手册下载
H3C SecPath W2000-G2[AK4X5][G510][V-G2]系列Web应用防火墙 典型配置举例(E6202_E6203_R6203)-6W107-整本手册.pdf (5.46 MB)
H3C SecPath W2000-G2[AK4X5][G510][V-G2]系列Web应用防火墙
典型配置举例
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目录
实际客户应用场景,并非只有WAF一种设备,而是多种设备融合,部署在一起层层把关,各司其职。基于WAF的应用目前只支持HTTP和HTTPS,所以重点防护WEB服务器。坚持的原则是尽量靠近WEB服务器,只防护HTTP和HTTPS的流量,减少对其它业务流量对设备性能的影响及单点故障的影响。
本文档实现基于WAF部署位置基于各个场景进行讨论,目的是减少因部署或者各个产品逻辑实现差异导致的问题,具体策略配置及部署可以参照典配,目前基于已知产品和场景给出推荐建议,给出政务云场景和传统数据中心场景下的推荐方案,后续根据现场需求会合入新的场景方案,具体部署可以根据实际需求进行相应调整。
本文档适用于W2000-G2系列Web应用防火墙。硬件WAF推荐使用E6201及以上版本,虚拟WAF推荐使用E6202及以上版本。
政务云环境一般是SDN纳管,要求租户之间互相隔离,这不仅体现在基础网络资源的隔离,也体现在租户的安全资源隔离。每个租户都独占自己的虚拟安全设备,相互之间无感知。从安全纳管方案的角度来说,SDN控制器通过Netconf纳管安全设备,并在安全设备上申请虚拟防火墙资源,分配给对应的租户使用,以租户方式进行业务区分,并且多以旁路方式进行部署。
组网推荐旁路反向代理(可双机)
· 旁路反向代理每桥IP地址最多支持8个,端口无限制。
· WAF不支持SDN纳管
· 硬件WAF不支持硬件虚拟化VWAF,不支持区分租户
· WAF不支持Vxlan
(1) 政务云场景下SDN纳管设备, 由于WAF不支持SDN纳管,不支持虚拟化或基于vpn隔离租户业务流量,所以在有IPS等安全设备的情况下,只能部署在FW(IPS)的上行。有的业务交换机上同时部署了Vxlan,而WAF也不支持Vxlan。所以基于目前场景组网,建议旁挂核心交换机上,放在纳管设备外层,尽量靠近server端。
(2) 服务器连接老化时间不定,WAF连接的老化时间为60秒,如果IPS设置了阻断,WAF 60秒后断开连接,服务器连接可能还在,存在连接不一致风险,可能会影响正常业务的使用。因此如果后端有防护设备如IPS设备,建议将IPS设备动作设置为重置或者不阻断比如放行、仅记日志等。
(3) 对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
VWAF可以实现基于租户的流量业务,每租户一个服务实例(VWAF),并且VWAF安装在服务器上,服务器一般可以实现Vxlan的剥离。所以建议将VWAF放在租户业务区,在租户业务区上线做反向代理,代理业务应用区的真实server。
有关此方案的具体配置步骤,请参考“旁路反向代理模式部署配置举例”。
政务云环境一般是SDN纳管,要求租户之间互相隔离,这不仅体现在基础网络资源的隔离,也体现在租户的安全资源隔离。每个租户都独占自己的虚拟安全设备,相互之间无感知。从安全纳管方案的角度来说,SDN控制器通过Netconf纳管安全设备,并在安全设备上申请虚拟防火墙资源,分配给对应的租户使用,以租户方式进行业务区分,并且多以旁路方式进行部署。
该场景下WAF下联多为LB设备,LB一般用于服务器业务的负载分担。
推荐组网旁路反向代理。
· 旁路反向代理每桥IP地址最多支持8个,端口无限制。
· WAF不支持SDN纳管
· WAF不支持硬件虚拟化VWAF,不支持区分租户
· WAF不支持Vxlan
如果使用旁路反向代理模式,该模式下每桥IP地址最多支持8个,那么LB实服务IP地址不能大于8个,这种场景下建议WAF放在LB前面;同时LB一般旁挂在核心交换机上,因此在有LB的情况下,建议将WAF部署在LB的上行,旁挂在核心交换机上。
(1) 如果单台VWAF可以满足性能要求:
VWAF不支持纳管,每租户一个服务实例(vWAF),可以实现基于租户的流量业务,且VWAF安装在服务器上,服务器可以实现Vxlan的剥离,所以建议将VWAF部署在租户业务区,在租户业务区上线做反向代理。
(2) 如果单台VWAF不能满足性能要求:
如果VWAF性能不能满足使用,或者server站点不满足使用,或者反向代理IP地址最多支持8个的限制, 一般会部署LB--NVWAF--LB-Nserver,一个租户多个VWAF,一个租户多个虚机(站点),并且VWAF不支持纳管,由于LB是被SDN纳管的,需配置LB的下行业务口保持上一跳,才能保证业务流量走向的正确。业务流量走向是LB--VWAF--LB--Server,所以建议VWAF放在租户业务区,在租户业务区上线做反向代理,代理LB的虚服务地址,通过LB的虚服务代理的实服务即为真实的server。
(3) 对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
有关此方案的具体配置步骤,请参考“旁路反向代理模式部署配置举例”。
政务云环境一般是SDN纳管,要求租户之间互相隔离,这不仅体现在基础网络资源的隔离,也体现在租户的安全资源隔离。每个租户都独占自己的虚拟安全设备,相互之间无感知。从安全纳管方案的角度来说,SDN控制器通过Netconf纳管安全设备,并在安全设备上申请虚拟防火墙资源,分配给对应的租户使用,以租户方式进行业务区分,并且多以旁路方式进行部署。
该场景下WAF上下联多为LB设备,LB一般用于服务器业务的负载分担。
推荐组网旁路反向代理(可双机)。
· 旁路反向代理每桥IP地址最多支持8个,端口无限制。
· WAF不支持纳管
· WAF不支持虚拟化VWAF,不支持区分租户
· WAF不支持Vxlan
由于WAF不接受SDN纳管,不支持虚拟化或基于vpn隔离租户业务流量,LB和IPS可以被SDN纳管,实现基于租户的业务,所以建议WAF部署在FW(IPS)上行。业务流量而且仍需按照WAF-IPS-LB这样的场景部署,但是存在问题是,遇到攻击的场景下,IPS如果也对HTTP协议进行处理的话,开启IPS防护策略后会导致部分请求被丢弃掉,WAF由于连接超时自动关闭了连接,而LB保留了TCP状态,链接处于established的状态,从而影响了后续WAF与LB连接的建立,最终导致WAF因为连接超时返回502给前端界面。
因此基于该场景建议WAF和LB的中间的安全设备,动作设置为重置,可以双向RST;或者动作为不阻断比如放行或者仅记日志。
对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
有关此方案的具体配置步骤,请参考“旁路反向代理模式部署配置举例”。
传统数据中心场景没有租户概念,多采用硬件WAF设备做防护,本章节以硬件WAF部署为例。
部署的原则是距离服务器越近越好,尽可能避免部署在出口或者核心交换机上。WAF部署离服务器越近,受到的干扰越小,流量压力也会小很多,其它设备出现的故障对WAF影响也会更小;而且一般情况下,越靠近server端,到达WAF的流量是经过前端设备解密后的http流量,避免WAF解密处理https流量,减少性能消耗。
基于硬件WAF的部署,我们首先推荐是串联模式,串联模式不能满足用户需求的情况下,其次再考虑旁路模式,如需支持IPV6则考虑透明反向代理或者旁路反向代理,客户是否接受访问的是WAF的代理地址,而非真实server地址。
(1) 首先,推荐使用透明流,如果只要求基础功能防护不涉及HTTPS、IPv6,或涉及网段防护,推荐透明流模式,仅流模式支持配置网段;
(2) 其次,推荐透明代理,如果防护站点不涉及HTTPS、IPv6时,串联组网一般推荐透明代理模式,因为防护效果好,稳定性好;
(3) 最后,如果防护站点含有HTTPS站点时,推荐使用透明反向代理。防护站点使用IPv6的话,需要考虑使用透明反向代理或是旁路反向代理模式,客户是否接受访问的是WAF的代理地址,而非真实server地址。
(4) 对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
WAF串联模式下IPv6需要部署为透明反向代理模式,需要配置代理服务器,客户端访问的为WAF的代理地址。
条件允许的情况下,建议尽量部署在靠近server端,可以部署在核心交换机和业务区中间,靠近核心交换机。
有关此方案的具体配置步骤,请参考如下典型配置举例:
传统数据中心场景没有租户概念,多采用硬件WAF设备做防护,本章节以硬件WAF部署为例。
部署的原则是距离服务器越近越好,尽可能避免部署在出口或者核心交换机上。WAF部署离服务器越近,受到的干扰越小,流量压力也会小很多,其它设备出现的故障对WAF影响也会更小;而且一般情况下,越靠近server端,到达WAF的流量是经过前端设备解密后的http流量,避免WAF解密处理https流量,减少性能消耗。
基于硬件WAF的部署,我们首先推荐是串联模式。
推荐组网为旁路反向代理(可双机),相对串联模式,该场景满足IPV6使用。
WAF旁路反向代理每桥IP地址最多支持8个,端口无限制。
因为主要检测HTTP及HTTPS协议,原则上需部署在最靠近服务端的接入的交换机上,减少非HTTP及HTTPS流量对WAF设备性能的影响,所以越靠近server越好,建议将WAF旁挂在业务接入交换机上。对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
有关此方案的具体配置步骤,请参考“旁路反向代理模式部署配置举例”。
推荐组网旁路反向代理(可双机)。
WAF旁路反向代理每桥IP地址最多支持8个,端口无限制。
因为主要检测HTTP及HTTPS协议,原则上需部署在最靠近服务端的接入的交换机上,如果部署旁路反代,并且LB的的虚服务代理的实服务大于8个,由于WAF的反代的代理IP数量限制,所以建议将WAF旁路部署在服务端业务接入交换机上,LB的上行,尽量靠近服务器端。对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
有关此方案的具体配置步骤,请参考“旁路反向代理模式部署配置举例”。
推荐组网旁路反向代理(可双机)。
WAF旁路反向代理每桥IP地址最多支持8个,端口无限制。
(1) 如果部署旁路反代,并且LB的的虚服务代理的实服务大于8个,由于WAF的反代的代理IP数量限制,那么建议部署在旁挂在核心交换机上,推荐部署设备顺序为IPS-WAF-LB。
(2) 在WAF-IPS-LB的场景下,如果采用旁路反向代理部署,存在问题是,遇到攻击的情况下,IPS如果也对HTTP协议进行处理的话,开启IPS防护策略后会导致部分请求被丢弃掉,WAF由于连接超时自动关闭了连接,而LB保留了TCP状态,链接处于established的状态,从而影响了后续WAF与LB连接的建立,最终导致WAF因为连接超时返回502给前端界面。因此在该场景下建议WAF和LB的中间的安全设备,对攻击动作建议设置为重置,可以双向RST拆除上下行设备链接;或者动作为不阻断比如放行或者仅记日志。
(3) 对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
有关此方案的具体配置步骤,请参考“旁路反向代理模式部署配置举例”。
虚拟web应用防火墙不支持该部署模式。
透明流模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式,设备串联在网络中,通过流检测引擎对数据流进行解析,匹配规则与自定义策略,进行安全防护。当检测到报文中有攻击流量时,WAF会分别向客户端和服务器发送了RST报文,断开TCP连接。
· 部署优势
透明流模式部署简单,不改变拓扑结构,部署后客户端、服务器都无感知,支持软硬件Bypass,保证高可用性,可支持网段和多端口防护策略,性能高。
· 部署劣势
¡ 不支持HTTPS,因为不拆包,检测效果较透明代理要差一些。
¡ 对被保护服务器没有隐藏能力,源服务器地址还是会被前端发现。
¡ 不支持IPv6部署。
· 支持功能
扫描防护、HTTP协议校验、HTTP访问控制、特征防护、爬虫防护、防盗链、防跨站请求伪造、文件上传、文件下载、敏感信息检测、弱密码检测、访问顺序、敏感词防护、DDoS防护、威胁情报。
· 支持协议
HTTP。
· 特点
Web应用防火墙无须配置业务IP,仅配置管理IP即可。
· 推荐场景
对性能要求高且无HTTPS、IPv6需求的场景。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
此配置举例适用在E6201以上 版本验证测试。
如下图所示,Web应用防火墙部署在防火墙(或者核心交换机)和Web服务器之间,串联接入网络,对Web服务器进行防护。
允许的情况下,尽量将WAF部署靠近DMZ服务端的区域。
按照组网图组网。
(1)创建新的网桥,并把接入网络的两个port口划分到新网桥中。
(2)创建HTTP服务器,配置安全防护策略,对Web服务器进行防护。
(3)对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
(1)创建网桥,并将WAF接口划分网桥
如下图所示,在“网络管理>网络接口>网桥接口”中,点击增加,创建网桥“br10”。
图2-2 新建网桥-br10
如下图所示,网桥br10中不需要配置IP地址,点击保存。
图2-3 保存网桥配置
如下图所示,在网络管理>网络接口>Port接口中编辑port接口,接口GE0/2和GE0/3的“网桥接口”选择br10。
图2-4 port口划分到新网桥
(2)创建HTTP服务器,并配置安全防护策略
如下图所示,选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面,点击增加,新建HTTP服务器,具体参数配置如下,防护模式选择流模式。配置完成后点击保存。
图2-5 创建HTTP服务器
如下图所示,选择“应用安全防护>Web防护策略”,进入Web防护策略管理界面。点击增加,新增Web防护策略。在“服务器”中选择“test”服务器,根据需要进行防护策略的配置,配置完成后点击保存。
图2-6 配置安全防护策略
· 访问受保护的网站,URL为http://172.16.101.74,可以正常访问。
· 加上攻击参数再次访问网站,URL为http://172.16.101.74/forum.php?id=1 and 1=1,网站不能访问。
· 选择"日志系统>攻击日志",查看攻击日志,可以看到攻击拦截的详细信息,证明Web应用防火墙已经正常防护。
虚拟web应用防火墙不支持该部署模式。
透明代理模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式,WAF串联在网络中,基于TCP数据包的检测,采用代理转发的技术,通过内部代理拆包解包,对应用层数据进行解析,并匹配安全策略,客户端访问真实服务器地址,数据包至WAF时记录访问的源地址,内部数据转发往服务器时,封装数据包为访问者的源地址,从而实现透明代理。当检测到报文中有攻击流量时,WAF向客户端返回HTTP响应码400 并回客户端FIN+ACK报文,强制与客户端断开TCP连接,带有攻击语句的HTTP请求数据并未转发给服务器。
· 部署优势
透明代理模式防护效果好,不改变拓扑结构,部署后客户端、服务器都无感知,支持软硬件Bypass,保证高可用性,支持的防护功能全面,检测效果优于透明流模式。
· 部署劣势
¡ 不支持HTTPS,性能较透明流低一些。
¡ 对被保护服务器没有隐藏能力,源服务器地址还是会被前端发现。
¡ 不支持IPV6部署。
· 支持功能
扫描防护、HTTP协议校验、HTTP 访问控制、特征防护、威胁情报、爬虫 、防盗链、CSRF、虚拟补丁防护、弱密码检测、访问顺序、文件上传、文件下载、敏感信息、敏感词防护、数据压缩、高速缓存、Cookie加密、cookie加固、DDoS防护、威胁情报。
· 支持协议
HTTP。
· 特点
Web应用防火墙无需配置业务IP,仅配置管理IP即可。
· 推荐场景
对防护效果要求高,且无HTTPS、IPv6需求的场景,为主推场景。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
此配置举例适用在E6201以上 版本验证测试。
如下图所示,Web应用防火墙部署在防火墙(或者核心交换机)和Web服务器之间,串联接入网络,对Web服务器进行防护。
图3-1 组网图
允许的情况下,尽量将WAF部署靠近DMZ服务端的区域。
按照组网图组网。
(1)创建新的网桥,并把接入网络的两个port口划分到新网桥中。
(2)创建HTTP服务器,配置安全防护策略,对Web服务器进行防护。
(3)对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
(1)创建网桥,并将WAF接口划分网桥
如下图所示,在“网络管理>网络接口>网桥接口”中,点击增加,创建网桥br10。
图3-2 新建网桥-br10
如下图所示,网桥br10中不需要配置IP地址,点击保存。
图3-3 保存网桥配置
如下图所示,在网络管理>网络接口>Port接口中编辑port接口。接口GE0/2和GE0/3的“网桥接口”选择br10。
图3-4 port口划分到新网桥
(2)创建HTTP服务器,并配置安全防护策略
如下图所示,选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面,点击增加,新建HTTP服务器,具体参数配置如下,防护模式选择代理模式,客户端IP还原选择是。配置完成后点击保存。
图3-5 创建HTTP服务器
如下图所示,选择“应用安全防护>Web防护策略”进入Web防护策略管理界面。点击增加,新增Web防护策略。在“服务器”中选择“test”服务器,根据需要进行防护策略的配置,配置完成后点击保存。
图3-6 配置安全防护策略
· 访问受保护的网站,URL为http://172.16.101.74,可以正常访问。
· 加上攻击参数再次访问网站,URL为http://172.16.101.74/forum.php?id=1 and 1=1,网站不能访问。
· 选择"日志系统>攻击日志",查看攻击日志,可以看到攻击拦截的详细信息,证明Web应用防火墙已经正常防护。
虚拟Web应用防火墙不支持该部署模式。
透明反向代理模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式,WAF串联在网络中,基于TCP数据包的检测,采用代理转发的技术,通过内部代理拆包解包,对应用层数据进行解析并匹配安全策略。
客户端访问地址为真实服务器地址,当请求流经WAF时由WAF代理转发,服务器响应时首先回给WAF,由WAF再封装数据包,以真实服务器地址转发给客户端,从而实现客户端请求服务器时的无感知透明转发。当检测到报文中有攻击流量时,WAF向客户端返回HTTP响应码400 并回客户端FIN+ACK报文,强制与客户端断开TCP连接,带有攻击语句的HTTP请求数据并未转发给服务器。
· 部署优势:
透明反向代理模式防护效果好,不改变拓扑结构,部署后客户端和服务端都无感知,支持软硬件Bypass,保证高可用性,支持的防护功能全面,检测效果优于透明流模式,支持IPV6部署。
· 部署劣势:
¡ 需要有一个IP与后端server通信,可以是代理IP,也可以是管理IP。
¡ 对server来说,看到的client IP为WAF的IP,故如要溯源,可在数据包中查看X-Forwarded-For字段。
¡ 由于仅数量有限的代理IP与server通信,若server侧开启了DDoS策略,可能会造成阻断。此处是由于WAF代理IP向服务端发起的请求。
¡ 对被保护服务器没有隐藏能力。
· 支持功能
扫描防护、HTTP协议校验、HTTP 访问控制、特征防护、威胁情报、爬虫 、防盗链、CSRF、虚拟补丁防护、弱密码检测、访问顺序、文件上传、文件下载、敏感信息、敏感词防护、负载均衡、数据压缩、高速缓存、Cookie加密、cookie加固、DDoS防护、威胁情报。
· 支持协议
HTTP、HTTPS。
· 特点
Web应用防火墙需配置通信IP,需配置管理IP。
· 推荐场景
有HTTPS需求,又要求单台高可靠性(硬件bypass)的场景,为主推场景。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
此配置举例适用在E6201以上 版本验证测试。
如下图所示,Web应用防火墙部署在核心交换机和Web服务器之间,串联接入网络,对Web服务器进行防护。
图4-1 组网图
允许的情况下,尽量将WAF部署靠近DMZ服务端的区域。
按照组网图组网。
(1)创建新的网桥,并把接入网络的两个port口划分到新网桥中,配置网桥IP地址。
(2)创建HTTP服务器,配置安全防护策略,对Web服务器进行防护。
(3)对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
(1)创建新的网桥,并把接入网络的两个port口划分到新网桥中。
如下图所示,在“网络管理>网络接口>网桥接口”中,点击增加,创建网桥br10。
图4-2 新建网桥-br10
如下图所示,在创建网桥br10中增加业务IP地址。
图4-3 增加业务IP地址
如下图所示,在网络管理>网络接口>Port接口中编辑port接口。接口GE0/2和GE0/3的“网桥接口”选择br10。
图4-4 port口划分到新网桥
(2)创建HTTP服务器,对Web服务器进行防护。
如下图所示,选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面,点击“添加”HTTP服务器,具体参数配置如下,客户端IP还原选择否。配置完成后点击保存。
图4-5 创建HTTP服务器(HTTPS服务器需要上传证书和密钥)
如下图所示,选择“应用安全防护>Web防护策略”进入Web防护策略管理界面。点击增加,新增Web防护策略。在“服务器”中选择“test”服务器,根据需要进行防护策略的配置,配置完成后点击保存。
图4-6 配置安全防护策略
· 访问受保护的网站,URL为http://172.16.101.74,可以正常访问。
· 加上攻击参数再次访问网站,URL为http://172.16.101.74?id=1 and 1=1,网站不能访问。
· 选择"日志系统>攻击日志",查看攻击日志,可以看到攻击拦截的详细信息,证明Web应用防火墙已经正常防护。
· 此部署模式下支持硬件WAF和虚拟WAF;
· 此部署模式支持IPv4、IPv6双栈部署;
· 此部署模式下支持HTTPS服务器,需要在服务器管理下配置普通HTTPS服务和代理HTTPS服务器,除此之外与HTTP服务器配置都一样。
· 在此场景中,WAF一般都是尽量靠近防护服务器,如存在LB情况时WAF与LB之间要避免有IPS类产品,或者存在IPS设备时需要在IPS上配置动作设置为重置,可以双向RST,或者动作为不阻断均可。
WAF旁路在网络中,基于TCP数据包的检测,采用代理转发的技术。客户端访问地址为WAF的IP地址,请求至WAF后由WAF代理转发,以自身的IP地址向服务器发起请求,服务器回包时回给WAF,由WAF再封装数据包,以WAF的IP地址回复客户端。当检测到报文中有攻击流量时,WAF向客户端返回HTTP响应码400 并回客户端FIN+ACK报文,强制与客户端断开TCP连接,带有攻击语句的HTTP请求数据并未转发给服务器。
· 部署优势
¡ 仅HTTP/HTTPS流量上WAF,不影响其它流量。
¡ 支持HTTPS防护。
¡ 支持IPv6部署。
· 部署劣势
¡ WAF后面的设备看到的是WAF的代理地址访问真实server,如若有DDOS设备,会被阻断。
¡ 旁路反向代理存在单点故障问题,一旦WAF出现故障会影响服务器正常访问。
· 支持功能
扫描防护、HTTP协议校验、HTTP 访问控制、特征防护、威胁情报、爬虫 、防盗链、CSRF、虚拟补丁防护、弱密码检测、访问顺序、文件上传、文件下载、敏感信息、敏感词防护、负载均衡、数据压缩、高速缓存、Cookie加密、cookie加固、DDoS防护、威胁情报。
· 支持协议
HTTP、HTTPS。
· 特点
Web应用防火墙需配置业务IP。
· 推荐场景
¡ 有HTTPS需求,混合流量中除HTTP外其它流量较大的场景。
¡ 有IPv6需求的场景。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
此配置举例适用在E6201以上版本验证测试,涉及IPv6的场景需升级到E6203版本。
如下图所示,Web应用防火墙旁路部署在服务器区交换机上,对Web服务器进行防护。
图5-1 组网图
· 组网图中的eth3接口,若是虚拟WAF,此eth3口是作为反向代理业务口的接口,对应CAS服务器上的实际物理口。若是硬件WAF,此eth3口应该为硬件WAF的接口,如GE0/1;
· 在虚拟WAF安装过程中,添加的第一个业务网卡对应虚拟WAF的port0口,按照添加先后顺序,第二个添加的业务网卡为port1,以此类推。
· 在虚拟WAF环境下,管理网和业务网不要连在虚拟化平台的同一个实体网卡上,此种配置无意义。
· 建议虚拟WAF部署用iso镜像部署虚拟机时,只选择一个网卡。虚拟机部署完成后,再编辑虚拟机添加第二个网卡,重启后生效。
(1)允许的情况下,尽量将硬件WAF旁挂在靠近服务端的交换机上。
(2)允许的情况下,尽量将安装虚拟WAF的服务器如CAS等旁挂在靠近服务端的交换机上。
按照组网图组网。
(1)创建新的网桥,并把接入网络的接口划分到新网桥中。配置WAF业务IP和路由。
(2)创建HTTP服务器,配置安全防护策略,对Web服务器进行防护。
(3)对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
(1)创建新的网桥,并把接入网络的接口划分到新网桥中。
如下图所示,在“网络管理>网络接口>网桥接口”中,点击增加,创建网桥br10。
图5-2 新建网桥-br10
如下图所示,在网桥br10中增加业务IP地址。
图5-3 增加业务IP地址
如下图所示,在网络管理>路由配置中增加路由。
图5-4 增加路由
如下图所示,在网络管理>网络接口>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br10。
图5-5 port口划分到新网桥
(2)创建HTTP服务器,对Web服务器进行防护。
如下图所示,选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面,点击增加,新建HTTP服务器,具体参数配置如下,防护模式选择代理模式,客户端IP还原选择否。配置完成后点击保存。
图5-6 创建HTTP服务器(HTTPS服务器需要上传证书和密钥)
如下图所示,选择菜单“服务器管理>代理服务器管理”,进入代理服务器配置页面,点击增加,新建HTTP代理服务器,IP地址填写Web应用防火墙业务IP地址,具体参数配置如下。配置完成后点击保存。
图5-7 增加代理服务器
如下图所示,选择“应用安全防护>Web防护策略”进入Web防护策略管理界面。点击增加,新增Web防护策略。在“服务器”中选择“test”服务器,根据需要进行防护策略的配置,配置完成后点击保存。
图5-8 配置安全防护策略
· 访问Web应用防火墙的IP地址,URL为http://192.168.7.15,可以正常访问。
· 加上攻击参数再次访问网站,URL为http://192.168.7.15/forum.php?id=1 and 1=1,网站不能访问。
· 选择"日志系统>攻击日志",查看攻击日志,可以看到攻击拦截的详细信息,证明Web应用防火墙已经正常防护。
旁路镜像检测模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式,设备旁路部署在网络中,通过流检测引擎对数据流进行解析,匹配规则与自定义策略进行安全检测,旁路镜像检测模式只进行检测,不对攻击进行处理。
· 部署优势
不改变网络拓扑结构,部署最方便快捷,只需将交换机进口或出口双向流量镜像给WAF设备进行攻击检测,不参与业务数据流转发,因此设备故障对业务无影响。
· 部署劣势
1、无法对攻击进行阻断。2、不支持HTTPS。3、不支持IPv6
· 支持检测功能
HTTP协议校验、HTTP访问控制、特征防护、防盗链、防跨站请求伪造、文件上传、文件下载、弱密码检测、访问顺序、敏感词防护。
· 支持协议
HTTP。
· 特点
Web应用防火墙无须配置业务IP,仅配置管理IP即可。
· 使用场景
旁路镜像场景。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
交换机要保证镜像双向流量。
此配置举例适用在E6201以上 版本验证测试。。
如下图所示,Web应用防火墙旁路部署在服务器区交换机上,旁路接入网络,对Web服务器流量进行检测。
图6-1 组网图
如下图所示,虚拟Web应用防火墙旁路部署在服务器区交换机上,旁路接入网络,对Web服务器流量进行检测。
图6-2 组网图
· 组网图中的eth3接口,是指虚拟WAF中作为镜像业务口的接口,但实际组网连线中,交换机的GE1/0/8口,eth3口对应CAS服务器上的实际物理口。
· 在虚拟WAF安装过程中,添加的第一个业务网卡对应虚拟WAF的port0口,按照添加先后顺序,第二个添加的业务网卡为port1,以此类推。
· 在虚拟WAF环境下,管理网和业务网不要连在虚拟化平台的同一个实体网卡上,此种配置无意义。
· 虚拟WAF部署用iso镜像部署虚拟机时,只选择一个网卡。虚拟机部署完成后,再编辑虚拟机添加第二个网卡。
允许的情况下,尽量将WAF旁挂在靠近服务端的交换机上。
按照组网图组网。
(1)交换机镜像和监听接口配置。
(2)创建新的网桥,并把接入网络的port口划分到新网桥中。
(3)创建HTTP服务器,配置安全防护策略,对Web服务器进行防护。
(4)对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
(1)交换机镜像和监听接口配置
登录服务器区交换机,创建vlan101和vlan102,并配置IP地址,分别作为客户端和服务器网关。
图6-3 将两个镜像口划分VLAN并配置IP地址。
创建镜像组,如下图所示,将GE1/0/7配置为双向镜像口,GE1/0/8配置为监听口。
图6-4 交换机上的镜像组配置
(2)创建新的网桥,并把接入网络的接口划分到新网桥中。
如下图所示,在“网络管理>网络接口>网桥接口”中,点击增加,创建网桥br10
图6-5 新建网桥-br10
如下图所示,在网络管理>网络接口>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br10。
图6-6 port口划分到新网桥
(3)创建HTTP服务器,对Web服务器进行防护。
如下图所示,选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面,点击增加,新建HTTP服务器,具体参数配置如下,部署模式选择旁路,防护模式为流模式。配置完成后点击保存。
图6-7 创建HTTP服务器
如下图所示,选择“应用安全防护>Web防护策略”进入Web防护策略管理界面。点击增加,新增Web防护策略。在“服务器”中选择“test”服务器,根据需要进行防护策略的配置,配置完成后点击保存。
图6-8 配置安全防护策略
· 访问受保护的网站,URL为http://172.16.101.74,可以正常访问。
· 加上攻击参数再次访问网站,URL为http://172.16.101.74/forum.php?id=1 and 1=1,网站可以访问,Web应用防火墙上记录攻击日志。
· 选择"日志系统>攻击日志",查看攻击日志,可以看到攻击拦截的详细信息,证明Web应用防火墙已经正常检测到攻击流量。
旁路镜像检测&阻断模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式,设备旁路部署在网络中,通过流检测引擎对数据流进行解析,匹配规则与自定义策略进行安全防护。当检测到报文中有攻击流量时,WAF分别向客户端和服务器发送RST报文,断开连接。
· 部署优势
旁路镜像检测&阻断模式部署简单,不改变拓扑结构,部署后网络无感知,支持的防护功能较全面,可支持网段和多端口防护策略,性能高。
· 部署劣势
1、由于发送reset报文滞后性,无法达到100%阻断。2、不支持HTTPS。
· 支持功能
HTTP协议校验、HTTP访问控制、特征防护、防盗链、防跨站请求伪造、文件上传、文件下载、弱密码检测、访问顺序、敏感词防护。
· 支持协议
HTTP。
· 特点
Web应用防火墙无需配置通信IP,需配置管理IP。
· 推荐场景
此场景防护效果不能达到百分百。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
交换机须镜像连接服务器接口的双向流量,否则阻断效果很差。
旁路阻断模式下Web应用防火墙的部署需要尽可能接近服务器。
此配置举例适用在E6201以上 版本验证测试。。
如下图所示,Web应用防火墙旁路部署在服务器区交换机上,旁路接入网络,对Web服务器进行检测和阻断。
图7-1 组网图
如下图所示,虚拟Web应用防火墙旁路部署在服务器区交换机上,旁路接入网络,对Web服务器进行检测和阻断。
图7-2 组网图
· 组网图中的eth2接口,是指云WAF中作为阻断口的接口,但实际组网连线中,交换机的GE1/0/9口, eth2口对应CAS服务器上的实际物理口,eth3对应于vWAF中的port1口,eth2对应于vWAF中的port2口。
· 在云WAF安装过程中,添加的第一个业务网卡对应云WAF的port0口,按照添加先后顺序,第二个添加的业务网卡为port1,以此类推。
· 管理网和业务网不要连在虚拟化平台的同一个实体网卡上。
· 用iso镜像部署虚拟机时,只选择一个网卡。虚拟机部署完成后,再编辑虚拟机添加第二个网卡,重启后生效。
允许的情况下,尽量将WAF旁挂在靠近服务端的交换机上。
按照组网图组网。
(1)交换机镜像和监听接口配置。
(2)创建新的网桥,并把接入网络的port口划分到新网桥中。
(3)创建HTTP服务器,配置安全防护策略,对Web服务器进行防护。
(4)对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
(1)交换机镜像和监听接口配置
登录服务器区交换机,创建vlan101和vlan102,并配置IP地址,分别作为客户端和服务器网关。
图7-3 将两个镜像口划分VLAN并配置IP地址。
创建镜像组,如下图所示,将GE1/0/7配置为双向镜像口,GE1/0/8配置为监听口。
图7-4 交换机上的镜像组配置
交换机接WAF的监听口GE1/0/8配置为默认vlan1,交换机接WAF阻断口GE1/0/9vlan配置为服务器侧vlan,即vlan102。
(2)创建新的网桥,并把接入网络的两个port口划分到新网桥中。
如下图所示,在“网络管理>网络接口>网桥接口”中,点击增加,创建网桥br10。
图7-5 新建网桥-br10
如下图所示,在“网络管理>网络接口>网桥接口”中,点击增加,创建网桥br11。
图7-6 新建网桥-br11
如下图所示,在网络管理>网络接口>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br10,接口GE0/3的“网桥接口”选择br11,使用GE0/3接口进行阻断。
图7-7 port口划分到新网桥
(3)创建HTTP服务器,对Web服务器进行防护。
如下图所示,选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面,点击增加,新建HTTP服务器,具体参数配置如下,部署模式选择旁路,阻断接口选择GE0/3。配置完成后点击保存。
图7-8 创建HTTP服务器
如下图所示,选择“应用安全防护>Web防护策略”进入Web防护策略管理界面。点击增加,新增Web防护策略。在“服务器”中选择“test”服务器,根据需要进行防护策略的配置,配置完成后点击保存。
图7-9 配置安全防护策略
· 访问受保护的网站,URL为http://172.16.101.74,可以正常访问。
· 加上攻击参数再次访问网站,URL为http://172.16.101.74/forum.php?id=1 and 1=1,网站不能访问。
· 选择"日志系统>攻击日志",查看攻击日志,可以看到攻击拦截的详细信息,证明Web应用防火墙已经正常防护。
虚拟Web应用防火墙不支持该部署模式。
透明反代双机模式是H3C SecPath Web应用防火墙在网站防护中常用的部署模式,两台Web应用防火墙串联在网络中,基于TCP数据包的检测,采用代理转发的技术,通过内部代理拆包解包,对应用层数据进行解析并匹配安全策略。当检测到报文中有攻击流量时,WAF向客户端返回HTTP响应码400,带有攻击语句的HTTP请求数据并未转发给服务器。
· 部署优势
透明反代双机模式防护效果好,当主设备出现故障时,业务会自动切换至备设备,部署后客户端、服务器都无感知,支持软硬件Bypass保证高可用性,支持HTTPS,支持IPv6,支持的防护功能全面,检测效果优于透明流模式。
· 部署劣势
¡ 需要有一个IP与后端server通信。
¡ 对server来说,看到的client IP为WAF的IP,故如要溯源,可在数据包中查看X-Forwarded-For字段。
¡ 由于仅数量有限的代理IP与server通信,若server侧开启了DDoS策略,会造成阻断。
¡ 由于进出WAF都需要配置VRRP,两条VRRP IP不在同一网段,因此需提前规划好网络IP。
· 支持功能
扫描防护、HTTP协议校验、HTTP 访问控制、特征防护、威胁情报、爬虫 、防盗链、CSRF、虚拟补丁防护、弱密码检测、访问顺序、文件上传、文件下载、敏感信息、敏感词防护、负载均衡、数据压缩、高速缓存、Cookie加密、cookie加固、DDoS防护、威胁情报。
· 支持协议
HTTP、HTTPS。
· 特点
Web应用防火墙需配置业务IP。
· 推荐场景
有HTTPS需求,又要求有主备双机的高可用性场景。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
此配置举例适用在E6201以上 版本验证测试。。
如下图所示,Web应用防火墙部署在核心交换机和服务器区交换机之间,核心交换机作为三层设备,客户端网关配置在该交换机上,交换机到服务端通过静态路由指向VRRP1地址,服务器交换机作为二层交换机,只做报文转发,服务器网关直接指向VRRP2地址。两台WAF串联接入网络,对Web服务器进行防护。
图8-1 组网图
允许的情况下,尽量将WAF部署靠近DMZ服务端的区域。
主WAF和备WAF的GE0/2口,分别配置同一网段172.16.0.3和172.16.0.4,核心交换机的下一条路由指向172.16.0.254/24的VRRP虚地址。
主WAF和备WAF的GE0/3口,分别配置同一网段172.16.101.15和172.16.101.16,靠近服务器的交换机的下一条路由指向172.16.101.1/24的VRRP虚地址。
不管配置二层还是三层,路由可达即可,WAF对外呈现的只是VRRP的虚地址。
按照组网图组网。
(1)配置核心交换机和服务器交换机。
(2)创建两个新的网桥,并把接入网络的两个port口分别划分到新网桥中。
(3)添加HA管理的VRRP配置,配置双机主备部署。
(4)创建HTTP服务器,配置安全防护策略,对Web服务器进行防护。
(5)对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
(1) 配置核心交换机
创建vlan101和vlan172,并配置IP地址,作为客户端网关及vlan172接口地址。
[SWUP_For_AVG_NewWAF]vlan 101
[SWUP_For_AVG_NewWAF-vlan101]port GigabitEthernet 1/0/1
[SWUP_For_AVG_NewWAF-vlan101]vlan 172
[SWUP_For_AVG_NewWAF-vlan172]port GigabitEthernet 1/0/10
[SWUP_For_AVG_NewWAF-vlan172]port GigabitEthernet 1/0/11
[SWUP_For_AVG_NewWAF-vlan172]int vlan 101
[SWUP_For_AVG_NewWAF-Vlan-interface101]ip address 192.168.7.1 24
[SWUP_For_AVG_NewWAF-Vlan-interface101]int vlan 172
[SWUP_For_AVG_NewWAF-Vlan-interface172]ip address 172.16.0.1 24
[SWUP_For_AVG_NewWAF-Vlan-interface172]quit
(2) 配置服务器交换机
创建vlan102,将GE1/0/1、GE1/0/28、GE1/0/29划入该vlan。
[SWDown_For_AVG_NewWAF]vlan 102
[SWDown_For_AVG_NewWAF-vlan102]port GigabitEthernet 1/0/1
[SWDown_For_AVG_NewWAF-vlan102]port GigabitEthernet 1/0/28
[SWDown_For_AVG_NewWAF-vlan102]port GigabitEthernet 1/0/29
(1)创建新的网桥,并把接入网络的两个port口划分到新网桥中
如下图所示,在“网络管理>网络接口>网桥接口”中,点击增加,创建网桥br100。
图8-2 新建网桥-br100
如下图所示,在桥br100上添加业务IP。
图8-3 添加业务IP-br100
如下图所示,在“网络管理>网络接口>网桥接口”中,点击增加,创建网桥br200。
图8-4 新建网桥-br200
如下图所示,在桥br200上添加业务IP。
图8-5 添加业务IP-br200
如下图所示,在网络管理>网络接口>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br100,GE0/3的“网桥接口”选择br200。
图8-6 port口划分到新网桥
(2)添加VRRP策略,配置双机模式。
选择菜单“HA管理>VRRP配置”进入VRRP配置页面,点击增加,新增VRRP实例,串联模式下需要添加两组VRRP实例。
如下图所示,第一步配置冗余ID及设备状态,“冗余ID”为1,绑定接口选择上联接口“br100”,具体配置参数如下,配置完成点击下一步。
设备状态为主时,流量会优先到主机上,由主机进行检测,当主机出现故障时,流量可实时切换到备机上进行检测,不会影响客户网络中的业务。
注:配置备机时保持与主机“冗余ID”相同,“优先级”低于100,“状态”为备。
图8-7 创建VRRP实例-1
如下图所示,第二步配置虚拟IP,点击增加,新增虚拟IP,此处注意备机与主机冗余IP相同,配置完成点击下一步。
图8-8 创建VRRP实例-2
如下图所示,第三步配置物理链路绑定接口,点击增加,新增物理接口,选择分配到br100的接口GE0/2,配置完成点击保存。
图8-9 创建VRRP实例-3
如下图所示,第四步添加第二组VRRP实例,“冗余ID”为2,“绑定接口”选择下联接口“br200”,其余配置与“冗余ID”1的配置相同,配置完成点击下一步。
图8-10 创建VRRP实例-4
如下图所示,第五步配置虚拟IP,点击增加,新增虚拟IP,此处注意备机与主机冗余IP相同,配置完成点击下一步。
图8-11 创建VRRP实例-5
如下图所示,第六步配置物理链路绑定接口,点击增加,新增物理接口,选择分配到br200的接口GE0/3,配置完成点击保存。
图8-12 创建VRRP实例-6
如下图所示,配置完VRRP实例后,需要将两组VRRP实例添加进VRRP组中,在菜单“VRRP组”中点击增加,创建VRRP组。
图8-13 创建VRRP组
如下图所示,应用添加完成的“test”VRRP组。
图8-14 应用VRRP
(5)创建HTTP服务器,对Web服务器进行防护(此处WAF主备上均配置相同)。
如下图所示,选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面,点击增加,新建HTTP服务器,具体参数配置如下,防护模式选择代理模式。配置完成后点击保存。
图8-15 创建HTTP服务器
如下图所示,选择“应用安全防护>Web防护策略”进入Web防护策略管理界面。点击增加,新增Web防护策略。在“服务器”中选择“test”服务器,根据需要进行防护策略的配置,配置完成后点击保存。
图8-16 配置安全防护策略
(1)创建新的网桥,并把接入网络的两个port口划分到新网桥中
如下图所示,在“网络管理>网络接口>网桥接口”中,点击增加,创建网桥br100。
图8-17 新建网桥-br100
如下图所示,在桥br100上添加业务IP。
图8-18 添加业务IP-br100
如下图所示,在“网络管理>网络接口>网桥接口”中,点击增加,创建网桥br200。
图8-19 新建网桥-br200
如下图所示,在桥br200上添加业务IP。
图8-20 添加业务IP-br200
如下图所示,在网络管理>网络接口>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br100,GE0/3的“网桥接口”选择br200。
图8-21 port口划分到新网桥
(2)添加VRRP策略,配置双机模式。
选择菜单“HA管理>VRRP配置”进入VRRP配置页面,点击增加,新增VRRP实例,串联模式下需要添加两组VRRP实例。
如下图所示,第一步配置冗余ID及设备状态,“冗余ID”为1,绑定接口选择上联接口“br100”,具体配置参数如下,配置完成点击下一步。
设备状态为主时,流量会优先到主机上,由主机进行检测,当主机出现故障时,流量可实时切换到备机上进行检测,不会影响客户网络中的业务。
注:配置备机时保持与主机“冗余ID”相同,“优先级”低于100,“状态”为备。
图8-22 创建VRRP实例-1
如下图所示,第二步配置虚拟IP,点击增加,新增虚拟IP,此处注意备机与主机冗余IP相同,配置完成点击下一步。
图8-23 创建VRRP实例-2
如下图所示,第三步配置物理链路绑定接口,点击增加,新增物理接口,选择分配到br100的接口GE0/2,配置完成点击保存。
图8-24 创建VRRP实例-3
如下图所示,第四步添加第二组VRRP实例,“冗余ID”为2,“绑定接口”选择下联接口“br200”,其余配置与“冗余ID”1的配置相同,配置完成点击下一步。
图8-25 创建VRRP实例-4
如下图所示,第五步配置虚拟IP,点击增加,新增虚拟IP,此处注意备机与主机冗余IP相同,配置完成点击下一步。
图8-26 创建VRRP实例-5
如下图所示,第六步配置物理链路绑定接口,点击增加,新增物理接口,选择分配到br200的接口GE0/3,配置完成点击保存。
图8-27 创建VRRP实例-6
如下图所示,配置完VRRP实例后,需要将两组VRRP实例添加进VRRP组中,在菜单“VRRP组”中点击增加,创建VRRP组。
图8-28 创建VRRP组
如下图所示,应用添加完成的“test”VRRP组。
图8-29 应用VRRP
(5)创建HTTP服务器,对Web服务器进行防护(此处主备WAF配置相同)。
如下图所示,选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面,点击增加,新建HTTP服务器,具体参数配置如下,防护模式选择代理模式。配置完成后点击保存。
图8-30 创建HTTP服务器
如下图所示,选择“应用安全防护>Web防护策略”进入Web防护策略管理界面。点击增加,新增Web防护策略。在“服务器”中选择“test”服务器,根据需要进行防护策略的配置,配置完成后点击保存。
图8-31 配置安全防护策略
· 访问受保护的网站,URL为http://172.16.101.74,可以正常访问。
· 加上攻击参数再次访问网站,URL为http://172.16.101.74/forum.php?id=1 and 1=1,网站不能访问。
· 选择"日志系统>攻击日志",查看攻击日志,可以看到攻击拦截的详细信息,证明Web应用防火墙已经正常防护。
· 将链路中的主机手动关机或断电,加上攻击参数再次访问网站,URL为http://172.16.101.74/forum.php?id=1 and 1=1,网站不能访问。
· 在备机上查看有攻击日志,证明流量已切换至备机。
Web应用防火墙旁路在网络中,基于TCP数据包的检测,采用代理转发的技术。客户端访问地址为Web应用防火墙的IP地址,请求至WAF后由WAF代理转发,以自身的IP地址向服务器发起请求,服务器回包时回给WAF,由WAF再封装数据包,以WAF的IP地址回复客户端。当检测到报文中有攻击流量时,WAF向客户端返回HTTP响应码400,带有攻击语句的HTTP请求数据并未转发给服务器。
· 部署优势
¡ 仅HTTP/HTTPS流量上WAF,不影响其它流量。
¡ 支持HTTPS防护。
¡ 当主设备出现故障时,流量会自动切换至备设备。
¡ 支持IPv6。
· 部署劣势
¡ 反向代理仅支持主备模式,不支持主主模式。
· 支持功能
扫描防护、HTTP协议校验、HTTP 访问控制、特征防护、威胁情报、爬虫 、防盗链、CSRF、虚拟补丁防护、弱密码检测、访问顺序、文件上传、文件下载、敏感信息、敏感词防护、负载均衡、数据压缩、高速缓存、Cookie加密、cookie加固、DDoS防护、威胁情报。
· 支持协议
HTTP、HTTPS。
· 特点
Web应用防火墙需配置业务IP。
· 推荐场景
1、将有网页防篡改功能需求的设备作为主设备。后续使用主设备配置同步到备设备上,否则会覆盖备设备正在使用的防篡改配置。
2、有HTTPS需求,且需求主备切换。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口,确保客户端、服务端和Web应用防火墙网络可达。
此配置举例适用在E6201以上 版本验证测试,涉及IPv6的场景需升级到E6203版本。
如下图所示,两台Web应用防火墙旁路部署在服务器区交换机上,对Web服务器进行防护。
图9-1 组网图
允许的情况下,尽量将WAF部署靠近DMZ服务端的区域。
按照组网图组网。
(1)创建新的网桥,并把接入网络的port口划分到新网桥中。
(2)添加HA管理的VRRP配置,配置双机主备部署。
(3)创建HTTP服务器,配置安全防护策略,对Web服务器进行防护。
(4)对于现网流量大,访问服务器会话较多,推荐在web防护策略中关闭访问日志(默认为关闭访问日志)。
(1)创建新的网桥,并把接入网络的port口划分到新网桥中。
如下图所示,在“网络管理>网络接口>网桥接口”中,点击增加,创建网桥br10。
图9-2 新建网桥-br10
如下图所示,在网桥br10上添加业务IP:
图9-3 添加业务IP-br10
如下图所示,在网络管理>网络接口>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br10。
图9-4 port口划分到新网桥
(2)添加VRRP策略,配置双机模式。
选择菜单“HA管理>VRRP配置”进入VRRP配置页面,点击增加,新增VRRP实例。
如下图所示,第一步配置冗余ID及设备状态,“冗余ID”为1,绑定接口选择接口“br10”,具体配置参数如下,配置完成点击下一步。
设备状态为主时,流量会优先到主机上,由主机进行检测,当主机出现故障时,流量可实时切换到备机上进行检测,不会影响客户网络中的业务。
注:配置备机时保持与主机“冗余ID”相同,“优先级”低于100,“状态”为备。
图9-5 创建VRRP实例-1
如下图所示,第二步配置虚拟IP,点击增加,新增虚拟IP,此处注意备机与主机冗余IP相同,配置完成点击下一步。
图9-6 创建VRRP实例-2
如下图所示,第三步配置物理链路绑定接口,点击增加,新增物理接口,选择分配到br10的接口GE0/2,配置完成点击保存。
图9-7 创建VRRP实例-3
如下图所示,配置完VRRP实例后,需要将两组VRRP实例添加进VRRP组中,在菜单“VRRP组”中点击增加,创建VRRP组。
图9-8 创建VRRP组
如下图所示,应用添加完成的“test”VRRP组。
图9-9 应用VRRP
(3)创建HTTP服务器,对Web服务器进行防护。
如下图所示,选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面,点击增加,新建HTTP服务器,具体参数配置如下,其中IP地址和端口为真实服务器的IP和端口,防护模式选择代理模式。配置完成后点击保存。
图9-10 创建HTTP服务器
如下图所示,选择菜单“服务器管理>代理服务器管理”进入代理服务器配置页面,点击“增加”,新建HTTP代理服务器,IP地址填写Web应用防火墙配置VRRP的虚IP,具体参数配置如下,后端服务器选择“test”。配置完成后点击保存。
图9-11 创建代理服务器
如下图所示,选择“应用安全防护>Web防护策略”进入Web防护策略管理界面。点击增加,新增Web防护策略。在“服务器”中选择“test”服务器,根据需要进行防护策略的配置,配置完成后点击保存。
图9-12 配置安全防护策略
创建新的网桥,并把接入网络的port口划分到新网桥中。
如下图所示,在“网络管理>网络接口>网桥接口”中,点击增加,创建网桥br10。
图9-13 新建网桥-br10
如下图所示,在网桥br10上添加业务IP:
图9-14 添加业务IP-br10
如下图所示,在网络管理>网络接口>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br10。
图9-15 port口划分到新网桥
(2)添加VRRP策略,配置双机模式。
选择菜单“HA管理>VRRP配置”进入VRRP配置页面,点击增加,新增VRRP实例。
如下图所示,第一步配置冗余ID及设备状态,“冗余ID”为1,绑定接口选择接口“br10”,具体配置参数如下,配置完成点击下一步。
设备状态为主时,流量会优先到主机上,由主机进行检测,当主机出现故障时,流量可实时切换到备机上进行检测,不会影响客户网络中的业务。
注:配置备机时保持与主机“冗余ID”相同,“优先级”低于主设备的100,“状态”为备。
图9-16 创建VRRP实例-1
如下图所示,第二步配置虚拟IP,点击增加,新增虚拟IP,此处注意备机与主机冗余IP相同,配置完成点击下一步。
图9-17 创建VRRP实例-2
如下图所示,第三步配置物理链路绑定接口,点击增加,新增物理接口,选择分配到br10的接口GE0/2,配置完成点击保存。
图9-18 创建VRRP实例-3
如下图所示,配置完VRRP实例后,需要将两组VRRP实例添加进VRRP组中,在菜单“VRRP组”中点击增加,创建VRRP组。
图9-19 创建VRRP组
如下图所示,应用添加完成的“test”VRRP组。
图9-20 应用VRRP
(3)创建HTTP服务器,对Web服务器进行防护。
如下图所示,选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面,点击增加,新建HTTP服务器,具体参数配置如下,其中IP地址和端口为真实服务器的IP和端口,防护模式选择代理模式。配置完成后点击保存。
图9-21 创建HTTP服务器
如下图所示,选择菜单“服务器管理>代理服务器管理”进入代理服务器配置页面,点击“增加”,新建HTTP代理服务器,IP地址填写Web应用防火墙配置VRRP的虚IP,具体参数配置如下,后端服务器选择“test”。配置完成后点击保存。
图9-22 创建代理服务器
如下图所示,选择“应用安全防护>Web防护策略”进入Web防护策略管理界面。点击增加,新增Web防护策略。在“服务器”中选择“test”服务器,根据需要进行防护策略的配置,配置完成后点击保存。
图9-23 配置安全防护策略
· 访问受保护的网站,URL为http://172.16.101.100,可以正常访问。
· 加上攻击参数再次访问网站,URL为http://172.16.101.100/forum.php?id=1 and 1=1,网站不能访问。
· 选择"日志系统>攻击日志",查看攻击日志,可以看到攻击拦截的详细信息,证明Web应用防火墙已经正常防护。
· 将链路中的主机手动关机或断电,加上攻击参数再次访问网站,URL为http://172.16.101.100/forum.php?id=1 and 1=1,网站不能访问。
· 在备机上查看攻击日志,证明流量已切换至备机。
虚拟web应用防火墙不支持该部署模式。
本文档介绍了Web应用防火墙通过PBR策略路由实现物理旁路逻辑透明部署配置举例。WAF虽旁路部署在交换机侧,但通过流量牵引后,其模式仍为透明流模式。当检测到报文中有攻击流量时,WAF会分别向客户端和服务器发送了RST报文,断开TCP连接。
· 部署优点
此模式部署简单,可实现设备物理上旁路,逻辑上透明部署,支持的防护功能较全面,可支持网段和多端口防护策略,性能高。
· 部署劣势
¡ 不支持HTTPS,因为不拆包,检测效果较透明代理要差一些。
¡ 支持软硬件bypass,支持双机模式保证高可用性。
· 支持功能
扫描防护、HTTP协议校验、HTTP访问控制、特征防护、爬虫防护、防盗链、防跨站请求伪造、文件上传、文件下载、敏感信息检测、弱密码检测、访问顺序、敏感词防护、DDoS防护、威胁情报。
· 支持协议
HTTP。
· 特点
Web应用防火墙无须配置通信IP,仅配置管理IP即可。
· 推荐场景
对性能要求高且客户不想串联部署的场景。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
WAF接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
此配置举例适用在E6201以上 版本验证测试。。
单台WAF旁路部署在交换机侧,通过策略路由将客户端访问服务端的流量牵引至WAF,WAF回包给服务器,服务器响应包进入sw1时,通过策略路由将流量牵引至WAF,WAF再回给客户端,从而实现物理上旁路,逻辑上透明组网。
组网图:
(1)WAF的接口及路由配置
登录Web应用防火墙:启动IE/CHROME浏览器,在地址栏内输入“https://192.168.0.1”即可进入Web网管登录页面。输入用户名“admin”、密码“admin”,点击<登录>按钮即可进入Web网管页面并进行相关操作。
登录应用防火墙后点击左侧菜单:网络管理-网络接口。与交换机直连接口GE0/1默认在网桥br2中。
双击网桥接口br2,在弹出界面中,点击下一步,点击增加,增加桥br2接口IP:192.168.10.7,界面如下图。
点击“网络管理-路由配置”,点击增加,增加WAF到交换机sw1的路由。
(2)服务器配置
说明:服务器配置即配置后端的保护站点,本例中后端保护站点IP地址为:101.10.5.200。
点击左侧菜单“服务器管理-普通服务器管理-HTTP服务器”,点击增加。
服务器名称:S1
IP地址:后端保护站点的IP地址。
端口:后端保护站点的端口。
部署模式:串联
防护模式:流模式。
(3)安全策略配置
说明:安全策略配置的目的是对后端保护站点添加相应的防护规则,如特征防护规则、扫描防护规则等,选择哪种规则根据实际需求配置。
进入“应用安全防护-Web防护策略”,点击增加,新增WEB防护策略,该例选择默认的通用规则。如下图。
(4)交换机配置
如组网图所示,交换机sw1作为三层交换机,客户端、服务端、WAF的网关均指向sw1。sw2作为二层设备,不做路由配置,仅做报文转发。
进入交换机sw1:
配置客户端、服务端、WAF的网关地址。
新建两条ACL规则,客户端去服务器方向流量,基于目的地址为服务器的规则;服务器回客户端的流量,基于源地址为服务器的流量。
新建两条PBR策略路由aaa和bbb,匹配相应的ACL规则,下一跳为WAF的接口地址。
分别进入客户端和服务端vlan子接口,客户端引用规则aaa,服务端引用规则bbb。
进入交换机sw2,将接口划入vlan1105。
· 客户端PC访问保护站点:http://101.10.5.200,可以正常访问Web页面。
· 在”日志系统—访问日志”中,能看到正常访问时的访问日志。
对服务器进行SQL注入,如客户端URL输入http://101.10.5.200/vulnerabilities/sqli/?id=1 and 1=1,WEB页面被阻断。
进入”日志系统—攻击日志“,可以看到规则类型为“SQL注入”的攻击日志。
虚拟web应用防火墙不支持该部署模式。
本文档介绍了Web应用防火墙通过PBR策略路由实现物理旁路逻辑透明部署配置举例。WAF虽旁路部署在交换机侧,但通过流量牵引后,其模式仍为透明流模式。当检测到报文中有攻击流量时,WAF会分别向客户端和服务器发送了RST报文,断开TCP连接。
· 部署优点
此模式部署简单,可实现设备物理上旁路,逻辑上透明部署,支持的防护功能较全面,可支持网段和多端口防护策略,性能高,当主设备出现故障时,流量会自动切换至备设备。
· 部署劣势
¡ 不支持HTTPS,因为不拆包,检测效果较透明代理要差一些。
¡ 支持软硬件bypass,支持双机模式保证高可用性。
· 支持功能
扫描防护、HTTP协议校验、HTTP访问控制、特征防护、爬虫防护、防盗链、防跨站请求伪造、文件上传、文件下载、敏感信息检测、弱密码检测、访问顺序、敏感词防护、DDoS防护、威胁情报。
· 支持协议
HTTP。
· 特点
Web应用防火墙无须配置通信IP,仅配置管理IP即可。
· 推荐场景
对性能要求高且客户不想串联部署的场景。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
WAF接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
此配置举例适用在E6201以上 版本验证测试。
两台WAF旁路部署在交换机侧,配置VRRP主备关系,通过策略路由将客户端访问服务端的流量牵引至WAF,WAF回包给服务器,服务器响应包进入sw1时,通过策略路由将流量牵引至WAF,WAF再回给客户端,从而实现物理上旁路,逻辑上透明组网。
图11-1 Web应用防火墙配置举例组网图
如组网图所示,交换机sw1作为三层交换机,客户端、服务端、WAF的网关均指向sw1。sw2作为二层设备,不做路由配置,仅做报文转发。
进入交换机sw1:
配置客户端、服务端、WAF的网关地址。
[SW]interface Vlan-interface 168
[SW -Vlan-interface168]dis this
interface Vlan-interface168
ip address 192.168.10.1 255.255.255.0
[SW]interface Vlan-interface 1100
[SW -Vlan-interface1100]dis this
interface Vlan-interface1100
ip address 101.10.0.1 255.255.255.0
[SW]interface Vlan-interface 1105
[SW -Vlan-interface1105]dis this
interface Vlan-interface1105
ip address 101.10.5.1 255.255.255.0
新建两条ACL规则,客户端去服务器方向流量,基于目的地址为服务器的规则;服务器回客户端的流量,基于源地址为服务器的流量。
[SW]acl number 3010
[SW -acl-adv-3010]rule 0 permit ip destination 101.10.5.200 0
[SW]acl number 3020
[SW -acl-adv-3020]rule 0 permit ip source 101.10.5.200 0
新建两条PBR策略路由aaa和bbb,匹配相应的ACL规则,下一跳为WAF的VRRP虚拟地址。
[SW]policy-based-route aaa permit node 5
[SW -pbr-aaa-5]if-match acl 3010
[SW -pbr-aaa-5]apply next-hop 192.168.10.254
[SW -pbr-aaa-5]quit
[SW]policy-based-route bbb permit node 5
[SW -pbr-aaa-5]if-match acl 3020
[SW -pbr-aaa-5]apply next-hop 192.168.10.254
[SW -pbr-aaa-5]quit
分别进入客户端和服务端vlan子接口,客户端引用规则aaa,服务端引用规则bbb。
[SW]int vlan1100
[SW -Vlan-interface1100] ip policy-based-route aaa
[SW]int vlan1105
[SW -Vlan-interface1100] ip policy-based-route bbb
进入交换机sw2,将接口划入vlan1105。
[SW]vlan 1105
[SW -vlan1105]port GigabitEthernet 1/0/18
[SW -vlan1105]port GigabitEthernet 1/0/1
(1) 登录应用防火墙后点击左侧菜单:网络管理-网络接口。
双击网桥接口br2,在弹出界面中,点击下一步,点击增加,增加桥br2接口IP:192.168.10.7,界面如下图:
点击“网络管理-路由配置”,点击增加,增加WAF到交换机sw1的路由。
(2) 服务器配置
说明:服务器配置即配置后端的保护站点,本例中后端保护站点IP地址为:101.10.5.200。
进入“服务器管理-普通服务器管理-HTTP服务器”,点击增加。
服务器名称:S1
IP地址:后端服务器的IP地址。
端口:后端服务器端口。
部署模式:串联
防护模式:流模式。
(3) VRRP配置
说明:VRRP配置即配置两台WAF主备关系,根据状态及优先级来选择主备关系。
进入“HA管理-VRRP配置-VRRP实例”,点击增加。
点击下一步,增加VRRP虚拟IP地址:192.168.10.254(WAF2配置地址相同):
点击下一步,选择br2对应的物理接口GE0/1。
进入VRRP组,点击增加,将左侧的VRRP实例列表点击至右侧,点击保存。
注:以上在两台WAF上VRRP配置完成后,需点击右上角应用才能生效。
(4)安全策略配置
说明:安全策略配置的目的是对后端保护站点添加相应的防护规则,如特征防护规则、扫描防护规则等,选择哪种规则根据实际需求配置。
进入“应用安全防护-Web防护策略”,点击增加,新增WEB防护策略,选择默认的通用规则。如下图。
(1) 登录应用防火墙后点击左侧菜单:网络管理-网络接口。
双击网桥接口br2,在弹出界面中,点击下一步,点击增加,增加桥br2接口IP:192.168.10.8
点击“网络管理-路由配置”,点击增加,增加WAF到交换机sw1的路由。
(2) 服务器配置
说明:服务器配置即配置后端的保护站点,本例中后端保护站点IP地址为:101.10.5.200。
进入“服务器管理-普通服务器管理-HTTP服务器”,点击增加。
服务器名称:S1
IP地址:后端服务器的IP地址。
端口:后端服务器端口。
部署模式:串联
防护模式:流模式。
(3) VRRP配置
说明:VRRP配置即配置两台WAF主备关系,根据状态及优先级来选择主备关系。
进入“HA管理-VRRP配置-VRRP实例”,点击增加。优先级为99,低于主WAF的100
点击下一步,增加VRRP虚拟IP地址:192.168.10.254
点击下一步,选择br2对应的物理接口GE0/1。
进入VRRP组,点击增加,将左侧的VRRP实例列表点击至右侧,点击保存。
注:以上在两台WAF上VRRP配置完成后,需点击右上角应用才能生效。
(4)安全策略配置
说明:安全策略配置的目的是对后端保护站点添加相应的防护规则,如特征防护规则、扫描防护规则等,选择哪种规则根据实际需求配置。
进入“应用安全防护-Web防护策略”,点击增加,新增WEB防护策略,选择默认的通用规则。如下图。
· 客户端PC访问保护站点:http://101.10.5.200,可以正常访问Web页面。
· 点击”日志系统—访问日志”,能看到正常访问时的访问日志。
· 对服务器进行SQL注入,如客户端URL输入http://101.10.5.200/vulnerabilities/sqli/?id=1 and 1=1,WEB页面被阻断。
· 进入”日志系统—攻击日志“,可以看到命中规则类型为“SQL注入”的攻击日志。
· 断开主设备接口或给主设备断电,客户端再次对服务器进行SQL注入攻击,此时页面被阻断。
· 进入备设备,在“日志系统-攻击日志”中,可以看到命中规则类型为“SQL注入”的攻击日志。
虚拟web应用防火墙不支持该部署模式。
链路聚合是指将多个物理端口汇聚在一起,形成一个逻辑端口,以实现出/入流量吞吐量在各成员端口的负荷分担。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
Web应用防火墙默认支持静态聚合,如需配置动态链路聚合,需在WAF命令行执行channel -M -m 4命令开启动态模式,执行完命令后需在重启Web应用防火墙后配置生效。不支持静态模式和动态模式共存。
此配置举例适用在E6201以上 版本验证测试。
如下图所示,web应用防火墙配置channel模式串联部署在交换机中,对Web服务器进行防护。
图12-1 组网图
允许的情况下,尽量将WAF部署靠近DMZ服务端的区域。
(1)交换机配置链路聚合。
(2)创建网桥。
(3)创建聚合接口。
(4)把port接口划分到聚合接口中。
(1)交换机配置链路聚合
如下图所示,靠近客户端的交换机配置链路聚合,将接口GE1/0/1和GE1/0/2加入到聚合组1中。
图12-2 交换机链路聚合配置-1
如下图所示,靠近服务器端的交换机配置链路聚合,将接口GE1/0/3和GE1/0/4加入到聚合组2中。
图12-3 交换机链路聚合-2
(2)创建新的网桥
如下图所示,在“网络管理>网络接口>网桥接口”中,点击增加,创建网桥br10。
图12-4 新建网桥-br10
如下图所示,根据服务器部署模式,部分部署模式需要添加业务IP时,给网桥br10增加业务IP地址。
图12-5 增加业务IP地址
(3)创建聚合接口
如下图所示,在网络管理>网络接口>channel接口中增加聚合接口1和2。
图12-6 增加聚合接口
(4)把port接口划分到聚合接口中
如下图所示,在网络管理>网络接口>Port接口中编辑port接口。接口GE0/0和GE0/1的“channel接口”选择1。GE0/2和GE0/3的“channel接口”选择2。
图12-7 Port接口配置聚合接口
如下图所示,在网络管理>网络接口>channel接口中把channel接口的1和2接口的“网桥接口”选择br10。
图12-8 聚合口划分到网桥中
客户端访问服务端,断开Web应用防火墙的聚合口中的一个物理接口,不影响正常访问。
虚拟Web应用防火墙不支持该部署模式。
Trunk模式适用网络部署中存在不同局域网的情况,部署时需要在交换机中添加Trunk接口,通过在Trunk接口上设置允许的VLAN来实现H3C Sec Path Web应用防火墙系统对不同局域网中的服务器进行防护的功能。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
此配置举例适用在E6201以上 版本验证测试。。
如下图所示,Web应用防火墙配置trunk模式部署在交换机中,对Web服务器进行防护。
图13-1 组网图
允许的情况下,尽量将WAF部署靠近DMZ服务端的区域。
(1)创建网桥,把port接口划分到新建网桥中。
(2)创建trunk接口。
(1)创建新的网桥
如下图所示,在“网络管理>网络接口>网桥接口”中,点击增加,创建网桥br10。
图13-2 新建新的网桥
点击下一步,进行第二步配置,如下图所示,点击保存即可。
图13-3 增加网桥第二步配置
(2)把port接口划分到网桥中
如下图所示,在网络管理>网络接口>Port接口中编辑port接口,将接口GE0/0、GE0/1加入到网桥10。
图13-4 Port接口配置
(3)创建trunk接口
在网络管理>网络接口>trunk接口中,点击增加弹出Trunk接口配置,接口选择br10,VLAN标签填写2,配置完成点击下一步。
图13-5 增加trunk接口
如下图所示,如需配置IP可添加业务IP,无需配置IP时点击保存。
图13-6 保存trunk配置
虚拟Web应用防火墙不支持网页防篡改。
Linux下网页防窜改客户端卸载:/etc/init.d/webkeeper uninstall 密码 wkspace
Windows下网页防窜改客户端卸载:控制面板中卸载,密码wkasspace
网页防篡改是一种防止攻击者修改Web页面的技术,可以有效的阻止攻击者对网站内容进行破坏,尤其是在攻击者突破Web应用防火墙的防护后,依然可以有效的保护网站。
网页防篡改采用目前先进的系统驱动级文件保护技术(第三代防篡改技术),基于事件触发式监测机制。相比轮询检测、内嵌技术等传统类防护技术,第三代防篡改技术具有响应速度快、判断准确、资源占用少及部署灵活等特点。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
部署防篡改客户端时需要重启服务器,因此部署时需要协调好部署时间,以防在部署时重启服务器影响业务。
保证Web应用防火墙与防篡改的服务端互通。
Windows防篡改端支持在Windows server 2003 32位、Windows server 2008 32/64位、Windows server 2012 64位、Windows server 2016 64位系统上安装。
Linux防篡改端支持在Debian/Ubuntu/CentOS/Redhat等主流Linux系统的32位及其64位系统安装。
网络可达即可。
(1)下载防篡改客户端。
(2)在WAF上探测防护端。
(3)在防护端配置防护策略。
(1)下载防篡改客户端
本配置以Windows 2012为例,请按照实际情况确定下载防护端版本。在防护的服务器上,通过浏览器登录Web应用防火墙,在网页防篡改->防护客户端下载中按需求下载客户端软件,如下图所示。
下载客户端后,进行安装,安装最后一步,需要填写管理中心IP(即Web应用防火墙的地址),如下图所示。
注意:只需配置管理中心IP,其它保持默认配置。安装完成后需要重启服务器。
(2)在WAF上探测防护端
在网页防篡改>防护服务器探测中,查看探测到的服务器信息,点击生成配置,完成相关配置,配置完成后,服务器信息会自动转存到网页防篡改配置中,可在网页防篡改配置中再次对服务器进行配置修改。
图14-1 网页防篡改探测
(3)在防护端配置防护策略。
第一步,基本配置,详细参数如下,配置完点击下一步
Web名称:填写策略名称;
主机名:服务器主机名,不可修改;
IP地址:服务器IP地址;
是否启用:是否启用策略,选择 是;
工作模式:可选防护模式或监控模式;
注意:工作模式分为防护模式和监控模式,默认是防护模式,防护模式下对防护目标起防护作用并记录日志。监控模式下对防护目标保持监控状态,只报警不防护,并通过报警日志作为优化防护策略的参考,此模式下可大大降低部署防篡改时因策略不恰当导致的误防护情况。优化策略后再改变工作模式为防护模式即可。
图14-2 配置选项1
第二步,细节配置,详细参数如下,配置完点击下一步
操作系统类型:选择操作系统类型;
Web根目录:输入Web根目录的绝对目录;
例外目录/文件:添入例外目录/文件的相对路径,添加的目录/文件将不会被保护,(此处要求填相对目录);
说明:通常网站中有部分文件夹是客户内部管理用于上传文件的,需要设置成例外。还有如网站管理平台周期性写入的log文件等。
例外文件类型:可以是*.txt、*.xml等文件类型,这些文件类型将不会被保护;
例外进程:例外进程可以对Web根目录下的文件进行修改。
说明:用于网站后台同步数据的进程也需要设置成例外。
图14-3 配置选项2
注意:
1、web根目录是需要防护的网页目录文件夹,保护的是目录内的文件,图片,文档等信息不被进行非法操作。防篡改不能对数据库等动态文件起防护作用。
2、数据库应该不在防护目录之下,尽量与防护目录同级目录或不再同一磁盘下。
3、若数据库在防护目录内,可在例外目录/文件选择数据库目录对数据库目录例外,例外后不对该例外目录起防护效果。
第三步,无需配置,点击完成即可。
· 在防护目录中新增文件。
查看防篡改日志。
windows防护端因为替换了代码签名,对winserver2008R2系统有要求,windows Server 2008 R2版本没有打相应微软要求的安全补丁会导致安装驱动提示错误。
①补丁SP1:https://www.microsoft.com/zh-cn/download/details.aspx?id=5842;
②补丁39029:
32位系统补丁:http://www.wosign.com/download/Windows6.1-KB3033929-x86.zip;
64位系统补丁:http://www.wosign.com/download/Windows6.1-KB3033929-x64.zip。
先要求打了SP1的安全补丁,再要求打39029补丁,如果系统本身已经是SP1版本的情况下,直接打39029补丁即可。
因IPV4地址的局限性,IPV6地址取代IPV4是大势所趋。本次配置举例主要介绍在WAF上如何配置,使得IPV4客户端可以访问IPV6服务器(简称IPV4反代IPV6),以及使得IPV6客户端能够访问IPV4服务器(简称IPV6反代IPV4)。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
此配置举例适用在E6201以上 版本验证测试。。
如下图所示,Web应用防火墙旁路部署在服务器区交换机上,对Web服务器进行防护。
允许的情况下,尽量将WAF部署靠近DMZ服务端的区域。
按照组网图组网。
(1)创建网桥,配置WAF业务IP和路由。
(2)创建HTTP服务器,配置安全防护策略,对Web服务器进行防护。
(1)创建网桥,配置WAF业务IP和路由
如下图所示,在“网络管理>网络接口>网桥接口”中,点击增加,创建网桥br10。
图15-1 新建网桥-br10
如下图所示,在网桥br10中增加业务IP地址。
注意:IPV4反代IPV6,或者IPV6反代IPV4,必须在同一个桥接口下同时配置IPV4地址和IPV6地址。
图15-2 增加业务IP地址
如下图所示,在网络管理>路由配置中增加路由。
图15-3 增加IPV4路由
图15-4 增加IPV6路由
如下图所示,在网络管理>网络接口>Port接口中编辑port接口。接口GE0/0的“网桥接口”选择br10。
图15-5 port口划分到新网桥
(2)创建HTTP服务器,对Web服务器进行防护。
如下图所示,选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面,点击增加,新建HTTP服务器,具体参数配置如下,防护模式选择代理模式,客户端IP还原选择否。配置完成后点击保存。
图15-6 创建IPV4 HTTP服务器
图15-7 创建IPV6 HTTP服务器
如下图所示,选择菜单“服务器管理>代理服务器管理”,进入代理服务器配置页面,点击增加,新建HTTP代理服务器,IP地址填写Web应用防火墙业务IP地址,具体参数配置如下。配置完成后点击保存。
图15-8 增加IPV4反代IPV6的代理服务器
图15-9 增加IPV6反代IPV4的代理服务器
如下图所示,选择“应用安全防护>Web防护策略”进入Web防护策略管理界面。点击增加,新增Web防护策略。在“服务器”中分别选择IPV4和IPV6服务器,根据需要进行防护策略的配置,配置完成后点击保存。
图15-10 配置IPV4服务器安全防护策略
图15-11 配置IPV6服务器安全防护策略
· 客户端访问IPV4的反代IP地址和端口,URL为http://101.10.4.3:8003,可以正常访问。
· 加上攻击参数再次访问网站,URL为http://101.10.4.3:8003/login.php?id=1 and 1=1,网站不能访问。
· 选择"日志系统>攻击日志",查看攻击日志,可以看到攻击拦截的详细信息,证明WAF已经正常防护,且后端服务器为IPV6地址。
· 客户端访问IPV6的反代IP地址和端口,URL为http://[2019:101:10:4::3]:8002,可以正常访问。
· 加上攻击参数再次访问网站,URL为http://[2019:101:10:4::3]:8002/login.php?id=1 and 1=1,网站不能访问。
· 选择"日志系统>攻击日志",查看攻击日志,可以看到攻击拦截的详细信息,证明WAF已经正常防护,且后端服务器为IPV4地址。
虚拟web应用防火墙不支持该部署模式。
因IPV4地址的局限性,IPV6地址取代IPV4是大势所趋。本次配置举例主要介绍在WAF上如何配置,使得IPV4客户端可以访问IPV6服务器(简称IPV4反代IPV6),以及使得IPV6客户端能够访问IPV4服务器(简称IPV6反代IPV4)。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
此配置举例适用在E6201以上 版本验证测试。
如下图所示,Web应用防火墙旁路部署在服务器区交换机上,对Web服务器进行防护。
允许的情况下,尽量将WAF部署靠近DMZ服务端的区域。
按照组网图组网。
(1)创建网桥,配置WAF业务IP和路由。
(2)创建HTTP服务器,配置安全防护策略,对Web服务器进行防护。
(1)创建网桥,配置WAF业务IP和路由
如下图所示,在“网络管理>网络接口>网桥接口”中,点击增加,创建网桥br10。
图16-1 新建网桥-br10
如下图所示,在网桥br10中增加业务IP地址。
注意:IPV4反代IPV6,或者IPV6反代IPV4,必须在同一个桥接口下同时配置IPV4地址和IPV6地址。
图16-2 增加业务IP地址
如下图所示,在网络管理>路由配置中增加路由。
图16-3 增加IPV4路由
图16-4 增加IPV6路由
如下图所示,在网络管理>网络接口>Port接口中编辑port接口。接口GE1/1和GE1/2的“网桥接口”选择br10。
图16-5 port口划分到新网桥
(2)创建HTTP服务器,对Web服务器进行防护。
如下图所示,选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面,点击增加,新建HTTP服务器,具体参数配置如下,防护模式选择代理模式,客户端IP还原选择否。配置完成后点击保存。
图16-6 创建IPV4 HTTP服务器
图16-7 创建IPV6 HTTP服务器
如下图所示,选择菜单“服务器管理>代理服务器管理”,进入代理服务器配置页面,点击增加,新建HTTP代理服务器,IP地址填写Web应用防火墙业务IP地址,具体参数配置如下。配置完成后点击保存。
图16-8 增加IPV4反代IPV6的代理服务器
图16-9 增加IPV6反代IPV4的代理服务器
如下图所示,选择“应用安全防护>Web防护策略”进入Web防护策略管理界面。点击增加,新增Web防护策略。在“服务器”中分别选择IPV4和IPV6服务器,根据需要进行防护策略的配置,配置完成后点击保存。
图16-10 配置IPV4服务器安全防护策略
图16-11 配置IPV6服务器安全防护策略
· 客户端访问IPV4的反代IP地址和端口,URL为http://101.1.26.100:8003,可以正常访问。
· 加上攻击参数再次访问网站,URL为http://101.1.26.100:8003/login.php?id=1 and 1=1,网站不能访问。为400 Bad Request
· 选择"日志系统>攻击日志",查看攻击日志,可以看到攻击拦截的详细信息,证明WAF已经正常防护,且后端服务器为IPV6地址。
· 客户端访问IPV6的反代IP地址和端口,URL为http://[2019:101:1:26::100]:8002,可以正常访问。
· 加上攻击参数再次访问网站,URL为http://[2019:101:1:26::100]:8002/login.php?id=1 and 1=1,网站不能访问。400 Bad Request
· 选择"日志系统>攻击日志",查看攻击日志,可以看到攻击拦截的详细信息,证明WAF已经正常防护,且后端服务器为IPV4地址。
安全情报中心,同国际主流数据源、国内情报源进行对接,获取威胁情报。通过情报中心,可以基于实时更新的问题IP、黑链进行动态防护,并通过多样化的图表进行数据展示。更加准确的进行防护与溯源。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。
此配置举例适用在E6201以上 版本验证测试。
需要连通外部网络环境使用。
该功能是WAF用来收集第三方情报库中的威胁情报的。配置情报来源、更新时间和获取方式,
保存之后WAF会自动从安全情报中心下载情报数据。
(1) 进入安全情报配置管理界面
如下图所示,选择“安全情报中心->安全情报中心配置”进入安全情报中心配置管理界面。
(2) 在管理界面中勾选【启用】点击保存即可,内置有自己的情报源。注:需要在联网环境下使用。
(4) 保证联网正常情况,等待一段时间,情报展示对应数据。
(5) 【可选】若是拥有其他的第三方情报源,勾选【高级】,编辑威胁情报源厂商参数。
(6) 点击保存,保存配置。
服务端目前有多负载均衡服务器,实现业务应用链路负载,提高链路稳定性与可靠性。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
不支持负载HTTPS服务器。
负载均衡服务器只支持透明反向代理和旁路反代模式。
此配置举例适用在E6201以上 版本验证测试,以旁路反向代理为例。
允许的情况下,尽量将WAF部署靠近DMZ服务端的区域。
先添加多个需要负载的HTTP服务器,配置负载策略进行链路负载。
(1) 交换机上GE01/0/1、GE01/0/2、GE01/0/3加入同一vlan,并配置ip地址为202.3.27.1/16
(2) WAF配置网桥接口IP
(3) 添加路由保证代理地址可以和两个服务器及客户端均路由可达即可,在网路管理--路由配置中添加路由
(4) 配置服务器管理,普通服务器,添加要进行负载的服务器,客户端还原选择否,配置要进行负载的服务器。
(5) 配置负载服务管理器,根据需要选择对应的算法
(6) 下一步,设置代表服务器及对应权重,注意:必须配置代表服务器
(7) 创建代理服务器,后端代理服务器为配置好的负载服务器
(8) 设置负载服务器的防护策略。
· 访问代理地址http://202.3.27.8/login.php?id=1%20and%201=1
· 日志查看只显示代表服务器的日志,实际上两个服务器根据策略不同均可以抓到源地址的报文:
· 抓包查看,基于算法两个服务器都可以抓到报文
SSL 卸载通过将应用访问过程中的 SSL 加解密环节转移到相应提供加解密能力的设备上来实现,在满足高并发访问需求的同时,能够降低服务器的性能压力,提升网站的访问速度,一定情况下,能够帮助用户减少服务器的硬件资源,节省运营成本。 配备 SSL 卸载功能的设备充当 SSL 代理服务器的角色,与客户端建立 SSL 连接,与客户端进行加密通信, 与服务器端进行明文通信,全面卸载 SSL 数据处理的负荷,不影响服务器的硬件资源。原理图如下:
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口,确保客户端、服务端和Web应用防火墙网络可达。
此配置举例适用在E6201以上 版本验证测试。
旁路反代模式,参照旁路向反代组网图。
允许的情况下,尽量将WAF部署靠近DMZ服务端的区域。
· 配置http站点
· 配置代理https代理站点
· 配置防护策略
(1) 交换机上GE01/0/1、GE01/0/2、GE01/0/3加入同一vlan,并配置ip地址为202.3.27.1/16
(2) WAF配置网桥接口IP
(3) 添加路由保证代理地址可以和服务器及客户端均路由可达即可,在网路管理--路由配置中添加路由
(4) 配置http服务器:
(5) 代理站点为https站点,并上传证书,后端服务器为之前配置的http站点。
(6) 配置防护策略
https://202.3.27.8/instructions.php?id=1%20and%201=9,访问是https,日志记录是http协议,进行了SSL卸载