手册下载
H3C SecPath Web应用防火墙
典型配置举例
Copyright © 2022新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
实际客户应用场景,并非只有WAF一种设备,而是多种设备融合,部署在一起层层把关,各司其职。基于WAF的应用目前只支持HTTP和HTTPS,所以重点防护WEB服务器。坚持的原则是尽量靠近WEB服务器,只防护HTTP和HTTPS的流量,减少对其它业务流量对设备性能的影响及单点故障的影响。
本文档实现基于WAF部署位置基于各个场景进行讨论,目的是减少因部署或者各个产品逻辑实现差异导致的问题,具体策略配置及部署可以参照典配,目前基于已知产品和场景给出推荐建议,给出政务云场景和传统数据中心场景下的推荐方案,后续根据现场需求会合入新的场景方案,具体部署可以根据实际需求进行相应调整。
本文档适用于E6204P02版本
政务云环境一般是SDN纳管,要求租户之间互相隔离,这不仅体现在基础网络资源的隔离,也体现在租户的安全资源隔离。每个租户都独占自己的虚拟安全设备,相互之间无感知。从安全纳管方案的角度来说,SDN控制器通过Netconf纳管安全设备,并在安全设备上申请虚拟防火墙资源,分配给对应的租户使用,以租户方式进行业务区分,并且多以旁路方式进行部署。
组网推荐旁路反向代理(可双机)
· 旁路反向代理每桥IP地址最多支持8个,端口无限制。
· WAF不支持SDN纳管
· 硬件WAF不支持硬件虚拟化VWAF,不支持区分租户
· WAF不支持Vxlan
(1) 政务云场景下SDN纳管设备, 由于WAF不支持SDN纳管,不支持虚拟化或基于vpn隔离租户业务流量,所以在有IPS等安全设备的情况下,只能部署在FW(IPS)的上行。有的业务交换机上同时部署了Vxlan,而WAF也不支持Vxlan。所以基于目前场景组网,建议旁挂核心交换机上,放在纳管设备外层,尽量靠近server端。
(2) 服务器连接老化时间不定,WAF连接的老化时间为60秒,如果IPS设置了阻断,WAF 60秒后断开连接,服务器连接可能还在,存在连接不一致风险,可能会影响正常业务的使用。因此如果后端有防护设备如IPS设备,建议将IPS设备动作设置为重置或者不阻断比如放行、仅记日志等。
(3) 对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
有关此方案的具体配置步骤,请参考“反向代理模式部署配置举例”。
政务云环境一般是SDN纳管,要求租户之间互相隔离,这不仅体现在基础网络资源的隔离,也体现在租户的安全资源隔离。每个租户都独占自己的虚拟安全设备,相互之间无感知。从安全纳管方案的角度来说,SDN控制器通过Netconf纳管安全设备,并在安全设备上申请虚拟防火墙资源,分配给对应的租户使用,以租户方式进行业务区分,并且多以旁路方式进行部署。
该场景下WAF下联多为LB设备,LB一般用于服务器业务的负载分担。
推荐组网旁路反向代理。
· 旁路反向代理每桥IP地址最多支持8个,端口无限制。
· WAF不支持SDN纳管
· WAF不支持硬件虚拟化VWAF,不支持区分租户
· WAF不支持Vxlan
如果使用旁路反向代理模式,该模式下每桥IP地址最多支持8个,那么LB实服务IP地址不能大于8个,这种场景下建议WAF放在LB前面;同时LB一般旁挂在核心交换机上,因此在有LB的情况下,建议将WAF部署在LB的上行,旁挂在核心交换机上。
有关此方案的具体配置步骤,请参考“反向代理模式部署配置举例”。
政务云环境一般是SDN纳管,要求租户之间互相隔离,这不仅体现在基础网络资源的隔离,也体现在租户的安全资源隔离。每个租户都独占自己的虚拟安全设备,相互之间无感知。从安全纳管方案的角度来说,SDN控制器通过Netconf纳管安全设备,并在安全设备上申请虚拟防火墙资源,分配给对应的租户使用,以租户方式进行业务区分,并且多以旁路方式进行部署。
该场景下WAF上下联多为LB设备,LB一般用于服务器业务的负载分担。
推荐组网旁路反向代理(可双机)。
· 旁路反向代理每桥IP地址最多支持8个,端口无限制。
· WAF不支持纳管
· WAF不支持虚拟化VWAF,不支持区分租户
· WAF不支持Vxlan
由于WAF不接受SDN纳管,不支持虚拟化或基于vpn隔离租户业务流量,LB和IPS可以被SDN纳管,实现基于租户的业务,所以建议WAF部署在FW(IPS)上行。业务流量而且仍需按照WAF-IPS-LB这样的场景部署,但是存在问题是,遇到攻击的场景下,IPS如果也对HTTP协议进行处理的话,开启IPS防护策略后会导致部分请求被丢弃掉,WAF由于连接超时自动关闭了连接,而LB保留了TCP状态,链接处于established的状态,从而影响了后续WAF与LB连接的建立,最终导致WAF因为连接超时返回502给前端界面。
因此基于该场景建议WAF和LB的中间的安全设备,动作设置为重置,可以双向RST;或者动作为不阻断比如放行或者仅记日志。
对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
有关此方案的具体配置步骤,请参考“反向代理模式部署配置举例”。
传统数据中心场景没有租户概念,多采用硬件WAF设备做防护,本章节以硬件WAF部署为例。
部署的原则是距离服务器越近越好,尽可能避免部署在出口或者核心交换机上。WAF部署离服务器越近,受到的干扰越小,流量压力也会小很多,其它设备出现的故障对WAF影响也会更小;而且一般情况下,越靠近server端,到达WAF的流量是经过前端设备解密后的http流量,避免WAF解密处理https流量,减少性能消耗。
基于硬件WAF的部署,我们首先推荐是串联模式,串联模式不能满足用户需求的情况下,其次再考虑旁路模式。
(1) 首先,推荐使用透明流,如果只要求基础功能防护不涉及HTTPS,或涉及网段防护,推荐透明流模式,仅流模式支持配置网段;
(2) 其次,推荐透明代理,串联组网一般推荐透明代理模式,因为防护效果好,稳定性好;
(3) 最后,如果防护站点含有HTTPS站点时,推荐使用透明代理。
(4) 对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
透明流不支持https
条件允许的情况下,建议尽量部署在靠近server端,可以部署在核心交换机和业务区中间,靠近核心交换机。
有关此方案的具体配置步骤,请参考如下典型配置举例:
· 透明流模式部署配置举例
· 透明代理模式部署配置举例
· 串联反向代理模式部署配置举例
传统数据中心场景没有租户概念,多采用硬件WAF设备做防护,本章节以硬件WAF部署为例。
部署的原则是距离服务器越近越好,尽可能避免部署在出口或者核心交换机上。WAF部署离服务器越近,受到的干扰越小,流量压力也会小很多,其它设备出现的故障对WAF影响也会更小;而且一般情况下,越靠近server端,到达WAF的流量是经过前端设备解密后的http流量,避免WAF解密处理https流量,减少性能消耗。
基于硬件WAF的部署,我们首先推荐是串联模式。
推荐组网为旁路反向代理(可双机),相对串联模式,该场景满足IPV6使用。
WAF旁路反向代理每桥IP地址最多支持8个,端口无限制。
因为主要检测HTTP及HTTPS协议,原则上需部署在最靠近服务端的接入的交换机上,减少非HTTP及HTTPS流量对WAF设备性能的影响,所以越靠近server越好,建议将WAF旁挂在业务接入交换机上。对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
有关此方案的具体配置步骤,请参考“反向代理模式部署配置举例”。
推荐组网旁路反向代理(可双机)。
WAF旁路反向代理每桥IP地址最多支持8个,端口无限制。
因为主要检测HTTP及HTTPS协议,原则上需部署在最靠近服务端的接入的交换机上,如果部署旁路反代,并且LB的的虚服务代理的实服务大于8个,由于WAF的反代的代理IP数量限制,所以建议将WAF旁路部署在服务端业务接入交换机上,LB的上行,尽量靠近服务器端。对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
有关此方案的具体配置步骤,请参考“反向代理模式部署配置举例”。
推荐组网旁路反向代理(可双机)。
WAF旁路反向代理每桥IP地址最多支持8个,端口无限制。
(1) 如果部署旁路反代,并且LB的的虚服务代理的实服务大于8个,由于WAF的反代的代理IP数量限制,那么建议部署在旁挂在核心交换机上,推荐部署设备顺序为IPS-WAF-LB。
(2) 在WAF-IPS-LB的场景下,如果采用旁路反向代理部署,存在问题是,遇到攻击的情况下,IPS如果也对HTTP协议进行处理的话,开启IPS防护策略后会导致部分请求被丢弃掉,WAF由于连接超时自动关闭了连接,而LB保留了TCP状态,链接处于established的状态,从而影响了后续WAF与LB连接的建立,最终导致WAF因为连接超时返回502给前端界面。因此在该场景下建议WAF和LB的中间的安全设备,对攻击动作建议设置为重置,可以双向RST拆除上下行设备链接;或者动作为不阻断比如放行或者仅记日志。
(3) 对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
有关此方案的具体配置步骤,请参考“反向代理模式部署配置举例”。
产品支持串联与旁路部署两种部署方式,6种工作模式。包括串联部署中的:透明流模式、透明代理模式、串联反向代理模式;旁路部署的:镜像检测模式、镜像检测&阻断模式、旁路反向代理模式(物理位置为旁路,实际逻辑位置为,需要配置代理服务器)。
透明流模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式,设备串联在网络中,通过流检测引擎对数据流进行解析,匹配规则与自定义策略,进行安全防护。当检测到报文中有攻击流量时,WAF会分别向客户端和服务器发送了RST报文,断开TCP连接。
l 部署优点
透明流模式部署简单,不改变拓扑结构,部署后网络无感知,支持软硬件Bypass,保证高可用性,支持的防护功能较全面,可支持网段和多端口防护策略,性能高。
l 部署劣势
1、 不支持HTTPS,因为不拆包,检测效果较透明代理要差一些。
2、 对被保护服务器没有隐藏能力,源服务器地址还是会被前端发现。
l 支持功能
HTTP协议校验、SQL注入防护、XSS防护、命令注入防护、组件漏洞防护、Web扫描防护、XPATH注入防护、XML注入防护、SSI注入防护、JSON注入防护、LDAP注入防护、Webshell防护、Web敏感信息防护、弱密码检测、CGI安全防护、跨站请求伪造防护、业务流程控制、DDOS攻击防护、爬虫陷阱、安全扫描。
l 支持协议
HTTP
l 特点
Web应用防火墙无需配置业务IP,需配置管理IP。
l 推荐场景
对性能要求高且无HTTPS需求的场景
透明代理模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式,WAF串联在网络中,基于TCP数据包的检测,采用代理转发的技术,通过内部代理拆包解包,对应用层数据进行解析,并匹配安全策略,客户端访问真实服务器地址,数据包至WAF时记录访问的源地址,内部数据转发往服务器时,封装数据包为访问者的源地址,从而实现透明代理。当检测到报文中有攻击流量时,WAF向客户端返回HTTP响应码400,带有攻击语句的HTTP请求数据并未转发给服务器。
l 部署优势
透明代理模式防护效果好,不改变拓扑结构,部署后客户端、服务器都无感知,支持软硬件Bypass,保证高可用性,支持的防护功能全面,检测效果优于透明流模式,支持HTTPS。
l 部署劣势
1、 性能较透明流低一些。
2、 对被保护服务器没有隐藏能力,源服务器地址还是会被前端发现。
l 支持功能
HTTP协议校验、SQL注入防护、XSS防护、命令注入防护、组件漏洞防护、Web扫描防护、XPATH注入防护、XML注入防护、SSI注入防护、JSON注入防护、LDAP注入防护、Webshell防护、Web敏感信息防护、中间件信息保护、数据库信息保护、隐私信息防护、弱密码检测、CGI安全防护、会话安全防护、暴力破解防护、识别防护、跨站请求伪造防护、业务流程控制、DDOS攻击防护、爬虫陷阱、虚拟补丁、安全扫描。
l 支持协议
HTTP、HTTPS
l 特点
Web应用防火墙无需配置业务IP,需配置管理IP。
l 推荐场景
对防护效果要求较高的场景。
WAF串联反向代理模式,需要将WAF串联到组网中,与透明代理的区别是,串联反向代理网桥上需要配置IP地址。当检测到报文中有攻击流量时,WAF向客户端返回HTTP响应码400,带有攻击语句的HTTP请求数据并未转发给服务器。
l 部署优势
1、 需要有一个业务IP与后端server通信。
2、 串联到用户网络,可实现硬件bypass功能。
l 部署劣势
1、需要配置代理服务器,客户端访问WAF的代理服务器地址。
l 支持功能
HTTP协议校验、SQL注入防护、XSS防护、命令注入防护、组件漏洞防护、Web扫描防护、XPATH注入防护、XML注入防护、SSI注入防护、JSON注入防护、LDAP注入防护、Webshell防护、Web敏感信息防护、中间件信息保护、数据库信息保护、隐私信息防护、弱密码检测、CGI安全防护、会话安全防护、暴力破解防护、识别防护、跨站请求伪造防护、业务流程控制、DDOS攻击防护、爬虫陷阱、虚拟补丁、安全扫描。
l 支持协议
HTTP、HTTPS、。
l 特点
Web应用防火墙需配置业务IP,需配置管理IP。
l 推荐场景
1、串联环境下有HTTPS需求
WAF旁路在网络中,基于TCP数据包的检测,采用代理转发的技术。客户端访问地址为WAF的IP地址,请求至WAF后由WAF代理转发,以自身的IP地址向服务器发起请求,服务器回包时回给WAF,由WAF再封装数据包,以WAF的IP地址回复客户端。当检测到报文中有攻击流量时,WAF向客户端返回HTTP响应码400,带有攻击语句的HTTP请求数据并未转发给服务器。
l 部署优势
1、仅HTTP/HTTPS流量上WAF,不影响其他流量。
2、支持HTTPS防护。
l 部署劣势
串联反向代理存在单点故障问题,一旦WAF出现故障会影响服务器正常访问。
l 支持功能
HTTP协议校验、SQL注入防护、XSS防护、命令注入防护、组件漏洞防护、Web扫描防护、XPATH注入防护、XML注入防护、SSI注入防护、JSON注入防护、LDAP注入防护、Webshell防护、Web敏感信息防护、中间件信息保护、数据库信息保护、隐私信息防护、弱密码检测、CGI安全防护、会话安全防护、暴力破解防护、识别防护、跨站请求伪造防护、业务流程控制、DDOS攻击防护、爬虫陷阱、虚拟补丁、安全扫描。
l 支持协议
HTTP、HTTPS。
l 特点
Web应用防火墙需配置业务IP,需配置管理IP。
l 推荐场景
1、有HTTPS需求,混合流量中除HTTP外其他流量较大的场景。
旁路镜像检测模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式,设备旁路部署在网络中,通过流检测引擎对数据流进行解析,匹配规则与自定义策略进行安全检测,旁路镜像检测模式只进行检测,不对攻击进行处理。
l 部署优势
不改变网络拓扑结构,部署最方便快捷,只需将交换机进/出口双向流量镜像给WAF设备进行攻击检测不参与业务数据流转发,因此设备故障对业务无影响。
l 部署劣势
1、无法对攻击进行阻断。2、不支持HTTPS。
l 支持检测功能
HTTP协议校验、SQL注入防护、XSS防护、命令注入防护、组件漏洞防护、Web扫描防护、XPATH注入防护、XML注入防护、SSI注入防护、JSON注入防护、LDAP注入防护、Webshell防护、Web敏感信息防护、数据库信息保护、弱密码检测、CGI安全防护、跨站请求伪造防护、业务流程控制、DDOS攻击防护、安全扫描。
l 支持协议
HTTP。
l 特点
Web应用防火墙无需配置业务IP,需配置管理IP。
l 使用场景
旁路镜像场景。
旁路镜像检测&阻断模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式,设备旁路部署在网络中,通过流检测引擎对数据流进行解析,匹配规则与自定义策略进行安全防护。当检测到报文中有攻击流量时,WAF分别以服务器的地址向客户端,以客户端地址向服务器发送RST报文,断开连接。
l 部署优势
旁路镜像检测&阻断模式部署简单,不改变拓扑结构,部署后网络无感知,支持的防护功能较全面,可支持网段和多端口防护策略,性能高。
l 部署劣势
1、由于发送reset报文滞后性,无法达到100%阻断。2、不支持HTTPS。
l 支持功能
HTTP协议校验、SQL注入防护、XSS防护、命令注入防护、组件漏洞防护、Web扫描防护、XPATH注入防护、XML注入防护、SSI注入防护、JSON注入防护、LDAP注入防护、Webshell防护、Web敏感信息防护、数据库信息保护、弱密码检测、CGI安全防护、跨站请求伪造防护、业务流程控制、DDOS攻击防护、安全扫描。
l 支持协议
HTTP
l 特点
Web应用防火墙无需配置通信IP,需配置管理IP。
l 推荐场景
旁路镜像并提供一定的防护能力,但此场景防护效果不能达到百分百。
· 网络配置上,透明代理模式不需要在业务桥上配置业务ip,而串联反向代理模式需要在业务桥上配置业务ip;
· 服务器配置上,透明代理模式下,“客户端IP还原”选择“是”,意思是,WAF以客户端IP与防护服务器建链接通信;串联反向代理模式下,“客户端IP还原”选择“否”,意思是WAF以自身的业务IP与防护服务器建链接,防护服务器看不到客户端的地址。
· 原理上,透明代理模式下,WAF分别与客户端、服务器建链接,其中WAF伪装成服务器地址与客户端建链接,WAF伪装成客户端地址与服务器建链接;串联反向代理模式下,WAF分别与客户端、服务器建链接,其中WAF伪装成服务器地址与客户端建链接,WAF以自身的业务地址与服务器建链接;
· 功能支持度上,各个模式支持的防护功能或其他功能有所差异,具体内容详见规格表描述。
· 如果防护站点不涉及HTTPS站点时,串联组网一般推荐透明流,部署简单,并且支持网段防护;
· 其次是代理模式,理由是防护效果好,稳定性好;
· 如果防护站点含有HTTPS时,串联组网下,可以使用透明代理或串联反向代理模式;
· 旁路组网一般推荐旁路反向代理模式,该模式也支持防护HTTPS和ipv6站点;
· 旁路镜像检测模式仅具有检测功能,无防护功能;
· 串联组网下,推荐使用成对的Bypass口;
· 旁路镜像检测&阻断模式具有检测和防护功能,但防护级别低,无法实现100%阻断;
部署模式 |
支持功能 |
支持协议 |
部署优势 |
部署劣势 |
推荐场景 |
|
串联部署 |
透明流模式 |
HTTP协议校验、SQL注入防护、XSS防护、命令注入防护、组件漏洞防护、Web扫描防护、XPATH注入防护、XML注入防护、SSI注入防护、JSON注入防护、LDAP注入防护、Webshell防护、Web敏感信息防护、弱密码检测、CGI安全防护、跨站请求伪造防护、业务流程控制、DDOS攻击防护、爬虫陷阱、安全扫描。 |
HTTP |
1、性能高 3、支持网段防护 |
1、不支持HTTPS |
对性能要求高且无HTTPS需求的场景。 |
透明代理 |
HTTP协议校验、SQL注入防护、XSS防护、命令注入防护、组件漏洞防护、Web扫描防护、XPATH注入防护、XML注入防护、SSI注入防护、JSON注入防护、LDAP注入防护、Webshell防护、Web敏感信息防护、弱密码检测、CGI安全防护、会话安全防护、暴力破解防护、识别防护、跨站请求伪造防护、业务流程控制、DDOS攻击防护、负载均衡、爬虫陷阱、虚拟补丁、安全扫描。 |
HTTP/HTTPS |
1、检测效果最好
|
|
对防护效果要求高的场景 |
|
串联反向代理 |
扫描防护、HTTP协议校验、HTTP 访问控制、特征防护、威胁情报、爬虫 、防盗链、CSRF、虚拟补丁防护、弱密码检测、访问顺序、文件上传、文件下载、敏感信息、敏感词防护、负载均衡、数据压缩、高速缓存、Cookie加密、cookie加固、DDoS防护 |
HTTP/HTTPS |
1、支持软硬件Bypass 3、支持主备HA |
1、需要有一个业务IP与后端server通信 2、需要配置代理服务器,客户端访问的为WAF代理服务器地址 |
适合串联环境下需求IPv6和HTTPS的环境 防护效果好,单台高可靠性(硬件bypass)的场景 |
|
旁路部署 |
旁路反向代理 |
扫描防护、HTTP协议校验、HTTP 访问控制、特征防护、威胁情报、爬虫 、防盗链、CSRF、虚拟补丁防护、弱密码检测、访问顺序、文件上传、文件下载、敏感信息、敏感词防护、负载均衡、数据压缩、高速缓存、Cookie加密、cookie加固、DDoS防护 |
HTTP/HTTPS |
1、仅HTTP/HTTPS流量上WAF,不影响其他流量 3、支持主备HA |
旁路反向代理存在单点故障问题,一旦WAF出现故障会影响服务器正常访问 |
有HTTPS需求,混合流量中除HTTP外其他流量较大的场景 |
镜像检测 |
HTTP协议校验、HTTP访问控制、特征防护、防盗链、防跨站请求伪造、文件上传、文件下载、弱密码检测、访问顺序、敏感词防护 |
HTTP |
1、仅需镜像流量 2、支持网段防护 |
1、 无法对攻击进行阻断 2、 不支持HTTPS |
旁路镜像场景 |
|
镜像阻断 |
HTTP协议校验、HTTP访问控制、特征防护、防盗链、防跨站请求伪造、文件上传、文件下载、弱密码检测、访问顺序、敏感词防护 |
HTTP |
1、仅需镜像流量,并能实现一定的阻断效果 2、支持网段防护 |
1、由于发送reset报文滞后性,无法达到100%阻断 |
防护效果无法达到100%。 |
· 收集客户需求。如是否需要HTTPS、IPv6、主备等场景。
· 确定设备部署位置,推荐部署位置尽可能靠近服务端
· 配置好管理口地址,默认管理IP为192.168.0.1,如需更改管理,可通过console口更改管理地址,再登录设备。
· 根据需求搭建组网,确保路由正常,客户端至WAF,WAF至server均路由可达,请求和响应双向流量均经过WAF。
· 将新上线的WAF升级到现网发布最新版本,确保设备是最新版本之后配置功能。
· 先配置防护站点,确定部署模式,再对防护站点配置防护策略,可以选择低级规则或监控规则。
· 可以参照匹配到的日志,根据客户需求调整防护策略,可以先试运行一段时间,如果怕影响业务可以将防护策略选择监控规则。
· 可以观察日志,然后判断是否影响业务的策略,如果有,通过分析日志,调整相应的策略,具体可以参照对外测试手册,将对应的策略动作例外放行或者关闭策略,或者加入黑白名单,实在不确认可以抓取报文,联系华三技术人员处理,分析是否是误报等。
透明流模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式,设备串联在网络中,通过流检测引擎对数据流进行解析,匹配规则与自定义策略,进行安全防护。
透明流模式部署简单,不改变拓扑结构,部署后网络无感知,支持软硬件Bypass,保证高可用性,支持的防护功能较全面,可支持网段和多端口防护策略,性能高。
支持防护功能:协议合规检测、web攻击防护、web业务控制、web敏感信息防护、web业务加固(部分支持,仅支持弱密码检测、CGI安全防护、跨站请求防护及业务流程控制)、DDOS防护、爬虫陷阱。
支持协议:HTTP。
特点:WAF无须配置通信IP,需配置管理IP。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
WAF接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
E6204P02及以后版本。
如下图所示,WAF部署在核心交换机和服务器区交换机之间,串联接入网络,对Web服务器进行防护。
按照组网图组网。
(1) 登录WAF。
(2) 创建新的网桥,并把接入网络的两个port口划分到新网桥中。
(4) 配置防护资产,引用防护策略。
如下图所示,使用https的方式登录WAF,输入用户名和密码admin/admin,并点击<登录>按钮。
注意:首次登录强制修改密码。
图3-2 登录WAF
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥“br10”。
图3-3 新建网桥-br10
如下图所示,网桥br10中不需要配置IP地址,点击保存。
图3-4 保存网桥配置
如下图所示,在“网络管理>网络配置>Port接口”中编辑port接口,接口GE0/2和GE0/3的“网桥接口”选择br10。
图3-5 port口划分到新网桥
如下图所示,选择菜单“基础配置>部署模式”进入部署模式配置页面,选择“串联”部署模式,选择完成后保存配置。
图3-6 选择串联部署模式
如下图所示,选择菜单“基础配置>防护资产”进入防护资产配置页面,点击添加,新建防护资产,配置资产的同时即可引用对应的防护资产。
图3-7 创建防护资产
在防护模块部分,根据需要进行防护策略的配置,配置完成后点击保存。
图3-8 配置安全防护策略
(1) 访问受保护的网站,URL为http://172.16.101.74,可以正常访问。
(2) 加上攻击参数再次访问网站,URL为http://172.16.101.74/forum.php?id=1 and 1=1,网站不能访问。
(3) 选择"日志报表>防护日志",查看攻击日志,可以看到攻击拦截的详细信息,证明WAF已经正常防护。
透明代理模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式,WAF串联在网络中,基于TCP数据包的检测,采用代理转发的技术,通过内部代理拆包解包,对应用层数据进行解析,并匹配安全策略,客户端访问真实服务器地址,数据包至WAF时记录访问的源地址,内部数据转发往服务器时,封装数据包为访问者的源地址,从而实现透明代理。
透明代理模式防护效果好,不改变拓扑结构,部署后客户端、服务器都无感知,支持软硬件Bypass,保证高可用性,支持的防护功能全面,检测效果优于透明流模式。
支持功能:协议合规检测、web攻击防护、web业务控制、web敏感信息防护、web业务加固、DDOS防护、爬虫陷阱、虚拟补丁。
支持协议:HTTP、HTTPS。
特点:WAF无须配置通信IP,需配置管理IP。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
WAF接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
E6204P02及以后版本。
如下图所示,WAF部署在核心交换机和服务器区交换机之间,串联接入网络,对Web服务器进行防护。
图4-1 组网图
按照组网图组网。
(1) 登录WAF。
(2) 创建新的网桥,并把接入网络的两个port口划分到新网桥中。
(3) 配置部署模式。
(4) 配置防护资产,引用防护策略。
(5) 配置代理网关规则。
如下图所示,使用https的方式登录WAF,输入用户名和密码admin/admin,并点击<登录>按钮。
注意:首次登录强制修改密码。
图4-2 登录WAF
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br10。
图4-3 新建网桥-br10
如下图所示,网桥br10中不需要配置IP地址,点击保存。
图4-4 保存网桥配置
如下图所示,在“网络管理>网络配置>Port接口”中编辑port接口。接口GE0/2和GE0/3的“网桥接口”选择br10。
图4-5 port口划分到新网桥
如下图所示,选择菜单“基础配置>部署模式”进入部署模式配置页面,选择“串联”部署模式,选择完成后保存配置。
图4-6 选择串联部署模式
如下图所示,选择菜单“基础配置>防护资产”进入防护资产配置页面,点击添加,新建防护资产,配置资产的同时即可引用对应的防护资产。
图4-7 创建防护资产
在防护模块部分,根据需要进行防护策略的配置,配置完成后点击保存。
图4-8 配置安全防护策略
如下图所示,选择“代理网关>透明代理规则”进入透明代理规则配置页面,点击添加,新建透明代理规则,接口选择业务网桥br10,客户端IP还原功能开启,具体配置如下:
图4-9 配置透明代理网关
如下图所示,选择“代理网关>透明代理规则”进入透明代理规则配置页面,点击添加,新建透明代理规则,接口选择业务网桥br10,客户端IP还原功能开启,如果不设置域名,则对配置的ip地址进行防护,以及IP地址相关域名也可以防护;如果配置域名,则仅对域名进行防护。针对一个Web服务器绑定多个域名的场景,可以根据需求在域名类型中配置“单域名”或者“多域名”,上传对应的证书即可。此时,WAF只防护配置中的域名,当客户端使用其他域名或使用ip访问/攻击时,不进行检测防护,具体配置如下:
(1) 以http为例,访问受保护的网站,URL为http://172.16.101.74,可以正常访问。
(2) 加上攻击参数再次访问网站,URL为http://172.16.101.74/forum.php?id=1 and 1=1,网站不能访问。
(3) 选择"日志报表>防护日志",查看攻击日志,可以看到攻击拦截的详细信息,证明WAF已经正常防护。
串联反向代理模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式,WAF串联在网络中,基于TCP数据包的检测,采用代理转发的技术,通过内部代理拆包解包,对应用层数据进行解析并匹配安全策略。
客户端访问地址为真实服务器地址,当请求流经WAF时由WAF代理转发,服务器响应时首先回给WAF,由WAF再封装数据包,以真实服务器地址转发给客户端,从而实现客户端请求服务器时的无感知透明转发。
串联反向代理模式防护效果好,不改变拓扑结构,部署后客户端无感知,支持软硬件Bypass,保证高可用性,支持的防护功能全面,检测效果优于透明流模式。
支持功能:协议合规检测、web攻击防护、web业务控制、web敏感信息防护、web业务加固、DDOS防护、爬虫陷阱、虚拟补丁。
支持协议:HTTP、HTTPS。
特点:WAF配置通信IP,需配置管理IP。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
WAF接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
E6204P02及以后版本。
如下图所示,WAF部署在核心交换机和服务器区交换机之间,串联接入网络,对Web服务器进行防护。
图5-1 组网图
按照组网图组网。
(1) 登录WAF。
(2) 创建新的网桥,并把接入网络的两个port口划分到新网桥中,配置WAF业务IP和路由。
(3) 配置部署模式。
(4) 配置防护资产,引用防护策略。
(5) 配置代理网关规则。
如下图所示,使用https的方式登录WAF,输入用户名和密码admin/admin,并点击<登录>按钮。
注意:首次登录强制修改密码。
图5-2 登录WAF
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br10。
图5-3 新建网桥-br10
如下图所示,在创建网桥br10中增加业务IP地址。
图5-4 增加业务IP地址
如下图所示,在“网络管理>路由配置”中增加路由,保证和客户端和服务端路由均可达。
图5-5 增加路由
如下图所示,在“网络管理>网络配置>Port接口”中编辑port接口。接口GE0/2和GE0/3的“网桥接口”选择br10。
图5-6 port口划分到新网桥
如下图所示,选择菜单“基础配置>部署模式”进入部署模式配置页面,选择“串联”部署模式,选择完成后保存配置。
图5-7 选择串联部署模式
如下图所示,选择菜单“基础配置>防护资产”进入防护资产配置页面,点击添加,新建防护资产,配置资产的同时即可引用对应的防护资产。
图5-8 创建防护资产
在防护模块部分,根据需要进行防护策略的配置,配置完成后点击保存。
图5-9 配置安全防护策略
如下图所示,选择“代理网关>透明代理规则”进入透明代理规则配置页面,点击添加,新建透明代理规则,接口选择业务网桥br10,客户端IP还原功能关闭,具体配置如下:
图5-10 配置串联反向代理网关
如下图所示,选择“代理网关>透明代理规则”进入透明代理规则配置页面,点击添加,新建透明代理规则,接口选择业务网桥br10,客户端IP还原功能关闭,如果不设置域名,则对配置的ip地址进行防护,以及IP地址相关域名也可以防护;如果配置域名,则仅对域名进行防护。针对一个Web服务器绑定多个域名的场景,可以根据需求在域名类型中配置“单域名”或者“多域名”,上传对应的证书即可。此时,WAF只防护配置中的域名,当客户端使用其他域名或使用ip访问/攻击时,不进行检测防护,具体配置如下:
(1) 以http为例,访问受保护的网站,URL为http://172.16.101.74,可以正常访问。
(2) 加上攻击参数再次访问网站,URL为http://172.16.101.74?id=1 and 1=1,网站不能访问。
(3) 选择"日志报表>防护日志",查看攻击日志,可以看到攻击拦截的详细信息,证明WAF已经正常防护。
WAF旁路在网络中,基于TCP数据包的检测,采用代理转发的技术。客户端访问地址为WAF的IP地址,请求至WAF后由WAF代理转发,以自身的IP地址向服务器发起请求,服务器回包时回给WAF,由WAF再封装数据包,以WAF的IP地址回复客户端。
支持功能:协议合规检测、web攻击防护、web业务控制、web敏感信息防护、web业务加固、DDOS防护、爬虫陷阱、虚拟补丁。
支持协议:HTTP、HTTPS。
特点:WAF需配置通信IP,需配置管理IP。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
WAF接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
E6204P02及以后版本。
如下图所示,WAF旁路部署在服务器区交换机上,对Web服务器进行防护。
图6-1 组网图
按照组网图组网。
(1) 登录WAF。
(2) 创建新的网桥,并把接入网络的两个port口划分到新网桥中,配置WAF业务IP和路由。
(3) 配置部署模式。
(4) 配置防护资产,引用防护策略。
(5) 配置代理网关规则。
如下图所示,使用https的方式登录WAF,输入用户名和密码admin/admin,并点击<登录>按钮。
注意:首次登录强制修改密码。
图6-2 登录WAF
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br10。
图6-3 新建网桥-br10
如下图所示,在创建网桥br10中增加业务IP地址。
图6-4 增加业务IP地址
如下图所示,在“网络管理>路由配置”中增加路由。
图6-5 增加路由
如下图所示,在“网络管理>网络配置>Port接口”中编辑port接口。接口GE0/2和GE0/3的“网桥接口”选择br10。
图6-6 port口划分到新网桥
如下图所示,选择菜单“基础配置>部署模式”进入部署模式配置页面,选择“串联”部署模式,选择完成后保存配置。
注:反向代理模式为物理旁路,逻辑串联的部署模式,因此部署模式选择串联。
图6-7 选择串联部署模式
如下图所示,选择菜单“基础配置>防护资产”进入防护资产配置页面,点击添加,新建防护资产,配置资产的同时即可引用对应的防护资产。
图6-8 创建防护资产
在防护模块部分,根据需要进行防护策略的配置,配置完成后点击保存。
图6-9 配置安全防护策略
如下图所示,选择“代理网关>反向代理规则”进入反向代理规则配置页面,点击添加,新建反向代理规则,代理IP选择WAF上配置的业务IP,被代理IP填写后端真实服务器IP,具体配置如下:
图6-10 配置反向代理网关
如下图所示,选择“代理网关>反向代理规则”进入反向代理规则配置页面,点击添加,新建反向代理规则,代理IP选择WAF上配置的业务IP,被代理IP填写后端真实服务器IP,如果不设置域名,则对配置的ip地址进行防护,以及IP地址相关域名也可以防护;如果配置域名,则仅对域名进行防护。针对一个Web服务器绑定多个域名的场景,可以根据需求在域名类型中配置“单域名”或者“多域名”,上传对应的证书即可。此时,WAF只防护配置中的域名,当客户端使用其他域名或使用ip访问/攻击时,不进行检测防护,具体配置如下:
(1) 访问WAF的IP地址,URL为http://192.168.7.15,可以正常访问。
(2) 加上攻击参数再次访问网站,URL为http://192.168.7.15/forum.php?id=1 and 1=1,网站不能访问。
(3) 选择"日志报表>防护日志",查看攻击日志,可以看到攻击拦截的详细信息,证明WAF已经正常防护。
旁路镜像检测模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式,设备旁路部署在网络中,通过流检测引擎对数据流进行解析,匹配规则与自定义策略进行安全检测,旁路镜像检测模式只进行检测,不对攻击进行处理。
旁路检测模式部署简单,不改变拓扑结构,部署后网络无感知。
支持检测功能:协议合规检测、web攻击防护、web业务控制、web敏感信息防护(部分支持,仅支持数据库信息保护、敏感词防护)、web业务加固(部分支持,仅支持弱密码检测、CGI安全防护、跨站请求防护及业务流程控制)、DDOS防护。
支持协议:HTTP。
特点:WAF无须配置通信IP,需配置管理IP。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
WAF需要接入交换机镜像口,需提前划分好镜像口流量,用户交换机须镜像双向流量。
E6204P02及以后版本
如下图所示,WAF旁路部署在服务器区交换机上,旁路接入网络,对Web服务器流量进行检测。
图7-1 组网图
按照组网图组网。
(1) 交换机镜像和监听接口配置。
(2) 登录WAF。
(3) 创建新的网桥,并把接入网络的port口划分到新网桥中。
(4) 配置部署模式。
(5) 配置防护资产,引用防护策略。
登录服务器区交换机,如下图所示,将GE1/0/6和GE1/0/7划分到同一VLAN中。
图7-2 将两个镜像口划分到同一VLAN中
创建镜像组,如下图所示,将GE1/0/6和GE1/0/7配置为双向镜像口,GE1/0/8配置为监听口。
图7-3 交换机上的镜像组配置
如下图所示,使用https的方式登录WAF,输入用户名和密码admin/admin,并点击<登录>按钮。
注意:首次登录强制修改密码。
图7-4 登录WAF
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br10
图7-5 新建网桥-br10
如下图所示,在“网络管理>网络配置>Port接口”中编辑port接口。接口GE0/2的“网桥接口”选择br10。
图7-6 port口划分到新网桥
如下图所示,选择菜单“基础配置>部署模式”进入部署模式配置页面,选择“旁路”部署模式,选择完成后保存配置。
图7-7 配置旁路部署模式
如下图所示,选择菜单“基础配置>防护资产”进入防护资产配置页面,点击添加,新建防护资产,配置资产的同时即可引用对应的防护资产。
图7-8 创建防护资产
在防护模块部分,根据需要进行防护策略的配置,配置完成后点击保存。
图7-9 配置安全防护策略
(1) 访问受保护的网站,URL为http://172.16.101.74,可以正常访问。
(2) 加上攻击参数再次访问网站,URL为http://172.16.101.74/forum.php?id=1 and 1=1,网站可以访问,WAF上记录攻击日志。
(3) 选择"日志报表>防护日志",查看攻击日志,可以看到攻击拦截的详细信息,证明WAF已经正常检测到攻击流量。
旁路镜像检测&阻断模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式,设备旁路部署在网络中,通过流检测引擎对数据流进行解析,匹配规则与自定义策略进行安全防护。
旁路镜像检测&阻断模式部署简单,不改变拓扑结构,部署后网络无感知,支持的防护功能较全面,可支持网段和多端口防护策略,性能高。
支持防护功能:协议合规检测、web攻击防护、web业务控制、web敏感信息防护(部分支持,仅支持数据库信息保护、敏感词防护)、web业务加固(部分支持,仅支持弱密码检测、CGI安全防护、跨站请求防护及业务流程控制)、DDOS防护。
支持协议:HTTP。
特点:WAF须配置通信IP,需配置管理IP。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
WAF需要接入交换机镜像口,需提前划分好镜像口流量,用户交换机须镜像双向流量。
E6204P02及以后版本
如下图所示,WAF旁路部署在服务器区交换机上,旁路接入网络,对Web服务器进行检测和阻断。
图8-1 组网图
按照组网图组网。
(1) 交换机镜像和监听接口配置。
(2) 登录WAF。
(3) 创建新的网桥,并把接入网络的port口划分到新网桥中。
(4) 配置部署模式。
(5) 配置防护资产,引用防护策略。
登录服务器区交换机,如下图所示,将GE1/0/6和GE1/0/7划分到同一VLAN中。
图8-2 将两个镜像口划分到同一VLAN中
创建镜像组,如下图所示,将GE1/0/6和GE1/0/7配置为双向镜像口,GE1/0/8配置为监听口。
图8-3 交换机上的镜像组配置
如下图所示,使用https的方式登录WAF,输入用户名和密码admin/admin,并点击<登录>按钮。
注意:首次登录强制修改密码。
图8-4 登录WAF
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br10
图8-5 新建网桥-br10
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br11。
图8-6 新建网桥-br11
如下图所示,在网桥br11中增加业务IP地址。
图8-7 增加业务IP地址
如下图所示,在“网络管理>路由配置”中增加路由。
图8-8 增加路由
如下图所示,在“网络管理>网络配置>Port接口”中编辑port接口。接口GE0/2的“网桥接口”选择br10,接口GE0/3的“网桥接口”选择br11,使用GE0/3接口进行阻断。
图8-9 port口划分到新网桥
如下图所示,选择菜单“基础配置>部署模式”进入部署模式配置页面,选择“旁路”部署模式,配置对端设备的MAC地址,选择完成后保存配置。
图8-10 配置旁路检测阻断部署模式
如下图所示,选择菜单“基础配置>防护资产”进入防护资产配置页面,点击添加,新建防护资产,配置资产的同时即可引用对应的防护资产。
图8-11 创建防护资产
在防护模块部分,根据需要进行防护策略的配置,配置完成后点击保存。
图8-12 配置安全防护策略
(1) 访问受保护的网站,URL为http://172.16.101.74,可以正常访问。
(2) 加上攻击参数再次访问网站,URL为http://172.16.101.74/forum.php?id=1 and 1=1,网站不能访问。
(3) 选择"日志报表>防护日志",查看攻击日志,可以看到攻击拦截的详细信息,证明WAF已经正常防护。
透明代理双机模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式,两台WAF串联在网络中,基于TCP数据包的检测,采用代理转发的技术,通过内部代理拆包解包,对应用层数据进行解析并匹配安全策略。
透明代理双机模式防护效果好,不改变拓扑结构,部署后客户端无感知,支持软硬件Bypass保证高可用性,支持的防护功能全面,检测效果优于透明流模式。
透明代理双机模式可支持主备模式。
支持功能:协议合规检测、web攻击防护、web业务控制、web敏感信息防护、web业务加固防护、爬虫陷阱、虚拟补丁。
支持协议:HTTP、HTTPS。
特点:WAF须配置通信IP,需配置管理IP。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
WAF接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
E6204P02及以后版本
如下图所示,WAF部署在核心交换机和服务器区交换机之间,串联接入网络,对Web服务器进行防护。
图9-1 组网图
按照组网图组网。
(1) 登录WAF。
(2) 创建两个新的网桥,并把接入网络的两个port口分别划分到新网桥中。
(3) 配置部署模式。
(4) 配置防护资产,引用防护策略。
(5) 配置代理网关规则。
(6) 配置VRRP策略。
如下图所示,使用https的方式登录WAF,输入用户名和密码admin/admin,并点击<登录>按钮。
注意:首次登录强制修改密码。
图9-2 登录WAF
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br10
注:备机配置网桥IP地址和主机不同,为“192.168.13.13和192.168.14.13”其他配置和主机一样
图9-3 新建网桥-br10
如下图所示,在桥br10上添加业务IP,主机地址是“192.168.13.12”。备机上地址是“192.168.13.13”
图9-4 添加业务IP-br10
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br11。
图9-5 新建网桥-br11
如下图所示,在桥br11上添加业务IP,主机地址是“192.168.14.12”,备机上地址是“192.168.14.13”。
图9-6 添加业务IP-br11
如下图所示,在“网络管理>网络配置>Port接口”中编辑port接口。接口GE2/0的“网桥接口”选择br10,GE0/3的“网桥接口”选择br11。
图9-7 port口划分到新网桥
如下图所示,选择菜单“基础配置>部署模式”进入部署模式配置页面,选择“串联”部署模式,选择完成后保存配置。
注:备机配置和主机相同
图9-8 选择串联部署模式
如下图所示,选择菜单“基础配置>防护资产”进入防护资产配置页面,点击添加,新建防护资产,配置资产的同时即可引用对应的防护资产。
注:备机配置和主机相同
图9-9 创建防护资产
在防护模块部分,根据需要进行防护策略的配置,配置完成后点击保存。
注:备机配置和主机相同
图9-10 配置安全防护策略
如下图所示,选择“代理网关>透明代理规则”进入透明代理规则配置页面,点击添加,新建透明代理规则,接口选择业务网桥br11,客户端IP还原功能关闭,具体配置如下:
注:备机配置和主机相同
图9-11 配置透明代理网关
选择菜单“高可用性>HA管理>VRRP实例”进入VRRP配置页面,点击添加,新增VRRP实例,串联模式下需要添加两组VRRP实例。
设备状态为主时,流量会优先到主机上,由主机进行检测,当主机出现故障时,流量可实时切换到备机上进行检测,不会影响客户网络中的业务。
如下图所示,第一步配置冗余ID及设备初始状态,“冗余ID”为1,绑定接口选择上联接口“br10”,点击高级配置,初始状态为“主”,优先级为100,点击保存。
注:配置备机时保持与主机“冗余ID”相同,“优先级”低于100,“初始状态”为备。
图9-12 创建VRRP实例-主1
如下图所示,第二步添加IP,点击添加,输入IP,此部分的IP为客户预先分配的VRRP虚拟冗余IP。
图9-13 创建VRRP实例-主2
点击下一步,如下图所示,第三步配置物理链路绑定接口,点击增加,新增物理接口,选择分配到br10的接口GE0/2,配置完成点击保存。
图9-14 创建VRRP实例-主3
如下图所示,第四步添加第二组VRRP实例,“冗余ID”为2,“绑定接口”选择下联接口“br11”,其余配置与“冗余ID”1的配置相同,配置完成点击下一步,高级配置,初始状态为主,优先级为100。
图9-15 创建VRRP实例-主4
如下图所示,第五步配置IP,点击添加,编辑增加IP,此部分的IP为客户预先分配的VRRP虚拟冗余IP。
图9-16 创建VRRP实例-主5
点击下一步,如下图所示,第六步配置物理链路绑定接口,点击增加,新增物理接口,选择分配到br11的接口GE0/3,配置完成点击保存。
图9-17 创建VRRP实例-主6
如下图所示,配置完VRRP实例后,需要将两组VRRP实例添加进VRRP组中,在菜单“VRRP组”中点击增加,创建VRRP组,将上面创建好的VRRP实例勾选进VRRP组,点击保存。
图9-18 创建VRRP组-主
第一步配置冗余ID及设备初始状态,“冗余ID”为1,绑定接口选择上联接口“br10”,初始状态为“备”,高级配置中,初始状态是备、优先级是99,配置完成点击下一步。
图9-19 创建VRRP实例-备1
如下图所示,第二步添加IP,点击添加,输入IP,此部分的IP为客户预先分配的VRRP虚拟冗余IP。
图9-20 创建VRRP实例-备2
如下图所示,第三步配置物理链路绑定接口,点击增加,新增物理接口,选择分配到br10的接口GE0/2,配置完成点击保存。
图9-21 创建VRRP实例-备3
如下图所示,第四步添加第二组VRRP实例,“冗余ID”为2,“绑定接口”选择下联接口“br11”,高级配置中,初始状态是备、优先级是99,配置完成点击下一步。
图9-22 创建VRRP实例-备4
如下图所示,第五步配置IP,点击添加,编辑增加IP,此部分的IP为客户预先分配的VRRP虚拟冗余IP。
图9-23 创建VRRP实例-备5
点击下一步,如下图所示,第六步配置物理链路绑定接口,点击增加,新增物理接口,选择分配到br11的接口GE0/3,配置完成点击保存。
图9-24 创建VRRP实例-备6
如下图所示,配置完VRRP实例后,需要将两组VRRP实例添加进VRRP组中,在菜单“VRRP组”中点击增加,创建VRRP组,将上面创建好的VRRP实例勾选进VRRP组。
图9-25 创建VRRP组-备
此时,HA创建成功。
(1) 访问受保护的网站,URL为http://172.16.101.74,可以正常访问。
(2) 加上攻击参数再次访问网站,URL为http://172.16.101.74/forum.php?id=1 and 1=1,网站不能访问。
(3) 选择"日志报表>防护日志",查看攻击日志,可以看到攻击拦截的详细信息,证明WAF已经正常防护。
(4) 将链路中的主机手动关机或断电,加上攻击参数再次访问网站,URL为http://172.16.101.74/forum.php?id=1 and 1=1,网站不能访问。
(5) 在备机上查看攻击日志,证明流量已切换至备机。
WAF旁路在网络中,基于TCP数据包的检测,采用代理转发的技术。客户端访问地址为WAF的IP地址,请求至WAF后由WAF代理转发,以自身的IP地址向服务器发起请求,服务器回包时回给WAF,由WAF再封装数据包,以WAF的IP地址回复客户端。
反向代理双机模式可支持主备模式。
支持的防护功能较全面,可支持网段和多端口防护策略,性能高。
支持功能:协议合规检测、web攻击防护、web业务控制、web敏感信息防护、web业务加固防护、爬虫陷阱、虚拟补丁。
支持协议:HTTP、HTTPS。
特点:WAF须配置通信IP,需配置管理IP。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
WAF接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
E6204P02及以后版本
如下图所示,两台WAF旁路部署在服务器区交换机上,对Web服务器进行防护。
图10-1 组网图
按照组网图组网。
(1) 登录WAF。
(2) 创建新的网桥,并把接入网络的port口划分到新网桥中。
(3) 配置部署模式。
(4) 配置防护资产,引用防护策略。
(5) 配置代理网关规则。
(6) 添加VRRP策略,配置双机模式。
如下图所示,使用https的方式登录WAF,输入用户名和密码admin/admin,并点击<登录>按钮。
注意:首次登录强制修改密码。
图10-2 登录WAF
如下图所示,在“网络管理>网络配置>网桥接口”中,点击添加,创建网桥br10。
图10-3 新建网桥-br10
如下图所示,在网桥br10上添加业务IP。
注:主机地址是172.16.101.15,备机网桥配置地址是172.16.101.16
图10-4 添加业务IP-br10
如下图所示,在“网络管理>网络配置>Port接口”中编辑port接口。接口GE0/1的“网桥接口”选择br10。
图10-5 port口划分到新网桥
如下图所示,选择菜单“基础配置>部署模式”进入部署模式配置页面,选择“旁路”部署模式,选择完成后保存配置。
注:主机备机配置相同
图10-6 选择旁路部署模式
如下图所示,选择菜单“基础配置>防护资产”进入防护资产配置页面,点击添加,新建防护资产,配置资产的同时即可引用对应的防护资产。
注:主机备机配置相同
图10-7 创建防护资产
在防护模块部分,根据需要进行防护策略的配置,配置完成后点击保存。
注:主机备机配置相同
图10-8 配置安全防护策略
如下图所示,选择“代理网关>反向代理规则”进入反向代理规则配置页面,点击添加,新建反向代理规则,代理IP选择WAF上配置的虚拟冗余IP,被代理IP填写后端真实服务器IP,具体配置如下:
注:主机备机配置相同
图10-9 配置反向代理网关
选择菜单“高可用性>HA管理>VRRP实例”进入VRRP配置页面,点击添加,新增VRRP实例,旁路反向代理模式下需要添加一组VRRP实例。
设备状态为主时,流量会优先到主机上,由主机进行检测,当主机出现故障时,流量可实时切换到备机上进行检测,不会影响客户网络中的业务。
如下图所示,第一步配置冗余ID及设备初始状态,“冗余ID”为1,绑定接口选择上联接口“br10”,点击高级配置,初始状态为“主”,优先级为100,保存配置完成。
注:配置备机时保持与主机“冗余ID”相同,“优先级”低于100,“初始状态”为备。
图8-9创建VRRP实例-主1
如下图所示,第二步添加IP,点击添加,输入IP,此部分的IP为客户预先分配的VRRP虚拟冗余IP。
图8-10创建VRRP实例-主2
然后点击下一步如下图所示,第三步配置物理链路绑定接口,点击增加,新增物理接口,选择分配到br10的接口GE0/2,配置完成点击保存。
图8-11创建VRRP实例-主3
创建完成以后,如下图:
图8-12创建VRRP实例-主4
然后,配置完VRRP实例后,需要将一组VRRP实例添加进VRRP组中,在菜单“VRRP组”中点击增加,创建VRRP组。
图8-13创建VRRP组-主
第一步配置冗余ID及设备初始状态,“冗余ID”为1,绑定接口选择上联接口“br10”,初始状态为“备”,具体配置参数如下,配置完成点击下一步。
图8-9创建VRRP实例-备1
如下图所示,第二步添加IP,点击添加,输入IP,此部分的IP为客户预先分配的VRRP虚拟冗余IP。
图8-10创建VRRP实例-备2
点击下一步,如下图所示,第三步配置物理链路绑定接口,点击增加,新增物理接口,选择分配到br10的接口GE0/2,配置完成点击保存。
图8-11创建VRRP实例-备3
如下图所示,配置完VRRP实例后,需要将一组VRRP实例添加进VRRP组中,在菜单“VRRP组”中点击增加,创建VRRP组。
图8-15创建VRRP组-备
此时HA成功部署成功。
(1) 访问受保护的网站,URL为http://172.16.101.19,可以正常访问。
(2) 加上攻击参数再次访问网站,URL为http://172.16.101.19/forum.php?id=1 and 1=1,网站不能访问。
(3) 选择"日志报表>防护日志",查看攻击日志,可以看到攻击拦截的详细信息,证明WAF已经正常防护。
(4) 将链路中的主机手动关机或断电,加上攻击参数再次访问网站,URL为http://172.16.101.19/forum.php?id=1 and 1=1,网站不能访问。
(5) 在备机上查看攻击日志,证明流量已切换至备机。
链路聚合是指将多个物理端口汇聚在一起,形成一个逻辑端口,以实现出/入流量吞吐量在各成员端口的负荷分担。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
WAF接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
E6204P02及以后版本。
如下图所示,WAF配置channel模式部署在交换机中,对Web服务器进行防护。
图11-1 组网图
(1) 交换机配置链路聚合
(2) 登录WAF。
(3) 创建网桥,
(4) 创建聚合接口。
(5) 把port接口划分到聚合接口中。
靠近客户端的交换机配置链路聚合,将接口GE1/0/1和GE1/0/2加入到聚合组1中。将接口GE1/0/3和GE1/0/4加入到聚合组2中。
如下图所示,使用https的方式登录WAF,输入用户名和密码admin/admin,并点击<登录>按钮。
注意:首次登录强制修改密码。
图11-2 登录WAF
如下图所示,在“网络管理>网络配置>网桥接口”中,点击增加,创建网桥br10。
图11-3 新建网桥-br10
如下图所示,根据部署模式,部分部署模式需要添加业务IP时,给网桥br10增加业务IP地址。
图11-4 增加业务IP地址
如下图所示,在“网络管理>网络接口>channel接口”中增加聚合接口1和2。
图11-5 增加聚合接口
如下图所示,在“网络管理>网络配置>Port接口”中编辑port接口。接口GE0/0和GE0/1的“channel接口”选择1。接口GE0/2和GE0/3的“channel接口”选择2。
图11-6 Port接口配置聚合接口
如下图所示,在“网络管理>网络配置>channel接口”中把channel接口的1和2接口的“网桥接口”选择br10。
图11-7 聚合口划分到网桥中
(1) port接口验证,接口GE0/0和GE0/1在channel接口1中,接口GE0/2和GE0/3在channel接口2中。
(2) channel接口验证,channel接口中1接口和2接口在网桥br10中。
(3) 网桥接口验证,网桥接口br10中配置IP地址。
Trunk模式适用网络部署中存在不同局域网的情况,部署时需要在交换机中添加Trunk接口,通过在Trunk接口上设置允许的VLAN来实现H3CSecPathWeb应用防火墙系统对不同局域网中的服务器进行防护的功能。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
WAF接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。一个Trunk接口当前仅支持配置一个VLAN标签,如果需要检测多VLAN流量即需要配置多个VLAN标签,需要添加多个Trunk接口。
E6204P02及以后版本。
如下图所示,WAF配置trunk模式部署在交换机中,对Web服务器进行防护。
图12-1 组网图
(1) 登录WAF。
(2) 创建网桥,把port接口划分到新建网桥中。
(3) 创建trunk接口。
如下图所示,使用https的方式登录WAF,输入用户名和密码admin/admin,并点击<登录>按钮。
注意:首次登录强制修改密码。
图12-2 登录WAF
如下图所示,在“网络管理>网络配置>网桥接口”中,点击添加,创建网桥br10。
图12-3 新建新的网桥
如下图所示,根据服务器部署模式,部分部署模式需要添加业务IP时,给网桥br10增加业务IP地址。
图12-4 增加业务IP地址
如下图所示,在“网络管理>网络配置>Port接口”中编辑port接口。接口GE2/1、GE2/2网桥接口选择新创建的网桥10。
图12-5 Port接口配置
如下图所示,在网络管理>网络配置>channel接口中增加trunk接口,配置允许的vlan标签,配置完成点击下一步。
图12-6 增加trunk接口
如下图所示,如需配置IP可添加业务IP,无需配置IP时点击保存。
图12-7 保存trunk配置
(1) port接口验证,GE2/1接口和GE2/2接口在网桥br10中。
(2) trunk接口验证,br10.2和br10.3子接口均为GE2/1接口和GE2/2。