政务云环境一般是SDN纳管，要求租户之间互相隔离，这不仅体现在基础网络资源的隔离，也体现在租户的安全资源隔离。每个租户都独占自己的虚拟安全设备，相互之间无感知。从安全纳管方案的角度来说，SDN控制器通过Netconf纳管安全设备，并在安全设备上申请虚拟防火墙资源，分配给对应的租户使用，以租户方式进行业务区分，并且多以旁路方式进行部署。

1.2.3 组网说明

1. 组网推荐：

组网推荐旁路反向代理(可双机）

2. 使用限制：

· 旁路反向代理每桥IP地址最多支持8个，端口无限制。

· WAF不支持SDN纳管

· 硬件WAF不支持硬件虚拟化VWAF，不支持区分租户

· WAF不支持Vxlan

3. 硬件WAF部署原则：

(1) 政务云场景下SDN纳管设备，由于WAF不支持SDN纳管，不支持虚拟化或基于vpn隔离租户业务流量，所以在有IPS等安全设备的情况下，只能部署在FW（IPS）的上行。有的业务交换机上同时部署了Vxlan，而WAF也不支持Vxlan。所以基于目前场景组网，建议旁挂核心交换机上，放在纳管设备外层，尽量靠近server端。

(2) 服务器连接老化时间不定，WAF连接的老化时间为60秒，如果IPS设置了阻断，WAF 60秒后断开连接，服务器连接可能还在，存在连接不一致风险，可能会影响正常业务的使用。因此如果后端有防护设备如IPS设备，建议将IPS设备动作设置为重置或者不阻断比如放行、仅记日志等。

(3) 对于现网流量大，访问服务器会话较多，推荐在web防护策略中关闭访问日志（默认为关闭访问日志）。

4. 虚拟WAF部署原则：

VWAF可以实现基于租户的流量业务，每租户一个服务实例(VWAF)，并且VWAF安装在服务器上，服务器一般可以实现Vxlan的剥离。所以建议将VWAF放在租户业务区，在租户业务区上线做反向代理，代理业务应用区的真实server。

5. 部署参考：

有关此方案的具体配置步骤，请参考“旁路反向代理模式部署配置举例”。

1.3 政务云场景-组网中有LB设备

该场景下WAF下联多为LB设备，LB一般用于服务器业务的负载分担。

1.3.3 组网说明

1. 组网推荐：

推荐组网旁路反向代理。

2. 使用限制：

· 旁路反向代理每桥IP地址最多支持8个，端口无限制。

· WAF不支持SDN纳管

· WAF不支持硬件虚拟化VWAF，不支持区分租户

· WAF不支持Vxlan

3. 硬件WAF部署原则：

如果使用旁路反向代理模式，该模式下每桥IP地址最多支持8个，那么LB实服务IP地址不能大于8个，这种场景下建议WAF放在LB前面；同时LB一般旁挂在核心交换机上，因此在有LB的情况下，建议将WAF部署在LB的上行，旁挂在核心交换机上。

4. 虚拟WAF部署原则

(1) 如果单台VWAF可以满足性能要求：

VWAF不支持纳管，每租户一个服务实例(vWAF)，可以实现基于租户的流量业务，且VWAF安装在服务器上，服务器可以实现Vxlan的剥离，所以建议将VWAF部署在租户业务区，在租户业务区上线做反向代理。

(2) 如果单台VWAF不能满足性能要求：

如果VWAF性能不能满足使用，或者server站点不满足使用，或者反向代理IP地址最多支持8个的限制，一般会部署LB--NVWAF--LB-Nserver，一个租户多个VWAF，一个租户多个虚机（站点），并且VWAF不支持纳管，由于LB是被SDN纳管的，需配置LB的下行业务口保持上一跳，才能保证业务流量走向的正确。业务流量走向是LB--VWAF--LB--Server，所以建议VWAF放在租户业务区，在租户业务区上线做反向代理，代理LB的虚服务地址，通过LB的虚服务代理的实服务即为真实的server。

(3) 对于现网流量大，访问服务器会话较多，推荐在web防护策略中关闭访问日志（默认为关闭访问日志）。

5. 部署参考：

有关此方案的具体配置步骤，请参考“旁路反向代理模式部署配置举例”。

1.4 政务云场景-组网中WAF和LB设备中间存在安全设备

该场景下WAF上下联多为LB设备，LB一般用于服务器业务的负载分担。

1.4.1 硬件WAF组网

1.4.2 组网说明

1. 组网推荐：

推荐组网旁路反向代理(可双机）。

2. 使用限制：

· 旁路反向代理每桥IP地址最多支持8个，端口无限制。

· WAF不支持纳管

· WAF不支持虚拟化VWAF，不支持区分租户

· WAF不支持Vxlan

3. 部署原则：

由于WAF不接受SDN纳管，不支持虚拟化或基于vpn隔离租户业务流量，LB和IPS可以被SDN纳管，实现基于租户的业务，所以建议WAF部署在FW（IPS）上行。业务流量而且仍需按照WAF-IPS-LB这样的场景部署，但是存在问题是，遇到攻击的场景下，IPS如果也对HTTP协议进行处理的话，开启IPS防护策略后会导致部分请求被丢弃掉，WAF由于连接超时自动关闭了连接，而LB保留了TCP状态，链接处于established的状态，从而影响了后续WAF与LB连接的建立，最终导致WAF因为连接超时返回502给前端界面。

因此基于该场景建议WAF和LB的中间的安全设备，动作设置为重置，可以双向RST；或者动作为不阻断比如放行或者仅记日志。

对于现网流量大，访问服务器会话较多，推荐在web防护策略中关闭访问日志（默认为关闭访问日志）。

4. 部署参考：

有关此方案的具体配置步骤，请参考“旁路反向代理模式部署配置举例”。

1.5 传统数据中心场景-串联模式（首推）

传统数据中心场景没有租户概念，多采用硬件WAF设备做防护，本章节以硬件WAF部署为例。

部署的原则是距离服务器越近越好，尽可能避免部署在出口或者核心交换机上。WAF部署离服务器越近，受到的干扰越小，流量压力也会小很多，其它设备出现的故障对WAF影响也会更小；而且一般情况下，越靠近server端，到达WAF的流量是经过前端设备解密后的http流量，避免WAF解密处理https流量，减少性能消耗。

基于硬件WAF的部署，我们首先推荐是串联模式，串联模式不能满足用户需求的情况下，其次再考虑旁路模式，如需支持IPV6则考虑透明反向代理或者旁路反向代理，客户是否接受访问的是WAF的代理地址，而非真实server地址。

1.5.1 组网推荐

(1) 首先，推荐使用透明流，如果只要求基础功能防护不涉及HTTPS、IPv6，或涉及网段防护，推荐透明流模式，仅流模式支持配置网段；

(2) 其次，推荐透明代理，如果防护站点不涉及HTTPS、IPv6时，串联组网一般推荐透明代理模式，因为防护效果好，稳定性好；

(3) 最后，如果防护站点含有HTTPS站点时，推荐使用透明反向代理。防护站点使用IPv6的话，需要考虑使用透明反向代理或是旁路反向代理模式，客户是否接受访问的是WAF的代理地址，而非真实server地址。

(4) 对于现网流量大，访问服务器会话较多，推荐在web防护策略中关闭访问日志（默认为关闭访问日志）。

1.5.2 使用限制

WAF串联模式下IPv6需要部署为透明反向代理模式，需要配置代理服务器，客户端访问的为WAF的代理地址。

1.5.3 部署原则

条件允许的情况下，建议尽量部署在靠近server端，可以部署在核心交换机和业务区中间，靠近核心交换机。

1.5.4 部署参考

有关此方案的具体配置步骤，请参考如下典型配置举例：

· 透明流模式部署配置举例

· 透明代理模式部署配置举例

· 透明反向代理模式部署配置举例

1.6 传统数据中心场景-旁路模式（其次）

传统数据中心场景没有租户概念，多采用硬件WAF设备做防护，本章节以硬件WAF部署为例。

基于硬件WAF的部署，我们首先推荐是串联模式。

1.6.1 组网中无LB设备

1. 组网说明：

2. 组网推荐：

推荐组网为旁路反向代理(可双机），相对串联模式，该场景满足IPV6使用。

3. 使用限制：

WAF旁路反向代理每桥IP地址最多支持8个，端口无限制。

4. 部署原则：

因为主要检测HTTP及HTTPS协议，原则上需部署在最靠近服务端的接入的交换机上，减少非HTTP及HTTPS流量对WAF设备性能的影响，所以越靠近server越好，建议将WAF旁挂在业务接入交换机上。对于现网流量大，访问服务器会话较多，推荐在web防护策略中关闭访问日志（默认为关闭访问日志）。

5. 部署参考：

有关此方案的具体配置步骤，请参考“旁路反向代理模式部署配置举例”。

1.6.2 组网中有LB设备

1. 组网说明：

2. 组网推荐：

推荐组网旁路反向代理(可双机）。

3. 使用限制：

WAF旁路反向代理每桥IP地址最多支持8个，端口无限制。

4. 部署原则

因为主要检测HTTP及HTTPS协议，原则上需部署在最靠近服务端的接入的交换机上，如果部署旁路反代，并且LB的的虚服务代理的实服务大于8个，由于WAF的反代的代理IP数量限制，所以建议将WAF旁路部署在服务端业务接入交换机上，LB的上行，尽量靠近服务器端。对于现网流量大，访问服务器会话较多，推荐在web防护策略中关闭访问日志（默认为关闭访问日志）。

5. 部署参考：

有关此方案的具体配置步骤，请参考“旁路反向代理模式部署配置举例”。

1.6.3 组网中WAF和LB设备中间存在安全设备

1. 组网说明：

2. 组网推荐：

推荐组网旁路反向代理(可双机）。

3. 使用限制：

WAF旁路反向代理每桥IP地址最多支持8个，端口无限制。

4. 部署原则：

(1) 如果部署旁路反代，并且LB的的虚服务代理的实服务大于8个，由于WAF的反代的代理IP数量限制，那么建议部署在旁挂在核心交换机上，推荐部署设备顺序为IPS-WAF-LB。

(2) 在WAF-IPS-LB的场景下，如果采用旁路反向代理部署，存在问题是，遇到攻击的情况下，IPS如果也对HTTP协议进行处理的话，开启IPS防护策略后会导致部分请求被丢弃掉，WAF由于连接超时自动关闭了连接，而LB保留了TCP状态，链接处于established的状态，从而影响了后续WAF与LB连接的建立，最终导致WAF因为连接超时返回502给前端界面。因此在该场景下建议WAF和LB的中间的安全设备，对攻击动作建议设置为重置，可以双向RST拆除上下行设备链接；或者动作为不阻断比如放行或者仅记日志。

(3) 对于现网流量大，访问服务器会话较多，推荐在web防护策略中关闭访问日志（默认为关闭访问日志）。

5. 部署参考：

有关此方案的具体配置步骤，请参考“旁路反向代理模式部署配置举例”。

2 透明流模式部署配置举例

虚拟web应用防火墙不支持该部署模式。

2.1 简介

透明流模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式，设备串联在网络中，通过流检测引擎对数据流进行解析，匹配规则与自定义策略，进行安全防护。当检测到报文中有攻击流量时，WAF会分别向客户端和服务器发送了RST报文，断开TCP连接。

· 部署优势

透明流模式部署简单，不改变拓扑结构，部署后客户端、服务器都无感知，支持软硬件Bypass，保证高可用性，可支持网段和多端口防护策略，性能高。

· 部署劣势

¡ 不支持HTTPS，因为不拆包，检测效果较透明代理要差一些。

¡ 对被保护服务器没有隐藏能力，源服务器地址还是会被前端发现。

¡ 不支持IPv6部署。

· 支持功能

扫描防护、HTTP协议校验、HTTP访问控制、特征防护、爬虫防护、防盗链、防跨站请求伪造、文件上传、文件下载、敏感信息检测、弱密码检测、访问顺序、敏感词防护、DDoS防护、威胁情报。

· 支持协议

HTTP。

· 特点

Web应用防火墙无须配置业务IP，仅配置管理IP即可。

· 推荐场景

对性能要求高且无HTTPS、IPv6需求的场景。

2.2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

2.3 使用限制

Web应用防火墙接入网络过程中会造成短暂断网，需提前划分好网桥和网络接口。

2.4 适用产品和版本

此配置举例适用在E6201以上版本验证测试。

2.5 组网需求

如下图所示，Web应用防火墙部署在防火墙（或者核心交换机）和Web服务器之间，串联接入网络，对Web服务器进行防护。

图2-1 组网图

2.6 部署说明

允许的情况下，尽量将WAF部署靠近DMZ服务端的区域。

2.7 配置思路

按照组网图组网。

（1）创建新的网桥，并把接入网络的两个port口划分到新网桥中。

（2）创建HTTP服务器，配置安全防护策略，对Web服务器进行防护。

（3）对于现网流量大，访问服务器会话较多，推荐在web防护策略中关闭访问日志（默认为关闭访问日志）。

2.8 配置步骤

（1）创建网桥，并将WAF接口划分网桥

如下图所示，在“网络管理>网络接口>网桥接口”中，点击增加，创建网桥“br10”。

图2-2 新建网桥-br10

如下图所示，网桥br10中不需要配置IP地址，点击保存。

图2-3 保存网桥配置

如下图所示，在网络管理>网络接口>Port接口中编辑port接口，接口GE0/2和GE0/3的“网桥接口”选择br10。

图2-4 port口划分到新网桥

（2）创建HTTP服务器，并配置安全防护策略

如下图所示，选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面，点击增加，新建HTTP服务器，具体参数配置如下，防护模式选择流模式。配置完成后点击保存。

图2-5 创建HTTP服务器

如下图所示，选择“应用安全防护>Web防护策略”，进入Web防护策略管理界面。点击增加，新增Web防护策略。在“服务器”中选择“test”服务器，根据需要进行防护策略的配置，配置完成后点击保存。

图2-6 配置安全防护策略

2.9 验证配置

· 访问受保护的网站，URL为http://172.16.101.74，可以正常访问。

· 加上攻击参数再次访问网站，URL为http://172.16.101.74/forum.php?id=1 and 1=1，网站不能访问。

· 选择"日志系统>攻击日志"，查看攻击日志，可以看到攻击拦截的详细信息，证明Web应用防火墙已经正常防护。

3 透明代理模式部署配置举例

虚拟web应用防火墙不支持该部署模式。

3.1 简介

透明代理模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式，WAF串联在网络中，基于TCP数据包的检测，采用代理转发的技术，通过内部代理拆包解包，对应用层数据进行解析，并匹配安全策略，客户端访问真实服务器地址，数据包至WAF时记录访问的源地址，内部数据转发往服务器时，封装数据包为访问者的源地址，从而实现透明代理。当检测到报文中有攻击流量时，WAF向客户端返回HTTP响应码400 并回客户端FIN+ACK报文，强制与客户端断开TCP连接，带有攻击语句的HTTP请求数据并未转发给服务器。

· 部署优势

透明代理模式防护效果好，不改变拓扑结构，部署后客户端、服务器都无感知，支持软硬件Bypass，保证高可用性，支持的防护功能全面，检测效果优于透明流模式。

· 部署劣势

¡ 不支持HTTPS，性能较透明流低一些。

¡ 对被保护服务器没有隐藏能力，源服务器地址还是会被前端发现。

¡ 不支持IPV6部署。

· 支持功能

扫描防护、HTTP协议校验、HTTP 访问控制、特征防护、威胁情报、爬虫、防盗链、CSRF、虚拟补丁防护、弱密码检测、访问顺序、文件上传、文件下载、敏感信息、敏感词防护、数据压缩、高速缓存、Cookie加密、cookie加固、DDoS防护、威胁情报。

· 支持协议

HTTP。

· 特点

Web应用防火墙无需配置业务IP，仅配置管理IP即可。

· 推荐场景

对防护效果要求高，且无HTTPS、IPv6需求的场景，为主推场景。

3.2 配置前提

3.3 使用限制

Web应用防火墙接入网络过程中会造成短暂断网，需提前划分好网桥和网络接口。

3.4 适用产品和版本

此配置举例适用在E6201以上版本验证测试。

3.5 组网需求

如下图所示，Web应用防火墙部署在防火墙（或者核心交换机）和Web服务器之间，串联接入网络，对Web服务器进行防护。

图3-1 组网图

3.6 部署说明

允许的情况下，尽量将WAF部署靠近DMZ服务端的区域。

3.7 配置思路

按照组网图组网。

（1）创建新的网桥，并把接入网络的两个port口划分到新网桥中。

（2）创建HTTP服务器，配置安全防护策略，对Web服务器进行防护。

（3）对于现网流量大，访问服务器会话较多，推荐在web防护策略中关闭访问日志（默认为关闭访问日志）。

3.8 配置步骤

（1）创建网桥，并将WAF接口划分网桥

如下图所示，在“网络管理>网络接口>网桥接口”中，点击增加，创建网桥br10。

图3-2 新建网桥-br10

如下图所示，网桥br10中不需要配置IP地址，点击保存。

图3-3 保存网桥配置

如下图所示，在网络管理>网络接口>Port接口中编辑port接口。接口GE0/2和GE0/3的“网桥接口”选择br10。

图3-4 port口划分到新网桥

（2）创建HTTP服务器，并配置安全防护策略

如下图所示，选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面，点击增加，新建HTTP服务器，具体参数配置如下，防护模式选择代理模式，客户端IP还原选择是。配置完成后点击保存。

图3-5 创建HTTP服务器

如下图所示，选择“应用安全防护>Web防护策略”进入Web防护策略管理界面。点击增加，新增Web防护策略。在“服务器”中选择“test”服务器，根据需要进行防护策略的配置，配置完成后点击保存。

图3-6 配置安全防护策略

3.9 验证配置

· 访问受保护的网站，URL为http://172.16.101.74，可以正常访问。

· 加上攻击参数再次访问网站，URL为http://172.16.101.74/forum.php?id=1 and 1=1，网站不能访问。

· 选择"日志系统>攻击日志"，查看攻击日志，可以看到攻击拦截的详细信息，证明Web应用防火墙已经正常防护。

4 透明反向代理模式部署配置举例

虚拟Web应用防火墙不支持该部署模式。

4.1 简介

透明反向代理模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式，WAF串联在网络中，基于TCP数据包的检测，采用代理转发的技术，通过内部代理拆包解包，对应用层数据进行解析并匹配安全策略。

客户端访问地址为真实服务器地址，当请求流经WAF时由WAF代理转发，服务器响应时首先回给WAF，由WAF再封装数据包，以真实服务器地址转发给客户端，从而实现客户端请求服务器时的无感知透明转发。当检测到报文中有攻击流量时，WAF向客户端返回HTTP响应码400 并回客户端FIN+ACK报文，强制与客户端断开TCP连接，带有攻击语句的HTTP请求数据并未转发给服务器。

· 部署优势：

透明反向代理模式防护效果好，不改变拓扑结构，部署后客户端和服务端都无感知，支持软硬件Bypass，保证高可用性，支持的防护功能全面，检测效果优于透明流模式，支持IPV6部署。

· 部署劣势：

¡ 需要有一个IP与后端server通信，可以是代理IP，也可以是管理IP。

¡ 对server来说，看到的client IP为WAF的IP，故如要溯源，可在数据包中查看X-Forwarded-For字段。

¡ 由于仅数量有限的代理IP与server通信，若server侧开启了DDoS策略，可能会造成阻断。此处是由于WAF代理IP向服务端发起的请求。

¡ 对被保护服务器没有隐藏能力。

· 支持功能

扫描防护、HTTP协议校验、HTTP 访问控制、特征防护、威胁情报、爬虫、防盗链、CSRF、虚拟补丁防护、弱密码检测、访问顺序、文件上传、文件下载、敏感信息、敏感词防护、负载均衡、数据压缩、高速缓存、Cookie加密、cookie加固、DDoS防护、威胁情报。

· 支持协议

HTTP、HTTPS。

· 特点

Web应用防火墙需配置通信IP，需配置管理IP。

· 推荐场景

有HTTPS需求，又要求单台高可靠性（硬件bypass）的场景，为主推场景。

4.2 配置前提

4.3 使用限制

Web应用防火墙接入网络过程中会造成短暂断网，需提前划分好网桥和网络接口。

4.4 适用产品和版本

此配置举例适用在E6201以上版本验证测试。

4.5 组网需求

如下图所示，Web应用防火墙部署在核心交换机和Web服务器之间，串联接入网络，对Web服务器进行防护。

图4-1 组网图

4.6 部署说明

允许的情况下，尽量将WAF部署靠近DMZ服务端的区域。

4.7 配置思路

按照组网图组网。

（1）创建新的网桥，并把接入网络的两个port口划分到新网桥中，配置网桥IP地址。

（2）创建HTTP服务器，配置安全防护策略，对Web服务器进行防护。

（3）对于现网流量大，访问服务器会话较多，推荐在web防护策略中关闭访问日志（默认为关闭访问日志）。

4.8 配置步骤

（1）创建新的网桥，并把接入网络的两个port口划分到新网桥中。

如下图所示，在“网络管理>网络接口>网桥接口”中，点击增加，创建网桥br10。

图4-2 新建网桥-br10

如下图所示，在创建网桥br10中增加业务IP地址。

图4-3 增加业务IP地址

如下图所示，在网络管理>网络接口>Port接口中编辑port接口。接口GE0/2和GE0/3的“网桥接口”选择br10。

图4-4 port口划分到新网桥

（2）创建HTTP服务器，对Web服务器进行防护。

如下图所示，选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面，点击“添加”HTTP服务器，具体参数配置如下，客户端IP还原选择否。配置完成后点击保存。

图4-5 创建HTTP服务器（HTTPS服务器需要上传证书和密钥）

图4-6 配置安全防护策略

4.9 验证配置

· 访问受保护的网站，URL为http://172.16.101.74，可以正常访问。

· 加上攻击参数再次访问网站，URL为http://172.16.101.74?id=1 and 1=1，网站不能访问。

· 选择"日志系统>攻击日志"，查看攻击日志，可以看到攻击拦截的详细信息，证明Web应用防火墙已经正常防护。

5 旁路反向代理模式部署配置举例

· 此部署模式下支持硬件WAF和虚拟WAF；

· 此部署模式支持IPv4、IPv6双栈部署；

· 此部署模式下支持HTTPS服务器，需要在服务器管理下配置普通HTTPS服务和代理HTTPS服务器，除此之外与HTTP服务器配置都一样。

· 在此场景中，WAF一般都是尽量靠近防护服务器，如存在LB情况时WAF与LB之间要避免有IPS类产品，或者存在IPS设备时需要在IPS上配置动作设置为重置，可以双向RST，或者动作为不阻断均可。

5.1 简介

WAF旁路在网络中，基于TCP数据包的检测，采用代理转发的技术。客户端访问地址为WAF的IP地址，请求至WAF后由WAF代理转发，以自身的IP地址向服务器发起请求，服务器回包时回给WAF，由WAF再封装数据包，以WAF的IP地址回复客户端。当检测到报文中有攻击流量时，WAF向客户端返回HTTP响应码400 并回客户端FIN+ACK报文，强制与客户端断开TCP连接，带有攻击语句的HTTP请求数据并未转发给服务器。

· 部署优势

¡ 仅HTTP/HTTPS流量上WAF，不影响其它流量。

¡ 支持HTTPS防护。

¡ 支持IPv6部署。

· 部署劣势

¡ WAF后面的设备看到的是WAF的代理地址访问真实server，如若有DDOS设备，会被阻断。

¡ 旁路反向代理存在单点故障问题，一旦WAF出现故障会影响服务器正常访问。

· 支持功能

· 支持协议

HTTP、HTTPS。

· 特点

Web应用防火墙需配置业务IP。

· 推荐场景

¡ 有HTTPS需求，混合流量中除HTTP外其它流量较大的场景。

¡ 有IPv6需求的场景。

5.2 配置前提

5.3 使用限制

Web应用防火墙接入网络过程中会造成短暂断网，需提前划分好网桥和网络接口。

5.4 适用产品和版本

此配置举例适用在E6201以上版本验证测试，涉及IPv6的场景需升级到E6203版本。

5.5 组网需求

如下图所示，Web应用防火墙旁路部署在服务器区交换机上，对Web服务器进行防护。

图5-1 组网图

· 组网图中的eth3接口，若是虚拟WAF，此eth3口是作为反向代理业务口的接口，对应CAS服务器上的实际物理口。若是硬件WAF，此eth3口应该为硬件WAF的接口，如GE0/1；

· 在虚拟WAF安装过程中，添加的第一个业务网卡对应虚拟WAF的port0口，按照添加先后顺序，第二个添加的业务网卡为port1，以此类推。

· 在虚拟WAF环境下，管理网和业务网不要连在虚拟化平台的同一个实体网卡上，此种配置无意义。

· 建议虚拟WAF部署用iso镜像部署虚拟机时，只选择一个网卡。虚拟机部署完成后，再编辑虚拟机添加第二个网卡，重启后生效。

5.6 部署说明

（1）允许的情况下，尽量将硬件WAF旁挂在靠近服务端的交换机上。

（2）允许的情况下，尽量将安装虚拟WAF的服务器如CAS等旁挂在靠近服务端的交换机上。

5.7 配置思路

按照组网图组网。

（1）创建新的网桥，并把接入网络的接口划分到新网桥中。配置WAF业务IP和路由。

（2）创建HTTP服务器，配置安全防护策略，对Web服务器进行防护。

（3）对于现网流量大，访问服务器会话较多，推荐在web防护策略中关闭访问日志（默认为关闭访问日志）。

5.8 配置步骤

（1）创建新的网桥，并把接入网络的接口划分到新网桥中。

如下图所示，在“网络管理>网络接口>网桥接口”中，点击增加，创建网桥br10。

图5-2 新建网桥-br10

如下图所示，在网桥br10中增加业务IP地址。

图5-3 增加业务IP地址

如下图所示，在网络管理>路由配置中增加路由。

图5-4 增加路由

如下图所示，在网络管理>网络接口>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br10。

图5-5 port口划分到新网桥

（2）创建HTTP服务器，对Web服务器进行防护。

如下图所示，选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面，点击增加，新建HTTP服务器，具体参数配置如下，防护模式选择代理模式，客户端IP还原选择否。配置完成后点击保存。

图5-6 创建HTTP服务器（HTTPS服务器需要上传证书和密钥）

如下图所示，选择菜单“服务器管理>代理服务器管理”，进入代理服务器配置页面，点击增加，新建HTTP代理服务器，IP地址填写Web应用防火墙业务IP地址，具体参数配置如下。配置完成后点击保存。

图5-7 增加代理服务器

图5-8 配置安全防护策略

5.9 验证配置

· 访问Web应用防火墙的IP地址，URL为http://192.168.7.15，可以正常访问。

· 加上攻击参数再次访问网站，URL为http://192.168.7.15/forum.php?id=1 and 1=1，网站不能访问。

· 选择"日志系统>攻击日志"，查看攻击日志，可以看到攻击拦截的详细信息，证明Web应用防火墙已经正常防护。

6 旁路镜像检测模式部署配置举例

6.1 简介

旁路镜像检测模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式，设备旁路部署在网络中，通过流检测引擎对数据流进行解析，匹配规则与自定义策略进行安全检测，旁路镜像检测模式只进行检测，不对攻击进行处理。

· 部署优势

不改变网络拓扑结构，部署最方便快捷，只需将交换机进口或出口双向流量镜像给WAF设备进行攻击检测，不参与业务数据流转发，因此设备故障对业务无影响。

· 部署劣势

1、无法对攻击进行阻断。2、不支持HTTPS。3、不支持IPv6

· 支持检测功能

HTTP协议校验、HTTP访问控制、特征防护、防盗链、防跨站请求伪造、文件上传、文件下载、弱密码检测、访问顺序、敏感词防护。

· 支持协议

HTTP。

· 特点

Web应用防火墙无须配置业务IP，仅配置管理IP即可。

· 使用场景

旁路镜像场景。

6.2 配置前提

6.3 使用限制

交换机要保证镜像双向流量。

6.4 适用产品和版本

此配置举例适用在E6201以上版本验证测试。。

6.5 硬件WAF组网需求

如下图所示，Web应用防火墙旁路部署在服务器区交换机上，旁路接入网络，对Web服务器流量进行检测。

图6-1 组网图

6.6 云WAF组网需求

如下图所示，虚拟Web应用防火墙旁路部署在服务器区交换机上，旁路接入网络，对Web服务器流量进行检测。

图6-2 组网图

· 组网图中的eth3接口，是指虚拟WAF中作为镜像业务口的接口，但实际组网连线中，交换机的GE1/0/8口，eth3口对应CAS服务器上的实际物理口。

· 在虚拟WAF安装过程中，添加的第一个业务网卡对应虚拟WAF的port0口，按照添加先后顺序，第二个添加的业务网卡为port1，以此类推。

· 在虚拟WAF环境下，管理网和业务网不要连在虚拟化平台的同一个实体网卡上，此种配置无意义。

· 虚拟WAF部署用iso镜像部署虚拟机时，只选择一个网卡。虚拟机部署完成后，再编辑虚拟机添加第二个网卡。

6.7 部署说明

允许的情况下，尽量将WAF旁挂在靠近服务端的交换机上。

6.8 配置思路

按照组网图组网。

（1）交换机镜像和监听接口配置。

（2）创建新的网桥，并把接入网络的port口划分到新网桥中。

（3）创建HTTP服务器，配置安全防护策略，对Web服务器进行防护。

（4）对于现网流量大，访问服务器会话较多，推荐在web防护策略中关闭访问日志（默认为关闭访问日志）。

6.9 配置步骤

（1）交换机镜像和监听接口配置

登录服务器区交换机，创建vlan101和vlan102，并配置IP地址，分别作为客户端和服务器网关。

图6-3 将两个镜像口划分VLAN并配置IP地址。

创建镜像组，如下图所示，将GE1/0/7配置为双向镜像口，GE1/0/8配置为监听口。

图6-4 交换机上的镜像组配置

（2）创建新的网桥，并把接入网络的接口划分到新网桥中。

如下图所示，在“网络管理>网络接口>网桥接口”中，点击增加，创建网桥br10

图6-5 新建网桥-br10

如下图所示，在网络管理>网络接口>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br10。

图6-6 port口划分到新网桥

（3）创建HTTP服务器，对Web服务器进行防护。

如下图所示，选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面，点击增加，新建HTTP服务器，具体参数配置如下，部署模式选择旁路，防护模式为流模式。配置完成后点击保存。

图6-7 创建HTTP服务器

图6-8 配置安全防护策略

6.10 验证配置

· 访问受保护的网站，URL为http://172.16.101.74，可以正常访问。

· 加上攻击参数再次访问网站，URL为http://172.16.101.74/forum.php?id=1 and 1=1，网站可以访问，Web应用防火墙上记录攻击日志。

· 选择"日志系统>攻击日志"，查看攻击日志，可以看到攻击拦截的详细信息，证明Web应用防火墙已经正常检测到攻击流量。

7 旁路镜像检测&阻断模式部署配置举例

7.1 简介

旁路镜像检测&阻断模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式，设备旁路部署在网络中，通过流检测引擎对数据流进行解析，匹配规则与自定义策略进行安全防护。当检测到报文中有攻击流量时，WAF分别向客户端和服务器发送RST报文，断开连接。

· 部署优势

旁路镜像检测&阻断模式部署简单，不改变拓扑结构，部署后网络无感知，支持的防护功能较全面，可支持网段和多端口防护策略，性能高。

· 部署劣势

1、由于发送reset报文滞后性，无法达到100%阻断。2、不支持HTTPS。

· 支持功能

HTTP协议校验、HTTP访问控制、特征防护、防盗链、防跨站请求伪造、文件上传、文件下载、弱密码检测、访问顺序、敏感词防护。

· 支持协议

HTTP。

· 特点

Web应用防火墙无需配置通信IP，需配置管理IP。

· 推荐场景

此场景防护效果不能达到百分百。

7.2 配置前提

7.3 使用限制

交换机须镜像连接服务器接口的双向流量，否则阻断效果很差。

旁路阻断模式下Web应用防火墙的部署需要尽可能接近服务器。

7.4 适用产品和版本

此配置举例适用在E6201以上版本验证测试。。

7.5 硬件WAF组网需求

如下图所示，Web应用防火墙旁路部署在服务器区交换机上，旁路接入网络，对Web服务器进行检测和阻断。

图7-1 组网图

7.6 云WAF组网需求

如下图所示，虚拟Web应用防火墙旁路部署在服务器区交换机上，旁路接入网络，对Web服务器进行检测和阻断。

图7-2 组网图

· 组网图中的eth2接口，是指云WAF中作为阻断口的接口，但实际组网连线中，交换机的GE1/0/9口， eth2口对应CAS服务器上的实际物理口，eth3对应于vWAF中的port1口，eth2对应于vWAF中的port2口。

· 在云WAF安装过程中，添加的第一个业务网卡对应云WAF的port0口，按照添加先后顺序，第二个添加的业务网卡为port1，以此类推。

· 管理网和业务网不要连在虚拟化平台的同一个实体网卡上。

· 用iso镜像部署虚拟机时，只选择一个网卡。虚拟机部署完成后，再编辑虚拟机添加第二个网卡，重启后生效。

7.7 部署说明

允许的情况下，尽量将WAF旁挂在靠近服务端的交换机上。

7.8 配置思路

按照组网图组网。

（1）交换机镜像和监听接口配置。

（2）创建新的网桥，并把接入网络的port口划分到新网桥中。

（3）创建HTTP服务器，配置安全防护策略，对Web服务器进行防护。

（4）对于现网流量大，访问服务器会话较多，推荐在web防护策略中关闭访问日志（默认为关闭访问日志）。

7.9 配置步骤

（1）交换机镜像和监听接口配置

登录服务器区交换机，创建vlan101和vlan102，并配置IP地址，分别作为客户端和服务器网关。

图7-3 将两个镜像口划分VLAN并配置IP地址。

创建镜像组，如下图所示，将GE1/0/7配置为双向镜像口，GE1/0/8配置为监听口。

图7-4 交换机上的镜像组配置

交换机接WAF的监听口GE1/0/8配置为默认vlan1，交换机接WAF阻断口GE1/0/9vlan配置为服务器侧vlan，即vlan102。

（2）创建新的网桥，并把接入网络的两个port口划分到新网桥中。

如下图所示，在“网络管理>网络接口>网桥接口”中，点击增加，创建网桥br10。

图7-5 新建网桥-br10

如下图所示，在“网络管理>网络接口>网桥接口”中，点击增加，创建网桥br11。

图7-6 新建网桥-br11

如下图所示，在网络管理>网络接口>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br10，接口GE0/3的“网桥接口”选择br11，使用GE0/3接口进行阻断。

图7-7 port口划分到新网桥

（3）创建HTTP服务器，对Web服务器进行防护。

如下图所示，选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面，点击增加，新建HTTP服务器，具体参数配置如下，部署模式选择旁路，阻断接口选择GE0/3。配置完成后点击保存。

图7-8 创建HTTP服务器

图7-9 配置安全防护策略

7.10 验证配置

· 访问受保护的网站，URL为http://172.16.101.74，可以正常访问。

· 加上攻击参数再次访问网站，URL为http://172.16.101.74/forum.php?id=1 and 1=1，网站不能访问。

· 选择"日志系统>攻击日志"，查看攻击日志，可以看到攻击拦截的详细信息，证明Web应用防火墙已经正常防护。

8 透明反向代理双机模式部署配置举例

虚拟Web应用防火墙不支持该部署模式。

8.1 简介

透明反代双机模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式，两台Web应用防火墙串联在网络中，基于TCP数据包的检测，采用代理转发的技术，通过内部代理拆包解包，对应用层数据进行解析并匹配安全策略。当检测到报文中有攻击流量时，WAF向客户端返回HTTP响应码400，带有攻击语句的HTTP请求数据并未转发给服务器。

· 部署优势

透明反代双机模式防护效果好，当主设备出现故障时，业务会自动切换至备设备，部署后客户端、服务器都无感知，支持软硬件Bypass保证高可用性，支持HTTPS，支持IPv6，支持的防护功能全面，检测效果优于透明流模式。

· 部署劣势

¡ 需要有一个IP与后端server通信。

¡ 对server来说，看到的client IP为WAF的IP，故如要溯源，可在数据包中查看X-Forwarded-For字段。

¡ 由于仅数量有限的代理IP与server通信，若server侧开启了DDoS策略，会造成阻断。

¡ 由于进出WAF都需要配置VRRP，两条VRRP IP不在同一网段，因此需提前规划好网络IP。

· 支持功能

· 支持协议

HTTP、HTTPS。

· 特点

Web应用防火墙需配置业务IP。

· 推荐场景

有HTTPS需求，又要求有主备双机的高可用性场景。

8.2 配置前提

8.3 使用限制

Web应用防火墙接入网络过程中会造成短暂断网，需提前划分好网桥和网络接口。

8.4 适用产品和版本

此配置举例适用在E6201以上版本验证测试。。

8.5 组网需求

如下图所示，Web应用防火墙部署在核心交换机和服务器区交换机之间，核心交换机作为三层设备，客户端网关配置在该交换机上，交换机到服务端通过静态路由指向VRRP1地址，服务器交换机作为二层交换机，只做报文转发，服务器网关直接指向VRRP2地址。两台WAF串联接入网络，对Web服务器进行防护。

图8-1 组网图

8.6 部署说明

允许的情况下，尽量将WAF部署靠近DMZ服务端的区域。

主WAF和备WAF的GE0/2口，分别配置同一网段172.16.0.3和172.16.0.4，核心交换机的下一条路由指向172.16.0.254/24的VRRP虚地址。

主WAF和备WAF的GE0/3口，分别配置同一网段172.16.101.15和172.16.101.16，靠近服务器的交换机的下一条路由指向172.16.101.1/24的VRRP虚地址。

不管配置二层还是三层，路由可达即可，WAF对外呈现的只是VRRP的虚地址。

8.7 配置思路

按照组网图组网。

（1）配置核心交换机和服务器交换机。

（2）创建两个新的网桥，并把接入网络的两个port口分别划分到新网桥中。

（3）添加HA管理的VRRP配置，配置双机主备部署。

（4）创建HTTP服务器，配置安全防护策略，对Web服务器进行防护。

（5）对于现网流量大，访问服务器会话较多，推荐在web防护策略中关闭访问日志（默认为关闭访问日志）。

8.8 配置步骤

8.8.1 交换机配置

(1) 配置核心交换机

创建vlan101和vlan172，并配置IP地址，作为客户端网关及vlan172接口地址。

[SWUP_For_AVG_NewWAF]vlan 101

[SWUP_For_AVG_NewWAF-vlan101]port GigabitEthernet 1/0/1

[SWUP_For_AVG_NewWAF-vlan101]vlan 172

[SWUP_For_AVG_NewWAF-vlan172]port GigabitEthernet 1/0/10

[SWUP_For_AVG_NewWAF-vlan172]port GigabitEthernet 1/0/11

[SWUP_For_AVG_NewWAF-vlan172]int vlan 101

[SWUP_For_AVG_NewWAF-Vlan-interface101]ip address 192.168.7.1 24

[SWUP_For_AVG_NewWAF-Vlan-interface101]int vlan 172

[SWUP_For_AVG_NewWAF-Vlan-interface172]ip address 172.16.0.1 24

[SWUP_For_AVG_NewWAF-Vlan-interface172]quit

(2) 配置服务器交换机

创建vlan102，将GE1/0/1、GE1/0/28、GE1/0/29划入该vlan。

[SWDown_For_AVG_NewWAF]vlan 102

[SWDown_For_AVG_NewWAF-vlan102]port GigabitEthernet 1/0/1

[SWDown_For_AVG_NewWAF-vlan102]port GigabitEthernet 1/0/28

[SWDown_For_AVG_NewWAF-vlan102]port GigabitEthernet 1/0/29

8.8.2 主WAF配置

（1）创建新的网桥，并把接入网络的两个port口划分到新网桥中

如下图所示，在“网络管理>网络接口>网桥接口”中，点击增加，创建网桥br100。

图8-2 新建网桥-br100

如下图所示，在桥br100上添加业务IP。

图8-3 添加业务IP-br100

如下图所示，在“网络管理>网络接口>网桥接口”中，点击增加，创建网桥br200。

图8-4 新建网桥-br200

如下图所示，在桥br200上添加业务IP。

图8-5 添加业务IP-br200

如下图所示，在网络管理>网络接口>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br100，GE0/3的“网桥接口”选择br200。

图8-6 port口划分到新网桥

（2）添加VRRP策略，配置双机模式。

选择菜单“HA管理>VRRP配置”进入VRRP配置页面，点击增加，新增VRRP实例，串联模式下需要添加两组VRRP实例。

如下图所示，第一步配置冗余ID及设备状态，“冗余ID”为1，绑定接口选择上联接口“br100”,具体配置参数如下，配置完成点击下一步。

设备状态为主时，流量会优先到主机上，由主机进行检测，当主机出现故障时，流量可实时切换到备机上进行检测，不会影响客户网络中的业务。

注：配置备机时保持与主机“冗余ID”相同，“优先级”低于100，“状态”为备。

图8-7 创建VRRP实例-1

如下图所示，第二步配置虚拟IP，点击增加，新增虚拟IP，此处注意备机与主机冗余IP相同，配置完成点击下一步。

图8-8 创建VRRP实例-2

如下图所示，第三步配置物理链路绑定接口，点击增加，新增物理接口，选择分配到br100的接口GE0/2，配置完成点击保存。

图8-9 创建VRRP实例-3

如下图所示，第四步添加第二组VRRP实例，“冗余ID”为2，“绑定接口”选择下联接口“br200”，其余配置与“冗余ID”1的配置相同，配置完成点击下一步。

图8-10 创建VRRP实例-4

如下图所示，第五步配置虚拟IP，点击增加，新增虚拟IP，此处注意备机与主机冗余IP相同，配置完成点击下一步。

图8-11 创建VRRP实例-5

如下图所示，第六步配置物理链路绑定接口，点击增加，新增物理接口，选择分配到br200的接口GE0/3，配置完成点击保存。

图8-12 创建VRRP实例-6

如下图所示，配置完VRRP实例后，需要将两组VRRP实例添加进VRRP组中，在菜单“VRRP组”中点击增加，创建VRRP组。

图8-13 创建VRRP组

如下图所示，应用添加完成的“test”VRRP组。

图8-14 应用VRRP

（5）创建HTTP服务器，对Web服务器进行防护（此处WAF主备上均配置相同）。

如下图所示，选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面，点击增加，新建HTTP服务器，具体参数配置如下，防护模式选择代理模式。配置完成后点击保存。

图8-15 创建HTTP服务器

图8-16 配置安全防护策略

8.8.3 备WAF配置

（1）创建新的网桥，并把接入网络的两个port口划分到新网桥中

如下图所示，在“网络管理>网络接口>网桥接口”中，点击增加，创建网桥br100。

图8-17 新建网桥-br100

如下图所示，在桥br100上添加业务IP。

图8-18 添加业务IP-br100

如下图所示，在“网络管理>网络接口>网桥接口”中，点击增加，创建网桥br200。

图8-19 新建网桥-br200

如下图所示，在桥br200上添加业务IP。

图8-20 添加业务IP-br200

如下图所示，在网络管理>网络接口>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br100，GE0/3的“网桥接口”选择br200。

图8-21 port口划分到新网桥

（2）添加VRRP策略，配置双机模式。

选择菜单“HA管理>VRRP配置”进入VRRP配置页面，点击增加，新增VRRP实例，串联模式下需要添加两组VRRP实例。

如下图所示，第一步配置冗余ID及设备状态，“冗余ID”为1，绑定接口选择上联接口“br100”,具体配置参数如下，配置完成点击下一步。

设备状态为主时，流量会优先到主机上，由主机进行检测，当主机出现故障时，流量可实时切换到备机上进行检测，不会影响客户网络中的业务。

注：配置备机时保持与主机“冗余ID”相同，“优先级”低于100，“状态”为备。

图8-22 创建VRRP实例-1

如下图所示，第二步配置虚拟IP，点击增加，新增虚拟IP，此处注意备机与主机冗余IP相同，配置完成点击下一步。

图8-23 创建VRRP实例-2

如下图所示，第三步配置物理链路绑定接口，点击增加，新增物理接口，选择分配到br100的接口GE0/2，配置完成点击保存。

图8-24 创建VRRP实例-3

图8-25 创建VRRP实例-4

如下图所示，第五步配置虚拟IP，点击增加，新增虚拟IP，此处注意备机与主机冗余IP相同，配置完成点击下一步。

图8-26 创建VRRP实例-5

如下图所示，第六步配置物理链路绑定接口，点击增加，新增物理接口，选择分配到br200的接口GE0/3，配置完成点击保存。

图8-27 创建VRRP实例-6

如下图所示，配置完VRRP实例后，需要将两组VRRP实例添加进VRRP组中，在菜单“VRRP组”中点击增加，创建VRRP组。

图8-28 创建VRRP组

如下图所示，应用添加完成的“test”VRRP组。

图8-29 应用VRRP

（5）创建HTTP服务器，对Web服务器进行防护（此处主备WAF配置相同）。

图8-30 创建HTTP服务器

图8-31 配置安全防护策略

8.9 验证配置

· 访问受保护的网站，URL为http://172.16.101.74，可以正常访问。

· 加上攻击参数再次访问网站，URL为http://172.16.101.74/forum.php?id=1 and 1=1，网站不能访问。

· 选择"日志系统>攻击日志"，查看攻击日志，可以看到攻击拦截的详细信息，证明Web应用防火墙已经正常防护。

· 将链路中的主机手动关机或断电，加上攻击参数再次访问网站，URL为http://172.16.101.74/forum.php?id=1 and 1=1，网站不能访问。

· 在备机上查看有攻击日志，证明流量已切换至备机。

9 旁路反向代理双机模式部署配置举例

9.1 简介

Web应用防火墙旁路在网络中，基于TCP数据包的检测，采用代理转发的技术。客户端访问地址为Web应用防火墙的IP地址，请求至WAF后由WAF代理转发，以自身的IP地址向服务器发起请求，服务器回包时回给WAF，由WAF再封装数据包，以WAF的IP地址回复客户端。当检测到报文中有攻击流量时，WAF向客户端返回HTTP响应码400，带有攻击语句的HTTP请求数据并未转发给服务器。

· 部署优势

¡ 仅HTTP/HTTPS流量上WAF，不影响其它流量。

¡ 支持HTTPS防护。

¡ 当主设备出现故障时，流量会自动切换至备设备。

¡ 支持IPv6。

· 部署劣势

¡ 反向代理仅支持主备模式，不支持主主模式。

· 支持功能

· 支持协议

HTTP、HTTPS。

· 特点

Web应用防火墙需配置业务IP。

· 推荐场景

1、将有网页防篡改功能需求的设备作为主设备。后续使用主设备配置同步到备设备上，否则会覆盖备设备正在使用的防篡改配置。

2、有HTTPS需求，且需求主备切换。

9.2 配置前提

9.3 使用限制

Web应用防火墙接入网络过程中会造成短暂断网，需提前划分好网桥和网络接口，确保客户端、服务端和Web应用防火墙网络可达。

9.4 适用产品和版本

此配置举例适用在E6201以上版本验证测试，涉及IPv6的场景需升级到E6203版本。

9.5 组网需求

如下图所示，两台Web应用防火墙旁路部署在服务器区交换机上，对Web服务器进行防护。

图9-1 组网图

9.6 部署说明

允许的情况下，尽量将WAF部署靠近DMZ服务端的区域。

9.7 配置思路

按照组网图组网。

（1）创建新的网桥，并把接入网络的port口划分到新网桥中。

（2）添加HA管理的VRRP配置，配置双机主备部署。

（3）创建HTTP服务器，配置安全防护策略，对Web服务器进行防护。

（4）对于现网流量大，访问服务器会话较多，推荐在web防护策略中关闭访问日志（默认为关闭访问日志）。

9.8 配置步骤

9.8.1 主WAF配置

（1）创建新的网桥，并把接入网络的port口划分到新网桥中。

如下图所示，在“网络管理>网络接口>网桥接口”中，点击增加，创建网桥br10。

图9-2 新建网桥-br10

如下图所示，在网桥br10上添加业务IP：

图9-3 添加业务IP-br10

如下图所示，在网络管理>网络接口>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br10。

图9-4 port口划分到新网桥

（2）添加VRRP策略，配置双机模式。

选择菜单“HA管理>VRRP配置”进入VRRP配置页面，点击增加，新增VRRP实例。

如下图所示，第一步配置冗余ID及设备状态，“冗余ID”为1，绑定接口选择接口“br10”,具体配置参数如下，配置完成点击下一步。

设备状态为主时，流量会优先到主机上，由主机进行检测，当主机出现故障时，流量可实时切换到备机上进行检测，不会影响客户网络中的业务。

注：配置备机时保持与主机“冗余ID”相同，“优先级”低于100，“状态”为备。

图9-5 创建VRRP实例-1

如下图所示，第二步配置虚拟IP，点击增加，新增虚拟IP，此处注意备机与主机冗余IP相同，配置完成点击下一步。

图9-6 创建VRRP实例-2

如下图所示，第三步配置物理链路绑定接口，点击增加，新增物理接口，选择分配到br10的接口GE0/2，配置完成点击保存。

图9-7 创建VRRP实例-3

如下图所示，配置完VRRP实例后，需要将两组VRRP实例添加进VRRP组中，在菜单“VRRP组”中点击增加，创建VRRP组。

图9-8 创建VRRP组

如下图所示，应用添加完成的“test”VRRP组。

图9-9 应用VRRP

（3）创建HTTP服务器，对Web服务器进行防护。

如下图所示，选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面，点击增加，新建HTTP服务器，具体参数配置如下，其中IP地址和端口为真实服务器的IP和端口，防护模式选择代理模式。配置完成后点击保存。

图9-10 创建HTTP服务器

如下图所示，选择菜单“服务器管理>代理服务器管理”进入代理服务器配置页面，点击“增加”，新建HTTP代理服务器，IP地址填写Web应用防火墙配置VRRP的虚IP，具体参数配置如下，后端服务器选择“test”。配置完成后点击保存。

图9-11 创建代理服务器

图9-12 配置安全防护策略

9.8.2 备WAF配置

创建新的网桥，并把接入网络的port口划分到新网桥中。

如下图所示，在“网络管理>网络接口>网桥接口”中，点击增加，创建网桥br10。

图9-13 新建网桥-br10

如下图所示，在网桥br10上添加业务IP：

图9-14 添加业务IP-br10

如下图所示，在网络管理>网络接口>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br10。

图9-15 port口划分到新网桥

（2）添加VRRP策略，配置双机模式。

选择菜单“HA管理>VRRP配置”进入VRRP配置页面，点击增加，新增VRRP实例。

如下图所示，第一步配置冗余ID及设备状态，“冗余ID”为1，绑定接口选择接口“br10”,具体配置参数如下，配置完成点击下一步。

设备状态为主时，流量会优先到主机上，由主机进行检测，当主机出现故障时，流量可实时切换到备机上进行检测，不会影响客户网络中的业务。

注：配置备机时保持与主机“冗余ID”相同，“优先级”低于主设备的100，“状态”为备。

图9-16 创建VRRP实例-1

如下图所示，第二步配置虚拟IP，点击增加，新增虚拟IP，此处注意备机与主机冗余IP相同，配置完成点击下一步。

图9-17 创建VRRP实例-2

如下图所示，第三步配置物理链路绑定接口，点击增加，新增物理接口，选择分配到br10的接口GE0/2，配置完成点击保存。

图9-18 创建VRRP实例-3

如下图所示，配置完VRRP实例后，需要将两组VRRP实例添加进VRRP组中，在菜单“VRRP组”中点击增加，创建VRRP组。

图9-19 创建VRRP组

如下图所示，应用添加完成的“test”VRRP组。

图9-20 应用VRRP

（3）创建HTTP服务器，对Web服务器进行防护。

图9-21 创建HTTP服务器

图9-22 创建代理服务器

图9-23 配置安全防护策略

9.9 验证配置

· 访问受保护的网站，URL为http://172.16.101.100，可以正常访问。

· 加上攻击参数再次访问网站，URL为http://172.16.101.100/forum.php?id=1 and 1=1，网站不能访问。

· 选择"日志系统>攻击日志"，查看攻击日志，可以看到攻击拦截的详细信息，证明Web应用防火墙已经正常防护。

· 将链路中的主机手动关机或断电，加上攻击参数再次访问网站，URL为http://172.16.101.100/forum.php?id=1 and 1=1，网站不能访问。

· 在备机上查看攻击日志，证明流量已切换至备机。

10 PBR策略路由实现物理旁路逻辑透明单机配置举例

虚拟web应用防火墙不支持该部署模式。

10.1 简介

本文档介绍了Web应用防火墙通过PBR策略路由实现物理旁路逻辑透明部署配置举例。WAF虽旁路部署在交换机侧，但通过流量牵引后，其模式仍为透明流模式。当检测到报文中有攻击流量时，WAF会分别向客户端和服务器发送了RST报文，断开TCP连接。

· 部署优点

此模式部署简单，可实现设备物理上旁路，逻辑上透明部署，支持的防护功能较全面，可支持网段和多端口防护策略，性能高。

· 部署劣势

¡ 不支持HTTPS，因为不拆包，检测效果较透明代理要差一些。

¡ 支持软硬件bypass，支持双机模式保证高可用性。

· 支持功能

· 支持协议

HTTP。

· 特点

Web应用防火墙无须配置通信IP，仅配置管理IP即可。

· 推荐场景

对性能要求高且客户不想串联部署的场景。

10.2 配置前提

10.3 使用限制

WAF接入网络过程中会造成短暂断网，需提前划分好网桥和网络接口。

10.4 适用产品和版本

此配置举例适用在E6201以上版本验证测试。。

10.5 组网需求

单台WAF旁路部署在交换机侧，通过策略路由将客户端访问服务端的流量牵引至WAF，WAF回包给服务器，服务器响应包进入sw1时，通过策略路由将流量牵引至WAF，WAF再回给客户端，从而实现物理上旁路，逻辑上透明组网。

组网图：

10.6 配置步骤

（1）WAF的接口及路由配置

登录Web应用防火墙：启动IE/CHROME浏览器，在地址栏内输入“https://192.168.0.1”即可进入Web网管登录页面。输入用户名“admin”、密码“admin”，点击<登录>按钮即可进入Web网管页面并进行相关操作。

登录应用防火墙后点击左侧菜单：网络管理-网络接口。与交换机直连接口GE0/1默认在网桥br2中。

双击网桥接口br2，在弹出界面中，点击下一步，点击增加，增加桥br2接口IP：192.168.10.7，界面如下图。

点击“网络管理-路由配置”，点击增加，增加WAF到交换机sw1的路由。

（2）服务器配置

说明：服务器配置即配置后端的保护站点，本例中后端保护站点IP地址为：101.10.5.200。

点击左侧菜单“服务器管理-普通服务器管理-HTTP服务器”，点击增加。

服务器名称：S1

IP地址：后端保护站点的IP地址。

端口：后端保护站点的端口。

部署模式：串联

防护模式：流模式。

（3）安全策略配置

说明：安全策略配置的目的是对后端保护站点添加相应的防护规则，如特征防护规则、扫描防护规则等，选择哪种规则根据实际需求配置。

进入“应用安全防护-Web防护策略”，点击增加，新增WEB防护策略，该例选择默认的通用规则。如下图。

（4）交换机配置

如组网图所示，交换机sw1作为三层交换机，客户端、服务端、WAF的网关均指向sw1。sw2作为二层设备，不做路由配置，仅做报文转发。

进入交换机sw1：

配置客户端、服务端、WAF的网关地址。

[SW]interface Vlan-interface 168
[SW -Vlan-interface168]dis this
interface Vlan-interface168
ip address 192.168.10.1 255.255.255.0
[SW]interface Vlan-interface 1100
[SW -Vlan-interface1100]dis this
interface Vlan-interface1100
ip address 101.10.0.1 255.255.255.0
[SW]interface Vlan-interface 1105
[SW -Vlan-interface1105]dis this
interface Vlan-interface1105
ip address 101.10.5.1 255.255.255.0

新建两条ACL规则，客户端去服务器方向流量，基于目的地址为服务器的规则；服务器回客户端的流量，基于源地址为服务器的流量。

[SW]acl number 3010
[SW -acl-adv-3010]rule 0 permit ip destination 101.10.5.200 0
[SW]acl number 3020
[SW -acl-adv-3020]rule 0 permit ip source 101.10.5.200 0

新建两条PBR策略路由aaa和bbb，匹配相应的ACL规则，下一跳为WAF的接口地址。

[SW]policy-based-route aaa permit node 5
[SW -pbr-aaa-5]if-match acl 3010
[SW -pbr-aaa-5]apply next-hop 192.168.10.7
[SW -pbr-aaa-5]quit
[SW]policy-based-route bbb permit node 5
[SW -pbr-aaa-5]if-match acl 3020
[SW -pbr-aaa-5]apply next-hop 192.168.10.7
[SW -pbr-aaa-5]quit

分别进入客户端和服务端vlan子接口，客户端引用规则aaa，服务端引用规则bbb。

[SW]int vlan1100
[SW -Vlan-interface1100] ip policy-based-route aaa
[SW]int vlan1105
[SW -Vlan-interface1100] ip policy-based-route bbb

进入交换机sw2，将接口划入vlan1105。

[SW]vlan 1105
[SW -vlan1105]port GigabitEthernet 1/0/18
[SW -vlan1105]port GigabitEthernet 1/0/1

10.7 验证配置

· 客户端PC访问保护站点：http://101.10.5.200，可以正常访问Web页面。

· 在”日志系统—访问日志”中，能看到正常访问时的访问日志。

对服务器进行SQL注入，如客户端URL输入http://101.10.5.200/vulnerabilities/sqli/?id=1 and 1=1，WEB页面被阻断。

进入”日志系统—攻击日志“，可以看到规则类型为“SQL注入”的攻击日志。

11 PBR策略路由实现物理旁路逻辑透明双机主备配置举例

虚拟web应用防火墙不支持该部署模式。

11.1 简介

· 部署优点

此模式部署简单，可实现设备物理上旁路，逻辑上透明部署，支持的防护功能较全面，可支持网段和多端口防护策略，性能高，当主设备出现故障时，流量会自动切换至备设备。

· 部署劣势

¡ 不支持HTTPS，因为不拆包，检测效果较透明代理要差一些。

¡ 支持软硬件bypass，支持双机模式保证高可用性。

· 支持功能

· 支持协议

HTTP。

· 特点

Web应用防火墙无须配置通信IP，仅配置管理IP即可。

· 推荐场景

对性能要求高且客户不想串联部署的场景。

11.2 配置前提

11.3 使用限制

WAF接入网络过程中会造成短暂断网，需提前划分好网桥和网络接口。

11.4 适用产品和版本

此配置举例适用在E6201以上版本验证测试。

11.5 组网需求

两台WAF旁路部署在交换机侧，配置VRRP主备关系，通过策略路由将客户端访问服务端的流量牵引至WAF，WAF回包给服务器，服务器响应包进入sw1时，通过策略路由将流量牵引至WAF，WAF再回给客户端，从而实现物理上旁路，逻辑上透明组网。

图11-1 Web应用防火墙配置举例组网图

11.6 配置步骤

11.6.1 交换机配置

如组网图所示，交换机sw1作为三层交换机，客户端、服务端、WAF的网关均指向sw1。sw2作为二层设备，不做路由配置，仅做报文转发。

进入交换机sw1：

配置客户端、服务端、WAF的网关地址。

[SW]interface Vlan-interface 168

[SW -Vlan-interface168]dis this

interface Vlan-interface168

ip address 192.168.10.1 255.255.255.0

[SW]interface Vlan-interface 1100

[SW -Vlan-interface1100]dis this

interface Vlan-interface1100

ip address 101.10.0.1 255.255.255.0

[SW]interface Vlan-interface 1105

[SW -Vlan-interface1105]dis this

interface Vlan-interface1105

ip address 101.10.5.1 255.255.255.0

新建两条ACL规则，客户端去服务器方向流量，基于目的地址为服务器的规则；服务器回客户端的流量，基于源地址为服务器的流量。

[SW]acl number 3010

[SW -acl-adv-3010]rule 0 permit ip destination 101.10.5.200 0

[SW]acl number 3020

[SW -acl-adv-3020]rule 0 permit ip source 101.10.5.200 0

新建两条PBR策略路由aaa和bbb，匹配相应的ACL规则，下一跳为WAF的VRRP虚拟地址。

[SW]policy-based-route aaa permit node 5

[SW -pbr-aaa-5]if-match acl 3010

[SW -pbr-aaa-5]apply next-hop 192.168.10.254

[SW -pbr-aaa-5]quit

[SW]policy-based-route bbb permit node 5

[SW -pbr-aaa-5]if-match acl 3020

[SW -pbr-aaa-5]apply next-hop 192.168.10.254

[SW -pbr-aaa-5]quit

分别进入客户端和服务端vlan子接口，客户端引用规则aaa，服务端引用规则bbb。

[SW]int vlan1100

[SW -Vlan-interface1100] ip policy-based-route aaa

[SW]int vlan1105

[SW -Vlan-interface1100] ip policy-based-route bbb

进入交换机sw2，将接口划入vlan1105。

[SW]vlan 1105

[SW -vlan1105]port GigabitEthernet 1/0/18

[SW -vlan1105]port GigabitEthernet 1/0/1

11.6.2 主WAF配置

(1) 登录应用防火墙后点击左侧菜单：网络管理-网络接口。

双击网桥接口br2，在弹出界面中，点击下一步，点击增加，增加桥br2接口IP：192.168.10.7，界面如下图：

点击“网络管理-路由配置”，点击增加，增加WAF到交换机sw1的路由。

(2) 服务器配置

说明：服务器配置即配置后端的保护站点，本例中后端保护站点IP地址为：101.10.5.200。

进入“服务器管理-普通服务器管理-HTTP服务器”，点击增加。

服务器名称：S1

IP地址：后端服务器的IP地址。

端口：后端服务器端口。

部署模式：串联

防护模式：流模式。

(3) VRRP配置

说明：VRRP配置即配置两台WAF主备关系，根据状态及优先级来选择主备关系。

进入“HA管理-VRRP配置-VRRP实例”，点击增加。

点击下一步，增加VRRP虚拟IP地址：192.168.10.254（WAF2配置地址相同）：

点击下一步，选择br2对应的物理接口GE0/1。

进入VRRP组，点击增加，将左侧的VRRP实例列表点击至右侧，点击保存。

注：以上在两台WAF上VRRP配置完成后，需点击右上角应用才能生效。

（4）安全策略配置

说明：安全策略配置的目的是对后端保护站点添加相应的防护规则，如特征防护规则、扫描防护规则等，选择哪种规则根据实际需求配置。

进入“应用安全防护-Web防护策略”，点击增加，新增WEB防护策略，选择默认的通用规则。如下图。

11.6.3 备WAF配置

(1) 登录应用防火墙后点击左侧菜单：网络管理-网络接口。

双击网桥接口br2，在弹出界面中，点击下一步，点击增加，增加桥br2接口IP：192.168.10.8

点击“网络管理-路由配置”，点击增加，增加WAF到交换机sw1的路由。

(2) 服务器配置

说明：服务器配置即配置后端的保护站点，本例中后端保护站点IP地址为：101.10.5.200。

进入“服务器管理-普通服务器管理-HTTP服务器”，点击增加。

服务器名称：S1

IP地址：后端服务器的IP地址。

端口：后端服务器端口。

部署模式：串联

防护模式：流模式。

(3) VRRP配置

说明：VRRP配置即配置两台WAF主备关系，根据状态及优先级来选择主备关系。

进入“HA管理-VRRP配置-VRRP实例”，点击增加。优先级为99，低于主WAF的100

点击下一步，增加VRRP虚拟IP地址：192.168.10.254

点击下一步，选择br2对应的物理接口GE0/1。

进入VRRP组，点击增加，将左侧的VRRP实例列表点击至右侧，点击保存。

注：以上在两台WAF上VRRP配置完成后，需点击右上角应用才能生效。

（4）安全策略配置

说明：安全策略配置的目的是对后端保护站点添加相应的防护规则，如特征防护规则、扫描防护规则等，选择哪种规则根据实际需求配置。

进入“应用安全防护-Web防护策略”，点击增加，新增WEB防护策略，选择默认的通用规则。如下图。

11.7 验证配置

· 客户端PC访问保护站点：http://101.10.5.200，可以正常访问Web页面。

· 点击”日志系统—访问日志”，能看到正常访问时的访问日志。

· 对服务器进行SQL注入，如客户端URL输入http://101.10.5.200/vulnerabilities/sqli/?id=1 and 1=1，WEB页面被阻断。

· 进入”日志系统—攻击日志“，可以看到命中规则类型为“SQL注入”的攻击日志。

· 断开主设备接口或给主设备断电，客户端再次对服务器进行SQL注入攻击，此时页面被阻断。

· 进入备设备，在“日志系统-攻击日志”中，可以看到命中规则类型为“SQL注入”的攻击日志。

12 链路聚合部署配置举例

虚拟web应用防火墙不支持该部署模式。

12.1 简介

链路聚合是指将多个物理端口汇聚在一起，形成一个逻辑端口，以实现出/入流量吞吐量在各成员端口的负荷分担。

12.2 配置前提

12.3 使用限制

Web应用防火墙接入网络过程中会造成短暂断网，需提前划分好网桥和网络接口。

Web应用防火墙默认支持静态聚合，如需配置动态链路聚合，需在WAF命令行执行channel -M -m 4命令开启动态模式，执行完命令后需在重启Web应用防火墙后配置生效。不支持静态模式和动态模式共存。

12.4 适用产品和版本

此配置举例适用在E6201以上版本验证测试。

12.5 组网需求

如下图所示，web应用防火墙配置channel模式串联部署在交换机中，对Web服务器进行防护。

图12-1 组网图

12.6 部署说明

允许的情况下，尽量将WAF部署靠近DMZ服务端的区域。

12.7 配置思路

（1）交换机配置链路聚合。

（2）创建网桥。

（3）创建聚合接口。

（4）把port接口划分到聚合接口中。

12.8 配置步骤

（1）交换机配置链路聚合

如下图所示，靠近客户端的交换机配置链路聚合，将接口GE1/0/1和GE1/0/2加入到聚合组1中。

图12-2 交换机链路聚合配置-1

如下图所示，靠近服务器端的交换机配置链路聚合，将接口GE1/0/3和GE1/0/4加入到聚合组2中。

图12-3 交换机链路聚合-2

（2）创建新的网桥

如下图所示，在“网络管理>网络接口>网桥接口”中，点击增加，创建网桥br10。

图12-4 新建网桥-br10

如下图所示，根据服务器部署模式，部分部署模式需要添加业务IP时，给网桥br10增加业务IP地址。

图12-5 增加业务IP地址

（3）创建聚合接口

如下图所示，在网络管理>网络接口>channel接口中增加聚合接口1和2。

图12-6 增加聚合接口

（4）把port接口划分到聚合接口中

如下图所示，在网络管理>网络接口>Port接口中编辑port接口。接口GE0/0和GE0/1的“channel接口”选择1。GE0/2和GE0/3的“channel接口”选择2。

图12-7 Port接口配置聚合接口

如下图所示，在网络管理>网络接口>channel接口中把channel接口的1和2接口的“网桥接口”选择br10。

图12-8 聚合口划分到网桥中

12.9 验证配置

客户端访问服务端，断开Web应用防火墙的聚合口中的一个物理接口，不影响正常访问。

13 Trunk部署配置举例

虚拟Web应用防火墙不支持该部署模式。

13.1 简介

Trunk模式适用网络部署中存在不同局域网的情况，部署时需要在交换机中添加Trunk接口，通过在Trunk接口上设置允许的VLAN来实现H3C Sec Path Web应用防火墙系统对不同局域网中的服务器进行防护的功能。

13.2 配置前提

13.3 使用限制

Web应用防火墙接入网络过程中会造成短暂断网，需提前划分好网桥和网络接口。

13.4 适用产品和版本

此配置举例适用在E6201以上版本验证测试。。

13.5 组网需求

如下图所示，Web应用防火墙配置trunk模式部署在交换机中，对Web服务器进行防护。

图13-1 组网图

13.6 部署说明

允许的情况下，尽量将WAF部署靠近DMZ服务端的区域。

13.7 配置思路

（1）创建网桥，把port接口划分到新建网桥中。

（2）创建trunk接口。

13.8 配置步骤

（1）创建新的网桥

如下图所示，在“网络管理>网络接口>网桥接口”中，点击增加，创建网桥br10。

图13-2 新建新的网桥

点击下一步，进行第二步配置，如下图所示，点击保存即可。

图13-3 增加网桥第二步配置

（2）把port接口划分到网桥中

如下图所示，在网络管理>网络接口>Port接口中编辑port接口，将接口GE0/0、GE0/1加入到网桥10。

图13-4 Port接口配置

（3）创建trunk接口

在网络管理>网络接口>trunk接口中，点击增加弹出Trunk接口配置，接口选择br10，VLAN标签填写2，配置完成点击下一步。

图13-5 增加trunk接口

如下图所示，如需配置IP可添加业务IP，无需配置IP时点击保存。

图13-6 保存trunk配置

14 网页防篡改配置举例

虚拟Web应用防火墙不支持网页防篡改。

Linux下网页防窜改客户端卸载：/etc/init.d/webkeeper uninstall 密码 wkspace

Windows下网页防窜改客户端卸载：控制面板中卸载，密码wkasspace

14.1 简介

网页防篡改是一种防止攻击者修改Web页面的技术，可以有效的阻止攻击者对网站内容进行破坏，尤其是在攻击者突破Web应用防火墙的防护后，依然可以有效的保护网站。

网页防篡改采用目前先进的系统驱动级文件保护技术（第三代防篡改技术），基于事件触发式监测机制。相比轮询检测、内嵌技术等传统类防护技术，第三代防篡改技术具有响应速度快、判断准确、资源占用少及部署灵活等特点。

14.2 配置前提

14.3 使用限制

部署防篡改客户端时需要重启服务器，因此部署时需要协调好部署时间，以防在部署时重启服务器影响业务。

保证Web应用防火墙与防篡改的服务端互通。

14.4 适用产品和版本

Windows防篡改端支持在Windows server 2003 32位、Windows server 2008 32/64位、Windows server 2012 64位、Windows server 2016 64位系统上安装。

Linux防篡改端支持在Debian/Ubuntu/CentOS/Redhat等主流Linux系统的32位及其64位系统安装。

14.5 组网需求

网络可达即可。

14.6 配置思路

（1）下载防篡改客户端。

（2）在WAF上探测防护端。

（3）在防护端配置防护策略。

14.7 配置步骤

（1）下载防篡改客户端

本配置以Windows 2012为例，请按照实际情况确定下载防护端版本。在防护的服务器上，通过浏览器登录Web应用防火墙，在网页防篡改->防护客户端下载中按需求下载客户端软件，如下图所示。

下载客户端后，进行安装，安装最后一步，需要填写管理中心IP（即Web应用防火墙的地址），如下图所示。

注意：只需配置管理中心IP，其它保持默认配置。安装完成后需要重启服务器。

（2）在WAF上探测防护端

在网页防篡改>防护服务器探测中，查看探测到的服务器信息，点击生成配置，完成相关配置，配置完成后，服务器信息会自动转存到网页防篡改配置中，可在网页防篡改配置中再次对服务器进行配置修改。

图14-1 网页防篡改探测

（3）在防护端配置防护策略。

第一步，基本配置，详细参数如下，配置完点击下一步

Web名称：填写策略名称；

主机名：服务器主机名，不可修改；

IP地址：服务器IP地址；

是否启用：是否启用策略，选择是；

工作模式：可选防护模式或监控模式；

注意：工作模式分为防护模式和监控模式，默认是防护模式，防护模式下对防护目标起防护作用并记录日志。监控模式下对防护目标保持监控状态，只报警不防护，并通过报警日志作为优化防护策略的参考，此模式下可大大降低部署防篡改时因策略不恰当导致的误防护情况。优化策略后再改变工作模式为防护模式即可。

图14-2 配置选项1

第二步，细节配置，详细参数如下，配置完点击下一步

操作系统类型：选择操作系统类型；

Web根目录：输入Web根目录的绝对目录；

例外目录/文件：添入例外目录/文件的相对路径，添加的目录/文件将不会被保护，（此处要求填相对目录）；

说明：通常网站中有部分文件夹是客户内部管理用于上传文件的，需要设置成例外。还有如网站管理平台周期性写入的log文件等。

例外文件类型：可以是*.txt、*.xml等文件类型，这些文件类型将不会被保护；

例外进程：例外进程可以对Web根目录下的文件进行修改。

说明：用于网站后台同步数据的进程也需要设置成例外。

图14-3 配置选项2

注意：

1、web根目录是需要防护的网页目录文件夹，保护的是目录内的文件，图片，文档等信息不被进行非法操作。防篡改不能对数据库等动态文件起防护作用。

2、数据库应该不在防护目录之下，尽量与防护目录同级目录或不再同一磁盘下。

3、若数据库在防护目录内，可在例外目录/文件选择数据库目录对数据库目录例外，例外后不对该例外目录起防护效果。

第三步，无需配置，点击完成即可。

14.8 验证配置

· 在防护目录中新增文件。

查看防篡改日志。

windows防护端因为替换了代码签名，对winserver2008R2系统有要求，windows Server 2008 R2版本没有打相应微软要求的安全补丁会导致安装驱动提示错误。

①补丁SP1：https://www.microsoft.com/zh-cn/download/details.aspx?id=5842；

②补丁39029：

32位系统补丁：http://www.wosign.com/download/Windows6.1-KB3033929-x86.zip；

64位系统补丁：http://www.wosign.com/download/Windows6.1-KB3033929-x64.zip。

先要求打了SP1的安全补丁，再要求打39029补丁，如果系统本身已经是SP1版本的情况下，直接打39029补丁即可。

15 IPV6旁路反向代理配置举例

15.1 简介

因IPV4地址的局限性，IPV6地址取代IPV4是大势所趋。本次配置举例主要介绍在WAF上如何配置，使得IPV4客户端可以访问IPV6服务器（简称IPV4反代IPV6），以及使得IPV6客户端能够访问IPV4服务器（简称IPV6反代IPV4）。

15.2 配置前提

15.3 使用限制

Web应用防火墙接入网络过程中会造成短暂断网，需提前划分好网桥和网络接口。

15.4 适用产品和版本

此配置举例适用在E6201以上版本验证测试。。

15.5 组网需求

如下图所示，Web应用防火墙旁路部署在服务器区交换机上，对Web服务器进行防护。

15.6 部署说明

允许的情况下，尽量将WAF部署靠近DMZ服务端的区域。

15.7 配置思路

按照组网图组网。

（1）创建网桥，配置WAF业务IP和路由。

（2）创建HTTP服务器，配置安全防护策略，对Web服务器进行防护。

15.8 配置步骤

（1）创建网桥，配置WAF业务IP和路由

如下图所示，在“网络管理>网络接口>网桥接口”中，点击增加，创建网桥br10。

图15-1 新建网桥-br10

如下图所示，在网桥br10中增加业务IP地址。

注意：IPV4反代IPV6，或者IPV6反代IPV4，必须在同一个桥接口下同时配置IPV4地址和IPV6地址。

图15-2 增加业务IP地址

如下图所示，在网络管理>路由配置中增加路由。

图15-3 增加IPV4路由

图15-4 增加IPV6路由

如下图所示，在网络管理>网络接口>Port接口中编辑port接口。接口GE0/0的“网桥接口”选择br10。

图15-5 port口划分到新网桥

（2）创建HTTP服务器，对Web服务器进行防护。

图15-6 创建IPV4 HTTP服务器

图15-7 创建IPV6 HTTP服务器

图15-8 增加IPV4反代IPV6的代理服务器

图15-9 增加IPV6反代IPV4的代理服务器

如下图所示，选择“应用安全防护>Web防护策略”进入Web防护策略管理界面。点击增加，新增Web防护策略。在“服务器”中分别选择IPV4和IPV6服务器，根据需要进行防护策略的配置，配置完成后点击保存。

图15-10 配置IPV4服务器安全防护策略

图15-11 配置IPV6服务器安全防护策略

15.9 IPV4反代IPV6的验证配置

· 客户端访问IPV4的反代IP地址和端口，URL为http://101.10.4.3:8003，可以正常访问。

· 加上攻击参数再次访问网站，URL为http://101.10.4.3:8003/login.php?id=1 and 1=1，网站不能访问。

· 选择"日志系统>攻击日志"，查看攻击日志，可以看到攻击拦截的详细信息，证明WAF已经正常防护，且后端服务器为IPV6地址。

15.10 IPV6反代IPV4的验证配置

· 客户端访问IPV6的反代IP地址和端口，URL为http://[2019:101:10:4::3]:8002，可以正常访问。

· 加上攻击参数再次访问网站，URL为http://[2019:101:10:4::3]:8002/login.php?id=1 and 1=1，网站不能访问。

· 选择"日志系统>攻击日志"，查看攻击日志，可以看到攻击拦截的详细信息，证明WAF已经正常防护，且后端服务器为IPV4地址。

16 IPV6串联反向代理配置举例

虚拟web应用防火墙不支持该部署模式。

16.1 简介

16.2 配置前提

16.3 使用限制

Web应用防火墙接入网络过程中会造成短暂断网，需提前划分好网桥和网络接口。

16.4 适用产品和版本

此配置举例适用在E6201以上版本验证测试。

16.5 组网需求

如下图所示，Web应用防火墙旁路部署在服务器区交换机上，对Web服务器进行防护。

16.6 部署说明

允许的情况下，尽量将WAF部署靠近DMZ服务端的区域。

16.7 配置思路

按照组网图组网。

（1）创建网桥，配置WAF业务IP和路由。

（2）创建HTTP服务器，配置安全防护策略，对Web服务器进行防护。

16.8 配置步骤

（1）创建网桥，配置WAF业务IP和路由

如下图所示，在“网络管理>网络接口>网桥接口”中，点击增加，创建网桥br10。

图16-1 新建网桥-br10

如下图所示，在网桥br10中增加业务IP地址。

注意：IPV4反代IPV6，或者IPV6反代IPV4，必须在同一个桥接口下同时配置IPV4地址和IPV6地址。

图16-2 增加业务IP地址

如下图所示，在网络管理>路由配置中增加路由。

图16-3 增加IPV4路由

图16-4 增加IPV6路由

如下图所示，在网络管理>网络接口>Port接口中编辑port接口。接口GE1/1和GE1/2的“网桥接口”选择br10。

图16-5 port口划分到新网桥

（2）创建HTTP服务器，对Web服务器进行防护。

图16-6 创建IPV4 HTTP服务器

图16-7 创建IPV6 HTTP服务器

图16-8 增加IPV4反代IPV6的代理服务器

图16-9 增加IPV6反代IPV4的代理服务器

图16-10 配置IPV4服务器安全防护策略

图16-11 配置IPV6服务器安全防护策略

16.9 IPV4反代IPV6的验证配置

· 客户端访问IPV4的反代IP地址和端口，URL为http://101.1.26.100:8003，可以正常访问。

· 加上攻击参数再次访问网站，URL为http://101.1.26.100:8003/login.php?id=1 and 1=1，网站不能访问。为400 Bad Request

· 选择"日志系统>攻击日志"，查看攻击日志，可以看到攻击拦截的详细信息，证明WAF已经正常防护，且后端服务器为IPV6地址。

16.10 IPV6反代IPV4的验证配置

· 客户端访问IPV6的反代IP地址和端口，URL为http://[2019:101:1:26::100]:8002，可以正常访问。

· 加上攻击参数再次访问网站，URL为http://[2019:101:1:26::100]:8002/login.php?id=1 and 1=1，网站不能访问。400 Bad Request

· 选择"日志系统>攻击日志"，查看攻击日志，可以看到攻击拦截的详细信息，证明WAF已经正常防护，且后端服务器为IPV4地址。

17 安全情报中心配置举例

17.1 简介

安全情报中心，同国际主流数据源、国内情报源进行对接，获取威胁情报。通过情报中心，可以基于实时更新的问题IP、黑链进行动态防护，并通过多样化的图表进行数据展示。更加准确的进行防护与溯源。

17.2 配置前提

17.3 使用限制

Web应用防火墙接入网络过程中会造成短暂断网，需提前划分好网桥和网络接口。

17.4 适用产品和版本

此配置举例适用在E6201以上版本验证测试。

17.5 组网需求

17.6 部署说明

需要连通外部网络环境使用。

17.7 配置思路

该功能是WAF用来收集第三方情报库中的威胁情报的。配置情报来源、更新时间和获取方式，

保存之后WAF会自动从安全情报中心下载情报数据。

17.8 配置步骤

(1) 进入安全情报配置管理界面

如下图所示，选择“安全情报中心->安全情报中心配置”进入安全情报中心配置管理界面。

(2) 在管理界面中勾选【启用】点击保存即可，内置有自己的情报源。注：需要在联网环境下使用。

(3)

(4) 保证联网正常情况，等待一段时间，情报展示对应数据。

(5) 【可选】若是拥有其他的第三方情报源，勾选【高级】，编辑威胁情报源厂商参数。

(6) 点击保存，保存配置。

18 服务器负载均衡配置举例

18.1 简介

服务端目前有多负载均衡服务器，实现业务应用链路负载，提高链路稳定性与可靠性。

18.2 配置前提

18.3 使用限制

不支持负载HTTPS服务器。

负载均衡服务器只支持透明反向代理和旁路反代模式。

18.4 适用产品和版本

此配置举例适用在E6201以上版本验证测试，以旁路反向代理为例。

18.5 组网需求

18.6 部署说明

允许的情况下，尽量将WAF部署靠近DMZ服务端的区域。

18.7 配置思路

先添加多个需要负载的HTTP服务器，配置负载策略进行链路负载。

18.8 配置步骤

(1) 交换机上GE01/0/1、GE01/0/2、GE01/0/3加入同一vlan，并配置ip地址为202.3.27.1/16

(2) WAF配置网桥接口IP

(3) 添加路由保证代理地址可以和两个服务器及客户端均路由可达即可，在网路管理--路由配置中添加路由

(4) 配置服务器管理，普通服务器，添加要进行负载的服务器，客户端还原选择否，配置要进行负载的服务器。

(5) 配置负载服务管理器，根据需要选择对应的算法

(6) 下一步，设置代表服务器及对应权重，注意：必须配置代表服务器

(7) 创建代理服务器，后端代理服务器为配置好的负载服务器

(8) 设置负载服务器的防护策略。

18.9 攻击验证

· 访问代理地址http://202.3.27.8/login.php?id=1%20and%201=1

· 日志查看只显示代表服务器的日志，实际上两个服务器根据策略不同均可以抓到源地址的报文：

· 抓包查看,基于算法两个服务器都可以抓到报文

· 配置防护策略

19.8 配置步骤

(1) 交换机上GE01/0/1、GE01/0/2、GE01/0/3加入同一vlan，并配置ip地址为202.3.27.1/16

(2) WAF配置网桥接口IP

(3) 添加路由保证代理地址可以和服务器及客户端均路由可达即可，在网路管理--路由配置中添加路由

(4) 配置http服务器：

(5) 代理站点为https站点，并上传证书，后端服务器为之前配置的http站点。

(6) 配置防护策略

19.9 攻击验证

https://202.3.27.8/instructions.php?id=1%20and%201=9，访问是https,日志记录是http协议，进行了SSL卸载

热门推荐

热门推荐

H3C服务器

HPE服务器

热门推荐

H3C存储

HPE存储

热门推荐

商用台式机

商用笔记本

商用显示器

配件

热门推荐

热门推荐

智能终端

技术解决方案

行业解决方案

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

专业安全服务

安全运营服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

公司刊物

加入我们

国家/地区

H3C SecPath W2000-G2[AK4X5][G510][V-G2]系列Web应用防火墙 典型配置举例(E6202 E6203 R6203)-6W107

目录

1 Web应用防火墙部署概述

1.2 政务云场景-组网中无LB设备

1.2.1 硬件WAF组网

1.2.2 虚拟WAF组网

1. 组网推荐：

2. 使用限制：

3. 硬件WAF部署原则：

4. 虚拟WAF部署原则：

5. 部署参考：

1.3 政务云场景-组网中有LB设备

1.3.1 硬件WAF组网

1.3.2 虚拟WAF组网

1. 组网推荐：

2. 使用限制：

3. 硬件WAF部署原则：

4. 虚拟WAF部署原则

5. 部署参考：

1.4 政务云场景-组网中WAF和LB设备中间存在安全设备

1.4.1 硬件WAF组网

1. 组网推荐：

2. 使用限制：

3. 部署原则：

4. 部署参考：

1.5 传统数据中心场景-串联模式（首推）

1.6 传统数据中心场景-旁路模式（其次）

1.6.1 组网中无LB设备

1. 组网说明：

2. 组网推荐：

3. 使用限制：

4. 部署原则：

5. 部署参考：

H3C SecPath W2000-G2[AK4X5][G510][V-G2]系列Web应用防火墙典型配置举例(E6202 E6203 R6203)-6W107