安恒明御WAF防火墻基本部署配置指南課件

安恒明御

WAF防火墻基本部署配置指南技術創(chuàng)新

變革未來安恒明御

WAF防火墻基本部署配置指南技術創(chuàng)新變革未2明御WAF基本部署配置面板、接口及指示燈說明設備默認配置信息管理口IP配置常見的部署模式WAF快速部署2明御WAF基本部署配置面板、接口及指示燈說明31、面板、接口及指示燈說明端口說明Console口：即串口，產品初始化配置使用Admin口：即管理口，遠程管理使用HA口：雙機熱備使用Seckey：加密狗USB接口一個橋內兩個接口，沒有進出口之分31、面板、接口及指示燈說明端口說明4指示燈說明4指示燈說明5指示燈說明指示燈顏色含義PWR燈常亮電源工作正常不亮電源工作異常HDD燈/LOG燈閃爍硬盤工作正常

不亮硬盤工作異常LINK燈不亮網(wǎng)口工作在10Mbps速率亮綠色網(wǎng)口工作在100Mbps速率亮橙色網(wǎng)口工作在1000Mbps速率ACT燈不亮網(wǎng)口工作在物理直通或斷線狀態(tài)5指示燈說明指示燈顏色含義PWR燈常亮電源工作正常不亮電源工62、設備默認配置信息默認管理口IP：00默認WEB管理地址：00隱藏WEB管理地址：53（防止前臺管理IP時可以使用）默認前臺超級管理員賬戶：admin默認前臺超級管理員賬戶密碼：adminadmin默認串口波特率：115200默認串口賬戶：admin默認串口密碼：admin62、設備默認配置信息默認管理口IP：773、管理IP配置方式一：配置管理口IP地址（console口配置）Step1:使用Putty\secureCRT\超級終端等工具登陸串口Step2:輸入默認用戶名密碼admin/admin773、管理IP配置方式一：配置管理口IP地址（conso88方式一：配置管理口IP地址（console口配置）Step3:輸入數(shù)字“2”，進入下一步Step4:輸入“1”，進入下一步88方式一：配置管理口IP地址（console口配置）St99方式一：配置管理口IP地址（console口配置）Step5:輸入IP地址、子網(wǎng)掩碼、網(wǎng)關、DNS99方式一：配置管理口IP地址（console口配置）St1010方式二：配置管理口IP地址（web界面配置）Step1:用網(wǎng)線直連Admin口，將電腦網(wǎng)卡地址設置為/24網(wǎng)段任意地址即可（排除00）Step2:登00默認用戶名/密碼admin/adminadmin1010方式二：配置管理口IP地址（web界面配置）Ste1111方式二：配置管理口IP地址（web界面配置）Step3:進入【系統(tǒng)】【系統(tǒng)配置】，如下圖所示：1111方式二：配置管理口IP地址（web界面配置）Ste1212注意：默認WAF對管理者IP是有限制的，只允許私有IP地址（192.168.*.*,10.*.*.*,172.16.8.*）可以管理WAF設備。如果WAF管理口IP地址設置為公網(wǎng)地址則需要關閉“管理者IP限制”1212注意：默認WAF對管理者IP是有限制的，只允許私有I13134、常見的部署模式透明代理模式反向代理模式（代理模式、牽引模式）旁路監(jiān)控模式橋模式路由模式13134、常見的部署模式透明代理模式14透明代理模式透明代理部署模式支持透明串接部署方式。串接在用戶網(wǎng)絡中，可實現(xiàn)即插即用，無需用戶更改網(wǎng)絡設備與服務器配置。部署簡單易用，應用于大部分用戶網(wǎng)絡中。部署特點：不需要改變用戶的網(wǎng)絡結構，對于用戶而言是透明的。安全防護能力強故障恢復快，可支持Bypass14透明代理模式透明代理部署模式支持透明串接部署方式。串接在15反向代理模式——代理模式部署特點：可旁路部署，對于用戶網(wǎng)絡不透明，防護能力強故障恢復時間慢，不支持Bypass，恢復時需要重新將域名或地址映射到原服務器。此模式應用于復雜環(huán)境中，如設備無法直接串接的環(huán)境。訪問時需要先訪問明御WAF配置的業(yè)務口地址。支持VRRP主備15反向代理模式——代理模式部署特點：可旁路部署，對于用戶網(wǎng)16反向代理模式——代理模式工作原理：用戶訪問的是WAF的前端鏈路地址，WAF在接收到流量之后通過后端鏈路地址去訪問真實的服務器，因此服務器看到客戶端地址為WAF的后端鏈路地址16反向代理模式——代理模式工作原理：用戶訪問的是WAF的前17反向代理模式——代理模式接入鏈路：WAF采用反向代理接入環(huán)境中一般用一個業(yè)務口就可以，也可以采用兩個接口，如果采用一個接口，那么前端和后端選擇同一個接口鏈路地址（前端）：前端鏈路地址是客戶訪問的地址，通過訪問前端地址可以訪問到服務器業(yè)務，前端地址可以和保護站點的IP地址在同一個網(wǎng)段也可以在不同的網(wǎng)段，只要前端地址和保護站點地址的路由可通就可以鏈路地址（后端）：WAF在接受到客戶端的流量之后，WAF充當客戶端通過后端地址去訪問真實的服務器地址，因此服務器看到的客戶端地址為WAF的后端地址。WAF的后端地址可以和前端地址是同一個IP地址也可以是相同網(wǎng)段的不同地址。鏈路模式：需要選擇代理模式或者牽引模式17反向代理模式——代理模式接入鏈路：WAF采用反向代理接入18反向代理模式——代理模式客戶端IP地址透明：有兩個選項透明和不透明，但是一般WAF反向代理模式下都要選擇不透明?？蛻舳薎P地址如果選擇透明，服務器就可以看到真實的客戶端IP地址，那么服務器在返回流量時就會通過服務器網(wǎng)關直接返回給客戶端而不返回給WAF，這樣WAF代理就會失敗，為了保證WAF代理成功必須在交換機上面做策略路由將服務器返回的流量牽引到WAF，這樣WAF代理才能成功，因為選擇透明比較麻煩因此正常情況下面一般都是選擇不透明客戶端IP地址如果選擇不透明，服務器看到的客戶端IP地址為WAF的后端地址，這樣服務器返回的流量就會返回給WAFX-Forwarded-For字段名稱，如果選擇客戶端IP地址不透明，為了告警日志能夠顯示證真實的客戶端IP地址，必須要啟用X-Forwarded-For18反向代理模式——代理模式客戶端IP地址透明：有兩個選項透19反向代理模式——VRRPVRRP——主備模式簡介WAF在反向代理模式下可以支持主備模式，正常情況下只有主機工作，備機不工作，當主機業(yè)務口出現(xiàn)問題時，備機自動切換為主機進行工作19反向代理模式——VRRPVRRP——主備模式簡介WAF在20反向代理模式——VRRPVRRP——主備模式配置說明啟?用VRRP功能，vrrp是按保護站點來的，啟?用了vrrp，這個保護站點上的前端鏈路上的ip就會變成虛ip，同時?支持bond。通過配置=>保護站點=>VRRP?支持來配置VRRP功能。狀態(tài)：是否開啟VRRP功能；本機?角?色：選擇本機?角?色，主機或備機；虛擬路由ID：同?一個VRRP組的ID相同20反向代理模式——VRRPVRRP——主備模式配置說明啟?21反向代理模式——VRRPVRRP——主備模式工作細節(jié)VRRP的?心跳包通信接?：管理?VRRP的監(jiān)控端?口：業(yè)務?必要條件：反代模式，主備機開啟VRRP功能，主備機管理?互通主備機正常?工作時主機業(yè)務?被分配虛ip，備機業(yè)務??無ip，業(yè)務流量通過主機轉發(fā)；主機業(yè)務?down掉時備機業(yè)務?被分配虛ip，業(yè)務流量通過備機轉發(fā)；主機業(yè)務?由down轉換到up時主機業(yè)務?被分配ip，備機業(yè)務??無ip，業(yè)務流量通過主機轉發(fā)；主機管理?down時主備機都有虛ip，業(yè)務流量通過主機轉發(fā)。21反向代理模式——VRRPVRRP——主備模式工作細節(jié)VR22反向代理模式——牽引模式部署特點：可旁路部署，對于用戶網(wǎng)絡不透明。故障恢復時間慢，不支持Bypass，恢復時需要刪除路由器策略路由配置。此模式應用于復雜環(huán)境中，如設備無法直接串接的環(huán)境。訪問時仍訪問網(wǎng)站服務器。支持VRRP22反向代理模式——牽引模式部署特點：可旁路部署，對于用戶網(wǎng)23反向代理模式——牽引模式用戶訪問的是服務器的真實的IP地址，需要在交換機上面將用戶訪問服務器的http流量通過策略路由的方式牽引到WAF，策略路由的下一跳地址為WAF的前端地址，WAF在接受到地址之后通過后端地址去請求真實的服務器。注意：做策略路由牽引流量時不需要將服務器IP的所有流量都牽引過來，只需要針對IP+PORT的方式做策略路由，因為其他協(xié)議的流量WAF是不會處理的23反向代理模式——牽引模式用戶訪問的是服務器的真實的IP地24旁路監(jiān)控模式采用旁路監(jiān)聽模式，在交換機做服務器端口鏡像，將流量復制一份到明御WAF上，部署時不影響在線業(yè)務。部署特點：明御WAF在旁路監(jiān)聽模式部署下只能用于流量分析或日志審計，不能實現(xiàn)防護。24旁路監(jiān)控模式采用旁路監(jiān)聽模式，在交換機做服務器端口鏡像，25橋模式部署特點：橋模式是真正意義上的透明，不會更改數(shù)據(jù)包任何內容，比如源MAC、源端口、TCP序列號、HTTP協(xié)議版本等內容，所以不會存在代理模式中的長短連接問題、健康檢查、端口安全、協(xié)議不兼容等問題。橋模式不跟蹤TCP會話，可支持路由不對稱環(huán)境。橋模式下部分功能不支持，比如緩存壓縮、智能防護、自學習建模、日志審計等功能。對服務器響應包的內容不檢測。防護能力不如透