- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-Web应用防护典型配置
本章节下载: 01-Web应用防护典型配置 (291.40 KB)
H3C SecCloud OMP安全云管理平台融合版
Web应用防护典型配置
Copyright © 2024新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍Web应用防护(后文简称“WAF”)的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解WAF基本功能。
· 纳管虚拟WAF时,仅支持旁路反向代理模式部署。
· 不支持防护HTTPS协议的Web服务器。
如图1所示,某租户需要通过Web应用防护服务用于保护云计算网络中的Web服务器,网络中已存在物理WAF设备。
图1 Web应用防护组网图
本举例是在H3C-SecCloud-E1109版本上进行配置和验证的。
在开始配置操作前,请确保设备上无和当前组网需求冲突的配置内容,否则本举例中的相关配置不会生效。
基于物理WAF设备创建服务前,需保证网络环境中已部署了物理WAF设备,且网络可达。
(1) 使用系统管理员账号登录系统。
(2) 选择“资源 > 安全资源池 > Web应用防护资源池”,进入Web应用防护资源池页面。
(3) 单击<新建>按钮,进入新建Web应用防护资源池实例页面。
(4) 按照如下内容完成参数配置,其他参数保持缺省配置即可,如图2所示。
¡ 资源名称:配置为test。
¡ 型号:选择H3C SecPath W2000-V-G2系列。
¡ 管理地址:本例为180.8.1.224,请以设备实际情况为准。
¡ 规格:选择基础版。
¡ 服务上限:选择1。
¡ 用户名:本例为admin,请以设备实际情况为准。
¡ 密码:本例为admin,请以设备实际情况为准。
¡ 安全可用域:本例为ava18,请以世实际情况为准。
图2 配置WAF资源池实例
(5) 单击<确定>按钮,完成创建WAF资源池实例。
(6) 添加成功硬件WAF资源后,资源状态为未分配,单击资源分配优先级<修改>按钮,设置为共享优先。
图3 设置资源分配优先级
(1) 使用普通用户账号登录系统。
(2) 选择“云服务 > 安全>Web应用防护”,进入Web应用防护页面。
(3) 单击<新建>按钮,进入新建Web应用防护页面。
(4) 按照如下内容完成参数配置,其他参数保持缺省配置即可,如图4所示。
¡ 所有者:指定该服务的所有者,本例为admin。
¡ 名称:配置为WAF1。
¡ 规格:选择标准版。
¡ 网络:选择防护的Web服务器所在网络,本例为net01。
¡ 子网:选择防护的Web服务器所在子网,本例为20.20.20.0/24。
¡ 安全可用域:本例为ava18,请以实际情况为准。
图4 新建Web应用防护
(5) 单击<确定>按钮,完成创建WAF服务。
(1) 在Web应用防护页面,单击WAF服务对应操作列的<配置反向代理>按钮,进入反向代理配置列表页面。
(2) 单击<新建>按钮,进入新建反向代理页面。
(3) 按照如下内容完成参数配置,其他参数保持缺省配置即可,如图5所示。
¡ 服务器地址:配置Web服务器真实地址,本例为192.168.0.100。
¡ 服务器协议:本例配置为HTTP,请以实际情况为准。
¡ 服务器掩码:本例配置为32,请以实际情况为准。
¡ 反向代理子网:选择反向代理使用的子网,本例为20.20.20.0/24。
¡ IP分配方式:本例配置为自动分配。
¡ 反向代理地址:本例配置为20.20.20.2。
¡ 反向代理协议:本例配置为HTTP。
¡ 服务器端口:本例配置为80,请以实际情况为准。
(4) 单击<确定>按钮,完成新建反向代理。
(5) 单击已创建反向代理对应操作列的<绑定弹性IP>按钮,进入绑定弹性IP页面。
(6) 选择一个弹性IP,需要在“云服务 > 网络 > 弹性IP”页面下提前创建好弹性IP。
(7) 选择并绑定弹性IP。
图6 绑定弹性IP
(8) 单击<确定>按钮,完成绑定弹性IP。
(1) 在Web应用防护页面,单击WAF服务对应操作列的<修改密码>按钮,进入修改密码页面。
。新密码:waf设备的密码。
。确认密码:waf设备的密码。
(2) 点击确认,密码修改成功。
(1) 在Web应用防护页面,单击WAF服务对应操作列的<登录系统>按钮,进入到设备页面。
单击已创建服务对应操作列的<登录系统>按钮可跳转至WAF系统页面。
如4.1 图1所示,某租户需要通过Web应用防护服务用于保护云计算网络中的Web服务器,网络中当前不存在物理WAF设备,需要通过部署虚拟WAF设备提供服务。
图7 Web应用防护组网图
本举例是在H3C-SecCloud-E1109版本上进行配置和验证的。
在开始配置操作前,请确保设备上无和当前组网需求冲突的配置内容,如存在放行所有报文的安全策略,否则本举例中的相关配置不会生效。
创建虚拟WAF需提前制作好各规格对应的模板并上传至CAS虚拟机模板中。
若需使用虚拟WAF全部功能,需进行相应License授权,故需提前安装虚拟WAF授权服务器并申请相应授权资源。
(1) 使用系统管理员账号登录系统。
(2) 选择“资源 > 安全资源池 > Web应用防护资源池”,进入Web应用防护资源池页面。
(3) 单击<新建>按钮,进入新建Web应用防护资源池实例页面。
(4) 按照如下内容完成参数配置,其他参数保持缺省配置即可,如4.4.1 (4)图2所示。
¡ 资源名称:配置为test。
¡ 型号:选择H3C SecPath W2000-V-G2系列。
¡ 管理地址:本例为180.8.1.224,请以设备实际情况为准。
¡ 规格:选择基础版。
¡ 服务上限:选择1。
¡ 用户名:本例为admin,请以设备实际情况为准。
¡ 密码:本例为admin,请以设备实际情况为准。
¡ 安全可用域:本例为ava18,请以世实际情况为准。
图8 配置WAF资源池实例
(5) 单击<确定>按钮,完成创建WAF资源池实例。
(6) 添加成功硬件WAF资源后,资源状态为未分配,单击资源分配优先级<修改>按钮,设置为共享优先。
图9 设置资源分配优先级
(1) 使用普通用户账号登录系统。
(2) 选择“云服务 > 安全>Web应用防护”,进入Web应用防护页面。
(3) 单击<新建>按钮,进入新建Web应用防护页面。
(4) 按照如下内容完成参数配置,其他参数保持缺省配置即可,如4.4.2 (4)图4所示。
¡ 所有者:指定该服务的所有者,本例为admin。
¡ 名称:配置为WAF1。
¡ 规格:选择标准版。
¡ 网络:选择防护的Web服务器所在网络,本例为net01。
¡ 子网:选择防护的Web服务器所在子网,本例为20.20.20.0/24。
¡ 安全可用域:本例为ava18,请以实际情况为准。
图10 新建Web应用防护
(5) 单击<确定>按钮,完成创建WAF服务。
(1) 在Web应用防护页面,单击WAF服务对应操作列的<配置反向代理>按钮,进入反向代理配置列表页面。
(2) 单击<新建>按钮,进入新建反向代理页面。
(3) 按照如下内容完成参数配置,其他参数保持缺省配置即可,如4.4.3 (3)图5所示。
¡ 服务器地址:配置Web服务器真实地址,本例为192.168.0.100。
¡ 服务器协议:本例配置为HTTP,请以实际情况为准。
¡ 服务器掩码:本例配置为32,请以实际情况为准。
¡ 反向代理子网:选择反向代理使用的子网,本例为20.20.20.0/24。
¡ IP分配方式:本例配置为自动分配。
¡ 反向代理地址:本例配置为20.20.20.2。
¡ 反向代理协议:本例配置为HTTP。
¡ 服务器端口:本例配置为80,请以实际情况为准。
图11 新建反向代理
(4) 单击<确定>按钮,完成新建反向代理。
(5) 单击已创建反向代理对应操作列的<绑定弹性IP>按钮,进入绑定弹性IP页面。
(6) 选择一个弹性IP,需要在“云服务 > 网络 > 弹性IP”页面下提前创建好弹性IP。
(7) 选择并绑定弹性IP。
图12 绑定弹性IP
(8) 单击<确定>按钮,完成绑定弹性IP。
(1) 在Web应用防护页面,单击WAF服务对应操作列的<修改密码>按钮,进入修改密码页面。
。新密码:waf设备的密码。
。确认密码:waf设备的密码。
(2) 点击确认,密码修改成功。
(1) 在Web应用防护页面,单击WAF服务对应操作列的<登录系统>按钮,进入到设备页面。
单击已创建服务对应操作列的<登录系统>按钮可跳转至WAF系统页面。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
