- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
04-反向代理模式部署配置举例
本章节下载: 04-反向代理模式部署配置举例 (756.95 KB)
目 录
本文档介绍了Web应用防火墙反向代理模式部署的配置举例。
Web应用防火墙的反向代理部署模式可以更好的实现对Web服务器的安全防护。可以隐藏Web服务器的真实IP地址,也可以加强Web服务器操作系统及业务本身的漏洞防护,在攻击爆发时减低服务器流量压力,提高业务可用性。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
设备在出厂时,默认所有接口都是属于vlan1的access口,用户可以按实际需求修改接口的类型。
如图所示,交换机分别建立3个Vlan,分别是10.10.10.0/24;172.16.1.0/24;192.168.14.0/24,三个Vlan的网关均在交换机上。Host A可以访问到Web应用防火墙的业务地址,Web应用防火墙可以访问到Web Server服务器。现在要求Host A通过访问Web应用防火墙的代理地址实现对Web服务器的应用访问。
图1 Web应用防火墙反向代理部署配置举例组网图
本举例是在系统版本:ESS6711上进行配置和验证的,并针对后续版本中的修改更新了部分截图、说明。
登录Web应用防火墙:启动IE/Firefox浏览器,在地址栏内使用https访问管理口IP,即可进入Web网管登录页面。输入用户名“admin”、密码“admin”,点击<登录>按钮即可进入Web网管页面并进行相关操作。
推荐使用IE10+及Firefox56+及其以上版本的浏览器。
登录应用防火墙后点击左侧菜单:系统配置-侦测模式。
图2 H3C WAF侦测模式配置图-监控模式选择
在侦测模式配置页中,设备默认工作模式为透明模式,修改设备工作模式为反向代理模式,首先勾选反向代理模式前面的选择框,然后点击应用,并在页面右上角点击保存配置。之后需要重启设备以便使模式生效。
设备重启重新回到这个配置页面,此时反向代理模式前面的选择框是有勾选状态。
图3 H3C WAF侦测模式配置图-反向代理选择
此时点击反向代理模式后面的配置按钮进入反向代理配置界面。
图4 反向代理配置界面
在配置界面中首先需要配置的是反向代理的业务接口,可以在页面左上方反向代理接口处选择业务接口,以组网图3-1为例,本次案例使用GE0/1作为业务接口,选择后点击应用。
图5 反向代理接口配置图
接口选择完继续添加需要代理的Web服务器,在接口下方的服务器设置项点击添加按钮。
在服务器添加配置页中,我们要设置用于代理的IP地址、子网掩码和代理端口,服务器IP地址端口为真实Web服务器地址和端口,填写完成后点击应用按钮完成代理服务器添加。添加完成后如图:此时172.16.1.100为代理地址,192.168.14.230为真实Web服务器。
注意:图6侦测模式中的“主机名”既可以是真实web服务器的IP地址,也可以是真实web服务器的域名,域名需与 web服务器的IP地址在DNS服务器上有正确的对应关系。
图7 反向代理服务器配置完成图
1、 R6713版本开始,反代支持对HTTPS站点的配置及防护;
2、 若需要对HTTPS站点配置反向代理,需要在“代理监听端口”和“服务器IP地址:端口”配置项最后勾选“HTTPS”
3、 WAF默认HTTPS管理端口为443,在进行HTTPS反向代理配置时需注意,HTTPS的代理监听端口不能和WAF管理HTTPS的端口一样,否则会导致反代功能失效。一种方式是将HTTPS代理监听端口设置为非443端口,另一种方式是先将WAF管理HTTPS端口改为非443端口后再配置反代HTTPS监听端口为443。
以组网图1为例,在交换机上建立3个Vlan,分别是10.10.10.0/24、172.16.1.0/24、192.168.14.0/24,并配置三个Vlan的网关。以下交换机配置命令均以H3C交换机为例。
system-view
vlan 10
port gigabitethernet 1/0/6
quit
interface vlan-interface 10
ip address 10.10.10.1 24
quit
vlan 172
port gigabitethernet 1/0/7
quit
interface vlan-interface 172
ip address 172.16.1.1 24
quit
vlan 192
port gigabitethernet 1/0/8
quit
interface vlan-interface 192
ip address 192.168.14.1 24
quit
代理配置完成后可以到网络配置-网络接口页观察配置情况。
图8 网络接口界面
· 名称为veth1的接口,是WAF本身的一个虚接口,反向代理模式下,配置的代理IP都会关联到该虚接口上。
· 此时可以观察到,veth1接口被配置了代理接口地址,工作模式为路由模式,此时代表反向代理模式配置成功。
· 配置的其它接口地址和管理地址不能与业务代理地址在相同网段。否则会导致反向代理模式下监控策略失效。
· 若配置完反向代理接口地址后,ping不通该地址,可以在“网络接口”页面点击veth1接口,查看其管理访问中的ping方式是否开启,若没有开启,勾选该方式并点击应用,之后再尝试是否能够ping通。
由于系统仅有直连路由和添加的静态路由,因此需要在路由表中添加一条默认路由,使WAF上的业务流量都从反代业务口进出。
以组网图3-1为例,反代模式的代理IP为172.16.1.100,反代业务口所连的交换机的网关为172.16.1.1,因此添加一条路由,勾选“添加为默认网关”,网关为172.16.1.1。
图9 WAF路由配置
点击左侧安全策略-Web安全策略,根据需要添加调整Web应用防护策略。
图10 WAF策略界面
点击添加按钮可以添加新WAF策略,点击策略右侧操作按键可以调整策略配置,可根据客户安全需求调整策略内容和动作等信息。调整完毕后点击确定。
图11 WAF策略配置界面
点击左侧安全策略-策略引用,将添加的Web应用策略与Web服务器进行关联。
点击左侧添加按钮,添加新的引用策略,上联接口一定要选择veth0接口,其它配置根据需要和配置选择入侵检测策略和WEB防护策略(上一步添加的WAF策略),点击服务器安全组按钮添加被保护服务器。
反代模式下上联接口选择veth0接口的原因:
由于反代模式下,配置的代理IP被关联到虚接口veth1上,而veth0和veth1是WAF本身的一对虚接口对,流量上代理时,是从veth0虚接口流入的,所以需要将veth0设为上联接口,才会对流量进行规则检测。
图12 策略引用界面
添加被保护服务器(此时被保护服务器为真实服务器地址):在服务器列表里添加服务器地址和掩码,协议端口可根据业务情况进行填写和选择,填写完成后点击右侧的添加按钮即可添加到服务器列表中,可以添加多条服务器信息。添加完成后点击应用并返回上一级界面。
图13 服务器添加界面
策略引用配置完成后,默认情况下新添加的策略并不会立即启用,需点击界面的启用按键启用策略,策略启用后设备既可以实现对WEB服务器的安全防护功能。
图14 策略引用配置完成
· Host A访问Web Server可以正常打开Web的页面。
· 进行攻击测试。
攻击测试方法:
可以在目标服务器上安装测试靶机环境,靶机软件DVWA服务器端。
在客户端用浏览器登录靶机DVWA测试页面。
图15 SQL注入
选择SQL注入选项,并点击测试方法项
图16 SQL注入
· 进行攻击测试后,可以在Web安全策略中观察到策略命中数。
· 在左侧日志报表项-日志-WEB安全日志中可以查看具体告警信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
