6 port口划分到新网桥
(2)配置部署模式。
如下图所示,选择菜单“基础配置>部署模式”进入部署模式配置页面,选择“串联”部署模式,选择完成后保存配置。
注:备机配置和主机相同
图8-7 选择串联部署模式
(3)配置防护资产,引用防护策略。
如下图所示,选择菜单“基础配置>防护资产”进入防护资产配置页面,点击添加,新建防护资产,配置资产的同时即可引用对应的防护资产。对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
注:备机配置和主机相同
图8-8 创建防护资产
在防护模块部分,根据需要进行防护策略的配置,配置完成后点击保存。
注:备机配置和主机相同
图8-9 配置安全防护策略
(4)配置代理网关规则。
如下图所示,选择“代理网关>透明代理规则”进入透明代理规则配置页面,点击添加,新建透明代理规则,接口选择业务网桥br10(注意需要选择上联口所在网桥),客户端IP还原功能关闭,具体配置如下:
注:备机配置和主机相同
图8-10 配置透明代理网关
(5)添加HA管理的VRRP配置,配置双机主备部署。
选择菜单“高可用性>HA管理>VRRP实例”进入VRRP配置页面,点击添加,新增VRRP实例,串联模式下需要添加两组VRRP实例。
设备状态为主时,流量会优先到主机上,由主机进行检测,当主机出现故障时,流量可实时切换到备机上进行检测,不会影响客户网络中的业务。
如下图所示,第一步配置冗余ID及设备初始状态,“冗余ID”为1,绑定接口选择上联接口“br100”,点击高级配置,初始状态为“主”,优先级为100,点击保存。
注:配置备机时保持与主机“冗余ID”相同,“优先级”低于100,“初始状态”为备。
图8-11 创建VRRP实例-主1
如下图所示,第二步添加IP,点击添加,输入IP,此部分的IP为客户预先分配的VRRP虚拟冗余IP。
图8-12 创建VRRP实例-主2
点击下一步,如下图所示,第三步配置物理链路绑定接口,点击增加,新增物理接口,选择分配到br100的接口GE0/2,配置完成点击保存。
图8-13 创建VRRP实例-主3
如下图所示,第四步添加第二组VRRP实例,“冗余ID”为2,“绑定接口”选择下联接口“br200”,其余配置与“冗余ID”1的配置相同,配置完成点击下一步,高级配置,初始状态为主,优先级为100。
图8-14 创建VRRP实例-主4
如下图所示,第五步配置IP,点击添加,编辑增加IP,此部分的IP为客户预先分配的VRRP虚拟冗余IP。
图8-15 创建VRRP实例-主5
点击下一步,如下图所示,第六步配置物理链路绑定接口,点击增加,新增物理接口,选择分配到br200的接口GE0/3,配置完成点击保存。
图8-16 创建VRRP实例-主6
如下图所示,配置完VRRP实例后,需要将两组VRRP实例添加进VRRP组中,在菜单“VRRP组”中点击增加,创建VRRP组,将上面创建好的VRRP实例勾选进VRRP组,点击保存。
图8-17 创建VRRP组-主
(1)创建新的网桥,并把接入网络的两个port口划分到新网桥中
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br100。
图8-18 新建网桥-br100
如下图所示,在桥br100上添加业务IP。
图8-19 添加业务IP-br100
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br200。
图8-20 新建网桥-br200
如下图所示,在桥br200上添加业务IP。
图8-21 添加业务IP-br200
如下图所示,在网络管理>网络配置>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br100,GE0/3的“网桥接口”选择br200。
图8-22 port口划分到新网桥
(2)配置部署模式。
如下图所示,选择菜单“基础配置>部署模式”进入部署模式配置页面,选择“串联”部署模式,选择完成后保存配置。
注:备机配置和主机相同
图8-23 选择串联部署模式
(3)配置防护资产,引用防护策略。
如下图所示,选择菜单“基础配置>防护资产”进入防护资产配置页面,点击添加,新建防护资产,配置资产的同时即可引用对应的防护资产。对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
注:备机配置和主机相同
图8-24 创建防护资产
在防护模块部分,根据需要进行防护策略的配置,配置完成后点击保存。
注:备机配置和主机相同
图8-25 配置安全防护策略
(4)配置代理网关规则。
如下图所示,选择“代理网关>透明代理规则”进入透明代理规则配置页面,点击添加,新建透明代理规则,接口选择业务网桥br10(注意需要选择上联口所在网桥),客户端IP还原功能关闭,具体配置如下:
注:备机配置和主机相同
图8-26 配置透明代理网关
(5)添加HA管理的VRRP配置,配置双机主备部署。
选择菜单“高可用性>HA管理>VRRP实例”进入VRRP配置页面,点击添加,新增VRRP实例,串联模式下需要添加两组VRRP实例。
如下图所示,第一步配置冗余ID及设备初始状态,“冗余ID”为1,绑定接口选择上联接口“br100”,点击高级配置,初始状态为“备”,优先级为99,点击保存。
注:配置备机时保持与主机“冗余ID”相同,“优先级”低于100,“初始状态”为备。
图8-27 创建VRRP实例-备1
如下图所示,第二步添加IP,点击添加,输入IP,此部分的IP为客户预先分配的VRRP虚拟冗余IP。
图8-28 创建VRRP实例-备2
点击下一步,如下图所示,第三步配置物理链路绑定接口,点击增加,新增物理接口,选择分配到br100的接口GE0/2,配置完成点击保存。
图8-29 创建VRRP实例-备3
如下图所示,第四步添加第二组VRRP实例,“冗余ID”为2,“绑定接口”选择下联接口“br200”,其余配置与“冗余ID”1的配置相同,配置完成点击下一步,高级配置,初始状态为备,优先级为99。
图8-30 创建VRRP实例-备4
如下图所示,第五步配置IP,点击添加,编辑增加IP,此部分的IP为客户预先分配的VRRP虚拟冗余IP。
图8-31 创建VRRP实例-备5
点击下一步,如下图所示,第六步配置物理链路绑定接口,点击增加,新增物理接口,选择分配到br200的接口GE0/3,配置完成点击保存。
图8-32 创建VRRP实例-备6
如下图所示,配置完VRRP实例后,需要将两组VRRP实例添加进VRRP组中,在菜单“VRRP组”中点击增加,创建VRRP组,将上面创建好的VRRP实例勾选进VRRP组,点击保存。
图8-33 创建VRRP组-备
此时,HA创建成功。
(1)访问受保护的网站,URL为http://172.16.101.74,可以正常访问。
图8-34 网站访问正常
(2)加上攻击参数再次访问网站,URL为http://172.16.101.74/forum.php?id=1 and 1=1,网站不能访问。
图8-35 攻击被主WAF阻断
(3)选择"日志系统>防护日志",查看攻击日志,可以看到攻击拦截的详细信息,证明Web应用防火墙已经正常防护。
图8-36 主WAF防护正常
(4)将链路中的主机手动关机或断电,加上攻击参数再次访问网站,URL为http://172.16.101.74/forum.php?id=1 and 1=1,网站不能访问。
图8-37 攻击被备WAF阻断
(5)在备机上查看有攻击日志,证明流量已切换至备机。
图8-38 备WAF防护正常
Web应用防火墙旁路在网络中,基于TCP数据包的检测,采用代理转发的技术。客户端访问地址为Web应用防火墙的IP地址,请求至WAF后由WAF代理转发,以自身的IP地址向服务器发起请求,服务器回包时回给WAF,由WAF再封装数据包,以WAF的IP地址回复客户端。当检测到报文中有攻击流量时,WAF向客户端返回HTTP响应码400,带有攻击语句的HTTP请求数据并未转发给服务器。
· 部署优势
¡ 仅HTTP/HTTPS流量上WAF,不影响其它流量。
¡ 支持HTTPS防护。
¡ 当主设备出现故障时,流量会自动切换至备设备。
· 部署劣势
¡ 反向代理仅支持主备模式,不支持主主模式。
· 支持功能
HTTP协议校验、SQL注入防护、XSS防护、命令注入防护、组件漏洞防护、Web扫描防护、XPATH注入防护、XML注入防护、SSI注入防护、JSON注入防护、LDAP注入防护、Webshell防护、Web敏感信息防护、中间件信息保护、数据库信息保护、隐私信息防护、弱密码检测、CGI安全防护、会话安全防护、暴力破解防护、识别防护、跨站请求伪造防护、业务流程控制、DDOS攻击防护、爬虫陷阱、虚拟补丁、安全扫描。
· 支持协议
HTTP、HTTPS。
· 特点
Web应用防火墙需配置业务IP,需配置管理IP。
· 推荐场景
混合流量中除HTTP和HTTPS外其它流量较大的场景,且需求主备切换。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口,确保客户端、服务端和Web应用防火墙网络可达。
此配置举例适用在E6204以上 版本验证测试。
如下图所示,两台Web应用防火墙旁路部署在服务器区交换机上,对Web服务器进行防护。
图9-1 组网图
允许的情况下,尽量将WAF部署靠近DMZ服务端的区域。
按照组网图组网。
(1)创建新的网桥,并把接入网络的port口划分到新网桥中。
(2)配置部署模式。
(3)配置防护资产,引用防护策略。对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
(4)配置代理网关规则。
(5)添加HA管理的VRRP配置,配置双机主备部署。
(1)创建新的网桥,并把接入网络的port口划分到新网桥中。
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br10。
图9-2 新建网桥-br10
如下图所示,在网桥br10上添加业务IP:
注:主机地址是172.16.101.15,备机网桥配置地址是172.16.101.16
图9-3 添加业务IP-br10
如下图所示,在网络管理>网络配置>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br10。
图9-4 port口划分到新网桥
(2)配置部署模式。
如下图所示,选择菜单“基础配置>部署模式”进入部署模式配置页面,选择“串联”部署模式,选择完成后保存配置。
注:主机备机配置相同
图9-5 选择串联部署模式
(3)配置防护资产,引用防护策略。
如下图所示,选择菜单“基础配置>防护资产”进入防护资产配置页面,点击添加,新建防护资产,配置资产的同时即可引用对应的防护资产。对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
注:主机备机配置相同
图9-6 创建防护资产
在防护模块部分,根据需要进行防护策略的配置,配置完成后点击保存。
注:主机备机配置相同
图9-7 配置安全防护策略
(4)配置代理网关规则。
如下图所示,选择“代理网关>反向代理规则”进入反向代理规则配置页面,点击添加,新建反向代理规则,代理IP选择WAF上配置的虚拟冗余IP,被代理IP填写后端真实服务器IP,具体配置如下:
注:主机备机配置相同
图9-8 配置反向代理网关
(5)添加HA管理的VRRP配置,配置双机主备部署。
选择菜单“高可用性>HA管理>VRRP实例”进入VRRP配置页面,点击添加,新增VRRP实例,旁路反向代理模式下需要添加一组VRRP实例。
设备状态为主时,流量会优先到主机上,由主机进行检测,当主机出现故障时,流量可实时切换到备机上进行检测,不会影响客户网络中的业务。
如下图所示,第一步配置冗余ID及设备初始状态,“冗余ID”为1,绑定接口选择上联接口“br10”,点击高级配置,初始状态为“主”,优先级为100,保存配置完成。
注:配置备机时保持与主机“冗余ID”相同,“优先级”低于100,“初始状态”为备。
图9-9 创建VRRP实例-主1
如下图所示,第二步添加IP,点击添加,输入IP,此部分的IP为客户预先分配的VRRP虚拟冗余IP。
图9-10 创建VRRP实例-主2
然后点击下一步如下图所示,第三步配置物理链路绑定接口,点击增加,新增物理接口,选择分配到br10的接口GE0/2,配置完成点击保存。
图9-11 创建VRRP实例-主3
创建完成以后,如下图:
图9-12 创建VRRP实例-主4
然后,配置完VRRP实例后,需要将一组VRRP实例添加进VRRP组中,在菜单“VRRP组”中点击增加,创建VRRP组。
图9-13 创建VRRP组-主
(1)创建新的网桥,并把接入网络的port口划分到新网桥中。
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br10。
图9-14 新建网桥-br10
如下图所示,在网桥br10上添加业务IP:
注:备机网桥配置地址是172.16.101.16
图9-15 添加业务IP-br10
如下图所示,在网络管理>网络配置>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br10。
图9-16 port口划分到新网桥
(2)配置部署模式。
如下图所示,选择菜单“基础配置>部署模式”进入部署模式配置页面,选择“串联”部署模式,选择完成后保存配置。
注:主机备机配置相同
图9-17 选择串联部署模式
(3)配置防护资产,引用防护策略。
如下图所示,选择菜单“基础配置>防护资产”进入防护资产配置页面,点击添加,新建防护资产,配置资产的同时即可引用对应的防护资产。对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
注:主机备机配置相同
图9-18 创建防护资产
在防护模块部分,根据需要进行防护策略的配置,配置完成后点击保存。
注:主机备机配置相同
图9-19 配置安全防护策略
(4)配置代理网关规则。
如下图所示,选择“代理网关>反向代理规则”进入反向代理规则配置页面,点击添加,新建反向代理规则,代理IP选择WAF上配置的虚拟冗余IP,被代理IP填写后端真实服务器IP,具体配置如下:
注:主机备机配置相同
图9-20 配置反向代理网关
(5)添加HA管理的VRRP配置,配置双机主备部署。
选择菜单“高可用性>HA管理>VRRP实例”进入VRRP配置页面,点击添加,新增VRRP实例,旁路反向代理模式下需要添加一组VRRP实例。
设备状态为主时,流量会优先到主机上,由主机进行检测,当主机出现故障时,流量可实时切换到备机上进行检测,不会影响客户网络中的业务。
如下图所示,第一步配置冗余ID及设备初始状态,“冗余ID”为1,绑定接口选择上联接口“br10”,初始状态为“备”,具体配置参数如下,配置完成点击下一步。
图9-21 创建VRRP实例-备1
如下图所示,第二步添加IP,点击添加,输入IP,此部分的IP为客户预先分配的VRRP虚拟冗余IP。
图9-22 创建VRRP实例-备2
然后点击下一步如下图所示,第三步配置物理链路绑定接口,点击增加,新增物理接口,选择分配到br10的接口GE0/2,配置完成点击保存。
图9-23 创建VRRP实例-备3
创建完成以后,如下图:
图9-24 创建VRRP实例-备4
然后,配置完VRRP实例后,需要将一组VRRP实例添加进VRRP组中,在菜单“VRRP组”中点击增加,创建VRRP组。
图9-25 创建VRRP组-备
(1)访问受保护的网站,URL为http://172.16.101.100,可以正常访问。
图9-26 网站访问正常
(2)加上攻击参数再次访问网站,URL为http://172.16.101.100/forum.php?id=1 and 1=1,网站不能访问。
图9-27 攻击被主WAF拦截
(3)选择"日志报表>防护日志",查看攻击日志,可以看到攻击拦截的详细信息,证明Web应用防火墙已经正常防护。
图9-28 主WAF防护正常
(4)将链路中的主机手动关机或断电,加上攻击参数再次访问网站,URL为http://172.16.101.100/forum.php?id=1 and 1=1,网站不能访问。
图9-29 攻击被备WAF拦截
(4)在备机上查看攻击日志,证明流量已切换至备机。
图9-30 备WAF防护正常
虚拟web应用防火墙不支持该部署模式。
链路聚合是指将多个物理端口汇聚在一起,形成一个逻辑端口,以实现出/入流量吞吐量在各成员端口的负荷分担。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
此配置举例适用在E6204以上 版本验证测试。
如下图所示,web应用防火墙配置channel模式串联部署在交换机中,对Web服务器进行防护。
图10-1 组网图
允许的情况下,尽量将WAF部署靠近DMZ服务端的区域。
(1)交换机配置链路聚合。
(2)创建网桥。
(3)创建聚合接口。
(4)把port接口划分到聚合接口中。
(1)交换机配置链路聚合
以静态聚合举例,如下图所示,靠近客户端的交换机配置链路聚合,将接口GE1/0/1和GE1/0/2加入到聚合组1中。
图10-2 交换机链路聚合配置-1
如下图所示,靠近服务器端的交换机配置链路聚合,将接口GE1/0/3和GE1/0/4加入到聚合组2中。
图10-3 交换机链路聚合-2
(2)创建新的网桥
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br10。
图10-4 新建网桥-br10
如下图所示,根据部署模式,部分部署模式需要添加业务IP时,给网桥br10增加业务IP地址。
图10-5 增加业务IP地址
(3)创建聚合接口
以静态聚合举例,如下图所示,在网络管理>网络配置>channel接口中增加聚合接口1和2。
图10-6 增加聚合接口
(4)把port接口划分到聚合接口中
如下图所示,在网络管理>网络配置>Port接口中编辑port接口。接口GE0/0和GE0/1的“channel接口”选择1。GE0/2和GE0/3的“channel接口”选择2。
图10-7 Port接口配置聚合接口
如下图所示,在网络管理>网络配置>channel接口中把channel接口的1和2接口的“网桥接口”选择br10。
图10-8 聚合口划分到网桥中
(1)客户端访问服务端,断开Web应用防火墙的聚合口中的一个物理接口,不影响正常访问。
虚拟Web应用防火墙不支持该部署模式。
Trunk模式适用网络部署中存在不同局域网的情况,部署时需要在交换机中添加Trunk接口,通过在Trunk接口上设置允许的VLAN来实现Web应用防火墙系统对不同局域网中的服务器进行防护的功能。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。一个Trunk接口当前仅支持配置一个VLAN标签,如果需要检测多VLAN流量即需要配置多个VLAN标签,需要添加多个Trunk接口。
此配置举例适用在E6204以上 版本验证测试。
如下图所示,Web应用防火墙配置trunk模式部署在交换机中,对Web服务器进行防护。
图11-1 组网图
允许的情况下,尽量将WAF部署靠近DMZ服务端的区域。
(1)创建网桥,把port接口划分到新建网桥中。
(2)创建trunk接口。
(1)创建新的网桥
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br10。
图11-2 新建新的网桥
点击下一步,进行第二步配置,如下图所示。
图11-3 增加网桥第二步配置
(2)把port接口划分到网桥中
如下图所示,在网络管理>网络配置>Port接口中编辑port接口,将接口GE0/0、GE0/1加入到网桥10。
图11-4 Port接口配置
(3)创建trunk接口
在网络管理>网络配置>trunk接口中,配置允许的vlan标签,点击增加弹出Trunk接口配置,接口选择br10,VLAN标签填写2,配置完成点击下一步。
图11-5 增加trunk接口
如下图所示,如需配置IP可添加业务IP,无需配置IP时点击保存。
图11-6 保存trunk配置
Linux下网页防窜改客户端卸载:/etc/init.d/webkeeper uninstall 密码 wkspace
Windows下网页防窜改客户端卸载:控制面板中卸载,密码wkasspace
网页防篡改是一种防止攻击者修改Web页面的技术,可以有效的阻止攻击者对网站内容进行破坏,尤其是在攻击者突破Web应用防火墙的防护后,依然可以有效的保护网站。
网页防篡改采用目前先进的系统驱动级文件保护技术(第三代防篡改技术),基于事件触发式监测机制。相比轮询检测、内嵌技术等传统类防护技术,第三代防篡改技术具有响应速度快、判断准确、资源占用少及部署灵活等特点。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
部署防篡改客户端时需要重启服务器,因此部署时需要协调好部署时间,以防在部署时重启服务器影响业务。
保证Web应用防火墙与防篡改的服务端互通。
Windows防篡改端支持在Windows server 2008 32/64位、Windows server 2012 64位、Windows server 2016 64位系统上安装。
Linux防篡改端支持在Debian/Ubuntu/CentOS/Redhat等主流Linux系统的32位及其64位系统安装。
支持在飞腾ARM64银河麒麟V10、统信UOS20 64位系统上安装网页防篡改。
网络可达即可。
(1)下载防篡改客户端。
(2)在WAF上探测防护端。
(3)在防护端配置防护策略。
(1)下载防篡改客户端
本配置以Windows 2012为例,请按照实际情况确定下载防护端版本。在防护的服务器上,通过浏览器登录Web应用防火墙,在网页防篡改->插件下载中按需求下载客户端软件,如下图所示。
图12-1 插件下载
下载客户端后,进行安装,安装最后一步,需要填写管理中心IP(即Web应用防火墙的地址),如下图所示。
注意:只需配置管理中心IP,其它保持默认配置。安装完成后需要重启服务器。
图12-2 配置管理中心IP
(2)在WAF上探测防护端
在网页防篡改>防护服务器探测中,查看探测到的服务器信息,点击生成配置,完成相关配置,配置完成后,服务器信息会自动转存到网页防篡改配置中,可在网页防篡改配置中再次对服务器进行配置修改。
图12-3 网页防篡改探测
(3)在防护端配置防护策略。
第一步,基本配置,详细参数如下,配置完点击下一步
Web名称:填写策略名称;
设备名称:服务器主机名,不可修改;
IP地址:服务器IP地址;
工作模式:可选防护模式或监控模式;
注意:工作模式分为防护模式和监控模式,默认是防护模式,防护模式下对防护目标起防护作用并记录日志。监控模式下对防护目标保持监控状态,只报警不防护,并通过报警日志作为优化防护策略的参考,此模式下可大大降低部署防篡改时因策略不恰当导致的误防护情况。优化策略后再改变工作模式为防护模式即可。
图12-4 配置选项1
第二步,细节配置,详细参数如下,配置完点击完成。
操作系统类型:选择操作系统类型;
Web根目录:输入Web根目录的绝对路径;
例外目录/文件:添入例外目录/文件的相对路径,添加的目录/文件将不会被保护,(此处要求填相对目录);
说明:通常网站中有部分文件夹是客户内部管理用于上传文件的,需要设置成例外。还有如网站管理平台周期性写入的log文件等。
例外文件类型:可以是*.txt、*.xml等文件类型,这些文件类型将不会被保护;
例外进程:例外进程可以对Web根目录下的文件进行修改。
图12-5 配置选项2
注意:
1、web根目录是需要防护的网页目录文件夹,保护的是目录内的文件,图片,文档等信息不被进行非法操作。防篡改不能对数据库等动态文件起防护作用。
2、数据库应该不在防护目录之下,尽量与防护目录同级目录或不再同一磁盘下。
(1)在防护目录中新增文件。
图12-6 防护目录新增文件
(2)日志报表>防篡改日志中,查看防篡改日志。
图12-7 防篡改日志
windows防护端因为替换了代码签名,对winserver2008R2系统有要求,windows Server 2008 R2版本没有打相应微软要求的安全补丁会导致安装驱动提示错误。
①补丁SP1:https://www.microsoft.com/zh-cn/download/details.aspx?id=5842;
②补丁39029:
32位系统补丁:http://www.wosign.com/download/Windows6.1-KB3033929-x86.zip;
64位系统补丁:http://www.wosign.com/download/Windows6.1-KB3033929-x64.zip。
先要求打了SP1的安全补丁,再要求打39029补丁,如果系统本身已经是SP1版本的情况下,直接打39029补丁即可。
服务端目前有多负载均衡服务器,实现业务应用链路负载,提高链路稳定性与可靠性。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。负载均衡规则只支持反向代理模式。
此配置举例适用在E6204以上 版本验证测试,以旁路反向代理为例。
如下图所示,Web应用防火墙旁路部署在服务器区交换机上,对Web服务器进行防护。
图13-1 组网图
允许的情况下,尽量将WAF部署靠近DMZ服务端的区域。
按照组网图组网。
(1)创建新的网桥,并把接入网络的接口划分到新网桥中。配置WAF业务IP和路由。
(2)配置部署模式。
(3)配置负载均衡服务器对应的防护资产,引用防护策略。对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
(4)代理网关中配置负载均衡规则。
(1)交换机上GE01/0/1、GE01/0/2、GE01/0/3加入同一vlan,WAF上新增网桥br10,并配置接口IP :202.3.25.17。把GE0/1口划分到br10中。
图13-2 添加网桥接口IP
添加路由保证代理地址可以和两个服务器及客户端均路由可达即可,在网路管理>路由配置中添加路由。
图13-3 添加路由
(2)配置部署模式。
如下图所示,选择菜单“基础配置>部署模式”进入部署模式配置页面,选择“串联”部署模式,选择完成后保存配置。
注:反向代理模式为物理旁路,逻辑串联的部署模式,因此部署模式选择串联。
图13-4 选择串联部署模式
(3)配置防护资产,引用防护策略。
如下图所示,选择菜单“基础配置>防护资产”进入防护资产配置页面,点击添加,新建防护资产,配置资产的同时即可引用对应的防护资产。对于现网流量大,访问服务器会话较多,推荐在防护资产中关闭访问日志(默认为关闭访问日志)。
图13-5 创建防护资产
在防护模块部分,根据需要进行防护策略的配置,配置完成后点击保存。
图13-6 配置安全防护策略
(4)代理网关中配置负载均衡规则。
A.HTTP
如下图所示,选择“代理网关>负载均衡规则”进入负载均衡规则配置页面,点击添加,新建负载均衡规则,代理IP选择WAF上配置的业务IP,成员IP填写后端真实负载均衡服务器IP,具体配置如下:
图13-7 配置HTTP负载均衡规则
B.HTTPS
如下图所示,选择“代理网关>负载均衡规则”进入负载均衡规则配置页面,点击添加,新建负载均衡规则,代理IP选择WAF上配置的业务IP,被代理IP填写后端真实负载均衡服务器IP,如果不设置域名,则对配置的IP地址进行防护,以及IP地址相关域名也可以防护;如果配置域名,则仅对域名进行防护。针对一个Web服务器绑定多个域名的场景,可以根据需求在域名类型中配置“单域名”或者“多域名”,上传对应的证书即可。此时,WAF只防护配置中的域名,当客户端使用其他域名或使用IP访问/攻击时,不进行检测防护,具体配置如下:
图13-8 配置HTTPS负载均衡规则
(1)访问代理地址http://202.3.25.17/login.php?id=1%20and%201=1
图13-9 攻击被WAF拦截
(2)选择"日志系统>防护日志",查看攻击日志,可以看到攻击拦截的详细信息,证明Web应用防火墙已经正常防护。
图13-10 查看攻击日志
SSL 卸载通过将应用访问过程中的 SSL 加解密环节转移到相应提供加解密能力的设备上来实现,在满足高并发访问需求的同时,能够降低服务器的性能压力,提升网站的访问速度,一定情况下,能够帮助用户减少服务器的硬件资源,节省运营成本。 配备 SSL 卸载功能的设备充当 SSL 代理服务器的角色,与客户端建立 SSL 连接,与客户端进行加密通信, 与服务器端进行明文通信,全面卸载 SSL 数据处理的负荷,不影响服务器的硬件资源。原理图如下:
图14-1 SSL卸载原理图
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口,确保客户端、服务端和Web应用防火墙网络可达。
此配置举例适用在E6204以上 版本验证测试。
旁路反代模式,参照旁路向反代组网图。
图14-2 组网图
允许的情况下,尽量将WAF部署靠近DMZ服务端的区域。
按照组网图组网。
(1)创建新的网桥,并把接入网络的接口划分到新网桥中。配置WAF业务IP和路由。
(2)配置部署模式。
(3)配置防护资产,引用防护策略。对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
(4)配置代理网关规则。
(1)交换机上GE01/0/1、GE01/0/2、GE01/0/3加入同一vlan,WAF上新增网桥br10,并配置接口IP :202.3.25.17。把GE0/1口划分到br10中。
图14-3 添加网桥接口IP
添加路由保证代理地址可以和两个服务器及客户端均路由可达即可,在网路管理>路由配置中添加路由。
图14-4 添加路由
(2)配置部署模式。
如下图所示,选择菜单“基础配置>部署模式”进入部署模式配置页面,选择“串联”部署模式,选择完成后保存配置。
注:反向代理模式为物理旁路,逻辑串联的部署模式,因此部署模式选择串联。
图14-5 选择串联部署模式
(3)配置防护资产,引用防护策略。
如下图所示,选择菜单“基础配置>防护资产”进入防护资产配置页面,点击添加,新建防护资产,配置资产的同时即可引用对应的防护资产。对于现网流量大,访问服务器会话较多,推荐在防护资产中关闭访问日志(默认为关闭访问日志)。
图14-6 创建防护资产
在防护模块部分,根据需要进行防护策略的配置,配置完成后点击保存。
图14-7 配置安全防护策略
(4)配置代理网关规则。
如下图所示,选择“代理网关>反向代理规则”进入反向代理配置页面,点击添加,新建反向代理规则,代理IP选择WAF上配置的业务IP,代理类型选择为HTTPS代理,上传证书,开启HTTPS卸载,被代理IP为真实服务器IP,具体配置如下:
图14-8 配置HTTPS反向代理规则
(1)访问Web应用防火墙的IP地址,URL为https://202.3.25.17,可以正常访问。
图14-9 网站正常访问
(2)加上攻击参数再次访问网站,URL为https://202.3.25.17/login.php?id=1%20and%201=1,网站不能访问 。
图14-10 攻击被WAF拦截
(3)选择"日志系统>防护日志",查看攻击日志,可以看到攻击拦截的详细信息,证明Web应用防火墙已经正常防护。
图14-11 防护日志
(4)真实服务器上抓包查看,WAF代理IP于真实服务器IP交互为HTTP协议。
图14-12 防护日志
访问控制主要针对网络层的访问控制,通过配置黑白名单、IP访问控制、HTTP访问控制实现控制各类访问行为。本章主要描述对指定资产进行HTTP访问控制的常用操作和方法。
HTTP访问控制功能是通过策略的方式实现的,面向被防护的资产制定统一的策略,策略可以直接配置访问控制规则,控制各类HTTP访问行为。
当数据流量通过设备时,数据流量目的IP匹配上资产且为HTTP连接时,才会进入对应的HTTP访问控制策略规则,否则配置的规则不生效。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
以透明代理部署模式举例。
HTTP访问控制策略配置过程中可能会造成短暂断网,请在业务空闲窗口期进行操作。
配置举例适用在E6204以上 版本验证测试。
图15-1 组网图
透明代理部署业务正常前提下进行配置,需满足仅允许客户端IP为101.1.1.3访问URL:http://202.4.28.100/login.php,其他IP访问均被访问控制策略阻断:
(1)在基础对象中配置IP对象组,该策略决定客户端IP限制范围。
(2)在基础对象中配置URL对象组,该策略决定真实服务器端业务URL限制范围。
(3)访问控制中配置HTTP访问控制策略。
透明代理部署业务正常前提下进行配置,WAF上配置的业务资产名称为ipv4:
图15-2 业务资产
(1)在基础对象中配置IP对象组,该策略决定客户端IP限制范围。
点击基础对象>IP对象组,添加IP对象组,配置IP对象组名称为ip-test,默认动作为匹配,添加IP网段为101.1.1.3/32,动作为不匹配。
图15-3 IP对象组
(2)在基础对象中配置URL对象组,该策略决定真实服务器端业务URL限制范围。
点击基础对象>URL对象组,添加URL对象组,配置URL对象组名称为url-test,默认动作为不匹配,添加URL为/login.php,类型为精确匹配,动作为匹配。
图15-4 URL对象组
(3)访问控制中配置HTTP访问控制策略。
点击访问控制>HTTP访问控制,添加HTTP访问控制规则,配置HTTP访问控制名称为http-test,选择应用资产ipv4,添加HTTP访问控制条目,源地址类型选择为IP对象ip-test,处理动作配置为阻断,HTTP请求URL选择为url-test,版本和方法全选,如下图所示。
图15-5 HTTP访问控制策略
图15-6 HTTP访问控制条目
(1)客户端IP为101.1.1.3访问URL:http://202.4.28.100/login.php,URL可正常访问。
图15-7 URL正常访问
(2)客户端IP为202.2.4.14访问URL:http://202.4.28.100/login.php,URL无法访问。
图15-8 URL无法访问
(3)WAF上查看防护日志,存在202.2.4.14客户端IP拦截日志。
图15-9 防护日志