- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03-Web应用防护典型配置
本章节下载: 03-Web应用防护典型配置 (439.32 KB)
H3C SecCloud OMP安全云管理平台
Web应用防护典型配置
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍安全云Web应用防护(后文简称“WAF”)的典型配置。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解WAF基本功能。
纳管虚拟WAF时,仅支持透明流模式部署。
某租户需要通过Web应用防护服务用于保护云计算网络中的Web服务器,网络中已存在物理WAF设备。
图1 Web应用防护组网图
· 创建硬件WAF资源池实例
· 创建WAF服务
· 配置防护
本举例是在H3C SecCloud E1206及H3C WAF E6203P07版本上进行配置和验证的。
· 在开始配置操作前,请确保设备上无和当前组网需求冲突的配置内容,且网络可达,否则本举例中的相关配置不会生效。
· 基于物理WAF设备创建服务前,需保证网络环境中已部署了物理WAF设备,且与安全云网络可达。
(1) 使用系统管理员账号登录系统。
(2) 选择“资源管理 > 安全资源池 > Web应用防护资源池”,进入Web应用防护资源池页面。
(3) 单击<新建>按钮,进入新建Web应用防护资源池实例页面。
(4) 按照如下内容完成参数配置,其他参数保持缺省配置即可。
· 资源名称:配置为WAF-1。
· 型号:本例为H3C SecPath W2010-G2,请以设备实际情况为准。
· URL:本例为https://180.8.1.199,请以设备实际情况为准。
· 管理员用户名:本例为admin,请以设备实际情况为准。
· 密码:本例为admin123456,请以设备实际情况为准。
· Web应用防护类型:选择旗舰版。
图2 配置WAF资源池实例
(5) 单击<确定>按钮,完成创建WAF资源池实例。
添加成功硬件WAF资源后,资源状态为未分配,单击资源分配优先级<修改>按钮,设置资源池资源优先,修改为优先级:资源池资源>VNF,单击<保存>按钮,完成配置。
图3 设置资源分配优先级
(1) 使用组织管理员或系统管理员账号登录系统。
(2) 选择” 安全市场”,进入安全服务市场页面。
(3) 在安全服务分类下找到Web应用防护,单击<立即开通>按钮,进入Web应用防护服务订购页面。
(4) 按照如下内容完成参数配置,其他参数保持缺省配置即可。
· 选择用户:指定该服务的所有者,本例为test_org。
· 名称:配置为testWAF。
· 规格:选择旗舰版。
图4 新建Web应用防护
(5) 单击<下一步>按钮,提交创建WAF订单申请。
(6) 使用系统管理员账号登录系统
(7) 选择“运营管理 > 审核订单”,进入审核订单页面。
图5 审核订单页面
(8) 单击未审核订单操作栏<同意>按钮,提交订单审批意见,完成创建WAF服务。
(1) 使用系统管理员账号登录系统。
(2) 选择“资源管理 > 地址池 > WAF上行口地址池/WAF下行口地址池”,进入地址配置页面,配置地址信息。
图6 配置WAF上下行口地址池
(3) 单击<确定>按钮完成配置。
(1) 选择“服务管理 > Web应用防护”,进入Web应用防护服务列表页面,单击WAF服务对应操作列的<配置防护>按钮,进入反向代理配置列表页面。
(2) 单击<新建>按钮,进入新建反向代理页面。
(3) 按照如下内容完成参数配置,其他参数保持缺省配置即可。
· 服务器地址:配置Web服务器真实地址,本例为60.110.10.12。
· 服务器协议:本例为HTTP,请以Web服务实际情况为准。
· 服务器端口:本例为80,请以实际情况为准。
· 特征防护规则:本例为通用规则,请以实际情况为准。
· HTTP协议校验:本例为通用规则,请以实际情况为准。
· DDoS防护:本例为未开启,请以实际情况为准。
图7 新建反向代理
(4) 单击<确定>按钮完成配置。
单击已创建服务对应操作列的<登录系统>按钮可跳转至WAF系统页面。
某租户需要通过Web应用防护服务用于保护云计算网络中的Web服务器,网络中当前不存在物理WAF设备,需要通过部署虚拟WAF设备提供服务。
图8 Web应用防护组网图
· 创建虚拟WAF资源池实例
· 创建WAF服务
· 配置反向代理
本举例是在H3C SecCloud E1206及H3C WAF E6203P07版本上进行配置和验证的。
· 在开始配置操作前,请确保该设备上无和当前组网需求冲突的配置内容,否则本举例中的相关配置不会生效。
· 创建虚拟WAF需提前制作好各规格对应的模板或直接导入虚拟机模板,导入时注意修改vSwitch为现场CAS实际存在的vSwitch。
· 基于虚拟WAF设备创建服务前,需保证安全云与虚拟WAF所属网段、授权服务器三者网络可达。
(1) 使用系统管理员账号登录系统。
(2) 选择“资源管理 > 安全资源池 > CAS资源池”,进入CAS资源池页面。
(3) 单击<下一步>按钮,进入模板配置页面。
图9 模板配置
(4)单击<下一步>按钮,完成配置。
(1) 使用系统管理员账号登录系统。
(2) 选择“资源管理 > 地址池 > 管理网地址池”,进入管理网配置页。
(3) 配置网络参数。
图10 管理网地址池配置
(4) 单击<完成>按钮,完成配置。
(1) 使用系统管理员账号登录系统。
(2) 选择“资源管理 > 安全资源池”,进入安全资源池页面。
(3) 单击Web应用防护资源池对应操作列的<配置授权服务器>按钮,配置授权服务器的地址、用户名、密码等参数。
图11 配置授权服务器
(4) 单击<确定>按钮,完成授权服务器配置。
(1) 使用系统管理员账号登录系统。
(2) 选择“资源管理 > 安全资源池 > Web应用防护资源池”,进入Web应用防护资源池页面。
(3) 单击优先级<修改>按钮,设置VNF优先,单击<保存>按钮,完成配置。
图12 设置资源分配优先级
(1) 使用组织管理员或系统管理员账号登录系统。
(2) 选择” 安全市场”,进入安全服务市场页面。
(3) 在安全服务分类下找到Web应用防护,单击<立即开通>按钮,进入Web应用防护服务订购页面。
(4) 按照如下内容完成参数配置,其他参数保持缺省配置即可。
· 选择用户:指定该服务的所有者,本例为test_org。
· 名称:配置为testWAF。
· 规格:选择旗舰版。
图13 新建Web应用防护
(5) 单击<下一步>按钮,提交创建WAF订单申请。
(6) 使用系统管理员账号登录系统
(7) 选择“运营管理 > 审核订单”,进入审核订单页面。
图14 审核订单页面
(8) 单击未审核订单操作栏<同意>按钮,提交订单审批意见,完成创建WAF服务。
(1) 使用系统管理员账号登录系统。
(2) 选择“资源管理 > 地址池 > WAF上行口地址池/WAF下行口地址池”,进入地址配置页面,配置地址信息。
图15 配置WAF上下行口地址池
(3) 单击<确定>按钮完成配置。
(1) 选择“服务管理 > Web应用防护”,进入Web应用防护服务列表页面,单击WAF服务对应操作列的<配置防护>按钮,进入反向代理配置列表页面。
(2) 单击<新建>按钮,进入新建反向代理页面。
(3) 按照如下内容完成参数配置,其他参数保持缺省配置即可。
· 服务器地址:配置Web服务器真实地址,本例为60.110.10.12。
· 服务器协议:本例为HTTP,请以Web服务实际情况为准。
· 服务器端口:本例为80,请以实际情况为准。
· 特征防护规则:本例为通用规则,请以实际情况为准。
· HTTP协议校验:本例为通用规则,请以实际情况为准。
· DDoS防护:本例为未开启,请以实际情况为准。
图16 新建反向代理
单击已创建服务对应操作列的<登录系统>按钮可跳转至WAF系统页面。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
