• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath W2000-G[AK]系列Web应用防火墙 典型配置举例(E6711 E6712 E6713)-6W108

03-透明模式聚合部署配置举例

本章节下载 03-透明模式聚合部署配置举例  (679.63 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Typical_Configuration_Example/W2000-G[AK]_CE(E6711_E6712_E6713)/202108/1452309_30005_0.htm

03-透明模式聚合部署配置举例


1 简介

本文档介绍了Web应用防火墙透明模式聚合部署的配置举例。

Web应用防火墙的透明部署模式可以在不改变现有网络拓扑结构的情况下实现对Web服务器进行安全防护的目的。可以低成本、高效的将Web防火墙快速部署到现有网络中,减少因网络改造而对业务产生的影响。同时,将web应用防火墙的进出口设置成链路聚合,保证了业务流的可靠性,在实际网络环境中如果有一条链路出现故障,自动切换到另一条链路,使得业务能正常使用。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

3 WEB应用防火墙透明部署配置举例

3.1  组网需求

设备在出厂时,默认所有接口都是属于vlan1的access口,用户可以按实际需求修改接口的类型。

如图所示,Host A和Web Server服务器属于同一网段,可以实现直接互联访问,现要求在Host A和Web Server服务器中间透明部署Web应用防火墙实现对Host A访问Web服务器流量的监控。

本案例我们选择Web应用防火墙的GE1/0和GE1/2接口作为业务流量的进接口并做端口聚合,Web应用防火墙的GE1/1和GE1/3接口作为业务流量的出接口并做端口聚合。正式部署可根据用户环境选择相应接口作为业务接口。

注意

·     透明聚合部署时,如需要Bypass功能,需要选择两对Bypass口进行连接。以下面组网图1为例,该型号的WAF设备上GE1/0和GE1/1是一对Bypass口、GE1/2和GE1/3是一对Bypass口,此时,将GE1/0和GE1/2进行聚合作为流量入口、将GE1/1和GE1/3进行聚合作为流量出口。

·     各型号设备包含的Bypass口以及各型号插卡包含的Bypass口,可参照产品的规格说明。

 

图3-1 Web应用防火墙透明模式聚合部署配置举例组网图

 

3.2  使用版本

本举例是在系统版本:ESS6711上进行配置和验证的,并针对后续版本中的修改更新了部分截图、说明。

3.3  配置步骤

3.3.1  部署模式配置

登录Web应用防火墙:启动IE/Firefox浏览器,在地址栏内使用https访问管理口IP,即可进入Web网管登录页面。输入用户名“admin”、密码“admin”,点击<登录>按钮即可进入Web网管页面并进行相关操作。

注意

推荐使用IE10+及Firefox56+及其以上版本的浏览器。

 

登录应用防火墙后点击左侧菜单:系统配置-侦测模式。

在侦测模式配置页中,设备默认工作模式为透明模式。如果设备当前为其它模式的话,需要修改设备工作模式为透明模式,勾选透明模式前面的选择框,然后点击应用,并在页面右上角点击保存配置。

图3-2 H3C WAF侦测模式配置图-监控模式选择

然后点击“网络配置-聚合接口”页面,选择需要的聚合模式并点击应用,并在页面右上角点击保存配置。

图3-3 聚合模式选择

之后需要重启设备以便使反代模式和聚合模式生效。

3.3.2  聚合接口配置

设备重启完成后,点击“网络配置-聚合接口”配置页面,进行聚合口配置。

选择聚合口,以组网图3-1为例,本次案例使用bond0、bond1,以bond0配置举例,点击其后的“编辑”按钮。

图3-4 编辑聚合接口

将接口模式修改为透明模式,并将需要加入聚合接口的实际物理口添加至右侧的“选中接口”框中,点击确定按钮。

图3-5 聚合接口添加成员口

bond1接口配置与bond0类似,将GE1/1和GE1/3接口加入即可

3.3.3  交换机配置

以组网图1为例,在交换机SW1和交换机SW3上分别配置端口聚合模式,端口聚合分为静态端口聚合和动态端口聚合,不同的聚合模式需要在WAF上配置对应的接口上配置聚合模式。当WAF上聚合模式选择平衡轮询模式时,交换机上需要配置静态聚合;当WAF上聚合模式选择802.3ad时,交换机上需要配置动态聚合。以下交换机配置命令均以H3C交换机为例。

(1)     静态聚合:交换机SW1配置如下:

[SW1]interface Bridge-Aggregation 1        #创建聚合接口,并将聚合口加入vlan 153

[SW1-Bridge-Aggregation1]port access vlan 153

[SW1]interface GigabitEthernet1/0/1    #将接口GE1/0/1GE1/0/3加入到聚合组中去

[SW1-GigabitEthernet1/0/1]port link-aggregation group 1

[SW1]interface GigabitEthernet1/0/3

[SW1-GigabitEthernet1/0/3]port link-aggregation group 1

[SW1]dis link-aggregation verbose           #查看聚合口

交换机SW3配置如下:

[SW3]interface Bridge-Aggregation 1        #创建聚合接口,并将聚合口加入vlan 153

[SW3-Bridge-Aggregation1]port access vlan 153

[SW3]interface GigabitEthernet1/0/1    #将接口GE1/0/1GE1/0/3加入到聚合组中去

[SW3-GigabitEthernet1/0/1]port link-aggregation group 1

[SW3]interface GigabitEthernet1/0/3

[SW3-GigabitEthernet1/0/3]port link-aggregation group 1

[SW3]dis link-aggregation verbose           #查看聚合口

(2)     动态聚合:交换机SW1配置如下:

[SW1]interface Bridge-Aggregation 1        #创建聚合接口,并将聚合口加入vlan 153

[SW1-Bridge-Aggregation1]port access vlan 153

[SW1-Bridge-Aggregation1]link-aggregation mode dynamic #配置端口聚合模式为动态聚合

[SW1]interface GigabitEthernet1/0/1    #将接口GE1/0/1GE1/0/3加入到聚合组中去

[SW1-GigabitEthernet1/0/1]port link-aggregation group 1

[SW1]interface GigabitEthernet1/0/3

[SW1-GigabitEthernet1/0/3]port link-aggregation group 1

[SW1]dis link-aggregation verbose           #查看聚合口

交换机SW3配置如下:

[SW3]interface Bridge-Aggregation 1        #创建聚合接口,并将聚合口加入vlan 153

[SW3-Bridge-Aggregation1]port access vlan 153

[SW3-Bridge-Aggregation1]link-aggregation mode dynamic #配置端口聚合模式为动态聚合

[SW3]interface GigabitEthernet1/0/1    #将接口GE1/0/1GE1/0/3加入到聚合组中去

[SW3-GigabitEthernet1/0/1]port link-aggregation group 1

[SW3]interface GigabitEthernet1/0/3

[SW3-GigabitEthernet1/0/3]port link-aggregation group 1

[SW3]dis link-aggregation verbose           #查看聚合口

3.3.4  网络配置

上述配置完成后可以到“网络配置>网络接口”页面观察配置情况。

图3-6 网络接口页面

 

3.3.5  安全策略配置

点击左侧安全策略-Web安全策略,根据需要添加调整Web应用防护策略。

图3-7 WAF策略界面

 

点击添加按钮可以添加新WAF策略,点击策略右侧操作按键可以调整策略配置,可根据客户安全需求调整策略内容和动作等信息。调整完毕后点击确定。

图3-8 WAF策略配置界面

 

点击左侧菜单栏安全策略-策略引用,将入侵检测策略及Web防护策略与Web服务器进行关联。

点击左上方添加按钮,添加新的策略,上联接口选择流量入接口(以组网图1为例,即bond0接口),根据业务情况选择入侵检测策略和WEB防护策略,点击服务器安全组按钮添加被保护服务器。

图3-9 策略引用界面

 

添加被保护服务器:在服务器列表里添加服务器地址和掩码,协议端口可根据业务情况进行填写和选择,填写完成后点击右侧的添加按钮即可添加到服务器列表中,可以添加多条服务器信息。添加完成后点击应用并返回上一级界面。

图3-10 服务器添加界面

 

添加策略引用后界面,默认情况下策略添加完成后并不会启用,需点击操作界面的启用按键启用策略,策略启用后对Web服务器进行安全防护。

图3-11 策略引用配置完成

 

3.4  验证配置

·     Host A访问Web Server可以正常打开Web的页面。

·     进行攻击测试。

攻击测试方法:

可以在目标服务器上安装测试靶机环境,靶机软件DVWA服务器端。

注意

DVWA工具可在互联网上搜索下载,比如在DVWA的官网http://www.dvwa.co.uk/上就可下载。

 

在客户端用浏览器登录靶机DVWA测试页面。

图3-12 SQL注入

 

选择SQL注入选项,并点击测试方法项

图3-13 SQL注入

 

·     进行攻击测试后,可以在Web安全策略中观察到策略命中数。

·     在左侧日志报表项-日志-WEB安全日志中可以查看具体告警信息。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们