安恒明御WAF防火墙基本部署配置指南
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
部署特点:
1. 不需要改变用户的网络结构,对于用户而言是透明的。 2. 安全防护能力强 3. 故障恢复快,可支持Bypass
14
反向代理模式——代理模式
部署特点:
1. 可旁路部署,对于用户网络不透 明,防护能力强
2. 故障恢复时间慢,不支持Bypass, 恢复时需要重新将域名或地址映 射到原服务器。
返回流量时就会通过服务器网关直接返回给客户端而不返回给WAF,这样WAF代理 就会失败,为了保证WAF代理成功必须在交换机上面做策略路由将服务器返回的流 量牵引到WAF,这样WAF代理才能成功,因为选择透明比较麻烦因此正常情况下面 一般都是选择不透明 2. 客户端IP地址如果选择不透明,服务器看到的客户端IP地址为WAF的后端地址,这样 服务器返回的流量就会返回给WAF
6
3、管理IP配置
方式一:配置管理口IP地址( console口配置)
Step 1:使用Putty\secureCRT\超级终端等工
具登陆串口
Step 2:输入默认用户名密码admin/admin
77
方式一:配置管理口IP地址( console口配置)
Step 3 :输入数字“2”,进入下一步
Step 4 :输入“1”,进入下一步
3
指示灯说明
4
指示灯说明
指示灯 PWR灯 HDD灯/LOG灯 LINK灯
ACT 灯
颜色 常亮 不亮 闪烁 不亮 不亮
亮绿色
亮橙色
不亮
含义 电源工作正常 电源工作异常 硬盘工作正常 硬盘工作异常 网口工作在10Mbps速率 网口工作在100Mbps速率 网口工作在1000Mbps速率 网口工作在物理直通或断线状态
2. 桥模式不跟踪TCP会话,可支持路由不对称环境。 3. 桥模式下部分功能不支持,比如缓存压缩、智能防护、自学习建模、日志审计等功
能。 4. 对服务器响应包的内容不检测。 5. 防护能力不如透明代理,可能会存在漏报现象。
25
路由模式
部署特点:
1. 路由模式(无冗余结构)故障恢复慢,不支持bypass,恢复时需要重新修改静 态路由。
23
旁路监控模式
采用旁路监听模式,在交换机做服务器端口镜像,将流量复制一份到明御WAF上,部署 时不影响在线业务。
部署特点:
1. 明御WAF在旁路监听模式 部署下只能用于流量分析 或日志审计,不能实现防 护。
24
桥模式
部署特点:
1. 桥模式是真正意义上的透明,不会更改数据包任何内容,比如源MAC、源端口、 TCP序列号、HTTP协议版本等内容,所以不会存在代理模式中的长短连接问题、 健康检查、端口安全、协议不兼容等问题。
如果WAF管理口IP地址设置为公网 地址则需要关闭“管理者IP限制”
12 12
4、常见的部署模式
1. 透明代理模式 2. 反向代理模式(代理模式、牵引模式) 3. 旁路监控模式 4. 桥模式 5. 路由模式
13 13
透明代理模式
透明代理部署模式支持透明串接部署方式。串接在用户网络中,可实现即插即用,无需 用户更改网络设备与服务器配置。部署简单易用,应用于大部分用户网络中。
Step 2:登https://192.168.1.100 默认用户名/密码admin/adminadmin
10 10
方式二:配置管理口IP地址( web界面配置)
Step 3:进入【系统】【系统配置】,如下图所示:
11 11
注意:
默认WAF对管理者IP是有限制的, 只允许私有IP地址 (192.168.*.*,10.*.*.*,172.16.8.*) 可以管理WAF设备。
16
反向代理模式——代理模式
接入链路:WAF采用反向代理接入环境中一般用一个业务口就可以,也可以采用两个 接口,如果采用一个接口,那么前端和后端选择同一个接口
链路地址(前端):前端链路地址是客户访问的地址,通过访问前端地址可以访问 到服务器业务,前端地址可以和保护站点的IP地址在同一个网段也可以在不同的网段, 只要前端地址和保护站点地址的路由可通就可以
20
反向代理模式——VRRP
VRRP——主备模式工作细节
VRRP的用 心跳包通信接用 :管理用
VRRP的监控端用 口:业务用
必要条件:反代模式,主备机开启VRRP功能,主备机管理用 互通 主备机正常用 工作时 主机业务用 被分配虚ip,备机业务用 用 无ip,业务流量通过主机转发; 主机业务用 down掉时 备机业务用 被分配虚ip,业务流量通过备机转发; 主机业务用 由down转换到up时 主机业务用 被分配ip,备机业务用 用 无ip,业务流量通过主机转发; 主机管理用 down时 主备机都有虚ip,业务流量通过主机转发。
19
反向代理模式——VRRP
VRRP——主备模式配置说明
启用 用VRRP功能,vrrp是按保护站点来的,启用 用了vrrp,这个保护站点上的前端链路 上的ip就会变成虚ip,同时用 支持bond。 通过 配置=>保护站点=>VRRP用 支持 来配置VRRP功能。 状态:是否开启VRRP功能; 本机用 角用 色:选择本机用 角用 色,主机或备机; 虚拟路由ID:同用 一个VRRP组的ID相同
5
2、设备默认配置信息
• 默认管理口IP:192.168.1.100 • 默认WEB管理地址:https://192.168.1.100 • 隐藏WEB管理地址: 10.255.254.253(防止前台管理IP时可以使用) • 默认前台超级管理员账户:admin • 默认前台超级管理员账户密码:adminadmin • 默认串口波特率:115200 • 默认串口账户:admin • 默认串口密码:admin
X-Forwarded-For字段名称,如果选择客户端IP地址不透明,为了告警日志能够显示 证真实的客户端IP地址,必须要启用X-Forwarded-For
18
反向代理模式——VRRP
VRRP——主备模式简介
WAF在反向代理模式下可以支持主备模式,正常情况下只有主机工作,备机不工作, 当主机业务口出现问题时,备机自动切换为主机进行工作
链路地址(后端):WAF在接受到客户端的流量之后,WAF充当客户端通过后端地址 去访问真实的服务器地址,因此服务器看到的客户端地址为WAF的后端地址。WAF的后 端地址可以和前端地址是同一个IP地址也可以是相同网段的不同地址。
链路模式:需要选择代理模式或者牵引模式
17
反向代理模式——代理模式
客户端IP地址透明:有两个选项透明和不透明,但是一般WAF反向代理模式下都要选 择不透明。 1. 客户端IP地址如果选择透明,服务器就可以看到真实的客户端IP地址,那么服务器在
88
方式一:配置管理口IP地址( console口配置)
Step 5 :输入IP地址、子网掩码、网关、DNS
99
方式二:配置管理口IP地址( web界面配置)
Step 1:用网线直连Admin口,将电脑 网卡地址设置为192.168.1.0/24网段任 意地址即可(排除192.168.1.100)
21
反向代理模式——牵引模式
部署特点:
1. 可旁路部署,对于用户网络不透 明。
2. 故障恢复时间慢,不支持 Bypass,恢复时需要删除路由 器策略路由配置。
3. 此模式应用于复杂环境中,如设 备无法直接串接的环境。
4. 访问时仍访问网站服务器。 5. 支持VRRP
22
反向代理模式——牵引模式
用户访问的是服务器的真 实的IP地址,需要在交换 机上面将用户访问服务器 的http流量通过策略路由 的方式牵引到WAF,策略 路由的下一跳地址为WAF 的前端地址,WAF在接受 到地址之后通过后端地址 去请求真实的服务器。 注意:做策略路由牵引流 量时不需要将服务器IP的 所有流量都牵引过来,只 需要针对IP+PORT的方式 做策略路由,因为其他协 议的流量WAF是不会处理 的
3. 此模式应用于复杂环境中,如设 备无法直接串接的环境。
4. 访问时需要先访问明御WAF配置 的业务口地址。
5. 支持VRRP主备
15
反向代理模式——代理模式
工作原理:
用户访问的是WAF 的前端链路地址, WAF在接收到流量 之后通过后端链路 地址去访问真实的 服务器,因此服务 器看到客户端地址 为WAF的后端链路 地址
安恒明御 WAF防火墙基本部署配置指南
技术创新 变革未来
明御WAF基本部署配置
1. 面板、接口及指示灯说明 2. 设备默认配置信息 3. 管理口IP配置 4. 常见的部署模式 5. 口及指示灯说明
端口说明
• Console口:即串口,产品初始化配置使用 • Admin口:即管理口,远程管理使用 • HA口:双机热备使用 • Seckey:加密狗USB接口 • 一个桥内两个接口,没有进出口之分
2. 路由模式(冗余结构)故障恢复速度快,恢复时不需要修改任何配置。 3. 路由模式支持非对称路由。
26
5、WAF快速部署
27
谢谢!
28
1. 不需要改变用户的网络结构,对于用户而言是透明的。 2. 安全防护能力强 3. 故障恢复快,可支持Bypass
14
反向代理模式——代理模式
部署特点:
1. 可旁路部署,对于用户网络不透 明,防护能力强
2. 故障恢复时间慢,不支持Bypass, 恢复时需要重新将域名或地址映 射到原服务器。
返回流量时就会通过服务器网关直接返回给客户端而不返回给WAF,这样WAF代理 就会失败,为了保证WAF代理成功必须在交换机上面做策略路由将服务器返回的流 量牵引到WAF,这样WAF代理才能成功,因为选择透明比较麻烦因此正常情况下面 一般都是选择不透明 2. 客户端IP地址如果选择不透明,服务器看到的客户端IP地址为WAF的后端地址,这样 服务器返回的流量就会返回给WAF
6
3、管理IP配置
方式一:配置管理口IP地址( console口配置)
Step 1:使用Putty\secureCRT\超级终端等工
具登陆串口
Step 2:输入默认用户名密码admin/admin
77
方式一:配置管理口IP地址( console口配置)
Step 3 :输入数字“2”,进入下一步
Step 4 :输入“1”,进入下一步
3
指示灯说明
4
指示灯说明
指示灯 PWR灯 HDD灯/LOG灯 LINK灯
ACT 灯
颜色 常亮 不亮 闪烁 不亮 不亮
亮绿色
亮橙色
不亮
含义 电源工作正常 电源工作异常 硬盘工作正常 硬盘工作异常 网口工作在10Mbps速率 网口工作在100Mbps速率 网口工作在1000Mbps速率 网口工作在物理直通或断线状态
2. 桥模式不跟踪TCP会话,可支持路由不对称环境。 3. 桥模式下部分功能不支持,比如缓存压缩、智能防护、自学习建模、日志审计等功
能。 4. 对服务器响应包的内容不检测。 5. 防护能力不如透明代理,可能会存在漏报现象。
25
路由模式
部署特点:
1. 路由模式(无冗余结构)故障恢复慢,不支持bypass,恢复时需要重新修改静 态路由。
23
旁路监控模式
采用旁路监听模式,在交换机做服务器端口镜像,将流量复制一份到明御WAF上,部署 时不影响在线业务。
部署特点:
1. 明御WAF在旁路监听模式 部署下只能用于流量分析 或日志审计,不能实现防 护。
24
桥模式
部署特点:
1. 桥模式是真正意义上的透明,不会更改数据包任何内容,比如源MAC、源端口、 TCP序列号、HTTP协议版本等内容,所以不会存在代理模式中的长短连接问题、 健康检查、端口安全、协议不兼容等问题。
如果WAF管理口IP地址设置为公网 地址则需要关闭“管理者IP限制”
12 12
4、常见的部署模式
1. 透明代理模式 2. 反向代理模式(代理模式、牵引模式) 3. 旁路监控模式 4. 桥模式 5. 路由模式
13 13
透明代理模式
透明代理部署模式支持透明串接部署方式。串接在用户网络中,可实现即插即用,无需 用户更改网络设备与服务器配置。部署简单易用,应用于大部分用户网络中。
Step 2:登https://192.168.1.100 默认用户名/密码admin/adminadmin
10 10
方式二:配置管理口IP地址( web界面配置)
Step 3:进入【系统】【系统配置】,如下图所示:
11 11
注意:
默认WAF对管理者IP是有限制的, 只允许私有IP地址 (192.168.*.*,10.*.*.*,172.16.8.*) 可以管理WAF设备。
16
反向代理模式——代理模式
接入链路:WAF采用反向代理接入环境中一般用一个业务口就可以,也可以采用两个 接口,如果采用一个接口,那么前端和后端选择同一个接口
链路地址(前端):前端链路地址是客户访问的地址,通过访问前端地址可以访问 到服务器业务,前端地址可以和保护站点的IP地址在同一个网段也可以在不同的网段, 只要前端地址和保护站点地址的路由可通就可以
20
反向代理模式——VRRP
VRRP——主备模式工作细节
VRRP的用 心跳包通信接用 :管理用
VRRP的监控端用 口:业务用
必要条件:反代模式,主备机开启VRRP功能,主备机管理用 互通 主备机正常用 工作时 主机业务用 被分配虚ip,备机业务用 用 无ip,业务流量通过主机转发; 主机业务用 down掉时 备机业务用 被分配虚ip,业务流量通过备机转发; 主机业务用 由down转换到up时 主机业务用 被分配ip,备机业务用 用 无ip,业务流量通过主机转发; 主机管理用 down时 主备机都有虚ip,业务流量通过主机转发。
19
反向代理模式——VRRP
VRRP——主备模式配置说明
启用 用VRRP功能,vrrp是按保护站点来的,启用 用了vrrp,这个保护站点上的前端链路 上的ip就会变成虚ip,同时用 支持bond。 通过 配置=>保护站点=>VRRP用 支持 来配置VRRP功能。 状态:是否开启VRRP功能; 本机用 角用 色:选择本机用 角用 色,主机或备机; 虚拟路由ID:同用 一个VRRP组的ID相同
5
2、设备默认配置信息
• 默认管理口IP:192.168.1.100 • 默认WEB管理地址:https://192.168.1.100 • 隐藏WEB管理地址: 10.255.254.253(防止前台管理IP时可以使用) • 默认前台超级管理员账户:admin • 默认前台超级管理员账户密码:adminadmin • 默认串口波特率:115200 • 默认串口账户:admin • 默认串口密码:admin
X-Forwarded-For字段名称,如果选择客户端IP地址不透明,为了告警日志能够显示 证真实的客户端IP地址,必须要启用X-Forwarded-For
18
反向代理模式——VRRP
VRRP——主备模式简介
WAF在反向代理模式下可以支持主备模式,正常情况下只有主机工作,备机不工作, 当主机业务口出现问题时,备机自动切换为主机进行工作
链路地址(后端):WAF在接受到客户端的流量之后,WAF充当客户端通过后端地址 去访问真实的服务器地址,因此服务器看到的客户端地址为WAF的后端地址。WAF的后 端地址可以和前端地址是同一个IP地址也可以是相同网段的不同地址。
链路模式:需要选择代理模式或者牵引模式
17
反向代理模式——代理模式
客户端IP地址透明:有两个选项透明和不透明,但是一般WAF反向代理模式下都要选 择不透明。 1. 客户端IP地址如果选择透明,服务器就可以看到真实的客户端IP地址,那么服务器在
88
方式一:配置管理口IP地址( console口配置)
Step 5 :输入IP地址、子网掩码、网关、DNS
99
方式二:配置管理口IP地址( web界面配置)
Step 1:用网线直连Admin口,将电脑 网卡地址设置为192.168.1.0/24网段任 意地址即可(排除192.168.1.100)
21
反向代理模式——牵引模式
部署特点:
1. 可旁路部署,对于用户网络不透 明。
2. 故障恢复时间慢,不支持 Bypass,恢复时需要删除路由 器策略路由配置。
3. 此模式应用于复杂环境中,如设 备无法直接串接的环境。
4. 访问时仍访问网站服务器。 5. 支持VRRP
22
反向代理模式——牵引模式
用户访问的是服务器的真 实的IP地址,需要在交换 机上面将用户访问服务器 的http流量通过策略路由 的方式牵引到WAF,策略 路由的下一跳地址为WAF 的前端地址,WAF在接受 到地址之后通过后端地址 去请求真实的服务器。 注意:做策略路由牵引流 量时不需要将服务器IP的 所有流量都牵引过来,只 需要针对IP+PORT的方式 做策略路由,因为其他协 议的流量WAF是不会处理 的
3. 此模式应用于复杂环境中,如设 备无法直接串接的环境。
4. 访问时需要先访问明御WAF配置 的业务口地址。
5. 支持VRRP主备
15
反向代理模式——代理模式
工作原理:
用户访问的是WAF 的前端链路地址, WAF在接收到流量 之后通过后端链路 地址去访问真实的 服务器,因此服务 器看到客户端地址 为WAF的后端链路 地址
安恒明御 WAF防火墙基本部署配置指南
技术创新 变革未来
明御WAF基本部署配置
1. 面板、接口及指示灯说明 2. 设备默认配置信息 3. 管理口IP配置 4. 常见的部署模式 5. 口及指示灯说明
端口说明
• Console口:即串口,产品初始化配置使用 • Admin口:即管理口,远程管理使用 • HA口:双机热备使用 • Seckey:加密狗USB接口 • 一个桥内两个接口,没有进出口之分
2. 路由模式(冗余结构)故障恢复速度快,恢复时不需要修改任何配置。 3. 路由模式支持非对称路由。
26
5、WAF快速部署
27
谢谢!
28