- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-旁路模式部署配置举例
本章节下载: 01-旁路模式部署配置举例 (836.53 KB)
目 录
本文档介绍了Web应用防火墙旁路模式部署的配置举例。
Web应用防火墙的旁路部署模式可以快速的实现部署,配置简单,不改变原有网络拓扑结构,可以快速实现对Web应用服务器访问流量的监视和告警。旁路部署模式可避免绝大多数的部署兼容性问题,降低因新设备部署带来的业务中断风险。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
设备在出厂时,默认所有接口都是属于vlan1的access口,用户可以按实际需求修改接口的类型。
如图所示,现在要求Web应用防火墙通过交换机镜像接口GE1/0/8侦听交换机业务接口GE1/0/6和GE1/0/7的双向流量。通过分析镜像数据包,实现监视访问Web应用服务器的流量,并在出现攻击行为时实时报警。
镜像接口必须镜像业务口的双向流量,以保证Web应用防火墙可以获取业务访问的全部往来流量。
图1 Web应用防火墙旁路监听部署配置举例组网图
本举例是在系统版本:ESS6711上进行配置和验证的,并针对后续版本中的修改更新了部分截图、说明。
登录Web应用防火墙:启动IE/Firefox浏览器,在地址栏内使用https访问管理口IP,即可进入Web网管登录页面。输入用户名“admin”、密码“admin”,点击<登录>按钮即可进入Web网管页面并进行相关操作。
推荐使用IE10+及Firefox56+及其以上版本的浏览器。
旁路侦测部署模式必须预先指定一个固定的管理接口,并工作在路由模式。该接口不可以为Bypass接口。
若在切换旁路监听模式前,已经使用了路由模式的默认管理口,则此处无需再配置;若没有使用路由模式的管理口,则在切换模式前需要配置管理口为路由口,否则切换模式并保存重启后会导致管理IP不通。
点击左侧菜单:系统配置-侦测模式。
图2 H3C WAF侦测模式配置图-侦测模式选择
在配置模式中,默认情况下采用的是透明模式,此时我们需要选择旁路监听模式,点击旁路监听模式前面的选择框,然后点击应用,并在页面右上角点击保存配置。之后需要重启设备以便使模式生效。
旁路监听模式配置成功后,设备上的空闲透明模式配置的接口均可实现镜像流量监听。
以组网图1为例,在交换机上创建镜像组,并配置镜像口和监听口。以下交换机配置命令均以H3C交换机为例。
system-view
mirroring-group 1 local
mirroring-group 1 mirroring-port gigabitethernet 1/0/6 both
mirroring-group 1 mirroring-port gigabitethernet 1/0/7 both
mirroring-group 1 monitor-port gigabitethernet 1/0/8
点击左侧安全策略-Web安全策略,根据需要添加调整Web应用防护策略。
图3 WAF策略界面
点击添加按钮可以添加新WAF策略,点击策略右侧操作按键可以调整策略配置,可根据客户安全需求调整策略内容和动作等信息。调整完毕后点击确定。
图4 WAF策略配置界面
点击左侧安全策略-策略引用,将添加的Web应用策略与Web服务器进行关联。
点击左侧添加按钮,添加新的引用策略,上联接口选择作为镜像口的接口,以组网图1为例,我们这里选择的是GE0/1接口,如在后续使用中更换了镜像接口,我们也要在这里更改为相应的接口。其它配置根据需要和配置选择入侵检测策略和WEB防护策略(上一步添加的WAF策略),点击服务器安全组按钮添加被保护服务器。
图5 策略引用界面
添加被保护服务器(此时被保护服务器为真实服务器地址):在服务器列表里添加服务器地址和掩码,协议端口可根据业务情况进行填写和选择,填写完成后点击右侧的添加按钮即可添加到服务器列表中,可以添加多条服务器信息。添加完成后点击应用并返回上一级界面。
图6 服务器添加界面
策略引用配置完成后,默认情况下新添加的策略并不会立即启用,需点击操作界面的启用按键启用策略,策略启用后设备即可以实现对WEB服务器的安全防护功能。
图7 策略引用配置完成
点击左侧状态监控-系统状态,进入系统状态显示页面,在打开的页面上方点击网络信息,可以在网络信息中查看镜像接口的流量信息,以便确认镜像接口正常接收到镜像流量。
图8 网络信息接口流量监控图
· Host A访问Web Server可以正常打开Web的页面。
· 查看网络信息,观察镜像接口可以收到镜像流量。
· 进行攻击测试,可以在Web安全策略中观察到策略命中数。
· 在左侧日志报表项-日志-WEB安全日志中可以查看具体告警信息。
设备在出厂时,默认所有接口都是属于vlan1的access口,用户可以按实际需求修改接口的类型。
如图所示,现在要求Web应用防火墙通过交换机镜像接口GE1/0/3侦听交换机业务接口GE1/0/1和GE1/0/4的双向流量,通过分析镜像数据包,实现监视访问Web应用服务器的流量,并在出现攻击行为时实时报警。交换机的GE1/0/2接口连接WAF的阻断口GE1/0,在出现攻击行为时通过GE1/0口发送阻断请求。
在旁路阻断模式下,WAF通过交换机的镜像接口,可以侦测到与WEB服务器通信的流量,通过应用协议代理可以分析出是否有攻击发生。当攻击发生时,旁路阻断模块需通过收集的攻击的连接信息,伪造和发送TCP RST报文,来中断攻击的连接。
· 镜像接口必须镜像业务口的双向流量,以保证Web应用防火墙可以获取业务访问的全部往来流量。
· 与Web应用防火墙阻断口相连的交换机接口,和与客户端相连的交换机接口,需要配置在同一vlan中。
· 组网时,建议WAF的阻断口和镜像口不要选择一对Bypass口;或者如果选择了一对Bypass口,建议将与这两个口相连的交换机接口(如组网图10中的GE1/0/2和GE1/0/3)配置在不同的vlan中,以防WAF断电或重启时,导致环路。
图9 Web应用防火墙旁路阻断部署配置举例组网图
本举例是在系统版本:ESS6711上进行配置和验证的,并针对后续版本中的修改更新了部分截图、说明。
登录Web应用防火墙:启动IE/Firefox浏览器,在地址栏内使用https访问管理口IP,即可进入Web网管登录页面。输入用户名“admin”、密码“admin”,点击<登录>按钮即可进入Web网管页面并进行相关操作。
推荐使用IE10+及Firefox56+及其以上版本的浏览器。
旁路阻断部署模式必须预先指定一个固定的管理接口,并工作在路由模式。该接口不可以为Bypass接口。
若在切换旁路阻断模式前,已经使用了路由模式的默认管理口,则此处无需再配置;若没有使用路由模式的管理口,则在切换模式前需要配置管理口为路由口,否则切换模式并保存重启后会导致管理IP不通。
配置阻断口,登录应用防火墙后点击左侧菜单:网络配置-网络接口。
图10 网络接口界面
点击“编辑”,将阻断口GE1/0的模式改为“路由模式”。
图11 网络接口配置页面
点击左侧菜单:系统配置-侦测模式。
图12 H3C WAF侦测模式配置图-侦测模式选择
在配置模式中,默认情况下采用的是透明模式,此时我们需要选择旁路阻断模式,点击旁路阻断模式后面的选择框,并将阻断接口选择为组网图上配置的GE1/0口,然后点击应用,并在页面右上角点击保存配置。之后需要重启设备以便使模式生效。
以组网图9为例,在交换机1上创建镜像组,并配置镜像口和监听口。以下交换机配置命令均以H3C交换机为例。
system-view
mirroring-group 1 local
mirroring-group 1 mirroring-port gigabitethernet 1/0/1 both
mirroring-group 1 mirroring-port gigabitethernet 1/0/4 both
mirroring-group 1 monitor-port gigabitethernet 1/0/3
参照组网图9,在交换机1上,将与客户端相连的GE1/0/1端口和与WAF阻断口相连的GE1/0/2端口设置在同一vlan中,如设置在vlan 2中,并配置vlan 2的网关;并将与交换机2相连的GE1/0/4端口设置在另一个vlan中,如设置在vlan 3中,并配置vlan 3的网关。
system-view
vlan 2
port gigabitethernet 1/0/1
port gigabitethernet 1/0/2
quit
interface vlan-interface 2
ip address 165.0.0.1 24
quit
vlan 3
port gigabitethernet 1/0/4
quit
interface vlan-interface 3
ip address 160.0.0.2 24
quit
参照组网图9,在交换机2上,将GE1/0/13口和GE1/0/14口设置在同一vlan 3中。
system-view
vlan 3
port gigabitethernet 1/0/13
port gigabitethernet 1/0/14
quit
点击左侧安全策略-Web安全策略,根据需要添加调整Web应用防护策略。
图13 WAF策略界面
点击添加按钮可以添加新WAF策略,点击策略右侧操作按键可以调整策略配置,可根据客户安全需求调整策略内容和动作等信息。调整完毕后点击确定。
图14 WAF策略配置界面
点击左侧安全策略-策略引用,将添加的Web应用策略与Web服务器进行关联。
点击左侧添加按钮,添加新的引用策略,上联接口选择作为镜像口的接口,以组网图10为例,我们这里选择的是GE1/1接口,如在后续使用中更换了镜像接口,我们也要在这里更改为相应的接口。其它配置根据需要和配置选择入侵检测策略和WEB防护策略(上一步添加的WAF策略),点击服务器安全组按钮添加被保护服务器。
图15 策略引用界面
添加被保护服务器(此时被保护服务器为真实服务器地址):在服务器列表里添加服务器地址和掩码,协议端口可根据业务情况进行填写和选择,填写完成后点击右侧的添加按钮即可添加到服务器列表中,可以添加多条服务器信息。添加完成后点击应用并返回上一级界面。
图16 服务器添加界面
策略引用配置完成后,默认情况下新添加的策略并不会立即启用,需点击操作界面的启用按键启用策略,策略启用后设备既可以实现对WEB服务器的安全防护功能。
图17 策略引用配置完成
点击左侧状态监控-系统状态,进入系统状态显示页面,在打开的页面上方点击网络信息,可以在网络信息中查看镜像接口的流量信息,以便确认镜像接口正常接收到镜像流量。
图18 网络信息接口流量监控图
· Host A访问Web Server可以正常打开Web的页面。
· 查看网络信息,观察镜像接收口可以收到镜像流量。
· 进行攻击测试,可以在Web安全策略中观察到策略命中数。
· 在左侧日志报表项-日志-WEB安全日志中可以查看到具体告警信息。
· 在客户端抓包,可以抓到WAF阻断口发送出的TCP RST报文。
· 以下功能支持旁路阻断:URL访问控制、cookie溢出检查、禁止直接访问、防盗链、参数防护、暴力破解攻击/扫号攻击检查、溢出检查、CSRF检查、HTTP协议检查、IIS短文件、文件夹防泄漏、HTTP请求方法控制、网络爬虫防护、扫描防护、启用动态攻击黑名单和SQL注入。
· 根据组网环境,服务器返回的响应包可能比WAF发送的TCP RST包优先到达客户端,这种情况下,从客户端访问页面观察不到明显的阻断现象。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
