【WAF】【配置管理】串联透明流部署说明

李莉02发表于:2021年06月07日 17:40:23更新于:2021年06月15日 11:41:09

    一、透明流模式说明

    1)   WAF连接网络上下行的接口无需配置IP地址;

    2)   需要使用单独接口配置管理IP;

    3)   透明流模式支持的功能:HTTP合规性校验、HTTP访问控制、特征防护

    4)   透明流模式不支持HTTPS站点防护。


    二、部署拓扑

image.png


    三、准备工作

    1)   了解客户网络拓扑,确定WAF设备部署位置,通常建议WAF距离服务器端越近越好;

    2)   提前规划好WAF的管理地址信息(客户配合);

    3)   准备好服务器地址及端口信息(即WAF的防护列表,客户配合)。


    四、配置步骤

    部署WAF设备前,首先确认设备已授权;

    打开【主页面】-许可证管理,查看设备授权信息。

image.png


    4.1 连接设备

    WAF设备默认出厂时,所有接口属于默认的管理桥MngtBridge,可连接外观上的任意一个接口,地址10.0.0.1/24;

    管理页面地址:https://10.0.0.1;

    Console口波特率:9600;

    

    4.2 配置接口

    配置说明:

    WAF设备单线连接时,需要将上行接口和下行接口划入同一个网桥;

    WAF设备双线连接并且聚合时,则需要上行两个接口为一个聚合组,下行两个接口为一个聚合组,在将这两个聚合组划入同一个网桥;

    管理接口需要单独划入一个网桥,并给这个网桥配置地址。

 

     1)打开【网络管理】-网络接口-网桥接口,点击“增加”;

image.png


    2)填写网桥号,状态选择“启用”,点击“下一步”;

image.png


    3)若此网桥为管理用,继续点击“增加”,设置网桥地址,勾选管理IP;

    若为业务网桥,则此步直接点击保存,无需配置IP地址。

image.png


image.png


    4)点击“保存”,完成网桥创建。

image.png


    5)打开【网络管理】-网络接口-Port接口,双击需要配置的接口,打开接口编辑模式;

将接口划入相应的cnannel接口、网桥接口,启用状态选择“启用”,点击“保存”,完成接口编辑。

image.png


    4.3 配置路由

    WAF的透明流模式因为管理口需要配置地址,所以需要配置一条能够访问到WAF管理口的路由,通常配置为一条缺省路由,IP地址、子网掩码和下一跳均为0.0.0.0,下一跳地址为WAF管理口地址的网关。

image.png


    4.4 配置服务器

    普通服务器即传统后端被保护的服务器。

    1)打开【服务器管理】-普通服务器管理-HTTP服务器,点击“增加”;

image.png


    2)填写服务器名称、地址、端口,防护模式选择“流模式”,勾选“启用”,点击保存,完成服务器配置;

image.png


    4.5 配置防护策略

    策略配置说明:

    WAF的安全防护功能是通过策略的方式实现,策略引用web防护模板,web防护模板中包含各类自定义规则和预定义规则。

    防护策略与服务器为一一对应的关系,即配置了多少个服务器,就要配置多少条防护策略。

   

    1)打开【应用安全防护】-Web防护策略,点击“增加”,创建服务器防护策略

image.png


    2)打开策略编辑页面,填写策略名称和选择此策略要下发应用的服务器;

    Web主机不填;

    注:web主机可以填写IP地址或url,也可以手动输入,若此处填写了内容,设备只会对填写的内容进行防护,例如此处填写的为url,则只有通过url访问的连接,设备才会有防护作用,若直接以IP 地址访问的连接,则不会防护。

    Web防护规则推荐使用默认设置即可,点击“保存”,完成配置。

image.png


    以上配置完成后,WAF的串联透明流模式部署工作完成,此时WAF已经具有基本的防护功能:HTTP协议校验规则、特征防护规则。

    若要启用其它规则,建议先收集服务器业务信息并进行测试,测试访问正常后在开启。


    4.6 测试访问

    1)打开【应用安全防护】-web防护策略,双击要测试的服务器策略,打开策略编辑页面,开启访问日志功能;

image.png


    2)正常访问受保护的站点,查看是否有相应的访问日志生成;

 

    3)加上攻击参数再次访问站点,url为:

    http://X.X.X.X/?id=1 and 1=1

    查看是否显示连接已重置,且攻击日志中有攻击日志。

00160c820967954e02289d7157006a0